115 7 5MB
German Pages 1296 [1300] Year 2012
Plath (Hrsg.) BDSG Kommentar
BDSG Kommentar zum BDSG sowie den Datenschutzbestimmungen von TMG und TKG herausgegeben von
Dr. Kai-Uwe Plath, LL.M. Rechtsanwalt, Hamburg bearbeitet von
Thomas Becker, LL.M. Eur. Rechtsanwalt, Köln
Dr. Axel Freiherr von dem Bussche, LL.M.
Dr. Wulf Kamlah Rechtsanwalt, Frankfurt a.M.
Dr. Michael Kuhnke Rechtsanwalt, Hamburg
Rechtsanwalt, Hamburg
Dr. Kai-Uwe Plath, LL.M. Dr. Anna-Mirjam Frey, LL.M.
Rechtsanwalt, Hamburg
Richterin, Hamburg
Prof. Dr. Jan Dirk Roggenkamp Nils Hullen, LL.M. Rechtsanwalt, Berlin u. Brüssel
Valerian Jenny Rechtsanwalt, Frankfurt a.M.
Polizeiakademie Niedersachsen, Nienburg/Weser
Dr. Lutz Schreiber Rechtsanwalt, Hamburg
Dr. Katrin Stamer Rechtsanwältin, Hamburg
2013
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek veiZeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Verlag Dr. Otto Schmidt KG Gustav-Heinemann-Ufer 581 50968 Köln Tel. 02 21/9 37 38--01, Fax 02 21/9 37 38-943 [email protected] www.otto-schmidt.de ISBN 978-3-504-56041-6 ©2013 by Verlag Dr. Otto Schmidt KG, Köln
Das Werk einschließlich aller seiner Teile ist urhebe.m:chtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlages. Das gilt insbesondere für Vervi.elfältigungen, Bearbeitungen, Obersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Das verwendete Papier ist aus chlorfrei gebleichten Rohstoffen hergestellt, holz- und säurefrei, alterungsbeständig und umweltfreundlich.
Einbandgestaltung: Jan P. Lichtenford, Mettmann Satz: WMTP, Birkenau Druck und Verarbeitung: Kösel, Krugzell Printed in Gennany
Vorwort Das Thema Datenschutz hat in den letzten Jahren einen Aufstieg genommen wie kaum eine andere Rechtsmaterie. Die Gründe dafür sind vielfältig. Die im Zuge der BDSG-Novelle aus dem Jahre 2009 eingeführte Verschärfung der Bußgeldvorschriften dürfte einen entsprechenden Beitrag geleistet haben. Wichtiger dürfte aber noch gewesen sein, dass die „Datenskandale“ der jüngeren Vergangenheit gezeigt haben, wie aufmerksam die Öffentlichkeit mögliche Verstöße gegen das Datenschutzrecht verfolgt. Nachlässigkeiten oder gar bewusste Rechtsverstöße in diesem Bereich können zu nachhaltigen Imageschädigungen führen. Hinzu kommt schließlich, dass in Zeiten rasanter technischer Entwicklungen die Realisierbarkeit ganzer Geschäftsmodelle – nicht zuletzt im Bereich SocialMedia – immer häufiger maßgeblich davon abhängt, ob sich diese im Einklang mit dem Datenschutzrecht umsetzen lassen. Die Unternehmen, Behörden und Gerichte sehen sich dabei mit einem gesetzlichen Regelwerk konfrontiert, das an Unübersichtlichkeit, Ungenauigkeit und z.T. sogar Widersprüchlichkeit kaum zu überbieten ist. Die daraus resultierenden Schwierigkeiten bei der Rechtsanwendung werden durch den Umstand verstärkt, dass die zentralen Erlaubnisnormen des BDSG das Recht zur Verwendung personenbezogener Daten von einer Interessenabwägung abhängig machen. Während dieses Konzept eine flexible Anwendung des Gesetzes ermöglicht, so stellt es die Praxis doch vor ein Dilemma. Denn es kann kaum verlässlich prognostiziert werden, ob die beabsichtigte Datennutzung von einem Erlaubnistatbestand gedeckt ist oder an dem Verbotsprinzip des BDSG scheitert. Ziel dieses Kommentars ist es, den Wirtschaftunternehmen und deren Beratern sowie den Behörden und Gerichten eine Hilfestellung bei der Anwendung und Auslegung der datenschutzrechtlichen Regelungen an die Hand zu geben. In diesem Sinne haben es sich die Verfasser dieses Kommentars zur Aufgabe gemacht, nicht nur den aktuellen Meinungsstand in Rechtsprechung und Literatur darzustellen, sondern vor allem auch die praktische Relevanz der jeweiligen Streitfragen und mögliche Lösungswege aufzuzeigen. Selbstverständlich setzt dies voraus, dass neben dem BDSG auch die datenschutzrechtlichen Regelungen des TMG und des TKG vollintegriert mitkommentiert werden. Denn gerade im Online-Bereich führt die komplexe Normenhierarchie des deutschen Datenschutzrechts häufig dazu, dass ein einheitlicher Lebenssachverhalt unter dem Vorbehalt gleich mehrerer Verbotsgesetze steht. V
Vorwort
Bei den Autoren dieses Kommentars handelt es sich um erfahrene Praktiker, die sich seit langem anwaltlich bzw. wissenschaftlich mit dem Thema Datenschutz befassen. Diesen Autoren gilt der Dank des Herausgebers dafür, dass sie sich zur Mitarbeit an diesem Werk bereit erklärt haben. Wir hoffen, dass dieser neue Kommentar den selbstgesteckten Zielen gerecht wird, und sind für Anregungen und kritische Anmerkungen dankbar. Hamburg, November 2012
VI
Kai-Uwe Plath
Inhaltsverzeichnis Seite
Vorwort. . . . . . . . . . . . Abkürzungsverzeichnis Literaturverzeichnis. . . Text des BDSG . . . . . . Text des TMG . . . . . . . Text des TKG . . . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
V IX XIII XV LXII LXVI
Erläuterungen BDSG §§
Erster Abschnitt:
Allgemeine und gemeinsame Bestimmungen . . . . . . . . . . . . .
1–11
Anlage (zu § 9 Satz 1) . . . . . . . . Datenverarbeitung der öffentlichen Stellen Erster Unterabschnitt: Rechtsgrundlagen der Datenverarbeitung . . . . . . . . . . . . . . . Zweiter Unterabschitt: Rechte des Betroffenen . . . . . . . Dritter Unterabschnitt: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. . . . . . . . . . . . .
1 341
Zweiter Abschnitt:
12–18 19–21
427 473
22–26
503
Datenverarbeitung nicht-öffentlicher Stellen und öffentlichrechtlicher Wettbewerbsunternehmen Erster Unterabschnitt: Rechtsgrundlagen der Datenverarbeitung . . . . . . . . . . . . . . . 27–32 Zweiter Unterabschnitt: Rechte des Betroffenen . . . . . . . 33–35 Dritter Unterabschnitt: Aufsichtsbehörde . . . . . . . . . . . 36–38a
535 820 894
Vierter Abschnitt:
Sondervorschriften . . . . . . . . . . 39–42a
929
Fünfter Abschnitt:
Schlussvorschriften. . . . . . . . . .
43–44
961
Sechster Abschnitt:
Übergangsvorschriften . . . . . . .
45–48
976
Dritter Abschnitt:
VII
Inhaltsverzeichnis
Erläuterungen TMG (Auszug) §§
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Abschnitt 4: Datenschutz. . . . . . . . . . . . . . . 11–15a
Seite
983 988
Erläuterungen TKG (Auszug) Teil 7: Abschnitt 1: Abschnitt 2: Abschnitt 3:
Fernmeldegeheimnis, Datenschutz, öffentliche Sicherheit Fernmeldegeheimnis. . . . . . . Datenschutz. . . . . . . . . . . . . Öffentliche Sicherheit . . . . . .
. . . .
. . 88– 90 . 91–107 . 108–115
1065 1065 1083 1164
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1177
VIII
Abkürzungsverzeichnis ABl. Abschn. AEUV AG AGB AktG Alt. Anh. AnwBl AO ArbG ArbGG ArbRB AuA BAG BB BBankG BBG BetrVG BfDI BGB BGBl. BGH BMI BMinG BNetzA BORA BOStB BPersVG BPolG BRAK BRAO BR-Drucks. BT-Drucks.
Amtsblatt Abschnitt Vertrag über die Arbeitsweise der Europäischen Union Amtsgericht, Aktiengesellschaft, auch: Die Aktiengesellschaft (Zeitschrift) Allgemeine Geschäftsbedingungen Aktiengesetz Alternative Anhang Anwaltsblatt Abgabenordnung Arbeitsgericht Arbeitsgerichtsgesetz Der Arbeits-Rechts-Berater (Zeitschrift) Arbeit und Arbeitsrecht (Zeitschrift) Bundesarbeitsgericht Betriebs-Berater (Zeitschrift) Gesetz über die Deutsche Bundesbank Bundesbeamtengesetz Betriebsverfassungsgesetz Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Bürgerliches Gesetzbuch Bundesgesetzblatt Bundesgerichtshof Bundesministerium des Innern Gesetz über die Rechtsverhältnisse der Mitglieder der Bundesregierung Bundesnetzagentur Berufsordnung der Rechtsanwälte Berufsordnung der Steuerberater Bundespersonalvertretungsgesetz Gesetz über die Bundespolizei Bundesrechtsanwaltskammer Bundesrechtsanwaltsordnung Bundesratsdrucksache Bundestagsdrucksache IX
Abkürzungsverzeichnis
BVerfG BVerfGE BVerfSchG BVerwG
Bundesverfassungsgericht Sammlung der Entscheidungen des BVerfG Bundesverfassungsschutzgesetz Bundesverwaltungsgericht
CR CuA
Computer und Recht (Zeitschrift) Computer und Arbeit (Zeitschrift)
DB DGRI DÖV DRiG DSB DSG DuD DVBl
Der Betrieb (Zeitschrift) Deutsche Gesellschaft für Recht und Informatik e.V. Die öffentliche Verwaltung (Zeitschrift) Deutsches Richtergesetz Datenschutzbeauftragter Datenschutzgesetz (z.B. der Bundesländer) Datenschutz und Datensicherheit Deutsches Verwaltungsblatt
EG Einführungsgesetz; Europäische Gemeinschaften EG-Datenschutz- Richtlinie 95/46/EG des Europäischen Parlaments richtlinie und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr EGGVG Einführungsgesetz zum Gerichtsverfassungsgesetz EGV Vertrag zur Gründung der Europäischen Gemeinschaft EnWG Energiewirtschaftsgesetz EU Europäische Union EuGH Gerichtshof der Europäischen Union EWR Europäischer Wirtschaftsraum f., ff. FGO FS
folgende, fortfolgende Finanzgerichtsordnung Festschrift
GG GGO
Grundgesetz Gemeinsame Geschäftsordnung der Bundesministerien Zeitschrift der Deutschen Vereinigung für Gewerblichen Rechtsschutz und Urheberrecht
GRUR
Halbs. Hrsg., hrsg. X
Halbsatz Herausgeber, herausgegeben
Abkürzungsverzeichnis
ITRB
Der IT-Rechts-Berater (Zeitschrift)
JZ
Juristenzeitung (Zeitschrift)
K&R KG KUG KWG
Kommunikation & Recht (Zeitschrift) Kammergericht, Kommanditgesellschaft Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie Kreditwesengesetz
LAG LfD LG lit. LKV LT-Drucks.
Landesarbeitsgericht Landesbeauftragter für Datenschutz Landgericht litera Landes- und Kommunalverwaltung (Zeitschrift) Landtagsdrucksache
m.w.N. MDR MedR MMR MRRG
mit weiteren Nachweisen Monatsschrift für Deutsches Recht Medizinrecht (Zeitschrift) MultiMedia und Recht (Zeitschrift) Melderechtsrahmengesetz
NJOZ NJW NStZ NVwZ NZA NZM NZS
Neue Juristische Online Zeitschrift Neue Juristische Wochenschrift Neue Zeitschrift für Strafrecht Neue Zeitschrift für Verwaltungsrecht Neue Zeitschrift für Arbeitsrecht Neue Zeitschrift für Miet- und Wohnungsrecht Neue Zeitschrift für Sozialrecht
OLG OWiG
Oberlandesgericht Ordnungswidrigkeitengesetz
PachtkreditG
Pachtkreditgesetz
RdA RDV RL Rs. Rspr.
Recht der Arbeit (Zeitschrift) Recht der Datenverarbeitung (Zeitschrift) Richtlinie Rechtssache Rechtsprechung XI
Abkürzungsverzeichnis
RStV Rz.
Rundfunkstaatsvertrag Randzahl
SGB StBerG StGB StPO str.
Sozialgesetzbuch Steuerberatungsgesetz Strafgesetzbuch Strafprozessordnung streitig
TDDSG TDSV
Teledienstedatenschutzgesetz Telekommunikationsdienstunternehmen – Datenschutzverordnung
UKlaG UrhG Urt. UWG
Unterlassungsklagengesetz Urheberrechtsgesetz Urteil Gesetz gegen den unlauteren Wettbewerb
VersR VG VO VR VuR VwGO VwVfG
Versicherungsrecht (Zeitschrift) Verwaltungsgericht Verordnung Verwaltungsrundschau (Zeitschrift) Verbraucher und Recht (Zeitschrift) Verwaltungsgerichtsordnung Verwaltungsverfahrensgesetz
Wistra WM WRP
Zeitschrift für Wirtschafts- und Steuerstrafrecht Wertpapier-Mitteilungen (Zeitschrift für Wirtschaftsund Bankrecht) Wettbewerb in Recht und Praxis (Zeitschrift)
ZD ZfIR Ziff. ZInsO ZIP ZRP ZUM zust. zutr.
Zeitschrift für Datenschutz Zeitschrift für Immobilienrecht Ziffer Zeitschrift für das gesamte Insolvenzrecht Zeitschrift für Wirtschaftsrecht Zeitschrift für Rechtspolitik Zeitschrift für Urheber- und Medienrecht zustimmend zutreffend
XII
Literaturverzeichnis Arndt/Fetzer/Scherer (Hrsg.), TKG, Kommentar, 2008 Beck’scher TKG-Kommentar, hrsg. v. Geppert/Piepenbrock/Schütz/ Schuster, 3. Aufl. 2006 Bergmann/Möhrle/Herb, Datenschutzrecht Kommentar, Loseblatt Bohnert, OWiG, Kommentar, 3. Aufl. 2010 Däubler/Kittner/Klebe/Wedde (Hrsg.), BetrVG, Kommentar, 13. Aufl. 2012 Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz Kompaktkommentar, 3. Aufl. 2010 Erbs/Koolhaas, Strafrechtliche Nebengesetze, 190. Auflage 2012, Loseblatt Erfurter Kommentar zum Arbeitsrecht, hrsg. v. Müller-Glöge/Preis/ Schmidt, 12. Aufl. 2012 Göhler, Ordnungswidrigkeitengesetz, 16. Aufl. 2012 Gola/Schomerus, BDSG, Kommentar, 11. Aufl. 2012 Hanten/Görke/Ketessidis, Outsourcing im Finanzsektor, 2011 Helfrich, Kreditscoring und Scorewertbildung der SCHUFA, 2010 Henssler/Willemsen/Kalb, Arbeitsrecht Kommentar, 5. Aufl. 2012 Heun (Hrsg.), Handbuch Telekommunikationsrecht, 2. Aufl. 2007 Kühling/Sivridis/Seidel, Datenschutzrecht, 2. Aufl. 2011 Maunz/Dürig, Grundgesetz, Loseblatt Müller-Gugenberger/Bieneck (Hrsg.), Wirtschaftsstrafrecht, 5. Aufl. 2011 Richardi, Betriebsverfassungsgesetz, Kommentar, 13. Aufl. 2012 Roßnagel, Handbuch Datenschutzrecht, 2003 Roßnagel, Recht der Multimedia-Dienste, Loseblatt Säcker (Hrsg.), Berliner Kommentar zum Telekommunikationsgesetz, 2. Aufl. 2009
XIII
Literaturverzeichnis
Schaffland/Wiltfang, BDSG, Kommentar, Loseblatt Scheurle/Mayen, TKG, Kommentar, 2. Aufl. 2008 Scholz, Datenschutz beim Internet-Einkauf. Gefährdungen – Anforderungen – Gestaltungen, Diss., 2003 Schönke/Schröder, StGB, Kommentar, 28. Aufl. 2010 Simitis (Hrsg.), Bundesdatenschutzgesetz, 7. Aufl. 2011 Spindler/Schuster, Recht der elektronischen Medien, 2. Aufl. 2011 Taeger/Gabel (Hrsg.), Kommentar zum BDSG und zu den Datenschutzvorschriften des TKG und TMG, 2010 Wächter, Datenschutz im Unternehmen, 3. Aufl. 2003 Willemsen/Hohenstatt/Schweibert/Seibt, Umstrukturierung und Übertragung von Unternehmen, 4. Aufl. 2011 Wybitul, Handbuch – Datenschutz im Unternehmen, 2011
XIV
Bundesdatenschutzgesetz (BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Gesetz vom 14. August 2009 (BGBl. I S. 2814) Erster Abschnitt. Allgemeine und gemeinsame Bestimmungen § 1 Zweck und Anwendungsbereich des Gesetzes. (1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. (2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch 1. öffentliche Stellen des Bundes, 2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie a) Bundesrecht ausführen oder b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt, 3. nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. (3) 1Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. 2Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt. (4) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden. (5) 1Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. 2Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. 3Soweit die verantwortliche Stelle nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. 4Die Sätze 2 und 3 gelten nicht, sofern Datenträger nur zum Zweck des Transits durch das Inland eingesetzt werden. 5§ 38 Abs. 1 Satz 1 bleibt unberührt.
XV
BDSG §§ 2–3 § 2 Öffentliche und nicht-öffentliche Stellen. (1) 1Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. 2Als öffentliche Stellen gelten die aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht. (2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes und sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. (3) 1Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nicht-öffentlicher Stellen als öffentliche Stellen des Bundes, wenn 1. sie über den Bereich eines Landes hinaus tätig werden oder 2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht. 2Andernfalls
gelten sie als öffentliche Stellen der Länder.
(4) 1Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. 2Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes. § 3 Weitere Begriffsbestimmungen. (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). (2) 1Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. 2Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann. (3) Erheben ist das Beschaffen von Daten über den Betroffenen. (4) 1Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. 2Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren: 1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung, 2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten, 3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass XVI
§ 3 BDSG a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft, 4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken, 5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten. (5) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. (6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. (6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. (7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. (8) 1Empfänger ist jede Person oder Stelle, die Daten erhält. 2Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. 3Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. (9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. (10) Mobile personenbezogene Speicher- und Verarbeitungsmedien sind Datenträger, 1. die an den Betroffenen ausgegeben werden, 2. auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und 3. bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann. (11) Beschäftigte sind: 1. Arbeitnehmerinnen und Arbeitnehmer, 2. zu ihrer Berufsbildung Beschäftigte, 3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden), 4. in anerkannten Werkstätten für behinderte Menschen Beschäftigte, 5. nach dem Jugendfreiwilligendienstegesetz Beschäftigte,
XVII
BDSG §§ 3–4 6. Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten, 7. Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, 8. Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende. § 3a Datenvermeidung und Datensparsamkeit. 1Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. 2Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. § 4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung. (1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. (2) 1Personenbezogene Daten sind beim Betroffenen zu erheben. 2Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn 1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder 2. a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. (3) 1Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über 1. die Identität der verantwortlichen Stelle, 2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und 3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss, zu unterrichten. 2Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. 3Soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.
XVIII
§§ 4a–4b BDSG § 4a Einwilligung. (1) 1Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. 2Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. 3Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. 4Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. (2) 1Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. 2In diesem Fall sind der Hinweis nach Absatz 1 Satz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich festzuhalten. (3) Soweit besondere Arten personenbezogener Daten (§ 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen. § 4b Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen. (1) Für die Übermittlung personenbezogener Daten an Stellen 1. in anderen Mitgliedstaaten der Europäischen Union, 2. in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder 3. der Organe und Einrichtungen der Europäischen Gemeinschaften gelten § 15 Abs. 1, § 16 Abs. 1 und §§ 28 bis 30a nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen, soweit die Übermittlung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen. (2) 1Für die Übermittlung personenbezogener Daten an Stellen nach Absatz 1, die nicht im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, sowie an sonstige ausländische oder über- oder zwischenstaatliche Stellen gilt Absatz 1 entsprechend. 2Die Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist. 3Satz 2 gilt nicht, wenn die Übermittlung zur Erfüllung eigener Aufgaben einer öffentlichen Stelle des Bundes aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist. (3) Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger gelten-
XIX
BDSG §§ 4b–4c den Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden. (4) 1In den Fällen des § 16 Abs. 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. 2Dies gilt nicht, wenn damit zu rechnen ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde. (5) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. (6) Die Stelle, an die die Daten übermittelt werden, ist auf den Zweck hinzuweisen, zu dessen Erfüllung die Daten übermittelt werden. § 4c Ausnahmen. (1) 1Im Rahmen von Tätigkeiten, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, ist eine Übermittlung personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht gewährleistet ist, zulässig, sofern 1. der Betroffene seine Einwilligung gegeben hat, 2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist, 3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll, 4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist, 5. die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder 6. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind. 2Die
Stelle, an die die Daten übermittelt werden, ist darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden. (2) 1Unbeschadet des Absatzes 1 Satz 1 kann die zuständige Aufsichtsbehörde einzelne Übermittlungen oder bestimmte Arten von Übermittlungen personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist; die Garantien können sich insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben. 2Bei den Post- und Telekommuni-
XX
§§ 4c–4d BDSG kationsunternehmen ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zuständig. 3Sofern die Übermittlung durch öffentliche Stellen erfolgen soll, nehmen diese die Prüfung nach Satz 1 vor. (3) Die Länder teilen dem Bund die nach Absatz 2 Satz 1 ergangenen Entscheidungen mit. § 4d Meldepflicht. (1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nach Maßgabe von § 4e zu melden. (2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat. (3) Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. (4) Die Absätze 2 und 3 gelten nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle 1. zum Zweck der Übermittlung, 2. zum Zweck der anonymisierten Übermittlung oder 3. für Zwecke der Markt- oder Meinungsforschung gespeichert werden. (5) 1Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). 2Eine Vorabkontrolle ist insbesondere durchzuführen, wenn 1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder 2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. (6) 1Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. 3Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu wenden.
2Dieser
XXI
BDSG §§ 4e–4f § 4e Inhalt der Meldepflicht. 1Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen: 1. Name oder Firma der verantwortlichen Stelle, 2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen, 3. Anschrift der verantwortlichen Stelle, 4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, 5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien, 6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können, 7. Regelfristen für die Löschung der Daten, 8. eine geplante Datenübermittlung in Drittstaaten, 9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind. 2§
4d Abs. 1 und 4 gilt für die Änderung der nach Satz 1 mitgeteilten Angaben sowie für den Zeitpunkt der Aufnahme und der Beendigung der meldepflichtigen Tätigkeit entsprechend. § 4f Beauftragter für den Datenschutz. (1) 1Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. 2Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. 3Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. 4Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. 5Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. 6Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Marktoder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.
(2) 1Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. 2Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. 3Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen AmtsXXII
§§ 4f–4g BDSG geheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. 4Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten aus einer anderen öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen. (3) 1Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen. 2Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. 3Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. 4Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuchs, bei nichtöffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, widerrufen werden. 5Ist nach Absatz 1 ein Beauftragter für den Datenschutz zu bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. 6Nach der Abberufung als Beauftragter für den Datenschutz ist die Kündigung innerhalb eines Jahres nach der Beendigung der Bestellung unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist. 7Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. (4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird. (4a) 1Soweit der Beauftragte für den Datenschutz bei seiner Tätigkeit Kenntnis von Daten erhält, für die dem Leiter oder einer bei der öffentlichen oder nichtöffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Beauftragten für den Datenschutz und dessen Hilfspersonal zu. 2Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. 3Soweit das Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht, unterliegen seine Akten und andere Schriftstücke einem Beschlagnahmeverbot. (5) 1Die öffentlichen und nicht-öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. 2Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden. § 4g Aufgaben des Beauftragten für den Datenschutz. (1) 1Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. 2Zu diesem Zweck kann sich der Beauftragte für den Datenschutz in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden. 3Er kann die Beratung nach § 38 Abs. 1 Satz 2 in Anspruch nehmen. 4Er hat insbesondere XXIII
BDSG §§ 4g–6 1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten, 2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen. (2) 1Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. 2Der Beauftragte für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar. (2a) Soweit bei einer nichtöffentlichen Stelle keine Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz besteht, hat der Leiter der nichtöffentlichen Stelle die Erfüllung der Aufgaben nach den Absätzen 1 und 2 in anderer Weise sicherzustellen. (3) 1Auf die in § 6 Abs. 2 Satz 4 genannten Behörden findet Absatz 2 Satz 2 keine Anwendung. 2Absatz 1 Satz 2 findet mit der Maßgabe Anwendung, dass der behördliche Beauftragte für den Datenschutz das Benehmen mit dem Behördenleiter herstellt; bei Unstimmigkeiten zwischen dem behördlichen Beauftragten für den Datenschutz und dem Behördenleiter entscheidet die oberste Bundesbehörde. § 5 Datengeheimnis. 1Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). 2Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. 3Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. § 6 Rechte des Betroffenen. (1) Die Rechte des Betroffenen auf Auskunft (§§ 19, 34) und auf Berichtigung, Löschung oder Sperrung (§§ 20, 35) können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden. (2) 1Sind die Daten des Betroffenen automatisiert in der Weise gespeichert, dass mehrere Stellen speicherungsberechtigt sind, und ist der Betroffene nicht in der Lage festzustellen, welche Stelle die Daten gespeichert hat, so kann er sich an jede dieser Stellen wenden. 2Diese ist verpflichtet, das Vorbringen des Betroffenen an die Stelle, die die Daten gespeichert hat, weiterzuleiten. 3Der Betroffene ist über die Weiterleitung und jene Stelle zu unterrichten. 4Die in § 19 Abs. 3 genannten Stellen, die Behörden der Staatsanwaltschaft und der Polizei sowie öffentliche Stellen der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, können statt des Betroffenen den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unterrichten. 5In diesem Fall richtet sich das weitere Verfahren nach § 19 Abs. 6.
XXIV
§§ 6–6b BDSG (3) Personenbezogene Daten über die Ausübung eines Rechts des Betroffenen, das sich aus diesem Gesetz oder aus einer anderen Vorschrift über den Datenschutz ergibt, dürfen nur zur Erfüllung der sich aus der Ausübung des Rechts ergebenden Pflichten der verantwortlichen Stelle verwendet werden. § 6a Automatisierte Einzelentscheidung. (1) 1Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. 2Eine ausschließlich auf eine automatisierte Verarbeitung gestützte Entscheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat. (2) Dies gilt nicht, wenn 1. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertragsverhältnisses oder eines sonstigen Rechtsverhältnisses ergeht und dem Begehren des Betroffenen stattgegeben wurde oder 2. die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen gewährleistet ist und die verantwortliche Stelle dem Betroffenen die Tatsache des Vorliegens einer Entscheidung im Sinne des Absatzes 1 mitteilt sowie auf Verlangen die wesentlichen Gründe dieser Entscheidung mitteilt und erläutert. (3) Das Recht des Betroffenen auf Auskunft nach den §§ 19 und 34 erstreckt sich auch auf den logischen Aufbau der automatisierten Verarbeitung der ihn betreffenden Daten. § 6b Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen. (1) Die Beobachtung öffentlich zugänglicher Räume mit optischelektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie 1. zur Aufgabenerfüllung öffentlicher Stellen, 2. zur Wahrnehmung des Hausrechts oder 3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. (2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen. (3) 1Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. 2Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. (4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung oder Nutzung entsprechend den §§ 19a und 33 zu benachrichtigen.
XXV
BDSG §§ 6b–8 (5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. § 6c Mobile personenbezogene Speicher- und Verarbeitungsmedien. (1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereithält, muss den Betroffenen 1. über ihre Identität und Anschrift, 2. in allgemein verständlicher Form über die Funktionsweise des Mediums einschließlich der Art der zu verarbeitenden personenbezogenen Daten, 3. darüber, wie er seine Rechte nach den §§ 19, 20, 34 und 35 ausüben kann, und 4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen unterrichten, soweit der Betroffene nicht bereits Kenntnis erlangt hat. (2) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen. (3) Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, müssen für den Betroffenen eindeutig erkennbar sein. § 7 Schadensersatz. 1Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. 2Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. § 8 Schadensersatz bei automatisierter Datenverarbeitung durch öffentliche Stellen. (1) Fügt eine verantwortliche öffentliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist ihr Träger dem Betroffenen unabhängig von einem Verschulden zum Schadensersatz verpflichtet. (2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen. (3) 1Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt auf einen Betrag von 130 000 Euro begrenzt. 2Ist aufgrund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von 130 000 Euro übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht. (4) Sind bei einer automatisierten Verarbeitung mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen.
XXVI
§§ 8–9 BDSG (5) Hat bei der Entstehung des Schadens ein Verschulden des Betroffenen mitgewirkt, gilt § 254 des Bürgerlichen Gesetzbuchs. (6) Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung. § 9 Technische und organisatorische Maßnahmen. 1Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. 2Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Anlage (zu § 9 Satz 1) 1Werden
personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. 2Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
XXVII
BDSG §§ 9–10 3Eine
Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.
§ 9a Datenschutzaudit. 1Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. 2Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt. § 10 Einrichtung automatisierter Abrufverfahren. (1) 1Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten durch Abruf ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben oder Geschäftszwecke der beteiligten Stellen angemessen ist. 2Die Vorschriften über die Zulässigkeit des einzelnen Abrufs bleiben unberührt. (2) 1Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. 2Hierzu haben sie schriftlich festzulegen: 1. Anlass und Zweck des Abrufverfahrens, 2. Dritte, an die übermittelt wird, 3. Art der zu übermittelnden Daten, 4. nach § 9 erforderliche technische und organisatorische Maßnahmen. 3Im
öffentlichen Bereich können die erforderlichen Festlegungen auch durch die Fachaufsichtsbehörden getroffen werden.
(3) 1Über die Einrichtung von Abrufverfahren ist in Fällen, in denen die in § 12 Abs. 1 genannten Stellen beteiligt sind, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit unter Mitteilung der Festlegungen nach Absatz 2 zu unterrichten. 2Die Einrichtung von Abrufverfahren, bei denen die in § 6 Abs. 2 und in § 19 Abs. 3 genannten Stellen beteiligt sind, ist nur zulässig, wenn das für die speichernde und die abrufende Stelle jeweils zuständige Bundes- oder Landesministerium zugestimmt hat. (4) 1Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an den übermittelt wird. 2Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. 3Die speichernde Stelle hat zu gewährleisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. 4Wird ein Gesamtbestand personenbezogener Daten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes. (5) 1Die Absätze 1 bis 4 gelten nicht für den Abruf allgemein zugänglicher Daten. zugänglich sind Daten, die jedermann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts, nutzen kann.
2Allgemein
XXVIII
§ 11 BDSG § 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. (1) 1Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. 2Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. (2) 1Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. 2Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 3Er
kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. 4Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. 5Das Ergebnis ist zu dokumentieren. (3) 1Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. 2Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. (4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie § 44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für 1. a) öffentliche Stellen, b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist,
XXIX
BDSG §§ 11–13 die §§ 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder, 2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die §§ 4f, 4g und 38. (5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Zweiter Abschnitt. Datenverarbeitung der öffentlichen Stellen Erster Unterabschnitt. Rechtsgrundlagen der Datenverarbeitung § 12 Anwendungsbereich. (1) Die Vorschriften dieses Abschnittes gelten für öffentliche Stellen des Bundes, soweit sie nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. (2) Soweit der Datenschutz nicht durch Landesgesetz geregelt ist, gelten die §§ 12 bis 16, 19 bis 20 auch für die öffentlichen Stellen der Länder, soweit sie 1. Bundesrecht ausführen und nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen oder 2. als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt. (3) Für Landesbeauftragte für den Datenschutz gilt § 23 Abs. 4 entsprechend. (4) Werden personenbezogene Daten für frühere, bestehende oder zukünftige Beschäftigungsverhältnisse erhoben, verarbeitet oder genutzt, gelten § 28 Absatz 2 Nummer 2 und die §§ 32 bis 35 anstelle der §§ 13 bis 16 und 19 bis 20. § 13 Datenerhebung. (1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist. (1a) Werden personenbezogene Daten statt beim Betroffenen bei einer nicht-öffentlichen Stelle erhoben, so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. (2) Das Erheben besonderer Arten personenbezogener Daten (§ 3 Abs. 9) ist nur zulässig, soweit 1. eine Rechtsvorschrift dies vorsieht oder aus Gründen eines wichtigen öffentlichen Interesses zwingend erfordert, 2. der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, 3. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben, 4. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat,
XXX
§§ 13–14 BDSG 5. dies zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist, 6. dies zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich ist, 7. dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen, 8. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann oder 9. dies aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist. § 14 Datenspeicherung, -veränderung und -nutzung. (1) 1Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist und es für die Zwecke erfolgt, für die die Daten erhoben worden sind. 2Ist keine Erhebung vorausgegangen, dürfen die Daten nur für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden sind. (2) Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig, wenn 1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt, 2. der Betroffene eingewilligt hat, 3. offensichtlich ist, dass es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme besteht, dass er in Kenntnis des anderen Zwecks seine Einwilligung verweigern würde, 4. Angaben des Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen, 5. die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Zweckänderung offensichtlich überwiegt, 6. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist, 7. es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist,
XXXI
BDSG §§ 14–15 8. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist oder 9. es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. (3) 1Eine Verarbeitung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen für die verantwortliche Stelle dient. 2Das gilt auch für die Verarbeitung oder Nutzung zu Ausbildungs- und Prüfungszwecken durch die verantwortliche Stelle, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen. (4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden. (5) 1Das Speichern, Verändern oder Nutzen von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) für andere Zwecke ist nur zulässig, wenn 1. die Voraussetzungen vorliegen, die eine Erhebung nach § 13 Abs. 2 Nr. 1 bis 6 oder 9 zulassen würden oder 2. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das öffentliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. 2Bei
der Abwägung nach Satz 1 Nr. 2 ist im Rahmen des öffentlichen Interesses das wissenschaftliche Interesse an dem Forschungsvorhaben besonders zu berücksichtigen. (6) Die Speicherung, Veränderung oder Nutzung von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) zu den in § 13 Abs. 2 Nr. 7 genannten Zwecken richtet sich nach den für die in § 13 Abs. 2 Nr. 7 genannten Personen geltenden Geheimhaltungspflichten. § 15 Datenübermittlung an öffentliche Stellen. (1) Die Übermittlung personenbezogener Daten an öffentliche Stellen ist zulässig, wenn 1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Dritten, an den die Daten übermittelt werden, liegenden Aufgaben erforderlich ist und 2. die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden.
(2) 1Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. 2Erfolgt die Übermittlung auf Ersuchen des Dritten, an den die Daten übermittelt werden, trägt dieser die Verantwortung. 3In diesem Fall prüft die übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Dritten, an den die Daten übermittelt werden, liegt, es sei denn, dass
XXXII
§§ 15–16 BDSG besonderer Anlass zur Prüfung der Zulässigkeit der Übermittlung besteht. 4§ 10 Abs. 4 bleibt unberührt. (3) 1Der Dritte, an den die Daten übermittelt werden, darf diese für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. 2Eine Verarbeitung oder Nutzung für andere Zwecke ist nur unter den Voraussetzungen des § 14 Abs. 2 zulässig. (4) Für die Übermittlung personenbezogener Daten an Stellen der öffentlichrechtlichen Religionsgesellschaften gelten die Absätze 1 bis 3 entsprechend, sofern sichergestellt ist, dass bei diesen ausreichende Datenschutzmaßnahmen getroffen werden. (5) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere personenbezogene Daten des Betroffenen oder eines Dritten so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte Interessen des Betroffenen oder eines Dritten an deren Geheimhaltung offensichtlich überwiegen; eine Nutzung dieser Daten ist unzulässig. (6) Absatz 5 gilt entsprechend, wenn personenbezogene Daten innerhalb einer öffentlichen Stelle weitergegeben werden. § 16 Datenübermittlung an nicht-öffentliche Stellen. (1) Die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen ist zulässig, wenn 1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden, oder 2. der Dritte, an den die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Das Übermitteln von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist abweichend von Satz 1 Nr. 2 nur zulässig, wenn die Voraussetzungen vorliegen, die eine Nutzung nach § 14 Abs. 5 und 6 zulassen würden oder soweit dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist. (2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. (3) 1In den Fällen der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. 2Dies gilt nicht, wenn damit zu rechnen ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde. (4) 1Der Dritte, an den die Daten übermittelt werden, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. 2Die übermittelnde Stelle hat ihn darauf hinzuweisen. 3Eine Verarbeitung oder Nutzung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Absatz 1 zulässig wäre und die übermittelnde Stelle zugestimmt hat.
XXXIII
BDSG §§ 17–19 § 17 (weggefallen) § 18 Durchführung des Datenschutzes in der Bundesverwaltung. (1) 1Die obersten Bundesbehörden, der Präsident des Bundeseisenbahnvermögens sowie die bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts, über die von der Bundesregierung oder einer obersten Bundesbehörde lediglich die Rechtsaufsicht ausgeübt wird, haben für ihren Geschäftsbereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen. 2Das Gleiche gilt für die Vorstände der aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange diesen ein ausschließliches Recht nach dem Postgesetz zusteht. (2) 1Die öffentlichen Stellen führen ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen. 2Für ihre automatisierten Verarbeitungen haben sie die Angaben nach § 4e sowie die Rechtsgrundlage der Verarbeitung schriftlich festzulegen. 3Bei allgemeinen Verwaltungszwecken dienenden automatisierten Verarbeitungen, bei welchen das Auskunftsrecht des Betroffenen nicht nach § 19 Abs. 3 oder 4 eingeschränkt wird, kann hiervon abgesehen werden. 4Für automatisierte Verarbeitungen, die in gleicher oder ähnlicher Weise mehrfach geführt werden, können die Festlegungen zusammengefasst werden. Zweiter Unterabschitt. Rechte des Betroffenen § 19 Auskunft an den Betroffenen. (1) 1Dem Betroffenen ist auf Antrag Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 2. die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden, und 3. den Zweck der Speicherung. 2In
dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnet werden. 3Sind die personenbezogenen Daten weder automatisiert noch in nicht automatisierten Dateien gespeichert, wird die Auskunft nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem vom Betroffenen geltend gemachten Informationsinteresse steht. 4Die verantwortliche Stelle bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßem Ermessen. (2) Absatz 1 gilt nicht für personenbezogene Daten, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde. (3) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, an-
XXXIV
§§ 19–19a BDSG dere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig. (4) Die Auskunftserteilung unterbleibt, soweit 1. die Auskunft die ordnungsgemäße Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben gefährden würde, 2. die Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde oder 3. die Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muss. (5) 1Die Ablehnung der Auskunftserteilung bedarf einer Begründung nicht, soweit durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. 2In diesem Fall ist der Betroffene darauf hinzuweisen, dass er sich an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wenden kann. (6) 1Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu erteilen, soweit nicht die jeweils zuständige oberste Bundesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. 2Die Mitteilung des Bundesbeauftragten an den Betroffenen darf keine Rückschlüsse auf den Erkenntnisstand der verantwortlichen Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt. (7) Die Auskunft ist unentgeltlich. § 19a Benachrichtigung. (1) 1Werden Daten ohne Kenntnis des Betroffenen erhoben, so ist er von der Speicherung, der Identität der verantwortlichen Stelle sowie über die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung zu unterrichten. 2Der Betroffene ist auch über die Empfänger oder Kategorien von Empfängern von Daten zu unterrichten, soweit er nicht mit der Übermittlung an diese rechnen muss. 3Sofern eine Übermittlung vorgesehen ist, hat die Unterrichtung spätestens bei der ersten Übermittlung zu erfolgen. (2) 1Eine Pflicht zur Benachrichtigung besteht nicht, wenn 1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat, 2. die Unterrichtung des Betroffenen einen unverhältnismäßigen Aufwand erfordert oder 3. die Speicherung oder Übermittlung der personenbezogenen Daten durch Gesetz ausdrücklich vorgesehen ist. 2Die
verantwortliche Stelle legt schriftlich fest, unter welchen Voraussetzungen von einer Benachrichtigung nach Nummer 2 oder 3 abgesehen wird. (3) § 19 Abs. 2 bis 4 gilt entsprechend.
XXXV
BDSG § 20 § 20 Berichtigung, Löschung und Sperrung von Daten; Widerspruchsrecht. (1) 1Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. 2Wird festgestellt, dass personenbezogene Daten, die weder automatisiert verarbeitet noch in nicht automatisierten Dateien gespeichert sind, unrichtig sind, oder wird ihre Richtigkeit von dem Betroffenen bestritten, so ist dies in geeigneter Weise festzuhalten. (2) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind zu löschen, wenn 1. ihre Speicherung unzulässig ist oder 2. ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist. (3) An die Stelle einer Löschung tritt eine Sperrung, soweit 1. einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, 2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder 3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist. (4) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. (5) 1Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. 2Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet. (6) Personenbezogene Daten, die weder automatisiert verarbeitet noch in einer nicht automatisierten Datei gespeichert sind, sind zu sperren, wenn die Behörde im Einzelfall feststellt, dass ohne die Sperrung schutzwürdige Interessen des Betroffenen beeinträchtigt würden und die Daten für die Aufgabenerfüllung der Behörde nicht mehr erforderlich sind. (7) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn 1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist und 2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären. (8) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur XXXVI
§§ 20–22 BDSG Speicherung weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen. (9) § 2 Abs. 1 bis 6, 8 und 9 des Bundesarchivgesetzes ist anzuwenden. § 21 Anrufung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. 1Jedermann kann sich an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wenden, wenn er der Ansicht ist, bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch öffentliche Stellen des Bundes in seinen Rechten verletzt worden zu sein. 2Für die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch Gerichte des Bundes gilt dies nur, soweit diese in Verwaltungsangelegenheiten tätig werden. Dritter Unterabschnitt. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit § 22 Wahl des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. (1) 1Der Deutsche Bundestag wählt auf Vorschlag der Bundesregierung den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. 2Der Bundesbeauftragte muss bei seiner Wahl das 35. Lebensjahr vollendet haben. 3Der Gewählte ist vom Bundespräsidenten zu ernennen. (2) 1Der Bundesbeauftragte leistet vor dem Bundesminister des Innern folgenden Eid: „Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe.“ 2Der
Eid kann auch ohne religiöse Beteuerung geleistet werden.
(3) 1Die Amtszeit des Bundesbeauftragten beträgt fünf Jahre. 2Einmalige Wiederwahl ist zulässig. (4) 1Der Bundesbeauftragte steht nach Maßgabe dieses Gesetzes zum Bund in einem öffentlich-rechtlichen Amtsverhältnis. 2Er ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. 3Er untersteht der Rechtsaufsicht der Bundesregierung. (5) 1Der Bundesbeauftragte wird beim Bundesministerium des Innern eingerichtet. 2Er untersteht der Dienstaufsicht des Bundesministeriums des Innern. 3Dem Bundesbeauftragten ist die für die Erfüllung seiner Aufgaben notwendige Personal- und Sachausstattung zur Verfügung zu stellen; sie ist im Einzelplan des Bundesministeriums des Innern in einem eigenen Kapitel auszuweisen. 4Die Stellen sind im Einvernehmen mit dem Bundesbeauftragten zu besetzen. 5Die Mitarbeiter können, falls sie mit der beabsichtigten Maßnahme nicht einverstanden sind, nur im Einvernehmen mit ihm versetzt, abgeordnet oder umgesetzt werden.
XXXVII
BDSG §§ 22–23 (6) 1Ist der Bundesbeauftragte vorübergehend an der Ausübung seines Amtes verhindert, kann der Bundesminister des Innern einen Vertreter mit der Wahrnehmung der Geschäfte beauftragen. 2Der Bundesbeauftragte soll dazu gehört werden. § 23 Rechtsstellung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. (1) 1Das Amtsverhältnis des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beginnt mit der Aushändigung der Ernennungsurkunde. 2Es endet 1. mit Ablauf der Amtszeit, 2. mit der Entlassung. 3Der
Bundespräsident entlässt den Bundesbeauftragten, wenn dieser es verlangt oder auf Vorschlag der Bundesregierung, wenn Gründe vorliegen, die bei einem Richter auf Lebenszeit die Entlassung aus dem Dienst rechtfertigen. 4Im Fall der Beendigung des Amtsverhältnisses erhält der Bundesbeauftragte eine vom Bundespräsidenten vollzogene Urkunde. 5Eine Entlassung wird mit der Aushändigung der Urkunde wirksam. 6Auf Ersuchen des Bundesministers des Innern ist der Bundesbeauftragte verpflichtet, die Geschäfte bis zur Ernennung seines Nachfolgers weiterzuführen. (2) 1Der Bundesbeauftragte darf neben seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf ausüben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. 2Er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben.
(3) 1Der Bundesbeauftragte hat dem Bundesministerium des Innern Mitteilung über Geschenke zu machen, die er in Bezug auf sein Amt erhält. 2Das Bundesministerium des Innern entscheidet über die Verwendung der Geschenke. (4) 1Der Bundesbeauftragte ist berechtigt, über Personen, die ihm in seiner Eigenschaft als Bundesbeauftragter Tatsachen anvertraut haben, sowie über diese Tatsachen selbst das Zeugnis zu verweigern. 2Dies gilt auch für die Mitarbeiter des Bundesbeauftragten mit der Maßgabe, dass über die Ausübung dieses Rechts der Bundesbeauftragte entscheidet. 3Soweit das Zeugnisverweigerungsrecht des Bundesbeauftragten reicht, darf die Vorlegung oder Auslieferung von Akten oder anderen Schriftstücken von ihm nicht gefordert werden. (5) 1Der Bundesbeauftragte ist, auch nach Beendigung seines Amtsverhältnisses, verpflichtet, über die ihm amtlich bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. 2Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. 3Der Bundesbeauftragte darf, auch wenn er nicht mehr im Amt ist, über solche Angelegenheiten ohne Genehmigung des Bundesministeriums des Innern weder vor Gericht noch außergerichtlich aussagen oder Erklärungen abgeben. 4Unberührt bleibt die gesetzlich begründete Pflicht, Straftaten anzuzeigen und bei Gefährdung der freiheitlichen demokratischen Grundordnung für deren Erhaltung einzutreten. 5Für den Bundesbeauftragten und seine Mitarbeiter gelten die §§ 93, 97, 105 Abs. 1, § 111 Abs. 5 in Verbindung mit § 105
XXXVIII
§§ 23–24 BDSG Abs. 1 sowie § 116 Abs. 1 der Abgabenordnung nicht. 6Satz 5 findet keine Anwendung, soweit die Finanzbehörden die Kenntnis für die Durchführung eines Verfahrens wegen einer Steuerstraftat sowie eines damit zusammenhängenden Steuerverfahrens benötigen, an deren Verfolgung ein zwingendes öffentliches Interesse besteht, oder soweit es sich um vorsätzlich falsche Angaben des Auskunftspflichtigen oder der für ihn tätigen Personen handelt. 7Stellt der Bundesbeauftragte einen Datenschutzverstoß fest, ist er befugt, diesen anzuzeigen und den Betroffenen hierüber zu informieren. (6) 1Die Genehmigung, als Zeuge auszusagen, soll nur versagt werden, wenn die Aussage dem Wohle des Bundes oder eines deutschen Landes Nachteile bereiten oder die Erfüllung öffentlicher Aufgaben ernstlich gefährden oder erheblich erschweren würde. 2Die Genehmigung, ein Gutachten zu erstatten, kann versagt werden, wenn die Erstattung den dienstlichen Interessen Nachteile bereiten würde. 3§ 28 des Bundesverfassungsgerichtsgesetzes bleibt unberührt. (7) 1Der Bundesbeauftragte erhält vom Beginn des Kalendermonats an, in dem das Amtsverhältnis beginnt, bis zum Schluss des Kalendermonats, in dem das Amtsverhältnis endet, im Fall des Absatzes 1 Satz 6 bis zum Ende des Monats, in dem die Geschäftsführung endet, Amtsbezüge in Höhe der einem Bundesbeamten der Besoldungsgruppe B 9 zustehenden Besoldung. 2Das Bundesreisekostengesetz und das Bundesumzugskostengesetz sind entsprechend anzuwenden. 3Im Übrigen sind § 12 Abs. 6 sowie die §§ 13 bis 20 und 21a Abs. 5 des Bundesministergesetzes mit den Maßgaben anzuwenden, dass an die Stelle der vierjährigen Amtszeit in § 15 Abs. 1 des Bundesministergesetzes eine Amtszeit von fünf Jahren und an die Stelle der Besoldungsgruppe B 11 in § 21a Abs. 5 des Bundesministergesetzes die Besoldungsgruppe B 9 tritt. 4Abweichend von Satz 3 in Verbindung mit den §§ 15 bis 17 und 21a Abs. 5 des Bundesministergesetzes berechnet sich das Ruhegehalt des Bundesbeauftragten unter Hinzurechnung der Amtszeit als ruhegehaltsfähige Dienstzeit in entsprechender Anwendung des Beamtenversorgungsgesetzes, wenn dies günstiger ist und der Bundesbeauftragte sich unmittelbar vor seiner Wahl zum Bundesbeauftragten als Beamter oder Richter mindestens in dem letzten gewöhnlich vor Erreichen der Besoldungsgruppe B 9 zu durchlaufenden Amt befunden hat. (8) Absatz 5 Satz 5 bis 7 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind. § 24 Kontrolle durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. (1) Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kontrolliert bei den öffentlichen Stellen des Bundes die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz. (2) 1Die Kontrolle des Bundesbeauftragten erstreckt sich auch auf 1. von öffentlichen Stellen des Bundes erlangte personenbezogene Daten über den Inhalt und die näheren Umstände des Brief-, Post- und Fernmeldeverkehrs, und 2. personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. XXXIX
BDSG §§ 24–25 2Das
Grundrecht des Brief-, Post- und Fernmeldegeheimnisses des Artikels 10 des Grundgesetzes wird insoweit eingeschränkt. 3Personenbezogene Daten, die der Kontrolle durch die Kommission nach § 15 des Artikel 10-Gesetzes unterliegen, unterliegen nicht der Kontrolle durch den Bundesbeauftragten, es sei denn, die Kommission ersucht den Bundesbeauftragten, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten. 4Der Kontrolle durch den Bundesbeauftragten unterliegen auch nicht personenbezogene Daten in Akten über die Sicherheitsüberprüfung, wenn der Betroffene der Kontrolle der auf ihn bezogenen Daten im Einzelfall gegenüber dem Bundesbeauftragten widerspricht. (3) Die Bundesgerichte unterliegen der Kontrolle des Bundesbeauftragten nur, soweit sie in Verwaltungsangelegenheiten tätig werden. (4) 1Die öffentlichen Stellen des Bundes sind verpflichtet, den Bundesbeauftragten und seine Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. 2Ihnen ist dabei insbesondere 1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im Zusammenhang mit der Kontrolle nach Absatz 1 stehen, 2. jederzeit Zutritt in alle Diensträume zu gewähren.
3Die
in § 6 Abs. 2 und § 19 Abs. 3 genannten Behörden gewähren die Unterstützung nur dem Bundesbeauftragten selbst und den von ihm schriftlich besonders Beauftragten. 4Satz 2 gilt für diese Behörden nicht, soweit die oberste Bundesbehörde im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes gefährden würde.
(5) 1Der Bundesbeauftragte teilt das Ergebnis seiner Kontrolle der öffentlichen Stelle mit. 2Damit kann er Vorschläge zur Verbesserung des Datenschutzes, insbesondere zur Beseitigung von festgestellten Mängeln bei der Verarbeitung oder Nutzung personenbezogener Daten, verbinden. 3§ 25 bleibt unberührt. (6) Absatz 2 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind. § 25 Beanstandungen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. (1) 1Stellt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten fest, so beanstandet er dies 1. bei der Bundesverwaltung gegenüber der zuständigen obersten Bundesbehörde, 2. beim Bundeseisenbahnvermögen gegenüber dem Präsidenten, 3. bei den aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht, gegenüber deren Vorständen, 4. bei den bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie bei Vereinigungen solcher Körperschaften, Anstalten und Stiftungen gegenüber dem Vorstand oder dem sonst vertretungsberechtigten Organ
XL
§§ 25–27 BDSG und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf. 2In den Fällen von Satz 1 Nr. 4 unterrichtet der Bundesbeauftragte gleichzeitig die zuständige Aufsichtsbehörde. (2) Der Bundesbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt. (3) 1Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandung des Bundesbeauftragten getroffen worden sind. 2Die in Absatz 1 Satz 1 Nr. 4 genannten Stellen leiten der zuständigen Aufsichtsbehörde gleichzeitig eine Abschrift ihrer Stellungnahme an den Bundesbeauftragten zu. § 26 Weitere Aufgaben des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. (1) 1Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erstattet dem Deutschen Bundestag alle zwei Jahre einen Tätigkeitsbericht. 2Er unterrichtet den Deutschen Bundestag und die Öffentlichkeit über wesentliche Entwicklungen des Datenschutzes. (2) 1Auf Anforderung des Deutschen Bundestages oder der Bundesregierung hat der Bundesbeauftragte Gutachten zu erstellen und Berichte zu erstatten. 2Auf Ersuchen des Deutschen Bundestages, des Petitionsausschusses, des Innenausschusses oder der Bundesregierung geht der Bundesbeauftragte ferner Hinweisen auf Angelegenheiten und Vorgänge des Datenschutzes bei den öffentlichen Stellen des Bundes nach. 3Der Bundesbeauftragte kann sich jederzeit an den Deutschen Bundestag wenden. (3) 1Der Bundesbeauftragte kann der Bundesregierung und den in § 12 Abs. 1 genannten Stellen des Bundes Empfehlungen zur Verbesserung des Datenschutzes geben und sie in Fragen des Datenschutzes beraten. 2Die in § 25 Abs. 1 Nr. 1 bis 4 genannten Stellen sind durch den Bundesbeauftragten zu unterrichten, wenn die Empfehlung oder Beratung sie nicht unmittelbar betrifft. (4) 1Der Bundesbeauftragte wirkt auf die Zusammenarbeit mit den öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind, sowie mit den Aufsichtsbehörden nach § 38 hin. 2§ 38 Abs. 1 Satz 4 und 5 gilt entsprechend. Dritter Abschnitt. Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen Erster Unterabschnitt. Rechtsgrundlagen der Datenverarbeitung § 27 Anwendungsbereich. (1) 1Die Vorschriften dieses Abschnittes finden Anwendung, soweit personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen verarbeitet, genutzt oder dafür erhoben werden oder die Daten in oder aus nicht automatisierten Dateien verarbeitet, genutzt oder dafür erhoben werden durch 1. nicht-öffentliche Stellen, 2. a) öffentliche Stellen des Bundes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen,
XLI
BDSG §§ 27–28 b) öffentliche Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist. 2Dies
gilt nicht, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. 3In den Fällen der Nummer 2 Buchstabe a gelten anstelle des § 38 die §§ 18, 21 und 24 bis 26. (2) Die Vorschriften dieses Abschnittes gelten nicht für die Verarbeitung und Nutzung personenbezogener Daten außerhalb von nicht automatisierten Dateien, soweit es sich nicht um personenbezogene Daten handelt, die offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind. § 28 Datenerhebung und -speicherung für eigene Geschäftszwecke. (1) 1Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig, 1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist, 2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder 3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.
2Bei
der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen. (2) Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig 1. unter den Voraussetzungen des Absatzes 1 Satz 1 Nummer 2 oder Nummer 3, 2. soweit es erforderlich ist, a) zur Wahrung berechtigter Interessen eines Dritten oder b) zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat, oder 3. wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. (3) 1Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung ist zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die verantwortliche Stelle nach Absatz 3a verfährt. 2Darüber hinaus ist die Verarbeitung oder Nut-
XLII
§ 28 BDSG zung personenbezogener Daten zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung oder Nutzung erforderlich ist 1. für Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle, die diese Daten mit Ausnahme der Angaben zur Gruppenzugehörigkeit beim Betroffenen nach Absatz 1 Satz 1 Nummer 1 oder aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben hat, 2. für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift oder 3. für Zwecke der Werbung für Spenden, die nach § 10b Absatz 1 und § 34g des Einkommensteuergesetzes steuerbegünstigt sind. 3Für
Zwecke nach Satz 2 Nummer 1 darf die verantwortliche Stelle zu den dort genannten Daten weitere Daten hinzuspeichern. 4Zusammengefasste personenbezogene Daten nach Satz 2 dürfen auch dann für Zwecke der Werbung übermittelt werden, wenn die Übermittlung nach Maßgabe des § 34 Absatz 1a Satz 1 gespeichert wird; in diesem Fall muss die Stelle, die die Daten erstmalig erhoben hat, aus der Werbung eindeutig hervorgehen. 5Unabhängig vom Vorliegen der Voraussetzungen des Satzes 2 dürfen personenbezogene Daten für Zwecke der Werbung für fremde Angebote genutzt werden, wenn für den Betroffenen bei der Ansprache zum Zwecke der Werbung die für die Nutzung der Daten verantwortliche Stelle eindeutig erkennbar ist. 6Eine Verarbeitung oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig, soweit schutzwürdige Interessen des Betroffenen nicht entgegenstehen. 7Nach den Sätzen 1, 2 und 4 übermittelte Daten dürfen nur für den Zweck verarbeitet oder genutzt werden, für den sie übermittelt worden sind. (3a) 1Wird die Einwilligung nach § 4a Absatz 1 Satz 3 in anderer Form als der Schriftform erteilt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen, es sei denn, dass die Einwilligung elektronisch erklärt wird und die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. 2Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie in drucktechnisch deutlicher Gestaltung besonders hervorzuheben.
(3b) 1Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. 2Eine unter solchen Umständen erteilte Einwilligung ist unwirksam. (4) 1Widerspricht der Betroffene bei der verantwortlichen Stelle der Verarbeitung oder Nutzung seiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung, ist eine Verarbeitung oder Nutzung für diese Zwecke unzulässig. 2Der Betroffene ist bei der Ansprache zum Zweck der Werbung oder der Marktoder Meinungsforschung und in den Fällen des Absatzes 1 Satz 1 Nummer 1 auch
XLIII
BDSG § 28 bei Begründung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses über die verantwortliche Stelle sowie über das Widerspruchsrecht nach Satz 1 zu unterrichten; soweit der Ansprechende personenbezogene Daten des Betroffenen nutzt, die bei einer ihm nicht bekannten Stelle gespeichert sind, hat er auch sicherzustellen, dass der Betroffene Kenntnis über die Herkunft der Daten erhalten kann. 3Widerspricht der Betroffene bei dem Dritten, dem die Daten im Rahmen der Zwecke nach Absatz 3 übermittelt worden sind, der Verarbeitung oder Nutzung für Zwecke der Werbung oder der Markt- oder Meinungsforschung, hat dieser die Daten für diese Zwecke zu sperren. 4In den Fällen des Absatzes 1 Satz 1 Nummer 1 darf für den Widerspruch keine strengere Form verlangt werden als für die Begründung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses. (5) 1Der Dritte, dem die Daten übermittelt worden sind, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. 2Eine Verarbeitung oder Nutzung für andere Zwecke ist nicht-öffentlichen Stellen nur unter den Voraussetzungen der Absätze 2 und 3 und öffentlichen Stellen nur unter den Voraussetzungen des § 14 Abs. 2 erlaubt. 3Die übermittelnde Stelle hat ihn darauf hinzuweisen. (6) Das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) für eigene Geschäftszwecke ist zulässig, soweit nicht der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, wenn 1. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben, 2. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat, 3. dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt, oder 4. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung und Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. (7) 1Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. 2Die Verarbeitung und Nutzung von Daten zu den in Satz 1 genannten Zwecken richtet sich nach den für die in Satz 1 genannten Personen geltenden Geheimhaltungspflichten. 3Werden zu einem in Satz 1 genannten Zweck Daten über die Gesundheit von Personen durch Angehörige eines anderen als in § 203 Abs. 1 und 3 des Strafgesetzbuchs genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung von Krankheiten oder die Herstellung oder den Vertrieb von Hilfsmitteln mit sich XLIV
§§ 28–28a BDSG bringt, erhoben, verarbeitet oder genutzt, ist dies nur unter den Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre. (8) 1Für einen anderen Zweck dürfen die besonderen Arten personenbezogener Daten (§ 3 Abs. 9) nur unter den Voraussetzungen des Absatzes 6 Nr. 1 bis 4 oder des Absatzes 7 Satz 1 übermittelt oder genutzt werden. 2Eine Übermittlung oder Nutzung ist auch zulässig, wenn dies zur Abwehr von erheblichen Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist. (9) 1Organisationen, die politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtet sind und keinen Erwerbszweck verfolgen, dürfen besondere Arten personenbezogener Daten (§ 3 Abs. 9) erheben, verarbeiten oder nutzen, soweit dies für die Tätigkeit der Organisation erforderlich ist. 2Dies gilt nur für personenbezogene Daten ihrer Mitglieder oder von Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakte mit ihr unterhalten. 3Die Übermittlung dieser personenbezogenen Daten an Personen oder Stellen außerhalb der Organisation ist nur unter den Voraussetzungen des § 4a Abs. 3 zulässig. 4Absatz 2 Nummer 2 Buchstabe b gilt entsprechend. § 28a Datenübermittlung an Auskunfteien. (1) 1Die Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien ist nur zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist, die Übermittlung zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten erforderlich ist und 1. die Forderung durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden ist oder ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt, 2. die Forderung nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden ist, 3. der Betroffene die Forderung ausdrücklich anerkannt hat, 4. a) der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist, b) zwischen der ersten Mahnung und der Übermittlung mindestens vier Wochen liegen, c) die verantwortliche Stelle den Betroffenen rechtzeitig vor der Übermittlung der Angaben, jedoch frühestens bei der ersten Mahnung über die bevorstehende Übermittlung unterrichtet hat und d) der Betroffene die Forderung nicht bestritten hat oder 5. das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet hat. 2Satz
1 gilt entsprechend, wenn die verantwortliche Stelle selbst die Daten nach § 29 verwendet.
(2) 1Zur zukünftigen Übermittlung nach § 29 Abs. 2 dürfen Kreditinstitute personenbezogene Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses betreffend ein Bankgeschäft nach § 1
XLV
BDSG §§ 28a–29 Abs. 1 Satz 2 Nr. 2, 8 oder Nr. 9 des Kreditwesengesetzes an Auskunfteien übermitteln, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei an der Kenntnis der Daten offensichtlich überwiegt. 2Der Betroffene ist vor Abschluss des Vertrages hierüber zu unterrichten. 3Satz 1 gilt nicht für Giroverträge, die die Einrichtung eines Kontos ohne Überziehungsmöglichkeit zum Gegenstand haben. 4Zur zukünftigen Übermittlung nach § 29 Abs. 2 ist die Übermittlung von Daten über Verhaltensweisen des Betroffenen, die im Rahmen eines vorvertraglichen Vertrauensverhältnisses der Herstellung von Markttransparenz dienen, an Auskunfteien auch mit Einwilligung des Betroffenen unzulässig. (3) 1Nachträgliche Änderungen der einer Übermittlung nach Absatz 1 oder Absatz 2 zugrunde liegenden Tatsachen hat die verantwortliche Stelle der Auskunftei innerhalb von einem Monat nach Kenntniserlangung mitzuteilen, solange die ursprünglich übermittelten Daten bei der Auskunftei gespeichert sind. 2Die Auskunftei hat die übermittelnde Stelle über die Löschung der ursprünglich übermittelten Daten zu unterrichten. § 28b Scoring. Zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn 1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind, 2. im Fall der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen für eine Übermittlung der genutzten Daten nach § 29 und in allen anderen Fällen die Voraussetzungen einer zulässigen Nutzung der Daten nach § 28 vorliegen, 3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden, 4. im Fall der Nutzung von Anschriftendaten der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren. § 29 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung. (1) 1Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel dient, ist zulässig, wenn 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat, 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt, oder
XLVI
§§ 29–30 BDSG 3. die Voraussetzungen des § 28a Abs. 1 oder Abs. 2 erfüllt sind; Daten im Sinne von § 28a Abs. 2 Satz 4 dürfen nicht erhoben oder gespeichert werden. 2§
28 Absatz 1 Satz 2 und Absatz 3 bis 3b ist anzuwenden.
(2) 1Die Übermittlung im Rahmen der Zwecke nach Absatz 1 ist zulässig, wenn 1. der Dritte, dem die Daten übermittelt werden, ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat und 2. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. 2§
28 Absatz 3 bis 3b gilt entsprechend. 3Bei der Übermittlung nach Satz 1 Nr. 1 sind die Gründe für das Vorliegen eines berechtigten Interesses und die Art und Weise ihrer glaubhaften Darlegung von der übermittelnden Stelle aufzuzeichnen. 4Bei der Übermittlung im automatisierten Abrufverfahren obliegt die Aufzeichnungspflicht dem Dritten, dem die Daten übermittelt werden. 5Die übermittelnde Stelle hat Stichprobenverfahren nach § 10 Abs. 4 Satz 3 durchzuführen und dabei auch das Vorliegen eines berechtigten Interesses einzelfallbezogen festzustellen und zu überprüfen. (3) 1Die Aufnahme personenbezogener Daten in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse hat zu unterbleiben, wenn der entgegenstehende Wille des Betroffenen aus dem zugrunde liegenden elektronischen oder gedruckten Verzeichnis oder Register ersichtlich ist. 2Der Empfänger der Daten hat sicherzustellen, dass Kennzeichnungen aus elektronischen oder gedruckten Verzeichnissen oder Registern bei der Übernahme in Verzeichnisse oder Register übernommen werden. (4) Für die Verarbeitung oder Nutzung der übermittelten Daten gilt § 28 Abs. 4 und 5. (5) § 28 Abs. 6 bis 9 gilt entsprechend. (6) Eine Stelle, die geschäftsmäßig personenbezogene Daten, die zur Bewertung der Kreditwürdigkeit von Verbrauchern genutzt werden dürfen, zum Zweck der Übermittlung erhebt, speichert oder verändert, hat Auskunftsverlangen von Darlehensgebern aus anderen Mitgliedstaaten der Europäischen Union oder anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum genauso zu behandeln wie Auskunftsverlangen inländischer Darlehensgeber. (7) 1Wer den Abschluss eines Verbraucherdarlehensvertrags oder eines Vertrags über eine entgeltliche Finanzierungshilfe mit einem Verbraucher infolge einer Auskunft einer Stelle im Sinne des Absatzes 6 ablehnt, hat den Verbraucher unverzüglich hierüber sowie über die erhaltene Auskunft zu unterrichten. 2Die Unterrichtung unterbleibt, soweit hierdurch die öffentliche Sicherheit oder Ordnung gefährdet würde. 3§ 6a bleibt unberührt. § 30 Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung in anonymisierter Form. (1) 1Werden personenbezogene Daten geschäftsmäßig erhoben und gespeichert, um sie in anonymisierter Form zu übermitteln, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. 2Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies für die ErfülXLVII
BDSG §§ 30–30a lung des Zwecks der Speicherung oder zu wissenschaftlichen Zwecken erforderlich ist. (2) Die Veränderung personenbezogener Daten ist zulässig, wenn 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Veränderung hat, oder 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, soweit nicht das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Veränderung offensichtlich überwiegt. (3) Die personenbezogenen Daten sind zu löschen, wenn ihre Speicherung unzulässig ist. (4) § 29 gilt nicht. (5) § 28 Abs. 6 bis 9 gilt entsprechend. § 30a Geschäftsmäßige Datenerhebung und -speicherung für Zwecke der Marktoder Meinungsforschung. (1) 1Das geschäftsmäßige Erheben, Verarbeiten oder Nutzen personenbezogener Daten für Zwecke der Markt- oder Meinungsforschung ist zulässig, wenn 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung hat, oder 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte und das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung gegenüber dem Interesse der verantwortlichen Stelle nicht offensichtlich überwiegt. 2Besondere
Arten personenbezogener Daten (§ 3 Absatz 9) dürfen nur für ein bestimmtes Forschungsvorhaben erhoben, verarbeitet oder genutzt werden.
(2) 1Für Zwecke der Markt- oder Meinungsforschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für diese Zwecke verarbeitet oder genutzt werden. 2Daten, die nicht aus allgemein zugänglichen Quellen entnommen worden sind und die die verantwortliche Stelle auch nicht veröffentlichen darf, dürfen nur für das Forschungsvorhaben verarbeitet oder genutzt werden, für das sie erhoben worden sind. 3Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, wenn sie zuvor so anonymisiert werden, dass ein Personenbezug nicht mehr hergestellt werden kann. (3) 1Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Zweck des Forschungsvorhabens, für das die Daten erhoben worden sind, möglich ist. 2Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. 3Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies nach dem Zweck des Forschungsvorhabens erforderlich ist. (4) § 29 gilt nicht. (5) § 28 Absatz 4 und 6 bis 9 gilt entsprechend.
XLVIII
§§ 31–33 BDSG § 31 Besondere Zweckbindung. Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden. § 32 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses. (1) 1Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. 2Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. (2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. (3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt. Zweiter Unterabschnitt. Rechte des Betroffenen § 33 Benachrichtigung des Betroffenen. (1) 1Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der erantwortlichen Stelle zu benachrichtigen. 2Werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der erstmaligen Übermittlung und der Art der übermittelten Daten zu benachrichtigen. 3Der Betroffene ist in den Fällen der Sätze 1 und 2 auch über die Kategorien von Empfängern zu unterrichten, soweit er nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss. (2) 1Eine Pflicht zur Benachrichtigung besteht nicht, wenn 1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat, 2. die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich der Datensicherung oder der Datenschutzkontrolle dienen und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde,
XLIX
BDSG §§ 33–34 3. die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden rechtlichen Interesses eines Dritten, geheimgehalten werden müssen, 4. die Speicherung oder Übermittlung durch Gesetz ausdrücklich vorgesehen ist, 5. die Speicherung oder Übermittlung für Zwecke der wissenschaftlichen Forschung erforderlich ist und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde, 6. die zuständige öffentliche Stelle gegenüber der verantwortlichen Stelle festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde, 7. die Daten für eigene Zwecke gespeichert sind und a) aus allgemein zugänglichen Quellen entnommen sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist, oder b) die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es sei denn, dass das Interesse an der Benachrichtigung die Gefährdung überwiegt, 8. die Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert sind und a) aus allgemein zugänglichen Quellen entnommen sind, soweit sie sich auf diejenigen Personen beziehen, die diese Daten veröffentlicht haben, oder b) es sich um listenmäßig oder sonst zusammengefasste Daten handelt (§ 29 Absatz 2 Satz 2) und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist, 9. aus allgemein zugänglichen Quellen entnommene Daten geschäftsmäßig für Zwecke der Markt- oder Meinungsforschung gespeichert sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist. 2Die
verantwortliche Stelle legt schriftlich fest, unter welchen Voraussetzungen von einer Benachrichtigung nach Satz 1 Nr. 2 bis 7 abgesehen wird. § 34 Auskunft an den Betroffenen. (1) 1Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und 3. den Zweck der Speicherung.
2Der
Betroffene soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen. 3Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, ist Auskunft über die Herkunft und die Empfänger auch dann zu erteilen, wenn diese Angaben nicht gespeichert sind. 4Die Auskunft über die Herkunft und die Empfänger kann ver-
L
§ 34 BDSG weigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. (1a) 1Im Fall des § 28 Absatz 3 Satz 4 hat die übermittelnde Stelle die Herkunft der Daten und den Empfänger für die Dauer von zwei Jahren nach der Übermittlung zu speichern und dem Betroffenen auf Verlangen Auskunft über die Herkunft der Daten und den Empfänger zu erteilen. 2Satz 1 gilt entsprechend für den Empfänger. (2) 1Im Fall des § 28b hat die für die Entscheidung verantwortliche Stelle dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die innerhalb der letzten sechs Monate vor dem Zugang des Auskunftsverlangens erhobenen oder erstmalig gespeicherten Wahrscheinlichkeitswerte, 2. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten und 3. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form. 2Satz
1 gilt entsprechend, wenn die für die Entscheidung verantwortliche Stelle 1. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten ohne Personenbezug speichert, den Personenbezug aber bei der Berechnung herstellt oder 2. bei einer anderen Stelle gespeicherte Daten nutzt.
3Hat
eine andere als die für die Entscheidung verantwortliche Stelle 1. den Wahrscheinlichkeitswert oder 2. einen Bestandteil des Wahrscheinlichkeitswerts
berechnet, hat sie die insoweit zur Erfüllung der Auskunftsansprüche nach den Sätzen 1 und 2 erforderlichen Angaben auf Verlangen der für die Entscheidung verantwortlichen Stelle an diese zu übermitteln. 4Im Fall des Satzes 3 Nr. 1 hat die für die Entscheidung verantwortliche Stelle den Betroffenen zur Geltendmachung seiner Auskunftsansprüche unter Angabe des Namens und der Anschrift der anderen Stelle sowie der zur Bezeichnung des Einzelfalls notwendigen Angaben unverzüglich an diese zu verweisen, soweit sie die Auskunft nicht selbst erteilt. 5In diesem Fall hat die andere Stelle, die den Wahrscheinlichkeitswert berechnet hat, die Auskunftsansprüche nach den Sätzen 1 und 2 gegenüber dem Betroffenen unentgeltlich zu erfüllen. 6Die Pflicht der für die Berechnung des Wahrscheinlichkeitswerts verantwortlichen Stelle nach Satz 3 entfällt, soweit die für die Entscheidung verantwortliche Stelle von ihrem Recht nach Satz 4 Gebrauch macht. (3) 1Eine Stelle, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung speichert, hat dem Betroffenen auf Verlangen Auskunft über die zu seiner Person gespeicherten Daten zu erteilen, auch wenn sie weder automatisiert verarbeitet werden noch in einer nicht automatisierten Datei gespeichert sind. 2Dem Betroffenen ist auch Auskunft zu erteilen über Daten, die 1. gegenwärtig noch keinen Personenbezug aufweisen, bei denen ein solcher aber im Zusammenhang mit der Auskunftserteilung von der verantwortlichen Stelle hergestellt werden soll, 2. die verantwortliche Stelle nicht speichert, aber zum Zweck der Auskunftserteilung nutzt. LI
BDSG § 34 3Die
Auskunft über die Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. (4) 1Eine Stelle, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung erhebt, speichert oder verändert, hat dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die innerhalb der letzten zwölf Monate vor dem Zugang des Auskunftsverlangens übermittelten Wahrscheinlichkeitswerte für ein bestimmtes zukünftiges Verhalten des Betroffenen sowie die Namen und letztbekannten Anschriften der Dritten, an die die Werte übermittelt worden sind, 2. die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunftsverlangens nach den von der Stelle zur Berechnung angewandten Verfahren ergeben, 3. die zur Berechnung der Wahrscheinlichkeitswerte nach den Nummern 1 und 2 genutzten Datenarten sowie 4. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form.
2Satz
1 gilt entsprechend, wenn die verantwortliche Stelle 1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten ohne Personenbezug speichert, den Personenbezug aber bei der Berechnung herstellt oder 2. bei einer anderen Stelle gespeicherte Daten nutzt. (5) Die nach den Absätzen 1a bis 4 zum Zweck der Auskunftserteilung an den Betroffenen gespeicherten Daten dürfen nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verwendet werden; für andere Zwecke sind sie zu sperren. (6) Die Auskunft ist auf Verlangen in Textform zu erteilen, soweit nicht wegen der besonderen Umstände eine andere Form der Auskunftserteilung angemessen ist. (7) Eine Pflicht zur Auskunftserteilung besteht nicht, wenn der Betroffene nach § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7 nicht zu benachrichtigen ist. (8) 1Die Auskunft ist unentgeltlich. 2Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, kann der Betroffene einmal je Kalenderjahr eine unentgeltliche Auskunft in Textform verlangen. 3Für jede weitere Auskunft kann ein Entgelt verlangt werden, wenn der Betroffene die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken nutzen kann. 4Das Entgelt darf über die durch die Auskunftserteilung entstandenen unmittelbar zurechenbaren Kosten nicht hinausgehen. 5Ein Entgelt kann nicht verlangt werden, wenn 1. besondere Umstände die Annahme rechtfertigen, dass Daten unrichtig oder unzulässig gespeichert werden, oder 2. die Auskunft ergibt, dass die Daten nach § 35 Abs. 1 zu berichtigen oder nach § 35 Abs. 2 Satz 2 Nr. 1 zu löschen sind.
(9) 1Ist die Auskunftserteilung nicht unentgeltlich, ist dem Betroffenen die Möglichkeit zu geben, sich im Rahmen seines Auskunftsanspruchs persönlich Kenntnis über die ihn betreffenden Daten zu verschaffen. 2Er ist hierauf hinzuweisen.
LII
§ 35 BDSG § 35 Berichtigung, Löschung und Sperrung von Daten. (1) 1Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. 2Geschätzte Daten sind als solche deutlich zu kennzeichnen. (2) 1Personenbezogene Daten können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden. 2Personenbezogene Daten sind zu löschen, wenn 1. ihre Speicherung unzulässig ist, 2. es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann, 3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder 4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist. 3Personenbezogene
Daten, die auf der Grundlage von § 28a Abs. 2 Satz 1 oder § 29 Abs. 1 Satz 1 Nr. 3 gespeichert werden, sind nach Beendigung des Vertrages auch zu löschen, wenn der Betroffene dies verlangt. (3) An die Stelle einer Löschung tritt eine Sperrung, soweit 1. im Fall des Absatzes 2 Satz 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, 2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder 3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist. (4) Personenbezogene Daten sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. (4a) Die Tatsache der Sperrung darf nicht übermittelt werden. (5) 1Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. 2Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet.
(6) 1Personenbezogene Daten, die unrichtig sind oder deren Richtigkeit bestritten wird, müssen bei der geschäftsmäßigen Datenspeicherung zum Zweck der Übermittlung außer in den Fällen des Absatzes 2 Nr. 2 nicht berichtigt, gesperrt oder gelöscht werden, wenn sie aus allgemein zugänglichen Quellen entnommen und LIII
BDSG §§ 35–38 zu Dokumentationszwecken gespeichert sind. 2Auf Verlangen des Betroffenen ist diesen Daten für die Dauer der Speicherung seine Gegendarstellung beizufügen. 3Die Daten dürfen nicht ohne diese Gegendarstellung übermittelt werden. (7) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen. (8) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn 1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist und 2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären. Dritter Unterabschnitt. Aufsichtsbehörde §§ 36 und 37 (weggefallen) § 38 Aufsichtsbehörde. (1) 1Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln einschließlich des Rechts der Mitgliedstaaten in den Fällen des § 1 Abs. 5. 2Sie berät und unterstützt die Beauftragten für den Datenschutz und die verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse. 3Die Aufsichtsbehörde darf die von ihr gespeicherten Daten nur für Zwecke der Aufsicht verarbeiten und nutzen; § 14 Abs. 2 Nr. 1 bis 3, 6 und 7 gilt entsprechend. 4Insbesondere darf die Aufsichtsbehörde zum Zweck der Aufsicht Daten an andere Aufsichtsbehörden übermitteln. 5Sie leistet den Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen Union auf Ersuchen ergänzende Hilfe (Amtshilfe). 6Stellt die Aufsichtsbehörde einen Verstoß gegen dieses Gesetz oder andere Vorschriften über den Datenschutz fest, so ist sie befugt, die Betroffenen hierüber zu unterrichten, den Verstoß bei den für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten. 7Sie veröffentlicht regelmäßig, spätestens alle zwei Jahre, einen Tätigkeitsbericht. 8§ 21 Satz 1 und § 23 Abs. 5 Satz 4 bis 7 gelten entsprechend. (2) 1Die Aufsichtsbehörde führt ein Register der nach § 4d meldepflichtigen automatisierten Verarbeitungen mit den Angaben nach § 4e Satz 1. 2Das Register kann von jedem eingesehen werden. 3Das Einsichtsrecht erstreckt sich nicht auf die Angaben nach § 4e Satz 1 Nr. 9 sowie auf die Angabe der zugriffsberechtigten Personen. (3) 1Die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben der Aufsichtsbehörde auf Verlangen die für die Erfüllung
LIV
§§ 38–39 BDSG ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. 2Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. 3Der Auskunftspflichtige ist darauf hinzuweisen. (4) 1Die von der Aufsichtsbehörde mit der Kontrolle beauftragten Personen sind befugt, soweit es zur Erfüllung der der Aufsichtsbehörde übertragenen Aufgaben erforderlich ist, während der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume der Stelle zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. 2Sie können geschäftliche Unterlagen, insbesondere die Übersicht nach § 4g Abs. 2 Satz 1 sowie die gespeicherten personenbezogenen Daten und die Datenverarbeitungsprogramme, einsehen. 3§ 24 Abs. 6 gilt entsprechend. 4Der Auskunftspflichtige hat diese Maßnahmen zu dulden. (5) 1Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. 2Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. 3Sie kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt. (6) Die Landesregierungen oder die von ihnen ermächtigten Stellen bestimmen die für die Kontrolle der Durchführung des Datenschutzes im Anwendungsbereich dieses Abschnittes zuständigen Aufsichtsbehörden. (7) Die Anwendung der Gewerbeordnung auf die den Vorschriften dieses Abschnittes unterliegenden Gewerbebetriebe bleibt unberührt. § 38a Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen. (1) Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, können Entwürfe für Verhaltensregeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der zuständigen Aufsichtsbehörde unterbreiten. (2) Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden Datenschutzrecht. Vierter Abschnitt. Sondervorschriften § 39 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen. (1) 1Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur
LV
BDSG §§ 39–41 Verfügung gestellt worden sind, dürfen von der verantwortlichen Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat. 2In die Übermittlung an eine nicht-öffentliche Stelle muss die zur Verschwiegenheit verpflichtete Stelle einwilligen. (2) Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung des Zwecks durch besonderes Gesetz zugelassen ist. § 40 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen. (1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden. (2) 1Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. 2Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. 3Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert. (3) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn 1. der Betroffene eingewilligt hat oder 2. dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist. § 41 Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien. (1) Die Länder haben in ihrer Gesetzgebung vorzusehen, dass für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Unternehmen und Hilfsunternehmen der Presse ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken den Vorschriften der §§ 5, 9 und 38a entsprechende Regelungen einschließlich einer hierauf bezogenen Haftungsregelung entsprechend § 7 zur Anwendung kommen. (2) Führt die journalistisch-redaktionelle Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch die Deutsche Welle zur Veröffentlichung von Gegendarstellungen des Betroffenen, so sind diese Gegendarstellungen zu den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten selbst. (3) 1Wird jemand durch eine Berichterstattung der Deutschen Welle in seinem Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft über die der Berichterstattung zugrunde liegenden, zu seiner Person gespeicherten Daten verlangen. 2Die Auskunft kann nach Abwägung der schutzwürdigen Interessen der Beteiligten verweigert werden, soweit 1. aus den Daten auf Personen, die bei der Vorbereitung, Herstellung oder Verbreitung von Rundfunksendungen berufsmäßig journalistisch mitwirken oder mitgewirkt haben, geschlossen werden kann, 2. aus den Daten auf die Person des Einsenders oder des Gewährsträgers von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil geschlossen werden kann, LVI
§§ 41–42a BDSG 3. durch die Mitteilung der recherchierten oder sonst erlangten Daten die journalistische Aufgabe der Deutschen Welle durch Ausforschung des Informationsbestandes beeinträchtigt würde. 3Der
Betroffene kann die Berichtigung unrichtiger Daten verlangen.
(4) 1Im Übrigen gelten für die Deutsche Welle von den Vorschriften dieses Gesetzes die §§ 5, 7, 9 und 38a. 2Anstelle der §§ 24 bis 26 gilt § 42, auch soweit es sich um Verwaltungsangelegenheiten handelt. § 42 Datenschutzbeauftragter der Deutschen Welle. (1) 1Die Deutsche Welle bestellt einen Beauftragten für den Datenschutz, der an die Stelle des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit tritt. 2Die Bestellung erfolgt auf Vorschlag des Intendanten durch den Verwaltungsrat für die Dauer von vier Jahren, wobei Wiederbestellungen zulässig sind. 3Das Amt eines Beauftragten für den Datenschutz kann neben anderen Aufgaben innerhalb der Rundfunkanstalt wahrgenommen werden. (2) 1Der Beauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz. 2Er ist in Ausübung dieses Amtes unabhängig und nur dem Gesetz unterworfen. 3Im Übrigen untersteht er der Dienst- und Rechtsaufsicht des Verwaltungsrates. (3) Jedermann kann sich entsprechend § 21 Satz 1 an den Beauftragten für den Datenschutz wenden. (4) 1Der Beauftragte für den Datenschutz erstattet den Organen der Deutschen Welle alle zwei Jahre, erstmals zum 1. Januar 1994 einen Tätigkeitsbericht. 2Er erstattet darüber hinaus besondere Berichte auf Beschluss eines Organes der Deutschen Welle. 3Die Tätigkeitsberichte übermittelt der Beauftragte auch an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. (5) 1Weitere Regelungen entsprechend den §§ 23 bis 26 trifft die Deutsche Welle für ihren Bereich. 2Die §§ 4f und 4g bleiben unberührt. § 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten. eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte 1. besondere Arten personenbezogener Daten (§ 3 Absatz 9), 2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen, 3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten
1Stellt
unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. 2Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet LVII
BDSG §§ 42a–43 wird. 3Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. 4Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. 5Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. 6Eine Benachrichtigung, die der Benachrichtigungspflichtige erteilt hat, darf in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen ihn oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des Benachrichtigungspflichtigen nur mit Zustimmung des Benachrichtigungspflichtigen verwendet werden. Fünfter Abschnitt. Schlussvorschriften § 43 Bußgeldvorschriften. (1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 1. entgegen § 4d Abs. 1, auch in Verbindung mit § 4e Satz 2, eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, 2. entgegen § 4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6, einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, 2a. entgegen § 10 Absatz 4 Satz 3 nicht gewährleistet, dass die Datenübermittlung festgestellt und überprüft werden kann, 2b. entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt, 3. entgegen § 28 Abs. 4 Satz 2 den Betroffenen nicht, nicht richtig oder nicht rechtzeitig unterrichtet oder nicht sicherstellt, dass der Betroffene Kenntnis erhalten kann, 3a. entgegen § 28 Absatz 4 Satz 4 eine strengere Form verlangt, 4. entgegen § 28 Abs. 5 Satz 2 personenbezogene Daten übermittelt oder nutzt, 4a. entgegen § 28a Abs. 3 Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, 5. entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise ihrer glaubhaften Darlegung nicht aufzeichnet, 6. entgegen § 29 Abs. 3 Satz 1 personenbezogene Daten in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse aufnimmt,
LVIII
§ 43 BDSG 7. entgegen § 29 Abs. 3 Satz 2 die Übernahme von Kennzeichnungen nicht sicherstellt, 7a. entgegen § 29 Abs. 6 ein Auskunftsverlangen nicht richtig behandelt, 7b. entgegen § 29 Abs. 7 Satz 1 einen Verbraucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, 8. entgegen § 33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt, 8a. entgegen § 34 Absatz 1 Satz 1, auch in Verbindung mit Satz 3, entgegen § 34 Absatz 1a, entgegen § 34 Absatz 2 Satz 1, auch in Verbindung mit Satz 2, oder entgegen § 34 Absatz 2 Satz 5, Absatz 3 Satz 1 oder Satz 2 oder Absatz 4 Satz 1, auch in Verbindung mit Satz 2, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder entgegen § 34 Absatz 1a Daten nicht speichert, 8b. entgegen § 34 Abs. 2 Satz 3 Angaben nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt, 8c. entgegen § 34 Abs. 2 Satz 4 den Betroffenen nicht oder nicht rechtzeitig an die andere Stelle verweist, 9. entgegen § 35 Abs. 6 Satz 3 Daten ohne Gegendarstellung übermittelt, 10. entgegen § 38 Abs. 3 Satz 1 oder Abs. 4 Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder eine Maßnahme nicht duldet oder 11. einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 zuwiderhandelt. (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet, 2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält, 3. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft, 4. die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht, 5. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1, die übermittelten Daten für andere Zwecke nutzt, 5a. entgegen § 28 Absatz 3b den Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig macht, 5b. entgegen § 28 Absatz 4 Satz 1 Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung verarbeitet oder nutzt, 6. entgegen § 30 Absatz 1 Satz 2, § 30a Absatz 3 Satz 3 oder § 40 Absatz 2 Satz 3 ein dort genanntes Merkmal mit einer Einzelangabe zusammenführt oder 7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.
LIX
BDSG §§ 43–46 (3) 1Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden. 2Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. 3Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden. § 44 Strafvorschriften. (1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) 1Die Tat wird nur auf Antrag verfolgt. 2Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Aufsichtsbehörde. Sechster Abschnitt. Übergangsvorschriften § 45 Laufende Verwendungen. 1Erhebungen, Verarbeitungen oder Nutzungen personenbezogener Daten, die am 23. Mai 2001 bereits begonnen haben, sind binnen drei Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen. 2Soweit Vorschriften dieses Gesetzes in Rechtsvorschriften außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr zur Anwendung gelangen, sind Erhebungen, Verarbeitungen oder Nutzungen personenbezogener Daten, die am 23. Mai 2001 bereits begonnen haben, binnen fünf Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen. § 46 Weitergeltung von Begriffsbestimmungen. (1) 1Wird in besonderen Rechtsvorschriften des Bundes der Begriff Datei verwendet, ist Datei 1. eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten Merkmalen ausgewertet werden kann (automatisierte Datei), oder 2. jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht automatisierte Datei). 2Nicht
hierzu gehören Akten und Aktensammlungen, es sei denn, dass sie durch automatisierte Verfahren umgeordnet und ausgewertet werden können.
(2) 1Wird in besonderen Rechtsvorschriften des Bundes der Begriff Akte verwendet, ist Akte jede amtlichen oder dienstlichen Zwecken dienende Unterlage, die nicht dem Dateibegriff des Absatzes 1 unterfällt; dazu zählen auch Bild- und Tonträger. 2Nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen. (3) 1Wird in besonderen Rechtsvorschriften des Bundes der Begriff Empfänger verwendet, ist Empfänger jede Person oder Stelle außerhalb der verantwortlichen LX
§§ 46–48 BDSG Stelle. 2Empfänger sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. § 47 Übergangsregelung. Für die Verarbeitung und Nutzung vor dem 1. September 2009 erhobener oder gespeicherter Daten ist § 28 in der bis dahin geltenden Fassung weiter anzuwenden 1. für Zwecke der Markt- oder Meinungsforschung bis zum 31. August 2010, 2. für Zwecke der Werbung bis zum 31. August 2012. § 48 Bericht der Bundesregierung. 1Die Bundesregierung berichtet dem Bundestag 1. bis zum 31. Dezember 2012 über die Auswirkungen der §§ 30a und 42a, 2. bis zum 31. Dezember 2014 über die Auswirkungen der Änderungen der §§ 28 und 29. 2Sofern
sich aus Sicht der Bundesregierung gesetzgeberische Maßnahmen empfehlen, soll der Bericht einen Vorschlag enthalten.
LXI
Telemediengesetz (TMG) vom 26. Februar 2007 (BGBl. I S. 179), zuletzt geändert durch Gesetz vom 31. Mai 2010 (BGBl. I S. 692) (Auszug) Abschnitt 4. Datenschutz § 11 Anbieter-Nutzer-Verhältnis. (1) Die Vorschriften dieses Abschnitts gelten nicht für die Erhebung und Verwendung personenbezogener Daten der Nutzer von Telemedien, soweit die Bereitstellung solcher Dienste 1. im Dienst- und Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken oder 2. innerhalb von oder zwischen nicht öffentlichen Stellen oder öffentlichen Stellen ausschließlich zur Steuerung von Arbeits- oder Geschäftsprozessen erfolgt. (2) Nutzer im Sinne dieses Abschnitts ist jede natürliche Person, die Telemedien nutzt, insbesondere um Informationen zu erlangen oder zugänglich zu machen. (3) Bei Telemedien, die überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, gelten für die Erhebung und Verwendung personenbezogener Daten der Nutzer nur § 15 Absatz 8 und § 16 Absatz 2 Nummer 4. § 12 Grundsätze. (1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. (2) Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. (3) Soweit nichts anderes bestimmt ist, sind die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anzuwenden, auch wenn die Daten nicht automatisiert verarbeitet werden. § 13 Pflichten des Diensteanbieters. (1) 1Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. 2Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. 3Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.
LXII
§§ 13–14 TMG (2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass 1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, 2. die Einwilligung protokolliert wird, 3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und 4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. (3) 1Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 2 Nr. 4 hinzuweisen. 2Absatz 1 Satz 3 gilt entsprechend. (4) 1Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. der Nutzer die Nutzung des Dienstes jederzeit beenden kann, 2. die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des Satzes 2 gesperrt werden, 3. der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann, 4. die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können, 5. Daten nach § 15 Abs. 2 nur für Abrechnungszwecke zusammengeführt werden können und 6. Nutzungsprofile nach § 15 Abs. 3 nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können. 2An
die Stelle der Löschung nach Satz 1 Nr. 2 tritt eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen. (5) Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen.
(6) 1Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. 2Der Nutzer ist über diese Möglichkeit zu informieren. (7) 1Der Diensteanbieter hat dem Nutzer nach Maßgabe von § 34 des Bundesdatenschutzgesetzes auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen. 2Die Auskunft kann auf Verlangen des Nutzers auch elektronisch erteilt werden. § 14 Bestandsdaten. (1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind (Bestandsdaten). (2) Auf Anordnung der zuständigen Stellen darf der Diensteanbieter im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung LXIII
TMG §§ 14–15 der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes oder des Bundeskriminalamtes im Rahmen seiner Aufgabe zur Abwehr von Gefahren des internationalen Terrorismus oder zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist. § 15 Nutzungsdaten. (1) 1Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). 2Nutzungsdaten sind insbesondere 1. Merkmale zur Identifikation des Nutzers, 2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und 3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien. (2) Der Diensteanbieter darf Nutzungsdaten eines Nutzers über die Inanspruchnahme verschiedener Telemedien zusammenführen, soweit dies für Abrechnungszwecke mit dem Nutzer erforderlich ist. (3) 1Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. 2Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. 3Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. (4) 1Der Diensteanbieter darf Nutzungsdaten über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind (Abrechnungsdaten). 2Zur Erfüllung bestehender gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsfristen darf der Diensteanbieter die Daten sperren. (5) 1Der Diensteanbieter darf an andere Diensteanbieter oder Dritte Abrechnungsdaten übermitteln, soweit dies zur Ermittlung des Entgelts und zur Abrechnung mit dem Nutzer erforderlich ist. 2Hat der Diensteanbieter mit einem Dritten einen Vertrag über den Einzug des Entgelts geschlossen, so darf er diesem Dritten Abrechnungsdaten übermitteln, soweit es für diesen Zweck erforderlich ist. 3Zum Zwecke der Marktforschung anderer Diensteanbieter dürfen anonymisierte Nutzungsdaten übermittelt werden. 4§ 14 Abs. 2 findet entsprechende Anwendung. (6) Die Abrechnung über die Inanspruchnahme von Telemedien darf Anbieter, Zeitpunkt, Dauer, Art, Inhalt und Häufigkeit bestimmter von einem Nutzer in Anspruch genommener Telemedien nicht erkennen lassen, es sei denn, der Nutzer verlangt einen Einzelnachweis. (7) 1Der Diensteanbieter darf Abrechnungsdaten, die für die Erstellung von Einzelnachweisen über die Inanspruchnahme bestimmter Angebote auf Verlangen des Nutzers verarbeitet werden, höchstens bis zum Ablauf des sechsten Monats nach Versendung der Rechnung speichern. 2Werden gegen die Entgeltforderung innerhalb dieser Frist Einwendungen erhoben oder diese trotz Zahlungsaufforderung nicht beglichen, dürfen die Abrechnungsdaten weiter gespeichert werden, LXIV
§§ 15–15a TMG bis die Einwendungen abschließend geklärt sind oder die Entgeltforderung beglichen ist. (8) 1Liegen dem Diensteanbieter zu dokumentierende tatsächliche Anhaltspunkte vor, dass seine Dienste von bestimmten Nutzern in der Absicht in Anspruch genommen werden, das Entgelt nicht oder nicht vollständig zu entrichten, darf er die personenbezogenen Daten dieser Nutzer über das Ende des Nutzungsvorgangs sowie die in Absatz 7 genannte Speicherfrist hinaus nur verwenden, soweit dies für Zwecke der Rechtsverfolgung erforderlich ist. 2Der Diensteanbieter hat die Daten unverzüglich zu löschen, wenn die Voraussetzungen nach Satz 1 nicht mehr vorliegen oder die Daten für die Rechtsverfolgung nicht mehr benötigt werden. 3Der betroffene Nutzer ist zu unterrichten, sobald dies ohne Gefährdung des mit der Maßnahme verfolgten Zweckes möglich ist. § 15a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten. Stellt der Diensteanbieter fest, dass bei ihm gespeicherte Bestands- oder Nutzungsdaten unrechtmäßig übermittelt worden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Nutzers, gilt § 42a des Bundesdatenschutzgesetzes entsprechend.
LXV
Telekommunikationsgesetz (TKG) vom 22. Juni 2004 (BGBl. I S. 1190), zuletzt geändert durch Gesetz vom 3. Mai 2012 (BGBl. I S. 958) (Auszug) Teil 7 Fernmeldegeheimnis, Datenschutz, Öffentliche Sicherheit Abschnitt 1. Fernmeldegeheimnis § 88 Fernmeldegeheimnis. (1) 1Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. 2Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche. (2) 1Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. 2Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist. (3) 1Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. 2Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. 3Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht. 4Die Anzeigepflicht nach § 138 des Strafgesetzbuches hat Vorrang. (4) Befindet sich die Telekommunikationsanlage an Bord eines Wasser- oder Luftfahrzeugs, so besteht die Pflicht zur Wahrung des Geheimnisses nicht gegenüber der Person, die das Fahrzeug führt, oder gegenüber ihrer Stellvertretung. § 89 Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsanlagen. [Nicht kommentiert] § 90 Missbrauch von Sende- oder sonstigen Telekommunikationsanlagen. [Nicht kommentiert] Abschnitt 2. Datenschutz § 91 Anwendungsbereich. (1) 1Dieser Abschnitt regelt den Schutz personenbezogener Daten der Teilnehmer und Nutzer von Telekommunikation bei der Erhebung und Verwendung dieser Daten durch Unternehmen und Personen, die geschäftsmäßig Telekommunikationsdienste in Telekommunikationsnetzen, einschließlich Telekommunikationsnetzen, die Datenerfassungs- und Identifizie-
LXVI
§§ 91–95 TKG rungsgeräte unterstützen, erbringen oder an deren Erbringung mitwirken. 2Dem Fernmeldegeheimnis unterliegende Einzelangaben über Verhältnisse einer bestimmten oder bestimmbaren juristischen Person oder Personengesellschaft, sofern sie mit der Fähigkeit ausgestattet ist, Rechte zu erwerben oder Verbindlichkeiten einzugehen, stehen den personenbezogenen Daten gleich. (2) Für geschlossene Benutzergruppen öffentlicher Stellen der Länder gilt dieser Abschnitt mit der Maßgabe, dass an die Stelle des Bundesdatenschutzgesetzes die jeweiligen Landesdatenschutzgesetze treten. § 92 (weggefallen) § 93 Informationspflichten. (1) Diensteanbieter haben ihre Teilnehmer bei Vertragsabschluss über Art, Umfang, Ort und Zweck der Erhebung und Verwendung personenbezogener Daten so zu unterrichten, dass die Teilnehmer in allgemein verständlicher Form Kenntnis von den grundlegenden Verarbeitungstatbeständen der Daten erhalten. Dabei sind die Teilnehmer auch auf die zulässigen Wahl- und Gestaltungsmöglichkeiten hinzuweisen. Die Nutzer sind vom Diensteanbieter durch allgemein zugängliche Informationen über die Erhebung und Verwendung personenbezogener Daten zu unterrichten. Das Auskunftsrecht nach dem Bundesdatenschutzgesetz bleibt davon unberührt. (2) Unbeschadet des Absatzes 1 hat der Diensteanbieter in den Fällen, in denen ein besonderes Risiko der Verletzung der Netzsicherheit besteht, die Teilnehmer über dieses Risiko und, wenn das Risiko außerhalb des Anwendungsbereichs der vom Diensteanbieter zu treffenden Maßnahme liegt, über mögliche Abhilfen, einschließlich der für sie voraussichtlich entstehenden Kosten, zu unterrichten. (3) Im Fall einer Verletzung des Schutzes personenbezogener Daten haben die betroffenen Teilnehmer oder Personen die Rechte aus § 109a Absatz 1 Satz 2 in Verbindung mit Absatz 2. § 94 Einwilligung im elektronischen Verfahren. Die Einwilligung kann auch elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass 1. der Teilnehmer oder Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, 2. die Einwilligung protokolliert wird, 3. der Teilnehmer oder Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und 4. der Teilnehmer oder Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. § 95 Vertragsverhältnisse. (1) Der Diensteanbieter darf Bestandsdaten erheben und verwenden, soweit dieses zur Erreichung des in § 3 Nr. 3 genannten Zweckes erforderlich ist. Im Rahmen eines Vertragsverhältnisses mit einem anderen Diensteanbieter darf der Diensteanbieter Bestandsdaten seiner Teilnehmer und der Teilnehmer des anderen Diensteanbieters erheben und verwenden, soweit dies zur Erfüllung des Vertrages zwischen den Diensteanbietern erforderlich ist. Eine Über-
LXVII
TKG §§ 95–96 mittlung der Bestandsdaten an Dritte erfolgt, soweit nicht dieser Teil oder ein anderes Gesetz sie zulässt, nur mit Einwilligung des Teilnehmers. (2) Der Diensteanbieter darf die Bestandsdaten der in Absatz 1 Satz 2 genannten Teilnehmer zur Beratung der Teilnehmer, zur Werbung für eigene Angebote, zur Marktforschung und zur Unterrichtung über einen individuellen Gesprächswunsch eines anderen Nutzers nur verwenden, soweit dies für diese Zwecke erforderlich ist und der Teilnehmer eingewilligt hat. Ein Diensteanbieter, der im Rahmen einer bestehenden Kundenbeziehung rechtmäßig Kenntnis von der Rufnummer oder der Postadresse, auch der elektronischen, eines Teilnehmers erhalten hat, darf diese für die Versendung von Text- oder Bildmitteilungen an ein Telefon oder an eine Postadresse zu den in Satz 1 genannten Zwecken verwenden, es sei denn, dass der Teilnehmer einer solchen Verwendung widersprochen hat. Die Verwendung der Rufnummer oder Adresse nach Satz 2 ist nur zulässig, wenn der Teilnehmer bei der Erhebung oder der erstmaligen Speicherung der Rufnummer oder Adresse und bei jeder Versendung einer Nachricht an diese Rufnummer oder Adresse zu einem der in Satz 1 genannten Zwecke deutlich sichtbar und gut lesbar darauf hingewiesen wird, dass er der Versendung weiterer Nachrichten jederzeit schriftlich oder elektronisch widersprechen kann. (3) Endet das Vertragsverhältnis, sind die Bestandsdaten vom Diensteanbieter mit Ablauf des auf die Beendigung folgenden Kalenderjahres zu löschen. § 35 Abs. 3 des Bundesdatenschutzgesetzes gilt entsprechend. (4) Der Diensteanbieter kann im Zusammenhang mit dem Begründen und dem Ändern des Vertragsverhältnisses sowie dem Erbringen von Telekommunikationsdiensten die Vorlage eines amtlichen Ausweises verlangen, wenn dies zur Überprüfung der Angaben des Teilnehmers erforderlich ist. Er kann von dem Ausweis eine Kopie erstellen. Die Kopie ist vom Diensteanbieter unverzüglich nach Feststellung der für den Vertragsabschluss erforderlichen Angaben des Teilnehmers zu vernichten. Andere als die nach Absatz 1 zulässigen Daten darf der Diensteanbieter dabei nicht verwenden. (5) Die Erbringung von Telekommunikationsdiensten darf nicht von einer Einwilligung des Teilnehmers in eine Verwendung seiner Daten für andere Zwecke abhängig gemacht werden, wenn dem Teilnehmer ein anderer Zugang zu diesen Telekommunikationsdiensten ohne die Einwilligung nicht oder in nicht zumutbarer Weise möglich ist. Eine unter solchen Umständen erteilte Einwilligung ist unwirksam. § 96 Verkehrsdaten. (1) Der Diensteanbieter darf folgende Verkehrsdaten erheben, soweit dies für die in diesem Abschnitt genannten Zwecke erforderlich ist: 1. die Nummer oder Kennung der beteiligten Anschlüsse oder der Endeinrichtung, personenbezogene Berechtigungskennungen, bei Verwendung von Kundenkarten auch die Kartennummer, bei mobilen Anschlüssen auch die Standortdaten, 2. den Beginn und das Ende der jeweiligen Verbindung nach Datum und Uhrzeit und, soweit die Entgelte davon abhängen, die übermittelten Datenmengen, 3. den vom Nutzer in Anspruch genommenen Telekommunikationsdienst,
LXVIII
§§ 96–97 TKG 4. die Endpunkte von festgeschalteten Verbindungen, ihren Beginn und ihr Ende nach Datum und Uhrzeit und, soweit die Entgelte davon abhängen, die übermittelten Datenmengen, 5. sonstige zum Aufbau und zur Aufrechterhaltung der Telekommunikation sowie zur Entgeltabrechnung notwendige Verkehrsdaten. Diese Verkehrsdaten dürfen nur verwendet werden, soweit dies für die in Satz 1 genannten oder durch andere gesetzliche Vorschriften begründeten Zwecke oder zum Aufbau weiterer Verbindungen erforderlich ist. Im Übrigen sind Verkehrsdaten vom Diensteanbieter nach Beendigung der Verbindung unverzüglich zu löschen. (2) Eine über Absatz 1 hinausgehende Erhebung oder Verwendung der Verkehrsdaten ist unzulässig. (3) Der Diensteanbieter darf teilnehmerbezogene Verkehrsdaten, die vom Anbieter eines öffentlich zugänglichen Telekommunikationsdienstes verwendet werden, zum Zwecke der Vermarktung von Telekommunikationsdiensten, zur bedarfsgerechten Gestaltung von Telekommunikationsdiensten oder zur Bereitstellung von Diensten mit Zusatznutzen im dazu erforderlichen Maß und im dazu erforderlichen Zeitraum nur verwenden, sofern der Betroffene in diese Verwendung eingewilligt hat. Die Daten der Angerufenen sind unverzüglich zu anonymisieren. Eine zielnummernbezogene Verwendung der Verkehrsdaten durch den Diensteanbieter zu den in Satz 1 genannten Zwecken ist nur mit Einwilligung der Angerufenen zulässig. Hierbei sind die Daten der Anrufenden unverzüglich zu anonymisieren. (4) Bei der Einholung der Einwilligung ist dem Teilnehmer mitzuteilen, welche Datenarten für die in Absatz 3 Satz 1 genannten Zwecke verarbeitet werden sollen und wie lange sie gespeichert werden sollen. Außerdem ist der Teilnehmer darauf hinzuweisen, dass er die Einwilligung jederzeit widerrufen kann. § 97 Entgeltermittlung und Entgeltabrechnung. (1) Diensteanbieter dürfen die in § 96 Abs. 1 aufgeführten Verkehrsdaten verwenden, soweit die Daten zur Ermittlung des Entgelts und zur Abrechnung mit ihren Teilnehmern benötigt werden. Erbringt ein Diensteanbieter seine Dienste über ein öffentliches Telekommunikationsnetz eines fremden Betreibers, darf der Betreiber des öffentlichen Telekommunikationsnetzes dem Diensteanbieter die für die Erbringung von dessen Diensten erhobenen Verkehrsdaten übermitteln. Hat der Diensteanbieter mit einem Dritten einen Vertrag über den Einzug des Entgelts geschlossen, so darf er dem Dritten die in Absatz 2 genannten Daten übermitteln, soweit es zum Einzug des Entgelts und der Erstellung einer detaillierten Rechnung erforderlich ist. Der Dritte ist vertraglich zur Wahrung des Fernmeldegeheimnisses nach § 88 und des Datenschutzes nach den §§ 93 und 95 bis 97, 99 und 100 zu verpflichten. § 11 des Bundesdatenschutzgesetzes bleibt unberührt. (2) Der Diensteanbieter darf zur ordnungsgemäßen Ermittlung und Abrechnung der Entgelte für Telekommunikationsdienste und zum Nachweis der Richtigkeit derselben folgende personenbezogene Daten nach Maßgabe der Absätze 3 bis 6 erheben und verwenden:
LXIX
TKG §§ 97–98 1. die Verkehrsdaten nach § 96 Abs. 1, 2. die Anschrift des Teilnehmers oder Rechnungsempfängers, die Art des Anschlusses, die Zahl der im Abrechnungszeitraum einer planmäßigen Entgeltabrechnung insgesamt aufgekommenen Entgelteinheiten, die übermittelten Datenmengen, das insgesamt zu entrichtende Entgelt, 3. sonstige für die Entgeltabrechnung erhebliche Umstände wie Vorschusszahlungen, Zahlungen mit Buchungsdatum, Zahlungsrückstände, Mahnungen, durchgeführte und aufgehobene Anschlusssperren, eingereichte und bearbeitete Reklamationen, beantragte und genehmigte Stundungen, Ratenzahlungen und Sicherheitsleistungen. (3) Der Diensteanbieter hat nach Beendigung der Verbindung aus den Verkehrsdaten nach § 96 Abs. 1 Nr. 1 bis 3 und 5 unverzüglich die für die Berechnung des Entgelts erforderlichen Daten zu ermitteln. Diese Daten dürfen bis zu sechs Monate nach Versendung der Rechnung gespeichert werden. Für die Abrechnung nicht erforderliche Daten sind unverzüglich zu löschen. Hat der Teilnehmer gegen die Höhe der in Rechnung gestellten Verbindungsentgelte vor Ablauf der Frist nach Satz 2 Einwendungen erhoben, dürfen die Daten gespeichert werden, bis die Einwendungen abschließend geklärt sind. (4) Soweit es für die Abrechnung des Diensteanbieters mit anderen Diensteanbietern oder mit deren Teilnehmern sowie anderer Diensteanbieter mit ihren Teilnehmern erforderlich ist, darf der Diensteanbieter Verkehrsdaten verwenden. (5) Zieht der Diensteanbieter mit der Rechnung Entgelte für Leistungen eines Dritten ein, die dieser im Zusammenhang mit der Erbringung von Telekommunikationsdiensten erbracht hat, so darf er dem Dritten Bestands- und Verkehrsdaten übermitteln, soweit diese im Einzelfall für die Durchsetzung der Forderungen des Dritten gegenüber seinem Teilnehmer erforderlich sind. § 98 Standortdaten. (1) Standortdaten, die in Bezug auf die Nutzer von öffentlichen Telekommunikationsnetzen oder öffentlich zugänglichen Telekommunikationsdiensten verwendet werden, dürfen nur im zur Bereitstellung von Diensten mit Zusatznutzen erforderlichen Umfang und innerhalb des dafür erforderlichen Zeitraums verarbeitet werden, wenn sie anonymisiert wurden oder wenn der Teilnehmer dem Anbieter des Dienstes mit Zusatznutzen seine Einwilligung erteilt hat. In diesen Fällen hat der Anbieter des Dienstes mit Zusatznutzen bei jeder Feststellung des Standortes des Mobilfunkendgerätes den Nutzer durch eine Textmitteilung an das Endgerät, dessen Standortdaten ermittelt wurden, zu informieren. Dies gilt nicht, wenn der Standort nur auf dem Endgerät angezeigt wird, dessen Standortdaten ermittelt wurden. Werden die Standortdaten für einen Dienst mit Zusatznutzen verarbeitet, der die Übermittlung von Standortdaten eines Mobilfunkendgerätes an einen anderen Teilnehmer oder Dritte, die nicht Anbieter des Dienstes mit Zusatznutzen sind, zum Gegenstand hat, muss der Teilnehmer abweichend von § 94 seine Einwilligung ausdrücklich, gesondert und schriftlich gegenüber dem Anbieter des Dienstes mit Zusatznutzen erteilen. In diesem Fall gilt die Verpflichtung nach Satz 2 entsprechend für den Anbieter des Dienstes mit Zusatznutzen. Der Anbieter des Dienstes mit Zusatznutzen darf die erforderlichen Bestandsdaten zur Erfüllung seiner Verpflichtung aus Satz 2 nutzen. Der Teilneh-
LXX
§§ 98–99 TKG mer muss Mitbenutzer über eine erteilte Einwilligung unterrichten. Eine Einwilligung kann jederzeit widerrufen werden. (2) Haben die Teilnehmer ihre Einwilligung zur Verarbeitung von Standortdaten gegeben, müssen sie auch weiterhin die Möglichkeit haben, die Verarbeitung solcher Daten für jede Verbindung zum Netz oder für jede Übertragung einer Nachricht auf einfache Weise und unentgeltlich zeitweise zu untersagen. (3) Bei Verbindungen zu Anschlüssen, die unter den Notrufnummern 112 oder 110 oder der Rufnummer 124 124 oder 116 117 erreicht werden, hat der Diensteanbieter sicherzustellen, dass nicht im Einzelfall oder dauernd die Übermittlung von Standortdaten ausgeschlossen wird. (4) Die Verarbeitung von Standortdaten nach den Absätzen 1 und 2 muss auf das für die Bereitstellung des Dienstes mit Zusatznutzen erforderliche Maß sowie auf Personen beschränkt werden, die im Auftrag des Betreibers des öffentlichen Telekommunikationsnetzes oder öffentlich zugänglichen Telekommunikationsdienstes oder des Dritten, der den Dienst mit Zusatznutzen anbietet, handeln. § 99 Einzelverbindungsnachweis. (1) Dem Teilnehmer sind die gespeicherten Daten derjenigen Verbindungen, für die er entgeltpflichtig ist, nur dann mitzuteilen, wenn er vor dem maßgeblichen Abrechnungszeitraum in Textform einen Einzelverbindungsnachweis verlangt hat; auf Wunsch dürfen ihm auch die Daten pauschal abgegoltener Verbindungen mitgeteilt werden. Dabei entscheidet der Teilnehmer, ob ihm die von ihm gewählten Rufnummern ungekürzt oder unter Kürzung um die letzten drei Ziffern mitgeteilt werden. Bei Anschlüssen im Haushalt ist die Mitteilung nur zulässig, wenn der Teilnehmer in Textform erklärt hat, dass er alle zum Haushalt gehörenden Mitbenutzer des Anschlusses darüber informiert hat und künftige Mitbenutzer unverzüglich darüber informieren wird, dass ihm die Verkehrsdaten zur Erteilung des Nachweises bekannt gegeben werden. Bei Anschlüssen in Betrieben und Behörden ist die Mitteilung nur zulässig, wenn der Teilnehmer in Textform erklärt hat, dass die Mitarbeiter informiert worden sind und künftige Mitarbeiter unverzüglich informiert werden und dass der Betriebsrat oder die Personalvertretung entsprechend den gesetzlichen Vorschriften beteiligt worden ist oder eine solche Beteiligung nicht erforderlich ist. Soweit die öffentlich-rechtlichen Religionsgesellschaften für ihren Bereich eigene Mitarbeitervertreterregelungen erlassen haben, findet Satz 4 mit der Maßgabe Anwendung, dass an die Stelle des Betriebsrates oder der Personalvertretung die jeweilige Mitarbeitervertretung tritt. Dem Teilnehmer dürfen darüber hinaus die gespeicherten Daten mitgeteilt werden, wenn er Einwendungen gegen die Höhe der Verbindungsentgelte erhoben hat. Soweit ein Teilnehmer zur vollständigen oder teilweisen Übernahme der Entgelte für Verbindungen verpflichtet ist, die bei seinem Anschluss ankommen, dürfen ihm in dem für ihn bestimmten Einzelverbindungsnachweis die Nummern der Anschlüsse, von denen die Anrufe ausgehen, nur unter Kürzung um die letzten drei Ziffern mitgeteilt werden. Die Sätze 2 und 7 gelten nicht für Diensteanbieter, die als Anbieter für geschlossene Benutzergruppen ihre Dienste nur ihren Teilnehmern anbieten. (2) Der Einzelverbindungsnachweis nach Absatz 1 Satz 1 darf nicht Verbindungen zu Anschlüssen von Personen, Behörden und Organisationen in sozialen oder kirchlichen Bereichen erkennen lassen, die grundsätzlich anonym bleibenden LXXI
TKG §§ 99–100 Anrufern ganz oder überwiegend telefonische Beratung in seelischen oder sozialen Notlagen anbieten und die selbst oder deren Mitarbeiter insoweit besonderen Verschwiegenheitsverpflichtungen unterliegen. Dies gilt nur, soweit die Bundesnetzagentur die angerufenen Anschlüsse in eine Liste aufgenommen hat. Der Beratung im Sinne des Satzes 1 dienen neben den in § 203 Abs. 1 Nr. 4 und 4a des Strafgesetzbuches genannten Personengruppen insbesondere die Telefonseelsorge und die Gesundheitsberatung. Die Bundesnetzagentur nimmt die Inhaber der Anschlüsse auf Antrag in die Liste auf, wenn sie ihre Aufgabenbestimmung nach Satz 1 durch Bescheinigung einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts nachgewiesen haben. Die Liste wird zum Abruf im automatisierten Verfahren bereitgestellt. Der Diensteanbieter hat die Liste quartalsweise abzufragen und Änderungen unverzüglich in seinen Abrechnungsverfahren anzuwenden. Die Sätze 1 bis 6 gelten nicht für Diensteanbieter, die als Anbieter für geschlossene Benutzergruppen ihre Dienste nur ihren Teilnehmern anbieten. (3) Bei Verwendung einer Kundenkarte muss auch auf der Karte ein deutlicher Hinweis auf die mögliche Mitteilung der gespeicherten Verkehrsdaten ersichtlich sein. Sofern ein solcher Hinweis auf der Karte aus technischen Gründen nicht möglich oder für den Kartenemittenten unzumutbar ist, muss der Teilnehmer eine Erklärung nach Absatz 1 Satz 3 oder Satz 4 abgegeben haben. § 100 Störungen von Telekommunikationsanlagen und Missbrauch von Telekommunikationsdiensten. (1) Soweit erforderlich, darf der Diensteanbieter zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden. (2) Zur Durchführung von Umschaltungen sowie zum Erkennen und Eingrenzen von Störungen im Netz ist dem Betreiber der Telekommunikationsanlage oder seinem Beauftragten das Aufschalten auf bestehende Verbindungen erlaubt, soweit dies betrieblich erforderlich ist. Eventuelle bei der Aufschaltung erstellte Aufzeichnungen sind unverzüglich zu löschen. Das Aufschalten muss den betroffenen Kommunikationsteilnehmern durch ein akustisches oder sonstiges Signal zeitgleich angezeigt und ausdrücklich mitgeteilt werden. Sofern dies technisch nicht möglich ist, muss der betriebliche Datenschutzbeauftragte unverzüglich detailliert über die Verfahren und Umstände jeder einzelnen Maßnahme informiert werden. Diese Informationen sind beim betrieblichen Datenschutzbeauftragten für zwei Jahre aufzubewahren. (3) Wenn zu dokumentierende tatsächliche Anhaltspunkte für die rechtswidrige Inanspruchnahme eines Telekommunikationsnetzes oder -dienstes vorliegen, insbesondere für eine Leistungserschleichung oder einen Betrug, darf der Diensteanbieter zur Sicherung seines Entgeltanspruchs die Bestandsdaten und Verkehrsdaten verwenden, die erforderlich sind, um die rechtswidrige Inanspruchnahme des Telekommunikationsnetzes oder -dienstes aufzudecken und zu unterbinden. Der Diensteanbieter darf die nach § 96 erhobenen Verkehrsdaten in der Weise verwenden, dass aus dem Gesamtbestand aller Verkehrsdaten, die nicht älter als sechs Monate sind, die Daten derjenigen Verbindungen des Netzes ermittelt werden, für die tatsächliche Anhaltspunkte den Verdacht der rechtswidrigen Inanspruch-
LXXII
§§ 100–101 TKG nahme von Telekommunikationsnetzen und -diensten begründen. Der Diensteanbieter darf aus den Verkehrsdaten und Bestandsdaten nach Satz 1 einen pseudonymisierten Gesamtdatenbestand bilden, der Aufschluss über die von einzelnen Teilnehmern erzielten Umsätze gibt und unter Zugrundelegung geeigneter Kriterien das Auffinden solcher Verbindungen des Netzes ermöglicht, bei denen der Verdacht einer rechtswidrigen Inanspruchnahme besteht. Die Daten anderer Verbindungen sind unverzüglich zu löschen. Die Bundesnetzagentur und der Bundesbeauftragte für den Datenschutz sind über Einführung und Änderung eines Verfahrens nach Satz 1 unverzüglich in Kenntnis zu setzen. (4) Unter den Voraussetzungen des Absatzes 3 Satz 1 darf der Diensteanbieter im Einzelfall Steuersignale erheben und verwenden, soweit dies zum Aufklären und Unterbinden der dort genannten Handlungen unerlässlich ist. Die Erhebung und Verwendung von anderen Nachrichteninhalten ist unzulässig. Über Einzelmaßnahmen nach Satz 1 ist die Bundesnetzagentur in Kenntnis zu setzen. Die Betroffenen sind zu benachrichtigen, sobald dies ohne Gefährdung des Zwecks der Maßnahmen möglich ist. § 101 Mitteilen ankommender Verbindungen. (1) Trägt ein Teilnehmer in einem zu dokumentierenden Verfahren schlüssig vor, dass bei seinem Anschluss bedrohende oder belästigende Anrufe ankommen, hat der Diensteanbieter auf schriftlichen Antrag auch netzübergreifend Auskunft über die Inhaber der Anschlüsse zu erteilen, von denen die Anrufe ausgehen. Die Auskunft darf sich nur auf Anrufe beziehen, die nach Stellung des Antrags durchgeführt werden. Der Diensteanbieter darf die Rufnummern, Namen und Anschriften der Inhaber dieser Anschlüsse sowie Datum und Uhrzeit des Beginns der Verbindungen und der Verbindungsversuche erheben und verwenden sowie diese Daten seinem Teilnehmer mitteilen. Die Sätze 1 und 2 gelten nicht für Diensteanbieter, die ihre Dienste nur den Teilnehmern geschlossener Benutzergruppen anbieten. (2) Die Bekanntgabe nach Absatz 1 Satz 3 darf nur erfolgen, wenn der Teilnehmer zuvor die Verbindungen nach Datum, Uhrzeit oder anderen geeigneten Kriterien eingrenzt, soweit ein Missbrauch dieses Verfahrens nicht auf andere Weise ausgeschlossen werden kann. (3) Im Falle einer netzübergreifenden Auskunft sind die an der Verbindung mitwirkenden anderen Diensteanbieter verpflichtet, dem Diensteanbieter des bedrohten oder belästigten Teilnehmers die erforderlichen Auskünfte zu erteilen, sofern sie über diese Daten verfügen. (4) Der Inhaber des Anschlusses, von dem die festgestellten Verbindungen ausgegangen sind, ist zu unterrichten, dass über diese Auskunft erteilt wurde. Davon kann abgesehen werden, wenn der Antragsteller schriftlich schlüssig vorgetragen hat, dass ihm aus dieser Mitteilung wesentliche Nachteile entstehen können, und diese Nachteile bei Abwägung mit den schutzwürdigen Interessen der Anrufenden als wesentlich schwerwiegender erscheinen. Erhält der Teilnehmer, von dessen Anschluss die als bedrohend oder belästigend bezeichneten Anrufe ausgegangen sind, auf andere Weise Kenntnis von der Auskunftserteilung, so ist er auf Verlangen über die Auskunftserteilung zu unterrichten.
LXXIII
TKG §§ 101–103 (5) Die Bundesnetzagentur sowie der oder die Bundesbeauftragte für den Datenschutz sind über die Einführung und Änderung des Verfahrens zur Sicherstellung der Absätze 1 bis 4 unverzüglich in Kenntnis zu setzen. § 102 Rufnummernanzeige und -unterdrückung. (1) Bietet der Diensteanbieter die Anzeige der Rufnummer der Anrufenden an, so müssen Anrufende und Angerufene die Möglichkeit haben, die Rufnummernanzeige dauernd oder für jeden Anruf einzeln auf einfache Weise und unentgeltlich zu unterdrücken. Angerufene müssen die Möglichkeit haben, eingehende Anrufe, bei denen die Rufnummernanzeige durch den Anrufenden unterdrückt wurde, auf einfache Weise und unentgeltlich abzuweisen. (2) Abweichend von Absatz 1 Satz 1 dürfen Anrufende bei Werbung mit einem Telefonanruf ihre Rufnummernanzeige nicht unterdrücken oder bei dem Diensteanbieter veranlassen, dass diese unterdrückt wird; der Anrufer hat sicherzustellen, dass dem Angerufenen die dem Anrufer zugeteilte Rufnummer übermittelt wird. (3) Die Absätze 1 und 2 gelten nicht für Diensteanbieter, die ihre Dienste nur den Teilnehmern geschlossener Benutzergruppen anbieten. (4) Auf Antrag des Teilnehmers muss der Diensteanbieter Anschlüsse bereitstellen, bei denen die Übermittlung der Rufnummer des Anschlusses, von dem der Anruf ausgeht, an den angerufenen Anschluss unentgeltlich ausgeschlossen ist. Die Anschlüsse sind auf Antrag des Teilnehmers in dem öffentlichen Teilnehmerverzeichnis (§ 104) seines Diensteanbieters zu kennzeichnen. Ist eine Kennzeichnung nach Satz 2 erfolgt, so darf an den so gekennzeichneten Anschluss eine Übermittlung der Rufnummer des Anschlusses, von dem der Anruf ausgeht, erst dann erfolgen, wenn zuvor die Kennzeichnung in der aktualisierten Fassung des Teilnehmerverzeichnisses nicht mehr enthalten ist. (5) Hat der Teilnehmer die Eintragung in das Teilnehmerverzeichnis nicht nach § 104 beantragt, unterbleibt die Anzeige seiner Rufnummer bei dem angerufenen Anschluss, es sei denn, dass der Teilnehmer die Übermittlung seiner Rufnummer ausdrücklich wünscht. (6) Wird die Anzeige der Rufnummer von Angerufenen angeboten, so müssen Angerufene die Möglichkeit haben, die Anzeige ihrer Rufnummer beim Anrufenden auf einfache Weise und unentgeltlich zu unterdrücken. Absatz 3 gilt entsprechend. (7) Die Absätze 1 bis 3 und 6 gelten auch für Anrufe in das Ausland und für aus dem Ausland kommende Anrufe, soweit sie Anrufende oder Angerufene im Inland betreffen. (8) Bei Verbindungen zu Anschlüssen, die unter den Notrufnummern 112 oder 110 oder der Rufnummer 124 124 oder 116 117 erreicht werden, hat der Diensteanbieter sicherzustellen, dass nicht im Einzelfall oder dauernd die Anzeige von Nummern der Anrufenden ausgeschlossen wird. § 103 Automatische Anrufweiterschaltung. Der Diensteanbieter ist verpflichtet, seinen Teilnehmern die Möglichkeit einzuräumen, eine von einem Dritten veranlasste automatische Weiterschaltung auf sein Endgerät auf einfache Weise und unentgeltlich abzustellen, soweit dies technisch möglich ist. Satz 1 gilt nicht für LXXIV
§§ 103–106 TKG Diensteanbieter, die als Anbieter für geschlossene Benutzergruppen ihre Dienste nur ihren Teilnehmern anbieten. § 104 Teilnehmerverzeichnisse. Teilnehmer können mit ihrem Namen, ihrer Anschrift und zusätzlichen Angaben wie Beruf, Branche und Art des Anschlusses in öffentliche gedruckte oder elektronische Verzeichnisse eingetragen werden, soweit sie dies beantragen. Dabei können die Teilnehmer bestimmen, welche Angaben in den Verzeichnissen veröffentlicht werden sollen. Auf Verlangen des Teilnehmers dürfen Mitbenutzer eingetragen werden, soweit diese damit einverstanden sind. § 105 Auskunftserteilung. (1) Über die in Teilnehmerverzeichnissen enthaltenen Rufnummern dürfen Auskünfte unter Beachtung der Beschränkungen des § 104 und der Absätze 2 und 3 erteilt werden. (2) Die Telefonauskunft über Rufnummern von Teilnehmern darf nur erteilt werden, wenn diese in angemessener Weise darüber informiert worden sind, dass sie der Weitergabe ihrer Rufnummer widersprechen können und von ihrem Widerspruchsrecht keinen Gebrauch gemacht haben. Über Rufnummern hinausgehende Auskünfte über nach § 104 veröffentlichte Daten dürfen nur erteilt werden, wenn der Teilnehmer in eine weitergehende Auskunftserteilung eingewilligt hat. (3) Die Telefonauskunft von Namen oder Namen und Anschrift eines Teilnehmers, von dem nur die Rufnummer bekannt ist, ist zulässig, wenn der Teilnehmer, der in ein Teilnehmerverzeichnis eingetragen ist, nach einem Hinweis seines Diensteanbieters auf seine Widerspruchsmöglichkeit nicht widersprochen hat. (4) Ein Widerspruch nach Absatz 2 Satz 1 oder Absatz 3 oder eine Einwilligung nach Absatz 2 Satz 2 sind in den Kundendateien des Diensteanbieters und des Anbieters nach Absatz 1, die den Verzeichnissen zugrunde liegen, unverzüglich zu vermerken. Sie sind auch von den anderen Diensteanbietern zu beachten, sobald diese in zumutbarer Weise Kenntnis darüber erlangen konnten, dass der Widerspruch oder die Einwilligung in den Verzeichnissen des Diensteanbieters und des Anbieters nach Absatz 1 vermerkt ist. § 106 Telegrammdienst. (1) Daten und Belege über die betriebliche Bearbeitung und Zustellung von Telegrammen dürfen gespeichert werden, soweit es zum Nachweis einer ordnungsgemäßen Erbringung der Telegrammdienstleistung nach Maßgabe des mit dem Teilnehmer geschlossenen Vertrags erforderlich ist. Die Daten und Belege sind spätestens nach sechs Monaten vom Diensteanbieter zu löschen. (2) Daten und Belege über den Inhalt von Telegrammen dürfen über den Zeitpunkt der Zustellung hinaus nur gespeichert werden, soweit der Diensteanbieter nach Maßgabe des mit dem Teilnehmer geschlossenen Vertrags für Übermittlungsfehler einzustehen hat. Bei Inlandstelegrammen sind die Daten und Belege spätestens nach drei Monaten, bei Auslandstelegrammen spätestens nach sechs Monaten vom Diensteanbieter zu löschen. (3) Die Löschungsfristen beginnen mit dem ersten Tag des Monats, der auf den Monat der Telegrammaufgabe folgt. Die Löschung darf unterbleiben, solange die
LXXV
TKG §§ 106–109 Verfolgung von Ansprüchen oder eine internationale Vereinbarung eine längere Speicherung erfordert. § 107 Nachrichtenübermittlungssysteme mit Zwischenspeicherung. (1) Der Diensteanbieter darf bei Diensten, für deren Durchführung eine Zwischenspeicherung erforderlich ist, Nachrichteninhalte, insbesondere Sprach-, Ton-, Textund Grafikmitteilungen von Teilnehmern, im Rahmen eines hierauf gerichteten Diensteangebots unter folgenden Voraussetzungen verarbeiten: 1. Die Verarbeitung erfolgt ausschließlich in Telekommunikationsanlagen des zwischenspeichernden Diensteanbieters, es sei denn, die Nachrichteninhalte werden im Auftrag des Teilnehmers oder durch Eingabe des Teilnehmers in Telekommunikationsanlagen anderer Diensteanbieter weitergeleitet. 2. Ausschließlich der Teilnehmer bestimmt durch seine Eingabe Inhalt, Umfang und Art der Verarbeitung. 3. Ausschließlich der Teilnehmer bestimmt, wer Nachrichteninhalte eingeben und darauf zugreifen darf (Zugriffsberechtigter). 4. Der Diensteanbieter darf dem Teilnehmer mitteilen, dass der Empfänger auf die Nachricht zugegriffen hat. 5. Der Diensteanbieter darf Nachrichteninhalte nur entsprechend dem mit dem Teilnehmer geschlossenen Vertrag löschen. (2) Der Diensteanbieter hat die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um Fehlübermittlungen und das unbefugte Offenbaren von Nachrichteninhalten innerhalb seines Unternehmens oder an Dritte auszuschließen. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Soweit es im Hinblick auf den angestrebten Schutzzweck erforderlich ist, sind die Maßnahmen dem jeweiligen Stand der Technik anzupassen. Abschnitt 3. Öffentliche Sicherheit § 108 Notruf. [Nicht kommentiert] § 109 Technische Schutzmaßnahmen. (1) Jeder Diensteanbieter hat erforderliche technische Vorkehrungen und sonstige Maßnahmen zu treffen 1. zum Schutz des Fernmeldegeheimnisses und 2. gegen die Verletzung des Schutzes personenbezogener Daten. Dabei ist der Stand der Technik zu berücksichtigen. (2) Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat bei den hierfür betriebenen Telekommunikations- und Datenverarbeitungssystemen angemessene technische Vorkehrungen und sonstige Maßnahmen zu treffen 1. zum Schutz gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen, auch soweit sie durch äußere Angriffe und Einwirkungen von Katastrophen bedingt sein können, und LXXVI
§ 109 TKG 2. zur Beherrschung der Risiken für die Sicherheit von Telekommunikationsnetzen und -diensten. Insbesondere sind Maßnahmen zu treffen, um Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu sichern und Auswirkungen von Sicherheitsverletzungen für Nutzer oder für zusammengeschaltete Netze so gering wie möglich zu halten. Wer ein öffentliches Telekommunikationsnetz betreibt, hat Maßnahmen zu treffen, um den ordnungsgemäßen Betrieb seiner Netze zu gewährleisten und dadurch die fortlaufende Verfügbarkeit der über diese Netze erbrachten Dienste sicherzustellen. Technische Vorkehrungen und sonstige Schutzmaßnahmen sind angemessen, wenn der dafür erforderliche technische und wirtschaftliche Aufwand nicht außer Verhältnis zur Bedeutung der zu schützenden Telekommunikationsnetze oder -dienste steht. § 11 Absatz 1 des Bundesdatenschutzgesetzes gilt entsprechend. (3) Bei gemeinsamer Nutzung eines Standortes oder technischer Einrichtungen hat jeder Beteiligte die Verpflichtungen nach den Absätzen 1 und 2 zu erfüllen, soweit bestimmte Verpflichtungen nicht einem bestimmten Beteiligten zugeordnet werden können. (4) Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat einen Sicherheitsbeauftragten zu benennen und ein Sicherheitskonzept zu erstellen, aus dem hervorgeht, 1. welches öffentliche Telekommunikationsnetz betrieben und welche öffentlich zugänglichen Telekommunikationsdienste erbracht werden, 2. von welchen Gefährdungen auszugehen ist und 3. welche technischen Vorkehrungen oder sonstigen Schutzmaßnahmen zur Erfüllung der Verpflichtungen aus den Absätzen 1 und 2 getroffen oder geplant sind. Wer ein öffentliches Telekommunikationsnetz betreibt, hat der Bundesnetzagentur das Sicherheitskonzept unverzüglich nach der Aufnahme des Netzbetriebs vorzulegen. Wer öffentlich zugängliche Telekommunikationsdienste erbringt, kann nach der Bereitstellung des Telekommunikationsdienstes von der Bundesnetzagentur verpflichtet werden, das Sicherheitskonzept vorzulegen. Mit dem Sicherheitskonzept ist eine Erklärung vorzulegen, dass die darin aufgezeigten technischen Vorkehrungen und sonstigen Schutzmaßnahmen umgesetzt sind oder unverzüglich umgesetzt werden. Stellt die Bundesnetzagentur im Sicherheitskonzept oder bei dessen Umsetzung Sicherheitsmängel fest, so kann sie deren unverzügliche Beseitigung verlangen. Sofern sich die dem Sicherheitskonzept zugrunde liegenden Gegebenheiten ändern, hat der nach Satz 2 oder 3 Verpflichtete das Konzept anzupassen und der Bundesnetzagentur unter Hinweis auf die Änderungen erneut vorzulegen. Die Bundesnetzagentur kann die Umsetzung des Sicherheitskonzeptes überprüfen. (5) Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat der Bundesnetzagentur eine Sicherheitsverletzung einschließlich Störungen von Telekommunikationsnetzen oder -diensten unverzüglich mitzuteilen, sofern hierdurch beträchtliche Auswirkungen auf den Betrieb der Telekommunikationsnetze oder das Erbringen von Telekommunikationsdiensten entstehen. Die Bundesnetzagentur kann von dem
LXXVII
TKG §§ 109–109a nach Satz 1 Verpflichteten einen detaillierten Bericht über die Sicherheitsverletzung und die ergriffenen Abhilfemaßnahmen verlangen. Erforderlichenfalls unterrichtet die Bundesnetzagentur das Bundesamt für Sicherheit in der Informationstechnik, die nationalen Regulierungsbehörden der anderen Mitgliedstaaten der Europäischen Union und die Europäische Agentur für Netz- und Informationssicherheit über die Sicherheitsverletzungen. Die Bundesnetzagentur kann die Öffentlichkeit informieren oder die nach Satz 1 Verpflichteten zu dieser Unterrichtung auffordern, wenn sie zu dem Schluss gelangt, dass die Bekanntgabe der Sicherheitsverletzung im öffentlichen Interesse liegt. Die Bundesnetzagentur legt der Kommission, der Europäischen Agentur für Netz- und Informationssicherheit und dem Bundesamt für Sicherheit in der Informationstechnik einmal pro Jahr einen zusammenfassenden Bericht über die eingegangenen Mitteilungen und die ergriffenen Abhilfemaßnahmen vor. (6) Die Bundesnetzagentur erstellt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit einen Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten als Grundlage für das Sicherheitskonzept nach Absatz 4 und für die zu treffenden technischen Vorkehrungen und sonstigen Maßnahmen nach den Absätzen 1 und 2. Sie gibt den Herstellern, den Verbänden der Betreiber öffentlicher Telekommunikationsnetze und den Verbänden der Anbieter öffentlich zugänglicher Telekommunikationsdienste Gelegenheit zur Stellungnahme. Der Katalog wird von der Bundesnetzagentur veröffentlicht. (7) Die Bundesnetzagentur kann anordnen, dass sich die Betreiber öffentlicher Telekommunikationsnetze oder die Anbieter öffentlich zugänglicher Telekommunikationsdienste einer Überprüfung durch eine qualifizierte unabhängige Stelle oder eine zuständige nationale Behörde unterziehen, in der festgestellt wird, ob die Anforderungen nach den Absätzen 1 bis 3 erfüllt sind. Der nach Satz 1 Verpflichtete hat eine Kopie des Überprüfungsberichts unverzüglich an die Bundesnetzagentur zu übermitteln. Er trägt die Kosten dieser Überprüfung. § 109a Datensicherheit. (1) Wer öffentlich zugängliche Telekommunikationsdienste erbringt, hat im Fall einer Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetzagentur und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit von der Verletzung zu benachrichtigen. Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten Teilnehmer oder andere Personen schwerwiegend in ihren Rechten oder schutzwürdigen Interessen beeinträchtigt werden, hat der Anbieter des Telekommunikationsdienstes zusätzlich die Betroffenen unverzüglich von dieser Verletzung zu benachrichtigen. In Fällen, in denen in dem Sicherheitskonzept nachgewiesen wurde, dass die von der Verletzung betroffenen personenbezogenen Daten durch geeignete technische Vorkehrungen gesichert, insbesondere unter Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens gespeichert wurden, ist eine Benachrichtigung nicht erforderlich. Unabhängig von Satz 3 kann die Bundesnetzagentur den Anbieter des Telekommunikationsdienstes unter Berücksichtigung der wahrscheinlichen nachteiligen Auswirkungen der Verletzung des Schutzes per-
LXXVIII
§§ 109a–115 TKG sonenbezogener Daten zu einer Benachrichtigung der Betroffenen verpflichten. Im Übrigen gilt § 42a Satz 6 des Bundesdatenschutzgesetzes entsprechend. (2) Die Benachrichtigung an die Betroffenen muss mindestens enthalten: 1. die Art der Verletzung des Schutzes personenbezogener Daten, 2. Angaben zu den Kontaktstellen, bei denen weitere Informationen erhältlich sind, und 3. Empfehlungen zu Maßnahmen, die mögliche nachteilige Auswirkungen der Verletzung des Schutzes personenbezogener Daten begrenzen. In der Benachrichtigung an die Bundesnetzagentur und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit hat der Anbieter des Telekommunikationsdienstes zusätzlich zu den Angaben nach Satz 1 die Folgen der Verletzung des Schutzes personenbezogener Daten und die beabsichtigten oder ergriffenen Maßnahmen darzulegen. (3) Die Anbieter der Telekommunikationsdienste haben ein Verzeichnis der Verletzungen des Schutzes personenbezogener Daten zu führen, das Angaben zu Folgendem enthält: 1. zu den Umständen der Verletzungen, 2. zu den Auswirkungen der Verletzungen und 3. zu den ergriffenen Abhilfemaßnahmen. Diese Angaben müssen ausreichend sein, um der Bundesnetzagentur und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die Prüfung zu ermöglichen, ob die Bestimmungen der Absätze 1 und 2 eingehalten wurden. Das Verzeichnis enthält nur die zu diesem Zweck erforderlichen Informationen und muss nicht Verletzungen berücksichtigen, die mehr als fünf Jahre zurückliegen. (4) Vorbehaltlich technischer Durchführungsmaßnahmen der Europäischen Kommission nach Artikel 4 Absatz 5 der Richtlinie 2002/58/EG kann die Bundesnetzagentur Leitlinien vorgeben bezüglich des Formats, der Verfahrensweise und der Umstände, unter denen eine Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten erforderlich ist. §§ 110 bis 114 [Nicht kommentiert] § 115 Kontrolle und Durchsetzung von Verpflichtungen (1) Die Bundesnetzagentur kann Anordnungen und andere Maßnahmen treffen, um die Einhaltung der Vorschriften des Teils 7 und der auf Grund dieses Teils ergangenen Rechtsverordnungen sowie der jeweils anzuwendenden Technischen Richtlinien sicherzustellen. Der Verpflichtete muss auf Anforderung der Bundesnetzagentur die hierzu erforderlichen Auskünfte erteilen. Die Bundesnetzagentur ist zur Überprüfung der Einhaltung der Verpflichtungen befugt, die Geschäfts- und Betriebsräume während der üblichen Betriebs- oder Geschäftszeiten zu betreten und zu besichtigen. (2) Die Bundesnetzagentur kann nach Maßgabe des Verwaltungsvollstreckungsgesetzes Zwangsgelder wie folgt festsetzen:
LXXIX
TKG § 115 1. bis zu 500 000 Euro zur Durchsetzung der Verpflichtungen nach § 108 Abs. 1, § 110 Abs. 1, 5 oder Abs. 6, einer Rechtsverordnung nach § 108 Absatz 3, einer Rechtsverordnung nach § 110 Abs. 2, einer Rechtsverordnung nach § 112 Abs. 3 Satz 1, der Technischen Richtlinie nach § 108 Absatz 4, der Technischen Richtlinie nach § 110 Abs. 3 oder der Technischen Richtlinie nach § 112 Abs. 3 Satz 3, 2. bis zu 100 000 Euro zur Durchsetzung der Verpflichtungen nach den §§ 109, 109a, 112 Absatz 1, 3 Satz 4, Absatz 5 Satz 1 und 2 oder § 114 Absatz 1 und 3. bis zu 20 000 Euro zur Durchsetzung der Verpflichtungen nach § 111 Abs. 1, 2 und 4 oder § 113 Abs. 1 und 2 Satz 1. Bei wiederholten Verstößen gegen § 111 Abs. 1, 2 oder Abs. 4, § 112 Abs. 1, 3 Satz 4, Abs. 5 Satz 1 und 2 oder § 113 Abs. 1 und 2 Satz 1 kann die Tätigkeit des Verpflichteten durch Anordnung der Bundesnetzagentur dahin gehend eingeschränkt werden, dass der Kundenstamm bis zur Erfüllung der sich aus diesen Vorschriften ergebenden Verpflichtungen außer durch Vertragsablauf oder Kündigung nicht verändert werden darf. (3) Darüber hinaus kann die Bundesnetzagentur bei Nichterfüllung von Verpflichtungen des Teils 7 den Betrieb der betreffenden Telekommunikationsanlage oder das geschäftsmäßige Erbringen des betreffenden Telekommunikationsdienstes ganz oder teilweise untersagen, wenn mildere Eingriffe zur Durchsetzung rechtmäßigen Verhaltens nicht ausreichen. (4) Soweit für die geschäftsmäßige Erbringung von Telekommunikationsdiensten Daten von natürlichen oder juristischen Personen erhoben, verarbeitet oder genutzt werden, tritt bei den Unternehmen an die Stelle der Kontrolle nach § 38 des Bundesdatenschutzgesetzes eine Kontrolle durch den Bundesbeauftragten für den Datenschutz entsprechend den §§ 21 und 24 bis 26 Abs. 1 bis 4 des Bundesdatenschutzgesetzes. Der Bundesbeauftragte für den Datenschutz richtet seine Beanstandungen an die Bundesnetzagentur und übermittelt dieser nach pflichtgemäßem Ermessen weitere Ergebnisse seiner Kontrolle. (5) Das Fernmeldegeheimnis des Artikels 10 des Grundgesetzes wird eingeschränkt, soweit dies die Kontrollen nach Absatz 1 oder 4 erfordern.
LXXX
Bundesdatenschutzgesetz (BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I, S. 66), zuletzt geändert durch Gesetz vom 14. August 2009 (BGBl. I, S. 2814)
Erster Abschnitt Allgemeine und gemeinsame Bestimmungen Zweck und Anwendungsbereich des Gesetzes
1
(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch 1. öffentliche Stellen des Bundes, 2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie a) Bundesrecht ausführen oder b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt, 3. nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. (3) 1Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. 2Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt. (4) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden. (5) 1Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen VertragsPlath 1
BDSG § 1
Allgemeine und gemeinsame Bestimmungen
staat des Abkommens über den Europäischen Wirtschaftsraum belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt, es sei denn, dies erfolgt durch eine Niederlassung im Inland. 2Dieses Gesetz findet Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum belegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. 3Soweit die verantwortliche Stelle nach diesem Gesetz zu nennen ist, sind auch Angaben über im Inland ansässige Vertreter zu machen. 4Die Sätze 2 und 3 gelten nicht, sofern Datenträger nur zum Zweck des Transits durch das Inland eingesetzt werden. 5§ 38 Abs. 1 Satz 1 bleibt unberührt. I. Einführung . . . . . . . . . . . . . . . . 1. Normaufbau. . . . . . . . . . . . . . . 2. Verhältnis zur EG-Datenschutzrichtlinie . . . . . . . . . . . . II. Grundlagen und Gesetzeszweck (Abs. 1) . . . . . . . . . . . . . 1. Gesetzeszweck . . . . . . . . . . . . 2. Begriffserklärung: Umgang . . 3. Das BDSG als Schutzgesetz . . 4. Verhältnis des BDSG zum UWG. . . . . . . . . . . . . . . . . . . . . 5. Das BDSG als Eingriffs- und Auffanggesetz . . . . . . . . . . . . . III. Geltungsbereich (Abs. 2) . . . . 1. Öffentliche Stellen des Bundes (Abs. 2 Nr. 1). . . . . . . . 2. Öffentliche Stellen der Länder (Abs. 2 Nr. 2) . . . . . . . . 3. Nicht-öffentliche Stellen (Abs. 2 Nr. 3) . . . . . . . . . . . . . . 4. Persönliche und familiäre Tätigkeiten. . . . . . . . . . . . . . . .
1 2 3 8 8 11 13 15 18
1. Vorrang der Rechtsvorschriften des Bundes (Satz 1) . . . . . . 35 2. Geheimhaltungspflichten (Satz 2) . . . . . . . . . . . . . . . . . . . . 39 V. Verhältnis zum Verwaltungsverfahrensgesetz (Abs. 4) . . . . . 43 VI. 1. 2. 3.
4.
20 21 5. 23 6. 26 7. 30
Auslandsbezug (Abs. 5) . . . . . . Einführung . . . . . . . . . . . . . . . . Grundprinzipien . . . . . . . . . . . Datenverwendung durch eine Niederlassung (Abs. 5 Satz 1, 2. Halbs.) . . . . . . . . . . . . . . . . . . Datenverwendung in Deutschland durch EU/EWRausländische Stellen (Abs. 5 Satz 2) . . . . . . . . . . . . . . . . . . . . Ernennung eines Vertreters (Abs. 5 Satz 3) . . . . . . . . . . . . . . Transit von Datenträgern (Abs. 5 Satz 4) . . . . . . . . . . . . . . Kontrollrechte der Aufsichtsbehörden (Abs. 5 Satz 5) . . . . .
45 45 49
52
61 67 68 71
IV. Subsidiarität des BDSG (Abs. 3) . . . . . . . . . . . . . . . . . . . 35 Schrifttum: Alich/Nolte, Zur datenschutzrechtlichen Verantwortlichkeit (außereuropäischer) Hostprovider für Drittinhalte, CR 2012, 741; Alich/Voigt, Mitteilsame Browser – Datenschutzrechtliche Bewertung des Trackings mittels BrowserFingerprints, CR 2012, 344; Conrad/Schneider, Einsatz von „privater IT“ im Unternehmen, ZD 2011, 153; Duhr/Naujok/Schaar, Anwendbarkeit des deutschen Datenschutzrechts auf Internetangebote, MMR 2001, XVI; Ernst, Abmah-
2 Plath
Zweck und Anwendungsbereich des Gesetzes
§ 1 BDSG
nung aufgrund von Normen außerhalb des UWG, WRP 2004, 1133; Forgó/Krügel/ Müllenbach, Zur datenschutz- und persönlichkeitsrechtlichen Zulässigkeit von Google Street View, CR 2010, 616; Frhr. v. Gamm, Datenschutz und Wettbewerbsrecht, GRUR 1996, 574; Gärtner/Heil, Kodifizierter Rechtsbruchtatbestand und Generalklausel – Zur Bedeutung des Marktbezugs im neuen UWG, WRP 2005, 20; Huppertz/Ohrmann, Wettbewerbsvorteile durch Datenschutzverletzungen?, CR 2011, 449; Jotzo, Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr?, MMR 2009, 232; Kamlah/Hoke, Datenschutz und UWG – Unterlassungsansprüche bei Datenschutzverstößen, RDV 2008, 226; Lindner, Persönlichkeitsrecht und Geodienste im Internet – z.B. Google Street View/Google Earth, ZUM 2010, 292; Ott, Das Internet vergisst nicht – Rechtsschutz für Suchobjekte?, MMR 2009, 158; Rüpke, Mehr Rechtssicherheit für anwaltliche Datenverarbeitung – Ein Vorschlag zur informationsrechtlichen Ergänzung der Bundesrechtsanwaltsordnung, ZRP 2008, 87; Schenk, Geschäftsmodell von Social Networks im Wettbewerb: Rechtliche Fragen, DGRI Handbuch 2010, 123; Wagner, Datenschutz und Mandatsgeheimnis – der Umgang mit personenbezogenen Daten im Anwaltsmandat, BRAK-Mitt. 1/2011, 2; Weichert, Datenschutz als Verbraucherschutz, DuD 2001, 264; Weichert, Datenschutz im Wettbewerbs- und Verbraucherrecht, VuR 2006, 377; Weichert, Datenschutz auch bei Anwälten?, NJW 2009, 550.
I. Einführung § 1 regelt den Zweck und Anwendungsbereich des BDSG und bildet somit das „Tor“ zu den weiteren Vorschriften des Gesetzes.
1
1. Normaufbau Abs. 1 regelt zunächst den Zweck des BDSG und bildet damit die 2 Grundlage für die weitere Auslegung des Gesetzes. Abs. 2 regelt den materiellen Anwendungsbereich des BDSG. Abs. 3 regelt das Verhältnis des BDSG zu anderen datenschützenden Normen. Abs. 4 regelt das Verhältnis des BDSG zu den Vorschriften des Verwaltungsverfahrensgesetzes. Abs. 5 regelt schließlich die Anwendbarkeit des BDSG bei bestimmten grenzüberschreitenden Sachverhalten. 2. Verhältnis zur EG-Datenschutzrichtlinie Das BDSG in seiner aktuellen Fassung beruht auf der Novelle von 2009. Grundlage ist weiterhin die EG-Datenschutzrichtlinie (RL 95/46/EG)1, die durch die BDSG-Novelle 2001 umgesetzt wurde. Darüber hinaus ha1 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
Plath 3
3
BDSG § 1
Allgemeine und gemeinsame Bestimmungen
ben auch die Datenschutzrichtlinie für elektronische Kommunikation1 sowie die Richtlinie über die Vorratsdatenverarbeitung2 das deutsche Datenschutzrecht geprägt. 4 Aufgrund des europarechtlichen Hintergrunds des BDSG stellt sich die Frage, wie das Verhältnis zwischen der EG-Datenschutzrichtlinie und den Regelungen des BDSG zu bewerten ist, also insbesondere welchen Gestaltungs- und Auslegungsspielraum die EG-Datenschutzrichtlinie dem deutschen Gesetzgeber sowie den deutschen Gerichten lässt. Mit dieser Problematik hat sich der EuGH zuletzt ausführlich auseinandergesetzt3. Dabei ging es um die Frage, inwieweit nationale Regelungen über die Anforderungen der Richtlinie hinausgehen dürfen, und ob die Regelungen der Richtlinie unmittelbare Wirkung für den einzelnen Betroffenen entfalten können. 5 Der EuGH hat sich in dieser Entscheidung unmissverständlich für eine vollharmonisierende Wirkung der EG-Datenschutzrichtlinie ausgesprochen4. Durch die Richtlinie solle ein einheitliches, hohes Schutzniveau innerhalb der Mitgliedsstaaten gewährleistet werden. Die Anforderungen der Richtlinie (im konkreten Fall des Art. 7 Buchst. f der EG-Datenschutzrichtlinie) seien abschließend und könnten im Rahmen der Umsetzung in nationales Recht nicht durch neue oder zusätzliche Bedingungen erweitert werden5. Damit ist es dem nationalen Gesetzgeber nicht nur untersagt, hinter dem Mindestschutzniveau der Richtlinie zurückzubleiben, sondern auch strengere Voraussetzungen als in der EG-Datenschutzrichtlinie vorgesehen zu schaffen. Der EuGH weist jedoch ausdrücklich darauf hin, dass die nähere gesetzliche Bestimmung der Voraussetzungen der Richtlinie sowie die Vorgabe bestimmter Umstände, die im Rahmen der Ermessenserwägungen zu berücksichtigen sind, im Rahmen nationaler Regelungen zulässig sind, soweit hierdurch keine zusätzlichen Anwendungsvoraussetzungen geschaffen werden6. Im Einzelfall kann die
1 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates v. 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation. 2 Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates v. 15.3.2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG. 3 EuGH v. 24.11.2011 – C-468/10, C-469/10, CR 2012, 29 = K&R 2012, 40. 4 EuGH v. 24.11.2011 – C-468/10, C-469/10, CR 2012, 29 = K&R 2012, 40 (41). 5 EuGH v. 24.11.2011 – C-468/10, C-469/10, CR 2012, 29 = K&R 2012, 40 (41). 6 EuGH v. 24.11.2011 – C-468/10, C-469/10, CR 2012, 29 = K&R 2012, 40 (41 f.).
4 Plath
Zweck und Anwendungsbereich des Gesetzes
§ 1 BDSG
Abgrenzung zwischen Regelungen, die noch als Ausgestaltung zu verstehen sind, und Regelungen, die bereits als Veränderung der Richtlinienbestimmungen aufzufassen sind, schwierig sein. Im Einklang mit seiner ständigen Rechtsprechung hat der EuGH zudem verdeutlicht, dass den Regelungen der EG-Datenschutzrichtlinie eine unmittelbare Wirkung für den Betroffenen zukommt, soweit die Regelungen der Richtlinie inhaltlich unbedingt und hinreichend bestimmt sind und eine hinreichende Umsetzung in nationales Recht nicht stattgefunden hat.
6
Im Ergebnis bedeutet dies, dass die Regelungen des BDSG stets richtlinienkonform auszulegen sind, soweit sie einen Auslegungsspielraum eröffnen. Gehen die Regelungen hingegen über die Vorgaben der EG-Datenschutzrichtlinie hinaus oder bleiben hinter dieser zurück, so ist die nationale Regelung im Zweifel unwirksam und die entsprechende Regelung der EG-Datenschutzrichtlinie entfaltet ihre unmittelbare Wirkung.
7
II. Grundlagen und Gesetzeszweck (Abs. 1) 1. Gesetzeszweck Entsprechend der Zielvorgabe des Art. 1 Abs. 1 EG-Datenschutzricht- 8 linie, der den Schutz der „Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen“ statuiert, gibt Abs. 1 als Gesetzeszweck den Schutz des Einzelnen vor einer Beeinträchtigung seines Persönlichkeitsrechts durch den Umgang mit seinen personenbezogenen Daten vor. Damit wird der Begriff des „Datenschutzrechts“ umschrieben, ohne dass von einer Legaldefinition gesprochen werden kann1. Abs. 1 ist eher Zielvorgabe und allgemeiner Auslegungsgrundsatz2. Zu beachten ist dabei, dass personenbezogene Daten nicht um ihrer selbst willen, sondern in ihrer Bedeutung als Ausprägung des Allgemeinen Persönlichkeitsrechts, Art. 2 Abs. 1, 1 Abs. 1 GG, geschützt werden sollen3. In einer langjährigen Rechtsprechungstradition, die ihren vorläufigen Höhepunkt im Volkszählungsurteil4 fand, hat das BVerfG den Schutz von personenbezogenen Daten als wesentlichen Bestandteil des 1 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 4. 2 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 2; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 7. 3 Gola/Schomerus, § 1 BDSG Rz. 2; Schaffland/Wiltfang, § 1 BDSG Rz. 1. 4 BVerfGE 65, 1 = NJW 1984, 419.
Plath 5
9
BDSG § 1
Allgemeine und gemeinsame Bestimmungen
Persönlichkeitsrechts herausgearbeitet und damit ein Recht auf allgemeine Selbstbestimmung anerkannt1. Auch wenn dieser Begriff – anders als in vielen Landesdatenschutzgesetzen – im BDSG nicht explizit aufgenommen wurde2, so sind die hierzu entwickelten verfassungsrechtlichen Grundlagen in das Gesetz hineinzulesen3. 10 Das BDSG ist nicht zuletzt auch im Zusammenhang mit dem technischen Fortschritt zu sehen: es soll den Gefahren begegnen, die für die personenbezogenen Daten – und damit das Persönlichkeitsrecht – des Einzelnen durch die Möglichkeiten der automatisierten Verarbeitung, insbesondere der schnellen Verknüpfung und Übermittlung von Datensätzen, bestehen. Hiervon ist nicht nur der Datenumgang mittels Datenverarbeitungsanlagen betroffen, sondern auch die traditionelle, z.B. manuelle Datenverarbeitung, sofern diese in einem späteren Schritt einem automatisierten Verfahren unterzogen werden kann. 2. Begriffserklärung: Umgang 11 Der Begriff „Umgang“ wird nur an dieser Stelle des Gesetzes verwendet. Er stellt einen allumfassenden Oberbegriff dar, unter den alle sieben Phasen, also des Erhebens (§ 3 Abs. 3), Verarbeitens (speichern, verändern, übermitteln, sperren, löschen, § 3 Abs. 4) und des Nutzens (§ 3 Abs. 5)4 von Daten fallen. Darüber hinaus umfasst der Begriff auch das Ergreifen der technischen und organisatorischen Maßnahmen i.S.d. § 95, die Handlungen zur Erfüllung der in § 6 genannten Rechte der Betroffenen6, und sogar auch die Vermeidung der Verwendung personenbezogener Daten7. Für die Vertragspraxis bedeutet das, dass stets der leider sehr sperrige Begriff des „Umgangs“ verwendet werden sollte, wann immer sämtliche Phasen des Umgangs mit personenbezogenen Daten erfasst werden sollen. Der häufig verwendete Begriff der „Datenverarbeitung“ (vgl. auch § 11) greift hier streng genommen zu kurz. 1 Ausführlich hierzu Simitis/Simitis, § 1 BDSG Rz. 35 ff.; Schaffland/Wiltfang, § 1 BDSG Rz. 3 ff. sowie Gola/Schomerus, § 1 BDSG Rz. 7, 11 ff. 2 Taeger/Gabel/Schmidt legt diesen Umstand als „Ausdruck des Widerstands des Gesetzgebers gegen die Anerkennung des Rechts auf informationelle Selbstbestimmung“ aus, § 1 BDSG Rz. 7; ebenso Simitis/Simitis, § 1 BDSG Rz. 25. 3 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 7; vgl. zu den Grundsätzen Bergmann/ Möhrle/Herb, § 1 BDSG Rz. 8. 4 Gola/Schomerus, § 1 BDSG Rz. 22; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 6. 5 Simitis/Simitis, § 1 BDSG Rz. 134; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 6. 6 Simitis/Simitis, § 1 BDSG Rz. 134; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 6. 7 Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 7.
6 Plath
Zweck und Anwendungsbereich des Gesetzes
§ 1 BDSG
Das BDSG schützt jede Form des Umgangs mit Daten, unabhängig da- 12 von, wie intensiv er erfolgt und ob er missbräuchlich ist1. Er ist grundsätzlich verboten, es sei denn, dass gem. § 4 das BDSG oder ein anderes Gesetz die Datenerhebung, -verarbeitung oder -nutzung erlaubt oder der Betroffene eingewilligt hat. Damit normiert das BDSG ein Verbot mit Erlaubnisvorbehalt. 3. Das BDSG als Schutzgesetz Das BDSG ist vor allem ein Schutzgesetz mit dem Ziel, eine Beeinträchtigung des Persönlichkeitsrechts des Betroffenen präventiv zu verhindern2. Ein Verstoß kann damit (neben den Ansprüchen aus §§ 7 und 8) zu einem Schadensersatzanspruch gem. § 823 Abs. 2 BGB i.V.m. der verletzen Norm führen3.
13
Das BDSG ist darüber hinaus auch ein arbeitsrechtliches Schutzgesetz, 14 soweit ein Umgang mit Personaldaten erfolgt. Dies begründet das Recht, aber auch die Pflicht des Betriebs-4 und Personalrats5, den Datenumgang zu kontrollieren6. Neben der Überwachung der Einhaltung des materiell-rechtlichen Gehalts der Vorschriften umfasst diese Kontrollaufgabe auch die Überprüfung der verfahrensrechtlichen Maßnahmen, insbesondere der Einsetzung des betrieblichen Datenschutzbeauftragten und die korrekte Durchführung seiner Aufgaben, §§ 4f, 4g, sowie die Durchführung der technischen und organisatorischen Maßnahmen gemäß § 97. 4. Verhältnis des BDSG zum UWG Umstritten ist, ob dem BDSG generell auch eine verbraucher- oder wettbewerbsschützende Funktion zukommt. Wäre dies der Fall, so könnten Verstöße gegen das BDSG durch Verbraucherverbände und Wettbewerber, insbesondere nach dem UWG, verfolgt werden. Ein Wettbewerbsverstoß nach dem UWG setzt voraus, dass die geschäftliche Handlung unlauter i.S.d. § 1 UWG ist. Ob dies der Fall ist, richtet sich nach den Vorausset1 Simitis/Simitis, § 1 BDSG Rz. 81 ff. 2 Simitis/Simitis, § 1 BDSG Rz. 79. 3 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 10; Huppertz/Ohrmann, CR 2011, 449, 450. 4 § 68 Abs. 1 Nr. 2 BPersVG. 5 § 80 Abs. 1 Nr. 1 BetrVG. 6 Gola/Schomerus, § 1 BDSG Rz. 5; Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 6. 7 Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 6; Gola/Schomerus, § 1 BDSG Rz. 5; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 11.
Plath 7
15
BDSG § 1
Allgemeine und gemeinsame Bestimmungen
zungen des § 3 UWG, wobei § 4 UWG Beispiele für Handlungen anführt, die als unlauter angesehen werden. Insbesondere wird im Falle des Verstoßes gegen das BDSG eine Anwendbarkeit des § 4 Nr. 11 UWG erwogen. Danach sind solche geschäftlichen Handlungen unlauter, durch die einer Vorschrift zuwidergehandelt wird, die im Interesse der Marktteilnehmer das Marktverhalten regelt. Teilweise wird das BDSG als eine solche Vorschrift angesehen1. Dagegen spricht jedoch, dass dem BDSG eine marktregelnde Funktion nicht per se zugesprochen werden kann2. Das primäre Ziel des BDSG ist der Schutz der Privatsphäre des Einzelnen und seines Rechts auf informationelle Selbstbestimmung, und zwar unabhängig davon, ob er Verbraucher ist3. Ein allgemeiner Marktverhaltensbezug des BDSG besteht damit nach der hier vertretenen Ansicht nicht. 16 Die wohl herrschende Meinung vertritt jedoch zu recht die Auffassung, dass die infrage stehenden Normen im Einzelfall auf ihre marktverhaltensregelnde Funktion hin untersucht werden müssen4. So könnte ein Datenumgang, der zu kommerziellen, insbesondere zu Werbezwecken erfolgt, als marktrelevant anzusehen sein, so dass bei einem Verstoß § 4 Nr. 11 UWG anwendbar wäre5. Diskutiert wird dies insbesondere zu §§ 46, 28 (v.a. Abs. 4)7 und 298 BDSG. 1 So im Ergebnis Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 4; Weichert, DuD 2001, 264; offen Gola/Schomerus, § 1 BDSG Rz. 4. 2 So zuletzt auch OLG München v. 12.1.2012, CR 2012, 269; Taeger/Gabel/ Schmidt, § 1 BDSG Rz. 13; MüKo/Schaffert, § 4 Nr. 11 UWG Rz. 69; Köhler/ Bornkamm/Köhler, § 4 UWG Rz. 11.42; Piper/Ohly/Sosnitza/Ohly, § 4.11 UWG Rz. 11/79; Harte-Bavendamm/Henning-Bodewig/v. Jagow, § 4 UWG Rz. 45; Gärtner/Heil, WRP 2005, 20 (22 f.); Kamlah/Hoke, RDV 2008, 226 (229); a.A. Ernst, WRP 2004, 1133 (1137). 3 OLG Frankfurt, GRUR 2005, 785 (786). 4 Statt Vieler Taeger/Gabel/Schmidt, § 1 BDSG Rz. 13 m.w.N. 5 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 14 m.w.N.; Köhler/Bornkamm/Köhler, § 4 UWG Rz. 11.42; MüKo/Schaffert, § 4 Nr. 11 UWG Rz. 69; Huppertz/Ohrmann, CR 2011, 449, 451; a.A. Piper/Ohly/Sosnitza/Ohly, § 4.11 UWG Rz. 11/79; Gärtner/Heil, WRP 2005, 20, 22; ausführlich zur diesbezüglichen Rechtsprechung Kamlah/Hoke, RDV 2006, 226 (229 f.). 6 OLG Frankfurt, GRUR 2005, 785; OLG Köln, CR 2001, 454; LG Berlin, VuR 2002, 413; Weichert, VuR 2006, 377. 7 OLG Düsseldorf, ZUM-RD 2004, 236; OLG Köln, CR 2001, 454, OLG Naumburg, NJW 2003, 3566; OLG Stuttgart, GRUR-RR 2007, 330; Harte-Bavendamm/Henning-Bodewig/v. Jagow, § 4 UWG Rz. 45; MüKo/Schaffert, § 4 UWG Rz. 69; Köhler/Bornkamm/Köhler, § 4 UWG Rz. 11.42; Frhr. v. Gamm, GRUR 1996, 574; siehe auch § 28 Rz. 102. 8 OLG Frankfurt, NJWE-WettbR 1997, 29; OLG Köln, CR 2001, 454, Weichert, VuR 2006, 377, 38.
8 Plath
Zweck und Anwendungsbereich des Gesetzes
§ 1 BDSG
Eine Klagebefugnis der Verbraucherverbände nach § 2 UKlaG auf der 17 Grundlage eines Verstoßes gegen verbraucherschützende Vorschriften ist im Fall von BDSG-Verstößen nach wohl h.M. abzulehnen, da dem BDSG im Allgemeinen – und §§ 3a, 4 und 28 im Besonderen – keine verbraucherschützende Funktion zukommt1. 5. Das BDSG als Eingriffs- und Auffanggesetz Über seine Funktion als Schutzgesetz hinaus fungiert das BDSG auch als Eingriffsgesetz. In der Tat erfordert der staatliche Eingriff in grundrechtlich geschützte Rechtspositionen eine gesetzliche Legitimation2. Doch auch im Verhältnis zwischen Privatpersonen müssen aufgrund ihrer mittelbaren Drittwirkung die Grundrechte beachtet werden, so dass das BDSG auch im nicht-öffentlichen Bereich Regeln statuiert, innerhalb derer der Umgang mit Daten zulässig ist. Die im BDSG vielfach vorgesehenen Interessenabwägungen bilden dabei das Einfallstor für die erforderliche Berücksichtigung der grundrechtlich geschützten Positionen der Parteien.
18
Schließlich ist das BDSG auch ein Auffanggesetz; es gilt subsidiär zu den Landesdatenschutzgesetzen und zu spezialgesetzlichen Regelungen, vgl. Abs. 33.
19
III. Geltungsbereich (Abs. 2) Abs. 2 regelt den sachlichen Anwendungsbereich des BDSG sowie die 20 Normadressaten. Bezüglich der dort verwendeten Begriffe „Erhebung, Verarbeitung und Nutzung personenbezogener Daten“ wird auf die Kommentierung zu §§ 3 Abs. 1, 3 verwiesen. Trotz des beschränkenden Wortlauts bezieht sich Abs. 2 jedoch auf jede Form des Datenumgangs4.
1 OLG Düsseldorf v. 20.2.2004 – I U 149/03, RDV 2004, 222; OLG Hamburg v. 25.11.2004 – 5 U 22/04, MMR 2005, 617; OLG Frankfurt v. 30.6.2005 – 6 U 168/04, GRUR 2005, 785; ausführlich zur Rechtsprechung zur verbraucherschützenden Funktion des BDSG Kamlah/Hoke, RDV 2008, 226 (228 f.); für eine Klagebefugnis der Verbraucherverbände hingegen Weichert, DuD 2001, 264 (269). 2 Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 5. 3 Vgl. Rz. 35. 4 Simitis/Dammann, § 1 BDSG Rz. 134.
Plath 9
BDSG § 1
Allgemeine und gemeinsame Bestimmungen
1. Öffentliche Stellen des Bundes (Abs. 2 Nr. 1) 21 Das Gesetz richtet sich zunächst an die öffentlichen Stellen des Bundes. Diese werden in § 2 Abs. 1 legal definiert (vgl. § 2 Rz. 5). Darunter fallen alle Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierten Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. 22 Die Regeln für die Datenverarbeitung durch öffentliche Stellen befinden sich im 2. Abschnitt des BDSG, §§ 12–26. Der Schutz des BDSG ist hier umfassend und ausnahmslos1. Er greift bei allen Phasen der Datenverwendung unabhängig davon, ob sie automatisiert erfolgt oder nicht2. Geschützt wird damit auch die Verarbeitung von Daten in physischen Akten3. Das BDSG geht diesbezüglich weiter als die Vorgaben der EGDatenschutzrichtlinie4. 2. Öffentliche Stellen der Länder (Abs. 2 Nr. 2) 23 Das BDSG definiert in § 2 Abs. 2, 3 Satz 2, welche Stellen öffentliche Stellen der Länder sind. Der Begriff der öffentlichen Stelle muss auf Bundes- und Landesebene gleich ausgelegt werden5. 24 Die Geltung des BDSG für öffentliche Stellen der Länder ist subsidiär also nur für den Fall, dass der Datenschutz nicht durch Landesgesetz geregelt ist. Inzwischen ist dies in allen Bundesländern der Fall. Der Vorrang der Landesdatenschutzgesetze gilt jedoch nur in dem Ausmaß, in dem ihr Schutzbereich reicht („soweit“). Fehlt eine landesrechtliche Regelung oder ist eine Landesnorm nicht anwendbar, greift der Schutz des BDSG6. Gleiches gilt, wenn der Schutzbereich des Landesgesetzes enger gefasst ist als der Schutzbereich des BDSG7. In diesem Fall gilt das BDSG in dem von den landesrechtlichen Regelungen nicht erfassten Umfang. 1 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 22. 2 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 10. 3 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 21; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 10. 4 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 21; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 10; zur vollharmonisierenden Wirkung der EG-Datenschutzrichtlinie siehe oben Rz. 5. 5 Gola/Schomerus, § 1 BDSG Rz. 19a. 6 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 23; Simitis/Dammann, § 1 BDSG Rz. 125. 7 Simitis/Dammann, § 1 BDSG Rz. 126.
10 Plath
Zweck und Anwendungsbereich des Gesetzes
§ 1 BDSG
Die Subsidiaritätsregelung des Abs. 2 Nr. 2 gilt nur im Bezug auf das 25 BDSG. Ansonsten – z.B. mit Blick auf bereichsspezifische Datenschutzregelungen – bleibt es beim Grundsatz „Bundesrecht bricht Landesrecht“1. Darüber hinaus ist das BDSG nur dann subsidiär anwendbar, wenn und soweit die Voraussetzungen der jeweiligen Norm erfüllt sind. Damit finden Normen, die sich speziell an öffentliche Stellen des Bundes richten (z.B. §§ 18, 21–26, 42), auf öffentliche Stellen der Länder weder direkt noch entsprechend Anwendung2. 3. Nicht-öffentliche Stellen (Abs. 2 Nr. 3) Schließlich ist das BDSG, insbesondere der 3. Abschnitt (§§ 27 ff.), auch 26 auf den Datenumgang durch nicht-öffentliche Stellen anwendbar. Dieser Begriff ist in § 2 Abs. 4 legaldefiniert und umfasst alle natürlichen und juristischen Personen, Gesellschaften und andere Personenvereinigungen des Privatrechts. Dagegen gelten die Landesdatenschutzgesetze für nicht-öffentliche Stellen nicht3. Nach dem Wortlaut des Abs. 2 greift das BDSG – anders als bei öffentlichen Stellen – bei nicht-öffentlichen Stellen jedoch nur für automatisierte Verarbeitungen unter Einsatz von „Datenverarbeitungsanlagen“ sowie bei dateigebundener Datenverarbeitung. Unter dem Begriff der „Datenverarbeitungsanlage“ ist jede Vorrichtung zu verstehen, die in einem automatisierten Prozess Daten verwendet. Insbesondere fallen darunter jegliche Arten von Computern4. Die automatisierte Datenverarbeitung nach der ersten Tatbestandsvariante dieser Norm setzt dabei in Umsetzung der EG-Datenschutzrichtlinie keinen elektronischen Dateibezug mehr voraus. Maßgeblich ist lediglich, dass dem Datenumgang der Einsatz einer Datenverarbeitungsanlage zugrunde liegt bzw. dieser im Hinblick auf eine automatisierte Datenverarbeitung erfolgt. Damit wird beispielsweise auch eine manuelle Datenerhebung vom BDSG erfasst, wenn die spätere Verarbeitung mithilfe einer Datenverarbeitungsanlage erfolgen soll. Ausschlaggebend ist also bereits die Intention eines Umgangs mithilfe von Datenverarbeitungsanlagen5. 1 2 3 4 5
Simitis/Dammann, § 1 BDSG Rz. 127. Simitis/Dammann, § 1 BDSG Rz. 128. Däubler/Klebe/Wedde/Weichert/Weichert, § 1 Rz. 9. Vgl. auch Simitis/Dammann, § 1 BDSG Rz. 140. So auch Simitis/Dammann, § 1 BDSG Rz. 141; Schaffland/Wiltfang, § 1 BDSG Rz. 11a.
Plath 11
27
BDSG § 1
Allgemeine und gemeinsame Bestimmungen
28 Erfolgt der Datenumgang dagegen nicht automatisiert, so greift das BDSG nur, wenn zumindest ein mittelbarer Dateibezug besteht1. In § 3 Abs. 2 Satz 2 wird der Begriff der Datei als „jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann“ legaldefiniert2. Der Dateibezug muss zu eigenen Dateien der verantwortlichen Stelle bestehen. Dateien Dritter werden grundsätzlich nicht zugerechnet. Eine Ausnahme hierzu wird jedoch in § 27 Abs. 2 hineingelesen. Danach findet das BDSG auch Anwendung auf die Verarbeitung von Daten, die offensichtlich einer automatisierten Verarbeitung entnommen worden sind und dabei keinen Dateibezug aufweisen, unabhängig davon, ob die Verarbeitung durch Dritte oder durch die verantwortliche Stelle selbst erfolgte3. 29 Auf die Datenverarbeitung in physischen Aktenordnern und sonstigen Dokumenten in Papierform, die nicht Dateien i.S.d. § 3 Abs. 2 sind, findet das BDSG damit grundsätzlich keine Anwendung. Eine Ausnahme gilt nur dann, wenn die Daten in den Akten offensichtlich aus einer automatisierten Verarbeitung entstammen, vgl. § 27 Abs. 24. 4. Persönliche und familiäre Tätigkeiten 30 Ausgenommen vom Geltungsbereich des BDSG sind nach Abs. 2 Nr. 3, 2. Halbs. persönliche und familiäre Tätigkeiten. Dabei kommt es maßgeblich darauf an, dass die Datenverwendung ausschließlich zu einem persönlichen oder familiären Zweck erfolgt; auf ihren Umfang kommt es also nicht an5. Damit sind z.B. auch Rundmails an eine Vielzahl von Empfängern so lange nicht vom BDSG erfasst, wie der Inhalt rein persönlicher oder familiärer Natur ist. Erfolgt jedoch die Datenverarbeitung jedenfalls zum Teil zu Zwecken, die nicht persönlich oder familiär sind, so findet das BDSG auf den gesamten Vorgang Anwendung6. 1 Simitis/Dammann, § 1 BDSG Rz. 143, 144 spricht von einem „logischen“ Dateibezug. 2 Ausführlich hierzu § 3 Rz. 25. 3 Vgl. Gola/Schomerus, § 27 BDSG Rz. 15 f.; so auch Simitis/Dammann, § 1 BDSG Rz. 145. 4 Gola/Schomerus, § 1 BDSG Rz. 20. 5 Simitis/Dammann, § 1 BDSG Rz. 150; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 19. 6 So auch Bergmann/Möhrle/Herb, § 1 BDSG Rz. 21; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 28; zu der Frage, ob das BDSG auf die Datenverwendung anwendbar ist, die bei der dienstlichen Verwendung privater IT erfolgt, Conrad/Schneider, ZD 2011, 153, 154.
12 Plath
Zweck und Anwendungsbereich des Gesetzes
§ 1 BDSG
Was familiär oder persönlich ist, richtet sich grundsätzlich nach der Ver- 31 kehrsanschauung; der Zweck muss objektiv als familiär oder persönlich erkennbar sein1. Davon erfasst sind jedenfalls alle Tätigkeiten im Rahmen der Freizeit und der Familie. Dies betrifft z.B. private Korrespondenz, Tagebücher, Notizbücher, Adressverzeichnisse, Fotos, Videos und Geburtstagslisten, und zwar unabhängig davon, wie und wo sie gehalten oder abgelegt werden2. Dem steht auch nicht entgegen, dass diese Daten von Mehreren genutzt werden, solange diese Personen zum persönlichen oder familiären Kreis gehören3. Als persönlich i.S. der Vorschrift ist zudem auch die Verwaltung eigenen Vermögens zu sehen, inklusive diesbezüglicher Kontaktdaten oder Verzeichnisse, wenn die Vermögensverwaltung nicht gewerblich betrieben wird4. Unerheblich ist, ob eine persönliche Beziehung des Verwenders zu der betroffenen Person besteht. So findet das BDSG zum Beispiel auch auf Datensammlungen über Personen im Rahmen einer Fan-Liebhaberei keine Anwendung, soweit der Umgang mit diesen Daten persönlicher Natur bleibt5. Eine Datenverwendung zu kommerziellen oder gewerblichen Zwecken 32 ist hingegen nicht persönlicher oder familiärer Natur. Damit fallen auch Tätigkeiten i.R.v. freien Berufen unter das BDSG, und zwar auch dann, wenn diese in privaten Räumen erfolgen6. Gleiches gilt für Tätigkeiten, die zur Vorbereitung eines gewerblichen Zwecks erfolgen, z.B. der Marktforschung oder Werbung7. Gleiches gilt für Daten über Bewerbungen, Aus- und Fortbildungen sowie Vergütungen. Zu beachten ist hier jedoch, dass diese aufseiten des Arbeitgebers gewerblich, aufseiten des Bewerbers/Arbeitnehmers hingegen persönlich sind8. Schließlich fallen i.d.R. auch solche Tätigkeiten, die nicht mehr aus- 33 schließlich dem persönlich-familiären Bereich zuzuordnen sind, aber auch noch nicht als gewerblich oder kommerziell anzusehen sind, in den Anwendungsbereich des BDSG. Dies betrifft vor allem Tätigkeiten innerhalb von Vereinen oder Kirchengemeinden, unabhängig davon, ob 1 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 30; Simitis/Dammann spricht sich für eine restriktive Auslegung aus, § 1 BDSG Rz. 148. 2 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 21. 3 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 30; Simitis/Dammann, § 1 BDSG Rz. 151; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 2. 4 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 21; Simitis/Dammann, § 1 BDSG Rz. 151; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 30. 5 Simitis/Dammann, § 1 BDSG Rz. 152. 6 Simitis/Dammann, § 1 BDSG Rz. 151. 7 Simitis/Dammann, § 1 BDSG Rz. 151. 8 Simitis/Dammann, § 1 BDSG Rz. 151.
Plath 13
BDSG § 1
Allgemeine und gemeinsame Bestimmungen
sie kommerzieller Natur sind1. Ebenso gilt dies z.B. für die Nutzung persönlicher Adresssammlungen zu kommerziellen Zwecken, z.B. für Werbeaktionen, und zwar unabhängig vom Werbezweck und damit auch im Falle der Werbung zu nicht-gewerblichen Zwecken. Darüber hinaus fallen auch Datensammlungen, die zu einem späteren Zeitpunkt zur Veröffentlichung vorgesehen sind, z.B. zur Erstellung von (Auto)Biographien, in den Anwendungsbereich des BDSG2. Auch private Web-Seiten können in den Anwendungsbereich des BDSG fallen, wenn sie der Verbreitung von Informationen dienen und der Allgemeinheit frei zugänglich sind, unabhängig vom intendierten Adressatenkreis3. Bei der Verwendung personenbezogener Daten im Rahmen von SocialMedia-Netzwerken – zum Vorrang des TMG siehe § 11 TMG Rz. 2 ff. – kommt es auf den konkreten Zweck der Nutzung an. Werden die Daten, z.B. private Fotos, lediglich Freunden und Bekannten gegenüber freigegeben, so liegt jedenfalls im Verhältnis zwischen dem Inhaber des Accounts und dessen „Freunden“ eine private Nutzung vor, die sich dann außerhalb des BDSG bewegt. Werden die Daten hingegen verfügbar gemacht, um eigene Angebote des Account-Inhabers zu bewerben, so unterliegt die entsprechende Verwendung der Daten, z.B. der Namen oder Fotos Dritter, den Regelungen der BDSG. 34 Bei juristischen Personen ist keine persönliche oder familiäre Tätigkeit denkbar. Eine entsprechende Anwendung des Abs. 3 Nr. 3, 2. Halbs. auf Teile eines Konzerns, z.B. auf „Konzerntöchter“, ist nicht denkbar4. IV. Subsidiarität des BDSG (Abs. 3) 1. Vorrang der Rechtsvorschriften des Bundes (Satz 1) 35 Nach Abs. 3 ist das BDSG gegenüber allen Rechtsvorschriften des Bundes subsidiär, die den Umgang mit personenbezogenen Daten regeln. Rechtsvorschriften sind sowohl formelle als auch materielle Gesetze, so dass auch Verordnungen und Satzungen der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen vorrangig sind5. Verwaltungs1 Schaffland/Wiltfang, § 1 BDSG Rz. 22; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 17; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 27; Simitis/Dammann, § 1 BDSG Rz. 151. 2 So wohl auch Simitis/Dammann, § 1 BDSG Rz. 152. 3 Simitis/Dammann, § 1 BDSG Rz. 151. 4 Simitis/Dammann, § 1 BDSG Rz. 153; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 15; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 28. 5 Simitis/Dix, § 1 BDSG Rz. 164 f.; Gola/Schomerus, § 1 BDSG Rz. 23; Däubler/ Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 12.
14 Plath
Zweck und Anwendungsbereich des Gesetzes
§ 1 BDSG
vorschriften und Erlasse sind mangels unmittelbarer Außenwirkung keine Rechtsvorschriften i.S.d. § 1 Abs. 31. Ebenso wenig sind Tarifverträge und Betriebsvereinbarungen gegenüber dem BDSG vorrangig. Zwar ordnen Bundesgesetze die zwingende Wirkung des materiellen Teils von Tarifverträgen und Betriebsvereinbarungen an, doch werden sie dadurch nicht selbst Rechtsvorschriften des Bundes2. Sie gelten jedoch als Erlaubnisnorm i.S.d. § 4 Abs. 13. Die Subsidiaritätsklausel greift unabhängig davon, welche Rechtsvor- 36 schrift älter4 oder strenger ist5. Voraussetzung ist jedoch, dass der Anwendungsbereich beider Normen deckungsgleich ist, und dass die bereichsspezifische Vorschrift eindeutig Belange des Datenschutzrechts regelt6. Der Vorrang der bereichsspezifischen Norm greift somit nur dann, wenn diese genau den infrage stehenden Tatbestand regelt. Trifft das Spezialgesetz eigene Abgrenzungsregelungen, so gehen diese dem Abs. 3 Satz 1 vor7. Zu beachten ist dabei, dass die voll harmonisierende Wirkung der EG-Datenschutzrichtlinie (siehe dazu Rz. 5) nicht allein das BDSG betrifft, sondern also vorrangige europarechtliche Regelung sämtliche Gesetze im Anwendungsbereich der Richtlinie. Dies hat zur Konsequenz, dass bei der Prüfung des Vorrangs einer datenschutzrechtlichen Spezialregelung stets auch zu prüfen ist, ob diese mit den Vorgaben der EGDatenschutzrichtlinie im Einklang steht. Tatbestände, die nicht vom bereichsspezifischen Gesetz erfasst werden, fallen in den Anwendungsbereich des BDSG, das damit ein Auffanggesetz ist8. Generell tendiert der Gesetzgeber zur Schaffung bereichsspezifischen Regelungen, so dass das BDSG inzwischen hinter einer Vielzahl von Spe-
1 Simitis/Dix, § 1 BDSG Rz. 168; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 32. 2 Ebenso Gola/Schomerus, § 1 BDSG Rz. 23; Simitis/Dix, § 1 BDSG Rz. 166; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 32; a.A. dagegen Schaffland/Wiltfang, § 1 BDSG Rz. 38, 44. 3 Gola/Schomerus, § 1 BDSG Rz. 23; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 32; Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 12; Simitis/Dix, § 1 BDSG Rz. 166. 4 Simitis/Dix, § 1 BDSG Rz. 167. 5 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 33; Gola/Schomerus, § 1 BDSG Rz. 24; a.A. Simitis/Dix, § 1 BDSG Rz. 172. 6 Vgl. Wagner, BRAK-Mitt. 1/2011, 3. 7 So z.B. § 90 TKG und § 95 Abs. 1 TKG, vgl. Taeger/Gabel/Schmidt, § 1 BDSG Rz. 35 m.w.N. 8 Simitis/Dix, § 1 BDSG Rz. 170; Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 13.
Plath 15
37
BDSG § 1
Allgemeine und gemeinsame Bestimmungen
zialgesetzen zurücktritt1. So sind beispielsweise das Allgemeine Gleichbehandlungsgesetz (AGG), das Betriebsverfassungsgesetz (BetrVG)2, das Handelsgesetzbuch (HGB), die Grundbuchordnung (GBO), das Kreislaufwirtschafts- und Abfallgesetz (KrW-/AbfG), das Kreditwesengesetz (KWG), das Signaturgesetz (SigG), die Sozialgesetze (SGB I-X), das Stasiunterlagengesetz (StUG), das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG) unter den Voraussetzungen des Abs. 3 Satz 1, wie zuvor dargestellt, vorrangig3. Dagegen genießen nach einer neueren Entscheidung des KG die Vorschriften der BRAO zum anwaltlichen Mandatsgeheimnis mangels Deckungsgleichheit keinen Vorrang gemäß Abs. 3 Satz 14. Sie müssen jedoch nach Maßgabe des Abs. 3 Satz 2 unberührt bleiben5. 38 Keine Aussage trifft die Subsidiaritätsklausel über das Verhältnis zum Landesrecht. Gilt das BDSG nach den Voraussetzungen des Abs. 2 Nr. 2 mangels einschlägiger Landesgesetze, so ergibt sich ein Vorrang speziellerer Landesgesetze auch nicht aus Abs. 3. Dagegen gilt der Vorrang einer speziellen Rechtsvorschrift des Bundes i.S.d. Abs. 3 auch gegenüber den Landesdatenschutzgesetzen; insofern gilt der Grundsatz des Art. 31 GG, „Bundesrecht bricht Landesrecht“6. Die Landesdatenschutzgesetze enthalten meistens selbst eine mit Abs. 3 Satz 1 vergleichbare Vorrangregelung, so dass auch auf Landesebene der Vorrang des spezielleren Gesetzes vor dem subsidiären Datenschutzgesetz gilt7. Im Ergebnis ergibt sich dementsprechende folgendes Rangverhältnis einschlägiger Normen (von vor- zu nachrangig): – Spezielles Bundesrecht – Spezielles Landesrecht – LandesDSG – BDSG
1 Schaffland/Wiltfang, § 1 BDSG Rz. 34; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 8; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 35. 2 LAG Berlin-Brandenburg v. 4.3.2011 – 10 TaBV 1984/10. 3 Vgl. Taeger/Gabel/Schmidt, § 1 BDSG Rz. 35, Schaffland/Wiltfang, § 1 BDSG Rz. 44 ff. sowie Bergmann/Möhrle/Herb, § 1 BDSG Rz. 25 m.w.N. 4 KG Berlin v. 20.8.2010 – 1Ws (B) 51/07, 1 Ws (B) 51/07 – 2 Ss 23/07, CR 2011, 187; ebenso Simitis/Dix, § 1 BDSG Rz. 171. 5 S.u. Rz. 41. 6 So auch Taeger/Gabel/Schmidt, § 1 BDSG Rz. 32; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 27. 7 Vgl. Taeger/Gabel/Schmidt, § 1 BDSG Rz. 34.
16 Plath
Zweck und Anwendungsbereich des Gesetzes
§ 1 BDSG
2. Geheimhaltungspflichten (Satz 2) Satz 2 bestimmt, dass Geheimhaltungspflichten vom BDSG unberührt bleiben. Ein absoluter Vorrang der Geheimhaltungspflichten, der die verantwortliche Stelle von der Pflicht zur Beachtung des BDSG befreien würde, ergibt sich daraus aber gerade nicht. Damit gehen die Geheimhaltungspflichten dem BDSG so lange vor, wie dieses keinen strengeren Schutz anordnet oder dieser wegen der allgemeinen Subsidiarität generell verdrängt würde; ansonsten gilt das BDSG als „Minimalstandard“1.
39
Die Geheimhaltungspflichten können gesetzlicher, beruflicher oder 40 amtlicher Natur sein. Eine gesetzliche Geheimhaltungspflicht setzt eine ausdrückliche Kodifizierung voraus2. Beispiele hierfür sind u.a. das Anwaltsgeheimnis (§ 43a BRAO)3, das Notargeheimnis (§ 18 BNotO), das Steuergeheimnis (§ 30 AO), das Sozialgeheimnis (§ 35 SGB I), das Meldegeheimnis (§ 5 MRRG), das Adoptionsgeheimnis (§ 1758 BGB), das Fernmeldegeheimnis (§ 88 TKG) sowie das Geschäfts- und Betriebsgeheimnis (§ 17 UWG)4. Ihr Vorrang ergibt sich jedoch teilweise auch schon aus Satz 1, soweit personenbezogene Daten von der Geheimhaltungspflicht betroffen sind5. Unter die beruflichen Geheimhaltungspflichten, die nicht gesetzlich festgelegt sind, fallen z.B. die Schweigepflicht der Ärzte6 und der Psychologen sowie das Bankgeheimnis7. Ebenso fällt das Beichtgeheimnis unter den Vorbehalt der Geheimhaltungspflichten. Amtliche Geheimhaltungspflichten, die nicht gesetzlich vorgeschrieben sind, gibt es dagegen kaum noch. Von Bedeutung ist lediglich das Personalaktengeheimnis der Angestellten und Arbeitnehmer des öffentlichen Dienstes8.
1 Simitis/Dix, § 1 BDSG Rz. 186; Taeger/Gabel/Schmidt, § 1 BDSG Rz. 38. 2 Simitis/Dix, § 1 BDSG Rz. 180. 3 So zuletzt auch KG Berlin v. 20.8.2010 – 1Ws (B) 51/07, 1 Ws (B) 51/07 – 2 Ss 23/07, CR 2011, 187; vgl. auch Simitis/Dix, § 1 BDSG Rz. 186; Wagner, BRAKMitt. 2011, 2 (3). 4 Vgl. auch Taeger/Gabel/Schmidt, § 1 BDSG Rz. 37; Simitis/Dix, § 1 BDSG Rz. 177 ff.; Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 14. 5 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 37. 6 Mit Ausnahme der Klinikärzte, deren Geheimhaltungspflicht in den Landeskrankenhausgesetzen kodifiziert ist. 7 Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 14; Taeger/Gabel/ Schmidt, § 1 BDSG Rz. 40 f. 8 Das Personalaktengeheimnis ist für Beamten inzwischen im BBG und im BRRG gesetzlich geregelt; vgl. auch Taeger/Gabel/Schmidt, § 1 BDSG Rz. 42; Simitis/Dix, § 1 BDSG Rz. 183.
Plath 17
BDSG § 1
Allgemeine und gemeinsame Bestimmungen
41 In einer neueren Entscheidung hat das KG geurteilt, dass das Mandatsgeheimnis einem Auskunftsverlangen der Datenschutzbehörde (§ 38 Abs. 3 Satz 1) u.U. entgegengehalten werden kann1. Aufgrund der Regelung des Abs. 3 Satz 2 sei das Mandatsgeheimnis i.R.d. BDSG zu berücksichtigen, so dass der Anwalt – im konkreten Fall ein Strafverteidiger – „weder berechtigt noch verpflichtet“ sei, mandatsbezogene Informationen an die Datenschutzbehörde weiterzugeben. Dieser Ansicht ist zuzustimmen. Da die Weitergabe von Mandatsgeheimnissen gemäß § 203 Abs. 1 Nr. 3 StGB strafbewährt ist, kann sich der Anwalt auf das Auskunftsverweigerungsrecht aus § 38 Abs. 3 Satz 2 berufen, das immer dann greift, wenn sich der Auskunftspflichtige durch die Beantwortung der gestellten Fragen der Gefahr einer strafrechtlichen Verfolgung aussetzen würde2. 42 Vertragliche Geheimhaltungspflichten werden nach dem klaren Wortlaut des Abs. 3 Satz 2 nicht von dieser Norm erfasst. V. Verhältnis zum Verwaltungsverfahrensgesetz (Abs. 4) 43 Abs. 4 regelt als Rückausnahme zu Abs. 3 den Vorrang des BDSG bei der Sachverhaltsermittlung vor den Regeln des Verwaltungsverfahrensgesetzes (VwVfG) des Bundes3. Dies führt zum einen dazu, dass die Ermittlung personenbezogener Daten im Rahmen der Sachverhaltsermittlung als Datenerhebung beim Betroffenen i.S.d. § 4 Abs. 2 Satz 1 zu qualifizieren ist mit der Folge, dass die Befugnisse der Beamten aus § 24 VwVfG durch § 4 Abs. 2 Satz 2, Abs. 3 eingeschränkt werden. Zum anderen führt Abs. 4 zu einem Vorrang des § 14 vor § 26 VwVfG, der den Umgang mit Beweismitteln durch die Behörden regelt, so dass eine Zweckbindung erforderlich ist, wenn Daten als Beweismittel gespeichert werden sollen. 44 Umstritten ist, ob das BDSG über den Wortlaut des Abs. 4 hinaus im gesamten Verwaltungsverfahren zu beachten ist. Aufgrund der überragenden Bedeutung des Rechts auf informationelle Selbstbestimmung ist dies nach der hier vertretenen Ansicht zu bejahen4. 1 KG v. 20.8.2010 – 1 Ws (B) 51/07 – 2 Ss 23/07, NJW 2011, 324, 325. 2 KG v. 20.8.2010 – 1 Ws (B) 51/07 – 2 Ss 23/07, NJW 2011, 324, 325; a.A. hingegen Weichert, NJW 2009, 550, 554; kritisch zur Verfassungsmäßigkeit des BDSG im Hinblick auf das Mandatsgeheimnis Rüpke, ZRP 2008, 87. 3 Taeger/Gabel/Schmidt, § 1 BDSG Rz. 43. 4 So auch Simitis/Dix, § 1 BDSG Rz. 193 mit dem Verweis auf die dahingehende Regelung in vielen Landesdatenschutzgesetzen; ebenso Taeger/Gabel/Schmidt, § 1 BDSG Rz. 43; a.A. Schaffland/Wiltfang, § 1 BDSG Rz. 36; Bergmann/Möhr-
18 Plath
Zweck und Anwendungsbereich des Gesetzes
§ 1 BDSG
VI. Auslandsbezug (Abs. 5) 1. Einführung Abs. 5 regelt als Kollisionsnorm die Anwendbarkeit des BDSG bei grenz- 45 überschreitenden Sachverhalten. Die 2001 eingeführte Regelung beruht auf der Umsetzung von Art. 4 EG-Datenschutzrichtlinie, wodurch insbesondere zwei Ziele verfolgt wurden: Zum einen sollte innerhalb des Geltungsbereichs der Regelung (also 46 auch im EWR) durch die Gewährleistung des freien Datenverkehrs der Binnenmarkt gestärkt werden. Jede in der EU oder dem EWR „belegene“ verantwortliche Stelle, die innerhalb des Geltungsbereichs der EG-Datenschutzrichtlinie tätig werden will, soll ihr eigenes Datenschutzrecht „exportieren“ können, ohne ausländische Rechtsordnungen berücksichtigen zu müssen. Dieses Bestreben korreliert mit dem übergeordneten Ziel der EG-Datenschutzrichtlinie, einen einheitlichen Datenschutzstandard zu schaffen. Zum anderen sollte vermieden werden, dass es zu Schutzlücken für die Betroffenen kommt1. Abs. 5 verdrängt als lex specialis die allgemeinen Kollisionsnormen der 47 Art. 3–46a EGBGB zum IPR2. Ebenso wenig findet die Rom-II-Verordnung Anwendung, da diese gerade dann nicht gilt, wenn das außervertragliche Schuldverhältnis auf einer Verletzung des Persönlichkeitsrechts beruht (Art. 1 Abs. 2 Buchst. g Rom-II-VO), was bei datenschutzrechtlichen Sachverhalten jedoch regelmäßig der Fall ist3. Keine Auswirkung hat Abs. 5 auf die Anwendbarkeit des Straftatbestands des § 444. Maßstab ist hier weiterhin das im deutschen Strafrecht grundsätzlich geltende Territorialitätsprinzip, §§ 3 ff. StGB5. Abs. 5 regelt nur die Anwendbarkeit des BDSG für den Fall, dass ausländische Unternehmen und sonstige Stellen in Deutschland tätig werden. Keine Aussage trifft das Gesetz damit für den Fall, dass ein deutsches Unternehmen Daten außerhalb Deutschlands verarbeitet oder nutzt.
1 2
3 4 5
le kommt dagegen zu einer Subsidiarität des VwVfG aufgrund der Regelung des § 1 Abs. 1, letzter Halbs. VwVfG. Taeger/Gabel/Gabel, § 1 BDSG Rz. 49. Taeger/Gabel/Gabel, § 1 BDSG Rz. 50; a.A. Jotzo, MMR 2009, 232, 233, der aufgrund eines unzureichenden Schutzes des BDSG bei Persönlichkeitsrechtsverletzungen Art. 40 EGBGB für anwendbar hält. Taeger/Gabel/Gabel, § 1 BDSG Rz. 50; Jotzo, MMR 2009, 232 (233). Vgl. Erwägungsgrund 21 der EG-Datenschutzrichtlinie. Taeger/Gabel/Gabel, § 1 BDSG Rz. 51.
Plath 19
48
BDSG § 1
Allgemeine und gemeinsame Bestimmungen
Werden deutsche Stellen im Ausland tätig, so müssen sie unter Umständen das dortige Datenschutzrecht beachten. 2. Grundprinzipien 49 Grundsätzlich galt bis zur BDSG-Novelle 2001 in Deutschland bei grenzüberschreitenden Sachverhalten das Territorialitätsprinzip1. Dieses wurde durch die Umsetzung der EG-Datenschutzrichtlinie im EU-/ EWR-Bereich durchbrochen: Nun gilt im Anwendungsbereich der EGDatenschutzrichtlinie das sog. Sitzprinzip, wonach ausschlaggebend ist, wo die verantwortliche Stelle „belegen“ ist, also ihren Sitz hat. Lediglich in den Fällen, in denen Stellen aus Drittstaaten im deutschen Inland Daten verwenden, gilt wieder das Territorialitätsprinzip2. 50 Im Überblick gilt das BDSG in folgenden Fällen: – Die verantwortliche Stelle hat ihren Sitz in Deutschland und erhebt, verarbeitet und nutzt die Daten in Deutschland (Umkehrschluss aus Abs. 5 Satz 1). – Die verantwortliche Stelle hat ihren Sitz in der EU/EWR, die Datenerhebung, -verarbeitung oder -nutzung erfolgt jedoch über eine Niederlassung in Deutschland (Abs. 5 Satz 1, 2. Halbs.)3. – Die verantwortliche Stelle hat ihren Sitz in einem Drittland außerhalb der EU/EWR und die Datenerhebung, -verarbeitung oder -nutzung erfolgt über ein in Deutschland „belegenes Mittel“4 (Abs. 5 Satz 2). – Die verantwortliche Stelle hat ihren Sitz in Deutschland und die Datenerhebung, -verarbeitung und -nutzung erfolgt in einem anderen Mitgliedstaat der EU/EWR, dabei jedoch nicht durch eine „Niederlassung“ der verantwortlichen Stelle. 51 Im Umkehrschluss gilt das BDSG in folgenden Fällen nicht: – Die verantwortliche Stelle hat ihren Sitz in einem anderen Mitgliedsstaat der EU/EWR, und die Datenverwendung in Deutschland erfolgt nicht über eine Niederlassung in Deutschland. 1 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 36. 2 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 39. 3 Ausführlich zu den Anwendungsvoraussetzungen dieser Norm vgl. Stellungnahme 8/2010 v. 16.12.2010 der Artikel-29-Datenschutzgruppe. 4 Ausführlich zur richtlinienkonformen Auslegung des Abs. 5 Satz 2 und zur Bedeutung dieses Begriffs s.u. Rz. 63; vgl. auch Stellungnahme 8/2010 v. 16.12.2010 der Artikel-29-Datenschutzgruppe.
20 Plath
Zweck und Anwendungsbereich des Gesetzes
§ 1 BDSG
– Die verantwortliche Stelle hat ihren Sitz in einem Drittland außerhalb der EU/EWR und die Datenverwendung in Deutschland erfolgt nicht über ein in Deutschland „belegenes Mittel“ (näher dazu Rz. 61). – Die Datenverwendung erfolgt – unabhängig vom Sitz der verantwortlichen Stelle – überhaupt nicht in Deutschland (mit Ausnahme einer Verwendung durch eine deutsche verantwortliche Stelle in dem EU/ EWR-Ausland, die dort nicht durch eine „Niederlassung“ erfolgt). 3. Datenverwendung durch eine Niederlassung (Abs. 5 Satz 1, 2. Halbs.) Von besonderer Bedeutung ist Abs. 5 Satz 1, 2. Halbs. Diese Norm 52 schwächt das Sitzlandprinzip und den daraus folgenden Grundsatz, dass jeder Binnenmarktteilnehmer nur sein eigenes Datenschutzrecht zu berücksichtigen hat, zugunsten der Rechtssicherheit des Betroffenen ab. Eine Niederlassung spricht für eine gewisse Dauerhaftigkeit einer Auslandstätigkeit, so dass es in diesen Fällen zumutbar ist, sich mit der ausländischen Rechtsordnung des jeweiligen Mitgliedsstaats auseinanderzusetzen. Umstritten ist, wann eine Niederlassung i.S.d. Abs. 5 Satz 1, 2. Halbs. vorliegt. Art. 4 EG-Datenschutzrichtlinie definiert diesen Begriff nicht1. Lediglich in der Begründung der EG-Datenschutzrichtlinie (Erwägungsgrund 19) ist ein Hinweis zu finden: Voraussetzung für das Vorliegen einer Niederlassung ist danach die „effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung“. Teilweise wird auch die Definition des § 4 Abs. 3 GewO herangezogen, wonach eine „Niederlassung besteht, wenn eine selbständige, gewerbsmäßige Tätigkeit auf unbestimmte Zeit und mittels einer festen Einrichtung von dieser aus tatsächlich ausgeübt wird.“ Diese Definition ist aufgrund des Erfordernisses der Gewerbsmäßigkeit enger und stellt damit höhere Anforderungen an das Vorliegen einer Niederlassung.
53
Bei beiden Definitionen stellt sich die Frage, wann von einer „festen Ein- 54 richtung“ gesprochen werden kann. Einigkeit herrscht darüber, dass die Rechtsform dieser Einrichtung unerheblich ist, und sie auch keiner gesonderten Registrierung bedarf2. Auch wird vertreten, dass eine feste räumliche Bindung entbehrlich sei3. Ausschlaggebend soll lediglich sein,
1 Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe vom 16.12.2010, S. 14. 2 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 43. 3 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 42.
Plath 21
BDSG § 1
Allgemeine und gemeinsame Bestimmungen
dass die Einrichtung abgegrenzt ist und eine zeitliche Kontinuität aufweist. Damit wäre auch ein mobiler Verkaufswagen eine feste Einrichtung und mithin eine Niederlassung, solange er regelmäßig in Deutschland aufgestellt wird. Teilweise wird sogar vertreten, dass bereits ein (ferngewarteter) Server oder eine Briefkastenfirma in Deutschland eine Niederlassung darstellt1. Dies ist jedoch abzulehnen, da es in diesen Fällen an einer „Tätigkeit“ i.S.d. oben genannten Definition fehlt, da diese nach dem Wortsinn die Handlung einer Person erfordert2. 55 Vor dem Hintergrund des Sinns und Zwecks der Norm, nämlich dem Schutz der Betroffenen, muss grundsätzlich von einem weiten Niederlassungsbegriff ausgegangen werden3. Dennoch darf der Anwendungsbereich von Abs. 5 Satz 1, 2. Halbs. nicht ausufern. Eine Berücksichtigung ausländischen Datenschutzrechts kann den verantwortlichen Stellen nur zugemutet werden, wenn ihre Tätigkeit im europäischen Ausland nennenswert ist. Der Betroffene ist nur schutzwürdig, wenn das Auftreten des Datenverarbeiters ein längerfristiges Engagement vermuten lässt4. Indizien hierfür können das Tätigwerden in deutscher Sprache5 oder das Vorliegen einer festen Infrastruktur sein. 56 Eine Ladenfiliale ist in der Regel eine Niederlassung, da sie räumlich abgegrenzt ist und eine zeitliche Kontinuität aufweist. Dagegen reicht die Tatsache, dass ein in einem EU/EWR-Mitgliedstaat ansässiger Betreiber einer Internet-Seite regelmäßig in Deutschland Daten erhebt, ohne räumlich in Deutschland präsent zu sein, nicht aus, um eine Niederlassung zu bejahen. Gleiches gilt für Online-Suchdienste: Allein die Möglichkeit des Zugriffs aus einem Land reicht nicht für das Vorliegen einer Niederlassung aus. 57 Notwendig ist das Tätigwerden einer Person. Dabei reicht es grundsätzlich aus, wenn die Niederlassung aus einer einzigen Person besteht. Voraussetzung ist dann jedoch, dass diese Ein-Mann-Filiale nicht lediglich in Vertretung einer anderen Niederlassung handelt, sondern eine eigenständige Tätigkeit ausgeführt wird, da nur in diesem Fall eine die Anwendbarkeit des BDSG rechtfertigende Eigenständigkeit gegeben ist6. 1 Bergmann/Möhrle/Herb, § 1 BDSG Rz. 43. 2 Simitis/Dammann, § 1 BDSG Rz. 203; so im Ergebnis auch Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe vom 16.12.2010, S. 15. 3 Simitis/Dammann, § 1 BDSG Rz. 203. 4 Für eine Auslegung des Abs. 5 nach dem Adressatengedanken spricht sich auch Jotzo aus, MMR 2009, 232 (236 f.). 5 Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 19. 6 Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 15.
22 Plath
Zweck und Anwendungsbereich des Gesetzes
§ 1 BDSG
Damit Abs. 5 Satz 1, 2. Halbs. zur Anwendung kommt, muss die Da- 58 tenverarbeitung zudem im Rahmen der Tätigkeit der Niederlassung, also im Kontext ihres konkreten Aufgabenbereichs, erfolgen. Es muss also stets danach gefragt werden, welcher Niederlassung eine datenbezogene Tätigkeit zugeordnet werden kann. Dieser Umstand wird insbesondere in folgenden drei Beispielsvarianten 59 relevant: – Ein italienisches Unternehmen (U) hat eine Niederlassung A in Italien und eine Niederlassung B in Deutschland. Erfolgt eine Verarbeitung in Deutschland im Rahmen des Tätigkeitsbereichs der italienischen Niederlassung A und unter deren Weisung (z.B. Generierung von Adressen für Werbe-Mailings in bzw. aus Italien), so kommt italienisches Recht, und nicht deutsches Recht zur Anwendung. Die reine Existenz einer Niederlassung in Deutschland ist also irrelevant, solange diese nicht in die Datenverarbeitung involviert ist. Die Datenverarbeitung wird der italienischen Niederlassung zugerechnet. – Erfolgt eine Datenverarbeitung im Rahmen der Tätigkeit von U durch die italienische Niederlassung A in Italien sowie durch die deutsche Niederlassung B in Deutschland, nimmt also jede Niederlassung eine eigenständige Aufgabe in ihrem jeweiligem Land wahr, so muss für ein und dieselbe Art der Datenverarbeitung sowohl deutsches als auch italienisches Recht berücksichtigt werden. – Erfolgt die Datenverarbeitung in Form der Erhebung durch B in Deutschland und in Form der Verarbeitung durch A in Italien (z.B. Adressgenerierung durch B in Deutschland, Mailing durch A in Italien), so ist für die Rechtmäßigkeit der Erhebung deutsches Recht und für die Rechtmäßigkeit der Verarbeitung italienisches Recht anwendbar. Ein wirtschaftlicher Prozess kann somit mehreren Rechtsordnungen unterworfen sein, je nachdem, welche Phase in Rede steht1. Bei einer Auftragsdatenverarbeitung eines ausländischen Unternehmens 60 in Deutschland liegt keine Tätigkeit einer Niederlassung vor, da die Tätigkeit des Auftragnehmers der verantwortlichen Stelle zugerechnet wird. Abs. 5 Satz 1 Halbs. 2 ist damit nicht anwendbar2. Für die Praxis kann es empfehlenswert sein, diesen Umstand zu nutzen: Durch die Wahl des Modells der Auftragsdatenverarbeitung kann verhindert werden, dass für eine Art der Datenverarbeitung mehrere Rechtsordnungen 1 Jotzo, MMR 2009, 232, 235. 2 So im Ergebnis auch Simitis/Dammann, § 1 BDSG Rz. 210; Taeger/Gabel/Gabel, § 1 BDSG Rz. 55.
Plath 23
BDSG § 1
Allgemeine und gemeinsame Bestimmungen
berücksichtigt werden müssen. Die Datenverarbeitung wird dadurch auf höherer Ebene verknüpft, und es ist lediglich das Recht des Staates anwendbar, in dessen Geltungsbereich der Auftraggeber seinen Sitz hat. 4. Datenverwendung in Deutschland durch EU/EWR-ausländische Stellen (Abs. 5 Satz 2) 61 Erfolgt eine Datenverarbeitung im Inland durch eine verantwortliche Stelle, die ihren Sitz außerhalb der EU bzw. des EWR hat, so greift gem. Abs. 5 Satz 2 wieder das Territorialitätsprinzip. In solchen Fällen ist das BDSG grundsätzlich anwendbar. Durch diese Regelung soll sichergestellt werden, dass der Standard des deutschen Datenschutzrechts in jedem Fall eingehalten wird, unabhängig davon, wie das Schutzniveau im Drittland ist1. 62 Auf den ersten Blick scheint Abs. 5 Satz 2 bei jeder denkbaren Form der Datenverwendung anwendbar zu sein. Tatsächlich geht aus der Formulierung der Norm nicht hervor, dass nach der Vorgabe der EG-Datenschutzrichtlinie eine Anwendbarkeit des nationalen Rechts nur dann erfolgen sollte, wenn der Verantwortliche „zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind“, Art. 4 Abs. 1 Buchst. c EG-Datenschutzrichtlinie. Das Erfordernis des „belegenen Mittels“ muss im Wege der europarechtskonformen Auslegung in Satz 2 hineingelesen werden, denn es ist nicht ersichtlich, dass der Gesetzgeber über den Standard der EG-Datenschutzrichtlinie hinaus gehen wollte2. Selbst wenn dies die Intention des deutschen Gesetzgebers gewesen sein sollte, so würde eine entsprechende Regelung wegen der vollharmonisierenden Wirkung der EG-Datenschutzrichtlinie (vgl. Rz. 5) richtlinienkonform auszulegen sein, da sie ansonsten wohl unwirksam wäre. 63 Damit stellt sich die Frage, wann von einem in Deutschland „belegenen Mittel“ gesprochen werden kann. Sinn und Zweck dieses Erfordernisses ist, eine Ausweitung des Geltungsbereichs des europäischen Schutzstandards auf die Nutzung jeder Form von Einrichtungen innerhalb der EU, al-
1 Simitis/Dammann, § 1 BDSG Rz. 214; Taeger/Gabel/Gabel, § 1 BDSG Rz. 57; vgl. auch EuGH v. 24.11.2011 – C-468/10, C-469/10, K&R 2012, 40, 41; zur vollharmonisierenden Wirkung der EG-Datenschutzrichtlinie s. bereits Rz. 5. 2 So auch Simitis/Dammann, § 1 BDSG Rz. 218; a.A. OLG Hamburg v. 2.8.2011 – 7 U 134/10, ZD 2011, 138 (139).
24 Plath
Zweck und Anwendungsbereich des Gesetzes
§ 1 BDSG
so auch „unbemannter“, auszudehnen1. Erforderlich ist also eine normative Auslegung dieses Tatbestandsmerkmals. Ausschlaggebend ist, wann nach einer wertenden Betrachtung von der aktiven Nutzung einer Einrichtung durch den Datenverarbeiter gesprochen werden kann2. Die für die Verarbeitung verantwortliche Stelle muss sich im Drittstaat 64 befinden, dabei jedoch einen Einfluss auf die Mittel und den Zweck der Datenverarbeitung haben3. Die volle Kontrolle des „Mittels“ ist nicht erforderlich, es reicht die Möglichkeit der Einflussnahme4. Unerheblich ist auch die eigentumsrechtliche Zuordnung des „Mittels“5. Damit ist auch ein Auftragsdatenverarbeiter im Inland ein solches „Mittel“6. Es wird also deutlich, dass für die Anwendbarkeit des deutschen Rechts nach Satz 2 keine Niederlassung in Deutschland gegeben sein muss. Der Anwendungsbereich des Abs. 5 Satz 2 ist damit erheblich weiter, als der des Abs. 5 Satz 1, 2. Halbs. Irrelevant ist weiterhin, ob das „Mittel“ automatisiert, also technischer Natur ist, oder nicht. Damit ist auch beispielsweise das Bereitstellen eines Fragebogens zum schriftlichen Ausfüllen ein „Mittel“ i.S.d. Art. 4 Abs. 1 Buchst. c EG-Datenschutzrichtlinie7. Das „Mittel“ selbst muss sich jedoch im Inland befinden. Wird die Einrichtung im Drittstaat unterhalten und steht ihr Gebrauch dem Nutzer im Inland lediglich zur Verfügung, so liegt kein Fall des Abs. 5 Satz 2 vor8. Für die Praxis ist besonders der Fall des Aufrufens von Webseiten aus 65 dem Ausland durch in Deutschland ansässige Nutzer von Bedeutung. Nach der hier vertretenen Ansicht und infolge der europarechtskonformen Auslegung i.S.v. Art. 4 Abs. 1 Buchst. c EG-Datenschutzrichtlinie ist maßgeblich, ob ein im Inland belegenes Mittel, z.B. ein Server, existiert. Nicht unter Abs. 5 Satz 2 fällt damit das Aufrufen von Webseiten, die auf einem ausländischen Server liegen, durch einen Nutzer im In1 Simitis/Dammann, § 1 BDSG Rz. 219. 2 Jotzo, MMR 2009, 232 (237). 3 Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 15; Taeger/Gabel/Gabel, § 1 BDSG Rz. 58; Simitis/Dammann, § 1 BDSG Rz. 220; Ott, MMR 2009, 158 (160). 4 Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 25; Simitis/Dammann, § 1 BDSG Rz. 220; Ott, MMR 2009, 158 (160). 5 Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 25; Simitis/Dammann, § 1 BDSG Rz. 220. 6 So im Ergebnis auch Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 25. 7 Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 25. 8 Duhr/Naujok/Schaar, MMR 2001, XVI (XVII).
Plath 25
BDSG § 1
Allgemeine und gemeinsame Bestimmungen
land1. Zu einem anderen Ergebnis kommt jedoch das OLG Hamburg in einer Entscheidung aus dem Jahr 20112. Nach Ansicht des OLG Hamburg sei das BDSG bereits dann anwendbar, wenn Daten, die sich auf einem in einem Drittstaat belegenen Server befinden, in Deutschland abgerufen werden „können und sollen“. Allerdings hat sich das OLG Hamburg bei dieser Entscheidung allein am Wortlaut des Abs. 5 Satz 2 orientiert und die – nach der hier vertretenen Ansicht notwendige – europarechtskonforme Auslegung bezüglich des „in Deutschland belegenen Mittels“ außer Acht gelassen. 66 Ein im Inland befindlicher Server ist sicherlich ein Mittel i.S.d. Art. 4 Abs. 1 Buchst. c EG-Datenschutzrichtlinie3. Gleiches gilt für alle anderen technischen Infrastrukturen wie Leitungen, Backbones usw., soweit die Möglichkeit eines Zugriffs auf die verarbeiteten Daten aus dem Drittland möglich ist4. Unter Umständen kann auch das Endgerät (Computer, Telefon) des Betroffenen ein automatisiertes Mittel sein, ohne dass dieses von der verantwortlichen Stelle selbst bereitgestellt werden müsste, und zwar dann, wenn dieses durch den Verantwortlichen gezielt zur Datenverarbeitung genutzt bzw. „instrumentalisiert“ wird. Ein Beispiel hierfür ist das Sammeln von Informationen mittels Cookies5 oder über Funkzugangspunkte6. Von besonderer Bedeutung kann dies im Zusammenhang mit sog. Social Plugins wie dem „Like-Button“ von Facebook sein: Werden durch die Einbettung solcher Programme in die Seite von Drittanbietern Cookies gesammelt, so kann sich aus diesem Umstand eine Anwendbarkeit deutschen Datenschutzrechts auf diese Vorgänge begründen7. 1 Taeger/Gabel/Gabel, § 1 BDSG Rz. 59; Simitis/Dammann, § 1 BDSG Rz. 223; Duhr/Naujok/Schaar, MMR 2001, XVI (XVII); im Ergebnis auch Jotzo, MMR 2009, 232 (236). 2 OLG Hamburg v. 2.8.2011 – 7 U 134/10, ZD 2011, 138 (139). 3 Ott, MMR 2009, 158 (160); zu den in Deutschland unterhaltenen Servern der Google Inc., bezogen auf die Anwendbarkeit des BDSG auf Google Earth und Google Streetview-Daten Lindner, Zum 2010, 292 (295); ebenso Forgó/Krügel/ Müllenbach, CR 2010, 616 (617). 4 Taeger/Gabel/Gabel, § 1 BDSG Rz. 59. 5 Taeger/Gabel/Gabel, § 1 BDSG Rz. 59; Ott, MMR 2009, 158 (160); Jotzo, MMR 2009, 232 (236); so im Ergebnis auch Duhr/Naujok/Schaar, MMR 2001, XVI (XVII); ausführlich zum Behavioural Targeting mittels Cookies vgl. Stellungnahme 2/2010 v. 22.6.2010 der Artikel-29-Datenschutzgruppe; zum Online-Tracking mittels sog. Browser-Fingerprints siehe ausführlich Alich/Voigt, CR 2012, 344. 6 Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 26. 7 Vgl. auch Schenk, DGRI Jahrbuch 2010, 123 (131).
26 Plath
Zweck und Anwendungsbereich des Gesetzes
§ 1 BDSG
5. Ernennung eines Vertreters (Abs. 5 Satz 3) Erfordert das BDSG die Nennung einer verantwortlichen Stelle1, so 67 muss i.R.e. Datenverarbeitung aus einem Drittland ein Vertreter des Verantwortlichen ernannt werden. Ziel dieses Erfordernisses ist, dass sowohl die Betroffenen als auch die Behörden einen Ansprechpartner haben. Der Vertreter muss nicht Verantwortlicher i.S.d. Datenschutzrechts sein. Es reicht, wenn er mit der Wahrnehmung der Interessen des im Drittland ansässigen Verantwortlichen betraut ist2. 6. Transit von Datenträgern (Abs. 5 Satz 4) Abs. 5 Satz 4 regelt eine Rückausnahme zu Abs. 5 Satz 2 und 3: Das BDSG 68 findet keine Anwendung beim bloßen Datentransit durch Deutschland. Damit wird der Anwendungsbereich der Sätze 2 und 3 begrenzt. Ein Schutz nach dem Standard des BDSG wird in den Fällen für entbehrlich erachtet, in denen es in Deutschland zu keiner relevanten Datenverwertung kommt. Entgegen dem engen Wortlaut des Abs. 5 Satz 4 ist es unbeachtlich, ob 69 der Transit durch den physischen Transport von Datenträgern oder über Leitungen bzw. Funk erfolgt3. So ist beispielsweise das Routen über einen Rechner in Deutschland als Transit anzusehen4. Zudem greift die Norm bei jedem Transit, unabhängig davon, ob die Übertragung in einem EU/EWR-Land oder in einem Drittland beginnt oder endet. In diesen Fällen gibt es beim einfachen Transit kein Schutzbedürfnis, das es rechtfertigt, der transferierenden Stelle eine Berücksichtigung des ihr fremden Datenschutzrechts aufzuerlegen, zumal eine effektive Rechtsdurchsetzung in der Regel kaum möglich wäre5. Die Entbehrlichkeit des Schutzes ist jedoch nur dann zu rechtfertigen, 70 wenn es im Zuge des Transits tatsächlich zu keiner Kenntnisnahme, Speicherung oder Verwertung der Daten kommt. Ein offener Datentransport, bei dem eine Kenntnisnahme der Daten jederzeit und durch
1 Z.B. §§ 4 Abs. 3, 6b Abs. 2, 28 Abs. 4, 33 Abs. 1. 2 Taeger/Gabel/Gabel, § 1 BDSG Rz. 60; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 45. 3 Vgl. den Wortlaut von Art. 4 Abs. 1 lit. c EG-Datenschutzrichtlinie, in dem nur von einem „Mittel nur zum Zweck der Durchfuhr“ die Rede ist; Taeger/ Gabel/Gabel, § 1 BDSG Rz. 61; Simitis/Dammann, § 1 BDSG Rz. 238. 4 Duhr/Naujok/Schaar, MMR 2001, XVI (XVIII). 5 Simitis/Dammann, § 1 BDSG Rz. 238.
Plath 27
BDSG § 1
Allgemeine und gemeinsame Bestimmungen
jedermann möglich ist, erfährt damit nicht die Privilegierung des Abs. 5 Satz 41. Die Ausnahme greift ebenfalls nicht, sobald der Transfer in Verbindung mit einer darüber hinaus gehenden Datenverwendung erfolgt. Dies ist beispielsweise bereits dann der Fall, wenn die Durchleitung von Daten mit einer zusätzlichen Dienstleistung wie z.B. einem Spamfilter erfolgt2. Dagegen fallen unter den Transit-Begriff alle Zwischenspeicherungen, Protokollierungen und andere Verarbeitungen, die zwangsläufig mit einem Datentransfer einhergehen. Da solche technisch bedingten Vorgänge in der Regel planmäßig erfolgen und auch nach dem Transfervorgang umgehend und automatisch gelöscht werden, ist kein Bedürfnis für einen Schutz nach dem BDSG gegeben3. 7. Kontrollrechte der Aufsichtsbehörden (Abs. 5 Satz 5) 71 Unabhängig davon, ob nach Abs. 5 Satz 1–4 das BDSG oder lediglich ausländisches Recht anwendbar ist, bestehen die Kontrollrechte der Aufsichtsbehörde fort. Die deutsche Behörde kann somit kontrollieren, ob das deutsche Datenschutzrecht nach den Vorgaben des Abs. 5 hätte berücksichtigt werden müssen4. In den Fällen, in denen das BDSG nicht zur Anwendung kommt, z.B. in den Fällen von Satz 1, 1. Halbs. (Stelle in der EU/EWR ohne Niederlassung) und Satz 5 (Transit), kann die Aufsichtsbehörde bei Vorgängen innerhalb Deutschlands die Anwendung des ausländischen Rechts kontrollieren5. Im Umkehrschluss können ausländische Aufsichtsbehörden die Einhaltung ihrer nationalen Rechtsvorschriften bei Vorgängen in Deutschland nicht nach Maßgabe des § 38 Abs. 1 Satz 1 kontrollieren, da die Norm lediglich die Zuständigkeit deutscher Aufsichtsbehörden begründet6. Eine Aussage zum internationalen Gerichtsstand trifft Abs. 5 nicht7.
1 2 3 4 5
Bergmann/Möhrle/Herb, § 1 BDSG Rz. 47. Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 28. Simitis/Dammann, § 1 BDSG Rz. 238. Bergmann/Möhrle/Herb, § 1 BDSG Rz. 49. Stellungnahme 8/2010 der Artikel-29-Datenschutzgruppe v. 16.12.2010, S. 32; Bergmann/Möhrle/Herb, § 1 BDSG Rz. 48; Taeger/Gabel/Gabel, § 1 BDSG Rz. 62; Simitis/Dammann, § 1 BDSG Rz. 239 begründet dies auch mit der internationalen Amtshilfepflicht. 6 Simitis/Dammann, § 1 BDSG Rz. 239. 7 Simitis/Dammann, § 1 BDSG Rz. 240.
28 Plath
§ 2 BDSG
Öffentliche und nicht-öffentliche Stellen
Öffentliche und nicht-öffentliche Stellen (1) 1Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. 2Als öffentliche Stellen gelten die aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht.
2
(2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes und sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. (3) 1Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nicht-öffentlicher Stellen als öffentliche Stellen des Bundes, wenn 1. sie über den Bereich eines Landes hinaus tätig werden oder 2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht. 2Andernfalls gelten sie als öffentliche Stellen der Länder. (4) 1Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. 2Nimmt eine nicht-öffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes. I. Einführung . . . . . . . . . . . . . . . .
1
II. Öffentliche Stellen des Bundes (Abs. 1) . . . . . . . . . . . . 5 1. Behörden (Abs. 1 Satz 1 1. Alt.) . . . . . . . . . . . . . . . . . . . . 6 2. Organe der Rechtspflege (Abs. 1 Satz 1 2. Alt.) . . . . . . . . 9 3. Andere öffentlich-rechtlich organisierte Einrichtungen (Abs. 1 Satz 1 3. Alt.) . . . . . . . . 10
4. Religionsgemeinschaften . . . . 11 5. Unternehmen mit ausschließlichem Recht nach Postgesetz (Abs. 1 Satz 2) . . . . 12 III. Öffentliche Stellen der Länder (Abs. 2) . . . . . . . . . . . . . 13 IV. Vereinigungen des privaten Rechts (Abs. 3) . . . . . . . . . . . . . 14 V. Nicht-öffentliche Stellen (Abs. 4). . . . . . . . . . . . . . . . . . . . 15
Schreiber
29
BDSG § 2
Allgemeine und gemeinsame Bestimmungen
Schrifttum: Breidenbach, Der Anwendungsbereich der Datenschutzgesetze der Länder, LKV 1997, 443; Dammann, Die Vereinigung öffentlicher Stellen nach dem neuen BDSG, RDV 1992, 157; Dammann, Die Anwendung des neuen Bundesdatenschutzgesetzes auf die öffentlich-rechtlichen Religionsgemeinschaften, NVwZ 1992, 1147; Fritsche, Datenschutz im öffentlichen Bereich, LKV 1991, 81; Gola, Die Einwilligung als Legitimation für die Verarbeitung von Arbeitnehmerdaten, RDV 2002, 109; Hartung, Datenschutz und Insolvenzverwaltung, ZInsO 2011, 1225; Hartung, Datenschutz und Verschwiegenheit bei Auslagerungen durch Versicherungsunternehmen, VersR 2012, 400; Hoeren, Die Kirchen und das neue Bundesdatenschutzgesetz, NVwZ 1993, 650; Kilian/Scheja, Freier Datenfluss im Allfinanzkonzern?, BB 2002, Beilage 3, 19; Lorenz, Die Novellierung des BDSG und ihre Auswirkungen auf die Kirchen, DVBl. 2001, 428; Redeker, Datenschutz auch bei Anwälten – aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis, NJW 2009, 554; Schild, Die Flucht ins Privatrecht, NVwZ 1990, 339; Schild, Der Geltungsbereich des Hessischen Datenschutzgesetzes für juristische Personen des Privatrechts oder die Flucht ins Privatrecht, RDV 1989, 232; Seiler, Zur datenschutzrechtlichen Kontrolle notarieller Daten, DNotZ 2002, 693; Simitis, Privatisierung und Datenschutz, DuD 1995, 648; Sorge, Umsetzung des Bayrischen Datenschutzgesetzes im Notariat, MittBayNot 2007, 25; von Lewinski, Kaufleute im Schutzbereich des BDSG, DuD 2000, 39; Weichert, Datenschutz auch bei Anwälten?, NJW 2009, 550.
I. Einführung 1 § 2 ist eine Definitionsnorm. Sie ergänzt § 1 Abs. 2 und konkretisiert den dort eröffneten Anwendungsbereich des BDSG1 für öffentliche und nicht-öffentliche Stellen. Das ist erforderlich, weil das BDSG bei der Verarbeitung personenbezogener Daten zwischen der Verarbeitung durch staatliche und private Stellen unterscheidet. Während die übrigen Abschnitte des BDSG auf staatliche und private Stellen gleichermaßen anwendbar sind, kommen die Vorschriften im 2. Abschnitt (§§ 12 bis 26 BDSG) nur bei der Datenverarbeitung durch öffentliche Stellen und die Vorschriften des 3. Abschnitts (§§ 27 bis 48 BDSG) nur bei der Datenverarbeitung durch nicht-öffentliche Stellen zur Anwendung. § 2 stellt damit die Weiche, welche datenschutzrechtlichen Vorschriften (2. oder 3. Abschnitt) im Einzelfall einschlägig sind. 2 Das BDSG sieht eine andere Systematik vor als beispielsweise TGK und TMG. Deren datenschutzrechtliche Regelungen sind auf staatliche und nicht-staatliche Stellen gleichermaßen anwendbar2. Das macht dort eine Unterscheidung zwischen der Datenverarbeitung von öffentlichen und nicht-öffentlichen Stellen überflüssig3. 1 Vgl. hierzu § 1 Rz. 20 ff. 2 Vgl. auch Taeger/Gabel/Buchner, § 2 BDSG Rz. 2. 3 Simitis/Dammann, § 2 BDSG Rz. 12.
30 Schreiber
Öffentliche und nicht-öffentliche Stellen
§ 2 BDSG
Was nicht-öffentliche Stellen sind, definiert Abs. 4. Gleichwohl können ausnahmsweise auch auf öffentliche Stellen die ansonsten für nicht-öffentliche Stellen anwendbaren Vorschriften zur Datenverarbeitung einschlägig sein. Dies ist etwa bei öffentlichen Wettbewerbsunternehmen nach §§ 12 Abs. 1, 27 Abs. 1 Satz 2 und für Daten im Rahmen von dienst- oder arbeitsrechtlichen Verhältnissen der Fall1. Aufgrund fortschreitender Privatisierung der öffentlichen Hand wird diese Einstufung zunehmend schwieriger2.
3
Soweit die Datenschutzgesetze der Länder per Definition den Begriff der 4 „öffentlichen Stelle der Länder“ festlegen, gilt in deren Anwendungsbereich allein die landesrechtliche Definition, weil das Land insoweit von seiner Gesetzgebungskompetenz nach Art. 70 Abs. 1 GG Gebrauch gemacht hat3. § 2 kann dann lediglich als Auslegungshilfe herangezogen werden4. II. Öffentliche Stellen des Bundes (Abs. 1) § 2 Abs. 1 legt fest, welche Einrichtungen als öffentlich-rechtliche Stel- 5 len des Bundes zu qualifizieren sind. Durch die Aufzählung macht der Gesetzgeber deutlich, dass der gesamte öffentlich-rechtliche Organisationsbereich des Bundes vom Anwendungsbereich erfasst werden soll. Die Unterscheidung zwischen „Behörde“, „Organ der Rechtspflege“ oder „andere öffentlich-rechtlich organisierte Einrichtung“ ist datenschutzrechtlich ohne Belang5. 1. Behörden (Abs. 1 Satz 1 1. Alt.) Nach § 1 Abs. 4 VwVfG ist „Behörde“ jede Stelle, die Aufgaben der öf- 6 fentlichen Verwaltung wahrnimmt. Sind die von einer öffentlich-rechtlich organisierten Stelle wahrzunehmenden Aufgaben Teil des öffentlichen Verwaltungshandelns, ist diese Stelle damit als Behörde zu qualifizieren6. Beliehene sind gemäß § 2 Abs. 4 Satz 2 ebenfalls öffent1 2 3 4
Simitis/Dammann, § 2 BDSG Rz. 5; Gola/Schomerus, § 2 BDSG Rz. 5. Simitis, DuD 1995, 648. Fritsche, LKV 1991, 81. Im umgekehrten Fall können die Landesdatenschutzgesetze den Begriff der „nicht-öffentliche Stelle der Länder“ nicht verbindlich festlegen, weil der Datenschutz im Bereich des Privatrechts gemäß Art. 74 Nr. 11 GG der konkurrierenden Gesetzgebung unterliegt (vgl. Simitis/Dammann, § 2 BDSG Rz. 12 f.). 5 Simitis/Dammann, § 2 BDSG Rz. 24. 6 Simitis/Dammann, § 2 BDSG Rz. 23.
Schreiber
31
BDSG § 2
Allgemeine und gemeinsame Bestimmungen
liche Stelle, soweit sie hoheitliche Aufgaben der öffentlichen Verwaltung wahrnehmen1. Zu den Bundesbehörden gehören insbesondere2 – als oberste Bundesbehörden die Bundesministerien, das Bundespräsidialamt, das Bundeskanzleramt, das Bundesverfassungsgericht, der Bundesrechnungshof; – als Bundesoberbehörden das Bundesamt für Verfassungsschutz, das Bundeskriminalamt, das Statistische Bundesamt, das Bundesverwaltungsamt, das Bundesgesundheitsamt, die Bundesanwaltschaft, das Kraftfahrtbundesamt, das Bundeskartellamt, der Bundesgrenzschutz3 sowie die Bundesnetzagentur; – als Bundesmittelbehörden die Oberfinanzdirektion sowie die Wasserund Schifffahrtsdirektion; sowie – als Bundesunterbehörden die Passkontrollämter, Hauptzollämter und Kreiswehrersatzämter. 7 Nicht jede Verwaltungsaufgabe vermittelt ihrem Träger die Behördeneigenschaft4. Einzelne Abteilungen, Referate eines Ministeriums oder Dezernate sind regelmäßig keine Behörden5. Der Behördenbegriff ist nicht funktionsbezogen, sondern organisatorisch auszulegen. Zwar spricht i.S.d. Datenschutzes für eine funktionsbezogene Auslegung, dass der Datenaustausch innerhalb einer Organisationseinheit eine datenschutzrechtlich relevante Übermittlung an Dritte wäre. Eine solche müsste den datenschutzrechlichen Anforderungen des BDSG an eine Übermittlung an Dritte (§ 3 Abs. 8) genügen6. 8 Dagegen spricht jedoch, dass ein rein funktionsbezogener Behördenbegriff zu einer „Atomisierung der öffentlichen Verwaltung“ führen und jede noch so unselbständige Arbeitseinheit (z.B. Ämter einer Gemeinde) als selbständige Behörde erfassen würde, soweit ihr nur eine bestimmte Aufgabe zugewiesen ist. Überdies ist durch den organisatorischen Behördenbegriff auch kein niedrigeres Schutzniveau zu befürchten, da seit der Einführung des Auffangtatbestandes der „Datennutzung“7 in das 1 2 3 4 5 6
Vgl. Taeger/Gabel/Buchner, § 2 BDSG Rz. 5; Gola/Schomerus, § 2 BDSG Rz. 4. Gola/Schomerus, § 2 BDSG Rz. 17. BGH v. 22.6.2000 – 5 StR 268/99, BeckRS 2000, 30118935. Vgl. Gola/Schomerus, § 2 BDSG, Rz. 7. Schaffland/Wiltfang, § 2 BDSG Rz. 3. Gola/Schomerus, § 2 BDSG Rz. 8; vgl. Darstellung bei Taeger/Gabel/Buchner, § 2 BDSG Rz. 6, der aber anderer Ansicht ist. 7 Vgl. hierzu § 3 Rz. 53.
32 Schreiber
Öffentliche und nicht-öffentliche Stellen
§ 2 BDSG
BDSG 1990 jede behördeninterne Weitergabe gleichwohl als datenschutzrelevanter Vorgang einzustufen ist, der sich an den Vorgaben des BDSG messen lassen muss1. Letztlich wird daher auf die jeweilige Organisationseinheit im Ganzen als „Behörde“ abzustellen sein (z.B. Ministerium oder Gemeinde). 2. Organe der Rechtspflege (Abs. 1 Satz 1 2. Alt.) Organe der Rechtspflege sind die Gerichte, soweit sie Aufgaben der Jus- 9 tizverwaltung wahrnehmen oder als Spruchkörper agieren2. Dazu gehören das Bundesverfassungsgericht, die obersten Bundesgerichtshöfe und die Bundesgerichte sowie der Generalbundesanwalt beim Bundesgerichtshof und der Vertreter des Bundesinteresses beim Bundesverwaltungsamt3. Auch die Staatsanwaltschaften und die Strafvollzugsbehörden sind Organe der Rechtspflege4. Die Einstufung von Notaren als öffentliche Organe der Rechtspflege richtet sich nach den jeweiligen Landesdatenschutzgesetzen5. Rechtsanwälte sind zwar Organe der Rechtspflege, jedoch keine öffentlichen Stellen, weshalb die §§ 27 ff. anzuwenden sind. Daneben ist das Berufsgeheimnis aus § 203 StGB zu berücksichtigen6. 3. Andere öffentlich-rechtlich organisierte Einrichtungen (Abs. 1 Satz 1 3. Alt.) Andere öffentlich-rechtlich organisierte Einrichtungen des Bundes sind 10 zum Beispiel der Bundespräsident, der Bundestag (nicht einzelne Abgeordnete), der Bundesrat, die einzelnen Fraktionen und parlamentarischen Gruppen7. Hierzu gehören auch Regie- und Eigenbetriebe der öffentlichen Hand und die öffentlichen Selbstverwaltungsorgane, die Bundesagentur für Arbeit, die Bundesversicherungsanstalt für Angestellte, die Deutsche 1 Vgl. Taeger/Gabel/Buchner, § 2 BDSG Rz. 6 f.; im Ergebnis gleicher Ansicht Schaffland/Wiltfang, § 2 BDSG Rz. 1 f. 2 Vgl. Gola/Schomerus, § 2 BDSG Rz. 6; Simitis/Dammann, § 2 BDSG Rz. 28; Taeger/Gabel/Buchner, § 2 BDSG Rz. 9. 3 Simitis/Dammann, § 2 BDSG Rz. 28. 4 Taeger/Gabel/Buchner, § 2 BDSG Rz. 9. 5 BGH v. 30.7.1990 – NotZ 19/89, NJW 1991, 568; vgl. Seiler, DNotZ 2002, 693 ff.; Sorge, MittBayNot 2007, 25 ff.; Redeker, NJW 2009, 554 ff.; Weichert, NJW 2009, 550 ff. 6 Gola/Schomerus, § 2 BDSG Rz. 12; vgl. Sorge, MittBayNot 2007, 25 ff.; zum Verhältnis von Datenschutzrecht und § 203 StGB Hartung, VersR 2012, 400 (410). 7 Simitis/Dammann, § 2 BDSG Rz. 29 mit weiteren Beispielen; vgl. Simitis, DuD 1995, 648 f.
Schreiber
33
BDSG § 2
Allgemeine und gemeinsame Bestimmungen
Bundesbank und die durch Bundesgesetz errichteten Stiftungen1. Beherrscht der Bund eine Gesellschaft rechtlich oder finanziell und nimmt die Vereinigung an der Erledigung einer öffentlichen Aufgabe teil, so ist Abs. 1 und nicht Abs. 3 einschlägig2. Ferner gehören hierzu die in Abs. 1 erwähnten Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen, und zwar unabhängig davon, ob sie öffentlich-rechtlich oder privatrechtlich organisiert sind3. 4. Religionsgemeinschaften 11 Öffentlich-rechtliche Religionsgemeinschaften unterliegen – jedenfalls dem Wortlaut nach und im Bereich innerkirchlicher Tätigkeit – nicht den Vorschriften des BDSG. Denn sie sind weder öffentlich-rechtliche Stelle des Bundes noch der Länder4. Überdies spricht das Selbstverwaltungsrecht der Religionsgemeinschaften aus Art. 140 GG in Verbindung mit Art. 137 Abs. 2 WRV dafür, dass diese nicht dem BDSG unterworfen sein sollen5. Das bedeutet aber nicht, dass Religionsgemeinschaften in einem „datenschutzfreien Raum“ agieren6. Vielmehr sind auch sie dem Verfassungsgebot zur Wahrung der informationellen Selbstbestimmung des Einzelnen unterworfen und dadurch gehalten, eigene angemessene Datenschutzregelungen7 zu schaffen8. 1 Taeger/Gabel/Buchner, § 2 BDSG Rz. 11, weitere Beispiele bei Simitis/Dammann, § 2 BDSG Rz. 31. Hierzu gehört auch die Stiftung Datenschutz, die noch im Jahr 2012 in Leipzig ihre Arbeit aufnehmen soll. 2 Gola/Schomerus, § 2 BDSG Rz. 5. 3 Gola/Schomerus, § 2 BDSG Rz. 14; Dammann, RDV 1992, 157 ff.; zu einer entsprechenden Reglung im HDSG ausf. Schild, RDV 1989, 232 ff.; NVwZ 1990, 339 ff.; vgl. Dammann, RDV 1992, 157 ff. 4 Gola/Schomerus, § 2 BDSG Rz. 14a. 5 Hoeren, NVwZ 1993, 650 (651); Taeger/Gabel/Buchner, § 2 BDSG Rz. 12. 6 Taeger/Gabel/Buchner, § 2 BDSG Rz. 12; hierzu ausführlich Simitis/Dammann, § 2 BDSG Rz. 84 ff. 7 Siehe hierzu das Datenschutzgesetz der evangelischen Kirche (Datenschutzgesetz-EKD) und der katholischen Kirche in Deutschland (Anordnung über den kirchlichen Datenschutz-KDO); vgl. hierzu Lorenz, DVBL 2001, 428 (432). 8 Gola/Schomerus, § 2 BDSG Rz. 14a; siehe auch Simitis/Dammann, § 2 BDSG Rz. 84 ff.; 107 ff., Dammann, NVwZ 1992, 1147 (1151), der das BDSG von vornherein anwenden, allerdings den Bereich der innerorganisatorischen Durchführung des Datenschutzes den Religionsgemeinschaften zur eigenen Gestaltung überlassen möchte; so auch Schaffland/Wiltfang, § 2 BDSG Rz. 4a; unentschieden Taeger/Gabel/Buchner, § 2 BDSG Rz. 12.
34 Schreiber
Öffentliche und nicht-öffentliche Stellen
§ 2 BDSG
Privatrechtlich organisierte Einrichtungen von Religionsgemeinschaften unterfallen den §§ 27 ff. Dies gilt auch, soweit Einrichtungen öffentlichrechtlicher Religionsgemeinschaften am allgemeinen Geschäftsverkehr teilnehmen1. 5. Unternehmen mit ausschließlichem Recht nach Postgesetz (Abs. 1 Satz 2) § 2 Abs. 1 Satz 2 enthält Sonderregelungen für Deutsche Telekom AG 12 und Deutsche Post AG, die mit dem Wegfall ihrer Monopole und vor dem Hintergrund der §§ 91 ff. TKG und § 41 PostG bedeutungslos geworden sind2. III. Öffentliche Stellen der Länder (Abs. 2) § 2 Abs. 2 bestimmt die öffentlichen Stellen der Länder. Davon erfasst sind3 – als Behörden oberste Landesbehörden, Landesoberbehörden, untere Landesbehörden, Gemeinde und Gemeindeverbände (Kreis-, Stadt-, und Gemeindeverwaltung); – als Organe der Rechtspflege Staatsanwaltschaften und Gerichte; sowie – andere öffentlich-rechtliche Einrichtungen, zu denen juristische Personen des öffentlichen Rechts wie kommunale Zweckverbände, Hochschulen, Industrie- und Handelskammern, Handwerkskammern und Kreishandwerkerschaften gehören, und deren Vereinigungen. Nach § 1 Abs. 2 Nr. 2 gilt das BDSG für den Umgang mit Daten durch die Länder nur, soweit die Länder keine Regelungen hierüber getroffen haben. Da mittlerweile alle Bundesländer eigene Landesdatenschutzgesetze erlassen haben, ist der Anwendungsbereich des § 2 Abs. 2 mittlerweile gering4. Bei Vereinigungen von öffentlichen Stellen, an denen gleichzeitig der Bund und das Land beteiligt sind, ist Abs. 3 einschlägig5. 1 Gola/Schomerus, § 2 BDSG Rz. 14a; Taeger/Gabel/Buchner, § 2 BDSG Rz. 12, jew. m.w.N. 2 Vgl. Gola/Schomerus, § 2 BDSG Rz. 3; Taeger/Gabel/Buchner, § 2 BDSG Rz. 13. 3 Gola/Schomerus, § 2 BDSG Rz. 18. 4 Taeger/Gabel/Buchner, § 2 BDSG Rz. 14; vgl. Breidenbach, LKV 1997, 443 ff. 5 Gola/Schomerus, § 2 BDSG Rz. 5.
Schreiber
35
13
BDSG § 2
Allgemeine und gemeinsame Bestimmungen
IV. Vereinigungen des privaten Rechts (Abs. 3) 14 Von Abs. 3 werden alle Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder erfasst, die Aufgaben der öffentlichen Verwaltung wahrnehmen1. Ist die Vereinigung über den territorialen Bereich eines Landes hinaus tätig oder liegt der Stimmanteil über 50 % beim Bund, so ist sie als Vereinigung des Bundes zu qualifizieren2. Andernfalls handelt es sich um eine Vereinigung der Länder. Dann ist gemäß § 1 Abs. 2 Nr. 2 der sachliche Anwendungsbereich des jeweiligen Landesdatenschutzgesetzes eröffnet3. V. Nicht-öffentliche Stellen (Abs. 4) 15 Nimmt eine Stelle keine Aufgaben der öffentlichen Verwaltung wahr und fällt sie nicht unter die Absätze 1–3, handelt es sich gemäß § 2 Abs. 4 Satz 1 um eine nicht-öffentliche Stelle, und der Anwendungsbereich des 3. Abschnittes des BDSG ist eröffnet. Die gewählte Rechtsform der Vereinigung ist unerheblich. Abs. 4 erfasst neben natürlichen Personen jede juristische Person und Personenvereinigung des privaten Rechts (AG, GmbH, eG, KGaA, VVaG, e.V., GbR, nicht rechtsfähiger Verein, Stiftung) und unterwirft sie den datenschutzrechtlichen Bestimmungen der §§ 27 ff.4. Ausnahmsweise ist das BDSG aber dann nicht anwendbar, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich zu familiären oder persönlichen Zwecken erfolgt5. Auch ausländische datenverarbeitende Stellen können dem BDSG unterfallen, wenn die Voraussetzungen nach § 1 Abs. 5 Satz 1 BDSG6 erfüllt sind7. Der nicht rechtsfähige Betriebsrat ist lediglich Teil der datenverarbeitenden Stelle und daher nicht eigenständig Adressat des BDSG8.
1 2 3 4
5
6 7 8
Vgl. Gola/Schomerus, § 2 BDSG Rz. 16. Dammann, RDV 1992, 157, 160 f. Vgl. Dammann, RDV 1992, 157. Taeger/Gabel/Buchner, § 2 BDSG Rz. 17; vgl. Simitis/Dammann, § 2 BDSG Rz. 118 ff.; Schaffland/Wiltfang, § 2 BDSG Rz. 17; zu Allfinanzdienstleistern siehe Kilian/Gregor, BB Beilage 2002 Nr. 3. Simitis/Dammann, § 2 BDSG Rz. 123; vgl. auch von Lewinski, DuD 2000, 39 (43), der verlangt, dass das BDSG auch auf Freiberufler und Einzelkaufleute keine Anwendung finden soll. Siehe hierzu § 1 Rz. 45 ff. Taeger/Gabel/Buchner, § 2 BDSG Rz. 17. Schaffland/Wiltfang, § 2 BDSG Rz. 17 m.w.N.
36 Schreiber
Weitere Begriffsbestimmungen
§ 3 BDSG
Soweit Privatpersonen oder privatrechtliche Unternehmen Aufgaben der öffentlichen Verwaltung (sog. „Beliehene“) wahrnehmen, gelten sie gemäß § 2 Abs. 4 Satz 2 als öffentliche Stelle. Das ist beispielsweise bei Schornsteinfegern der Fall1. Insolvenzverwalter sind hingegen nicht als Beliehene anzusehen. Zwar erhält der Insolvenzverwalter durch die InsO gewisse Befugnisse, die Gesamtvollstreckung über das Vermögen eines Privatschuldners zu betreiben. Öffentlichen Zwang übt er dabei jedoch keinen aus2. Weitere Begriffsbestimmungen
3
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
(2) 1Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. 2Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann. (3) Erheben ist das Beschaffen von Daten über den Betroffenen. (4) 1Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. 2Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren: 1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung, 2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten, 3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft, 1 Gola/Schomerus, § 2 BDSG Rz. 15 sowie Tager/Gabel/Buchner, § 2 BDSG Rz. 18, jew. mit weiteren Beispielen. 2 Hartung, ZinsO 2011, 1225 (1229 f.).
Plath/Schreiber 37
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken, 5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten. (5) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. (6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. (6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. (7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. (8) 1Empfänger ist jede Person oder Stelle, die Daten erhält. 2Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. 3Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. (9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. (10) Mobile personenbezogene Speicher- und Verarbeitungsmedien sind Datenträger, 1. die an den Betroffenen ausgegeben werden, 2. auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und 3. bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann.
38 Plath/Schreiber
§ 3 BDSG
Weitere Begriffsbestimmungen
(11) Beschäftigte sind: 1. Arbeitnehmerinnen und Arbeitnehmer, 2. zu ihrer Berufsbildung Beschäftigte, 3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden), 4. in anerkannten Werkstätten für behinderte Menschen Beschäftigte, 5. nach dem Jugendfreiwilligendienstegesetz Beschäftigte, 6. Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten, 7. Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, 8. Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende. I. Einführung . . . . . . . . . . . . . . . .
1
II. Personenbezogene Daten (Abs. 1) . . . . . . . . . . . . . . . . . . . 4 1. Einzelangaben über persönliche oder sachliche Verhältnisse . . . . . . . . . . . . . . . . . . . . . 7 2. Natürliche Personen . . . . . . . . 10 3. Bestimmte oder bestimmbare Person . . . . . . . . . . . . . . . . . . . . 12 4. Einzelfälle . . . . . . . . . . . . . . . . 16 III. Automatisierte Verarbeitung und nicht automatisierte Datei (Abs. 2) . . . . . . . . . . . . . . 23 1. Automatisierte Verarbeitung (Abs. 2 Satz 1). . . . . . . . . . . . . . 24 2. Nicht automatisierte Datei (Abs. 2 Satz 2). . . . . . . . . . . . . . 25 IV. Erheben (Abs. 3) . . . . . . . . . . . . 30 V. Verarbeiten (Abs. 4) . . . . . . . . . 34 1. Speichern (Abs. 4 Satz 2 Nr. 1) . . . . . . . . . . . . . . . . . . . . . 35 2. Verändern (Abs. 4 Satz 2 Nr. 2) . . . . . . . . . . . . . . . . . . . . . 36
3. Übermitteln (Abs. 4 Satz 2 Nr. 3) . . . . . . . . . . . . . . . . . . . . . a) Übermittlung durch Weitergabe . . . . . . . . . . . . . . b) Übermittlung durch Bereithalten von Daten. . . . . . 4. Sperren (Abs. 4 Satz 2 Nr. 4) . . 5. Löschen (Abs. 4 Satz 2 Nr. 5) .
39 44 45 48 52
VI. Nutzen (Abs. 5). . . . . . . . . . . . . 53 VII. Anonymisierung und Pseudonymisierung (Abs. 6, 6a) . . . . . 56 1. Anonymisieren (Abs. 6). . . . . . 57 2. Pseudonymisieren (Abs. 6a) . . 61 VIII. Verantwortliche Stelle (Abs. 7). . . . . . . . . . . . . . . . . . . . 66 IX. Empfänger und Dritte (Abs. 8)
72
X. Besondere Arten personenbezogener Daten (Abs. 9). . . . . . . 76 XI. Mobile personenbezogene Speicher- und Verarbeitungsmedien (Abs. 10). . . . . . . . . . . . 82 XII. Beschäftigte (Abs. 11) . . . . . . . 87
Plath/Schreiber 39
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
Schrifttum: Abel, Rechtsfragen von Scoring und Rating, RDV 2006, 108; Artikel29-Datenschutzgruppe, Opinion 3/2012 on developments in biometric technologies (WP 193); Artikel-29-Datenschutzgruppe, Stellungnahme 02/2012 zur Gesichtserkennung bei Online- und Mobilfunkdiensten (WP 192); Artikel-29-Datenschutzgruppe, Stellungnahme zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.2.2010, (WP 169); Artikel-29-Datenschutzgruppe, Arbeitspapier. Privatsphäre im Internet – Ein integrierter EU-Ansatz zum Online-Datenschutz vom 21.11.2000 (WP 37); Art. 29-Datenschutzgruppe, Arbeitspapier. Datenschutzfragen im Zusammenhang mit der RFID-Technik vom 19.1.2005 (WP 105); Artikel-29-Datenschutzgruppe, Stellungnahme zum Begriff „personenbezogene Daten“ vom 20.6.2007 (WP 136); Aßmus, Jahresabschlussprüfung: Datenschutzrechtliche Aspekte bei der Weitergabe von Mitarbeiterdaten, MMR 2009, 599; Becker/Becker, Die neue Google-Datenschutzerklärung und das Nutzer-Metaprofil – Vereinbarkeit mit nationalen und gemeinschaftsrechtlichen Vorgaben, MMR 2012, 351; Bizer, Der Datentreuhänder, DuD 1999, 392; Borges, Der neue Personalausweis und der elektronische Identitätsnachweis, NJW 2010, 3334; Brühann, Die Veröffentlichung personenbezogener Daten im Internet als Datenschutzproblem, DuD 2004, 201; Dammann, Der EuGH im Internet – Das Ende des internationalen Datenschutzes?, RDV 2004, 19; Ernst, Social Plugins: Der „Like-Button“ als datenschutzrechtliches Problem, NJOZ 2010, 1917; Forgó/Krügel, Der Personenbezug von Geodaten – Cui bono, wenn alles bestimmbar ist?, MMR 2010, 17; Freund/Schnabel, Bedeutet IPv6 das Ende der Anonymität im Internet? – Technische Grundlagen und rechtliche Beurteilung des neuen Internet-Protokolls, MMR 2011, 495; Gola, Die Entwicklung des Datenschutzrechts in den Jahren 1999/2000, NJW 2000, 3749; Heermann, Internetstandard IPv6 – Datenschutz trotz Umstellung?, ZD-Aktuell 2012, 02992, Hoeren, Google Analytics – datenschutzrechtlich unbedenklich? – Verwendbarkeit von Webtracking-Tools nach BDSG und TMG, ZD 2011, 3; Hornung, Eine Datenschutz-Grundverordnung für Europa? – Licht und Schatten im Kommissionsentwurf vom 25.1.2012, ZD 2012, 99; Jandt/ Roßnagel, Datenschutz in Social Networks – Kollektive Verantwortlichkeit für die Datenverarbeitung, ZD 2011, 160; Jandt/Roßnagel/Wilke, Outsourcing der Verarbeitung von Patientendaten – Fragen des Daten- und Geheimnisschutzes, NZS 2011, 641; Kamlah, Das SCHUFA-Verfahren und seine datenschutzrechtliche Zulässigkeit, MMR 1999, 395; Karg, Die Rechtsfigur des personenbezogenen Datums – Ein Anachronismus des Datenschutzes?, ZD 2012, 255; Kloepfer/Kutzschbach, Schufa und Datenschutzrecht, MMR 1998, 650; Koch, Scoring-Systeme in der Kreditwirtschaft. Einsatz unter datenschutzrechtlichen Aspekten, MMR 1998, 458; Kock/Francke, Mitarbeiterkontrolle durch systematischen Datenabgleich zur Korruptionsbekämpfung, NZA 2009, 646; Krüger/Maucher, Ist die IP-Adresse wirklich ein personenbezogenes Datum? – Ein falscher Trend mit großen Auswirkungen auf die Praxis, MMR 2011, 433; Lindner, Persönlichkeitsrecht und Geo-Dienste im Internet – z.B. Google Street View/Google Earth, ZUM 2010, 292; Luch, SchleswigHolsteinischer Landtag Umdruck 17/2988, 13; Lundevall/Tranvik, Was sind personenbezogene Daten? Die Kontroverse um IP-Adressen, ZD-Aktuell 2012, 03004; Mackenthun, Datenschutzrechtliche Voraussetzungen der Verarbeitung von Kundendaten beim zentralen Rating und Scoring im Bank-Konzern, WM 2004, 1713; Meyerdierks, Sind IP-Adressen personenbezogene Daten?, MMR 2009, 8; Möller/ Florax, Datenschutzrechtliche Unbedenklichkeit des Scoring von Kreditrisiken?,
40 Plath/Schreiber
Weitere Begriffsbestimmungen
§ 3 BDSG
NJW 2003, 2724; Munz, Die Videoüberwachung von öffentlich zugänglichen Räumen durch nicht-öffentliche Stellen DSRI-Tagungsband 2011, 447; Petri, Das Scoringverfahren der Schufa, DuD 2001, 290; Petri, Sind Scorewerte rechtwidrig? DuD 2003, 631; Piltz/Holländer, Scoring als modernes Orakel von Delphi – Wie die geplante Änderung des Bundesdatenschutzgesetzes (BDSG) Transparenz und Rechtssicherheit schaffen will, ZRP 2008, 143; Römermann, Praxisverkauf und Praxisbewertung bei Freiberuflern – ein (scheinbar) unlösbares Problem, NJW 2012, 1694; Roßnagel, Anmerkungen zu EuGH, Urteil vom 6.11.2003 – Rs. C-101/01 (Lindqvist/Schweden), MMR 2004, 99; Roßnagel, Datenschutz in der künftigen Verkehrstelematik, NZV 2006, 281; Roßnagel, Die Novellen zum Datenschutzrecht – Scoring und Adresshandel, NJW 2009, 2716; Roßnagel/Scholz, Datenschutz durch Anonymität und Pseudonymität – Rechtsfolgen der Verwendung anonymer und pseudonymer Daten, MMR 2000, 721; Schröder/Haag, Neue Anforderungen an Cloud Computing für die Praxis – Zusammenfassung und erste Bewertung der „Orientierungshilfe – Cloud Computing“, ZD 2011, 147; Schröder/Hawxwell, Stellungnahme des Wissenschaftlichen Dienstes des Deutschen Bundestages, Ausarbeitung, Die Verletzungen Datenschutzrechtlicher Bestimmungen durch sogenannte Fanpages und Social-Plugins, zum Arbeitspapier des ULD in der Fassung vom 7. Okt. 2011; Schütze, Art.-29-Datenschutzgruppe: Neue Stellungnahme zu biometrischen Technologien, ZD-Aktuell 2012, 02991; Taeger, Datenschutz bei Direktmarketing und Bonitätsprüfung, Brunner/Seeger/ Turturica (Hrsg.), Fremdfinanzierung von Gebrauchsgütern, Wiesbaden 2010, 51; ULD, Scoringsysteme zur Beurteilung der Kreditwürdigkeit – Chancen und Risiken für den Verbraucher, Schlussbericht Kiel 2006; Weichert, der Schutz genetischer Informationen, DuD 2002, 133; Voigt, Datenschutz bei Google, MMR 2009, 377; Voigt/Alich, Facebook-Like-Button und Co. – Datenschutzrechtliche Verantwortlichkeit der Webseitenbetreiber, NJW 2011, 3541; Weber/Voigt, Internationale Auftragsdatenverarbeitung – Praxisempfehlungen für die Auslagerung von IT-Systemen in Drittstaaten mittels Standardvertragsklauseln ZD 2011, 74; Wegener/Heidrich, Neuer Standard – Neue Herausforderungen: IPv6 und Datenschutz, CR 2011, 479; Wente, Ist die Veröffentlichung von Daten (k)eine Übermittlung im Sinne von § 2 Abs. 2 Nr. 2 BDSG?, RDV 1986, 256; Westerholt/Döring, Datenschutzrechtliche Aspekte der Radio Frequency Identifikation, CR 2004, 710; Wuermeling, Scoring von Kreditrisiken, NJW 2002, 3508.
I. Einführung § 3 BDSG stellt die zentrale Definitionsnorm des BDSG dar und legt die Bedeutung der grundlegenden Begriffe des deutschen Datenschutzrechts fest. Diese Definitionen sind nicht nur bei der Anwendung der Regelungen des BDSG zugrunde zu legen, sondern gelten auch im Rahmen der bereichsspezifischen Datenschutznormen, z.B. des TMG oder des TKG, sofern diese keine abweichende Regelung treffen. Dies ergibt sich aus § 1 Abs. 3, der die subsidiäre Geltung der Normen des BDSG anordnet. Vor diesem Hintergrund sei auf die vorrangig geltenden bereichsspezifischen Definitionen in § 2 TMG, § 3 TKG und § 2 RStV hingewiesen. Plath/Schreiber 41
1
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
2 Der Definitionskatalog des § 3 ist nicht abschließend; es finden sich im Rahmen des BDSG auch an anderer Stelle weitere grundlegende Begriffsbestimmungen. So definiert § 2 die Begriffe der „öffentlichen“ und „nicht-öffentlichen Stelle“ und § 46 die Begriffe „Datei“, „Akte“ und „Empfänger“ für den Fall, dass diese Begriffe in besonderen Rechtsvorschriften des Bundes verwendet werden. Im Zusammenspiel mit diesen Normen konkretisiert § 3 sowohl den persönlichen als auch den sachlichen Anwendungsbereich des BDSG (vgl. § 1 Abs. 2). 3 Den Begriffsdefinitionen des Abs. 3 liegt Art. 2 EG-Datenschutzrichtlinie zugrunde. Zu weiten Teilen stimmen die Definitionen des BDSG nahezu wortgleich mit denen der EG-Datenschutzrichtlinie überein. Allerdings weichen einige Begriffsbestimmungen auch von den Vorgaben der EG-Datenschutzrichtlinie ab. So verwendet das BDSG beispielsweise hinsichtlich der Verwendungsform des „Verarbeitens“ einen engeren Begriff als die EG-Datenschutzrichtlinie1. Auch die Definition der verantwortlichen Stelle weicht von den Vorgaben der EG-Datenschutzrichtlinie ab2. Vor diesem Hintergrund ist eine richtlinienkonforme Auslegung der Begriffsbestimmungen des BDSG geboten, auf die im Rahmen der nachfolgenden Kommentierungen der einzelnen Begriffe jeweils noch näher einzugehen sein wird3. II. Personenbezogene Daten (Abs. 1) 4 Gemäß Abs. 1 sind unter dem Begriff der „personenbezogenen Daten“ Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zu verstehen. Diese Person wird als „Betroffener“ bezeichnet. Anders als es der Wortlaut suggeriert, ist jede Einzelangabe für sich genommen bereits ein personenbezogenes Datum, so dass die Anwendbarkeit dieser Begriffsbestimmung nicht das Vorliegen einer Vielzahl solcher Daten voraussetzt4. Darüber hinaus müssen die Daten weder zutreffend noch bewiesen sein5. Dies ergibt sich nicht zuletzt aus den Ansprüchen auf Löschung und Sperrung für den Fall, dass die durch die verantwortliche Stelle verwendeten Daten unrichtig sind, § 35 Abs. 1. Vielmehr sind sogar (subjektive) Werturteile über bestimmte oder bestimmbare Personen als personenbezogene Da1 Ausführlich hierzu s.u. Rz. 34. 2 Vgl auch Rz. 66 ff. 3 Siehe hierzu auch Rz. 66; vgl. hierzu Simitis/Dammann, § 3 BDSG Rz. 2, 224 ff. 4 Taeger/Gabel/Buchner, § 3 BDSG Rz. 3; Simitis/Dammann, § 3 BDSG Rz. 3. 5 Simitis/Dammann, § 3 BDSG Rz. 12.
42 Plath/Schreiber
Weitere Begriffsbestimmungen
§ 3 BDSG
ten anzusehen1. Der Grund hierfür liegt darin, dass auch in der Verwendung unrichtiger, unvollständiger oder unbewiesener Daten eine Beeinträchtigung des Grundrechts auf informationelle Selbstbestimmung des Betroffenen, dem zentralen Schutzgut des BDSG, zu sehen ist. Ebenso unerheblich für die Begriffsbestimmung des Abs. 1 ist der Daten- 5 träger, auf dem sich die personenbezogenen Daten befinden. Umfasst werden damit sowohl Daten, die auf „konventionellen“ Speichermedien wie Papier, CDs oder Festplatten liegen, als auch solche, die sich auf unkonventionellen oder neuen Datenträgern befinden, wie z.B. auf der Haut eines Menschen gespeicherte Geninformationen2. Der dem Abs. 1 zugrunde liegende Art. 2a EG-Datenschutzrichtlinie sieht eine weite Definition des Begriffs der personenbezogenen Daten vor, so dass dieser europarechtlichen Vorgabe in Zweifelsfällen durch richtlinienkonforme Auslegung Rechnung getragen werden muss3.
6
1. Einzelangaben über persönliche oder sachliche Verhältnisse Der Begriff Einzelangabe umfasst jede Information geistigen Inhalts4. 7 Unerheblich ist die Ausdrucksweise oder Mitteilungsform dieser Angabe, so dass neben schriftlichen Aufzeichnungen auch Fotos, Videoaufzeichnungen oder Tonaufnahmen von der Definition erfasst sind5. Bei zusammenfassenden Daten zu einer Gruppe von Personen (aggregierte Daten) handelt es sich nur dann um Einzelangaben i.S. des Abs. 1, wenn die Daten Rückschlüsse auf eine bestimmte Person zulassen6. Das ist beispielsweise der Fall, wenn eine Angabe auf bestimmte oder alle Mitglieder der Gruppe zutrifft und individuell zugeordnet werden kann (z.B. die Qualifikation als „Wanderer“ bezüglich jedes einzelnen Mitglieds einer Wandergruppe)7. Unter dem Begriff der „persönlichen und sachlichen Verhältnisse“ einer Person sind körperliche und geistige Eigenschaften, Verhaltensweisen 1 Schaffland/Wiltfang, § 3 BDSG Rz. 6; Taeger/Gabel/Buchner, § 3 BDSG Rz. 5; Simitis/Dammann, § 3 BDSG Rz. 12. 2 Taeger/Gabel/Buchner, § 3 BDSG Rz. 7. 3 Artikel-29-Datenschutzgruppe, Stellungnahme zum Begriff „personenbezogene Daten“, 4; Taeger/Gabel/Buchner, § 3 BDSG Rz. 3. 4 Simitis/Dammann, § 3 BDSG Rz. 5. 5 Simitis/Dammann, § 3 BDSG Rz. 4. 6 Simitis/Dammann, § 3 BDSG Rz. 14; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 18; Gola/Schomerus, § 3 BDSG Rz. 3. 7 Vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 16.
Plath/Schreiber 43
8
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
und berufliche, wirtschaftliche, soziale oder private Beziehungen sowie alle identifizierenden Angaben wie beispielsweise Personenkennzeichen und biometrische Daten zu verstehen1. Auf die Sensibilität oder Aussagekraft der Angaben kommt es für ihre Einordnung als „personenbezogene Daten“ nicht an2. Allerdings differenziert das Gesetz an manchen Stellen zwischen personenbezogenen Daten im Allgemeinen und einer spezielleren Kategorie, den sog. „sensiblen Daten“, und lässt ihnen einen gesteigerten Schutz zukommen. Dies ist zum Beispiel bei den §§ 13 Abs. 2, 14 Abs. 5, Abs. 6, 28 Abs. 6 und 29 Abs. 5 der Fall3. 9 Auch Scoring-Werte, fallen – wie § 28b zeigt – unter den Begriff der personenbezogenen Daten. Für nähere Ausführungen zu diesem Begriff siehe § 28b Rz. 6. Ob hingegen sog. Prognose- oder Planungsdaten zu bestimmten Betroffenen personenbezogene Daten sind, ist strittig. Mit diesem Begriff werden Angaben bezeichnet, die sich auf prognostische oder zukünftige Entwicklungen beziehen, z.B. Personalplanungsdaten von Unternehmen hinsichtlich des zukünftigen Umgangs mit ihren Mitarbeitern. Teilweise wird vertreten, dass auch solche Planungsdaten personenbezogene Daten darstellen. Begründet wird diese Ansicht damit, dass sich auch theoretische Planungen auf gegenwärtige Verhältnisse eines Betroffenen auswirken oder einen Rückschluss auf diese zulassen können4. Nach zutreffender Ansicht muss jedoch auch in diesem Zusammenhang allein entscheidend sein, ob sich aus den Daten tatsächlich konkrete Informationen über die persönlichen Verhältnisse des Betroffenen ableiten lassen, oder ob es sich lediglich um abstrakte Angaben ohne konkreten Personenbezug handelt5. Prüft ein Unternehmen beispielsweise lediglich die Möglichkeit einer Personalreduzierung, ohne bestimmte Stellen oder Arbeitnehmer zu benennen, ist kein Personenbezug gegeben6. Bezieht sich die Planung dagegen auf konkrete Überlegungen zur beruflichen Zukunft eines bestimmten Arbeitnehmers, so wird im Regelfall ein Personenbezug anzunehmen sein. Dies gilt insbesondere dann, wenn diese Prognose oder Planung auf einer Bewertung des Verhaltens oder der Fähigkeiten des Betroffenen beruht. Der Personenbezug ist darüber hinaus auch dann regelmäßig gegeben, wenn die Planung (z.B. ein bevorste1 Artikel-29-Datenschutzgruppe, Stellungnahme zum Begriff „personenbezogene Daten“, 9; Taeger/Gabel/Buchner, § 3 BDSG Rz. 4. 2 Simitis/Dammann, § 3 BDSG Rz. 8. 3 Taeger/Gabel/Buchner, § 3 BDSG Rz. 4. 4 Gola/Schomerus, § 3 BDSG Rz. 9. 5 Taeger/Gabel/Buchner, § 3 BDSG Rz. 6; vgl. Schaffland/Wiltfang, § 3 BDSG Rz. 8. 6 Schaffland/Wiltfang, § 3 BDSG Rz. 8.
44 Plath/Schreiber
Weitere Begriffsbestimmungen
§ 3 BDSG
hender beruflicher Wechsel oder die Tätigung einer größeren Investition) durch den Betroffenen selbst erfolgt1. 2. Natürliche Personen Das BDSG schützt nur natürliche lebende Personen. Die personenbezo- 10 genen Daten von Verstorbenen werden nicht durch das BDSG geschützt, da der Schutzbereich der informationellen Selbstbestimmung mit dem Tod endet2. Auch Ungeborene fallen nicht unter den Schutz des BDSG. Allerdings werden deren Daten im Sinne einer Vorwirkung als Daten der Mutter geschützt, so dass sich der Anwendungsbereich des BDSG de facto auch auf den Zeitraum vor der Geburt ausdehnt3. Juristische Personen fallen – trotz ihrer grundrechtlichen Gleichstellung mit natürlichen Personen durch Art. 19 Abs. 3 GG – nicht in den Schutzbereich des BDSG4. Sie können jedoch unter Umständen etwaige datenschutzrechtliche Ansprüche auf ihr allgemeines Persönlichkeitsrecht aus Art. 1 Abs. 1, 2 Abs. 1 GG stützen5. Der Grund hierfür ist, dass das BDSG letztlich eine Konkretisierung des Schutzes der informationellen Selbstbestimmung einer Person als integraler Bestandteil ihres allgemeinen Persönlichkeitsrechts darstellt. Auch wenn also die spezialgesetzliche Ausformung dieses Grundrechtsschutzes nicht greift, so können dennoch die dem BDSG zugrunde liegenden Abwägungsgrundsätze einem allgemeinen Grundrechtsschutz zugrunde gelegt werden. Zu beachten ist jedoch, dass das BDSG direkt Anwendung findet, wenn der Informationsgehalt eines Datums über eine juristische Person auf eine natürliche Person „durchschlägt“. Dies wird beispielsweise regelmäßig bei Ein-Mann-GmbHs oder ähnlichen Einzelfirmen der Fall sein. Bei solchen Daten handelt es sich dann gleichzeitig sowohl um unternehmens- als auch um personenbezogene Daten6. 1 Ebenso Schaffland/Wiltfang, § 3 BDSG Rz. 7. 2 Simitis/Dammann, § 3 BDSG Rz. 17; Gola/Schomerus, § 3 BDSG Rz. 12; Schaffland/Wiltfang, § 3 BDSG Rz. 3; a.A. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 4, 7. 3 Simitis/Dammann, § 3 BDSG Rz. 17; vgl. Artikel-29-Datenschutzgruppe, personenbezogene Daten, 25 f., zu Sonderfällen wie der ärztlichen Schweigepflicht nach dem Tod; vgl. Schaffland/Wiltfang, § 3 BDSG Rz. 4. 4 Taeger/Gabel/Buchner, § 3 BDSG Rz. 6; Artikel-29-Datenschutzgruppe, personenbezogene Daten, 27. 5 Gola/Schomerus, § 3 BDSG Rz. 11. 6 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 6; Artikel-29-Datenschutzgruppe, Stellungnahme zum Begriff „personenbezogene Daten“, 27 f.; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 12; Gola/Schomerus, § 3 BDSG Rz. 11a.
Plath/Schreiber 45
11
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
3. Bestimmte oder bestimmbare Person 12 Ein Personenbezug ist immer dann gegeben, wenn sich Informationen auf persönliche oder sachliche Verhältnisse einer Person beziehen1. Der Bezug kann dabei sowohl unmittelbar als auch mittelbar sein. Ein unmittelbarer Personenbezug ist gegeben, wenn sich die Angaben direkt auf die Person selbst oder deren „persönliche Verhältnisse“ beziehen, wie etwa bei Angaben über das Alter einer namentlich benannten Person. Ein mittelbarer Personenbezug bezüglich der „sachlichen Verhältnisse“ einer Person ist hingegen dann gegeben, wenn Daten zwar in erster Linie nur einen Sachbezug aufweisen, in zweiter Linie aber auch Rückschlüsse auf die Verhältnisse einer natürlichen Person zulassen2. So stellt beispielsweise der Wert einer Immobilie einer bestimmten Person ein personenbezogenes Datum des Eigentümers der Immobilie dar, da dieser Rückschlüsse auf die wirtschaftlichen Verhältnisse des Betroffenen zulässt und beispielsweise einer Steuerfestsetzung zugrunde gelegt werden kann3. Entgegen verbreiteter Annahme ist es also nicht so, dass der Schutz des BDSG erst dann beginnt, wenn beispielsweise konkrete persönliche Umstände oder menschliche Eigenschaften einer Person preisgegeben werden bzw. betroffen sind. Vielmehr gilt der Schutz des BDSG nahezu für sämtliche Daten, die mit einer Person in Verbindung stehen, solange diese Person bestimmt oder jedenfalls bestimmbar ist. 13 Bestimmt ist eine Person immer dann, wenn feststeht, dass sich die Angaben auf diese konkrete Person beziehen4. Dies ist insbesondere immer dann der Fall, wenn die konkrete Person namentlich benannt wird. Dagegen ist eine Person nur bestimmbar, wenn lediglich die Möglichkeit besteht, ihre Identität zu ermitteln, beispielsweise über die Telefonnummer oder das KFZ-Kennzeichen5. 14 Strittig ist, aus welcher Perspektive die Bestimmbarkeit des Personenbezugs zu beurteilen ist. Einer Ansicht nach soll diese Frage objektiv bzw. absolut zu beurteilen sein. Hiernach würde es ausreichen, wenn irgend1 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 10. 2 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 10; Simitis/Dammann, § 3 BDSG Rz. 57. 3 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 10; Simitis/Dammann, § 3 BDSG Rz. 57. 4 Simitis/Dammann, § 3 BDSG Rz. 22. 5 Vgl. Artikel-29-Datenschutzgruppe, Stellungnahme zum Begriff „personenbezogene Daten“, 14; Taeger/Gabel/Buchner, § 3 BDSG Rz. 11; EuGH v. 6.11.2003 – Rs. C-101/01 (Lindqvist/Schweden), CR 2004, 286.
46 Plath/Schreiber
Weitere Begriffsbestimmungen
§ 3 BDSG
einer beliebigen Stelle die Zuordnung des Datums möglich ist, um einen Personenbezug dieser Information auch im Verhältnis zu anderen verantwortlichen Stellen zu begründen, die nicht über das entsprechende Zuordnungsmittel verfügen1. Dagegen spricht jedoch, dass das BDSG vor einer konkreten Gefahr für die informationelle Selbstbestimmung des Betroffenen schützen will. Dieser „objektive“ bzw. absolute Ansatz würde hingegen dazu führen, dass auch Datenverwendungen, die ein solches Gefahrenpotenzial für einen konkreten Grundrechtsträger gerade nicht aufweisen, den strengen Anforderungen des BDSG gerecht werden müssten. Dies würde jedoch über das Ziel des Datenschutzrechts hinausgehen und zu einer unverhältnismäßigen Belastung der Wirtschaft führen. Nach zutreffender Ansicht ist deshalb die Frage des Personenbezugs re- 15 lativ zu beurteilen. Ausschlaggebend ist damit, ob im Verhältnis zur jeweiligen verantwortlichen Stelle die Herstellung eines Personenbezugs realistischerweise möglich ist. Damit kann ein und dasselbe Datum für eine bestimmte Stelle, die über ein Mittel zur Zuordnung verfügt, einen Personenbezug aufweisen, für eine andere Stelle hingegen nicht2. Dabei kann die rein hypothetische Möglichkeit der Rückführbarkeit von Daten auf die betroffene Person nicht allein ausschlaggebend sein. Vielmehr sieht auch der Erwägungsgrund 26 zur EG-Datenschutzrichtlinie vor, dass bei der Beurteilung der Frage des mittelbaren Personenbezugs zu berücksichtigen ist, welcher Mittel es bedarf, um eine Identifizierung der Person anhand dieses Datums zu ermöglichen3. Dabei sind Kriterien wie Arbeitskraft, Kosten und Zeitaufwand, die für die Identifizierung aufgebracht werden müssten, für die Beurteilung der Frage ausschlaggebend, ob ein solches Mittel zur Identifizierung taugt4. Auch etwaiges Zusatzwissen, welches der verantwortlichen Stelle zugänglich ist, muss bei einer solchen Beurteilung berücksichtigt werden5. Für die hier ver1 Siehe Darstellung bei Taeger/Gabel/Buchner, § 3 BDSG Rz. 13. 2 LG Berlin v. 6.9.2007 – 23 S 3/07, MMR 2007, 799 (801); Gola/Schomerus, § 3 BDSG Rz. 10; vgl. Simitis/Dammann, § 3 BDSG Rz. 32 f.; Taeger/Gabel/Buchner, § 3 BDSG Rz. 13; Spindler/Nink in Spindler/Schuster, § 12 TMG Rz. 5b; Roßnagel/Scholz, MMR 2000, 721 (723). 3 Artikel-29-Datenschutzgruppe, Stellungnahme zum Begriff „personenbezogene Daten“, 17; Taeger/Gabel/Buchner, § 3 BDSG Rz. 12; vgl. auch Simitis/Dammann, § 3 BDSG Rz. 23 f. 4 Taeger/Gabel/Buchner, § 3 BDSG Rz. 12. 5 Vgl. Simitis/Dammann, § 3 BDSG Rz. 31 f.; Taeger/Gabel/Buchner, § 3 BDSG Rz. 13; siehe auch zur selben Problematik bei Re-Identifizierung nach erfolgter Anonymisierung Rz. 59.
Plath/Schreiber 47
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
tretene Ansicht spricht zudem, dass es auf dieselben Kriterien auch im Rahmen der Feststellung ankommt, ob anonymisierte oder pseudonymisierte Daten einen Personenbezug aufweisen1. 4. Einzelfälle 16 Bei biometrischen Daten ist ein Personenbezug bereits gegeben, wenn der Träger mit gewisser Wahrscheinlichkeit durch die verantwortliche Stelle ermittelt werden kann2. Biometrische Daten sind biologische Eigenschaften, physiologische Merkmale und Handlungen, welche für die betreffende Person spezifisch und messbar sind (beispielsweise Augennetzhaut, Fingerabdrücke, Gangart, Sprechweise, DNA3 oder Unterschrift). Dies gilt auch dann, wenn die in der Praxis angewandten Modelle für ihre technische Messung in gewissem Umfang auf Wahrscheinlichkeiten beruhen4. 17 Auch als Namensersatz fungierende Kennzeichen wie Aktenzeichen, E-Mail-Adressen, Kennwörter oder TAN-Nummern sind grundsätzlich personenbezogene Daten. Sie verlieren diese Eigenschaft jedoch, wenn der entsprechende personenbezogene Kontext entfällt5. 18 Ebenso können Daten aus RFID-Technologien („Radio Frequency Identification“), die zunehmend in den Alltag integriert werden, einen Personenbezug aufweisen6. Ein RFID-System besteht aus einem Transponder, der an Gegenständen oder Lebewesen angebracht wird und einen kennzeichnenden Code enthält (sog. Tag), sowie aus einem Lesegerät zum Auslesen dieser Kennung7. Solche RFID-Tags befinden sich häufig auf Kundenkarten8. Sobald die auf dem RFID-Tag gespeicherten Informationen mit Daten, welche die Identifizierung ermöglichen (z.B. Name, Telefonnummer, Anschrift oder eine wiederkehrende Kennnum1 Vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 18; siehe zum Personenbezug bei anonymisierten und pseudonymisierten Daten Rz. 56. 2 Siehe dazu auch Taeger/Gabel/Buchner, § 3 BDSG Rz. 15. 3 Weichert, DuD 2002, 133, zum Schutz genetischer Informationen. 4 Vgl. Schütze, ZD-Aktuell 2012, 02991, Taeger/Gabel/Buchner, § 3 BDSG Rz. 15; siehe auch Artikel-29-Datenschutzgruppe, Gesichtserkennung bei Online- und Mobilfunkdiensten, 1 ff.; Artikel-29-Datenschutzgruppe, developments in biometric technologies, 3 ff.; Borges, NJW 2010, 3334, zum neuen Personalausweis. 5 Simitis/Dammann, § 3 BDSG Rz. 10. 6 Simitis/Dammann, § 3 BDSG Rz. 70. 7 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 18. 8 Taeger/Gabel/Buchner, § 3 BDSG Rz. 18.
48 Plath/Schreiber
Weitere Begriffsbestimmungen
§ 3 BDSG
mer), verknüpft werden können, ist für die jeweils verantwortliche Stelle ein Personenbezug gegeben1. Ebenso können geografische Standort- oder Positionsdaten sowie Gebäude- und Grundstücksaufnahmen (Geodaten), wie sie z.B. im Rahmen der Dienste von „Google Street View“ oder von „location based services“ anfallen, einen Personenbezug aufweisen2.
19
Gegenstand heftiger Diskussionen ist immer wieder der Personenbezug 20 von IP-Adressen. Bei statischen IP-Adressen ist ein Personenbezug jedenfalls für den Access-Provider gegeben, wenn er die entsprechenden Daten auf einen bestimmten Betroffenen zurückführen kann3. Dies wird in der Regel der Fall sein. Schwieriger ist die Bewertung der Sachlage jedoch bei der Verwendung dynamischer IP-Adressen4. Der EuGH hat zuletzt im Rahmen einer Urteilsbegründung nicht zwischen statischen und dynamischen IP-Adressen unterschieden5. Aufgrund dieser fehlenden Differenzierung wird der EuGH dahin gehend verstanden, dass er sowohl statische als auch dynamische IP-Adressen für Daten hält, die für den Access-Provider einen Personenbezug aufweisen. Auch das LG Berlin hat dynamische IP-Adressen im Verhältnis zum Access-, nicht jedoch zum Content-Provider als personenbezogene Daten eingestuft. Das LG Berlin begründet diese differenzierende Beurteilung damit, dass sich die Kenntnisse des Content-Providers in der Zahlenfolge der IP-Adresse verbunden mit dem Zeitpunkt des Zugriffs auf den Webserver erschöpften6. Die Artikel-29-Datenschutzgruppe geht noch weiter und bejaht einen Personenbezug auch für Verwalter von sozialen Netzwerken sowie anderen Internetdiensteanbietern, welche in ihren http-Servern Protokolle führen. Begründet wird diese Ansicht damit, dass solche Dienstanbieter ohne großen Aufwand Internetnutzer, denen sie eine IP-Adres-
1 Taeger/Gabel/Buchner, § 3 BDSG Rz. 18. 2 Siehe hierzu Forgó/Krügel, MMR 2010, 17; Lindner, ZUM 2010, 292; Roßnagel, NZV 2006, 281, zu Verkehrstelematik. 3 Taeger/Gabel/Buchner, § 3 BDSG Rz. 17; vgl. Schaffland/Wiltfang, § 3 BDSG Rz. 5; LG Berlin v. 6.9.2007 – 23 S 3/07, DuD 2007, 858; Voigt, MMR 2009, 377 (378), zum Datenschutz bei Google. 4 Dieses Problem wird ausführlich unter Rz. 21 behandelt; vgl. auch Meyerdierks, MMR 2009, 8 ff.; Voigt, MMR 2009, 377 (378), bei Google. 5 EuGH v. 24.11.2011 – C-70/10 Rz. 51, CR 2012, 33. 6 LG Berlin v. 6.9.2007 – 23 S 3/07, MMR 2007, 799 (801); siehe auch AG München v. 30.9.2008 – 133 C 5677/08; VG Düsseldorf v. 17.7.2009 – 27 L 990/09, wonach kein Personenbezug für den Betreiber eines Internetportals besteht; a.A. OLG Hamburg v. 2.8.2011 – 7 U 134/10, CR 2012, 188.
Plath/Schreiber 49
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
se zugewiesen haben, mithilfe der gespeicherten Daten identifizieren könnten1. 21 Den Vertretern der dargestellten Ansichten ist insoweit zuzustimmen, als dass auch bei dynamischen IP-Adressen für den Access-Provider ein Personenbezug regelmäßig besteht. Ob ein Personenbezug für andere Diensteanbieter oder Dritte besteht, ist dagegen im Einzelfall zu prüfen. Nach dem hier vertretenen relativen Ansatz ist ausschlaggebend, ob die jeweilige verantwortliche Stelle selbst über rechtlich zulässige Mittel verfügt, die zur Identifizierung und damit zur Herstellung des Personenbezugs taugen2. Dies wird beispielsweise der Fall sein, wenn durch eine Verknüpfung der IP-Adresse mit anderen Angaben des Betroffenen wie der E-Mail-Adresse, an welche der Diensteanbieter durch Setzen eines Cookies oder Web-Bugs gelangt, ein Personenbezug begründet wird3. Ist eine Verknüpfung einer dynamischen IP-Adresse mit anderen Angaben dagegen rechtlich oder faktisch nicht möglich, und kann demnach im Einzelfall kein Personenbezug hergestellt werden, so fällt die Verwendung einer solchen „nackten“ IP-Adresse nicht in den Schutzbereich des BDSG. 22 Die Diskussion um den Personenbezug bei dynamischen IP-Adressen könnte jedoch an Bedeutung verlieren, wenn im Zuge der Einführung der Internet Protocol Version 6 (IPV6), durch die eine Vielzahl neuer IPAdressen zur Verfügung stehen werden, nur noch statische IP-Adressen vergeben werden. Der Personenbezug würde dann nicht mehr von der Hand zu weisen sein, jedenfalls soweit diese IP-Adressen mithilfe eines für jeden durchführbaren „Reverse Search“ einer bestimmten Person unproblematisch zuordenbar würden4. III. Automatisierte Verarbeitung und nicht automatisierte Datei (Abs. 2) 23 Abs. 2 definiert die Begriffe der „automatisierten Verarbeitung“ sowie der „nicht automatisierten Datei“. Von Bedeutung sind diese Begriffe
1 Artikel-29-Datenschutzgruppe, personenbezogene Daten, 19; Hoeren, ZD 2011, 3, 4 ff., zu Google Analytics; Becker/Becker, MMR 2012, 351 (352); a.A. Krüger/ Maucher, MMR 2011, 433 (439), wonach dynamische IP-Adressen für WebsiteBetreiber kein personenbeziehbares Datum sind. 2 Siehe hierzu Rz. 14.; Lundevall/Travnik, ZD-Aktuell 2012, 03004. 3 I.E. ebenso Hoeren, ZD 2011, 3 (4 ff.); Redeker, Rechtsprobleme von Internet und Telekommunikation Rz. 937; Ernst, NJOZ 2010, 1917 (1918). 4 Krüger/Maucher, MMR 2011, 433, 439; Freund/Schnabel, MMR 2011, 495; Heermann, ZD-Aktuell 2012, 02992; vgl. hierzu auch Wegener/Heidrich, CR 2011, 479, 484.
50 Plath/Schreiber
Weitere Begriffsbestimmungen
§ 3 BDSG
insbesondere für die Frage, ob der Anwendungsbereich des BDSG bei der Verwendung von Daten durch nicht-öffentliche Stellen eröffnet ist (vgl. §§ 1 Abs. 2 Nr. 3, 27)1. 1. Automatisierte Verarbeitung (Abs. 2 Satz 1) Unter dem Begriff der „automatisierten Verarbeitung“ ist die Erhebung, 24 Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen zu verstehen. Auf die Größe und Leistungsfähigkeit der Datenverarbeitungsanlage kommt es dabei nicht an2. Vielmehr ist maßgeblich, ob die Zugänglichkeit zu einer Datensammlung und die Auswertung von Daten durch die Automatisierung des Verarbeitungsvorgangs erleichtert wird3. Der Begriff ist weit auszulegen. Unter Datenverarbeitungsanlagen sind insbesondere alle klassischen Computersysteme zu verstehen sowie darüber hinaus insbesondere Bürokommunikationssysteme, Aktenerschließungssysteme und digitale Bildverarbeitungssysteme4. 2. Nicht automatisierte Datei (Abs. 2 Satz 2) Gemäß Abs. 2 Satz 2 ist eine „nicht automatisierte Datei“ jede nicht au- 25 tomatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann. Der Begriff „Sammlung“ beschreibt eine zielstrebig zusammengetragene 26 Mehrheit von Elementen, welche in einem gewissen inneren Zusammenhang zueinander stehen5. Ein innerer Zusammenhang besteht beispielsweise, wenn Daten sich inhaltlich auf einen gemeinsamen Bereich (zum Beispiel Arbeitnehmer) beziehen oder einem bestimmten Zweck (zum Beispiel der Zugangskontrolle) dienen6. Der „gleichartige Aufbau“ muss hinsichtlich bestimmter Merkmale bestehen, nach denen die Sammlung zugänglich ist und ausgewertet wer-
1 Vgl. Schaffland/Wiltfang, § 3 BDSG Rz. 4; Taeger/Gabel/Buchner, § 3 BDSG Rz. 23. 2 Taeger/Gabel/Buchner, § 3 BDSG Rz. 22. 3 Taeger/Gabel/Buchner, § 3 BDSG Rz. 22; vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 47. 4 Taeger/Gabel/Buchner, § 3 BDSG Rz. 22. 5 Vgl. Simitis/Dammann, § 3 BDSG Rz. 86. 6 Vgl. Simitis/Dammann, § 3 BDSG Rz. 86.
Plath/Schreiber 51
27
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
den kann1. Es muss also ein äußerer Zusammenhang bzw. eine einheitliche Ordnung gegeben sein2. Ein gängiges Beispiel für einen solchen gleichartigen Aufbau ist die alphabetische Ordnung von Namen oder die steigende Ordnung von Kundennummern. 28 Die Sammlung ist „nach einem bestimmten personenbezogenen Merkmal zugänglich“, wenn anhand eines Merkmals (z.B. Beruf, Name, Kundennummer oder Aktenzeichen) eine Teilmenge von personenbezogenen Daten einer bestimmten Person oder mehrerer Personen gefunden werden kann3. Nicht zugänglich sind demgegenüber unaufbereitete Datensammlungen, z.B. die Videoaufnahme einer größeren Menschenmenge4. Hier ist eine systematische Durchsuchung der – ansonsten unzweifelhaft gegebenen – „Datensammlung“ nach bestimmten Kriterien nicht möglich5. In der Regel wird also bezüglich solcher Daten, die „nach einem bestimmten personenbezogenen Merkmal zugänglich sind“, zugleich auch die Voraussetzung der „Auswertbarkeit“ erfüllt sein6. 29 Nicht automatisierte Dateien sind beispielsweise Karteien, Sammlungen ausgefüllter Formulare (z.B. Anträge oder Fragebögen)7 sowie Akten(sammlungen)8. Auch Videoaufzeichnungen und Tonbandaufnahmen können entweder unter den Begriff der nicht automatisierten Datei oder den Begriff der automatisierten Verarbeitung fallen, wenn die Betroffenen zumindest identifizierbar sind9. Nicht erfasst sind demgegenüber unsortierte Listen auf Papier, z.B. Teilnehmerlisten sowie Fotostapel ohne Textanmerkungen oder ein einzelner Fragebogen10. IV. Erheben (Abs. 3) 30 Gemäß Abs. 3 ist unter dem Begriff „Erheben“ das Beschaffen von Daten über den Betroffenen zu verstehen. Eine Datenerhebung setzt dabei 1 Gola/Schomerus, § 3 BDSG Rz. 17 f. 2 Vgl. Simitis/Dammann, § 3 BDSG Rz. 86, 89; Taeger/Gabel/Buchner, § 3 BDSG Rz. 24. 3 Vgl. Simitis/Dammann, § 3 BDSG Rz. 90. 4 Vgl. Simitis/Dammann, § 3 BDSG Rz. 99. 5 Taeger/Gabel/Buchner, § 3 BDSG Rz. 24. 6 Taeger/Gabel/Buchner, § 3 BDSG Rz. 24. 7 Vgl. Simitis/Dammann, § 3 BDSG Rz. 99. 8 Gola/Schomerus § 3 BDSG Rz. 20; vgl. Simitis/Dammann, § 3 BDSG Rz. 90; a.A. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 39; differenzierend Schaffland/ Wiltfang, § 3 BDSG Rz. 4. 9 Gola/Schomerus, § 3 BDSG Rz. 21. 10 Vgl. Simitis/Dammann, § 3 BDSG Rz. 99.
52 Plath/Schreiber
Weitere Begriffsbestimmungen
§ 3 BDSG
ein willentliches und aktives Tätigwerden der verantwortlichen Stelle voraus mit der Folge, dass diese Stelle sowohl die Kenntnis als auch die Verfügungsmacht über die Daten erhält1. Der Zugriff der verantwortlichen Stelle auf bereits bei ihr vorhandenes Material ist deshalb keine Erhebung, sondern eine Verarbeitung oder Nutzung2. Ebenso verhält es sich, wenn Daten einer Stelle ohne eigenes Zutun zugänglich gemacht werden, da das Bereithalten von Empfangseinrichtungen für sich genommen keine aktive Erhebungshandlung darstellt. Dies gilt jedoch nicht, sobald die Stelle aktiv Interesse an diesen Daten geäußert hat3. Ob die Daten abschließend gespeichert werden, ist für die Frage der Datenerhebung unerheblich4. Aus Sicht des Betroffenen ist eine Datenübermittlung5 regelmäßig eine 31 Datenerhebung durch den Empfänger6. Dies ist aber nur dann der Fall, wenn der Empfänger die Daten gezielt für eigene Zwecke entgegen nimmt7. Der Begriff der Datenerhebung fällt – anders als in der EG-Datenschutz- 32 richtlinie vorgesehen – nicht unter den Oberbegriff der Datenverarbeitung8. Diese strikte Trennung zwischen Datenerhebung und Datenverarbeitung im deutschen Datenschutzrecht ist vor allem für den Grundsatz der Zweckbindung von Bedeutung. Danach ist die Verarbeitung von Daten nur im Rahmen des Zwecks zulässig, der der Erhebung ebendieser Daten zugrunde lag9. Bereits die Datenerhebung löst den Erlaubnisvorbehalt nach § 4 Abs. 1 aus. Das BDSG ist damit auf diese Phase der Datenverwendung auch dann anzuwenden, wenn der nachfolgende Umgang, z.B. mangels Personenbezugs infolge einer Anonymisierung, nicht mehr in den Anwendungsbereich des BDSG fällt10. 1 Simitis/Dammann, § 3 BDSG Rz. 102. 2 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 66; vgl. Simitis/Dammann, § 3 BDSG Rz. 102. 3 Simitis/Dammann, § 3 BDSG Rz. 104. 4 Taeger/Gabel/Buchner, § 3 BDSG Rz. 25; vlg. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 64. 5 S.u. Rz. 39. 6 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 67. 7 Taeger/Gabel/Buchner, § 3 BDSG Rz. 26. 8 Taeger/Gabel/Buchner, § 3 BDSG Rz. 25. 9 Vgl. z.B. für den öffentlichen Bereich §§ 14 ff. bzw. für den nicht-öffentlichen Bereich § 28 Abs. 1 Satz 2, Abs. 2; ebenso Simitis/Dammann, § 3 BDSG Rz. 101. 10 Vgl. Gola/Schomerus, § 3 BDSG Rz. 24.
Plath/Schreiber 53
33
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
V. Verarbeiten (Abs. 4) 34 „Verarbeiten“ i.S.d. Abs. 4 ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten, ungeachtet der dabei angewandten Verfahren. Der letzte Halbs. stellt klar, dass sowohl die automatisierte als auch die nicht automatisierte Datenverarbeitung in den Anwendungsbereich dieser Norm fällt1. Jede Form der Verarbeitung von personenbezogenen Daten löst den Erlaubnisvorbehalt nach § 4 Abs. 1 aus. Entfällt jedoch der Personenbezug, beispielsweise in Folge einer Anonymisierung der Daten, so ist der Anwendungsbereich des BDSG nicht mehr eröffnet2. Der Begriff des Verarbeitens entspricht nicht vollständig der ihm zugrunde liegenden Definition in Art. 2b) der EG-Datenschutzrichtlinie, da er im BDSG weder die Erhebung noch die Nutzung von Daten erfasst. 1. Speichern (Abs. 4 Satz 2 Nr. 1) 35 „Speichern“ ist nach Abs. 4 Nr. 1 das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung. Demnach darf die Speicherung nicht Selbstzweck sein3. In der Praxis wird jedoch der weitergehende Verwendungszweck bereits in der Kenntnisnahme der Daten zu sehen sein, die eine Art der Datennutzung darstellt (vgl. Abs. 5)4. Der Begriff des „Datenträgers“ ist weit auszulegen und umfasst alle Speichermedien vom einfachen Zettel bis hin zu technologisch hoch komplexen Anlagen5. Notwendig ist aber immer eine Verkörperung auf einem – nicht notwendig elektronischen – Datenträger6. Demzufolge ist die „Speicherung“ im Gedächtnis einer natürlichen Person keine Datenverwendung i.S.d. Abs. 4 Satz 2 Nr. 1. Die Daten bleiben bis zur Löschung gespeichert. Auch gesperrte Daten (vgl. Abs. 4 Satz 2 Nr. 4, § 35) sind weiterhin gespeichert i.S.d. Abs. 4 Satz 2 Nr. 17.
1 2 3 4
Taeger/Gabel/Buchner, § 3 BDSG Rz. 27. Siehe hierzu Rz. 56. Taeger/Gabel/Buchner, § 3 BDSG Rz. 29. Simitis/Dammann, § 3 BDSG Rz. 120; vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 80. 5 Taeger/Gabel/Buchner, § 3 BDSG Rz. 28. 6 Simitis/Dammann, § 3 BDSG Rz. 118. 7 Vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 82; Gola/Schomerus, § 3 BDSG Rz. 29.
54 Plath/Schreiber
Weitere Begriffsbestimmungen
§ 3 BDSG
2. Verändern (Abs. 4 Satz 2 Nr. 2) „Verändern“ ist das inhaltliche Umgestalten gespeicherter personenbezogener Daten. Eine rein äußerliche Umgestaltung ohne Veränderung des Informationsgehaltes begründet deshalb noch keine Veränderung in diesem Sinne1. Wird beispielsweise ein ausgeschriebenes Wort durch eine Abkürzung ersetzt, liegt keine Veränderung vor2. Ob eine Berichtigung von Daten eine Veränderung darstellt oder vielmehr als das Löschen des alten und das Speichern des neuen Datums anzusehen ist, ist strittig3. Richtigerweise ist entsprechend der gesetzlichen Definition von einer Veränderung auszugehen4. Aufgrund der synchron ausgestalteten Erlaubnistatbestände ist dieser Streit aber praktisch bedeutungslos5.
36
Sobald Daten miteinander verknüpft und ausgewertet werden, liegt eine Datenveränderung vor6. Damit ist insbesondere im sog. Scoring eine Form der Datenveränderung zu sehen (vgl. § 28b)7.
37
Teilweise wird vertreten, dass jedenfalls im Vorgang der Anonymisie- 38 rung von Daten eine Veränderung dieser personenbezogenen Daten zu sehen sei. Gegen diese Auffassung spricht jedoch zum einen, dass durch die Anonymisierung in der Regel der Personenbezug aufgehoben wird8. Zum anderen erlangen die Daten hierdurch auch keine neuen Inhalte9. 3. Übermitteln (Abs. 4 Satz 2 Nr. 3) „Übermitteln“ ist die Bekanntgabe gespeicherter oder durch Datenver- 39 arbeitung gewonnener personenbezogener Daten an einen Dritten in der 1 Vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 83; Taeger/Gabel/Buchner, § 3 BDSG Rz. 30. 2 Simitis/Dammann, § 3 BDSG Rz. 130. 3 Taeger/Gabel/Buchner, § 3 BDSG Rz. 31. 4 Ebenso Gola/Schomerus, § 3 BDSG Rz. 31. 5 Vgl. Simitis/Dammann, § 3 BDSG Rz. 142. 6 Vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 86; Gola/Schomerus, § 3 BDSG Rz. 30; Simitis/Dammann, § 3 BDSG Rz. 131. 7 Taeger/Gabel/Buchner, § 3 BDSG Rz. 32; siehe zum Scoring Mackenthun, WM 2004, 1713; Abel, RDV 2006, 108; Kloepfer/Kutzschbach, MMR 1998, 650; Koch, MMR 1998, 458; Möller/Florax, NJW 2003, 2724; Kamlah, MMR 1999, 395; Petri, DuD 2003, 631; Roßnagel, MMR 2000, 721; Piltz/Holländer, ZRP 2008, 143. 8 Ausführlich zum Fortbestand bei der Anonymisierung bzw. Pseudonymisierung s.u. Rz. 56. 9 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 33; Gola/Schomerus, § 3 BDSG Rz. 31.
Plath/Schreiber 55
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
Weise, dass die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. Der „Dritte“ wird in Abs. 8 definiert1. Dritte können nur solche Personen oder Stellen sein, die zum einen nicht selbst Betroffene sind2 und die zum anderen weder in die verantwortliche Stelle eingegliedert sind, noch im Rahmen einer Auftragsdatenverarbeitung für die verantwortliche Stelle tätig werden3. 40 Für die Bestimmung, ob der Empfänger „Dritter“ ist, kommt es auf die juristische, nicht jedoch auf die wirtschaftliche Einheit an4. Sofern also Daten innerhalb einer verantwortlichen Stelle, also z.B. innerhalb verschiedener Abteilungen eines Unternehmens, weitergegeben werden, liegt keine Übermittlung an Dritte vor5. Zu beachten ist allerdings, dass es sich hierbei um die erlaubnispflichtige „Nutzung“ von Daten gemäß Abs. 5 handeln kann6. Die Weiterleitung personenbezogener Daten an ein Konzernunternehmen, selbst wenn es sich hierbei um ein hundertprozentiges Tochterunternehmen handelt, stellt hingegen eine Übermittlung dar, da das BDSG kein Konzernprivileg kennt7. 41 Eine Übersendung von Daten durch den Auftraggeber an den Auftragnehmer i.R.e. Auftragsdatenverarbeitung (§ 11) sowie die entsprechende Rückführung nach erfolgter Bearbeitung stellt keine Übermittlung dar, soweit die Verarbeitung innerhalb der EU oder dem EWR stattfindet8. Leitet jedoch ein Auftragnehmer personenbezogene Daten entsprechend der Weisung des Auftraggebers an einen Dritten weiter, so liegt eine Datenübermittlung durch den Auftraggeber als verantwortliche Stelle vor. Setzt sich der Auftragnehmer hingegen über eine solche Weisung hinweg und leitet er die Daten eigenmächtig an einen Dritten weiter, liegt eine (i.d.R. wohl unzulässige) Übermittlung durch den Auftragnehmer als verantwortliche Stelle vor9.
1 Zum Begriff des Dritten siehe ausführlich unter Rz. 73. 2 Schaffland/Wiltfang, § 3 BDSG Rz. 50. 3 Taeger/Gabel/Buchner, § 3 BDSG Rz. 34; zur Auftragsdatenverarbeitung siehe unter § 11. 4 Schaffland/Wiltfang, § 3 BDSG Rz. 54. 5 Taeger/Gabel/Buchner, § 3 BDSG Rz. 34. 6 S.u. Rz. 53. 7 Schaffland/Wiltfang, § 3 BDSG Rz. 54. 8 Schaffland/Wiltfang, § 3 BDSG Rz. 50; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 98; zur Auftragsverarbeitung ausf. § 11. 9 Schaffland/Wiltfang, § 3 BDSG Rz. 51 f.; vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 96.
56 Plath/Schreiber
Weitere Begriffsbestimmungen
§ 3 BDSG
Die zivilrechtlichen Begleitumstände berühren die Frage der Übermitt- 42 lung nicht1. Es ist für die Frage der Übermittlung also unerheblich, welcher Vertragstyp dieser Übermittlung zugrundeliegt. Vielmehr kommt es auf die tatsächlichen Umstände an. Wird im Zuge einer Datenübermittlung vertraglich vereinbart, dass der Empfänger nur einen beschränkten Teil der auf dem übermittelten Datenträger gespeicherten Daten zur Kenntnis nehmen darf, so gelten dennoch alle ihm überlassenen Daten i.S.d. Definition des Abs. 4 Satz 2 Nr. 3 als übermittelt2. Nutzt hingegen die verantwortliche Stelle Daten im Interesse eines Dritten, ohne diesem die Daten jedoch tatsächlich zugänglich zu machen, so liegt keine Übermittlung vor3. Geht die Verfügungsmacht über die Daten im Rahmen einer Gesamt- 43 rechtsnachfolge oder einer Verschmelzung nach dem Umwandlungsgesetz auf einen Dritten über, so liegt keine Übermittlung vor4. a) Übermittlung durch Weitergabe Eine Datenübermittlung erfolgt üblicherweise im Wege der „Ab- bzw. 44 Weitergabe“ an Dritte. Diese Form der Übermittlung setzt ein aktives Tätigwerden der verantwortlichen Stelle voraus: sie muss die Übertragung der Verfügungsmöglichkeit über die Daten im Einzelfall anordnen und bewerkstelligen. Der typische Anwendungsfall dürfte in der Überlassung eines Datenträgers bzw. der elektronischen Übermittlung der Daten (z.B. per E-Mail) liegen. Das Übermittlungsmedium ist dabei allerdings unerheblich. Deshalb genügt auch das „Weitersagen“ von Daten, z.B. per Telefon5. b) Übermittlung durch Bereithalten von Daten Eine Übermittlung ist darüber hinaus auch durch das Bereithalten von Daten zur Einsicht oder zum Abruf möglich. Auch diese Form der Übermittlung setzt ein zweckgerichtetes Verhalten des Übermittlers voraus: Dieser muss einem berechtigten Empfänger die Möglichkeit verschaffen, von den Daten Kenntnis zu erlangen. Der konkrete Übermittlungsvorgang wird allerdings durch den Empfänger ausgelöst.
1 2 3 4 5
Simitis/Dammann, § 3 BDSG Rz. 147. Simitis/Dammann, § 3 BDSG Rz. 160. Simitis/Dammann, § 3 BDSG Rz. 154. Simitis/Dammann, § 3 BDSG Rz. 144; Gola/Schomerus, § 3 BDSG Rz. 35. Taeger/Gabel/Buchner, § 3 BDSG Rz. 35.
Plath/Schreiber 57
45
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
46 Voraussetzung ist, dass der Abrufende zum Empfang der Daten berechtigt ist. Verschafft sich ein Dritter unbefugt Zugang zu Daten, liegt aus Sicht der verantwortliche Stelle im konkreten Fall kein Bereithalten und somit auch keine Übermittlung vor1. Keine Voraussetzung ist dagegen, dass der Empfänger bestimmt oder bekannt ist. Damit liegt eine Übermittlung auch dann vor, wenn die Daten einem unbegrenzten Personenkreis zugänglich gemacht werden, z.B. bei Veröffentlichung im Internet2. 47 Nimmt der Empfänger die Daten gezielt für eigene Zwecke entgegen, liegt seinerseits eine Datenerhebung vor3. 4. Sperren (Abs. 4 Satz 2 Nr. 4) 48 „Sperren“ ist das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken. Ziel dieser Verwendungsform ist also, die Daten zukünftig nicht mehr oder nur eingeschränkt zu nutzen, sofern kein gesetzlicher Erlaubnistatbestand oder eine Einwilligung vorliegt4. Auf welche Art und Weise die Sperrung zu erfolgen hat, lässt das Gesetz offen. Erforderlich ist nur, dass die durch die Kennzeichnung erfolgte Verarbeitungs- und Nutzungsbeschränkung auch in der Weise tatsächlich wirkt, dass alle denkbaren Formen der Verwendung effektiv ausgeschlossen werden5. 49 Die Kennzeichnung kann damit grundsätzlich sowohl textlich, also im Wege einer „Anweisung“, als auch technisch erfolgen, wobei es bei der jeweiligen Form der Kennzeichnung insbesondere auch darauf ankommt, ob die Daten automatisiert verarbeitet werden6. Gemäß § 9 Satz 2 muss der für die Sperrung zu ergreifende Aufwand aber in einem 1 Simitis/Dammann, § 3 BDSG Rz. 150. 2 Taeger/Gabel/Buchner, § 3 BDSG Rz. 35 f.; Gola/Schomerus, § 3 BDSG Rz. 33; anders hat dies der EuGH in der Entscheidung Lindquist ./. Schweden betreffend der Datenübermittlung in Drittländer nach Art. 25 EG-Datenschutzrichtinie beurteilt, siehe hierzu ausführlich Taeger/Gabel/Buchner, § 3 BDSG Rz. 36, der sich überzeugend dafür ausspricht, dass die Entscheidung für die Auslegung die Übermittlung im Sinne von Abs. 3 unbeachtlich ist; vgl. Gola, NJW 2000, 3749 (3752); Brühann, DuD 2004, 201; Wente, RDV 1986, 256, zur Veröffentlichung von Daten; Dammann, RDV 2004, 19 ff. 3 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 26; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 67; Simitis/Dammann, § 3 BDSG Rz. 104. 4 Schaffland/Wiltfang, § 3 BDSG Rz. 73a. 5 Simitis/Dammann, § 3 BDSG Rz. 166. 6 Taeger/Gabel/Buchner, § 3 BDSG Rz. 39.
58 Plath/Schreiber
Weitere Begriffsbestimmungen
§ 3 BDSG
angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen1. Die Sperrung ist so durchzuführen, dass die Kennzeichnung für jeden Mitarbeiter klar ersichtlich ist2 und eine Kenntnisnahme wesentlich erschwert oder unmöglich gemacht wird. Ist beispielsweise im Falle einer nicht automatisierten Datenverarbeitung der Inhalt von Karteikarten zu sperren, so ist es in der Regel nicht ausreichend, die Karteikarten mit dem Stempelaufdruck „gesperrt“ zu versehen, da in diesem Fall weiterhin zumindest die (unberechtigte) Nutzung durch Kenntnisnahme der Daten (siehe Rz. 54 unten) unproblematisch möglich ist. Vielmehr müssen die Daten dann ggf. von den Karteikarten entfernt und auf einem anderen Datenträger gespeichert werden, welcher den Sachbearbeitern nicht zugänglich ist3. Beispielsweise kann der Datenträger dann mit einem Sperrvermerk gekennzeichnet und in einem separaten Schrank gespeichert werden4. Bei einer automatisierten Verarbeitung ist die Verarbeitungssoftware im 50 Einklang mit § 9 zur Sperrung der Daten so zu gestalten, dass ein Zugriff auf die Daten nur noch bei Vorliegen eines gesetzlichen Ausnahmetatbestandes erfolgen kann5. Eine Sperrung kann dabei auch durch eine getrennte Aufbewahrung der Daten erfolgen6. Denkbar ist es auch, im Grunddatenbestand einen Hinweis auf den als gesperrt gekennzeichneten Sonderdatenbestand aufzunehmen7. Unter bestimmten Umständen kann eine verantwortliche Stelle auch 51 zur Sperrung von Daten verpflichtet sein (vgl. § 20 Abs. 3 bis 6 sowie §§ 28 Abs. 4, 29 Abs. 4, 35 Abs. 3 und 4)8. So sind z.B. gemäß §§ 35 Abs. 4, 20 Abs. 4 Daten zu sperren, wenn sich deren Richtigkeit nicht feststellen lässt9. Demgegenüber sieht § 28 Abs. 4 eine Sperrung der Daten nur für Zwecke der Markt- und Meinungsforschung vor10.
1 Schaffland/Wiltfang, § 3 BDSG Rz. 73a. 2 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 102. 3 Simitis/Dammann, § 3 BDSG Rz. 166; a.A. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 110. 4 Gola/Schomerus, § 3 BDSG Rz. 39. 5 Simitis/Dammann, § 3 BDSG Rz. 166, 169. 6 Taeger/Gabel/Buchner, § 3 BDSG Rz. 39. 7 Simitis/Dammann, § 3 BDSG Rz. 170. 8 Taeger/Gabel/Buchner, § 3 BDSG Rz. 38. 9 Taeger/Gabel/Buchner, § 3 BDSG Rz. 38. 10 Taeger/Gabel/Buchner, § 3 BDSG Rz. 38.
Plath/Schreiber 59
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
5. Löschen (Abs. 4 Satz 2 Nr. 5) 52 Unter „Löschen“ ist das Unkenntlichmachen gespeicherter personenbezogener Daten zu verstehen. Ein Rückgriff auf die Daten – etwa auch mittels Reaktivierung durch EDV-Fachleute – muss durch die Löschung ausgeschlossen oder nur mit unverhältnismäßigen Mitteln möglich sein1. Möglichkeiten zur Löschung sind daher beispielsweise das Überschreiben, das Unleserlichmachen durch Ausradieren oder Schwärzen oder die Vernichtung des gesamten Datenträgers2. Sind die Daten jedoch auf einem weiteren Datenträger gespeichert, so handelt es sich nicht um eine Löschung3. Auch eine Auslagerung oder eine bloße Kennzeichnung ist keine Datenlöschung4. Als Alternative kommt gegebenenfalls auch eine Anonymisierung oder Pseudonymisierung in Betracht, sofern hierdurch der Personenbezug aufgehoben wird5. VI. Nutzen (Abs. 5) 53 „Nutzung“ i.S.d. Abs. 5 ist jede Verwendung personenbezogener Daten, soweit es sich nicht um eine Verarbeitung handelt. Abs. 5 ist als Auffangtatbestand immer dann anwendbar, wenn eine bestimmte Datenverwendung keiner der in Abs. 3 und 4 definierten Phasen entspricht6. In einem ersten Schritt ist also festzustellen, ob eine Form der Datenverwendung aus Abs. 3 oder 4 erfüllt ist. In einem zweiten Schritt ist dann zu prüfen, ob eine Datennutzung vorliegt7. 54 Sobald der Informationsgehalt eines Datums gerade in seiner Eigenschaft als personenbezogenes Datum für die verantwortliche Stelle von Bedeutung ist, weil sich die Verwendung der Daten auch auf deren Personenbezug erstreckt, liegt jedenfalls eine Datennutzung vor8. Mitteilungen an und Korrespondenzen mit dem Betroffenen, wie beispielsweise das Ausstellen einer Rechnung, sind Nutzungen i.S.d. Abs. 5. 1 Vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 119; Urteil des ÖOGH v. 15.4.2010 – 6 Ob 41/10p, MMR 2011, 204. 2 Vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 113; Taeger/Gabel/Buchner, § 3 BDSG Rz. 40. 3 Simitis/Dammann, § 3 BDSG Rz. 175. 4 Taeger/Gabel/Buchner, § 3 BDSG Rz. 40. 5 Siehe hierzu Rz. 56. 6 Taeger/Gabel/Buchner, § 3 BDSG Rz. 41; vgl. OLG Köln v. 10.11.2000 – 6 U 105/00, MMR 2001, 385 (386); Gola/Schomerus, § 3 BDSG Rz. 42. 7 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 41 f. 8 Taeger/Gabel/Buchner, § 3 BDSG Rz. 42; Simitis/Dammann, § 3 BDSG Rz. 189; OLG Köln v. 10.11.2000 – 6 U 105/00, MMR 2001, 385 (386).
60 Plath/Schreiber
§ 3 BDSG
Weitere Begriffsbestimmungen
Gleiches gilt für die Hin- und Rückübersendung von personenbezogenen Daten im Rahmen einer Auftragsdatenverarbeitung sowie das Duplizieren und Kopieren von personenbezogenen Daten1. Die Übersendung oder Veröffentlichung von Daten innerhalb einer verantwortlichen Stelle stellt dagegen zwar keine Übermittlung, wohl aber eine Nutzung der Daten dar2. Eine Datennutzung liegt schließlich auch vor, wenn Daten zielgerichtet zur Kenntnis genommen werden3. Ebenso wie die Datenerhebung oder -verwendung ist auch die Datennut- 55 zung nur unter dem Erlaubnisvorbehalt des § 4 Abs. 1 zulässig. VII. Anonymisierung und Pseudonymisierung (Abs. 6, 6a) Sofern durch „Anonymisierung“ oder „Pseudonymisierung“ der Per- 56 sonenbezug unterbunden oder aufgehoben wird, ist der Anwendungsbereich des BDSG nicht mehr eröffnet4. Deshalb können diese Maßnahmen gegebenenfalls im Verhältnis zur Löschung oder Sperrung das effektivere Mittel darstellen. Ob die unkenntlich gemachten Daten im konkreten Fall einen Personenbezug vorweisen, ist relativ und einzelfallbezogen zu beurteilen5. Die Begriffe der Anonymisierung und Pseudonymisierung greift das BDSG vor allem in § 3a – dem Grundsatz der Datenvermeidung und -sparsamkeit – als Alternative zur Datenverwendung auf. 1. Anonymisieren (Abs. 6) Nach der Legaldefinition ist „Anonymisieren“ das Verändern personen- 57 bezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. In Betracht kommen also zwei unterschiedliche Formen des Anonymisierens: Bei der ersten Variante darf der Personenbezug unter keinen Umständen wiederhergestellt werden können, so dass es sich bei den anonymisier1 Simitis/Dammann, § 3 BDSG Rz. 195; vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 124. 2 S.o. Rz. 53. 3 Gola/Schomerus, § 3 BDSG Rz. 42. 4 Vgl. Simitis/Dammann, § 3 BDSG Rz. 219a. 5 Siehe hierzu Rz. 14.
Plath/Schreiber 61
58
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
ten Daten nicht mehr um Daten mit Personenbezug handelt. Infolge dessen ist auch der Anwendungsbereich des BDSG nicht mehr eröffnet1. 59 Bei der zweiten Variante hingegen kann der Personenbezug, zumindest theoretisch, unter Anwendung eines unverhältnismäßig großen Aufwandes wiederhergestellt werden. Ob infolge dessen der Personenbezug entfällt, ist strittig. Eine Ansicht nimmt einen Personenbezug der Daten auch in diesen Fällen an, da allein die hypothetische Möglichkeit, den Personenbezug wiederherzustellen, ausreiche, um die Informationen einer bestimmten Person zuzuordnen2. Dagegen spricht jedoch, dass ein solcher Aufwand in der Praxis regelmäßig nicht unternommen werden wird. Damit sind derart anonymisierte Daten de facto genauso „unbrauchbar“ wie Daten, bei denen die Herstellung des Personenbezugs absolut (siehe erste Variante) ausgeschlossen ist3. Vorzugswürdig ist deshalb die Ansicht, wonach ein Personenbezug auch in diesen Fällen nicht mehr vorhanden und der Anwendungsbereich des BDSG nicht mehr eröffnet ist4. Die Betroffenen sind im Falle einer Re-Identifizierung nicht schutzlos, weil hierdurch der Personenbezug wieder hergestellt und daher der Anwendungsbereich des BDSG gemäß § 1 Abs. 2 (neu) eröffnet wird5. Die Frage, ob ein Personenbezug wiederhergestellt worden ist, ist aus subjektiver Sicht der verantwortlichen Stelle zu beurteilen. Der verantwortlichen Stelle ist in diesem Zusammenhang ein außerhalb der Stelle vorhandenes Zusatzwissen nur dann zuzurechnen, sofern sie aus objektiver Sicht und mit nicht unverhältnismäßig großem Aufwand auf dieses Wissen zugreifen kann6. Zu beachten ist aber, dass die Daten nicht mehr anonym sind, sobald die verantwortliche Stelle bereit ist, den Aufwand in Kauf zu nehmen, um den Personenbezug wieder herzustellen7. 60 In der Praxis kann eine Anonymisierung beispielsweise dadurch erfolgen, dass Identifikationsmerkmale wie Name, Anschrift etc. gelöscht werden. Denkbar ist auch, bestimmte Informationen über die betreffende Person durch allgemeine Daten wie „Person im Alter über 30 Jahre“ zu ersetzen8. 1 2 3 4 5 6 7 8
Vgl. Simitis/Dammann, § 3 BDSG Rz. 219a. Siehe dazu die Nachweise unter Rz. 14 ff. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 132 f. Taeger/Gabel/Buchner, § 3 BDSG Rz. 44; Roßnagel/Scholz, MMR 2000, 721 (723 ff.); siehe zur Frage der Bestimmbarkeit bei anonymisierten Daten Rz. 56. Vgl. Simitis/Dammann, § 3 BDSG Rz. 219a. Taeger/Gabel/Buchner, § 3 BDSG Rz. 45; siehe zur Frage der Bestimmbarkeit bei anonymisierten Daten Rz. 56. Gola/Schomerus, § 3 BDSG Rz. 44. Simitis/Dammann, § 3 BDSG Rz. 206 ff.; Schröder/Haag, ZD 2011, 147, zur Anonymisierung bei Datenverarbeitung in der Cloud.
62 Plath/Schreiber
Weitere Begriffsbestimmungen
§ 3 BDSG
2. Pseudonymisieren (Abs. 6a) „Pseudonymisieren“ ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen (Pseudonym) zu dem Zweck, die Bestimmbarkeit des Betroffenen auszuschließen oder zu erschweren.
61
Wie auch beim Anonymisieren ist Zweck dieser Maßnahme, den 62 Personenbezug eines Datums zu beseitigen oder einzuschränken1. Im Gegensatz zur Anonymisierung bleibt jedoch eine Zuordnungsregel bestehen, die eine Re-Identifizierung grundsätzlich ermöglicht2. Hat die Kennzeichnung aber zur Folge, dass ein Personenbezug aus objektiver Sicht nicht mehr hergestellt werden kann, also letztlich eine Anonymisierung vorliegt, so entfällt der Personenbezug (irreversible Pseudonymisierung)3. Infolgedessen ist der Anwendungsbereich des BDSG nicht mehr eröffnet4. Bei der Frage, ob ein Personenbezug bei einer reversiblen Pseudonymi- 63 sierung hergestellt werden kann, ist danach zu differenzieren, welche Person oder Stelle die Zuordnungsregel kennt oder hierauf zugreifen kann5. Vergibt und verwaltet die verantwortliche Stelle das Pseudonym selbst, so liegt ein Personenbezug im Verhältnis zu dieser Stelle weiterhin vor6. Kein Personenbezug besteht jedoch bezüglich selbst generierter Pseudonyme, bei denen sich der Betroffene selbst ein Kennzeichen zuordnet, welches außer ihm keine andere Stelle kennt7. Erfolgt die Pseudonymvergabe durch einen Dritten (z.B. durch einen Da- 64 tentreuhänder), so handelt es sich bei dem pseudonymisierten Datum im Verhältnis zu diesem Dritten um ein personenbezogenes Datum, sofern dieser die Zuordnungsregeln kennt und die Daten verwaltet8. Ist dieser Dritte darüber hinaus auch zu genau festgelegten Bedingungen gegenüber bestimmten verantwortlichen Stellen zur Offenlegung der Zuordnung befugt oder gar verpflichtet, so handelt es sich bei den pseudo-
1 Taeger/Gabel/Buchner, § 3 BDSG Rz. 47. 2 Simitis/Dammann, § 3 BDSG Rz. 215; Taeger/Gabel/Buchner, § 3 BDSG Rz. 47. 3 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 47. 4 Simitis/Dammann, § 3 BDSG Rz. 219a. 5 Taeger/Gabel/Buchner, § 3 BDSG Rz. 48; vgl. Roßnagel/Scholz, MMR 2000, 721 (725). 6 Taeger/Gabel/Buchner, § 3 BDSG Rz. 50. 7 Simitis/Dammann, § 3 BDSG Rz. 220a; Taeger/Gabel/Buchner, § 3 BDSG Rz. 49. 8 Bizer, DuD 1999, 392.
Plath/Schreiber 63
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
nymisierten Daten auch im Verhältnis zu diesen verantwortlichen Stellen um personenbezogene Daten1. Im Verhältnis zu anderen Dritten ist ein Personenbezug jedenfalls dann nicht gegeben, wenn die speichernde Stelle bestimmten Vertraulichkeitspflichten unterliegt, und die Dritten demnach keinen Zugriff auf die Zuordnungsregel haben2. 65 Die Pseudonymisierung ist zum einen durch die Erzeugung von Zufallswerten und deren Zuordnung über Referenzlisten (Referenz-Pseudonyme) denkbar. Zum anderen besteht die Möglichkeit, mittels sogenannter Einweg-Funktionen, (z.B. mithilfe eines sog. Hashwerts), Pseudonyme zu bilden3. VIII. Verantwortliche Stelle (Abs. 7) 66 Abs. 7 definiert die „verantwortliche Stelle“ als jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Diese Begriffsbestimmung ist enger als die Definition der „verantwortlichen Stelle“ in Art. 2d EG-Datenschutzrichtlinie4. Vor diesem Hintergrund ist eine richtlinienkonforme Auslegung des Begriffs der verantwortlichen Stelle geboten. 67 Bei einer Datenverarbeitung durch nicht-öffentliche Stellen ist die juristische Einheit datenschutzrechtlich verantwortlich, also die juristische Person, nicht aber eine einzelne Abteilung oder unselbständige Zweigstelle eines Unternehmens5. Abzustellen ist dementsprechend nur auf die rechtliche Selbständigkeit, nicht jedoch auf die wirtschaftliche Ein-
1 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 51. 2 Taeger/Gabel/Buchner, § 3 BDSG Rz. 51; zum Meinungsstand bezüglich der sog. relativen Theorie siehe Rz. 14 ff. 3 Simitis/Dammann, § 3 BDSG Rz. 221 f., mit weiteren Erläuterungen; vgl. Gola/Schomerus, § 3 BDSG Rz. 47, m.w.N. 4 Während Abs. 7 einen Umgang mit Daten für sich selbst oder eine Auftragsdatenverarbeitung voraussetzt, stellt Art. 2d EG-Datenschutzrichtlinie darauf ab, ob die betreffende Stelle „allein oder gemeinsam mit anderen über Zweck und Mittel der Datenverarbeitung entscheidet“. Der Wortlaut der Richtlinie kommt der schnellen Entwicklung von IT-Systemen eher entgegen, als die Umsetzung in Abs. 7, da er in der Subsumtion verschiedener Fallgestaltungen unter den Begriff der „verantwortlichen Stelle“ flexibler und damit interessengerechter ist. 5 Taeger/Gabel/Buchner, § 3 BDSG Rz. 53; Schaffland/Wiltfang, § 3 BDSG Rz. 86.
64 Plath/Schreiber
Weitere Begriffsbestimmungen
§ 3 BDSG
heit. Das BDSG kennt kein Konzernprivileg. Damit kann jede juristisch selbständige Konzerntochter verantwortliche Stelle sein1. Grundsätzlich soll ein Unternehmen für alle Verarbeitungsvorgänge, welche in seinem Tätigkeits- und Haftungsbereich stattfinden, rechtlich verantwortlich sein. Das Unternehmen soll diese Verantwortung erst dann verlieren, wenn es tatsächlich keine Einwirkungsmöglichkeit auf den Verarbeitungsvorgang mehr hat. Dies kann zum Beispiel der Fall sein, wenn ein Datenträger sich nicht mehr im Besitz der Stelle befindet2.
68
Problematisch ist die Frage der Verantwortlichkeit, wenn mehrere Stel- 69 len insbesondere im IT-Bereich, gemeinsam an der Datenerhebung und -verarbeitung beteiligt sind. Der Wortlaut des BDSG sieht regelmäßig nur einen Verantwortlichen vor3. Die europarechtliche Vorgabe aus Art. 2d EG-Datenschutzrichtlinie weicht in ihrem Wortlaut diesbezüglich von der bundesgesetzlichen Umsetzung ab. Hiernach kommt es darauf an, ob die Daten verarbeitende Stelle allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheidet. Dem widerspricht der Wortlaut von Abs. 7 nicht4. Deshalb kann im Wege der richtlinienkonformen Auslegung eine gemeinsame Verantwortung mehrerer Stellen begründet werden5. Damit ist ausschlaggebend, wer im konkreten Fall in Bezug auf die in Frage stehende Verwendung die Verfügungs- oder Entscheidungsgewalt über die Daten hat6. Sofern die Kontrolle über die Daten in der Hand mehrerer Stellen liegt, also alle Stellen über Zweck und Mittel der Datenverarbeitung gemeinsam entscheiden oder an der Entscheidung beteiligt sind, ist eine gemeinsame Verantwortung gegeben. Bei einer Datenverarbeitung durch öffentliche Stellen ist der Rechtsträger (Bund, Land, Gemeinde) nicht selbst verantwortliche Stelle7. Viel1 2 3 4 5
Taeger/Gabel/Buchner, § 3 BDSG Rz. 53. OLG Hamburg v. 2.8.2011 – 7 U 134/10, BeckRS 2011, 22388. Simitis/Dammann, § 3 BDSG Rz. 224. Simitis/Dammann, § 3 BDSG Rz. 226. Vgl. Artikel-29-Datenschutzgruppe, für die Verarbeitung Verantwortlicher, 11, 14, 18; a.A. Luch, Schleswig-Holsteinischer Landtag Umdruck 17/2988, 13. 6 Schröder/Hawxwell, Stellungnahme des Wissenschaftlichen Dienstes des Deutschen Bundestages, Ausarbeitung, Die Verletzungen Datenschutzrechtlicher Bestimmungen durch sogenannte Fanpages und Social-Plugins, zum Arbeitspapier des ULD in der Fassung vom 7.10.2011, 8 f.; vgl. Artikel-29-Datenschutzgruppe, für die Verarbeitung Verantwortlicher, 11, 14, 18. 7 Taeger/Gabel/Buchner, § 3 BDSG Rz. 54.
Plath/Schreiber 65
70
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
mehr sind die in § 2 Abs. 2 genannten Behörden des Bundes und der Länder i.S.d. BDSG für die Datenverarbeitung verantwortlich1. 71 Die Frage der Verantwortlichkeit des Auftraggebers im Falle einer Auftragsdatenverarbeitung ist ausdrücklich in § 11 geregelt (siehe § 11 Rz. 3)2. Der Auftraggeber bleibt als „Herr der Daten“ für den Umgang mit den Daten datenschutzrechtlich verantwortlich3. IX. Empfänger und Dritte (Abs. 8) 72 Abs. 8 definiert die Begriffe des Empfängers und, in Abgrenzung hierzu, des Dritten. Danach ist jede Person oder Stelle „Empfänger“, die tatsächlich Daten erhält4. Etwaige gesetzliche Informations-, Benachrichtigungs- und Meldepflichten über den Umgang mit Daten verpflichten regelmäßig auch den Empfänger, vgl. z.B. § 29 Abs. 35. 73 Der Begriff des „Dritten“ grenzt sich negativ von dem der verantwortlichen Stelle ab. „Dritter“ ist demzufolge jede Person oder Stelle außerhalb der verantwortlichen Stelle, solange sie nicht selbst Betroffener oder im Rahmen einer Auftragsdatenverarbeitung als Auftragsnehmer innerhalb der EU oder dem EWR tätig ist6. Bei einer Datenverarbeitung außerhalb der EU und des EWR ist der Auftragnehmer Dritter, so dass eine Datenübermittlung vorliegt7. Von Bedeutung ist der Begriff des Dritten vor allem als konstitutive Voraussetzung für das Vorliegen einer Übermittlung, Abs. 4 Nr. 38. 74 Bei der Abgrenzung im nicht-öffentlichen Bereich ist allein die juristische Einheit maßgeblich9. Daher sind beispielsweise auch die gegebenenfalls in ein Unternehmen eingegliederten Betriebskrankenkassen Dritte im Verhältnis zur verantwortlichen Stelle. Gleiches gilt für die Personalvertretung, nicht jedoch für Betriebsärzte10. Erhalten Mitarbei1 Taeger/Gabel/Buchner, § 3 BDSG Rz. 54. 2 Taeger/Gabel/Buchner, § 3 BDSG Rz. 52. 3 Gola/Schomerus, § 3 BDSG Rz. 50; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 148. 4 Schaffland/Wiltfang, § 3 BDSG Rz. 86a. 5 Taeger/Gabel/Buchner, § 3 BDSG Rz. 55; Gola/Schomerus, § 3 BDSG Rz. 51. 6 Taeger/Gabel/Buchner, § 3 BDSG Rz. 56. 7 Vgl. Gola/Schomerus, § 3 BDSG Rz. 53; Schaffland/Wiltfang, § 3 BDSG Rz. 87 f.; vgl. zur Übermittlung in Drittstaaten Weber/Voigt, ZD 2011, 74. 8 Simitis/Dammann, § 3 BDSG Rz. 229; siehe hierzu ausführlich Rz. 39. 9 Simitis/Dammann, § 3 BDSG Rz. 232 ff. 10 Simitis/Dammann, § 3 BDSG Rz. 235 f.; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 163 ff.
66 Plath/Schreiber
§ 3 BDSG
Weitere Begriffsbestimmungen
ter, Organe oder Gesellschafter der verantwortlichen Stelle Daten außerhalb ihrer dienstbezogenen Funktion, sind sie bezüglich dieses Vorgangs ebenfalls als Dritte zu qualifizieren1. Im öffentlichen Bereich kann auch eine Behörde, die demselben Rechts- 75 träger angehört, Dritter sein. Dies gilt jedoch nicht für unselbständige Funktionseinheiten wie z.B. Dezernate, weil diese nach dem hier vertretenen organisatorischen Behördenbegriff Teil der verantwortlichen Stelle sind2. Auch Beliehene, Eigenbetriebe und Privatrechtssubjekte sind im Verhältnis zur Behörde Dritte3. X. Besondere Arten personenbezogener Daten (Abs. 9) Die Auflistung der sog. „besonderen Arten personenbezogener Daten“ in Abs. 9 ist abschließend4. Die Vorschrift setzt Art. 8 der EG-Datenschutzrichtlinie um und wurde 2001 in das BDSG aufgenommen5. Die Sonderbehandlung der aufgezählten Daten wird im Schrifttum insbesondere im Hinblick auf das Volkszählungsurteil6 kritisiert, weil sich die Sensibilität von Daten erst aus der Verwendungsabsicht ergibt und nicht aus einer statischen Kategorie7. Zuvor fand eine Berücksichtigung besonders sensibler Daten lediglich im Rahmen von Interessenabwägungen statt8. Zu beachten ist, dass die Sensibilität von Daten im Einzelfall auch über die Definition des Abs. 9 hinaus im Rahmen von Interessenabwägungen von Bedeutung sein und eine besondere Schutzwürdigkeit der Daten begründen kann9. Dies ist zum Beispiel bei Daten über Straftaten und Ordnungswidrigkeiten oder über Minderjährige der Fall10.
76
Der Umgang mit sensiblen Daten ist besonderen Restriktionen unter- 77 worfen. Zum Beispiel ist gemäß § 4a Abs. 3 neben der Schriftform der 1 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 56; Simitis/Dammann, § 3 BDSG Rz. 234 f., 238 f.; Schaffland/Wiltfang, § 3 BDSG Rz. 94; Bergmann/Möhrle/ Herb, § 3 BDSG Rz. 163 ff. 2 A.A. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 159. 3 Simitis/Dammann, § 3 BDSG Rz. 231. 4 Taeger/Gabel/Buchner, § 3 BDSG Rz. 59. 5 Taeger/Gabel/Buchner, § 3 BDSG Rz. 57. 6 BVerfGE 65, 1. 7 Siehe hierzu Simitis/Dammann, § 3 BDSG Rz. 251 ff.; Taeger/Gabel/Buchner, § 3 BDSG Rz. 57. 8 Taeger/Gabel/Buchner, § 3 BDSG Rz. 57. 9 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 175. 10 Ebenso Bergmann/Möhrle/Herb, § 3 BDSG Rz. 174.
Plath/Schreiber 67
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
Einwilligung auch die Benennung der Daten im Einwilligungstext erforderlich. Darüber hinaus ist nach § 4d Abs. 5 eine Vorabkontrolle durchzuführen. Der Begriff findet sich außerdem in den §§ 13 Abs. 2, 14 Abs. 5, 6 und § 16 Abs. 1 Nr. 21. 78 Angaben über die Gesundheit sind alle Angaben, welche den körperlichen oder geistigen Zustand einer Person betreffen2. Zu beachten ist, dass auch Informationen über bestimmte Begebenheiten, welche besonders sensiblen Daten betreffen, durch die Verknüpfung mit weiteren Daten bei der Qualifizierung als sensible Daten von Bedeutung sein können. Damit sind beispielsweise auch Angaben über einen Arztbesuch Angaben über den Gesundheitszustand, nicht jedoch die Zugehörigkeit zu einer bestimmten Krankenkasse3. 79 Angaben über die rassische oder ethnische Herkunft sind alle Angaben, welche den Betroffenen als Angehörigen einer bestimmten Volksgruppe, Rasse, Hautfarbe oder Minderheit qualifizieren. Nicht dazu gehören wertfreie Äußerungen, wie die Qualifizierung als Asylant, die Staatsangehörigkeit oder die Zuordnung zu einer bestimmten sozialen Schicht4. 80 Zu den Angaben über politische Meinungen und religiöse oder philosophische Überzeugungen gehören beispielsweise Angaben über Mitgliedschaften in entsprechenden Institutionen, wozu auch Sekten zählen. Ebenfalls umfasst werden Angaben über entsprechende Verhaltensweisen, wie der Kirchgang oder ggf. das Abonnement einer Zeitung5. Hinsichtlich personenbezogener Daten, die im Zusammenhang mit der Abführung der Kirchensteuer stehen, existieren steuerrechtliche Sondervorschriften6. 81 Zu den Angaben über das Sexualleben gehören alle Angaben, welche sich hierauf beziehen, wie beispielsweise die Verwendung von Verhütungsmitteln oder der Konsum bestimmter Videos7.
1 Schaffland/Wiltfang, § 3 BDSG Rz. 107. 2 Taeger/Gabel/Buchner, § 3 BDSG Rz. 59. 3 Gola/Schomerus, § 3 BDSG Rz. 56a; vgl. Simitis/Dammann, § 3 BDSG Rz. 263 ff.; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 172. 4 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 168. 5 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 169. 6 Schaffland/Wiltfang, § 3 BDSG Rz. 107. 7 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 173.
68 Plath/Schreiber
Weitere Begriffsbestimmungen
§ 3 BDSG
XI. Mobile personenbezogene Speicher- und Verarbeitungsmedien (Abs. 10) Die Begriffsdefinition dient der Konkretisierung des § 6c, welcher seinerseits 2001 in das BDSG eingeführt wurde1. § 6c soll für mehr Transparenz beim Einsatz mobiler Speicher- und Verarbeitungsmedien sorgen2. Die Voraussetzungen aus Abs. 10 Nr. 1–3 müssen kumulativ vorliegen3:
82
Gemäß Nr. 1 sind mobile personenbezogene Speicher- und Verarbeitungsmedien nur solche Datenträger, die an den Betroffenen herausgegeben werden. Im Zeitpunkt der Ausgabe müssen noch keine Informationen auf dem Datenträger gespeichert sein4.
83
Gemäß Nr. 2 muss der Datenträger darüber hinaus grundsätzlich zur 84 Verarbeitung personenbezogener Daten geeignet sein5. Die Datenverarbeitung muss über die Speicherung hinaus und auf ebendiesem Medium stattfinden können6. Von dem Begriff der automatisierten Verarbeitung ist gemäß Abs. 2 auch das Erheben und Nutzen von Daten erfasst7. In der Regel wird das Medium mit einem Prozessorchip ausgestattet sein8. Von besonderer Bedeutung ist dies im Rahmen der mit RFIDTechnologie ausgestatteten Medien wie beispielsweise Kundenkarten9. Während Low-End-Systeme keine Mikro-Prozessoren enthalten und deshalb reine Speichermedien sind, erfüllen kontaktlose Chipkarten, die mit Mikroprozessor ausgestattet sind und deshalb Daten verarbeiten können (High-End-System), die Voraussetzungen nach Abs. 10 Nr. 2. Hierbei ist unerheblich, ob eine Datenverarbeitung tatsächlich beabsichtigt ist10.
1 2 3 4 5 6 7 8 9 10
Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 60. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 176. Simitis/Dammann, § 3 BDSG Rz. 268. Taeger/Gabel/Buchner, § 3 BDSG Rz. 61; vgl. Simitis/Dammann, § 3 BDSG Rz. 270; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 179. Taeger/Gabel/Buchner, § 3 BDSG Rz. 61; vgl. Simitis/Dammann, § 3 BDSG Rz. 270; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 179. Simitis/Dammann, § 3 BDSG Rz. 272. Vgl. Simitis/Dammann, § 3 BDSG Rz. 272. Gola/Schomerus, § 3 BDSG Rz. 58. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 187 ff.; siehe zur RFID Westerhold/ Döring, CR 2004, 710. Vgl. Bergmann/Möhrle/Herb, § 3 BDSG Rz. 187 ff.
Plath/Schreiber 69
BDSG § 3
Allgemeine und gemeinsame Bestimmungen
85 Gemäß Nr. 3 wird schließlich vorausgesetzt, dass der jeweils Betroffene die vorgesehene Datenverarbeitung allein durch Nutzung des Mediums beeinflussen kann. Dies kann durch Einführen der Chipkarte in ein Lesegerät oder durch das Drücken eines Knopfes geschehen1. Ist aber die Steuerung der Datenverarbeitung wie bei Handys und Notebooks auf vielfältige Weise möglich und kann der Betroffene die Datenverarbeitung gezielt eigenständig bestimmen, handelt es sich nicht mehr um ein Speicher- und Verarbeitungsmedium2. 86 Beispiele für Medien i.S.d. Abs. 10 sind vor allem Chipkarten wie die elektronische Gesundheitskarte (eGK), § 291a SGB V, die ec/Maestrokarte oder die Job-Card für Arbeitnehmer mit elektronischer Signatur nach dem SigG3. Reine Signaturkarten, welche lediglich das Speichern und automatisierte Auslesen von Daten ermöglichen, wie beispielsweise Mitarbeiterausweise4 oder der neue Personalausweis beziehungsweise Reisepass sind ebenso wenig Speicher- und Verarbeitungsmedien i.S.v. Abs. 10 wie CDs oder Magnetkarten5. XII. Beschäftigte (Abs. 11) 87 Abs. 11 definiert den in § 32 verwendeten Begriff des Beschäftigten und ist zudem von Bedeutung für die Berechnung des Schwellenwertes für die Benennung eines betrieblichen Datenschutzbeauftragten nach § 4f. Erfasst sind nahezu alle Personen, welchen eine arbeitnehmerähnliche Stellung zukommt6. Die Aufzählung in Abs. 11 geht dabei über die üblichen sozialversicherungs- und arbeitsrechtlichen Definitionen des Beschäftigten hinaus. Der Grund für diese Ausweitung ist, dass der Schutz personenbezogener Daten nicht durch vertragliche Vereinbarungen zur Disposition stehen soll7. 88 Vor dem Hintergrund, dass der Schutz von personenbezogenen Daten von Betroffenen unabhängig von der Ausgestaltung des Arbeitsverhältnisses gewährleistet werden muss, fallen auch Leiharbeitnehmer in den 1 Simitis/Dammann, § 3 BDSG Rz. 277. 2 Simitis/Dammann, § 3 BDSG Rz. 277; Taeger/Gabel/Buchner, § 3 BDSG Rz. 61; Bergmann/Möhrle/Herb, § 3 BDSG Rz. 184. 3 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 183. 4 Vgl. aber Schaffland/Wiltfang, § 3 BDSG Rz. 108 zu Zeiterfassungskarten. 5 Bergmann/Möhrle/Herb, § 3 BDSG Rz. 184; Schaffland/Wiltfang, § 3 BDSG Rz. 108. 6 Taeger/Gabel/Buchner, § 3 BDSG Rz. 62. 7 Simitis/Dammann, § 3 BDSG Rz. 279.
70 Plath/Schreiber
§ 3a BDSG
Datenvermeidung und Datensparsamkeit
Anwendungsbereich von Nr. 11. Zur Frage, ob Organmitglieder juristischer Personen erfasst werden, vgl. § 32 Rz. 4. Unter Nr. 3 fallen Personen, welche zur Eingliederung in den Arbeits- 89 markt oder zur Rehabilitation beschäftigt werden, z.B. sog. „Ein-EuroJobber“. Außerdem erfasst Nr. 3 Teilnehmer und Teilnehmerinnen an Abklärungen der beruflichen Eignung2. Bei arbeitnehmerähnlichen Personen (Nr. 6) handelt es sich um solche Personen, die nicht persönlich, sondern nur wirtschaftlich von ihrem Vertragspartner abhängig und vergleichbar sozial schutzbedürftig sind3. Unter Nr. 8 fallen schließlich sämtliche in einem öffentlich-rechtlichen Dienstverhältnis Beschäftigte4. Dazu zählen auch ehrenamtlich Beschäftigte5. Mangels Gesetzgebungskompetenz des Bundes erfasst die Vorschrift jedoch nicht die Beamten der Länder6. Datenvermeidung und Datensparsamkeit
3a
1Die
Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. 2Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. I. Einführung . . . . . . . . . . . . . . . . II. Allgemeines Datenschutzprinzip (Satz 1) . . . . . . . . . . . . . 1. Ziel der Grundsätze der Datenvermeidung und Datensparsamkeit . . . . . . . . . . . . . . . 2. Inhalt der Grundsätze der Datenvermeidung und Datensparsamkeit . . . . . . . . . . . . . . .
1 2 3 4 5 6
1
3. Normadressaten . . . . . . . . . . . . 11 4. Rechtsnatur und Rechtsfolge . 14
4
III. Anonymisierung und Pseudonymisierung (Satz 2) . . . . . . . . 16
5
IV. Verweise/Kontext . . . . . . . . . . 22
8
Simitis/Dammann, § 3 BDSG Rz. 283. Simitis/Dammann, § 3 BDSG Rz. 286. Simitis/Dammann, § 3 BDSG Rz. 289. Simitis/Dammann, § 3 BDSG Rz. 291. Simitis/Dammann, § 3 BDSG Rz. 292. Taeger/Gabel/Buchner, § 3 BDSG Rz. 62.
Schreiber
71
90
BDSG § 3a
Allgemeine und gemeinsame Bestimmungen
Schrifttum: Arzt, Verbunddateien des Bundeskriminalamts – Zeitgerechte Flurbereinigung, NJW 2011, 352; Bachmeier, Vorgaben für datenschutzgerechte Technik, DuD 1996, 672; Backu, Datenschutzrechtliche Relevanz bei Onlinespielen – Überblick über die einzelnen Problemstellungen, ZD 2012, 59; Bergwitz, Prozessuale Verwertungsverbote bei unzulässiger Videoüberwachung, NZA 2012, 353; Borking, Einsatz datenschutzfreundlicher Technologien in der Praxis, DuD 1998, 636; Bormann, Das Zentrale Testamentsregister in der notariellen Praxis, ZEV 2011, 628; Brunst, Anonymität im Internet – rechtliche und tatsächliche Rahmenbedingungen, 2009; Bull, Persönlichkeitsschutz im Internet: Reformeifer mit neuen Ansätzen, NVwZ 2011, 257; Diehn, Das Zentrale Testamentsregister in der notariellen Praxis, DNotZ 2011, 676; Eckert/Krauß, Sicherheit im Smart Grid, DuD 2011, 535; Eckhardt, BDSG: Neuregelungen seit dem 1.9.2009 – Ein Überblick, DuD 2009, 587; Erd, Datenschutzrechtliche Probleme sozialer Netzwerke, NVwZ 2011, 19; Freund/Schnabel, Bedeutet IPv6 das Ende der Anonymität im Internet? – Technische Grundlagen und rechtliche Beurteilung des neuen Internet-Protokolls, MMR 2011, 495; Gola/Klug, Die Entwicklung des Datenschutzrechts in den Jahren 2008/2009, NJW 2009, 2577; Härting/Schneider, Das Dilemma der Netzpolitik, ZRP 2011, 233; Hanloser, Die BDSG-Novelle II: Neuregelungen zum Kunden- und Arbeitnehmerdatenschutz, MMR 2009, 594; Herb, Neue Rundfunkfinanzierung – neue Datenschutzprobleme? – Datenschutzrechtliche Normen im neuen Rundfunkbeitragsstaatsvertrag (RBStV), MMR 2011, 232; Herkenhöner/Fischer/de Meer, Outsourcing im Pflegedienst, DuD 2011, 870; Hoffmann-Riem, Weiter so im Datenschutzrecht?, DuD 1998, 684; Hoffmann-Riem, Informationelle Selbstbestimmung in der Informationsgesellschaft. Auf dem Weg zu einem neuen Konzept des Datenschutzes, AöR 123 (1998), 513; Holznagel/Ricke, Sicherung der Netzneutralität, DuD 2011, 611; Hornung, Datenschutz durch Technik – Die Reform der Richtlinie als Chance für ein modernes Datenschutzrecht, ZD 2011, 51; Jeske, Datenschutzfreundliches Smart Metering, DuD 2011, 530; Karper/Maseberg, Zertifikat für DatenschutzManagement, DuD 2010, 704; Kinast/Schröder, Audit&Rating: Vorsprung durch Selbstregulierung – Datenschutz als Chance für den Wettbewerb, ZD 2012, 207; Kort, Datenschutzrechtliche und betriebsverfassungsrechtliche Fragen bei IT-Sicherheitsmaßnahmen, NZA 2011, 1319; Kühling/Bohnen, Zur Zukunft des Datenschutzrechts – Nach der Reform ist vor der Reform, JZ 2010, 600; Pfitzmann, Datenschutz durch Technik, DuD 1999, 405; Raabe, Datenschutz im SmartGrid, DuD 2010, 379; Raabe/Lorenz/Pallas/Weis/Malina, 14 Thesen zum Datenschutz im Smart Grid, DuD 2011, 519; Rau/Behrens, Catch me if you can … Anonymisierungsdienste und die Haftung für mittelbare Rechtsverletzungen, K&R 2009, 766; Roßnagel, Handbuch Datenschutzrecht, 1. Aufl., 2003; Roßnagel, Modernisierung des Datenschutzrechts – Empfehlungen eines Gutachtens für den Bundesinnenminister, RDV 2002, 61; Roßnagel, Neues Recht für Multimediadienste, NVwZ 1998, 1; Roßnagel/Desoi/Hornung, Gestufte Kontrolle bei Videoüberwachungsanlagen, DuD 2011, 694; Roßnagel/Scholz, Datenschutz durch Anonymität und Pseudonymität, MMR 2000, 721; Rost/Bock, Privacy by Design und die Neuen Schutzziele – Grundsätze, Ziele und Anforderungen, DuD 2011, 30; Schild/Tinnefeld, Datenverarbeitung im internationalen Konzern, DuD 2011, 629; Schmidt/Jacob, Die Zulässigkeit IT-gestützter Compliance- und Risikomanagementsysteme nach der BDSG-Novelle, DuD 2011, 88; Schneider, Die Daten-
72 Schreiber
Datenvermeidung und Datensparsamkeit
§ 3a BDSG
sicherheit – eine vergessene Regelungsmaterie? – Ein Plädoyer für Aufwertung, stärkere Integration und Modernisierung des § 9 BDSG, ZD 2011, 6; Schneider/ Härting, Warum wir ein neues BDSG brauchen – Kritischer Beitrag zum BDSG und dessen Defiziten, ZD 2011, 63; Sensburg, Datenschutz im Bürgeramt, DuD 1998, 650; Trute, Der Schutz personenbezogener Informationen in der Informationsgesellschaft, JZ 1998, 822; Weber, Hybridfernsehen aus der Sicht des öffentlich-rechtlichen Rundfunks, ZUM 2011, 452; Weichert, BDSG-Novelle zum Schutz von Internet-Inhaltsdaten, DuD 2009, 7; Wendt, Smart Grid – eine Herausforderung aus Sicht der Standardisierung und IT-Sicherheit oder schon „business-as-usual“, DuD 2011, 22; Wiesemann, IT-rechtliche Rahmenbedingungen für „intelligente“ Stromzähler und Netze – Smart Meter und Smart Grids, MMR 2011, 355; Wilke/Kiesche, Datenschutz durch Datenvermeidung und -sparsamkeit, CuA 2009, 16.
I. Einführung § 3a formuliert die Grundsätze der Datenvermeidung und Datenspar- 1 samkeit, die im Jahr 2001 nach dem Vorbild des § 3 Abs. 4 TDDSG in das BDSG aufgenommen worden sind1. Danach muss sich jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten sowie die Gestaltung und Auswahl von Datenverarbeitungssystemen an dem Ziel ausrichten, keine oder jedenfalls so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen2. Sinn und Zweck des § 3a ist es, präventiv das Recht des Betroffenen auf 2 informationelle Selbstbestimmung zu schützen3. Durch den Einsatz datenschutzfreundlicher Techniken sollen die Gefahren für das informationelle Selbstbestimmungsrecht reduziert werden4. § 3a konkretisiert damit den Grundsatz der Verhältnismäßigkeit5 und ist Ausfluss des allgemeinen Übermaßverbots zur technischen Gestaltung von Datenverarbeitungssystemen6. Beispielsweise ist es in vielen Konstellationen nicht erforderlich, dass Daten überhaupt einen Personenbezug aufweisen. Dann gilt es vielmehr, von vornherein den Personenbezug, z.B. durch Anonymisierung und Pseudonymisierung, zu vermeiden oder jedenfalls zu relativieren7.
1 2 3 4 5 6
Vgl. Simitis/Scholz, § 3a BDSG Rz. 2 f. Vgl. Simitis/Scholz, § 3a BDSG Rz. 31. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 4. BT-Drucks. 14/4329, S. 30; vgl. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 4. So die Amtliche Begründung in BT-Drucks. 14/4329, S. 33. Schaffland/Wiltfang, § 3a BDSG Rz. 1; Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 2. 7 Simitis/Scholz, § 3a BDSG Rz. 32.
Schreiber
73
BDSG § 3a
Allgemeine und gemeinsame Bestimmungen
3 Bis zur Gesetzesnovelle 20091 galt § 3a dem Wortlaut nach nur für die „Gestaltung und Auswahl von Datenverarbeitungssystemen“. Über den Wortlaut hinaus wurden allerdings auch schon damals die genannten Grundsätze auf sämtliche Stadien der Datenverarbeitung angewandt2. Durch die Erweiterung des Wortlauts auf die „Erhebung, Verarbeitung und Nutzung personenbezogener Daten“ hat sich daher letztlich keine inhaltliche Änderung ergeben3. II. Allgemeines Datenschutzprinzip (Satz 1) 4 Die Grundsätze der Datenvermeidung und Datensparsamkeit gelten als allgemeine Datenschutzprinzipien grundsätzlich bei jeder Form des Umgangs mit personenbezogenen Daten4. Daher ist stets zu prüfen, ob die Grundsätze eingehalten sind, und zwar auch dann, wenn der Umgang mit den personenbezogenen Daten mit den sonstigen datenschutzrechtlichen Bestimmungen im Einklang steht5. 1. Ziel der Grundsätze der Datenvermeidung und Datensparsamkeit 5 Ziel der Grundsätze der Datenvermeidung und Datensparsamkeit ist es, weg von der „Verrechtlichung“ des Datenschutzes6 hin zu einem Datenschutz durch Technik („Privacy by Design“) zu kommen7. Durch eine 1 Vgl. Hanloser, MMR 2009, 594, zum Umfang der Reform. 2 Vgl. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 15; Schaffland/Wiltfang, § 3a BDSG Rz. 1. 3 Hornung, ZD 2011, 51 (53 f.); Simitis/Scholz § 3a BDSG Rz. 7; Eckhardt, DuD 2009, 587; vgl. Kühling/Bohnen, JZ 2010, 600 (603); Wilke/Kische, CuA, 16 (17). 4 Taeger/Gabel/Zscherpe, § 3a Rz. 8. 5 Vgl. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 2; in diesem Zusammenhang zur Videoüberwachung vgl. Bergwitz, NZA 2012, 353 (357); zu Online-Spielen vgl. Backu, ZD 2012, 59 (62); zu Log-Dateien/Personaldaten vgl. Kort, NZA 2011, 1319 (1320); zu Testamentsregistern vgl. Bormann, ZEV 2011, 628 (630); vgl. auch Diehn, DNotZ 2011, 676 (681); zur Vergabe von IP-Adressen vgl. Freund/ Schnabel, MMR 2011, 495 (499); zum Hybridfernsehen vgl. Weber, ZUM 2011, 452 (455); zu intelligenten Stromzählern vgl. Wiesemann, MMR 2011, 355 (358); zu Maßnahmen zum Einzug des Rundfunkbeitrags nach RStV vgl. Herb, MMR 2011, 232 (237); zu Verbunddateien des BKA vgl. Arzt, NJW 2011, 352 (353 f.); zu sozialen Netzwerken vgl. Erd, NVwZ, 2011, 19 (20 f.). 6 Vgl. Gola/Schomerus, § 3a BDSG Rz. 1. 7 Vgl. hierzu Roßnagel, Handbuch Datenschutzrecht, Kap. 2.2, Rz. 7 ff.; Taeger/ Gabel/Zscherpe, § 3a Rz. 5; Bachmeier, DuD 1996, 672 f.; Trute, JZ 1998, 822 (829); zum Einsatz datenschutzfreundlicher Technologien („Privacy Enhancing Technologies“) siehe: Hornung ZD 2011, 51 (52 f.); Bock/Rost, DuD 2011,
74 Schreiber
Datenvermeidung und Datensparsamkeit
§ 3a BDSG
Förderung des Systemdatenschutzes soll auf die technische Gestaltung von Datenverarbeitungssystemen Einfluss genommen werden, um den Umgang mit personenbezogenen Daten zu minimieren1. Der Selbstdatenschutz soll befördert werden, damit jeder Betroffene letztlich selbst auswählen kann, wie viele und welche Daten preisgegeben werden, oder ob er anonym oder unter Pseudonym auftreten will2. Ein solcher Schritt ist auch notwendig, da die heutigen IuK-Techno- 6 logien auf immer einfachere Weise die Erhebung und Verarbeitung personenbezogener Daten ermöglichen und dadurch Datenspeicher entstehen, die mit den Grundprinzipien des Datenschutzes nur noch schwerlich in Einklang zu bringen sind3. Der technische Wandel hat dazu geführt, dass der im Wesentlichen als Verbot mit Erlaubnisvorbehalt ausgestaltete Datenschutz den tatsächlichen Anforderungen immer weniger gewachsen ist4. In diesem Zusammenhang werden schon länger sowohl auf nationaler als auch auf europäischer Ebene Forderungen an den Gesetzgeber laut, Rahmenbedingungen für eine Selbstregulierung der Wirtschaft zu schaffen (sog. „regulierte Selbstregulierung“5)6. Danach soll der Gesetzgeber sich bei der inhaltlichen Tiefe seiner Regelungen zurückhalten, und die Ausfüllung abstrakter Vorgaben der branchen- oder unternehmensspezifischen Selbstregulierung überlassen7. Eine Möglichkeit ist beispielsweise die Knüpfung von wirtschaftlichen und haftungsrechtlichen Vorteilen
1 2 3 4 5
6
7
30 ff.; Borking, DuD 1998, 636; Brunst, Anonymität im Internet – rechtliche und tatsächliche Rahmenbedingungen, 46 ff.; Roßnagel/Desoi/Hornung, DuD 2011, 694 ff.; zum Smart Grid – Eckert/Krauß, DuD 2011, 535 ff.; Wendt, DuD 2011, 22 ff.; Raabe/Lorenz/Pallas/Weis/Malina, DuD 2011, 519 ff.; zum Smart Metering – Jeske, DuD 2011, 530 ff.; Sensburg, DuD 1998, 650 (651); Holznagel/Ricke, DuD 2011, 611 ff.; Herkenhöner/Fischer/de Meer, DuD 2011, 870; Schild/Tinnefeld, DuD 2011, 629. Gola/Schomerus, § 3a BDSG Rz. 4. Vgl. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 5. Simitis/Scholz, § 3a BDSG Rz. 12. Simitis/Scholz, § 3a BDSG Rz. 10. Zur „regulierten Selbstregulierung“ vgl. insbesondere Hoffmann-Riem, AöR 123 (1998), 513 (535 ff.); Hoffmann-Riem, DuD 1998, 684 (687 ff.); vgl. auch § 38a Rz. 9 ff. Vgl. Mitt. der Kommission v. 4.11.2010, Gesamtkonzept für einen Datenschutz in der EU, Kom(2010), 14; Hornung, ZD 2011, 51 (55); Bachmaier, DuD 1996, 672 f.; Trute, JZ 1998, 822 (829). Roßnagel, RDV 2002, 61 (67); vgl. Hornung, ZD 2011, 51 (53 f.); vgl. Mitt. der Kommission v. 4.11.2010, Gesamtkonzept für einen Datenschutz in der EU, Kom(2010), 14.
Schreiber
75
7
BDSG § 3a
Allgemeine und gemeinsame Bestimmungen
an ein Datenschutzaudit1. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holsteins (ULD) hat auf Basis der Schleswig-Holsteinischen Datenschutzverordnung ein solches Audit eingerichtet, bei dem ein Gütesiegel dafür vergeben wird, wenn die Vereinbarkeit eines Produkts mit den Vorschriften über den Datenschutz und die Datensicherheit in einem förmlichen Verfahren festgestellt wurde2. Im Jahr 2011 hat das Interactive Advertising Bureau Europe (IAB Europe, Brüssel), ein Zusammenschluss von u.a. einer Vielzahl europäischer Unternehmen der Online-Werbeindustrie, ein europaweit gültiges „Rahmenwerk zur Selbstregulierung von nutzerbasierter Online Werbung“ („Online Behavioural Advertising“ [„OBA“]) vorgestellt, das darauf angelegt ist, dem Verbraucher verbesserte Transparenz und Kontrolle im Hinblick auf Online-Werbung zu ermöglichen. Führende Unternehmen der Online-Branche haben dieses Regelwerk unterzeichnet und sich dazu verpflichtet, zukünftig für mehr Transparenz und Kontrolle zu sorgen3. Ein weiteres Beispiel ist der „Datenschutz-Kodex für Geodatendienste“ des BITKOM, in dessen Mittelpunkt eine zentrale Informations- und Widerspruchsstelle im Internet steht, bei der sich Bürger u.a. über die Funktionen der jeweiligen Geodatendienste informieren und Widerspruch gegen die Abbildung ihrer Häuser einlegen können4. Weiter steht es insbesondere den Verbänden der Internetwirtschaft frei, Standards zum Schutz des allgemeinen Persönlichkeitsrechts festzulegen und sich diese nach § 38a von der Aufsichtsbehörde genehmigen zu lassen5. 2. Inhalt der Grundsätze der Datenvermeidung und Datensparsamkeit 8 Inhaltlich soll durch den Grundsatz der Datenvermeidung die Erhebung und Verarbeitung personenbezogener Daten zunächst in quantitativer Hinsicht vermieden werden6. Ziel ist es jedoch nicht, überhaupt keine Daten zu generieren; die Regelung bezieht sich vielmehr nur auf Daten 1 Kühling/Bohnen, JZ 2010, 600 (603); Karper/Maseberg, DuD 2010, 704 ff.; Roßnagel, RDV 2002, 61 (66 f.;) Bachmeier, DuD 1996, 672 (673); Trute, JZ 1998, 822 (828); Weichert, DuD 2009, 7 (14); Kinast/Schröder, ZD 2012, 207 ff.; Zum Datenschutzaudit vgl. auch die Kommentierung zu § 9a. 2 Vgl. Hornung, ZD 2011, 51 (53); Karper/Maseberg, DuD 2010, 704 ff.; Kühling/ Bohnen, JZ 2010, 600 (607/609). 3 MMR-Aktuell 2011, 317410. 4 Vgl. hierzu Bull, NVwZ 2011, 257 (263). 5 Weichert, DuD 2009, 7 (10); LG Darmstadt v. 25.1.2006 – 25 S 118/05, MMR 2006, 330; vgl. hierzu auch § 38a Rz. 2 ff. 6 Vgl. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 29, 33; Simitis/Scholz, § 3a BDSG Rz. 31; Pfitzmann, DuD 1999, 405 f.; Roßnagel, NVwZ 1998, 1 (4).
76 Schreiber
Datenvermeidung und Datensparsamkeit
§ 3a BDSG
mit Personenbezug1. Mittel zur Datenvermeidung sind daher vornehmlich die in Satz 2 genannten Methoden der Anonymisierung und Pseudonymisierung (siehe Rz. 16 ff.). Können personenbezogene Daten nicht gänzlich vermieden werden, soll 9 durch den Grundsatz der Datensparsamkeit zumindest die potenzielle Beeinträchtigung des Persönlichkeitsrechts (in qualitativer Hinsicht) durch eine Verringerung der Eingriffstiefe auf ein Mindestmaß reduziert werden2. Dies folgt aus schon dem Zweck und Anwendungsbereich des BDSG (§ 1 Abs. 1, Abs. 2). Der Grundsatz der Datensparsamkeit verlangt jedoch nicht nur, den Umfang der Daten auf ein Mindestmaß zu reduzieren, sondern auch die Häufigkeit ihrer Verarbeitung. Hierzu gehört es auch, den Kreis der mit der Verarbeitung betrauten Personen auf ein Mindestmaß zu reduzieren3. In der Praxis bedeutet das: Eine Erhebung und jede weitere Verarbeitung 10 und Nutzung personenbezogener Daten soll erst dann stattfinden, wenn vorher die Möglichkeit der Anonymisierung oder Pseudonymisierung in Betracht gezogen wurde4. Wenn eine anonyme oder pseudonyme Datenerhebung nicht möglich ist, ist die verantwortliche Stelle weiter verpflichtet, die Menge der Daten in jedem Verarbeitungsstadium möglichst gering zu halten5. Für die verantwortliche Stelle ist es vor diesem Hintergrund zweckdienlich, von vornherein nur solche personenbezogenen Daten zu erheben, die für die jeweilige Vertragsabwicklung zwingend erforderlich sind. Erhebt die verantwortliche Stelle daneben auch bloß „nützliche“ personenbezogene Daten, vergrößert sich der spätere Überwachungsaufwand6. Daten, die nicht mehr für den ursprünglichen Verwendungszeck benötigt werden, müssen frühestmöglich gelöscht oder jedenfalls gesperrt werden. Das kann beispielsweise durch technisch gestützte Prüf- und Löschungsroutinen realisiert werden7. Eine weitere Möglichkeit ist die Datentrennung8. 1 Simitis/Scholz, § 3a BDSG Rz. 32. 2 Simitis/Scholz, § 3a BDSG Rz. 33; vgl. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 29; Pfitzmann, DuD 1999, 405 (406 f.;) zu einem Bedürfnis nach mehr Datensparsamkeit auch Mitt. der Kommission v. 4.11.2010, Gesamtkonzept für einen Datenschutz in der EU, Kom(2010), 9. 3 Vgl. Gola/Schomerus, § 3a BDSG Rz. 1b. 4 Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 34. 5 Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 35. 6 Simitis/Scholz, § 3a BDSG Rz. 35. 7 Simitis/Scholz, § 3a BDSG Rz. 36, vgl. Bull, NVwZ 2011, 257 (260), zu „programmiertem Vergessen“ und „Verfallsdaten“. 8 Vgl. Simitis/Scholz, § 3a BDSG Rz. 37 f.
Schreiber
77
BDSG § 3a
Allgemeine und gemeinsame Bestimmungen
3. Normadressaten 11 Sowohl öffentliche als auch nicht-öffentliche Stellen sind den Grundsätzen der Datenvermeidung und Datensparsamkeit (als verantwortliche Stelle) unterworfen1. 12 Auch ein Auftragsdatenverarbeiter hat sich als Auftragnehmer bei seiner Datenverarbeitung daran zu halten. Allerdings treffen den Auftragsdatenverarbeiter diese Grundsätze regelmäßig nicht unmittelbar, da Normadressat primär der „Herr der Daten“, also grundsätzlich der Auftraggeber, ist. Der Auftragsdatenverarbeiter ist aber mittelbar, durch entsprechende Instruktionen seines Auftraggebers, auf diese Grundsätze verpflichtet2. 13 Die Grundsätze wirken sich mittelbar auch auf Hersteller und Anbieter von Datenverarbeitungssystemen, obwohl § 3a dem Wortlaut nach nicht auf diese anwendbar ist3. Letztlich werden sich Hersteller und Anbieter entsprechender Systeme jedoch an den genannten Grundsätzen orientieren müssen, da die Auswahl durch verantwortliche Stellen regelmäßig auch danach getroffen werden dürfte, ob diese ihrerseits durch Nutzung entsprechender Systeme in der Lage sind, den Anforderungen in angemessener Weise Rechnung zu tragen4. 4. Rechtsnatur und Rechtsfolge 14 § 3a ist ein reiner Programmsatz5. Die dort normierten Grundsätze sind Rechtspflichten ohne Verpflichtungsqualifikation und geben ihren Adressaten keine konkrete Verhaltensweise auf, sondern verpflichten sie lediglich auf die genannten Ziele6. Mit anderen Worten: eine zwangsweise Durchsetzung der genannten Grundsätze ist auf der Grundlage des § 3a nicht möglich7. Auch eine Ahndung durch Bußgelder ist ausgeschlossen8, ebenso Zwangsmaßnahmen nach § 38 Abs. 59.
1 2 3 4 5 6 7 8 9
Simitis/Scholz, § 3a BDSG Rz. 25; Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 17. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 18. Simitis/Scholz, § 3a BDSG Rz. 26. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 19. Vgl. Schneider, ZD 2011, 6 (7). Vgl. Simitis/Scholz, § 3a BDSG Rz. 31; Kühling/Bohnen, JZ 2010, 600 (603). Simitis/Scholz, § 3a BDSG Rz. 27; Schaffland/Wiltfang, § 3a BDSG Rz. 2. Vgl. Hornung, ZD 2011, 51, 53 f., der hierzu den Begriff „soft law“ verwendet. Schaffland/Wiltfang, § 3a BDSG Rz. 2.
78 Schreiber
Datenvermeidung und Datensparsamkeit
§ 3a BDSG
Ebenfalls keine Pflicht gibt es, den Betroffenen über die Möglichkeit der Anonymisierung beziehungsweise Pseudonymisierung zu unterrichten, wie es beispielsweise § 13 Abs. 6 TMG vorsieht1.
15
III. Anonymisierung und Pseudonymisierung (Satz 2) Satz 2 konkretisiert das Gebot der Datenvermeidung2 und verlangt die 16 möglichst frühzeitige3 Anonymisierung und Pseudonymisierung personenbezogener Daten4. Bei den genannten Maßnahmen handelt es sich, wie sich aus dem Wort „insbesondere“ ergibt, allerdings nur um Regelbeispiele. Das heißt, auch andere geeignete Maßnahmen können ergriffen werden, um den Grundsätzen der Datenvermeidung und Datensparsamkeit nachzukommen5. § 3 Nr. 6 enthält eine Legaldefinition für den Begriff des Anonymisie- 17 rens6. Danach sind personenbezogene Daten so zu verändern, dass sie einer bestimmten oder bestimmbaren natürlichen Person entweder überhaupt nicht oder nur unter unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft zugeordnet werden können7. Maßstab ist also das Re-Identifizierungsrisiko. Dabei ist im konkreten Sachzusammenhang danach zu fragen, ob der Aufwand der Neubeschaffung der betreffenden Daten geringer ist als der Aufwand, der für die Wiederherstellung des Personenbezugs notwendig wäre (siehe § 3 Rz. 57 ff.)8. Für ein Pseudonymisieren ist gemäß § 3 Nr. 6a erforderlich, dass der Na- 18 me und andere Identifikationsmerkmale durch ein Kennzeichen ersetzt werden, damit die Bestimmung des Betroffenen entweder ganz ausgeschlossen oder doch zumindest wesentlich erschwert wird9. Im Einzel1 2 3 4 5 6
7 8 9
Vgl. Gola/Schomerus, § 3a BDSG Rz. 11; vgl. hierzu auch § 13 TMG Rz. 40. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 42. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 47. Siehe Raabe, DuD 2010, 379 (383), zu entprechenden Möglichkeiten bei Smart Grid. Vgl. Simitis/Scholz, § 3a BDSG Rz. 45; Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 43. Siehe zum Begriff ausf. § 3 Rz. 57; vgl. zu unterschiedlichen Anonymisierungstechniken Rau/Behrens, K&R 2009, 766 ff.; Brunst, Anonymität im Internet – rechtl. und tatsächliche Rahmenbedingungen, 6 ff.; Schmidt/Jacob, DuD 2011, 88 ff. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 44; vgl. Wilke/Kische, CuA 2009, 16 (17). Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 45. Gola/Schomerus, § 3a BDSG Rz. 10; Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 46; vgl. hierzu auch Roßnagel/Scholz, MMR 2000, 721; Pfitzmann, DuD 1999,
Schreiber
79
BDSG § 3a
Allgemeine und gemeinsame Bestimmungen
nen vgl. hierzu § 3 Rz. 61 ff.; zu Relativität oder Absolutheit des Personenbezugs vgl. § 3 Rz. 14 f. 19 Nach Satz 2 müssen Anonymisierung und Pseudonymisierung nach dem Verwendungszweck möglich sein sowie Aufwand und Schutzzweck in einem angemessenen Verhältnis stehen1. 20 Damit dürfen zunächst nur dann personenbezogene Daten verwendet werden, wenn dadurch der Verwendungszweck des Verwenders erreicht werden kann. Ist umgekehrt der Personenbezug zur Erreichung des Verwendungszwecks entbehrlich, soll anonymisiert oder pseudonymisiert werden2. 21 Das gilt aber nur, soweit der damit verbundene Aufwand nicht unverhältnismäßig höher ist als der jeweilige Schutzzweck. Ein solcher Fall liegt beispielsweise vor, wenn zur Anonymisierung und/oder Pseudonymisierung erhebliche finanzielle Aufwendungen getätigt werden müssen, um eine vollständige Neuanschaffung eines Datenverarbeitungssystems zu finanzieren, nur weil das ältere System bloß unzureichend über die Möglichkeit zur Anonymisierung und/oder Pseudonymisierung verfügt3. IV. Verweise/Kontext 22 Die genannten Grundsätze der Datenvermeidung und Datensparsamkeit des § 3a kommen nicht zur Anwendung, soweit vorrangige gesetzliche Spezialregelungen anwendbar sind (§ 1 Abs. 3)4. Solche bereichsspezifischen Regelungen finden sich z.B. für das Internet in § 13 Abs. 6 TMG und für Sozialdaten in § 78b SGB X5. Für den geschäftsmäßigen Umgang mit Daten findet sich eine Bestimmung in § 30 Abs. 1, für gespeicherte Daten zum Zweck der Forschung in § 40 Abs. 2. Weitere Gebote finden sich in den Datenschutzgesetzen der Länder6 sowie in § 21g Abs. 5 EnWG.
1 2 3 4 5 6
405 (406 f.); Brunst, Anonymität im Internet – rechtliche und tatsächliche Rahmenbedingungen, 46 ff. Gola/Schomerus, § 3a BDSG Rz. 7. Simitis/Scholz, § 3a BDSG Rz. 51. Vgl. Simitis/Scholz, § 3a BDSG Rz. 53 ff. Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 8; Simitis/Scholz, § 3a BDSG Rz. 20. Simitis/Scholz, § 3a BDSG Rz. 22. Vgl. Schaffland/Wiltfang, § 3a BDSG Rz. 4; § 9 Abs. 1 BW LDSG; § 10 Abs. 2 HDSG; § 9 Abs. 2 Satz 2 SächsDSG; § 7 Abs. 4 NDSG.
80 Schreiber
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
§ 4 BDSG
§ 3a schränkt andere Rechtsvorschriften des Bundes, die auf personenbezogene Daten anzuwenden sind, beispielsweise § 199 Abs. 1 Satz 2 und 3, § 98 SGB VII, nicht ein1. Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
4
(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
(2) 1Personenbezogene Daten sind beim Betroffenen zu erheben. 2Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn 1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder 2. a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. (3) 1Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über 1. die Identität der verantwortlichen Stelle, 2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und 3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss, zu unterrichten. 2Werden personenbezogene Daten beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. 3Soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.
1 LSG Berlin-Brandenburg v. 1.12.2011 – L 3 U 7/10, ZD 2012, 490.
Schreiber/Plath 81
23
BDSG § 4
Allgemeine und gemeinsame Bestimmungen
I. Einführung . . . . . . . . . . . . . . . .
1
II. Verwendung personenbezogener Daten nur mit Erlaubnis (Abs. 1) . . . . . . . . . . . . . . . . 1. Erlaubnis durch Rechtsnorm . 2. Erlaubnis durch Einwilligung
2 3 5
III. Grundsatz der Direkterhebung (Abs. 2 Satz 1) . . . . . . . . . 1. Bedeutung des Grundsatzes der Direkterhebung . . . . . . . . . 2. Ausnahmen vom Grundsatz der Direkterhebung (Abs. 2 Satz 2) . . . . . . . . . . . . . . . . . . . . a) Ausnahme aufgrund von Rechtsvorschriften (Abs. 2 Satz 2 Nr. 1) . . . . . . . . . . . . . b) Ausnahme aufgrund von Verwaltungsaufgaben (Abs. 2 Satz 2 Nr. 2a Alt. 1) c) Ausnahme aufgrund des Geschäftszwecks (Abs. 2 Satz 2 Nr. 2a Alt. 2) . . . . . . d) Ausnahme bei unverhältnismäßigem Aufwand (Abs. 2 Satz 2 Nr. 2b) . . . . .
6 7
10
13
15
16
21
3. Kein überwiegendes Schutzbedürfnis des Betroffenen . . . . 22 IV. Informationspflicht gegenüber dem Betroffenen (Abs. 3) 1. Zeitpunkt der Information . . . 2. Identität der verantwortlichen Stelle (Abs. 3 Satz 1 Nr. 1) . . . . . . . . . . . . . . . . . . . . . 3. Zweck der Datenerhebung (Abs. 3 Satz 1 Nr. 2) . . . . . . . . . 4. Kategorien von Empfängern (Abs. 3 Satz 1 Nr. 3) . . . . . . . . . 5. Ausnahme: Anderweitige Kenntnis (Abs. 3 Satz 1). . . . . . 6. Informationen über die Freiwilligkeit der Angaben (Abs. 3 Satz 2) . . . . . . . . . . . . . . 7. Aufklärung über die Folgen der Verweigerung der Angaben (Abs. 3 Satz 3) . . . . . . . . . .
23 25
26 27 30 36
38
43
V. Rechtsfolgen/Sanktionen . . . . 44 1. Verstoß gegen den Erlaubnisvorbehalt (Abs. 1) . . . . . . . . . . . 44 2. Verstoß gegen die Informationspflicht (Abs. 3) . . . . . . . . . . 46
Schrifttum: Bizer, Datenschutzrechtliche Informationspflichten, DuD 2005, 451; Buchner, Die Einwilligung im Datenschutzrecht, DuD 2010, 39; Caspar, Geoinformationen und Datenschutz am Beispiel des Internetdienstes Google Street View, DÖV 2009, 965; Forst, Bewerberauswahl über soziale Netzwerke im Internet, NZA 2010, 427; Iraschko-Luscher, Einwilligung – Ein stumpfes Schwert des Datenschutzes?, DuD 2006, 706; Kock/Franke, Mitarbeiterkontrolle durch systematischen Datenabgleich zu Korruptionsbekämpfung, NZA 2009, 646; Maaßen, Urheberrechtlicher Auskunftsanspruch und Vorratsdatenspeicherung, MMR 2009, 511; Oberwetter, Bewerberprofilerstellung durch das Internet – Verstoß gegen das Datenschutzrecht?, DÖV 2008, 1562; Schulz, Die (Un-)Zulässigkeit von Datenübertragungen innerhalb verbundener Unternehmen, BB 2011, 2552; Wiesemann, IT-rechtliche Rahmenbedingungen für „intelligente“ Stromzähler und Netze – Smart Meter und Smart Grids, MMR 2011, 355.
I. Einführung 1 Die Norm definiert das Grundkonzept für den Umgang mit personenbezogenen Daten unter dem BDSG, nämlich die Ausgestaltung als Verbot mit Erlaubnisvorbehalt. In vielen Urteilen zum BDSG wird Abs. 1 daher 82 Plath
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
§ 4 BDSG
als maßgebliche Einstiegsnorm zitiert1. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten setzt nach § 4 grundsätzlich voraus, dass (i) eine Erlaubnis durch das BDSG oder durch eine andere Rechtsvorschrift, alternativ eine Einwilligung des Betroffenen vorliegt (Abs. 1), (ii) die Daten direkt beim Betroffenen erhoben wurden (Abs. 2), und (iii) der Betroffene ausreichend informiert wurde (Abs. 3). II. Verwendung personenbezogener Daten nur mit Erlaubnis (Abs. 1) Abs. 1 konkretisiert den Grundsatz der informationellen Selbstbestim- 2 mung des Einzelnen als besondere Ausprägung des allgemeinen Persönlichkeitsrechts gemäß Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG. Jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist damit grundsätzlich verboten, wenn nicht eine ausdrückliche Erlaubnis vorliegt (sog. „Verbot mit Erlaubnisvorbehalt“). 1. Erlaubnis durch Rechtsnorm Gemäß der ersten Variante von Abs. 1 kann sich eine Erlaubnis aus ei- 3 nem Gesetz oder einer Rechtsvorschrift ergeben. Erhebung, Verarbeitung und Nutzung können also ausdrücklich gesetzlich legitimiert sein. In Betracht kommen sowohl Spezialgesetze des Bundes und der Länder als auch Rechtsverordnungen oder Satzungen2. Auch das TMG ist lex specialis (insbesondere die Erlaubnistatbestände nach §§ 14, 15 TMG. Existiert kein Spezialgesetz, so muss sich die Erlaubnis aus dem BDSG ergeben. Insbesondere greifen die Regelungen der §§ 14 ff. für öffentliche Stellen sowie der §§ 28 ff. für nicht-öffentliche Stellen.
4
2. Erlaubnis durch Einwilligung Sofern keine gesetzliche Erlaubnis vorliegt, muss der Betroffene in die 5 Erhebung, Verarbeitung und Nutzung seiner Daten wirksam eingewilligt haben. Die Anforderungen an die Wirksamkeit der Einwilligung normiert § 4a bzw. für den Bereich der Werbung und des Adresshandels durch nicht-öffentliche Stellen § 28 Abs. 3 Satz 1, Abs. 3a3. 1 Vgl. nur BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 = MMR 2010, 138 (139) – HappyDigits. 2 Vgl. ausführlich Gola/Schomerus, § 4 BDSG Rz. 7 ff. m.w.N. 3 S. § 28 Rz. 154 ff.; ausführlich zur Bedeutung der Einwilligung und zu den Anforderungen an ihre Rechtmäßigkeit Buchner, DuD 2010, 39, 40 sowie Iraschko-Luscher, DuD 2006, 706.
Plath 83
BDSG § 4
Allgemeine und gemeinsame Bestimmungen
III. Grundsatz der Direkterhebung (Abs. 2 Satz 1) 6 Das BDSG stellt den Grundsatz auf, dass personenbezogene Daten direkt beim Betroffenen zu erheben sind1. 1. Bedeutung des Grundsatzes der Direkterhebung 7 Unter dem „Erheben“ personenbezogener Daten ist gem. § 3 Abs. 4 das erstmalige Beschaffen von Daten zu verstehen2. Erheben beim Betroffenen bedeutet, dass der Betroffene an der Erhebung selbst und aktiv mitwirkt. Dies ist beispielsweise der Fall, wenn der Betroffene direkt befragt wird, ein Formular ausfüllt oder seine personenbezogenen Daten in sonstiger Weise verfügbar macht3. 8 Mit der Normierung des Grundsatzes der Direkterhebung soll erreicht werden, dass personenbezogene Daten möglichst direkt gewonnen werden. Sinn und Zweck dieser Bestrebung ist zum einen, dass der Betroffene vor dem Hintergrund des Schutzes der informationelle Selbstbestimmung darüber informiert ist, wer welche Daten über ihn hat4. Zum anderen soll die Authentizität der Daten gewährleistet werden. 9 Da in der Praxis eine Direkterhebung beim Betroffenen nicht immer möglich oder zielführend sein wird, kommen die in Abs. 2 Satz 2 normierten Ausnahmen, die eine Abweichung vom Grundsatz der Direkterhebung unter bestimmten Umständen erlauben, regelmäßig zum Tragen. Nicht nur in der Werbewirtschaft und im Bereich des Adresshandels wird es immer üblicher, Daten nicht beim Betroffenen zu erheben, sondern sie im Wege der Übermittlung von einem Dritten zu erlangen. 2. Ausnahmen vom Grundsatz der Direkterhebung (Abs. 2 Satz 2) 10 Eine vom dargestellten Grundsatz abweichende Erhebung von Daten bei einem anderen als dem Betroffenen ist grundsätzlich nur unter den Voraussetzungen des Abs. 2 Satz 2 möglich.
1 Ausführlich hierzu Iraschko-Luscher, DuD 2006, 706. 2 Ausführlich zu diesem Begriff vgl. § 3 Rz. 30 ff. 3 Zur Vereinbarkeit einer Bewerberauswahl über soziale Netzwerke mit dem Grundsatz der Direkterhebung Oberwetter, BB 2008, 1562, 163; Forst, NZA 2010, 427, 429; zur Vereinbarkeit der Datenerhebung durch Google Street View mit dem Grundsatz der Direkterhebung Caspar, DÖV 2009, 965, 970. 4 Vgl. Bizer, DuD 2005, 451.
84 Plath
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
§ 4 BDSG
Das Gesetz normiert vier Ausnahmen vom Grundsatz der Direkterhe- 11 bung. So können Daten auf andere Weise als direkt beim Betroffenen erhoben werden, wenn (i) es gesetzlich so vorgeschrieben oder zwingend vorausgesetzt ist (Nr. 1), wenn (ii) es für die Erledigung einer Verwaltungsaufgabe oder (iii) eines Geschäftszwecks erforderlich ist (Nr. 2), oder (iv) wenn der Aufwand der Direkterhebung ansonsten unverhältnismäßig hoch wäre (Nr. 3). Außer in den Fällen des Nr. 1 darf zudem kein überwiegendes Schutzbedürfnis des Betroffenen bestehen. Zu beachten ist darüber hinaus, dass der Betroffene auch in die Erhebung seiner Daten bei einem Dritten wirksam einwilligen kann1. In diesem Fall bedarf es keines Rückgriffs auf die gesetzlichen Ausnahmetatbestände.
12
a) Ausnahme aufgrund von Rechtsvorschriften (Abs. 2 Satz 2 Nr. 1) Die Datenerhebung ohne Mitwirkung des Betroffenen kann durch Gesetz legitimiert sein2. Genannt werden hier regelmäßig die Befugnisnormen der Strafverfolgungsbehörden (wie z.B. die §§ 100a, 100b StPO). Eine Telefonüberwachung wäre beispielsweise zwecklos, wenn der Betroffene vorab darüber informiert würde3.
13
Zu Recht wird darauf hingewiesen, dass auch das BDSG selbst als Rechtsvorschrift i.S. dieser Norm in Betracht kommt. So normieren beispielsweise die §§ 28 und 29, dass eine Datenerhebung aus allgemein zugänglichen Quellen ohne Kenntnis des Betroffenen zulässig ist, so dass auch diese Normen als von dem Ausnahmetatbestand erfasste Rechtsvorschrift zu verstehen sind4.
14
b) Ausnahme aufgrund von Verwaltungsaufgaben (Abs. 2 Satz 2 Nr. 2a Alt. 1) Beim Ausnahmetatbestand im Bereich der Verwaltungsaufgaben geht es primär um Aufgaben der Daseinsfürsorge und andere staatliche Leistungen. Behörden muss es beispielsweise möglich sein, Angaben, die der 1 Gola/Schomerus, § 4 BDSG Rz. 22. 2 Keine Rechtsvorschriften in diesem Sinne sollen nach Ansicht v. Wiesemann, z.B. die Vorschriften des Energierechts zu Smart Meter/Smart Grids darstellen, MMR 2011, 355 (356). 3 Vgl. dazu ausführlich Gola/Schomerus, § 4 BDSG Rz. 23 ff. m.w.N. 4 So z.B. Gola/Schomerus, § 4 BDSG Rz. 24; vgl. auch Schulz, BB 2011, 2552 (2553); Forst, NZA 2010, 427 (431).
Plath 85
15
BDSG § 4
Allgemeine und gemeinsame Bestimmungen
Betroffene gemacht hat, bei Dritten zu überprüfen oder abzugleichen, bevor sie eine Leistung gewähren, ohne dass der Betroffene an diesem Procedere mitwirkt1. c) Ausnahme aufgrund des Geschäftszwecks (Abs. 2 Satz 2 Nr. 2a Alt. 2) 16 Auch Private dürfen Daten ohne Mitwirkung des Betroffenen erheben, wenn dies zur Erledigung eines Geschäftszwecks erforderlich ist und keine schutzwürdigen Belange des Betroffenen entgegenstehen. Diese Ausnahme wird der Praxis gerecht, denn im Wirtschaftsleben werden personenbezogene Daten regelmäßig über Dritte weitergereicht. 17 Unter die Ausnahme fällt beispielsweise das Auskunftsersuchen eines Unternehmens über die Bonität eines Kunden bei einer Auskunftei2. Ob die Erhebung der Daten durch die Auskunftei und ihre Übermittlung an das Unternehmen zulässig sind, ist eine andere Frage und richtet sich nach den speziellen Vorschriften (in diesem Fall nach §§ 28a, 29 Abs. 1). Abs. 2 Satz 2 Nr. 2a stellt aber bereits klar, dass ein Unternehmen grundsätzlich eine solche Auskunft abfragen darf, ohne dass der Betroffene mitwirkt. 18 Weiterhin muss es einem Gläubiger erlaubt sein, die Adresse eines Schuldners über das Einwohnermeldeamt zu ermitteln, wenn der Schuldner unbekannt verzogen ist3. 19 Die Ausnahme gilt gleichfalls für die Erhebung von Daten bei Adresshändlern zum Zwecke der Werbung4. 20 Dabei ist zu beachten, dass dieser Ausnahmetatbestand nur über die Einhaltung des Grundsatzes der Direkterhebung hinweghilft. Die weitere Zulässigkeit solcher Praktiken wird anhand der spezielleren Vorschriften des BDSG, insbesondere der §§ 28 ff., zu bewerten sein5.
1 Vgl. dazu ausführlich Gola/Schomerus, § 4 BDSG Rz. 26 m.w.N. 2 So auch Schaffland/Wiltfang, § 4 BDSG Rz. 9; kritisch zu der Frage, ob auch die Verwendung der IP-Adresse zur Ermittlung von Urheberrechtsverstößen unter den Erlaubnistatbestand des Abs. 2 Satz 2 Nr. 2a fällt Maaßen, MMR 2009, 511 (513). 3 Vgl. Gola/Schomerus, § 4 BDSG Rz. 27. 4 Str., wie hier Gola/Schomerus, § 4 BDSG Rz. 27; a.A. Däubler/Klebe/Wedde/ Weichert/Weichert, § 4 BDSG Rz. 8, nach dem dieser Fall aber unter Abs. 2 Nr. 2b fallen kann. 5 Vgl. die einschlägigen Kommentierungen in §§ 28 ff.
86 Plath
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
§ 4 BDSG
d) Ausnahme bei unverhältnismäßigem Aufwand (Abs. 2 Satz 2 Nr. 2b) Schließlich gilt dann eine Ausnahme von dem Direkterhebungsgrund- 21 satz, wenn die Direkterhebung einen unverhältnismäßigen Aufwand bedeuten würde. Wann ein Aufwand als „unverhältnismäßig“ einzuschätzen ist, wird vom Einzelfall abhängen. Generell gilt, dass die Anforderungen an die Unverhältnismäßigkeit umso höher sind, je sensibler die erhobenen Daten sind. Die Unverhältnismäßigkeit kann sich insbesondere aus Zeit- oder Kostengründen ergeben. Auch kann eine große Menge an Erhebungsvorgängen, z.B. in der Werbewirtschaft, für eine Abweichung vom Grundsatz der Direkterhebung sprechen. Zu beachten ist, dass auch die Direkterhebung von Daten, die aus allgemein zugänglichen Quellen zu erfahren sind, als unverhältnismäßig anzusehen sein wird, will man sie nicht schon unter Abs. 2 Satz 2 Nr. 1 fassen (vgl. oben Rz. 14). Die geringe Schutzwürdigkeit des Betroffenen bezüglich solcher Daten sowie der Umstand, dass es sich bei allgemein zugänglichen Daten i.d.R. um vergleichsweise unsensible Daten handelt, rechtfertigen nicht den zeitlichen und wirtschaftlichen Aufwand, den die verantwortliche Stelle betreiben müsste, um diese Daten direkt beim Betroffenen zu erheben. 3. Kein überwiegendes Schutzbedürfnis des Betroffenen Die Abweichung vom Grundsatz der Direkterhebung zur Erfüllung von Verwaltungsaufgaben bzw. Geschäftszwecken sowie aufgrund unverhältnismäßigen Aufwands (Abs. 2 Nr. 2) bedingt, dass das Schutzbedürfnis des Betroffenen nicht überwiegt. Diese Einschränkung ist restriktiv auszulegen. Die Interessen des Betroffenen müssen also eindeutig überwiegen, wie dies beispielsweise bei besonders sensiblen Daten i.S.d. § 3 Abs. 9 der Fall sein mag.
22
IV. Informationspflicht gegenüber dem Betroffenen (Abs. 3) Die Direkterhebung von Daten beim Betroffenen löst grundsätzlich eine 23 Informationspflicht aus: Der Betroffene ist (i) über die Identität der verantwortlichen Stelle, (ii) über den Zweck der Erhebung, Verarbeitung oder Nutzung und (iii) über die Kategorien der Empfänger zu unterrichten1.
1 Ausführlich zu den Informationspflichten Bizer, DuD 2005, 451 (452).
Plath 87
BDSG § 4
Allgemeine und gemeinsame Bestimmungen
24 Werden die Daten ohne Kenntnis des Betroffenen erhoben, kommt im Anwendungsbereich der §§ 27 ff. u.U. die spezielle Benachrichtigungspflicht nach § 33 zum Tragen. 1. Zeitpunkt der Information 25 Sinn und Zweck der Regelung ist es, dem Betroffenen im Falle der Direkterhebung zu ermöglichen, selbst zu entscheiden, ob er seine personenbezogenen Daten preisgeben will oder nicht. Dies bedeutet zwangsläufig, dass der Betroffene rechtzeitig, d.h. vor der Erhebung der Daten zu unterrichten ist. Die Informationspflicht nach Abs. 3 beschränkt sich auf den Zeitpunkt der Direkterhebung1. Bei einer späteren Zweckänderungen ist jedoch unter Umständen die Benachrichtigungspflicht nach § 33 zu berücksichtigen. 2. Identität der verantwortlichen Stelle (Abs. 3 Satz 1 Nr. 1) 26 Die Unterrichtungspflicht umfasst zunächst die „Identität der verantwortlichen Stelle“. Welche Angaben hierfür erforderlich sind, lässt das Gesetz offen. Der Betroffene muss die verantwortliche Stelle grundsätzlich identifizieren können. Damit soll dem Betroffenen die Kontaktaufnahme mit der verantwortlichen Stelle ermöglicht werden, um seine Rechte (z.B. Auskunfts- oder Löschungsrechte) wahrzunehmen. Dazu bedarf es regelmäßig der Angabe des Namens bzw. der Firma. Nach der hier vertretenen Ansicht ist es angesichts des diesbezüglich eindeutigen Wortlauts jedoch nicht notwendig, darüber hinaus auch eine ladungsfähige Adresse anzugeben. Gleiches gilt für darüber hinaus gehende Informationen (wie Fax- oder E-Mail-Adresse), auch wenn sie die Kontaktaufnahme erleichtern2. Dennoch empfiehlt es sich, gerade auch im Hinblick auf die Sensibilität des Themas Datenschutz, eher mehr als weniger Informationen zur Kontaktaufnahme mit der verantwortlichen Stelle aufzuführen. 3. Zweck der Datenerhebung (Abs. 3 Satz 1 Nr. 2) 27 Darüber hinaus ist dem Betroffenen mitzuteilen, für welchen Zweck seine Daten erhoben werden. Der Betroffene soll dabei z.B. erfahren, ob 1 So auch Kock/Franke, NZA 2009, 646 (650). 2 A.A. Simitis/Sokol, § 4 BDSG Rz. 41, wonach die Angabe von Telefon- und Faxnummern sowie der E-Mail-Adresse „regelmäßig eine Selbstverständlichkeit sein“ sollte; ebenso i.E. Bizer, DuD 2005, 451 (452).
88 Plath
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
§ 4 BDSG
seine Daten allein für die Abwicklung eines Rechtsgeschäfts (Rechnung, Versand) oder darüber hinaus beispielsweise auch für Werbezwecke verwendet werden. Dabei sind alle Zwecke anzugeben, die die verantwortliche Stelle zum Zeitpunkt der Datenerhebung kennt. Ändert die verantwortliche Stelle im Nachhinein die Zweckbestimmung in wesentlicher Weise und verwendet sie die personenbezogenen Daten auch für weitere Zwecke, so trifft sie die Benachrichtigungspflicht nach § 331.
28
Eine positive redaktionelle „Verpackung“ der Information schadet 29 nicht, solange der Betroffene Inhalt und Reichweite verstehen kann2. 4. Kategorien von Empfängern (Abs. 3 Satz 1 Nr. 3) Schließlich ist der Betroffene auch auf die Kategorien der Empfänger der Daten hinzuweisen. Wesentlich ist also, dass die verantwortliche Stelle gerade nicht die spezifischen Empfänger nennen muss, sondern dass es reicht, diese in Kategorien zusammenzufassen. Ausreichend ist es daher z.B. von „Tochterunternehmen“, „Auskunfteien“ oder etwa „Inkassounternehmen“ zu sprechen, ohne die genaue Identität oder Funktion des Empfängers zu nennen.
30
Der Begriff „Empfänger“ entspricht dem des § 3 Abs. 8 Satz 1. Damit wären eigentlich auch alle Stellen, die im Verhältnis zur verantwortlichen Stelle nicht als „Dritte“ zu verstehen sind, umfasst. Dies betrifft also z.B. auch den Fall der Auftragsdatenverarbeitung (§ 11), so dass der Betroffene auch über jeden internen Datenfluss, z.B. an einen IT-Dienstleister, zu benachrichtigen wäre3.
31
Nach der hier vertretenen Ansicht ist dies allerdings gerade nicht zwin- 32 gend der Fall: Der Wortlaut des Abs. 3 Satz 1 Nr. 3 spricht von der „Übermittlung“ der Daten an die Empfänger. Eine Übermittlung von Daten liegt indessen nur dann vor, wenn sie an einen Dritten weitergegeben werden (§ 3 Abs. 4 Nr. 3). Auftragsdatenverarbeiter sind insoweit gerade nicht Dritte, d.h. die Daten werden an sie nicht im technischen Sinne „übermittelt“. Der Begriff „Kategorien von Empfängern“ sollte daher nach Sinn und Zweck so ausgelegt werden, dass unter Empfän-
1 Gola/Schomerus, § 33 Rz. 5, 16; Bergmann/Möhrle/Herb, § 33 BDSG Rz. 46. 2 Gola/Schomerus, § 4 BDSG Rz. 31. 3 So z.B. Gola/Schomerus, § 4 BDSG Rz. 33, der die Nennung des Begriffs „Übermittlung“ als ein redaktionelles Versehen ansieht.
Plath 89
BDSG § 4
Allgemeine und gemeinsame Bestimmungen
gern Dritte gemeint sind und die Auftragsdatenverarbeitung davon nicht erfasst ist. 33 Auch hier muss gelten, dass die Informationspflicht sich nur auf solche Empfänger beziehen kann, die im Zeitpunkt der Datenerhebung bekannt sind. In der Praxis empfiehlt es sich daher, sich eine Übermittlung an weitere Empfänger vorzubehalten. 34 Die Informationspflicht entfällt, wenn der Betroffene mit der Weitergabe der Daten an den oder die Empfänger rechnen muss. Dabei soll es nach überwiegender und enger Auffassung nicht reichen, dass eine Datenweitergabe „branchenüblich“ ist1. Dem ist nach der hier vertretenen Ansicht nur bedingt zu folgen. Für einen weiteren Ansatz spricht insbesondere, dass die Branchenüblichkeit an sich gerade geeignet ist, um festzulegen, in welchen Fällen der Betroffene mit einer Weitergabe seiner Daten rechnen muss. So kann ein Betroffener heute bei Abschluss eines Kreditvertrags mit der Weitergabe seiner Daten an eine Auskunftei rechnen. Einschränkend muss jedoch gelten, dass die Weitergabe im Konzernverbund nicht als ein Unterfall der Branchenüblichkeit anzusehen sein wird, da Unternehmensstrukturen für den Einzelnen oftmals nicht zu durchschauen sind. 35 In Anbetracht der durchweg engen Auslegung der Informationspflicht ist es jedoch als Vorsichtsmaßnahme empfehlenswert, einen Hinweis auf die Kategorie der Empfänger in jedem Fall aufzunehmen. 5. Ausnahme: Anderweitige Kenntnis (Abs. 3 Satz 1) 36 Die verantwortliche Stelle kann auf die Unterrichtung des Betroffenen verzichten, wenn der Betroffene bereits anderweitig Kenntnis erlangt hat, Abs. 3 Satz 1, 1. Teil. Es ist hier also nicht ausreichend, dass mit der Kenntnisnahme durch den Betroffenen zu rechnen ist, die Kenntnisnahme muss vielmehr tatsächlich erfolgt sein. 37 Ausreichend ist es allerdings, wenn der Betroffene schon zu einem früheren Zeitpunkt informiert wurde. Ein ausdrücklicher Hinweis ist auch dann verzichtbar, wenn sich bereits aus dem Geschäft selbst ergibt, inwieweit die personenbezogenen Daten verwendet werden. Dies wäre zum Beispiel bei der Weitergabe von Mieterdaten durch einen Makler an den Vermieter der Fall. Dient die Erhebung der personenbezogenen Da1 So z.B. Gola/Schomerus, § 4 BDSG Rz. 33; Däubler/Klebe/Wedde/Weichert/ Weichert, § 4 BDSG Rz. 13.
90 Plath
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
§ 4 BDSG
ten allein der Abwicklung einer Bestellung, so muss das Bestellformular nicht ausdrücklich den Hinweis enthalten, dass die personenbezogenen Daten für diese Abwicklung bestimmt sind. Denn der Betroffene kennt diese Zweckbestimmung in dem Moment, in dem er das Bestellformular ausfüllt und seine Lieferadresse etc. angibt1. Ähnlich verhält es sich, wenn sich die eine Vertragspartei im Rahmen eines Vertrages die Abtretung verschiedener Ansprüche vorbehält. In diesem Fall weiß der Betroffene, dass es im Falle der Abtretung auch zu einer Übermittlung seiner personenbezogenen Daten an den Abtretungsempfänger kommen wird2. Anderweitige Kenntnis hat der Betroffene auch dann, wenn er in die konkrete Verwendung seiner personenbezogenen Daten eingewilligt hat. Denn die Einwilligung nach § 4a setzt eine informierte Entscheidung voraus. Dies bedeutet, dass der Betroffene jedenfalls Kenntnis der in § 4 festgelegten Kriterien haben muss, also die zuständige Stelle, den Zweck der Datenverarbeitung und die Kategorien der Empfänger kennen muss3. 6. Informationen über die Freiwilligkeit der Angaben (Abs. 3 Satz 2) Ist der Betroffene aufgrund einer Rechtsvorschrift zur Auskunft ver- 38 pflichtet, so ist er von der verantwortlichen Stelle darauf hinzuweisen. Die Vorschrift nimmt also insbesondere öffentliche Stellen in die Pflicht. Eine Auskunftspflicht des Betroffenen besteht beispielsweise gegenüber Steuerbehörden (§ 149 Abs. 1 AO) und gegenüber der Staatsanwaltschaft (§ 161a StPO). Eine gesetzliche Auskunftspflicht kann u.U. aber auch gegenüber privaten Stellen bestehen (z.B. gegenüber Arbeitgebern, § 5 EFZG)4. Ist die Angabe personenbezogener Daten für den Betroffenen erforderlich, um einen Rechtsvorteil zu erlangen, so ist ihm dies mitzuteilen. Dies betrifft vor allem den Fall der Gewährung staatlicher Leistungen. Die Angabe von Daten ist in diesem Fall sogar als Obliegenheit des Betroffenen zu verstehen5. Diese Variante ist erweiternd dahingehend auszulegen, dass sie auch die Fälle erfasst, in denen ohne die Angabe ein Rechtsnachteil droht.
1 2 3 4 5
So auch Gola/Schomerus, § 4 BDSG Rz. 38. Vgl. Gola/Schomerus, § 4 BDSG Rz. 38. Ebenso Gola/Schomerus, § 4 BDSG Rz. 40. Ausführlich hierzu Gola/Schomerus, § 4 BDSG Rz. 42 ff. m.w.N. Ebenso Gola/Schomerus, § 4 BDSG Rz. 43.
Plath 91
39
BDSG § 4
Allgemeine und gemeinsame Bestimmungen
40 Im Rahmen eines Rechtsgeschäfts muss der Betroffene ohnehin bestimmte Auskünfte machen, um überhaupt die Durchführung des Geschäfts zu ermöglichen. So muss z.B. bei einer Bestellung notwendiger Weise auch die Lieferadresse angegeben werden. Der Hinweis auf die Freiwilligkeit der Angaben erübrigt sich in diesen Fällen1. 41 In allen anderen Fällen, in denen weder eine Auskunftspflicht besteht noch ein Rechtsvorteil im Raum steht, muss der Betroffene darüber informiert werden, dass die Angabe seiner personenbezogenen Daten freiwillig erfolgt. 42 Bei Angaben, die insbesondere für den Abschluss eines Rechtsgeschäfts nicht erforderlich sind, ist in der Praxis auf deren Freiwilligkeit hinzuweisen. In Formularen begegnet man in der Praxis oftmals dem Hinweis auf die Freiwilligkeit („optional“, „freiwillig“), z.B. bei der Erhebung der Telefonnummer oder der E-Mail-Adresse. Solche knappen Hinweise genügen grundsätzlich, eine ausführliche Belehrung des Betroffenen ist nicht erforderlich. Der Hinweis auf die Freiwilligkeit muss allerdings eindeutig und unmissverständlich sein, damit der Betroffene sich nicht durch die Formulierung dazu verpflichtet fühlt, die Angaben zu machen. 7. Aufklärung über die Folgen der Verweigerung der Angaben (Abs. 3 Satz 3) 43 Die verantwortliche Stelle muss grundsätzlich dafür Sorge tragen, dass dem Betroffenen die Folgen einer Verweigerung einer Angabe seiner Daten bekannt sind. Dies gilt insbesondere dann, wenn der Betroffene die Angabe seiner personenbezogenen Daten tatsächlich verweigert oder explizit eine Aufklärung verlangt. Diese Aufklärungspflicht entfällt nur dann, wenn sie nach den Umständen des Einzelfalls nicht erforderlich ist. Im Regelfall wird dem Betroffenen bewusst sein, dass er beispielsweise eine bestimmte Leistung nicht erhalten kann, wenn er die zur Abwicklung des Rechtsgeschäfts erforderlichen Daten nicht angibt. Sollte die verantwortliche Stelle indessen erkennen oder antizipieren, dass ein Informationsdefizit des Betroffenen besteht, so ist eine weitere Aufklärung erforderlich. Im Falle der elektronisch erfolgenden Datenerhebung, im Rahmen derer eine direkte Rücksprache mit der verantwortlichen Stelle im Regelfall kaum möglich sein wird, empfiehlt es sich deshalb, eine derartige Aufklärung z.B. im Wege eines Hyperlinks, standardisiert durchzuführen. 1 So auch Gola/Schomerus, § 4 BDSG Rz. 43.
92 Plath
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung
§ 4 BDSG
V. Rechtsfolgen/Sanktionen 1. Verstoß gegen den Erlaubnisvorbehalt (Abs. 1) Das Erheben, Verarbeiten oder Nutzen personenbezogener Daten ohne Erlaubnis aufgrund eines Gesetzes bzw. einer Rechtsvorschrift oder einer Einwilligung ist unzulässig. Die Aufsichtsbehörde kann dagegen gem. § 38 Abs. 5 einschreiten. Darüber hinaus droht ein Bußgeld nach § 43 Abs. 2 Nr. 1.
44
Es stellt sich schließlich die Frage, ob auch Dritte gegen den Verstoß vorgehen können. Dies wäre dann der Fall, wenn Abs. 1 eine Marktverhaltensregelung darstellen würde und ein Verstoß dagegen auch wettbewerbswidrig wäre. Nach der hier vertretenen Ansicht kommt es dabei auf den jeweiligen Einzelfall und die konkret in Rede stehende Verletzung an, vgl. auch § 1 Rz. 15 ff.
45
2. Verstoß gegen die Informationspflicht (Abs. 3) Welche Konsequenzen ein Verstoß gegen die Aufklärungs- und Hinweispflichten nach sich zieht, ist im Einzelfall fraglich.
46
Richtiger Weise ist davon auszugehen, dass sich die Zulässigkeit der Er- 47 hebung, Verarbeitung und Nutzung personenbezogener Daten allein nach Abs. 1 beurteilt1. Dies bedeutet, dass der bloße Verstoß gegen die Informationspflicht nach Abs. 3 zunächst nicht sanktioniert wird. Die Verhängung eines Bußgeldes nach § 43 Abs. 2 Nr. 1 kommt daher nicht in Betracht, denn das Kriterium der „unbefugten“ Datenerhebung bezieht sich ausschließlich auf § 4 Abs. 12.
48
Etwas anderes gilt dann, wenn zu dem Verstoß nach Abs. 3 weitere unlautere Umstände hinzutreten oder das Unterlassen der Information gegen Treu und Glauben verstößt3. Dies soll insbesondere dann der Fall sein, wenn der Betroffene die Angaben unterlassen hätte, wenn er zuvor hinreichend aufgeklärt worden wäre.
49
1 So auch Gola/Schomerus, § 4 BDSG Rz. 46; Schaffland/Wiltfang, § 4 BDSG Rz. 17. 2 Ebenso Gola/Schomerus, § 4 BDSG Rz. 50, Bizer, DuD 2005, 451 (454); a.A. Däubler/Klebe/Wedde/Weichert/Weichert, § 4 BDSG Rz. 19; Simitis/Sokol, § 4 BDSG Rz. 59. 3 Vgl. Gola/Schomerus, § 4 BDSG Rz. 47 f. m.w.N.
Plath 93
BDSG § 4a
Allgemeine und gemeinsame Bestimmungen
50 In einem solchen Fall ist die Information nach § 33 nachzuholen; darüber hinaus kann der Betroffene u.U. die Löschung der Daten nach § 35 Abs. 2 Satz 2 Nr. 1 verlangen1. Einwilligung (1) 1Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. 2Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. 3Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. 4Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.
4a
(2) 1Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. 2In diesem Fall sind der Hinweis nach Absatz 1 Satz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich festzuhalten. (3) Soweit besondere Arten personenbezogener Daten (§ 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen. I. Einführung . . . . . . . . . . . . . . . . II. 1. 2. 3.
Einwilligung . . . . . . . . . . . . . . Rechtsnatur der Einwilligung Zeitpunkt der Einwilligung . . Form der Einwilligung (Abs. 1 Satz 3). . . . . . . . . . . . . . 4. Gültigkeitsdauer der Einwilligung . . . . . . . . . . . . . . 5. Freie und informierte Einwilligung (Abs. 1 Satz 1) . . . . . a) Freie Entscheidung . . . . . . . b) Informierte Entscheidung .
1 7 7 11 12 21 23 23 31
III. Vorformulierte Einwilligungserklärungen (Abs. 1 Satz 4) . . . . . . . . . . . . . . . . . . . . 36
1. Grundsatz . . . . . . . . . . . . . . . . . 2. Gestaltung der Einwilligungserklärung in AGB . . . . . . . . . . . a) AGB-Kontrolle der Einwilligungserklärung . . . . . . b) Hervorhebung . . . . . . . . . . . c) Notwendigkeit einer Überschrift der Einwilligungserklärung . . . . . . . . . . . . . . . d) Bestimmtheit . . . . . . . . . . . . e) Opt-out . . . . . . . . . . . . . . . . . IV. 1. 2. 3.
Verhältnis zum UWG . . . . . . . Opt-in . . . . . . . . . . . . . . . . . . . . Double-opt-in . . . . . . . . . . . . . . Form . . . . . . . . . . . . . . . . . . . . .
1 Simitis/Sokol, § 4 BDSG Rz. 59; ausführlich hierzu § 35 Rz. 13.
94 Plath
37 39 39 41
44 46 50 52 55 56 58
§ 4a BDSG
Einwilligung 4. Reichweite und Bestimmtheit . . . . . . . . . . . . . . . . . . . . . . 59
VII. Übertragbarkeit der Einwilligung . . . . . . . . . . . . . . . . . . 75
V. Verhältnis zum TMG . . . . . . . 69
VIII. Rechtsfolgen bei Verstoß . . . . 80
VI. Widerruf der Einwilligung . . . 70 Schrifttum: Drewes/Siegert, Die konkludente Einwilligung in Telefonmarketing und das Ende des Dogmas von der datenschutzrechtlichen Schriftform, RDV 2006, 139; Isele/Danckelmann/Kerst, Telefonwerbung: Was ist (noch) erlaubt?, GRUR-Prax. 2011, 463; Jankowski, Nichts ist unmöglich! – Möglichkeiten der formularmäßigen Einwilligung in die Telefonwerbung, GRUR 2010, 495; Kamlah/Hoke, Das SCHUFA-Verfahren im Lichte der jüngeren obergerichtlichen Rechtsprechung, RDV 2007, 242; Nord/Manzel, „Datenschutzerklärungen“ – misslungene Erlaubnisklauseln zur Datennutzung – „Happy Digits“ und die bedenklichen Folgen im E-Commerce, NJW 2010, 3756; von Nussbaum/Krienke, Telefonwerbung gegenüber Verbrauchern nach dem Payback-Urteil, MMR 2009, 372; Riesenhuber, Die Einwilligung des Arbeitnehmers im Datenschutzrecht, RdA 2011, 257; Roßnagel/Jandt, Rechtskonformes Direktmarketing – Gestaltungsanforderungen und neue Strategien für Unternehmen, MMR 2011, 86.
I. Einführung Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist 1 nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift diese erlaubt oder anordnet oder der Betroffene eingewilligt hat (vgl. § 4 Abs. 1). Die Vorschrift des § 4a regelt die Anforderungen an die Wirksamkeit der Einwilligung des Betroffenen1. Werden die Anforderungen des § 4a nicht erfüllt, ist die Einwilligung unwirksam und eine darauf gestützte Verwendung der personenbezogenen Daten unzulässig, soweit nicht eine gesetzliche Erlaubnis greift. Erforderlich für eine wirksame Einwilligung sind danach
2
– die freie Entscheidung des Betroffenen (Abs. 1 Satz 1), – der Hinweis auf den vorgesehenen Zweck der Verwendung (Abs. 1 Satz 2), – der weitere Hinweis auf die Folgen der Verweigerung der Einwilligung, soweit erforderlich oder von dem Betroffenen verlangt (Abs. 1 Satz 2), – die Abgabe der Erklärung in Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist (Abs. 1 Satz 3), 1 Vgl. zur Bedeutung der Einwilligung die ausführliche Stellungnahme der Artikel-29-Datenschutzgruppe v. 13.7.2011 („Opinion 15/2011 on the definition of consent“).
Plath 95
BDSG § 4a
Allgemeine und gemeinsame Bestimmungen
– die besondere Hervorhebung der Einwilligung, wenn sie zusammen mit anderen Erklärungen schriftlich erteilt wird (Abs. 1 Satz 4). 3 Aus den Absätzen 2 und 3 ergeben sich darüber hinaus spezifische Anforderungen für den Bereich der wissenschaftlichen Forschung sowie der Verwendung besonderer Arten personenbezogener Daten. 4 Bei der Einwilligung in die Werbeansprache ist zusätzlich § 28 Abs. 3a zu beachten. Danach muss die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich bestätigen, wenn die Einwilligung anders als in Schriftform erteilt wird1. Ferner ist die Einwilligung, wenn sie zusammen mit anderen Erklärungen schriftlich erteilt wird, in drucktechnisch deutlicher Gestaltung besonders hervorzuheben. 5 Weiterhin gilt bei der Einwilligung in die Werbeansprache das ausdrückliche Koppelungsverbot nach § 28 Abs. 3b2. 6 Die Übermittlung sog. Positivdaten durch Kreditinstitute an Auskunfteien regelt § 28a Abs. 2 abschließend. Die Übermittlung darüber hinausgehender Daten im Wege der Einwilligung nach § 4a bleibt daneben möglich3. II. Einwilligung 1. Rechtsnatur der Einwilligung 7 Die Rechtsnatur der datenschutzrechtlichen Einwilligung ist umstritten. Infrage steht, ob sie rechtsgeschäftlichen Charakter hat und damit eine Willenserklärung darstellt4 oder als tatsächliches Einverständnis in den Eingriff in das Persönlichkeitsrecht des Betroffenen zu werten ist5. Ihre praktische Relevanz entfaltet diese Diskussion insbesondere bei der Frage, unter welchen Voraussetzungen Minderjährige eine wirksame Einwilligung erteilen können und unter welchen Voraussetzungen eine Stellvertretung möglich ist. Sachgerecht erscheint es insoweit, die Regelungen über die Geschäftsfähigkeit (§§ 104 ff. BGB) nicht starr anzuwenden, sondern entsprechend heranzuziehen, soweit sie mit Sinn und Zweck des Datenschutzrechts im Einklang stehen. 1 2 3 4 5
Dazu § 28 Rz. 154 ff. Vgl. dazu ausführlich § 28 Rz. 170. So die Gesetzesbegründung BT-Drucks. 16/10529, S. 15. So beispielsweise Simitis/Simitis, § 4a BDSG Rz. 20. So beispielsweise Schaffland/Wiltfang, § 4a BDSG Rz. 21; Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 5.
96 Plath
Einwilligung
§ 4a BDSG
Nach der hier vertretenen Auffassung ist dabei nicht auf die Geschäfts- 8 fähigkeit des Betroffenen (also die Vollendung des siebenten Lebensjahres, vgl. § 104 Nr. 1 BGB) abzustellen, sondern auf dessen Einsichtsfähigkeit. Wer also als Minderjähriger eine datenschutzrechtliche Einwilligung abgibt, bedarf insofern nicht der Zustimmung seiner Eltern (anders kann sich das freilich für das damit ggf. verbundene Rechtsgeschäft verhalten), er muss allerdings die Bedeutung und Tragweite seiner Erklärung verstehen. Ob diese Einsichtsfähigkeit im Einzelfall gegeben ist, wird sich jeweils nur anhand der konkreten Umstände der jeweiligen Erklärung ermitteln lassen. Die Einwilligung muss nicht persönlich erteilt werden, sondern kann 9 auch durch einen Vertreter erklärt werden1. Voraussetzung ist in einem solchen Fall, dass sich die Vertretungsmacht auch auf die Abgabe der datenschutzrechtlichen Einwilligung bezieht2. Bei Ehegatten gilt der Grundsatz, dass der eine Ehepartner in sog. Ge- 10 schäften für den Lebensbedarf auch den anderen Ehepartner berechtigt und verpflichtet (vgl. § 1357 Abs. 1 BGB: „Geschäfte zur angemessenen Deckung des Lebensbedarfs“). Für Verträge in den Bereichen Lebensmittel, Reparaturaufträge, Einrichtungsgegenstände, Heizung, Strom oder Telefon ist anerkannt, dass sie unter diese Kategorie fallen3. Gilt dies für einen Vertragsschluss, so lässt sich daraus schließen, dass dieser Grundsatz auch im vorvertraglichen Bereich, erst recht z.B. für ein Werbeeinverständnis, gelten muss. Mit anderen Worten wirkt das Einverständnis des einen Ehegatten in den Erhalt von Werbung (für solche Zwecke des gemeinsamen Lebensbedarfs) dann gleichfalls für und wider den anderen Ehegatten. Bei der Teilnahme an einem Gewinnspiel bedeutet dies etwa, dass das wirksame Einverständnis des einen Ehegatten in die telefonische Werbung auch den Werbeanruf beim anderen Ehegatten umfasst, soweit die Werbung einem Produkt des angemessenen Lebensbedarfs gilt und die Eheleute einen gemeinsamen Telefonanschluss haben. So soll der Werbeanruf eines Stromanbieters bei einer Person, deren Ehegatte im Rahmen der Teilnahme an einem Gewinnspiel eine Werbeeinwilligung erteilt hat, datenschutz- und wettbewerbsrechtlich zu-
1 So auch Gola/Schomerus, § 4a BDSG Rz. 25; Schaffland/Wiltfang, § 4a BDSG Rz. 24; a.A. Simitis/Simitis, § 4a BDSG Rz. 30 ff., der davon ausgeht, dass der Betroffene höchstpersönlich mit der Verwendung seiner Daten einverstanden sein muss. 2 Vgl. Gola/Schomerus, § 4a BDSG Rz. 25. 3 Vgl. MüKo/Kanzleiter, § 1357 BGB Rz. 29.
Plath 97
BDSG § 4a
Allgemeine und gemeinsame Bestimmungen
lässig sein1. Ausführlich zum Verhältnis der datenschutzrechtlichen zur wettbewerbsrechtlichen Einwilligung siehe unter Rz. 52 ff. 2. Zeitpunkt der Einwilligung 11 Der Begriff der „Einwilligung“ orientiert sich an der Terminologie des § 183 BGB, d.h. Einwilligung meint damit die vorherige Zustimmung des Betroffenen2. Die Einwilligung muss also eingeholt werden, bevor die Daten verwendet werden. Die Genehmigung des Betroffenen (also dessen nachträgliche Zustimmung, vgl. § 184 BGB) ist damit nicht ausreichend, sie kann allerdings die zukünftige Verwendung der Daten legitimieren (zu den Rechtsfolgen der verspäteten Einwilligung vgl. unter Rz. 81; zur Gültigkeitsdauer einer Einwilligung vgl. unter Rz. 21). 3. Form der Einwilligung (Abs. 1 Satz 3) 12 Grundsätzlich bedarf die Einwilligung der Schriftform. Eine Ausnahme besteht lediglich dann, wenn eine andere Form den Umständen nach angemessen ist. 13 Es gilt demnach der Grundsatz, dass die Voraussetzungen des § 126 BGB gegeben sein müssen. Die Einwilligung müsste demzufolge mit einer eigenhändigen Unterschrift bzw. einer elektronischen Signatur versehen werden. 14 Die Textform nach § 126a BGB genügt diesen Voraussetzungen nicht, sodass weder E-Mail noch Fax ausreichen3. Die Schriftform erfüllt grundsätzlich eine Warnfunktion gegenüber dem Betroffenen. Dennoch erscheint das Erfordernis der Schriftform im Kontext der datenschutzrechtlichen Einwilligung – die in vielen Fällen online eingeholt wird – als unangemessen und nicht praxisgerecht. Nicht zuletzt aus diesem Grund wird die Ausnahme des § 4a Abs. 1 Satz 3, d.h. also die Einwilligung in anderer Form „wegen besonderer Umstände“ in der Praxis zur Regel, sodass deren Anwendungsbereich nicht zu eng ausgelegt werden darf. 15 Eine andere Form als die Schriftform ist nach der hier vertretenen Ansicht immer dann angemessen, wenn die Schriftform unter den konkreten Umständen schlicht nicht praktikabel wäre, insbesondere weil sie einen Wechsel des Kommunikationsmediums erfordern würde. Dies gilt 1 OLG Bamberg v. 9.6.2010 – 3 U 44/10, n.v. 2 Ebenso Riesenhuber, RdA 2011, 257 (258). 3 Vgl. allgemein dazu BGH v. 28.1.1993 – IX ZR 259/91, CR 1994, 29; VG Wiesbaden v. 6.10.2010 – 6 K 280/10.WI, 6 K 280/10.
98 Plath
Einwilligung
§ 4a BDSG
regelmäßig für das Einholen der Einwilligung im Internet oder am Telefon. Der Betroffene erwartet hier gerade keine andere, also strengere Form der Einwilligung, sodass sich die Warnfunktion der Schriftform erübrigt1. Für die Einwilligung in Werbung2 und Adresshandel geht bereits der Wortlaut des § 28 Abs. 3a davon aus, dass diese in der Regel gerade nicht per Schriftform erteilt wird (also eine andere Form angemessen ist), fordert allerdings eine schriftliche Bestätigung der in anderer Form erteilten Einwilligung. Offenbar wollen die Aufsichtsbehörden mit Blick auf die Anforderungen an eine solche Bestätigung nicht auf der Schriftform beharren, sondern es soll auch die Textform – also auch eine E-Mail – ausreichen3. Die Einwilligung kann also (wenn es nach den Umständen angemessen ist) sowohl mündlich als auch durch schlüssiges Verhalten erklärt werden4.
16
Wer am Telefon etwas bestellt, kann auch mündlich seine Einwilligung 17 in die Verwendung seiner Daten erteilen. Wer an einer umfassenden schriftlichen Haushaltsumfrage teilnimmt, erteilt seine konkludente Einwilligung dahin gehend, dass seine personenbezogenen Angaben anschließend auch entsprechend verwendet werden dürfen5. Die Frage, ob die Einwilligung eines Patienten in die Abtretung einer ärztlichen Forderung der Schriftform bedarf, ist nach wie vor nicht geklärt. Der BGH hat dies bislang ausdrücklich offen gelassen6. Jedenfalls reicht es nach Ansicht des BGH für eine konkludente Einwilligung des Patienten nicht aus, dass dieser bereits frühere Rechnungen des Arztes durch eine Verrechnungsstelle beglichen hat7. Das OLG Düsseldorf hat das Vorliegen einer Einwilligung des Patienten aufgrund eines Aushangs im Wartezimmer abgelehnt, da man gerade nicht davon ausgehen könne, dass ein Patient dem Aushang seine Aufmerksamkeit schenkt8. Das 1 So auch Schaffland/Wiltfang, § 4a BDSG Rz. 5. 2 Vgl. hierzu auch die Stellungnahme der Artikel-29-Datenschutzgruppe zur „EASA/IAB Best Practice Recommendation on Online Behavioural Advertising“ v. 8.12.2011. 3 Vgl. MMR-Aktuell 2010, 303967, zu dieser Problematik näher § 28 Rz. 161. 4 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 16, Schaffland/Wiltfang, § 4a BDSG Rz. 4; a.A. Simitis/Simitis, § 4a BDSG Rz. 43. 5 So richtig die Entscheidung des OLG Frankfurt/M. v. 13.12.2000 – 13.U 204/98, CR 2001, 294. 6 BGH v. 10.7.1991 – VIII ZR 296/90, CR 1992, 24. 7 BGH v. 20.5.1992 – VIII ZR 240/91, NJW 1992, 2348. 8 OLG Düsseldorf v. 4.3.1994 – 22 U 257/93, NJW 1994, 2421.
Plath 99
18
BDSG § 4a
Allgemeine und gemeinsame Bestimmungen
OLG Bremen hat sich darüber hinaus in diesen Fällen für das Erfordernis der Schriftform der Einwilligung ausgesprochen1. Nach der hier vertretenen Meinung muss es auch in dieser Konstellation auf die konkreten Umstände des Einzelfalls ankommen. Ein Patient muss in der heutigen Zeit damit rechnen, dass Ärzte Honorarforderungen an einen externen Dienstleister abtreten und von diesem einziehen lassen. Wird der Patient darauf in angemessener Weise hingewiesen und äußert er daraufhin keinerlei Bedenken, ist sein Einverständnis zu bejahen. 19 Eine lediglich mutmaßliche Einwilligung, bei der die verantwortliche Stelle einseitig davon ausgeht, der Betroffene sei mit der Verwendung seiner Daten einverstanden, ohne dass man aus dessen Verhalten einen entsprechenden Rückschluss darauf ziehen könnte, kann den Voraussetzungen des § 4a Abs. 1 nicht genügen. In diesem Fall fehlt es jedenfalls an einer erkennbar bewussten Entscheidung des Betroffenen. 20 Für den Bereich der wissenschaftlichen Forschung bestimmt § 4a Abs. 2, dass auf die Schriftform verzichtet werden kann, sollten andernfalls Forschungszwecke gefährdet sein. In diesem Fall greifen besondere Informationspflichten. 4. Gültigkeitsdauer der Einwilligung 21 Immer wieder stellt sich in der Praxis die Frage, wie lange eine einmal erteilte Einwilligung gültig bleibt. Grundsätzlich gilt, dass die Erteilung einer Einwilligung unbefristet ist2. Eine Ausnahme von diesem Grundsatz soll jedoch gelten, wenn der Verbraucher selbst eine zeitliche Beschränkung seiner Einwilligung vorgenommen hat3. Fraglich ist allerdings, ob abweichend von diesem Grundsatz eine Einwilligung im Einzelfall auch durch Zeitablauf, ähnlich der Verwirkung, ihre Gültigkeit verlieren kann. Für Verwirrung sorgt diesbezüglich ein Urteil, wonach die Zustimmung zur Zusendung eines Werbefaxes infolge eines konkreten Telefonats maximal vier Wochen gültig sei4. Hieraus lässt sich keinesfalls der Rückschluss ziehen, dass es sich bei dieser „Vierwochenfrist“ um einen allgemeingültigen Anhaltspunkt handelt. Vielmehr lag diesem Urteil eine besondere Konstellation zugrunde, bei der der Be1 OLG Bremen v. 18.11.1991 – 6 U 47/91, NJW 1992, 757. 2 Ebenso zur Einwilligung nach UWG OLG Hamburg v. 4.3.2009 – 5 U 260/08, WRP 2009, 1282 (1284). 3 Vgl. ebenso zur Einwilligung nach UWG Köhler/Bornkamm, § 7 UWG Rz. 148. 4 So LG Stuttgart v. 13.8.2006 – 38 O 17/06, WRP 2006, 2548.
100 Plath
Einwilligung
§ 4a BDSG
troffene seine Einwilligung in eine bestimmte Werbemaßnahme, bezogen auf ein konkretes Produkt, erteilt hatte. Eine generelle Übertragung dieses Grundsatzes auf Werbeeinwilligungen ist demnach nach der hier vertretenen Ansicht nicht sachgemäß. Es ist also im Einzelfall auszulegen, von welchem Gültigkeitszeitraum der Betroffene ausgehen konnte. Je genereller und unkonkreter die Einwilligung ist, desto länger wird auch ihre Gültigkeitsdauer sein (vorausgesetzt natürlich, dass die Einwilligung überhaupt wirksam ist). Ein wichtiges Indiz kann dabei die Frequenz der Werbemaßnahmen darstellen: Je öfter die Daten zu Werbezwecken verwendet werden, desto eher muss der Betroffene mit Werbung rechnen, und desto länger ist die Einwilligung wirksam. Es bietet sich damit in der Praxis an, in regelmäßigen Abständen die Daten zu Werbezwecken zu nutzen, um sie weiterhin „am Leben zu halten.“ Dabei ist grundsätzlich davon auszugehen, dass eine Einwilligung im Rahmen von Dauerschuldverhältnissen mindestens so lange wirksam bleibt, wie das Dauerschuldverhältnis andauert. Unklar ist, ob und wie lange eine Einwilligung (z.B. zu Beweiszwecken) 22 aufbewahrt werden muss bzw. darf. Grundsätzlich besteht zwischen einer nicht-öffentlichen verantwortlichen Stelle und einem Betroffenen, der eine Einwilligung erteilt hat, ein vertragsähnliches Schuldverhältnis gemäß § 28 Abs. 1 Satz 1 Nr. 2, das die Aufbewahrung einer Einwilligung zunächst für die Dauer der Erteilung rechtfertigt. Darüber hinaus soll auch nach Widerruf der Einwilligung die verantwortliche Stelle ein berechtigtes Interesse i.S.d. § 28 Abs. 1 Satz 1 Nr. 3 an der Aufbewahrung der Einwilligung zu Beweiszwecken haben1. Die verantwortliche Stelle darf zu eigenen Zwecken gespeicherte Daten gemäß § 35 Abs. 1 Nr. 3 BDSG grundsätzlich so lange speichern, bis ihre Speicherung zur Erreichung des Zwecks (z.B. Beweisführung) nicht mehr erforderlich ist. Wann dies der Fall ist, hängt u.a. von den jeweiligen Verjährungsfristen der Ansprüche ab, für deren Abwehr oder Durchsetzung eine Beweiserbringung mithilfe der gespeicherten Daten unter Umständen erforderlich werden könnte2. 5. Freie und informierte Einwilligung (Abs. 1 Satz 1) a) Freie Entscheidung Nach § 4a Abs. 1 Satz 1 ist die Einwilligung nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Das Einverständnis 1 So z.B. LG Hamburg v. 23.12.2008 – 312 O 362/08, VuR 2009, 279. 2 Ebenso LG Hamburg v. 23.12.2008 – 312 O 362/08, VuR 2009, 279.
Plath 101
23
BDSG § 4a
Allgemeine und gemeinsame Bestimmungen
muss mit anderen Worten ohne Zwang erfolgen und darf nicht erschlichen sein. 24 Die Freiwilligkeit kann fehlen im Fall einer wirtschaftlichen Machtposition. Unfrei kann eine Einwilligung insbesondere dann sein, wenn sich der Betroffene angesichts des wirtschaftlichen Machtgefälles zwischen ihm und seinem Vertragspartner zur Abgabe der Einwilligung genötigt sieht. Das BVerfG hat etwa die versicherungsvertragliche – alternativlose – Obliegenheit des Versicherungsnehmers, Ärzte und Krankenhäuser von ihrer Schweigepflicht zu entbinden, damit der Versicherungsgeber sachdienliche personenbezogene Daten einholen könne, für verfassungswidrig erklärt. Die Vertragsbedingungen von Versicherungsunternehmen seien praktisch nicht verhandelbar und ein Wettbewerb gerade der datenschutzrechtlichen Konditionen finde ersichtlich nicht statt. Der Versicherungsgeber könne damit die Konditionen des Vertrags faktisch einseitig bestimmen. Für den Versicherungsnehmer sei die Alternative, den Vertrag nicht abzuschließen, unzumutbar, da der Vertrag von erheblicher Bedeutung für ihn sei1. 25 Aus dieser Entscheidung lässt sich gleichwohl kein allgemeiner Grundsatz ableiten, wonach die Freiwilligkeit im Falle eines wirtschaftlichen Ungleichgewichts zwischen Vertragspartnern (das an sich der Regelfall in der freien Wirtschaft ist) stets zu verneinen wäre. Vielmehr bedarf es stets der Abwägung im Einzelfall. So dürfte einem Ungleichgewicht entgegenstehen, wenn dem Betroffenen zumutbare Alternativen zu seinem Vertragspartner zur Verfügung stehen, weil gleiche oder ähnliche Leistungen auch von Dritten angeboten werden. 26 Eine freiwillige Einwilligung soll auch dann nicht vorliegen, wenn ein Patient diese unmittelbar nach einer zweistündigen Zahnbehandlung abgibt, sich also in einer Extremsituation physischer oder psychischer Belastung befindet2. 27 Die Freiwilligkeit der Einwilligung kann schließlich auch dann infrage stehen, wenn die Beziehung unter den Parteien eine freie Entscheidung ausschließt. Dies kann insbesondere in einem Abhängigkeitsverhältnis wie zwischen Arbeitgeber und Arbeitnehmer der Fall sein. So kann der 1 BVerfG v. 23.10.2006 – 1 BvR 2027/02, MedR 2007, 351; vgl. auch die Mustererklärung „Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung“ des Düsseldorfer Kreises, Beschluss v. 17.1.2012. 2 So entschieden vom OLG Celle v. 11.9.2008 – 11 U 88/08, NJW-RR 2009, 1508.
102 Plath
Einwilligung
§ 4a BDSG
Arbeitgeber den zulässigen und eng gesteckten Rahmen seines Fragerechts etwa nicht dadurch wirksam erweitern, dass er sich eine umfassende Einwilligung des Betroffenen einholt1. Gleichzeitig impliziert das Arbeitsverhältnis nicht per se, dass jede Einwilligung des Arbeitnehmers pauschal unfreiwillig wäre. Vielmehr bedarf es hier einer Einzelfallprüfung2. Im Bereich des Verbraucherschutzrechts urteilte der BGH in der sog. 28 Payback-Entscheidung, dass es an einer freien Entscheidung fehlen kann, wenn die „Einwilligung in einer Situation wirtschaftlicher oder sozialer Schwäche oder Unterordnung erteilt […] oder wenn der Betroffene durch übermäßige Anreize finanzieller oder sonstiger Natur zur Preisgabe seiner Daten verleitet wird“3. Gleichzeitig hielt der BGH in dieser Grundsatzentscheidung ausdrücklich fest, dass eine solche Situation bei der Option, ein Werbeeinverständnis abzugeben oder dies zu unterlassen, gerade nicht gegeben sei. Auch die Variante des Opt-out wahrt dabei laut BGH den Grundsatz der Freiwilligkeit der Entscheidung4. An einer freien Entscheidung des Verbrauchers soll es hingegen auch fehlen, wenn beim Verbraucher der Eindruck erweckt wird, dass die Abgabe der Einwilligung Voraussetzung für eine vertragsgemäße Beratung im Rahmen des bestehenden Vertragsverhältnisses ist5.
29
Im Feld von Werbung und Adresshandel stellt das sog. Kopplungsverbot 30 nach § 28 Abs. 3a die Grenzen der Freiwilligkeit auf6. Gleiches gilt im Anwendungsbereich des TMG nach § 12 Abs. 3 TMG. Teilweise wird vertreten, dass sich aus den ausdrücklich normierten Koppelungsverboten der allgemeine Gedanke ziehen lasse, dass ein Vertragsschluss keinesfalls von der Einwilligung in die Verwendung personenbezogener Daten für Zwecke abhängig gemacht werden dürfe, die mit dem Inhalt des Vertrages nicht im Zusammenhang stehen. Dieser Gedanke vermag jedoch nicht zu überzeugen7. Denn das ausdrücklich normierte Koppelungsverbot in den genannten Fällen spricht gerade für einen Umkehrschluss in allen anderen Fällen. Mit anderen Worten ist nach der hier 1 2 3 4
Vgl. dazu Gola/Schomerus, § 4a BDSG Rz. 22. Zum Arbeitsrecht vgl. näher § 32 Rz. 12, 24, 87. BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 – Payback. BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 – Payback, näher zum Optout unter Rz. 50. 5 OLG Köln v. 17.6.2011 – 6 U 8/11, CR 2012, 130. 6 Näher zum Koppelungsverbot unter § 28 Rz. 170 ff. 7 So aber Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 24; Simitis/Simitis, § 4a BDSG Rz. 63.
Plath 103
BDSG § 4a
Allgemeine und gemeinsame Bestimmungen
vertretenen Auffassung außerhalb des Anwendungsbereichs der ausdrücklich normierten Kopplungsverbote in jedem Einzelfall im Wege einer Abwägung zu prüfen, ob die Koppelung einer Datenerhebung mit dem Vertragsschluss tatsächlich die freie Entscheidung des Betroffenen ausschließt oder nicht. Ein generelles Koppelungsverbot über den Umfang der konkret normierten Verbote hinaus existiert also nicht. b) Informierte Entscheidung 31 Um sich frei für oder gegen die datenschutzrechtliche Einwilligung entscheiden zu können, muss der Betroffene Sinn und Reichweite der Erklärung verstehen und richtig einschätzen können. Demnach sieht § 4a Abs. 1 Satz 2 vor, dass der Betroffene auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung hinzuweisen ist. Der Betroffene darf seine Einwilligung folglich nicht als pauschale Erklärung erteilen, sondern muss diese „für den konkreten Fall und in Kenntnis der Sachlage“1 abgeben. 32 Neben dem konkreten Zweck der Datenverwendung muss die Aufforderung zur Einwilligungsabgabe jedenfalls die Identität der verantwortlichen Stelle und die Kategorien von Empfängern enthalten, also die Mindestvoraussetzungen des § 4 Abs. 3 Satz 1 Nr. 1–3 erfüllen2. Insbesondere bei vorformulierten Einwilligungserklärungen wird die Bestimmtheit der Einwilligung relevant (vgl. dazu sogleich unter Rz. 46). 33 Weiterhin setzt eine informierte Entscheidung auch voraus, dass der Betroffene darüber in Kenntnis gesetzt wird, welche Daten verwendet werden sollen. Dabei ist die Bezeichnung der Art der verwendeten Daten ausreichend, selbst dann, wenn die Aufzählung offensichtlich nicht abschließend ist (z.B. aufgrund des Zusatzes „oder vergleichbare Daten“)3. 34 Über die Folgen der Verweigerung ist der Betroffene nur dann aufzuklären, wenn es die Umstände erfordern oder der Betroffene es verlangt. Der Wortlaut des Gesetzes geht – anders als dies mitunter vertreten wird4 – nicht davon aus, dass die Aufklärung des Betroffenen die Regel ist. Vielmehr müssen die Umstände eine Aufklärung ausdrücklich erfordern, sodass die Pflicht zur Aufklärung des Betroffenen die Ausnahme ist5. Nach 1 2 3 4 5
Vgl. Art. 2h der RL 95/46/EG. So auch VG Wiesbaden v. 6.10.2010 – 6 K 280/10.WI, 6 K 280/10. OLG Köln v. 17.6.2011 – 6 U 8/11, CR 2012, 130. Vgl. etwa Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 9. So auch Simitis/Simitis, § 4a BDSG Rz. 73.
104 Plath
Einwilligung
§ 4a BDSG
einer weiteren Ansicht soll ein Hinweis darüber hinaus immer dann erforderlich sein, wenn sich die Folgen einer Weigerung nicht schon „klar aus den Umständen ergeben“1. Nach der hier vertretenen Ansicht geht diese Formulierung jedoch zu weit. Vielmehr sollte ausreichend sein, dass sich die Folgen der Verweigerung generell aus den Umständen des Vertrags ergeben. Sie müssen dem Betroffenen nicht ins Auge springen. Soweit besondere Arten personenbezogener Daten2 erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen3.
35
III. Vorformulierte Einwilligungserklärungen (Abs. 1 Satz 4) In der Praxis bilden standardisierte Einwilligungserklärungen den Regelfall. Die Integration von Einwilligungen in die Werbeansprache oder auch in den Abruf von Bonitätsdaten im Wege vorformulierter Erklärungen bestimmt das Wirtschaftsleben. Entsprechend oft waren vorformulierte Einwilligungserklärungen Gegenstand der Rechtsprechung, sodass im Laufe der Zeit eine detaillierte Kasuistik entstanden ist.
36
1. Grundsatz Eine datenschutzrechtliche Einwilligung kann grundsätzlich auch im 37 Rahmen von vorformulierten Vertragsbedingungen wirksam eingeholt werden. Schon der Wortlaut des § 4 Abs. 1 Satz 4 zeigt, dass die Einwilligung „zusammen mit anderen Erklärungen“ erteilt werden kann, und weist damit bereits auf die AGB-Situation hin. Ähnlich ist auch die Formulierung in § 28 Abs. 3a zu verstehen. Die grundsätzliche Zulässigkeit vorformulierter Einwilligungen hat der BGH zuletzt in den Entscheidungen Payback und Happy Digits bestätigt4. Zudem können nach der hier vertretenen Ansicht die Abgabe der Einwilligung und die Zustimmung zu den AGB durch eine einzige Erklärung erfolgen5. Es ist also nicht erforderlich, dass der Betroffene zwei gesonderte „Häkchen“ setzt.
1 2 3 4
AG Elmshorn v. 25.4.2005 – 49 C 54/05, CR 2005, 641. Vgl. § 3 Abs. 9. § 4a Abs. 3. BGH v. 16.7.2008 – VIII ZR 384/06, CR 2008, 720 – Payback, bestätigt in BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 – Happy Digits. 5 So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 175.
Plath 105
38
BDSG § 4a
Allgemeine und gemeinsame Bestimmungen
2. Gestaltung der Einwilligungserklärung in AGB a) AGB-Kontrolle der Einwilligungserklärung 39 Es stellt sich die grundsätzliche Frage, ob eine datenschutzrechtliche Einwilligungserklärung, die im Rahmen von AGB eingeholt wurde, selbst einer AGB-Kontrolle nach §§ 305 ff. BGB unterliegt. Dabei ist es aufgrund des Schutzzwecks der §§ 305 ff. BGB zunächst unerheblich, ob die vorformulierten Geschäftsbedingungen im Zusammenhang mit einem ein- oder zweiseitigen Vertragsverhältnis stehen1. Maßgeblich soll nach einer neueren Entscheidung des KG vielmehr sein, ob die Einwilligungserklärung tatsächlich mit dem Rechtsgeschäft verbunden ist2. Im konkreten Fall ging es um die Abgabe einer datenschutzrechtlichen Einwilligung im Zusammenhang mit einem Gewinnspiel. Die Abgabe der Einwilligungserklärung wirkte sich dabei nicht auf die Möglichkeit zur Teilnahme am Gewinnspiel aus. Das KG urteilte deshalb, dass in diesem Fall die Entstehung des Vertragsverhältnisses unabhängig von einer Einwilligung in die Datenverwendung sei, die Einwilligung mithin keine rechtsgeschäftliche Erklärung darstelle. Dementsprechend sei die Einwilligung nicht als AGB zu qualifizieren und unterfalle daher auch nicht der AGB-Kontrolle. 40 Ist in der Einwilligung dagegen eine rechtsgeschäftliche Erklärung zu sehen, so muss diese einer AGB-Kontrolle unterzogen werden3. Relevant wird dabei in der Regel § 307 Abs. 1 BGB, also die Frage, ob die Klausel den Einzelnen unangemessen benachteiligt, insbesondere wegen mangelnder Transparenz4. b) Hervorhebung 41 § 4a Abs. 1 Satz 4 verlangt die besondere Hervorhebung der Einwilligung, wenn diese im Rahmen vorformulierter Texte eingeholt werden soll. Nach Ansicht des BGH soll damit verhindert werden, dass „die Einwilligung bei Formularverträgen im sog. Kleingedruckten versteckt wird und der Betroffene sie durch seine Unterschrift erteilt, ohne sich ihrer und ihres Bezugsgegenstands bewusst zu sein, weil er sie übersieht.“ 1 BGH v. 5.5.1986 – II ZR 150/85, NJW 1986, 2428; BGH v. 27.1.2000 – I ZR 241/97, CR 2000, 596 = NJW 2000, 2677 – Telefonwerbung VI. 2 KG v. 26.8.2010 – 23 U 34/10, NJW 2011, 466. 3 Vgl. nur BGH v. 27.1.2000 – I ZR 241/97, CR 2000, 596 = NJW 2000, 2677 – Telefonwerbung VI. 4 § 307 Abs. 1 Satz 2 BGB.
106 Plath
Einwilligung
§ 4a BDSG
Für die Einwilligung in Werbung und Adresshandel wird dieses Erforder- 42 nis durch § 28 Abs. 3a Satz 2 konkretisiert („drucktechnisch deutliche Gestaltung“). Mit dieser Vorschrift, die im Rahmen der Novelle II 2009 eingeführt wurde, wollte der Gesetzgeber die Richtlinien, die der BGH in seiner Payback-Entscheidung dargestellt hat, umsetzen1. Im Regelfall wird eine wirkungsvolle Hervorhebung durch drucktech- 43 nische Mittel erfolgen. Denkbar sind z.B. Umrahmungen, Fettdruck2, größere Schriftzeichen oder Unterstreichungen3. Darüber hinaus kann die Hervorhebung, anders als im Rahmen des § 28 Abs. 3a Satz 2, auch durch andere als drucktechnische Mittel erfolgen. Denkbar ist insbesondere eine betonende Überschrift. Durch die Hervorhebung soll im Ergebnis deutlich werden, dass die Erklärung gesondert und nicht zusammen mit anderen Erklärungen abgegeben wird4. c) Notwendigkeit einer Überschrift der Einwilligungserklärung Der Betroffene muss erkennen können, dass er in die Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einwilligt.
44
Dazu bedarf es nicht notwendig einer besonderen Überschrift der Erklä- 45 rung. Die aktuellen Urteile des BGH legen nahe, dass es ausreichend ist, wenn die Einwilligungserklärung besonders hervorgehoben ist – dies kann, muss aber nicht durch die Überschrift der Erklärung erfolgen. Ist die Einwilligungserklärung also bereits in anderer Weise besonders gekennzeichnet (z.B. durch einen Rahmen oder Fettdruck), bedarf es zusätzlich keiner Überschrift. Wenn allerdings eine Überschrift gewählt wird, so sollte darauf geachtet werden, dass diese in ihrer Wortwahl nicht missverständlich ist, also das Risiko besteht, dass der Betroffene der Erklärung trotz ihrer besonderen Hervorhebung keine Beachtung schenkt5. Transparenter als die Überschrift „Datenschutz“ sind nach dem Vorschlag der Bayrischen Datenschutzbehörde etwa folgende Über1 Vgl. BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 – Happy Digits. 2 Vgl. hierzu OLG Hamm v. 17.2.2011 – I-4 U 174/10, 4 U 174/10, CR 2011, 539. 3 So der BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 – Payback; vgl. auch LG Berlin v. 18.11.2009 – 4 O 90/09, AfP 2010, 190; zu den entsprechenden Anforderungen vgl. § 28 Rz. 166 ff. 4 LG Magdeburg v. 18.8.2010 – 7 O 456/10, RDV 2011, 150. 5 Vgl. AG Elmshorn v. 25.4.2005 – 49 C 54/05, MMR 2005, 870; Gola/Schomerus, § 4a BDSG Rz. 11; Schaffland/Wiltfang, § 4a BDSG Rz. 12: Die Überschrift „Datenschutz“ reicht demnach nicht, da der Betroffene sie auch als bloße Benachrichtigung bzw. Information verstehen kann.
Plath 107
BDSG § 4a
Allgemeine und gemeinsame Bestimmungen
schriften „Datenschutzrechtliche Einwilligungserklärung“, „Einwilligungserklärung Datenschutz“, „Einwilligungserklärung in die Datenverarbeitung“, „Datenschutz/Einwilligung“1. d) Bestimmtheit 46 Wesentlich ist bei der Einwilligung in Form von AGB – sofern eine AGB-Kontrolle erfolgen muss, siehe oben Rz. 39 – der Grundsatz der Bestimmtheit. Der BGH zitiert im Payback-Urteil den Art. 2h) der EG-Datenschutzrichtlinie, wonach die Einwilligung „ohne jeden Zweifel, für den konkreten Fall und in Kenntnis der Sachlage erteilt werden muss“2. 47 In diesem Zusammenhang ist es von Bedeutung, dass der BGH die Payback-Klausel – datenschutzrechtlich – ausdrücklich für wirksam erklärt hat. Nimmt man die Payback-Klausel demnach als vom BGH positiv bestätigtes Muster, dann gilt Folgendes: Es bedarf – der konkreten Bezeichnung der benutzten Daten („die von mir oben angegebenen Daten“)3, – der konkreten Bezeichnung der Kommunikationswege („per Post“), – der allgemeinen Bezeichnung der Werbemaßnahmen („Werbung, z.B. Informationen über Sonderangebote, Rabattaktionen“) sowie – der konkreten Bezeichnung der Werbepartner („folgende Partnerunternehmen“). 48 Nicht erforderlich ist damit, dass die Einwilligungsklausel die konkret erfassten personenbezogenen Daten des Betroffenen, die ggf. zuvor in ein Bestellformular eingegeben worden sind, nochmals wiederholt. Ausreichend ist, dass auf diese in der Einwilligungserklärung verwiesen wird. Ob datenschutzrechtlich die konkrete Bezeichnung der Partnerunternehmen – also insbesondere die Nennung bestimmter Gesellschaften mit voller Firmierung – erforderlich ist, ist fraglich. Dagegen spricht vor allem der Wortlaut des § 4 Abs. 3 Satz 1 Nr. 3, wonach die Angabe der „Kategorien der Empfänger“ genügt, also die Angabe, dass bestimmte Gruppen von Empfängern die entsprechenden Daten verwenden. Problematisch ist jedoch, dass diese Angabe auf jeden Fall den Anforderungen des UWG nicht entsprechen. Nach der aktuellen Rechtsprechung
1 Vgl. RDV 2007, 84 (85); kritisch zu diesen Begriffen Nord/Manzel, NJW 2010, 3756 (3758). 2 BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 – Payback. 3 Ausführlich hierzu LG Köln v. 15.12.2010 – 26 O 119/10, WM 2011, 814.
108 Plath
Einwilligung
§ 4a BDSG
ist die Angabe von Empfängerkategorien jedenfalls im Bereich der Telefonwerbung nicht ausreichend1. Zu beachten ist, dass eine wirksame Einbeziehung vorformulierter Ver- 49 tragsbestimmungen in zeitlicher Hinsicht voraussetzt, dass dem Betroffenen alle für eine Entscheidung in Kenntnis der Sachlage erforderlichen Informationen bereits zum Zeitpunkt der Einwilligung vorliegen2. e) Opt-out Laut BGH bedarf es für eine wirksame – datenschutzrechtliche – Einwil- 50 ligung gerade keines Opt-ins (aktives Setzen eines „Häkchens“). Datenschutzrechtlich ist vielmehr das Opt-out, d.h. das Streichen der vorformulierten Einwilligung bzw. das Ankreuzen eines entsprechenden Kästchens zum Opt-out, ausreichend. Der BGH tritt damit ausdrücklich dem Einwand der Literatur entgegen, die Option der Streichung stelle eine ins Gewicht fallende Hemmschwelle dar, die den Verbraucher davon abhalten könne, von seiner Entscheidungsmöglichkeit Gebrauch zu machen3. Nach Ansicht des BGH sei dem Betroffenen vielmehr „ein Mindestmaß an Aufmerksamkeit“ zuzumuten4. Allerdings muss immer auch die wettbewerbsrechtliche Perspektive des 51 konkreten Falles beachtet werden. Ein wirksames datenschutzrechtliches Opt-out führt in der Praxis u.U. nicht zur gewünschten Unangreifbarkeit der Maßnahme, wenn es wettbewerbsrechtlich eines Optins bedarf, um die geplante Maßnahme durchführen zu dürfen. IV. Verhältnis zum UWG Werbeeinwilligungen müssen sich regelmäßig sowohl am BDSG als 52 auch am UWG messen lassen. Während das BDSG den Betroffenen vor der ungewollten Verwendung seiner personenbezogenen Daten schützt, bewahrt § 7 UWG den Einzelnen vor unzumutbarer Belästigung durch Werbung. Wettbewerbsrechtlich ist lediglich die Werbung per Post ohne Einwilligung in der Regel unproblematisch, es sei denn, die Ansprache ist hart1 Vgl. dazu näher unter Rz. 63 ff. 2 Vgl. BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 – Happy Digits; Nord/ Manzel, NJW 2010, 3756 (3757). 3 So v. Nussbaum/Krienke, MMR 2009, 372 (374). 4 BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 – HappyDigits; so bereits auch BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 – Payback.
Plath 109
53
BDSG § 4a
Allgemeine und gemeinsame Bestimmungen
näckig und erkennbar unerwünscht1. Ist Letzteres nicht der Fall, richtet sich die Zulässigkeit der Verwendung personenbezogener Daten für die Werbeansprache per Brief allein nach dem BDSG2. 54 In allen anderen Fällen (also insbesondere bei der Werbeansprache per Telefon, E-Mail, SMS oder Fax) sind grundsätzlich beide Gesetze nebeneinander in ihrem jeweiligen Anwendungsbereich zu beachten. Der Fokus der Rechtsprechung liegt regelmäßig auf dem UWG, denn angegriffen wird oftmals die konkrete Werbemaßnahme (also z.B. der Telefonanruf). Darüber hinaus sind die Maßstäbe des UWG generell strenger, sodass die Gerichte in vielen Fällen die wettbewerbsrechtliche Rechtswidrigkeit einer Maßnahme bejahen und es keiner weiteren Prüfung der datenschutzrechtlichen Normen bedarf bzw. der mögliche Datenschutzverstoß nicht im Klagewege gerügt wird. Dies bedeutet nicht, dass die Einhaltung der Anforderungen des Datenschutzrechts obsolet ist, da auch im Falle eines Verstoßes gegen das BDSG empfindliche Rechtsfolgen drohen. Generell werden jedoch die Maßstäbe des Wettbewerbsrechts strenger sein, so dass mit ihrer Einhaltung zugleich auch den Ansprüchen des BDSG entsprochen werden dürfte. 1. Opt-in 55 Der Maßstab des § 7 UWG ist im Hinblick auf das Erfordernis der gesonderten Einwilligung strenger als der des BDSG. Für die Werbung per SMS und E-Mail hat der BGH – wettbewerbsrechtlich – eine positive Einwilligungserklärung, also ein Opt-in gefordert3. Dieses Erfordernis muss gleichsam nicht nur für die Werbung per Fax, sondern angesichts der parallelen Formulierung der §§ 7 Abs. 2 Nr. 2 und § 7 Abs. 2 Nr. 3 UWG und des dahinter stehenden Schutzzwecks dieser Normen (Schutz des Verbrauchers vor unzumutbarer Belästigung) auch für die Werbung per Telefon gelten4. Damit ist im Umkehrschluss die Opt-out-Lösung nur für solche Einwilligungserklärungen ausreichend, die sich auf die Verwendung von Daten für die Zusendung von Werbung per Post sowie zu Zwecken der Marktforschung beschränkt5. Zu beachten ist, dass das Opt-in-Erfordernis nur wettbewerbsrechtlich erforderlich ist; den Anfor1 Vgl. § 7 Abs. 2 Nr. 1 UWG. 2 Vgl. auch BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87 – Happy Digits. 3 BGH v. 16.7.2008 – VIII ZR 328/06, CR 2008, 720 – Payback; OLG Jena v. 21.4.2010 – 2 U 88/10, MMR 2011, 101. 4 So auch Jankowski, GRUR 2010, 495. 5 So z.B. in dem Sachverhalt HappyDigits, vgl. BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87.
110 Plath
Einwilligung
§ 4a BDSG
derungen des Datenschutzrechts genügt die Gestaltung der Einwilligung als Opt-out1. 2. Double-opt-in In der Praxis sieht sich die Werbewirtschaft regelmäßig mit der Proble- 56 matik konfrontiert, den Nachweis für die Abgabe einer Einwilligung durch den Betroffenen im Opt-in-Verfahren zu erbringen. Aus diesem Grund hat sich das sog. „Double-opt-in“ etabliert. Dabei wird der Betroffene, der in die Nutzung seiner Daten zu Werbezwecken (beispielsweise im Rahmen eines Gewinnspiels) eingewilligt hat, automatisch durch eine „Check-“ bzw. „Bestätigungs-Mail“ dazu aufgefordert, die Abgabe dieser Einwilligung zu bestätigen. In der Regel genügt das Anklicken eines entsprechenden Links, um die Bestätigung durchzuführen. Sinn und Zweck dieser Praxis ist es, die Abgabe einer wirksamen Einwilligung auch in den Fällen beweisen zu können, in denen die Gefahr besteht, dass die Opt-in-Einwilligung nicht durch den Betroffenen selbst erteilt wurde2. Zuletzt hat der BGH nun entschieden, dass die Praxis des Double-opt-in grundsätzlich ausreicht, um die Einwilligung in die Verwendung einer E-Mail-Adresse zu Werbezwecken nachzuweisen und zu dokumentieren3. Durch die Bestätigung infolge der Bestätigungs-Mail sei ausreichend sichergestellt, dass der Betroffene auf die im Opt-in-Verfahren angegebene E-Mail-Adresse auch tatsächlich zugreifen kann. Dagegen sei das Double-Opt-in-Verfahren nach Ansicht des BGH nicht ausreichend, wenn die Bestätigungs-Mail eine Einwilligung in die Verwendung anderer Daten als der E-Mail-Adresse, insbesondere der Telefonnummer des Betroffenen, bestätigen soll. Ein „notwendiger Zusammenhang zwischen der E-Mail-Adresse, unter der der Teilnahmeantrag abgesandt wurde, und der in ihm angegebenen Telefonnummer“ bestehe gerade nicht4. Zu beachten ist, dass die Praxis des Double-Opt-in nur für die Erbringung des Nachweises, dass eine Einwilligung erteilt wurde, von Bedeutung ist. Auf die Wirksamkeit der Einwilligung wirkt sich diese Problematik nicht aus.
1 Siehe oben Rz. 50. 2 Vgl. Isele/Danckelmann/Kerst, GRUR-Prax. 2011, 463. 3 BGH v. 10.2.2011 – I ZR 164/09, NJW 2011, 2657 (2659) – Double-opt-in-Verfahren. 4 BGH v. 10.2.2011 – I ZR 164/09, NJW 2011, 2657 (2660) – Double-opt-in-Verfahren.
Plath 111
57
BDSG § 4a
Allgemeine und gemeinsame Bestimmungen
3. Form 58 Die Einwilligung nach § 7 UWG ist formfrei. Auch dies spricht dafür, den datenschutzrechtlichen Grundsatz der Schriftform – jedenfalls im Rahmen von Werbeeinverständnissen – nicht zu streng auszulegen1. 4. Reichweite und Bestimmtheit 59 Im Bereich der Telefonwerbung ist die Rechtsprechung zu vorformulierten Einwilligungserklärungen derzeit – auf der Ebene der Instanzrechtsprechung – im Fluss. Angesichts des parallelen Wortlauts von § 7 Abs. 2 Nr. 2 und § 7 Abs. 2 Nr. 3 UWG liegt es nahe, dass die Rechtsprechung ihre Richtlinien zur Telefonwerbung auch auf die Werbeansprache per E-Mail, Fax und SMS gegenüber einem Verbraucher anwenden würde. 60 Ursprünglich hatte der BGH (IV. und XI. Zivilsenat) geurteilt, dass ein vorformuliertes Einverständnis in die Telefonwerbung generell unwirksam sei, da es den Betroffenen unangemessen benachteilige2. In einer etwas abgemilderten Form urteilte der I. Zivilsenat in einer späteren Entscheidung, dass ein vorformuliertes Einverständnis jedenfalls dann unwirksam sei, wenn es einen Werbeanruf einschließe, der über das konkrete Vertragsverhältnis hinausgehe bzw. mit diesem in keinem Zusammenhang stehe3. 61 Grund für die aktuelle Trendwende ist das Payback-Urteil des BGH. Der BGH urteilte, dass die Einwilligung in die Werbeansprache per E-Mail und SMS an sich durch eine vorformulierte Erklärung eingeholt werden kann, solange dabei ein gesondertes Opt-in-Verfahren verwendet wird4. Dieses Urteil bezieht sich zwar nicht auf die Werbung per Telefon, sondern auf die Werbung per E-Mail und SMS. Angesichts des identischen Wortlauts von § 7 Abs. 2 Nr. 2 und § 7 Abs. 2 Nr. 3 UWG im Hinblick auf Verbraucher muss diese Wertung jedoch gleichfalls für die Werbung per Telefon gelten. Die Ansicht, dass eine formularmäßig eingeholte Einwilligungserklärung in die Werbeansprache per Telefon per se unangemessen ist, ist damit nicht mehr haltbar.
1 2 3 4
Siehe oben Rz. 14 ff. BGH v. 16.3.1999 – XI ZR 76/98, MMR 1999, 477. BGH v. 27.1.2000 – I ZR 241/97, CR 2000, 596 – Telefonwerbung VI. BGH v. 16.7.2008 – VIII ZR 348/06, CR 2008, 720 – Payback.
112 Plath
Einwilligung
§ 4a BDSG
So urteilten einige OLGe in jüngerer Zeit, dass eine vorformulierte Ein- 62 willigungserklärung in die Werbeansprache per Telefon nicht von vornherein unwirksam, sondern vielmehr grundsätzlich zulässig sei1. Die vorformulierten Einwilligungserklärungen scheitern in der Praxis al- 63 lerdings häufig an der Reichweite der eingeholten Einverständnisse. Moniert wird insbesondere, dass die verwendete Klausel erheblich über den konkreten Zweck des Vertrages hinausgehe („weitere interessante Angebote“; „sämtliche Unternehmen des Konzerns“) und daher intransparent und unwirksam sei2. Insbesondere solche Werbeeinverständnisse, die im Rahmen von Ge- 64 winnspielen eingeholt werden, erklären die Gerichte kategorisch für unwirksam. Zwar gehen jüngere Urteile von dem Grundsatz aus, dass dem Teilnehmer an einem Gewinnspiel durchaus bewusst sei, dass dieses auch Werbezwecken diene3. Allerdings verweisen die Urteile dann – unter Berufung auf die zitierte BGH-Entscheidung4 – darauf, dass der Gegenstand der Einwilligungserklärungen nicht im Zusammenhang mit dem Zweck des Gewinnspiels stehe. Nach der hier vertretenen Ansicht ist diese Argumentation überzogen. 65 Denn Gewinnspiele leben in der Regel von Sponsoren, die gerade nichts mit dem eigentlichen Gewinnspiel zu tun haben. Dem Verbraucher ist dies bekannt und bewusst, jedenfalls wenn er im Rahmen des Gewinnspiels darüber aufgeklärt wird. Es erscheint also von vornherein wenig sinnvoll, etwa bei einem Gewinnspiel für ein Auto darauf abzustellen, ob das Werbeeinverständnis auch nur Sponsoren aus der Automobilbranche erfasst. Hinzukommt, dass der zitierten BGH-Entscheidung überhaupt kein Gewinnspiel zugrunde lag. Aus der genannten Rechtsprechungslinie sticht alleine ein – in der Begründung allerdings sehr knapp gehaltenes – Urteil des OLG Bamberg
1 OLG Hamburg v. 4.3.2009 – 5 U 260/08, MMR 2009, 557 und CR 2009, 437 L (351); OLG Köln v. 23.11.2007 – 6 U 95/07, GRUR-RR 2008, 316; offen gelassen vom OLG Hamm v. 15.8.2006 – 4 U 78/06, CR 2006, 750 und vom OLG Köln v. 29.4.2009 – 6 U 218/08, CR 2009, 783. 2 So z.B. OLG Hamburg v. 4.3.2009 – 5 U 260/08, MMR 2009, 557 und CR 2009, 437 L, 351. 3 Vgl. etwa vgl. OLG Hamburg v. 4.3.2009 – 5 U 62/08, GRUR-RR 2009, 351: „Dem durchschnittlich aufgeklärten und verständigen Verbraucher ist es durchaus bewusst, dass Gewinnspiele der vorliegenden Art auch der Werbung dienen.“ 4 BGH v. 27.1.2000 – I ZR 241/97, CR 2000, 596.
Plath 113
66
BDSG § 4a
Allgemeine und gemeinsame Bestimmungen
heraus1. Diesem Verfahren lag ein Werbeeinverständnis im Rahmen eines Gewinnspiels zugrunde, das die Sponsorenliste als Werbepartner konkret umriss. Der Gewinnspielteilnehmer konnte diese Sponsorenliste über einen Klick ansehen. Weiterhin wurde die Werbung auch branchenbeschränkt (wobei das Feld der Werbenden ein weites Feld von „Zeitungsabonnements“ über „Reise- und Tourismusanbieter“ bis hin zu „Bekleidungs- und Elektronikeinzelhandel“ abdeckte). Das OLG Bamberg hielt dieses Werbeeinverständnis für wirksam, da es auch das von der Einwilligung begünstigte Unternehmen umfasste und der Gewinnspielteilnehmer dies auch durch Anklicken des Begriffs „Sponsoren“ feststellen konnte. Weder das OLG Bamberg noch die Vorinstanz2 prüften die Wirksamkeit des Opt-ins anhand des Kriteriums, ob die Einwilligung in Kontext mit dem Gewinnspiel stand, obgleich eben dieses Argument auch von der Klägerin vorgetragen wurde. 67 Im Rahmen eines Einverständnisses in die Werbung per Telefon, E-Mail, SMS oder Fax ist daher – aus wettbewerbsrechtlicher und datenschutzrechtlicher Perspektive – nach dem derzeitigen Stand der herrschenden Rechtsprechung eine abschließende Sponsorenliste (noch besser: in Kombination mit einer Branchenbeschränkung) in der Praxis zu empfehlen. Die bloße Angabe von Kategorien von Empfängern (z.B. Unternehmen der Tourismusbranche) dürfte bei formularmäßigen Einwilligungserklärungen nicht ausreichen. 68 Aus der BGH-Entscheidung Happy Digits3 lässt sich schließlich lesen, dass es eines ähnlichen Maßstabs für die Einwilligung in Briefwerbung nicht bedarf4. Denn der BGH hat zur Frage der Bestimmtheit der streitgegenständigen Klausel nicht Stellung genommen, obgleich sich das Werbeeinverständnis pauschal auf „Partnerunternehmen“ bezog. V. Verhältnis zum TMG 69 Das BDSG gilt nur subsidiär5, sodass im Anwendungsbereich des TMG die speziellen Anforderungen an eine Einwilligung nach §§ 11 Abs. 2, 12 Abs. 2 TMG dem § 4a vorgehen. Allerdings ist der Anwendungsbereich des § 12 TMG auf solche personenbezogenen Daten beschränkt, die zur 1 2 3 4
Vgl. OLG Bamberg 3 U 44/10, n.v. Das LG Aschaffenburg v. 18.2.2010 – 1 HK O 159/09, n.v. BGH v. 11.11.2009 – VIII ZR 12/08, CR 2010, 87. Kritisch insoweit allerdings Ernst, LMK 2010, 297158 in Anm. zu BGH v. 11.11.2009 – VIII ZR 12/08, NJW 2010, 864 – Happy Digits. 5 Vgl. § 1 Abs. 3.
114 Plath
Einwilligung
§ 4a BDSG
Bereitstellung der Telemediendienste verwendet werden. Diese sind sog. Bestands-1 und Nutzungsdaten2, nicht aber sog. Inhaltsdaten3. Für Letztere gilt § 4a. Ist der Anwendungsbereich des TMG eröffnet, wird die Einwilligung jedoch offline eingeholt, dann gelten nach § 12 Abs. 3 TMG wiederum die Voraussetzungen des § 4a. VI. Widerruf der Einwilligung Der Betroffene hat das Recht, seine Einwilligung jederzeit zu widerrufen. Zwar erwähnt das BDSG das Widerrufsrecht des Betroffenen allein im Kontext mit der elektronisch erklärten Einwilligung, § 28 Abs. 3a, doch ist ein entsprechendes Recht des Betroffenen im Hinblick auf den Schutz der informationellen Selbstbestimmung allgemein anerkannt4. Zu beachten ist allerdings, dass der Widerruf einer Einwilligung in die Weitergabe von Daten an Auskunfteien wie die SCHUFA in der Rechtsprechung ausnahmsweise als missbräuchlich angesehen wird, wenn der Übermittlung ein vertragswidriges Verhalten des Betroffenen vorausgegangen ist5.
70
Die verantwortliche Stelle muss diesen Widerruf ex-nunc beachten. Der 71 Widerruf hindert das Unternehmen damit zwar an der weiteren Verwendung der erhobenen Daten auf Grundlage der Einwilligung, berührt aber nicht die bereits erfolgte Verwendung der erhobenen Daten. Diese bleibt rechtmäßig. Mit Zugang des Widerrufs muss das Unternehmen die personenbezogenen Daten löschen, soweit deren Verwendung auf der Einwilligung beruht6. Der Widerruf bedarf nach der hier vertretenen Ansicht keiner besonde- 72 ren Form7. Ebenso wie im Rahmen des § 28 Abs. 4 Satz 4 dürfte vielmehr ein in den AGB vorgeschriebenes Formerfordernis für den Widerruf, das strenger ist als die Form der Einwilligung, unwirksam sein. Dagegen ist ein Formerfordernis, das die Einhaltung derselben Form wie der Form der Einwilligungserteilung verlangt, wirksam. In der Praxis 1 2 3 4 5
Vgl. § 14 TMG. Vgl. § 15 TMG. Vgl. Roßnagel/Jandt, MMR 2011, 86 (89); § 11 TMG Rz. 12. Simitis/Simitis, § 4a BDSG Rz. 94; Gola/Schomerus, § 4a BDSG Rz. 17 f. OLG Frankfurt v. 15.11.2004 – 23 U 155/03, MDR 2005, 881; ebenso Kamlah/ Hoke, RDV 2007, 242 (243). 6 § 35 Abs. 2 Satz 1 Nr. 1. 7 A.A. Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 36, wonach der Widerruf schriftlich abzugeben ist.
Plath 115
BDSG § 4a
Allgemeine und gemeinsame Bestimmungen
stellt sich hier freilich das Problem des Nachweises, wenn der Betroffene telefonisch die Löschung seiner Daten fordert. Aus diesem Grund empfiehlt sich regelmäßig die Protokollierung solcher Anrufe. 73 Ein Widerruf ist insoweit wirkungslos, als die Einwilligung im Rahmen eines Vertrages abgegeben wird und die Verarbeitung der personenbezogenen Daten für die Abwicklung des Vertrages erforderlich ist. In diesem Fall ist die Datenverarbeitung bereits nach § 28 Abs. 1 Satz 1 Nr. 1 gerechtfertigt, sodass nach der hier vertretenen Ansicht der Widerruf die Rechtmäßigkeit der Datenverarbeitung auf der Grundlage dieser Befugnis oder anderen gesetzlichen Erlaubnisnormen nicht berührt1. 74 Hat die verantwortliche Stelle die personenbezogenen Daten bereits an Dritte übermittelt, so muss sie die Empfänger der Daten lediglich über den Widerruf informieren2. Auch hier empfiehlt sich zu Beweiszwecken die Dokumentation der erfolgten Information. Eine weitergehende Verantwortung oder Haftung der verantwortlichen Stelle besteht nicht, vorausgesetzt dass die ursprüngliche Verwendung der Daten, d.h. auch die Übermittlung an den Dritten, von einer rechtswirksamen Einwilligung gedeckt war. Der Empfänger muss den Widerruf beachten, die personenbezogenen Daten löschen und von einer Verwendung in der Zukunft absehen. VII. Übertragbarkeit der Einwilligung 75 Immer wieder stellt sich in der Praxis die Frage, in wie weit eine Einwilligung von einer verantwortlichen Stelle auf eine andere übertragen werden kann. Von praktischer Bedeutung ist dieses Problem vor allem im Rahmen von Unternehmenstransaktionen. 76 Im Falle von Umstrukturierungen in Unternehmen, z.B. bei einem Inhaberwechsel, stellt sich die Frage, ob die ursprünglich erteilte Einwilligung des Betroffenen auch nach Abschluss der Umstrukturierung fortbesteht. Erfolgt die Transaktion im Rahmen eines share deals, also der Veräußerung der Unternehmensanteile an ein anderes Unternehmen, so hat diese Transaktion auf die datenschutzrechtliche Einwilligung in aller Regel keine Auswirkung, da die Einwilligung gegenüber dem Unternehmen und nicht gegenüber dessen Inhabern erklärt wurde. 1 Vgl. dazu auch Gola/Schomerus, § 4a BDSG Rz. 40; vgl. zur Problematik einer Weiterverwendung von Daten auf Grundlage eines Erlaubnistatbestands trotz eines entgegenstehenden Widerspruchs § 28 Rz. 175 ff., insbesondere Rz. 200 ff. 2 So auch Simitis/Simitis, § 4a BDSG Rz. 103.
116 Plath
Einwilligung
§ 4a BDSG
Im Falle eines asset deals, also der Übertragung der Vermögenswerte ei- 77 nes Unternehmens an einen Dritten, wird man die Einwilligungserklärung dagegen auslegen müssen1. In der Regel wird diese geschäftsbezogen abgegeben worden sein, sodass sie auch dem Erwerber gegenüber weiterhin Geltung haben wird, jedenfalls soweit der Erwerber den Geschäftsbetrieb fortführt. Etwas anderes dürfte indes in dem Fall gelten, in dem der Betroffene seine Einwilligung einer bestimmten (juristischen oder natürlichen) Person erteilt, z.B. weil diese sein besonderes Vertrauen genießt. Das BDSG kennt grundsätzlich kein Konzernprivileg, d.h. verbundene 78 Unternehmen sind Dritte i.S.d. BDSG. Die Verwendung der Daten durch sie muss damit ausdrücklich legitimiert sein. Auch insoweit ist die Einwilligung auszulegen. Wird im Rahmen der Einwilligung das Einverständnis des Betroffenen 79 eingeholt, dass seine Daten auch innerhalb des Konzerns an verbundene Unternehmen weitergegeben werden dürfen, so erstreckt sich dieses Einverständnis in der Regel auch auf weitere Unternehmen, die zu einem späteren Zeitpunkt in den Konzern eingegliedert werden. Man wird aber fordern müssen, dass sich dadurch der Zweck des Unternehmens (und damit auch die Reichweite der Einwilligung) nicht ändern, und dass der Betroffene gem. § 33 über den Zuwachs informiert wird2. VIII. Rechtsfolgen bei Verstoß Wird die Einwilligung des Betroffenen nicht vor der Datenverwendung 80 und damit nicht rechtzeitig eingeholt, so ist die Verwendung seiner personenbezogenen Daten zunächst rechtswidrig, soweit keine gesetzliche Erlaubnis eingreift. Die Verwendung kann untersagt werden3 und der verantwortlichen Stelle kann eine Geldbuße auferlegt werden4. Eine nachträgliche wirksame Zustimmung des Betroffenen ist allerdings als dessen Einwilligung in die zukünftige Verwendung zu sehen, sodass keine Löschungspflicht der verantwortlichen Stelle (mehr) besteht5. Im
1 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 46. 2 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 45; Gola/ Schomerus, § 4a BDSG Rz. 43. 3 §§ 823 Abs. 1, 1004 BGB. 4 § 43 Abs. 2 Nr. 1, Abs. 3. 5 In diese Richtung auch Gola/Schomerus, BDSG § 4a Rz. 32, a.A. Simitis/Simitis, § 4a BDSG Rz. 29; Schaffland/Wiltfang, § 4a BDSG Rz. 3.
Plath 117
81
BDSG § 4a
Allgemeine und gemeinsame Bestimmungen
Falle einer nachträglichen wirksamen Zustimmung des Betroffenen sind auch etwaige Schadensersatzansprüche ausgeschlossen. Denn der Betroffene verzichtet auf diese Ansprüche, wenn er im Nachhinein der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten rückwirkend zustimmt1. 82 Fehlt der Hinweis auf die Folgen der Verweigerung der Einwilligung (falls und soweit ein solcher Hinweis erforderlich ist), so ist die Einwilligung unwirksam. 83 Bei schuldhaften Zuwiderhandlungen kann die verantwortliche Stelle auf Unterlassung und Beseitigung gemäß § 823 Abs. 1 i.V.m. § 1004 BGB in Anspruch genommen werden. Möglich sind auch die Geltendmachung von Schadensersatzansprüchen aus § 7 BDSG, § 823 Abs. 1 BGB sowie § 823 Abs. 2 BGB i.V.m. § 28 als Schutzgesetz. Der Betroffene kann zudem bei schwerwiegenden Verletzungen seines Rechts auf informationelle Selbstbestimmung Anspruch auf Zahlung von Schmerzensgeld haben. 84 Mögliche Konsequenzen im Falle eines Verstoßes gegen das Wettbewerbsrecht sind im Falle der unlauteren Werbung die Inanspruchnahme auf Unterlassung nach § 8 Abs. 1 UWG, auf Schadensersatz nach § 9 oder auf Gewinnabschöpfung nach § 10 UWG. Hinzu kommt im Falle der Telefonwerbung die Möglichkeit der Verhängung einer Geldbuße nach § 20 UWG. 85 Den Adresskäufer trifft nach Ansicht der Rechtsprechung die Pflicht, bei eingekauften Adressen die Einwilligungserklärungen zu prüfen, er kann sich insoweit nicht auf eine Zusicherung des Adresshändlers verlassen2. Das OLG Düsseldorf hat weiterhin geurteilt, dass den Geschäftsführer eines Unternehmens die wettbewerbsrechtliche Verkehrspflicht trifft, durch die Organisation seines Geschäftsbetriebs sicherzustellen, dass E-Mails lediglich an solche Personen versendet werden, von denen eine ausdrückliche Einwilligung vorliegt. Dafür müssen zumindest Stichproben durchgeführt und dokumentiert werden. Ist ein entsprechender Nachweis nicht möglich, so kann der Geschäftsführer auch persönlich in die Haftung genommen werden3.
1 So Simitis/Simitis, § 4a BDSG Rz. 29; Schaffland/Wiltfang, § 4a BDSG Rz. 3. 2 OLG Düsseldorf v. 24.11.2009 – 20 U 137/09, MMR 2010, 99. 3 OLG Düsseldorf v. 24.11.2009 – 20 U 137/09, MMR 2010, 99.
118 Plath
Übermittlung ins Ausland
§ 4b BDSG
Übermittlung personenbezogener Daten ins Ausland sowie an überoder zwischenstaatliche Stellen
4b
(1) Für die Übermittlung personenbezogener Daten an Stellen 1. in anderen Mitgliedstaaten der Europäischen Union, 2. in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder 3. der Organe und Einrichtungen der Europäischen Gemeinschaften gelten § 15 Abs. 1, § 16 Abs. 1 und §§ 28 bis 30a nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen, soweit die Übermittlung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen.
(2) 1Für die Übermittlung personenbezogener Daten an Stellen nach Absatz 1, die nicht im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, sowie an sonstige ausländische oder über- oder zwischenstaatliche Stellen gilt Absatz 1 entsprechend. 2Die Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist. 3Satz 2 gilt nicht, wenn die Übermittlung zur Erfüllung eigener Aufgaben einer öffentlichen Stelle des Bundes aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist. (3) Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden. (4) 1In den Fällen des § 16 Abs. 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. 2Dies gilt nicht, wenn damit zu rechnen ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung die öffentliche Sicher-
v. d. Bussche
119
BDSG § 4b
Allgemeine und gemeinsame Bestimmungen
heit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde. (5) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. (6) Die Stelle, an die die Daten übermittelt werden, ist auf den Zweck hinzuweisen, zu dessen Erfüllung die Daten übermittelt werden. I. Einführung . . . . . . . . . . . . . . . .
1
II. Datenübermittlung innerhalb des datenschutzrechtlichen Binnenraums (Abs. 1) . 8 1. Anwendungsbereich . . . . . . . . 8 2. Gleichstellung mit nationaler Datenverarbeitung . . . . . . . 13 III. Datenübermittlung in Drittländer (Abs. 2 und 3) . . . . . . . . 15 1. Anwendungsbereich . . . . . . . . 15 2. Keine Datenübermittlung bei entgegenstehenden schutzwürdigen Interessen . . . . . . . . 20
a) Fehlendes angemessenes Datenschutzniveau . . . . . . . 23 b) Sonderfall USA: SafeHarbor-Prinzipien und bilaterale Sonderregelungen . . . . . . . . . . . 30 IV. Pflichten und Verantwortung der übermittelnden Stelle (Abs. 4–6). . . . . . . . . . . . . . . . . . 35 V. Rechtsfolgen/Sanktionen . . . . 39
Schrifttum: Arbeitsgruppe „Internationaler Datenverkehr“ des Düsseldorfer Kreises, Fallgruppen zur internationalen Auftragsdatenverarbeitung – Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung, v. 28. März 2007; Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, v. 26. September 2011; Artikel-29-Arbeitsgruppe, Working Paper 4 „Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer – Mögliche Ansätze für eine Bewertung der Angemessenheit“; Backes/Eul/Guthmann/Martwich/Schmidt, Entscheidungshilfe für die Übermittlung personenbezogener Daten in Drittländer, RDV 2004, 156; Becker/Nikolaeva, Das Dilemma der Cloud-Anbieter zwischen US Patriot Act und BDSG, CR 2012, 170; Beucher/Räther/Stock, Non-Performing Loans: datenschutzrechtliche Aspekte der Veräußerung von risikobehafteten Krediten, AG 2006, 277; Bierekoven, Internationaler Handel mit Kundendaten, ITRB 2009, 39; BInDSB, Jahresbericht 2003, RDV 2004, 135; Brisch/Laue, E-Discovery und Datenschutz, RDV 2010, 1; Conrad, Transfer von Mitarbeiterdaten zwischen verbundenen Unternehmen, ITRB 2005, 164; Duhr/ Naujok/Peter/Seiffert, Neues Datenschutzrecht für die Wirtschaft, DuD 2002, 5; Dix/Gardain, Datenexport in Drittstaaten, DuD 2006, 343; Ehricke/Becker/Walzel, Übermittlung von Fluggastdaten in die USA – Zugleich Urteilsanmerkung zur Entscheidung des EuGH vom 30. Mai 2006, RDV 2006, 149; Fischer/Steidle, Brauchen wir neue Standardvertragsklauseln für das „Global Outsourcing“?, CR 2009, 632; Giesen, Datenverarbeitung im Auftrag in Drittstaaten – eine misslungene Gesetzgebung, CR 2007, 543; Gola/Klug, Die Entwicklung des Datenschutzrechts in den Jahren 2009/2010, NJW 2010, 2483; Grützmacher, Datenschutz und
120 v. d. Bussche
Übermittlung ins Ausland
§ 4b BDSG
Outsourcing, ITRB 2007, 183; Hilber, Die datenschutzrechtliche Zulässigkeit intranet-basierter Datenbanken internationaler Konzerne, RDV 2005, 143; Hillenbrand-Beck, Aktuelle Fragestellungen des internationalen Datenverkehrs, RDV 2007, 231; Jandt, Grenzenloser Mobile Commerce, DuD 2009, 664; Lejeune, Datentransfer in das außereuropäische Ausland – Hinweise zur Lösung aktueller Fragestellungen, ITRB 2005, 94; Moos, Die EU-Standardvertragsklauseln für Auftragsverarbeiter 2010, CR 2010, 281; Pohle/Ammann, Über den Wolken … – Chancen und Risiken des Cloud Computing, CR 2009, 273; Räther, Die EU-USFlugdaten-Affäre, DuD 2004, 468; Räther/Seitz, Übermittlung personenbezogener Daten in Drittstaaten – Angemessenheitsklausel, Safe Harbor und die Einwilligung, MMR 2002, 425; Rittweger/Weiße, Unternehmensrichtlinien für den Datentransfer in Drittländer, CR 2003, 142; Schmidl, Datenschutzrechtliche Anforderungen an inneuropäische Personaldatenübermittlungen in Matrixorganisationen, DuD 2009, 364; Schulz/Rosenkranz, Cloud Computing – Bedarfsorientierte Nutzung von IT-Ressourcen, ITRB 2009, 232; Schulz, Cloud-Computing in der öffentlichen Verwaltung, MMR 2010, 75; Seffer, Deutscher Datenschutz und USZivilprozessrecht, ITRB 2002, 66; Spies/Schröder, Auswirkungen der elektronischen Beweiserhebung (eDiscovery) auf deutsche Unternehmen, MMR 2008, 275; Spies, USA: Grenzüberschreitende elektronische Beweiserhebung (Discovery) vs. Datenschutz, MMR 2007, V; Söbbing/Weinbrenner, Die Zulässigkeit der Auslagerung von IT-Dienstleistungen durch Institute in sog. Offshore-Regionen, WM 2006, 165; Starosta, Transatlantische Datenübermittlung zur Terrorismusbekämpfung, DuD 2010, 236; Taraschka, Auslandsübermittlungen personenbezogener Daten im Internet, CR 2004, 280; von Rosen, Rechtskollision durch grenzüberschreitende Sonderermittlungen, BB 2009, 280; Weber/Voigt, Internationale Auftragsdatenverarbeitung, ZD 2011, 74; Weichert, BDSG-Novelle zum Schutz von Internet-Inhaltsdaten, DuD 2009, 7; Wisskirchen, Grenzüberschreitender Transfer von Arbeitnehmerdaten, CR 2004, 862.
I. Einführung § 4b regelt zusammen mit § 4c die grenzüberschreitende Übermittlung 1 personenbezogener Daten von Deutschland an eine Stelle im Ausland (Datenexport). Der umgekehrte Fall des Datenimports ist hingegen nicht erfasst1. § 4b setzt Art. 25 und 26 der EG-Datenschutzrichtlinie2 um und versucht zwei gegenläufige Interessen zu vereinbaren: Einerseits gilt es zu verhindern, dass personenbezogene Daten an ausländische Stellen ohne hinreichendes Datenschutzniveau weitergegeben werden; andererseits soll der grenzüberschreitende Datenverkehr wegen seiner wirtschaftlichen Bedeutung aber auch nicht über das notwendige Maß hi1 BAG v. 25.1.2005 – 9 AZR 620/03, Rz. 31; vgl. auch Hillenbrand-Beck, RDV 2007, 231 (235). 2 Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr v. 24.10.1995, ABl. EG Nr. L 281, S. 31.
v. d. Bussche
121
BDSG § 4b
Allgemeine und gemeinsame Bestimmungen
naus beschränkt werden1. Die BDSG-Novellen im Jahr 2009 hat § 4b nicht berührt. 2 Abs. 1 regelt die Datenübermittlung innerhalb der Europäischen Union und dem Europäischen Wirtschaftsraum, mithin innerhalb des Geltungsbereichs der EG-Datenschutzrichtlinie. Derartige Datenübermittlungen werden rein innerstaatlichen Vorgängen gleichgestellt. Abs. 2 und 3 enthalten zusätzliche Voraussetzungen für die Datenübermittlung in Drittländer, also in sich außerhalb der EU oder des EWR befindliche Länder. Die Abs. 4 bis 6 normieren weitere spezielle Anforderungen für alle grenzüberschreitenden Datentransfers. Abs. 4 enthält eine besondere Informationspflicht gegenüber dem Betroffenen bei der Übermittlung seiner Daten von einer öffentlichen an eine nicht-öffentliche Stelle. Gemäß Abs. 5 trägt die übermittelnde Stelle die Verantwortung für die Zulässigkeit der Datenübertragung ins Ausland. Sie muss gemäß Abs. 6 die empfangende Stelle auf den Zweck der Datenübermittlung hinweisen. 3 Die Übermittlung personenbezogener Daten ins Ausland ist von großer praktischer Bedeutung, die durch aktuelle Tendenzen in Richtung der vermehrten Nutzung von Outsourcing-Dienstleistungen2 noch steigen wird. So ist die Übermittlung ins Ausland häufig bei der konzerninternen Datenübermittlung von Relevanz3, beispielsweise wenn von Tochtergesellschaften Personaldaten zur zentralen Datenverarbeitung in einer einheitlichen Datenbank bei der ausländischen Muttergesellschaft gespeichert werden sollen4. Auch beim zunehmend populären Cloud Computing5 werden systembedingt personenbezogene Daten weltweit verteilt gespeichert und bearbeitet. Der Anwender von Cloud Computing Services hat dabei meist noch nicht einmal konkrete Kenntnis
1 Vgl. Erwägungsgrund 3 der EG-Datenschutzrichtlinie, welcher die Bedeutung des Datentransfers für die Errichtung das Funktionieren des Binnenmarktes betont; ferner Simitis/Simitis, § 4b BDSG Rz. 2. 2 Ausführlich: Jandt, DuD 2008, 664. 3 Weber/Voigt, ZD 2011, 74 (74 f.). 4 Hierzu Schmidl, DuD 2009, 364 und Hilber, RDV 2005, 143. Das deutsche Datenschutzrecht kennt kein Konzernprivileg, eine Privilegierung des Datenverkehrs innerhalb eines Konzerns findet nicht statt, so dass beim Datentransfer zwischen den Unternehmen eines Konzerns stets auch eine Übermittlung vorliegt, vgl. hierzu m.w.N. Conrad, ITRB 2005, 164 (165); ebenso Söbbing/Weinbrenner, WM 2006, 165 (166). 5 Im Überblick: Schulz/Rosenkranz, ITRB 2009, 232, ferner Schulz, MMR 2010, 75 (78).
122 v. d. Bussche
Übermittlung ins Ausland
§ 4b BDSG
darüber, wo sich seine Daten gerade befinden1. Notleidende Kredite werden unter Angabe der persönlichen Daten des Kreditnehmers zur Verwertung ins Ausland verkauft2. Schließlich müssen Unternehmen im Rahmen US-amerikanischer Discovery-Verfahren häufig personenbezogene Daten an US-Gerichte übermitteln. Auch bei der Strafverfolgung und Terrorismusbekämpfung kommt dem grenzüberschreitenden Datenaustausch eine wichtige Rolle zu: Fluggesellschaften müssen bei Flügen in die USA die Daten ihrer Fluggäste an das US-Heimatschutzministerium übermitteln; andere US-Behörden verlangen Zugriff auf Bankverbindungsdaten und sonstige der Gefahrenabwehr dienliche Informationen3. § 4b ist keine eigenständige Rechtsgrundlage für die Datenübermittlung ins Ausland, sondern ergänzt die allgemeinen Anforderungen an die Rechtmäßigkeit einer Datenübermittlung um zusätzliche Voraussetzungen, die speziell dem Auslandsbezug Rechnung tragen. Es ist also grundsätzlich eine zweistufige Prüfung erforderlich4:
4
– Zunächst ist nach den allgemeinen Regeln des BDSG (z.B. § 16 Abs. 1 und §§ 28 ff.) zu prüfen, ob die Datenübermittlung an sich rechtmäßig ist (Primärebene). – Sodann ist zusätzlich zu prüfen, ob gemäß § 4b (und ggf. § 4c) auch die Übermittlung ins Ausland zulässig ist (Sekundärebene). Der Anwendungsbereich der §§ 4b und c unterliegt den allgemeinen Be- 5 schränkungen des BDSG gemäß § 1 Abs. 2 und 3, insbesondere somit auch der Subsidiaritätsregelung des Abs. 35. Demnach sind bereichsspezifische Regelungen als lex specialis zu §§ 4b und c vorrangig anzuwenden (z.B. § 77 SGB X, § 92 TKG, § 37 StVG)6. § 1 Abs. 5 stellt das kollisionsrechtliche Pendant zu §§ 4b und c dar und 6 regelt somit die generelle Anwendbarkeit des BDSG bei der grenzüberschreitenden Verwendung personenbezogener Daten7. Sofern die Anwendbarkeit bejaht wird, regeln §§ 4b und c i.V.m. einem Erlaubnis1 Speziell zu den datenschutzrechtlichen Problemen: Pohle/Ammann, CR 2009, 273 (277). 2 Zu den datenschutzrechtlichen Fragen: Beucher/Räther/Stock, AG 2006, 277. 3 EuGH, NJW 2006, 2029 (2032) – Fluggastdaten. 4 Bierekoven, ITRB 2009, 39; Lejeune, ITRB 2005, 94; Simitis/Simitis, § 4b BDSG Rz. 39. 5 Vgl. Gola/Schomerus, § 1 BDSG Rz. 23 f. 6 Taeger/Gabel/Gabel, § 4b BDSG Rz. 7. 7 Vgl. Däubler/Klebe/Wedde/Weichert/Däubler, § 4b BDSG Rz. 7.
v. d. Bussche
123
BDSG § 4b
Allgemeine und gemeinsame Bestimmungen
tatbestand i.S.d. § 4 Abs. 1 anschließend auf der Sekundärebene die materielle Zulässigkeit der Übermittlung (siehe soeben Rz. 4)1. 7 Erörterungsbedürftig ist das Verhältnis von § 4b zur in § 11 geregelten Auftragsdatenverarbeitung2. Hierbei muss wiederum zwischen der Verarbeitung in einem Mitgliedstaat der EU bzw. des EWR (Abs. 1) sowie der Auftragsdatenverarbeitung in Drittländern (Abs. 2 und 3) differenziert werden. Daher wird auf die dortigen Ausführungen verwiesen (siehe Rz. 12 und 16). II. Datenübermittlung innerhalb des datenschutzrechtlichen Binnenraums (Abs. 1) 1. Anwendungsbereich 8 Der Anwendungsbereich von Abs. 1 ist geographisch und sachlich definiert. Es gilt zwei Voraussetzungen zu prüfen: Zunächst muss die Datenübermittlung in eines der in Abs. 1 Nr. 1 oder 2 genannten Länder bzw. an eine in Nr. 3 genannte Stelle erfolgen (Rz. 9). Darüber hinaus muss die Datenübermittlung im Rahmen einer Tätigkeit erfolgen, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fällt (Rz. 10). 9 Geographisch erfasst Abs. 1 die Datenübermittlung in alle Mitgliedstaaten der Europäischen Union (Nr. 1). Erfasst sind auch die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (Nr. 2), zusätzlich also Island, Norwegen und Liechtenstein. In all diesen Ländern gilt auf Grund der EG-Datenschutzrichtlinie ein vergleichbares Schutzniveau, so dass die Datenübermittlung bedenkenlos möglich ist. Gemäß Nr. 3 werden schließlich auch die Stellen der Organe und Einrichtungen der Europäischen Gemeinschaften erfasst, da hier eine spezielle Verordnung zur Datenverarbeitung ebenfalls ein hinreichend hohes Datenschutzniveau garantiert3. Mit dem Inkrafttreten des Vertrags von Lissabon am 1. Dezember 20094 ist die Europäische Gemeinschaft in der Europäischen Union aufgegangen, so dass Nr. 3 richtigerweise von der 1 Vgl. Taeger/Gabel/Gabel, § 4b BDSG Rz. 8. 2 Vgl. zur Auftragsdatenverarbeitung in Drittstaaten Weber/Voigt, ZD 2011, 74. 3 Verordnung 45/2001 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, v. 18.12.2001, ABl. v. 12.1.2002, L8. 4 „Vertrag von Lissabon zur Änderung des Vertrags über die Europäische Union und des Vertrags zur Gründung der Europäischen Gemeinschaft“ v. 13.12.2007, in Kraft getreten am 1.12.2009, ABl. 2007/C 306/01.
124 v. d. Bussche
Übermittlung ins Ausland
§ 4b BDSG
„Europäischen Union“ sprechen müsste, was vom deutschen Gesetzgeber aber noch nicht berücksichtigt wurde. Dies hat aber keine Auswirkungen auf die Wirksamkeit von Nr. 3, denn die Europäische Union ist die Rechtsnachfolgerin der Europäischen Gemeinschaft. Außerdem sind keine Anzeichen dafür ersichtlich, dass die Norm statisch ausschließlich auf das Rechtssubjekt „Europäische Gemeinschaft“ verweisen und nicht auch ihre Rechtsnachfolger erfassen wollte. Sachlich muss die Datenübermittlung außerdem im Rahmen einer Tä- 10 tigkeit erfolgen, die ganz oder teilweise in den Anwendungsbereich „des Rechts der Europäischen Gemeinschaften“ fällt. § 4b geht zurück auf die EG-Datenschutzrichtlinie, welche wiederum den damals gültigen EG-Vertrag sowie das damalige 3-Säulen-Konzept der EU zur Grundlage hatte1. Demnach kann es sich im Rahmen des Abs. 1 auch nur um solche Tätigkeiten handeln, die dem im Zeitpunkt der Verabschiedung der Richtlinie geltenden EG-Vertrag rechtlich unterfielen2. Somit ist lediglich die erste Säule der EU, die wirtschaftliche Zusammenarbeit der Mitgliedstaaten3, nicht aber auch die zweite (Gemeinsame Außen- und Sicherheitspolitik) und dritte Säule (polizeiliche und justizielle Zusammenarbeit in Strafsachen) umfasst. In Fällen, die unter die letzten beiden Säulen fallen, richtet sich die Zulässigkeit der Übermittlung nicht nach Abs. 1 sondern nach Abs. 2 und 3 sowie ggf. nach Sonderregelungen (sogleich unter Rz. 11). Durch den Vertrag von Lissabon wurde nun auch die polizeiliche und justizielle Zusammenarbeit in Strafsachen weitgehend „vergemeinschaftet“. Unter anderem auch hierdurch bedingt wurde das 3-Säulen-Konzept weitgehend aufgelöst4. Dies erweitert aus obengenannten Gründen zwar nicht den Anwendungsbereich des § 4b Abs. 1, wird aber zukünftig wohlmöglich eine Anpassung der von der EG-Datenschutzrichtlinie abgesteckten Anwendungsbereiche mit sich bringen5. Sonderregelungen die den Anwendungsbereich des Abs. 1 über die sog. „Erste Säule“ (siehe Rz. 10) erweitern, bestehen u.a. für Übermittlungen an den EuGH (Art. 21 EuGH-Satzung, § 2 EuGH-Verfahrensordnung) oder den Europäischen Rechnungshof (Art. 287 AEUV, vormals 248 Abs. 3 EGV). 1 Gola/Schomerus, § 4b BDSG Rz. 1. 2 Taeger/Gabel/Gabel, § 4c BDSG Rz. 11 m.w.N. 3 Däubler/Klebe/Wedde/Weichert/Däubler, § 4b BDSG Rz. 6; Taeger/Gabel/Gabel, § 4b BDSG Rz. 11. 4 So auch Gola/Klug, NJW 2010, 2483 (2488). 5 So auch Gola/Schomerus, § 4b BDSG Rz. 1.
v. d. Bussche
125
11
BDSG § 4b
Allgemeine und gemeinsame Bestimmungen
12 Im Bereich der Auftragsdatenverarbeitung nach § 11 ist § 3 Abs. 8 Satz 3 zu beachten: Findet die Auftragsdatenverarbeitung in einem Mitgliedstaat der EU bzw. EWR bzw. einer der Stellen der Europäischen Gemeinschaften statt (vgl. § 4b Abs. 1 Nr. 1 bis 3) stellt die empfangende und im Auftrag tätig werdende ausländische Stelle aufgrund der Gleichstellung mit inländischen Auftragnehmern nach § 3 Abs. 8 Satz 3 keinen „Dritten“ i.S.d. BDSG dar. Der Begriff des „Übermittelns“ in § 4b Abs. 1 setzt aber nach seiner Definition (§ 3 Abs. 4 Nr. 3) gerade die Übertragung von Daten an „Dritte“ voraus, so dass § 4b in diesen Fällen keine Anwendung findet. Die Zulässigkeit der Datenverarbeitung richtet sich dann also allein nach § 11, selbst wenn diese Datenverarbeitung im europäischen Ausland stattfindet1. 2. Gleichstellung mit nationaler Datenverarbeitung 13 Ist der Anwendungsbereich von § 4b Abs. 1 eröffnet, richtet sich die Zulässigkeit der Datenübermittlung nach den allgemeinen Vorschriften des BDSG (Primärebene, oben Rz. 4). Die Datenübermittlung an eine Stelle im europäischen Ausland wird also der Übermittlung im Inland gleichgestellt2. Öffentliche Stellen müssen sich daher insbesondere an §§ 15 Abs. 1 und 16 Abs. 1 halten; für nicht-öffentliche Stellen gelten insbesondere die §§ 28 bis 30a sowie 32. Unabhängig von diesen Vorgaben ist die Übermittlung aber auch beim Vorliegen einer Einwilligung des Betroffenen oder eines sonstigen Erlaubnistatbestandes zulässig, selbst wenn diese nicht ausdrücklich in § 4b Abs. 1 benannt ist3. 14 § 4b Abs. 1 geht als allgemeine Norm spezielleren Übermittlungsvorschriften nach. Dies ergibt sich aus der Formulierung „[…] nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen“ in § 4b Abs. 1. Solche speziellen Übermittlungsvorschriften sind z.B. das Abkommen zur Übermittlung von Flugdaten zwischen der EU und den USA und das Abkommen zur Übermittlung von Daten über Finanztransaktionen aus dem SWIFT-System (hierzu noch Rz. 34).
1 Taeger/Gabel/Gabel, § 4b BDSG Rz. 13. 2 Roßnagel/Globig, Handbuch Datenschutzrecht, Kap. 4.7 Rz. 125; Rittweger/ Weiße, CR 2003, 142; Bierekoven, ITRB 2009, 39 (40). 3 BT-Drs. 14/4329 S. 34; Duhr/Naujok/Peter/Seiffert, DuD 2002, 5, 15; haben Auftraggeber und Auftragnehmer ihren Sitz im EU-Inland bzw. Gebiet des EWR, während der Unterauftragnehmer die personenbezogenen Daten im Drittland verarbeitet, siehe § 4c Rz. 32.
126 v. d. Bussche
Übermittlung ins Ausland
§ 4b BDSG
III. Datenübermittlung in Drittländer (Abs. 2 und 3) 1. Anwendungsbereich § 4b Abs. 2 und 3 finden in drei Situationen Anwendung: (i) Personenbe- 15 zogene Daten werden zwar an Stellen i.S.v. Abs. 1 übermittelt, dies aber nicht im Rahmen einer Tätigkeit, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fällt (siehe dazu Rz. 10). (ii) Personenbezogene Daten werden in Länder übermittelt, die nicht in Abs. 1 Nr. 1 bis 3 genannt sind (sog. Drittstaaten). (iii) Eine Übermittlung personenbezogener Daten erfolgt an über- oder zwischenstaatliche Stellen mit Rechtssubjektsqualität; zu diesen Zwecken können jedoch auch bilaterale Sonderabkommen bestehen (vgl. Rz. 14)1. Noch keine „Übermittlung von Daten“ in ein Drittland liegt aber nach zutreffender Ansicht des EuGH vor, wenn personenbezogene Daten lediglich auf einer Webseite veröffentlicht werden, die auf einem Server im Binnenraum der EU gehostet wird, selbst wenn Personen in Drittländern diese Daten abrufen2. In Drittstaaten ansässige Auftragnehmer i.S.d. § 11 (Auftragsdaten- 16 verarbeiter) sind gemäß Wortlaut des § 3 Abs. 8 Satz 3 nicht von der Gleichstellung zwischen inländischen und EU/EWR-ausländischen Auftragnehmern betroffen. Dementsprechend handelt es sich bei Auftragsdatenverarbeitern in Drittländern stets um „Dritte“ i.S.d. § 3 Abs. 8 Satz 2, so dass mithin eine Übermittlung i.S.v. § 3 Abs. 4 Nr. 3 vorliegt. Konsequenz daraus ist, dass die Privilegierung des § 11 demnach nicht für die Auftragsdatenverarbeitung in Drittstaaten einschlägig ist3. Das Problem dieser fehlenden Privilegierung lässt sich im Hinblick auf die Rechtmäßigkeitsvoraussetzungen der Übermittlung an Auftragsdatenverarbeiter in Drittstaaten an zwei Stellen feststellen4. (i) Die Übermittlung auf der Primärebene unterliegt dem Erlaubnisvorbehalt des § 4 Abs. 1 und muss so jeweils im Einzelfall nach §§ 28 bis 32 gerechtfertigt, bzw. durch eine Einwilligung des Betroffenen gedeckt sein. (ii) Zu1 Taeger/Gabel/Gabel, § 4b BDSG Rz. 14. 2 EuGH v. 6.11.2003 – Rs. C-101/01, CR 2004, 286 = MMR 2004, 95 – Bodil Lindqvist, Besprechung von Taraschka, CR 2004, 280; a.A. Weichert, DuD 2009, 7 (8); Däubler/Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 16a. 3 Taeger/Gabel/Gabel, § 11 BDSG Rz. 25; Simitis/Dammann, § 3 BDSG Rz. 246; Spindler/Schuster, Recht der elektronischen Medien, § 11 BDSG Rz. 14; Gola/ Schomerus, § 11 BDSG Rz. 16; Dammann, RDV 2002, 70 (73). 4 So auch Spindler/Schuster, Recht der elektronischen Medien, § 11 BDSG Rz. 14; Gola/Schomerus, § 11 BDSG Rz. 16; Weber/Voigt, ZD 2011, 74 (75); in Lehre und Praxis allerdings oft verkannt.
v. d. Bussche
127
BDSG § 4b
Allgemeine und gemeinsame Bestimmungen
sätzlich sind auf der Sekundärebene die Zulässigkeitsvoraussetzungen für die Drittlandsübermittlung des § 4b Abs. 2 und 3 zu erfüllen1. Man spricht daher auch von einer „unechten“ Auftragsdatenverarbeitung2. Dass diese rechtliche Behandlung nicht mit den praktischen Bedürfnissen im internationalen Datenverkehr vereinbar ist, liegt auf der Hand. Für die heute üblichen Hosting-, Outsourcing- und Cloud Computing Services durch Auftragsdatenverarbeiter in Drittländern wie den USA oder Indien sind infolgedessen umständliche Vertragskonstruktionen nötig, um eine Auftragsdatenverarbeitung, auch in diesen Ländern rechtlich zulässig zu ermöglichen. Dies führt für die Auftraggeber zu einer erheblichen Einbuße ihrer unternehmerischen Handlungsfreiheit. 17 Um die Voraussetzungen an die Auslandsübermittlung i.S.d. § 4b Abs. 2 und 3 zu erfüllen, dient die Verwendung der zum Zweck der Auftragsdatenverarbeitung in Drittstaaten zugeschnittenen Standardvertragsklauseln der EU-Kommission bisweilen als wirksame Lösung auf der Sekundärebene. Dadurch wird es dem Auftraggeber durch entsprechende vertragliche Vereinbarung mit dem Auftragsdatenverarbeiter ermöglicht, ein angemessenes Datenschutzniveau i.S.d. § 4c Abs. 2 für die jeweilige Drittlandsübermittlung ausreichend zu garantieren und sie so zu legitimieren (ausführlich unter § 4c Rz. 31 ff.). Darüber hinaus ist der Einsatz von Binding Coporate Rules bei konzerninternen Übermittlungen (siehe § 4c Rz. 38 ff.) oder Safe-Harbor-Zertifizierungen bei der Zusammenarbeit mit Auftragsdatenverarbeitern in den USA möglich (siehe Rz. 30). Bei einer Übermittlung in Drittländer, für welche die EU-Kommission die Gewährleistung eines angemessenen Schutzniveaus verbindlich festgestellt hat (siehe Rz. 29 unten), sind keine weiteren Garantien erforderlich. 18 Deutlich komplizierter und umstrittener gestaltet sich allerdings die Suche nach einem möglichen Lösungsweg zur Überwindung der Primärebene ohne jeweils im Einzelfall auf eine Rechtfertigung nach §§ 28 ff. bzw. eine Einwilligung des Betroffenen angewiesen zu sein. Denn allein wirtschaftliche Interessen einer verantwortlichen Stelle an einer Auftragsdatenverarbeitung in Drittstaaten, z.B. aus Gründen der Kostenersparnis, sind für eine Rechtfertigung dieser Datennutzung regelmäßig nicht ausreichend. Zur Lösung dieses Problems werden hauptsächlich zwei praxisorientierte Ansätze vertreten. So gehen sowohl einige Stimmen in der Literatur als auch die deutschen Aufsichtsbehörden grund-
1 Vgl. Grützmacher, ITRB 2007, 183, 186; a.A. mit ausführlicher Kritik: Giesen, CR 2007, 543. 2 Scholz/Lutz, CR 2011, 424 (426).
128 v. d. Bussche
Übermittlung ins Ausland
§ 4b BDSG
sätzlich davon aus, dass eine Datenübermittlung an einen in einem Drittstaat ansässigen Auftragsdatenverarbeiter zwar grundsätzlich den Voraussetzungen der §§ 28 ff. unterliegt. Die dort vorgesehene Abwägung zwischen den Interessen der verantwortlichen Stelle und denen des Betroffenen kann allerdings in der Regel dann zum Vorteil der verantwortlichen Stelle getroffen werden, wenn über die Vereinbarung der oben genannten Standardvertragsklauseln hinaus die Anforderungen nach § 11 Abs. 2 BDSG erfüllt und entsprechend vertraglich abgebildet werden. Dies kann durch Regelungen in den Anlagen zum Standardvertrag und/oder ergänzende geschäftsbezogene Klauseln oder durch separate vertragliche Regelungen mit dem Auftragsdatenverarbeiter erfolgen1. Die andere Ansicht geht von einer analogen Anwendung des § 3 Abs. 8 Satz 3 auf Auftragsdatenverarbeiter in Drittstaaten aus, sofern die EU-Standardvertragsklauseln verwendet werden. Dies hätte zur Konsequenz, dass der Erlaubnisvorbehalt des § 4 Abs. 1 nicht greift und folglich eine Rechtfertigung nach §§ 28 ff. samt Interessenabwägung nicht erforderlich wäre. Mithin wäre nach dieser Ansicht von einer Privilegierung der Auftragsdatenverarbeitung in Drittländern gemäß §§ 11, 3 Abs. 8 Satz 3 analog auszugehen. Dennoch wird zur Absicherung eine Ergänzung der Standardvertragsklauseln durch die Anforderungen des § 11 Abs. 2 empfohlen2. Im Ergebnis wird eine zur erstgenannten Ansicht identische vertragliche Konstellation zu Grunde gelegt. Unabhängig davon, welche Schlussfolgerungen man aus oben genannter 19 vertraglicher Konstellation schließen will, ist für die Praxis jedenfalls davon auszugehen, dass eine Auftragsdatenverarbeitung in Drittstaaten zulässig sein dürfte, vorausgesetzt dass die verantwortliche Stelle das Vorhaben entsprechend den oben genannten Voraussetzungen vertraglich absichert. Insofern sollte der Auftraggeber dafür Sorge tragen, dass 1 So Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, „Orientierungshilfe – Cloud Computing“ v. 26.9.2011, S. 10 ff., abrufbar unter http://www.datenschutz-bayern.de/tech nik/orient/oh_cloud.pdf (Stand November 2011); Regierungspräsidium Darmstadt, Arbeitsbericht der ad-hoc-Arbeitsgruppe, Konzerninterner Datentransfer“, abrufbar unter https://www.ldi.nrw.de/mainmenu_Datenschutz/ submenu_Datenschutzrecht/Inhalt/Personalwesen/Inhalt/5_Beschaeftigten datenschutz_Konzern/arbeitspapier_ad_hoc_idv.pdf, S. 15 (Stand November 2011); so auch Grützmacher, ITRB 2007, 183, 186; Rittweger/Schmidl, DuD 2004, 617, 620; im Ergebnis auch Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 20. 2 So Weber/Voigt, ZD 2011, 74, 77 f.; auch von einer Analogie ausgehend Räther, DuD 2005, 461 (465); Nielen/Thum, K&R 2006, 171 (174) (allerdings Analogie zu § 11).
v. d. Bussche
129
BDSG § 4b
Allgemeine und gemeinsame Bestimmungen
sowohl die Anforderungen der EU-Standardvertragsklauseln als auch die des § 11 Abs. 2 vertraglich erfüllt sind1. Ersichtlich handelt es sich hierbei um einen juristischen „Workaround“ für diese äußerst praxisrelevante Aufgabenstellung. Das BDSG stellt hierfür bedauerlicherweise keine gesetzliche und vor allem praxistaugliche Vorgehensweise zur Verfügung. Es bleibt folglich ein gewisses Maß an Rechtsunsicherheit. Abhilfe kann hier nur der Gesetzgeber schaffen. 2. Keine Datenübermittlung bei entgegenstehenden schutzwürdigen Interessen 20 Die Zulässigkeit der Datenübermittlung im Anwendungsbereich von Abs. 2 und 3 unterscheidet sich zunächst nicht von Abs. 1. Denn es „gilt Abs. 1 entsprechend“, d.h. auch die Datenübermittlung in Drittländer muss sich auf einen allgemeinen Erlaubnistatbestand des BDSG für die Übermittlung stützen können. Dies ist konsequent, denn sonst würden für die Datenübermittlung in Drittstaaten geringere Anforderungen an die Datenübermittlung gelten als für die Übermittlung innerhalb des Geltungsbereiches der EG-Datenschutzrichtlinie. Eventuell existierende Datenübermittlungspflichten im Empfängerland (z.B. Compliance-Anforderungen oder Auskunftspflichten im Rahmen von Pretrial Discovery Verfahren) genügen als Erlaubnistatbestand nicht, können jedoch unter Umständen bei der Anwendung der deutschen Vorschriften Berücksichtigung finden, bspw. im Rahmen einer Interessenabwägung2. 21 Abs. 2 Satz 2 enthält die wichtigste Einschränkung der Datenübermittlung in Drittstaaten: Diese darf nicht erfolgen, wenn und soweit der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat. Als Regelbeispiel wird das fehlende angemessene Datenschutzniveau bei der empfangenden Stelle genannt (siehe sogleich Rz. 23 f.). Dem Wortlaut nach („insbesondere“) sind auch andere schutzwürdige Interessen des Betroffenen denkbar. Diese werden sich – der Zielrichtung des Datenschutzrechts entsprechend – vor allem aus dem Persönlichkeitsrecht und dem Recht auf informationelle Selbstbestimmung ergeben3. Praktische Relevanz hat jedoch lediglich das ausdrücklich erwähnte Fehlen eines angemessenen Datenschutzniveaus erlangt4. 1 2 3 4
Im Ergebnis auch Weber/Voigt, ZD 2011, 74 (78). Taeger/Gabel/Gabel, § 4b BDSG Rz. 18. Vgl. Roßnagel/Globig, Handbuch Datenschutzrecht, Kap. 4.7 Rz. 116. Die EG-Datenschutzrichtlinie selbst nennt allein das angemessene Datenschutzniveau als Voraussetzung für die Zulässigkeit der Datenübermittlung, erwähnt andere Ausschlussgründe aber nicht, vgl. Art. 25 Abs. 1 und 4.
130 v. d. Bussche
Übermittlung ins Ausland
§ 4b BDSG
Abs. 2 Satz 3 regelt die Gegenausnahme zu Satz 2: Evtl. existierende 22 schutzwürdige Interessen des Betroffenen sind demnach dann unbeachtlich, wenn eine öffentliche Stelle des Bundes die Datenübermittlung zur Erfüllung eigener Aufgaben vornimmt und diese aus bestimmten, eng umrissenen zwingenden Gründen (Verteidigung, Krisenbewältigung oder Konfliktverhinderung bzw. humanitäre Maßnahmen) erforderlich ist. a) Fehlendes angemessenes Datenschutzniveau Eine Übermittlung personenbezogener Daten soll insbesondere dann un- 23 terbleiben, wenn kein angemessenes Datenschutzniveau gewährleistet ist. Vom Wortlaut der Norm ausgehend, ist auf die „Stelle“ als Bezugspunkt abzustellen. Daraus wäre zu folgern, dass das an der empfangenden Stelle herrschende Datenschutzniveau maßgeblich ist und es nicht darauf ankommt, ob das Empfängerland insgesamt ein angemessenes Datenschutzniveau vorweisen kann1. Diese Schlussfolgerung ist allerdings problematisch, denn so würde das BDSG von den Vorgaben der EG-Datenschutzrichtlinie abweichen, weil dessen hier umgesetzter Art. 25 Abs. 2 auf das angemessene Schutzniveau im jeweiligen „Drittland“ abstellt. Insofern wird nach herrschender Meinung sowie etablierter Praxis der Aufsichtsbehörden entgegen dem als „verunglückt“ angesehenen Wortlaut von § 4b Abs. 2 auch auf das Datenschutzniveau des „Drittstaates“ und nicht der „Stelle“ abgestellt. Fraglich bleibt, wie diese Abweichung hergeleitet werden kann. Im Zusammenhang mit der akzessorischen Ausnahmevorschrift des 24 § 4c (insbesondere Abs. 2) tritt die Inkohärenz innerhalb der Regelungssystematik der §§ 4b und c im Vergleich zu den durch sie umgesetzten Art. 25 und 26 der EG-Datenschutzrichtlinie deutlich zu Tage. Der Systematik der Art. 25, 26 der EG-Datenschutzrichtlinie liegt nämlich folgender Gedanke zu Grunde: Sofern ein Drittstaat kein angemessenes Datenschutzniveau gemäß Art. 25 Abs. 1, 2 aufweisen kann, so kann dieses Defizit des Drittlandes überwunden werden, wenn (i) eine Ausnahme i.S.d. Art. 26 Abs. 1 vorliegt oder (ii) der jeweilige Mitgliedstaat die geplante Übermittlung genehmigt, sofern der Datenübermittler ein angemessenes Schutzniveau gemäß Art. 26 Abs. 2 i.d.R. durch entsprechende Verträge garantieren kann2. Somit liegen beiden Normen diffe1 So Taeger/Gabel/Gabel, § 4b BDSG Rz. 21; Räther/Seitz, MMR 2002, 425 (426); Lejeune, ITRB 2005, 94; Conrad, ITRB 2005, 164 (169). 2 Siehe auch Erwägungsgrund 59 der EG-Datenschutzrichtlinie.
v. d. Bussche
131
BDSG § 4b
Allgemeine und gemeinsame Bestimmungen
rente Bezugspunkte zu Grunde. Art. 25 stellt auf das Schutzniveau im gesamten Drittstaat ab, während sich die Ausnahmevorschrift des Art. 26 Abs. 2 auf das vom Datenübermittler ausreichend garantierte Schutzniveau der konkreten Datenübermittlung bezieht. Diese Unterscheidung geht dem Wortlaut der Umsetzung des deutschen Gesetzgebers verloren, der allein auf ein Defizit im Schutzniveau bei der empfangenden Stelle Bezug nimmt. 25 Bei der Bestimmung des angemessenen Schutzniveaus durch den Datenübermittler gemäß § 4b Abs. 3 ergibt sich daraus folgende Problematik: Nach dem Wortlaut des Abs. 3 sind zur Feststellung eines angemessenen Schutzniveaus nämlich alle für eine Datenübermittlung bedeutsamen Umstände zu berücksichtigen (sogleich unter Rz. 28). Sofern nun im Rahmen der Prüfung des § 4b Abs. 3 das angemessene Schutzniveau bei der empfangenden Stelle und nicht des Drittstaats insgesamt zu evaluieren wäre, müssten konsequenterweise auch sämtliche Umstände, somit auch solche, die das Schutzniveau der konkreten empfangenden Stelle charakterisieren, bereits in die Prüfung nach § 4b Abs. 3 und nicht erst im Rahmen der Ausnahmegenehmigung gemäß § 4c Abs. 2 einfließen1. Der Genehmigungsvorbehalt der Aufsichtsbehörde nach § 4c Abs. 2 wäre somit obsolet und die Datenübermittlung originär nach § 4b Abs. 2, 3 nach eigenem Ermessen des Datenübermittlers zulässig2. Des Weiteren wäre die Privilegierung von öffentlichen Stellen nach § 4c Abs. 2 Satz 3 hinsichtlich der Selbstkontrolle über die Vorlage von „ausreichenden Garantien“ i.S.d. § 4c Abs. 2 Satz 1 gegenstandslos3. 26 Dies entspricht aber weder den Vorgaben der EG-Datenschutzrichtlinie, noch kann davon ausgegangen werden, dass der deutsche Gesetzgeber Entsprechendes beabsichtigt hat. In der Gesetzesbegründung wird folglich auch stets auf das Erfordernis eines angemessenen Datenschutzniveaus im Drittstaat abgestellt4. Insofern muss davon ausgegangen werden, dass der Wortlaut des § 4b Abs. 2 als „unglücklich“ gewählt zu begreifen und nach dem Willen des Gesetzgebers auf das Schutzniveau des Drittlandes insgesamt abzustellen ist. Ebenso ist eine solche Auslegung der Norm, wie oben erörtert, im Hinblick auf ihre Richtlinienkonformität und aufgrund systematischer Gesichtspunkte, insbeson1 Vgl. ferner Gola/Schomerus, § 4c BDSG Rz. 16; Taeger/Gabel/Gabel, § 4c BDSG Rz. 31. 2 Ausführlich: Rittweger/Weiße, CR 2003, 142, 146 ff.; ferner Backes/Eul/Guthmann/Martwich/Schmidt, RDV 2004, 156 f. 3 Vgl. Taeger/Gabel/Gabel, § 4c BDSG Rz. 31. 4 BT-Drucks. 14/4329, S. 34, 35.
132 v. d. Bussche
Übermittlung ins Ausland
§ 4b BDSG
dere der gesetzlichen Verteilung der Prüfungskompetenzen, geboten. Schließlich stellte die EU-Kommission in einem Antwortschreiben gegenüber dem Düsseldorfer Kreis fest, dass lediglich rechtliche Regelungen, die die verantwortliche Stelle im Drittland bereits vorfindet, in den Anwendungsbereich des Art. 25 Abs. 1 der EG-Datenschutzrichtlinie (mithin § 4b Abs. 2, 3) fallen1. Das konkrete datenschutzrechtliche Niveau an der empfangenden Stelle spielt indes ebenfalls eine Rolle, allerdings erst im Rahmen einer möglichen Genehmigung nach § 4c Abs. 2 (siehe dazu § 4c Rz. 20)2.
27
Die Angemessenheit des Datenschutzniveaus muss gemäß Abs. 3 „un- 28 ter Berücksichtigung aller Umstände beurteilt [werden], die bei einer Datenübermittlung von Bedeutung sind.“ Das Gesetz selbst nennt nur wenige konkrete Anhaltspunkte. Abzustellen sei zum einen auf die Art der Daten und die Dauer ihrer Übermittlung, zum anderen auf die für den Empfänger geltenden datenschutzrechtlichen gesetzlichen Bestimmungen im Empfängerland. Als angemessen gilt ein Schutzniveau in der Regel dann, wenn der Schutz an der Empfängerstelle den Grundsätzen der EG-Datenschutzrichtlinie im Wesentlichen entspricht – ein identisches Schutzniveau ist aber weder gefordert noch erforderlich3. Der Nachweis über die Angemessenheit des Schutzniveaus obliegt dem Übermittler der personenbezogenen Daten, denn dieser trägt auch die Verantwortung für die Zulässigkeit der Übermittlung (Abs. 5). Im Einzelfall kann die Erbringung dieses Nachweises zeit- und kostenintensiv sowie fehleranfällig sein, denn im Grunde muss die übermittelnde Stelle das gesamte datenschutzrechtliche Regime eines Drittlandes analysieren und mit den hiesigen Standards vergleichen. Dies wird die übermittelnde Stelle regelmäßig überfordern4. Eine gewisse Hilfestellung bieten insofern die Working Papers der sogenannten Artikel-29-Datenschutzgruppe, welche die EU-Kommission in datenschutzrechtlichen Angelegenheiten berät. Die Artikel-29-Datenschutzgruppe hat schon sehr frühzeitig allgemeine Kriterien zur Beurteilung der Angemessenheit des Schutzniveaus von Drittländern veröffentlicht5 und nimmt re1 BlnDSB, Jahresbericht 2003, Ziff. 4.7.2, RDV 2004, 135 (136). 2 Vgl. Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 29. 3 Simitis/Simitis, § 4b BDSG Rz. 52, abstellend auf den „harten Kern“ des Datenschutzes. 4 Vgl. Moos, CR 2010, 281; Rittweger/Schmidl, DuD 2004, 617 (618). 5 Artikel-29-Datenschutzgruppe, WP 4: „Erste Leitlinien für die Übermittlung personenbezogener Daten in Drittländer – Mögliche Ansätze für eine Bewertung der Angemessenheit“.
v. d. Bussche
133
BDSG § 4b
Allgemeine und gemeinsame Bestimmungen
gelmäßig zur datenschutzrechtlichen Situationen in ausgewählten Staaten Stellung1. 29 Praktisch relevanter sind hingegen die Mitteilungen der EU-Kommission. Denn diese ist gemäß Art. 25 Abs. 6 der EG-Datenschutzrichtlinie berechtigt verbindlich festzustellen, dass in einem bestimmten Land ein angemessenes Datenschutzniveau gewährleistet ist. Liegt eine solche Feststellung für ein bestimmtes Land vor, kann die Einzelfallbetrachtung entfallen und sich der Datenübermittler hierauf berufen. Stehen auch keine sonstigen schutzwürdigen Interessen des Betroffenen der Datenübermittlung entgegen, ist diese zulässig2. Bisher hat die EU-Kommission das Datenschutzniveau der folgenden Staaten für angemessen erklärt3: Argentinien, Guernsey, Isle of Man, Jersey, Schweiz und Kanada (zum Teil). b) Sonderfall USA: Safe-Harbor-Prinzipien und bilaterale Sonderregelungen 30 Für die USA existiert eine Feststellung eines angemessenen Datenschutzniveaus seitens der EU-Kommission nicht, weil der dortige datenschutzrechtliche Ansatz (lediglich sporadische und sektorale Datenschutzgesetze, Betonung der Selbstregulierung) kein für europäische Verhältnisse angemessenes Schutzniveau garantiert4. Deshalb haben sich die EU-Kommission und das US-Handelsministerium auf sog. „Safe Harbor Principles“ geeinigt5. Unternehmen, die diese Prinzipien umsetzen, gelten als datenschutzrechtlich sicher; ihr Schutzniveau gilt demnach als angemessen. Das US-Handelsministerium führt eine im Internet abrufbare Liste aller Unternehmen, die dem Safe Harbor-Abkommen beigetreten sind6. 31 Der Beitritt des Datenempfängers zum Safe Harbor-Abkommen allein ermöglicht die Datenübermittlung jedoch nicht in jedem Fall. Die Un1 Die mit der Datenübermittlung befassten Working Papers der Artikel-29-Datenschutzgruppe sind abrufbar unter http://ec.europa.eu/justice/policies/privacy/ policy_papers/policy_papers_topic_en.htm#Transfers (Stand September 2012). 2 Taeger/Gabel/Gabel, § 4b BDSG Rz. 22. 3 Aktuelle Liste und individuelle Entscheidungen abrufbar unter http://ec.euro pa.eu/justice/policies/privacy/index_en.htm (Stand September 2012). 4 Zu den Hintergründen Räther/Seitz, MMR 2002, 425, 427; von Rosen, BB 2009, 230 (232); Starosta, DuD 2010, 236 (238). 5 Zusammenfassender Überblick über wesentliche Regelungen bei Wisskirchen, CR 2004, 862 (864 f.). 6 Einsehbar unter: https://www.export.gov/safehrbr/list.aspx (Stand September 2012).
134 v. d. Bussche
Übermittlung ins Ausland
§ 4b BDSG
ternehmen können beim Beitritt nämlich selbst bestimmen, auf welche Arten von personenbezogenen Daten sich die Safe Harbor Principles erstrecken sollen und auf welche nicht – es muss daher stets im Einzelfall überprüft werden, ob ein Unternehmen auch die konkret betroffenen personenbezogene Daten in einem ausreichenden Umfang schützen will1. Außerdem muss der Beitritt jährlich bestätigt werden2. Bei längerfristigen Geschäftsbeziehungen ist daher eine regelmäßige Kontrolle notwendig, ob sich das Unternehmen nach wie vor zu den Safe Harbor Principles bekennt. Die Arbeitsgruppe „Internationaler Datenverkehr“ des Düsseldorfer Kreises hat diesbezüglich in einem Beschluss die Kontrollpflichten eines Datenexporteurs gegenüber US-Unternehmen näher konkretisiert3. Nach Ansicht der Datenschützer soll sich ein datenexportierendes Unternehmen von dem datenempfangenden Unternehmen nachweisen lassen, dass die Safe Harbor-Selbstzertifizierung tatsächlich vorliegt und eingehalten wird (vgl. Abs. 5). Außerdem solle es klären, ob die Zertifizierung noch gültig ist und Nachweise darüber fordern, wie das US-Unternehmen seinen Informationspflichten aus den Safe Harbor-Bestimmungen gegenüber den Betroffenen nachkommt. Diese Mindestprüfungen sollen von dem exportierenden Unternehmen zu Nachweiszwecken dokumentiert werden. Kann ein US-Unternehmen diese Nachweise nicht erbringen, so empfiehlt der Beschluss, stattdessen auf Standard-Vertragsklauseln oder bindende Unternehmensrichtlinien auszuweichen (siehe dazu § 4c Rz. 27 ff., 38 ff.). Der Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat jüngst diese empfohlene Vorgehensweise auch für Datenübermittlungen an US-amerikanische Cloud-Computing-Anbieter bestätigt4. Der Arbeitskreis formulierte ferner, dass im Falle einer beabsichtigten Auftragsdatenverarbeitung gemäß § 11 die Privilegierung § 3 Abs. 8 Satz 3 BDSG zwar nicht auf Anbieter in Drittstaaten übertragbar ist5, nichtsdestotrotz be1 Taeger/Gabel/Gabel, § 4b BDSG Rz. 23. 2 Backes/Eul/Guthmann/Martwich/Schmidt, RDV 2004, 156 (161). 3 Beschluss der obersten Aufsichtsbehörden für den Datenschutz für den Datenschutz im nicht-öffentlichen Bereich am 28./29.4.2010 in Hannover: „Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen“, abrufbar z.B. von http:// www.lfd.niedersachsen.de/download/38062 (Stand September 2012). 4 Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing Version 1.0, v. 26.9.2011, S. 12, abrufbar unter: http://www.datenschutz-bayern.de/tech nik/orient/oh_cloud.pdf (Stand September 2012). 5 Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing Version 1.0, v.
v. d. Bussche
135
BDSG § 4b
Allgemeine und gemeinsame Bestimmungen
stätigten die Datenschutzbeauftragten richtigerweise, dass bei Abschluss von Standardvertragsklauseln, die durch die deutschen Regelungen zur Auftragsdatenverarbeitung nach § 11 angereichert werden, die Nutzung von Cloud-Computing-Anbietern in Drittstaaten grundsätzlich zulässig sein kann1. 32 Zu beachten ist ferner, dass die Safe Harbor-Prinzipien auf US-amerikanische Gerichte als empfangende Stelle, ungeachtet der Frage, ob sich solche überhaupt zu ihnen bekennen könnten, nur sehr begrenzt anwendbar sind, da Gerichtsverfahren und insbesondere Beweise dort grundsätzlich öffentlich zugänglich sind2. Freilich ist auch nicht zu erwarten, dass ein Gericht in den USA sich in Zukunft zu den Safe-Harbor-Prinzipien bekennen wird. Konsequenz daraus ist, dass hinsichtlich Gerichtsverfahren in den USA kein angemessenes Datenschutzniveau existiert3. Eine Datenübermittlung gestützt auf § 4b Abs. 2 ist somit nicht zulässig. Die Zulässigkeit einer Übermittlung personenbezogener Daten an US-amerikanische Gerichte bzw. auf deren Beschluss, bestimmt sich somit alleinig nach Maßgabe des § 4c (siehe dazu § 4c Rz. 13 f.)4. Relevant wird diese Problematik außerdem, wenn sich deutsche Unternehmen amerikanischen Pretrial Discovery Verfahren ausgesetzt sehen und (auch) zur Herausgabe personenbezogener Daten verpflichtet werden sollen (siehe dazu § 4c Rz. 14). Diese Verfahren bezeichnen die im Vorfeld der Hauptverhandlung auf Beschluss des Prozessgerichts stattfindende und prinzipiell grenzenlose Aufklärung des Sachverhalts durch die Anwälte der Parteien5. 33 Keine Anwendung finden die Safe Harbor-Prinzipien auch auf Industriebereiche, die nicht der Aufsicht des US-Handelsministeriums unterliegen. Dies ist für die Telekommunikationsbranche (diese unterliegt der Aufsicht durch die Federal Communications Commission) und weite Teile des Finanzsektors (die Aufsicht erfolgt durch die verschiedene Behörden, u.a. die United States Securities and Exchange Commission) der Fall6.
1 2 3 4 5 6
26.9.2011, S. 11, abrufbar unter: http://www.datenschutz-bayern.de/technik/ori ent/oh_cloud.pdf (Stand September 2012). Im Ergebnis auch sowie mit zutreffenden Praxishinweisen: Weber/Voigt, ZD 2011, 74 ff. Seffer, ITRB 2002, 66 (67 f.). Vgl. Spies/Schröder, MMR 2008, 275 (279); Brisch/Laue, RDV 2010, 1 (6). Zum Verhältnis von Pretrial Discovery und Datenschutz: Seffer, ITRB 2002, 66. Ausführlich Spies, MMR 2007, V ff. Spies/Schröder, MMR 2008, 275 (279); ferner Lejeune, ITRB 2005, 94 (96).
136 v. d. Bussche
Übermittlung ins Ausland
§ 4b BDSG
Weitere speziell die USA betreffende Sonderregelungen existieren für 34 zwei Datenübermittlungsverfahren, die im Zuge der verschärften Sicherheitsmaßnahmen nach den Terroranschlägen vom 11. September 2001 von den USA eingefordert wurden: Die Übermittlung von Fluggastdaten („Passenger Name Records“) an das US-Heimatschutzministerium ist von der EU und den USA seit dem 20071 in einem speziellen Abkommen geregelt2, das Deutschland durch Bundesgesetz umgesetzt hat3. Auch die Übermittlung von Daten über Finanztransaktionen beim internationalen Zahlungsverkehr aus dem SWIFT-System ist nunmehr auf ein eigenständiges Abkommen gestützt4. Damit sind zwei besonders sensible Bereiche der transatlantischen Datenübermittlung durch spezielle Abkommen geregelt, die im Verhältnis zu § 4b lex specialis sind5. Hingewiesen sei außerdem auf das „Abkommen über die Vertiefung der Zusammenarbeit bei der Verhinderung und Bekämpfung schwerwiegender Kriminalität“ zwischen Deutschland und den USA, durch das der Datenaustausch zwischen deutschen und US-amerikanischen Polizeiund Strafverfolgungsbehörden geregelt wurde6. Der USA PATRIOT Act stellt kein solches Abkommen für die Übermittlung von Daten dar7. 1 Zur Vorgeschichte: Räther, DuD 2004, 468; zum ursprünglichen Abkommen, das vom EuGH für unwirksam erklärt wurde (vgl. EuGH, NJW 2006, 2029 – Fluggastdaten): Ehricke/Becker/Walzel, RDV 2006, 149. 2 Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS) (PNR-Abkommen von 2007), ABl. EG L 204/18 v. 4.8.2007. 3 Gesetz zu dem Abkommen vom 26. Juli 2007 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) und deren Übermittlung durch die Fluggesellschaften an das United States Department of Homeland Security (DHS) (PNR-Abkommen von 2007), PNRAbk2007G, BGBl. 2007 Teil II, S. 1978. 4 Beschluss des Rates v. 13.7.2010 (2010/412/EU) über den Abschluss des Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus, ABl. EU Nr. L 195 v. 27.5.2010, S. 3. 5 Vgl. BT-Drucks. 14/4329, S. 34; Simitis/Simitis, § 4b BDSG Rz. 37 und 40; Taeger/Gabel/Gabel, § 4b BDSG Rz. 12. 6 BGBl. 2009 Teil II, S. 1010; zu den Hintergründen siehe die Antwort der Bundesregierung auf die Kleine Anfrage Abgeordneter der FDP-Fraktion, BTDrucks. 16/8655; ausführlich: Starosta, DuD 2010, 236. 7 Vgl. zum USA PATRIOT Act Becker/Nikolaeva, CR 2012, 170 (174 ff.); Spies, ZD-Aktuell, 2012, 03062.
v. d. Bussche
137
BDSG § 4b
Allgemeine und gemeinsame Bestimmungen
IV. Pflichten und Verantwortung der übermittelnden Stelle (Abs. 4–6) 35 Abs. 4 verpflichtet die übermittelnde öffentliche Stelle dazu, den Betroffenen über die Datenübermittlung zu informieren. Durch den Verweis auf § 16 wird deutlich, dass diese Informationspflicht nur öffentliche Stellen trifft und diese auch nur dann, wenn sie Daten an nicht-öffentliche Stellen übermitteln1. Die Regelung ist vom Wortlaut identisch mit § 16 Abs. 3 und ergänzt die schon in Abs. 1 angeordnete Anwendung von § 16 Abs. 1. Hinsichtlich Umfang und Art der notwendigen Unterrichtung und ihrer Ausnahmen kann daher auf die Kommentierung von § 16 Abs. 3 verwiesen werden (§ 16 Rz. 11 ff.). 36 Die Verantwortung für die Zulässigkeit der Übermittlung (nicht aber für einen evtl. später erfolgenden und nicht vorhersehbaren Missbrauch der Daten durch die empfangende Stelle) liegt beim Datenexporteur (Abs. 5). Dieser muss also die Einhaltung der allgemeinen Zulässigkeitsvoraussetzungen des BDSG und das Vorliegen aller Voraussetzungen des § 4b in eigener Verantwortung prüfen2. 37 Übermittelnde Stelle i.S.v. § 4b Abs. 5 ist diejenige Stelle, welche die personenbezogenen Daten ins Ausland übermittelt. Grundsätzlich ist sie identisch mit der verantwortlichen Stelle i.S.d. § 3 Abs. 73. Die übermittelnde Stelle lässt sich dann häufig nur unter erschwerten Bedingungen feststellen, wenn personenbezogene Daten in konzernweiten Datenbanken durch verschiedene Konzernunternehmen eingespeist werden oder innerhalb eines Konzerns zwischen verschiedenen Konzerneinheiten weitergeleitet werden4. In diesem Fall stellt sich die Frage, welche dieser verschiedenen Stellen, bzw. ob sämtliche in Europa bzw. Deutschland ansässige Konzernunternehmen, letztlich als übermittelnde Stelle i.S.v. § 4b anzusehen sind5. Die Klärung dieser Frage ist von erheblicher Relevanz dafür, welche Stellen eines Konzerns für die Einhaltung der Anforderungen der §§ 4b und c zu sorgen haben und dementsprechend die nötigen Verträge (EU-Standardverträge oder Individualverträge) zur Gewährleistung eines angemessenen Schutzniveaus bei Drittlandsübermittlungen abzuschließen haben, sowie welche nationale Aufsichts1 Vgl. Däubler/Klebe/Wedde/Weichert/Däubler, § 4b BDSG Rz. 19; Taeger/Gabel/Gabel, § 4b BDSG Rz. 26. 2 Ausführlich zu Inhalt und Umfang der Prüfungspflicht: Rittweger/Weiße, CR 2003, 142 (143). 3 Schaffland/Wiltfang, § 4b BDSG Rz. 6. 4 Taeger/Gabel/Gabel, § 4b BDSG Rz. 28. 5 Hillenbrand-Beck, RDV 2007, 231 (232).
138 v. d. Bussche
Übermittlung ins Ausland
§ 4b BDSG
behörde (etwa für ein etwaiges Genehmigungsverfahren nach § 4c Abs. 2 bzw. die Abstimmung verbindlicher Unternehmensregelungen) zuständig ist (siehe auch § 4c Rz. 26)1. Zur Lösung der Frage wird seitens der Aufsichtsbehörden darauf abgestellt, welcher Stelle innerhalb des Konzerns die Entscheidungsbefugnis über den jeweils vorzunehmenden Übermittlungsvorgang obliegt2. Es gilt also zu prüfen, ob jede Stelle für sich selbst über den Datenexport entscheidet oder ob die Entscheidung bei der Konzernmutter oder einer anderen (Haupt-)Niederlassung konzentriert ist. Auch rechtlich unselbständige Niederlassungen können nach Meinung der Aufsichtsbehörden übermittelnde Stelle im Sinne der Norm sein; die nötigen Genehmigungsverfahren sollen allerdings von der jeweiligen Hauptniederlassung bei der für sie zuständigen Aufsichtsbehörde zu initiieren sein3. Sofern nun bspw. eine Übermittlung von einem Konzernunternehmen an die in einem Drittland ansässige Konzernmutter auf deren Anordnung erfolgt, ergibt sich die Besonderheit, dass dieser Vorgang formal keinen „Datenexport“ i.S.d. §§ 4b und c darstellt. Konsequenz aus vorstehenden Überlegungen ist nämlich, dass das anfordernde Konzernunternehmen, an das die Übermittlung erfolgen soll, gleichzeitig auch als datenexportierende Stelle i.S.d. §§ 4b und c anzusehen ist, da dort die diesbezügliche Entscheidungsgewalt liegt4. Aus Konformitätsgründen im Hinblick auf Art. 25, 26 der EG-Datenschutzrichtlinie wird jedoch von den Aufsichtsbehörden vertreten, solche Vorgänge trotzdem den Anforderungen der §§ 4b und c zu unterwerfen5. Umfassend zu dieser Thematik verbleibt zu beachten, dass nicht abseh-
1 Taeger/Gabel/Gabel, § 4b BDSG Rz. 28; Hillenbrand-Beck, RDV 2007, 231 (232). 2 So Hillenbrand-Beck, RDV 2007, 231 (232); Taeger/Gabel/Gabel, § 4b BDSG Rz. 28; Zwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/7646, S. 18; Positionspapier des Düsseldorfer Kreises v. 19./20.4.2007 zum Internationalen Datenverkehr, Ziff. I.3. 3 Zwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/7646, S. 17 f.; Positionspapier des Düsseldorfer Kreises v. 19./20.4.2007 zum Internationalen Datenverkehr, Ziff. I.1. und I.2. 4 Vgl. auch Hillenbrand-Beck, RDV 2007, 231 (232). 5 Ausführlich Neunzehnter Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/5892 Ziff. 11.2; Fünfzehnter Bericht der Hessischen Landesregierung, LT-Drucks. 15/46503 Rz. 5; Hillenbrand-Beck, RDV 2007, 231 (232); Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 17a.
v. d. Bussche
139
BDSG § 4c
Allgemeine und gemeinsame Bestimmungen
bar ist, inwiefern andere europäische Aufsichtsbehörden der oben aufgezeigten Differenzierung beipflichten werden1. 38 Gemäß Abs. 6 ist die empfangende Stelle auf den Zweck der Datenübermittlung hinzuweisen. Diese Regelung soll dazu dienen, die empfangende Stelle zur Einhaltung des Zweckbindungsgrundsatzes anzuhalten. Mehr als das vermag die übermittelnde Stelle aber nicht zu erreichen, da die empfangende Stelle im außereuropäischen Ausland nicht an die Bestimmungen des BDSG gebunden ist. Es besteht wohl auch keine Pflicht des Datenexporteurs, den Empfänger hinsichtlich der Einhaltung des Zweckbindungsgrundsatzes zu überwachen2. Ist für die übermittelnde Stelle aber vor der Datenübermittlung erkennbar, dass die empfangende Stelle die Daten missbrauchen wird, sollte richtigerweise die Übermittlung schon von vornherein unterbleiben. V. Rechtsfolgen/Sanktionen 39 Besteht kein angemessenes Schutzniveau oder sprechen sonstige schutzwürdige Interessen gegen die Übermittlung der Daten, ist bei einer vorgesehenen Datenübermittlung ins Ausland zu prüfen, inwiefern eine Ausnahme nach § 4c einschlägig ist (siehe dazu § 4c Rz. 6 ff.). Ist auch dies nicht der Fall, hat die Datenübermittlung zu unterbleiben. Ein Verstoß hiergegen stellt eine Ordnungswidrigkeit dar und ist gemäß § 43 Abs. 2 Nr. 1 bis zu einer Höhe von 300 000 Euro bußgeld- sowie ggf. gemäß § 44 Abs. 1 mit Freiheitsstafe bis zu 2 Jahren oder Geldstrafe strafbewehrt3. Des Weiteren sind Schadensersatzansprüche etwaiger Betroffener gemäß §§ 7 und 8 denkbar. Ausnahmen (1) 1Im Rahmen von Tätigkeiten, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, ist eine Übermittlung personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht gewährleistet ist, zulässig, sofern
4c
1 Taeger/Gabel/Gabel, § 4b BDSG Rz. 28; ausführlich zu diesem Thema: Hillenbrand-Beck, RDV 2007, 231 (232). 2 So Taeger/Gabel/Gabel, § 4b BDSG Rz. 29; a.A. Simitis/Simitis, § 4b BDSG Rz. 29; ferner zur wohl erforderlichen anfänglichen Überprüfung des Datenschutzniveaus speziell bei US-amerikanischen Unternehmen siehe schon Rz. 31. 3 Simitis/Simitis, § 4b BDSG Rz. 92.
140 v. d. Bussche
§ 4c BDSG
Ausnahmen
1. der Betroffene seine Einwilligung gegeben hat, 2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist, 3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll, 4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist, 5. die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder 6. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind. 2Die Stelle, an die die Daten übermittelt werden, ist darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden. (2) 1Unbeschadet des Absatzes 1 Satz 1 kann die zuständige Aufsichtsbehörde einzelne Übermittlungen oder bestimmte Arten von Übermittlungen personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist; die Garantien können sich insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben. 2Bei den Post- und Telekommunikationsunternehmen ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zuständig. 3Sofern die Übermittlung durch öffentliche Stellen erfolgen soll, nehmen diese die Prüfung nach Satz 1 vor. (3) Die Länder teilen dem Bund die nach Absatz 2 Satz 1 ergangenen Entscheidungen mit. I. Allgemeines . . . . . . . . . . . . . . . II. Gesetzliche Ausnahmen nach Abs. 1 Nr. 1 bis 6 . . . . . .
1 4
1. Numerus Clausus der Ausnahmetatbestände . . . . . . . . . . a) Einwilligung des Betroffenen (Nr. 1) . . . . . . . . . . . . . .
v. d. Bussche
6 7
141
BDSG § 4c
Allgemeine und gemeinsame Bestimmungen
b) Falls zu festgelegten Zwecken erforderlich (Nr. 2 bis 5) . . . . . . . . . . . . . . . . . . . 8 c) Daten aus öffentlichen Registern (Nr. 6) . . . . . . . . . 17 2. Hinweispflicht der übermittelnden Stelle. . . . . . . . . . . 19 III. Einzelfallbezogene behördliche Ausnahmegenehmigung (Abs. 2) . . . . . . . . . . . . . . . . . . . 1. Allgemeines . . . . . . . . . . . . . . . 2. Voraussetzungen für Genehmigung . . . . . . . . . . . . . 3. Verwendung der EU-Standardvertragsklauseln . . . . . . . . . . . a) Standardvertragsklausel Set I und II . . . . . . . . . . . . . . b) Standardvertragsklauseln für Auftragsdatenverarbeitungen . . . . . . . . . . . . . . .
20 21 24 27 30
31
4. Verwendung von Individualvertragsklauseln . . . . . . . . . . 5. Multilaterale/insbesondere konzerninterne Datenübermittlung . . . . . . . . . . . . . . . . . . a) Verwendung der Standardvertragsklauseln . . . . . . . . . b) Verbindliche Unternehmensregelungen/„Binding Corporate Rules“. . . . . . . . . aa) Allgemeines/Gestaltung von verbindlichen Unternehmensregelungen . . . . . . . . . . . . . . . . . bb) Genehmigungerfordernis/zuständige Aufsichtsbehörde . . . . . . . . cc) Genehmigungsgegenstand. . . . . . . . . . . . . . . .
34
35 35
38
38
42 44
IV. Rechtsfolgen/Sanktionen . . . . 48
Schrifttum: Siehe die Literaturangaben zu § 4b BDSG; ferner Arbeitskreis „Datenschutz in Recht und Praxis“, Ein Gesetz zum Schutz der Persönlichkeitsrecht im Arbeitsverhältnis (GSPA), DuD 2008, 645; Artikel-29-Arbeitsgruppe, WP 74 „Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EU-Datenschutzrichtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datentransfer“, v. 3. Juni 2003; WP 114 „Ausnahmen vom allgemeinen Verbot von Datentransfers in bestimmte NichtEU-Länder, v. 25. November 2005; WP 107 „Festlegung eines Kooperationsverfahrens zwecks Abgabe gemeinsamer Stellungnahmen zur Angemessenheit der verbindlich festgelegten unternehmensinternen Datenschutzgarantien“, v. 14. April 2005; WP 117 „Whistleblowing“, v. 2. Februar 2006; WP 161 „Stellungnahme über den Entwurf einer Entscheidung der Kommission zu Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG“, v. 5. März 2009; Büllesbach/HössLöw, Vertragslösung, Safe-Harbor oder Privacy Code of Conduct, DuD 2001, 135; Grapentin, Datenschutz und Globalisierung – Binding Corporate Rules als Lösung?, CR 2009, 693; Lange, Datentransfer ins Ausland, AuA 2006, 712; Lensdorf, Auftragdatenverarbeitung in der EU/EWR und Unterauftragdatenverarbeitung in Drittländern, CR 2010, 735; Moos, Die Entwicklung des Datenschutzrechts im Jahr 2010, K&R 2011, 145; Rath/Klug, e-Discovery in Germany?, K&R 2008, 596; Räther/Seitz, Ausnahmen bei Datentransfer in Drittstaaten – Die beiden Ausnahmen nach § 4c Abs. 2. BDSG: Vertragslösung und Code of Conduct, MMR 2002, 520; Tinnefeld/Rauhofer, Whistleblower: Verantwortungsvolle Mitarbeiter oder Denunzianten?, DuD 2008, 717.
142 v. d. Bussche
Ausnahmen
§ 4c BDSG
I. Allgemeines § 4c regelt die Ausnahmen, unter denen Daten in ein Drittland übermit- 1 telt werden dürfen, selbst wenn dort kein angemessenes Datenschutzniveau i.S.v. § 4b Abs. 2 Satz 2 besteht. Die Datenschutznovelle aus dem Jahr 2009 hat § 4c nicht verändert. Die Norm setzt Art. 26 Abs. 2 der EG-Datenschutzrichtlinie um. Im Gegensatz zu § 4b Abs. 2 findet § 4c allerdings nur Anwendung auf Tätigkeiten, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen (siehe dazu § 4b Rz. 10)1. Dabei handelt es sich nur um solche Tätigkeiten die spezifisch in den Anwendungsbereich der EG-Datenschutzrichtlinie fallen2, mithin um solche der „Ersten Säule“ der EU (siehe ebenso § 4b Rz. 11). Obwohl § 4c als Ausnahmeregelung ausgestaltet ist, handelt es sich insbesondere bei Übermittlungen nach § 4c Abs. 1 um im alltäglichen Geschäftsleben regelmäßig stattfindende Übermittlungen3. Abs. 1 enthält sechs gesetzliche Ausnahmen vom Verbot der Datenüber- 2 mittlung ins Ausland. Abs. 2 erlaubt darüber hinaus der zuständigen Aufsichtsbehörde, im Einzelfall bestimmte Datenübermittlungen oder Arten von Datenübermittlungen zu genehmigen, sofern sie von einem ausreichenden Datenschutzniveau bei der empfangenden Stelle überzeugt ist. Abs. 3 verpflichtet die Bundesländer, den Bund über die erteilten Ausnahmegenehmigungen zu informieren. Hintergrund ist die Informationspflicht des Bundes gegenüber der EU-Kommission gemäß Art. 26 Abs. 3 der EG-Datenschutzrichtlinie. Als Ausnahmeregelung ist § 4c im Zusammenhang mit § 4b zu sehen. 3 Es gilt folgende Prüfungsreihenfolge: Zunächst ist zu festzustellen, ob die Datenübermittlung nicht schon nach § 4b zulässig ist, denn dann erübrigt sich ein Rückgriff auf § 4c. Ist dies nicht der Fall, muss untersucht werden, ob eine der Ausnahmen aus Abs. 1 oder Abs. 2 einschlägig ist (Sekundärebene, siehe § 4b Rz. 4). Es gibt dabei angesichts des Wortlautes („unbeschadet“) richtigerweise keine Rangfolge zwischen den gesetzlichen Ausnahmetatbeständen in Abs. 1 und der behördlichen Ausnahmegenehmigung nach Abs. 24.
1 2 3 4
Taeger/Gabel/Gabel, § 4c BDSG Rz. 2. Gola/Schomerus, § 4c BDSG Rz. 1. Simitis/Simitis, § 4c BDSG Rz. 1. Taeger/Gabel/Gabel, § 4c BDSG Rz. 5.
v. d. Bussche
143
BDSG § 4c
Allgemeine und gemeinsame Bestimmungen
II. Gesetzliche Ausnahmen nach Abs. 1 Nr. 1 bis 6 4 Die Ziffern 1 bis 6 enthalten die praktisch relevantesten Fälle, in denen trotz Mängeln im datenschutzrechtlichen Niveau des Empfängerlandes eine Datenübermittlung in ein Drittland ausnahmsweise doch zulässig ist. Als Ausnahmetatbestände sind diese eng auszulegen, eine Analogie auf ähnlich gelagerte Fälle kommt daher regelmäßig nicht in Betracht1. Bei Nr. 1 bis 6 handelt es sich um gesetzlich angeordnete Ausnahmen. Liegen deren Tatbestandsvoraussetzungen vor, ist die Datenübermittlung ins Ausland qua Gesetz erlaubt und bedarf keiner weiteren behördlichen Genehmigung. Zu beachten ist jedoch, dass wie bei § 4b Abs. 1 (siehe dort Rz. 4) weiterhin die nationalen Datenschutzbestimmungen zu beachten sind (insbesondere §§ 4, 4a, 15 Abs. 1, 16 Abs. 1, 28 bis 32 BDSG). Es ist also immer eine zweistufige Prüfung vorzunehmen: Erst ist zu prüfen, ob die Datenübermittlung an Dritte nach den allgemeinen Voraussetzungen zulässig ist (Primärebene). Erst im Anschluss daran ist die Frage zu beantworten, ob auf der Sekundärebene eine Ausnahme nach § 4c einschlägig und damit eine Übermittlung ins außereuropäische Ausland zulässig ist2. 5 Die übermittelnde Stelle spart bei Einschlägigkeit einer Ausnahme nach Abs. 1 einerseits die Kosten und den mitunter erheblichen Zeitaufwand eines behördlichen Genehmigungsverfahrens nach Abs. 23, muss andererseits aber selbst über das Vorliegen aller Ausnahmevoraussetzungen entscheiden. Dies birgt das Risiko von Fehleinschätzungen (Ist die Einwilligung gemäß Nr. 1 wirksam? Ist die Übermittlung gemäß Nr. 3 für die Vertragserfüllung erforderlich? Handelt es sich um ein „lebenswichtiges Interesse“ gemäß Nr. 5?) und kann zu rechtswidrigen Datenübermittlungen führen. Dies stellt ein gewisses Risiko dar, da es bei den Ordnungswidrigkeiten des § 43 BDSG und insbesondere bei § 43 Abs. 2 Nr. 1 nicht auf Vorsatz ankommt. 1. Numerus Clausus der Ausnahmetatbestände 6 § 4c Abs. 1 zählt abschließend Ausnahmetatbestände auf bei deren Vorliegen Drittlandsübermittlungen trotz bestehender Mängel hinsichtlich des datenschutzrechtlichen Niveaus im Empfängerland zulässig sind.
1 Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 4. 2 Weber/Voigt, ZD 2011, 75; Gola/Schomerus, § 4c BDSG Rz. 3. 3 Lejeune, ITRB 2005, 94 (95) weist darauf hin, dass das Genehmigungsverfahren häufig als „zu aufwendig, langwierig und unsicher“ abgelehnt wird.
144 v. d. Bussche
Ausnahmen
§ 4c BDSG
Der allen Fallkonstellationen zu Grunde liegende Gedanke ist, dass hier das Schutzbedürfnis des Betroffenen vergleichsweise gering sei1. a) Einwilligung des Betroffenen (Nr. 1) Die Einwilligung muss den Anforderungen des § 4a, bzw. im Bereich der 7 Werbung denen des § 28 Abs. 3a entsprechen (siehe dazu § 4a Rz. 12 ff.). Insbesondere muss es sich also um eine zweifels- und zwangsfreie sowie einzelfallbezogene Einwilligung handeln. Generelle Einwilligungen zu Drittlandsübermittlungen genügen diesen Anforderungen nicht2. Im Bereich des Beschäftigtendatenschutzes ist das Merkmal der Freiwilligkeit umstritten, da zwischen Arbeitgeber und Arbeitnehmer ein hierarchisches und monetäres Abhängigkeitsverhältnis besteht3. Grundsätzlich sollte eine freie Willensbildung von Arbeitnehmern nicht ausgeschlossen werden; ihr Vorliegen ist allerdings stets im Einzelfall zu prüfen (näher dazu § 4a Rz. 23 ff.)4. Von einer Freiwilligkeit ist jedenfalls auszugehen, wenn die Datenübermittlung für den Arbeitnehmer vorteilhaft5 oder die betroffene Datenübermittlung im Zusammenhang mit Auslandseinsätzen erfolgt6. Da der Betroffene in die Datenübermittlung ins Ausland einwilligen soll, muss er dementsprechend auch genau über den Empfänger, die konkret betroffenen Daten, den Verarbeitungsumfang und -zweck, sowie das Zielland, also insbesondere über das dort herrschenden Datenschutzniveau aufgeklärt werden7. Außerdem ist er darüber zu informieren, welchen Gefahren seine personenbezogenen Daten durch das geringere Schutzniveau im Drittland ausgesetzt sein werden8. Da die Betroffenen bei sich wiederholenden oder routinemäßi1 BT-Drucks. 14/4329, S. 45; Taeger/Gabel/Gabel, § 4c BDSG Rz. 1. 2 So auch Gola/Schomerus, § 4c BDSG Rz. 5. 3 Gola/Schomerus, § 4c BDSG Rz. 5; Taeger/Gabel/Gabel, § 4c BDSG Rz. 6. Backes/Eul/Guthmann/Martwich/Schmidt, RDV 2004, 156 (159); Artikel-29-Datenschutzgruppe, WP 114: Ausnahmen vom allgemeinen Verbot von Datentransfers in bestimmte Nicht-EU-Länder, v. 25.11.2005, S. 13. 4 So auch Taeger/Gabel/Gabel, § 4c BDSG Rz. 6; Däubler/Klebe/Wedde/Weichert/Däubler, § 4a BDSG Rz. 23; Gola/Schomerus, § 4c BDSG Rz. 5. 5 Vgl. Taeger/Gabel/Gabel, § 4c BDSG Rz. 6. 6 Simitis/Simitis, § 4c BDSG Rz. 11; Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 5. 7 Vgl. Lange, AuA 2006, 712; Taeger/Gabel/Gabel, § 4c BDSG Rz. 6; Simitis/Simitis, § 4c BDSG Rz. 9; Gola/Schomerus, § 4c BDSG Rz. 5; Artikel-29-Datenschutzgruppe, WP 114, S. 14. 8 Backes/Eul/Guthmann/Martwich/Schmidt, RDV 2004, 156 (159); Taeger/Gabel/Gabel, § 4c BDSG Rz. 6; Gola/Schomerus, § 4c BDSG Rz. 5; Simitis/Simitis, § 4c BDSG Rz. 9.
v. d. Bussche
145
BDSG § 4c
Allgemeine und gemeinsame Bestimmungen
gen Übermittlungen oder bei jeglichen geänderten oder erweiterten Verarbeitungszwecken informiert werden und darin erneut einwilligen bzw. ihre Einwilligung dauerhaft aufrecht erhalten müssen, eignet sich die Datenübermittlung ins Ausland auf Grundlage von Nr. 1 nur für einen überschaubaren Kreis von Betroffenen und insbesondere nicht für Vorhaben, bei denen alle Beschäftigten der verarbeitenden Stelle einheitlich betroffen sind (z.B. bei IT-Outsourcing)1. b) Falls zu festgelegten Zwecken erforderlich (Nr. 2 bis 5) 8 Die Ausnahmenfälle des Abs. 1 Nr. 2 bis 5 unterliegen alle dem Grundsatz der Erforderlichkeit. Demnach muss die Übermittlung der personenbezogenen Daten des jeweilig Betroffenen zur Erreichung des in der Norm festgelegten Zwecks notwendig sein2. 9 Nr. 2: Übermittlung zu Zwecken der Vertragserfüllung. Nr. 2 setzt voraus, dass der Vertrag bzw. etwaig bestehende vorvertragliche Beziehungen einen Auslandsbezug haben. Dieser muss für den Betroffenen auch erkennbar sein – denn nur dann ist sich der Betroffene beim Vertragsschluss der zu erwartenden Datenübermittlung ins Ausland bewusst und es kann davon ausgegangen werden, dass für ihn das Interesse an der Vertragserfüllung von größerer Bedeutung ist als die Einhaltung eines möglichst hohen datenschutzrechtlichen Niveaus3. Voraussetzung für die Anwendung von Nr. 2 ist, wie eingangs erwähnt, dass die Datenübermittlung auch tatsächlich erforderlich ist, also ein direkter und objektiver Bezug zur Vertragserfüllung besteht4. Können die Vertragsziele auch ohne Datenübermittlung ins Ausland erreicht werden, hat diese zu unterbleiben. Es dürfen nur die „erforderlichen“ Daten übertragen werden. Nicht zur Vertragserfüllung notwendige Daten sind daher von der Übermittlung ausgeschlossen5. Nach Nr. 2 zulässig ist die Datenübermittlung daher z.B. bei der Ausführung internationaler Überweisungen durch die eigene Bank, die Weitergabe von Daten durch ein Reisebüro an den Reiseveranstalter im Ausland6 oder die Übermittlung der 1 Vgl. Gola/Schomerus, § 4c BDSG Rz. 5; Taeger/Gabel/Gabel, § 4c BDSG Rz. 6; Artikel-29-Datenschutzgruppe, WP 114 Ausnahmen vom allgemeinen Verbot von Datentransfers in bestimmte Nicht-EU-Länder, v. 25.11.2005, S. 13. 2 Gola/Schomerus, § 4c BDSG Rz. 4; Taeger/Gabel/Zscherpe, § 3a BDSG Rz. 2. 3 Taeger/Gabel/Gabel, § 4c BDSG Rz. 7. 4 Vgl. Simitis/Simitis, § 4c BDSG Rz. 12. 5 Artikel-29-Datenschutzgruppe, WP 114, S. 15; Taeger/Gabel/Gabel, § 4c BDSG Rz. 7. 6 Lange, AuA 2006, 712 (713).
146 v. d. Bussche
Ausnahmen
§ 4c BDSG
Adressdaten eines Kunden an das im Ausland befindliche Versandunternehmen, insbesondere im eCommerce-Bereich sowie bei Downloadangeboten1. Der den Datenaustausch erforderlich machende Vertrag kann auch ein Arbeitsvertrag sein, etwa wenn der Arbeitnehmer international eingesetzt werden soll2. Regelmäßig nicht von Nr. 2 erfasst ist hingegen die bloße Verlagerung der Datenverarbeitung ins Ausland aus rein wirtschaftlichen Erwägungen, da diese zum Zweck der Vertragserfüllung zumeist nicht notwendig ist3. Nr. 3: Vertrag im Interesse des Betroffenen. Im Unterschied zu Nr. 2 ist 10 der Betroffene im Anwendungsbereich von Nr. 3 nicht selbst Vertragspartner, sondern lediglich Begünstigter eines Vertrages, den die übermittelnde Stelle mit einem Dritten abschließt. Verträge zu Gunsten Dritter i.S.v. § 328 BGB sind daher der wohl häufigste Anwendungsfall von Nr. 34. Erlaubt ist z.B. die Datenübermittlung durch ein Unternehmen, wenn dieses Mitarbeiterversicherungen bei einer ausländischen Gesellschaft abschließen möchte5. Außerdem muss das Interesse des Betroffenen sorgfältig ermittelt werden – man wird es bejahen können, wenn die Datenübermittlung einem konkret erkennbaren Interesse des Betroffenen entspricht, etwa bei der Weiterleitung von Überweisungen über Korrespondenzbanken6. Im Übrigen ist Zurückhaltung geboten, da sonst die übermittelnde Stelle durch Behauptung eines nur vermeintlichen oder sehr entfernten Interesses des Dritten den grenzüberschreitenden Datenschutz weitgehend aushöhlen könnte. Allgemeine wirtschaftliche Erwägungen (Kostenersparnis durch Datenverarbeitung im Ausland) werden daher auch für Nr. 3 nicht ausreichen7. Nr. 4: Wichtige öffentliche Interessen, Rechtsverteidigung. Nr. 4 enthält zwei Ausnahmetatbestände: (i) Die Übermittlung kann zur Wahrung eines wichtigen öffentlichen Interesses gerechtfertigt sein. (ii) Sie kann aber auch erlaubt sein, wenn die Datenübertragung zur Rechtsverteidigung vor Gerichten erforderlich ist.
11
Auf „wichtige öffentliche Interessen“ werden sich meist nur öffentliche 12 Stellen berufen, etwa beim Datenaustausch in Steuer- und Zollsachen 1 Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 10. 2 Lejeune, ITRB 2005, 94 (95 f.). 3 Artikel-29-Datenschutzgruppe, WP 114, S. 15; Gola/Schomerus, § 4c BDSG Rz. 6. 4 Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 7. 5 Gola/Schomerus, § 4c BDSG Rz. 6a. 6 Taeger/Gabel/Gabel, § 4c BDSG Rz. 8. 7 Vgl. z.B. Söbbing/Weinbrenner, WM 2006, 165 (166).
v. d. Bussche
147
BDSG § 4c
Allgemeine und gemeinsame Bestimmungen
oder bei Sozialversicherungsträgern1. Der Gesetzeswortlaut schließt aber nicht aus, dass sich auch eine nicht-öffentliche Stelle auf diese Ausnahme beruft. So ist ein Rückgriff aus Compliance-Gesichtspunkten für Unternehmen als möglich zu erachten2. Es muss sich aber auch hier stets um ein Interesse der übermittelnden Stelle selbst – und nicht lediglich um beispielsweise das Interesse einer Daten anfordernden ausländischen Behörde – handeln, denn anderenfalls könnten ausländische Stellen unilateral die Voraussetzungen dieser Ausnahmebestimmung herbeiführen3. 13 Für nicht-öffentliche Stellen ist die Übermittlung aus Gründen der Rechtsverteidigung von größerer praktischer Bedeutung, etwa wenn ein in Deutschland ansässiges Unternehmen in einem Gerichtsverfahren im Ausland personenbezogene Daten zu Verteidigungszwecken nutzen will oder die Herausgabe gerichtlich angeordnet wird. Hier wird das Interesse an der prozessualen Nutzung der Daten höher bewertet als das Datenschutzinteresse des Betroffenen4. Eine Interessenabwägung mit den Rechten des Betroffenen ist, anders als in § 28 Abs. 6 Nr. 3, nicht vorgesehen, allerdings muss die Übermittlung der Daten zur Rechtsverteidigung „erforderlich“ sein5. Dem klaren Wortlaut der Norm nach und im Vergleich zu § 28 Abs. 6 Nr. 3, der die Übermittlung von sensitiven Daten zur Rechtsverteidigung regelt, muss nach § 4c Abs. 1 Nr. 4 die Übermittlung im Zusammenhang mit einem gerichtlichen Verfahren erfolgen und nicht bloß im Zusammenhang mit rechtlichen Ansprüchen, wie das bei der Übermittlung von sensitiven Daten in § 28 Abs. 6 Nr. 3 für ausreichend erachtet wird6. Bei ausländischen Prozessen können Parteien also die hierfür erforderlichen personenbezogenen Daten an ihre eigenen Prozessvertreter, aber auch an sämtliche andere an dem Verfahren beteiligte Personen übermitteln7. 1 Gola/Schomerus, § 4c BDSG Rz. 7; Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 8. 2 So auch Taeger/Gabel/Gabel, § 4c BDSG Rz. 10; a.A. Däubler/Klebe/Wedde/ Weichert/Däubler, § 4c BDSG Rz. 8. 3 Taeger/Gabel/Gabel, § 4c BDSG Rz. 10; Artikel-29-Datenschutzgruppe, WP 114, S. 17. 4 Gola/Schomerus, § 4c BDSG Rz. 7a; Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 8. 5 Brisch/Laue, RDV 2010, 1 (7). 6 Simitis/Simitis, § 4c BDSG Rz. 21 und § 28 BDSG Rz. 325 ff.; der deutsche Gesetzgeber hat bei der Umsetzung der EG-Datenschutzrichtlinie im Rahmen des § 28 Abs. 6 Nr. 3, im Gegensatz zu § 4c Abs. 1 Nr. 4, auf diese Einschränkung verzichtet, obwohl dies sowohl in Art. 8 Abs. 2 Buchst. e) als auch Art. 26 Abs. 1 Buchst. d) der Richtlinie formuliert ist. 7 Spies/Schröder, MMR 2008, 275 (279); Brisch/Laue, RDV 2010, 1 (7).
148 v. d. Bussche
Ausnahmen
§ 4c BDSG
Von praktischer Relevanz ist in diesem Zusammenhang, wenn sich 14 deutsche Unternehmen amerikanischen Pretrial Discovery Verfahren ausgesetzt sehen und zur Herausgabe personenbezogener Daten verpflichtet werden sollen1. Diese Verfahren bezeichnen das im Vorfeld der Hauptverhandlung auf Beschluss des Prozessgerichts stattfindende und prinzipiell grenzenlose Beweismittelverfahren, durch welches die Aufklärung des Sachverhalts mittels Prozessvertreter der Parteien ermöglicht werden soll2. Von datenschutzrechtlicher Relevanz ist dabei insbesondere, dass die jeweilige Partei sämtliche Dokumente und Informationen (sog. eDiscovery bei elektronisch gespeicherten Daten), die für die Rechtsverfolgung von Bedeutung sein können, von der Gegenseite herausverlangen kann3. Konflikte im Spannungsverhältnis zwischen dieser Herausgabepflicht und der Einhaltung datenschutzrechtlicher Vorschriften liegen auf der Hand. Da die USA als Land mit unangemessenem Datenschutzniveau gelten (siehe dazu § 4b Rz. 30), erfolgt die Übermittlung der Daten grundsätzlich nach Maßgabe des § 4c4. Problematisch ist dabei, dass die in § 4c Abs. 1 Satz 2 vorgesehene Zweckbindung der Daten bei der Übermittlung an US-amerikanische Gerichte nicht vollständig eingehalten werden kann, weil dort Gerichtsakten grundsätzlich als öffentlich zugängliche Quellen gelten und die übermittelten Daten somit für weitere Zwecke als die bei der Übermittlung ursprünglich intendierte Bestimmung verwendet werden können5. Für die Praxis wird hier ein abgestuftes Vorgehen empfohlen: Zunächst sollten die Informationen in pseudonymisierter Form übermittelt werden; ähnlich wie bei Due Diligence Prüfungen im Rahmen von Unternehmenstransaktionen6. Ist die offene Übermittlung personenbezogener Daten notwendig, sollte sich das Unternehmen um die Einwilligung der Betroffenen bemühen (problematisch wenn es sich um
1 Ausführliche Erläuterung des Konflikts zwischen deutschem Datenschutzrecht und US-amerikanischen Discovery Regeln sowie Vorschläge für dessen Lösung bei Spies/Schröder, MMR 2008, 275 (276 ff.). Das Haager Übereinkommen über die Beweisaufnahme im Ausland in Zivil- oder Handelssachen kommt nicht als Übermittlungsgrundlage in Betracht, da Deutschland gemäß Art. 23 den Vorbehalt erklärt hat, keine Rechtshilfeersuchen zu Pretrial Discovery Verfahren zu erledigen. Hierzu Brisch/Laue, RDV 2010, 1 (6) sowie Rath/Klug, K&R 2008, 596 (597). 2 Ausführlich Spies, MMR 2007, V ff.; Brisch/Laue, RDV 2010, 1 ff. 3 Spies/Schröder, MMR 2008, 275 (276). 4 Vgl. Seffer, ITRB 2002, 66 (67). 5 Spies/Schröder, MMR 2008, 275 (279). 6 Vgl. Simitis/Simitis, § 32 BDSG Rz. 123.
v. d. Bussche
149
BDSG § 4c
Allgemeine und gemeinsame Bestimmungen
Arbeitnehmerdaten handelt, siehe Rz. 7), im Übrigen aber durch eine sorgfältige Abwägung aller Umstände des Einzelfalles die Übermittlung auf das notwendige Maß beschränken1. In Einzelfällen kann das BDSG somit als Verteidigung gegen die Offenlegung personenbezogener Daten im Discovery Verfahren eingesetzt werden. Das gesamte europäische Datenschutzrecht dürfe nicht durch ausländisches Recht ausgehöhlt werden2. Eine jüngere Entscheidung des US Dictrict Court of Utah macht jedoch deutlich, dass es für deutsche Unternehmen nicht genügt, sich pauschal auf das „Entgegenstehen des BDSG“ an sich zu berufen3. 15 Bei der Übermittlung an die eigenen oder gegnerischen Anwälte sowie Dritte können auch die entsprechenden EU-Standardverträge mit der jeweiligen empfangenden Stelle geschlossen und so ein angemessener Datenschutz für diese Übermittlungen i.S.d. § 4c Abs. 2 ausreichend garantiert werden (siehe sogleich Rz. 27)4. Ebenso besteht die Möglichkeit, dass die empfangende Stelle den „Safe Harbor Principles“ beitritt (siehe dazu § 4b Rz. 30)5. 16 Nr. 5: Lebenswichtige Interessen. Gemeint sind vorrangig Situationen, in denen eine konkrete Lebensgefahr für den Betroffenen besteht. Zu deren Abwehr können die – meist medizinischen – personenbezogenen Daten des Betroffenen übermittelt werden. Als ungeschriebene Tatbestandsvoraussetzung wird verlangt, dass sich der Betroffene in einem Zustand befindet, in dem er selbst nicht mehr in die Datenübermittlung einwilligen (Nr. 1) kann6.
1 Taeger/Gabel/Gabel, § 4c BDSG Rz. 11; so auch Brisch/Laue, RDV 2010, 1 (7): Beschränkung auf das, was im Sinne der Vorschrift „erforderlich“ sei und vorhergehende Filterung der Daten. 2 Zur Zulässigkeit von Whistleblowing-Hotlines: Artikel-29-Datenschutzgruppe, WP 117 „Stellungnahme 1/2006 zur Anwendung der EU-Datenschutzvorschriften auf interne Verfahren zur Meldung mutmaßlicher Missstände in den Bereichen Rechnungslegung, interne Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung, Bekämpfung von Korruption“, S. 8. 3 US Dictrict Court of Utah, Urt. v. 21.1.2010, abgedruckt in MMR 2010, 275; zu weiteren Urteilen betreffend dieses Konflikfeld und der Frage, ob das BDSG ein sog. „blocking statute“ ist siehe Spies/Schröder, MMR 2008, 275 und Rath/ Klug, K&R 2008, 596 (599 f.). 4 Spies/Schröder, MMR 2008, 275 (279). 5 Brisch/Laue, RDV 2010, 1 (6). 6 Taeger/Gabel/Gabel, § 4c BDSG Rz. 10.
150 v. d. Bussche
Ausnahmen
§ 4c BDSG
c) Daten aus öffentlichen Registern (Nr. 6) Für personenbezogene Daten, die schon in öffentlich zugänglichen Regis- 17 tern eingetragen sind, besteht nur noch ein geringes Schutzinteresse – sie sind daher auch frei in andere Länder übermittelbar1. Es ist nicht erforderlich, dass das Register von einer Behörde geführt wird, wie z.B. das Gewerbezentralregister. Erfasst sind vielmehr auch Branchenbücher, Schuldnerlisten und ähnliche Publikationen2. Nicht notwendig ist, dass das Register von jedermann uneingeschränkt eingesehen werden kann. Stellt das fragliche Register besondere Zugangshürden auf (etwa „rechtliches Interesse“ beim Grundbuch), muss die empfangende Stelle diese Einsichtsvoraussetzungen jedoch auch erfüllen3. Zulässig ist damit z.B. die Übersendung eines Grundbuchauszuges an den im Ausland wohnenden Miterben4. Nach den Grundsätzen der Datenvermeidung und -sparsamkeit gemäß § 3a ist Nr. 6 einschränkend dahingehend auszulegen, dass nicht die Übermittlung des gesamten Registers erfasst ist, sondern nur die für einen bestimmten Zweck benötigten Datensätze gemeint sind5. Fraglich ist, ob der Anwendungsbereich der Norm auf sämtliche all- 18 gemein zugängliche Daten zu erweitern ist, so wie es § 28 Abs. 1 Satz 1 Nr. 3, 1. Alt. vorsieht. Dort ist geregelt, dass sämtliche personenbezogene und allgemein zugängliche Daten verarbeitet werden können, sofern das schutzwürdige Interesse des Betroffenen nicht offensichtlich überwiegt. Im Falle einer entsprechenden Erweiterung des Regelungsbereichs des § 4c Abs. 1 Nr. 6 wäre die Konsequenz, dass auch sämtliche Daten die Nutzern z.B. auf Social-Networking-Plattformen allgemein zugänglich sind, ebenfalls in Drittländer ohne angemessenes Datenschutzniveau übermittelt werden könnten6. Zumindest hinsichtlich solcher personenbezogenen Daten, die willentlich vom Betroffenen selbst im Internet für alle Nutzer zugänglich veröffentlicht worden sind, wäre ein schutzbedürftiges Interesse wohl zu verneinen; schließlich sind die jeweiligen Daten für die empfangende Stelle ebenfalls frei zugänglich. Gleiches gilt für Daten, die erst nach einer Anmeldung im so1 Simitis/Simitis, § 4c BDSG Rz. 23; Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 10. 2 Gola/Schomerus, § 4c BDSG Rz. 8; Taeger/Gabel/Gabel, § 4c BDSG Rz. 12. 3 Erwägungsgrund 58 der EG-Datenschutzrichtlinie; Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 10; Simitis/Simitis, BDSG, § 4c Rz. 23. 4 Beispiel bei Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 10. 5 Erwägungsgrund 58 der EG-Datenschutzrichtlinie; Taeger/Gabel/Gabel, § 4c BDSG Rz. 13; Gola/Schomerus, § 4c BDSG Rz. 8. 6 Vgl. Taeger/Gabel/Taeger, § 28 BDSG Rz. 82.
v. d. Bussche
151
BDSG § 4c
Allgemeine und gemeinsame Bestimmungen
zialen Netzwerk abrufbar sind. Die Tatsache, dass eine Registrierung erforderlich ist, ändert grundsätzlich nichts an deren Öffentlichkeit1. Es ist nicht ersichtlich, warum ausländischen Stellen Informationen vorenthalten werden sollten, die im Inland frei einsehbar sind2. Da neben der Zulässigkeit der Auslandsübermittlung nach § 4c Abs. 1 Nr. 6 (Sekundärebene) auch der Rechtfertigungstatbestand des § 28 Abs. 1 Satz 1 Nr. 3, 1. Alt. (Primärebene) erfüllt sein muss, um sämtliche Anforderungen an die Rechtmäßigkeit des jeweiligen Datenübermittlungsvorgang zu erfüllen (siehe dazu § 4b Rz. 4), sind die Belange des Betroffenen durch die auf der Primärebene verankerte Interessenabwägung hinreichend vor Missbrauch geschützt. Dies spricht insgesamt für eine Erweiterung des Anwendungsbereich des § 4c Abs. 1 Nr. 6 auf allgemein zugängliche Quellen i.S.d. § 28 Abs. 1 Satz 1. Nr. 3, 1. Alt. 2. Hinweispflicht der übermittelnden Stelle 19 Der Datenübermittler muss die empfangende Stelle überdies in allen Fällen auf die Verpflichtung hinweisen, die jeweiligen Daten nur für den im Vorfeld festgelegten Zweck zu verwenden, Abs. 1 Satz 23. Das Gesetz beschränkt sich auf eine bloße Hinweispflicht, da der praktischen Durchsetzung faktisch Grenzen gesetzt sind4. III. Einzelfallbezogene behördliche Ausnahmegenehmigung (Abs. 2) 20 Greift keine der in Abs. 1 genannten Ausnahmen, kann die zuständige Aufsichtsbehörde für einzelne Übermittlungen personenbezogener Daten eine Genehmigung erteilen, sofern die übermittelnde Stelle „ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist.“ Das Minus im Datenschutzniveau des Empfängerlandes kann somit durch ein Plus an eigenen Sicherheitsmaßnahmen der übermittelnden Stelle überwunden werden. Als Quelle entsprechender Garantien werden ausdrücklich Vertragsklauseln und verbindliche Unternehmensregelungen genannt. 1 Vgl. Taeger/Gabel/Taeger, § 28 BDSG Rz. 82; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 58; etwas anderes ist allerdings dann denkbar, wenn die Registrierung für das Netzwerk nur über eine Einladung erfolgt, welche persönlich erteilt wird. 2 Vgl. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 26 Rz. 11; Taeger/Gabel/Gabel, § 4c BDSG Rz. 13. 3 Simitis/Simitis, § 4c BDSG Rz. 25. 4 Vgl. Taeger/Gabel/Gabel, § 4c BDSG Rz. 14.
152 v. d. Bussche
Ausnahmen
§ 4c BDSG
1. Allgemeines Im nicht-öffentlichen Bereich ist für die Erteilung der Ausnahmegeneh- 21 migung die gemäß § 38 zu bestimmende Aufsichtsbehörde zuständig1. Bei Post- und Telekommunikationsunternehmen übernimmt diese Aufgabe der Bundesbeauftragte für den Datenschutz (Abs. 2 Satz 2). Für den öffentlichen Bereich gibt es keine entsprechende Instanz, hier ist gemäß Abs. 2 Satz 3 die übermittelnde öffentliche Stelle selbst für die Überprüfung der Voraussetzungen von Abs. 2 verantwortlich2. Die Genehmigung ist ein – aufgrund der Möglichkeit des Widerspruchs 22 der EU-Kommission oder eines anderen EU-Mitgliedsstaats regelmäßig nur unter Widerrufsvorbehalt erteilter3 – Verwaltungsakt (wohl auch mit Drittwirkung zu Lasten der von der Datenübermittlung Betroffenen), ihre Verweigerung kann also durch Widerspruch und Verpflichtungsklage, ihre Erteilung durch Widerspruch und Anfechtungsklage angegriffen werden4. Die Erteilung der Genehmigung steht im Ermessen der Behörde, wobei bei Vorliegen aller Voraussetzungen eine Ermessensreduzierung auf Null in Betracht kommt5. Die Genehmigung wird nicht pauschal, sondern jeweils nur für einzelne konkrete Übermittlungen oder bestimmte Arten von Übermittlungen (z.B. Kundendaten, Daten zum Versand, Arbeitnehmerdaten) erteilt6. So können regelmäßig und vielfach wiederkehrende Datenübermittlungen im Rahmen eines Genehmigungsverfahrens kategorisierend nach Art der Daten zusammengefasst werden7. Abs. 3 statuiert die Pflicht der Länder, den Bund über die ergangenen 23 Entscheidungen der Aufsichtsbehörden im Rahmen des § 4c Abs. 2 in Kenntnis zu setzen8. Dies soll wiederum dem Bund ermöglichen, seiner Mitteilungspflicht hinsichtlich der erteilten Genehmigung gegenüber der EU-Kommission gemäß Art. 26 Abs. 3 der EG-Datenschutzrichtlinie 1 2 3 4 5
Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 13. Kritisch zu dieser Form der Selbstkontrolle Simitis/Simitis, § 4c BDSG Rz. 39. Taeger/Gabel/Gabel, § 4c BDSG Rz. 19. Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 14. Taeger/Gabel/Gabel, § 4c BDSG Rz. 18; Bergmann/Möhrle/Herb, § 4c BDSG Rz. 25; Räther/Seitz, MMR 2002, 520 (521); Rittweger/Weiße, CR 2003, 142 (145). 6 Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 29; Gola/ Schomerus, § 4c BDSG Rz. 18. 7 Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 15; Simitis/Simitis, § 4c BDSG Rz. 33; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 29. 8 Taeger/Gabel/Gabel, § 4c BDSG Rz. 34.
v. d. Bussche
153
BDSG § 4c
Allgemeine und gemeinsame Bestimmungen
nachzukommen1. Dies soll eine EU-weite einheitliche Genehmigungspraxis sicherstellen, vgl. Art. 31 Abs. 2 der EG-Datenschutzrichtlinie2. 2. Voraussetzungen für Genehmigung 24 Maßstab für die Erteilung der Genehmigung ist, ob der Antragsteller „ausreichende Garantien für hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte“ erbringen kann. Trotz der anderslautenden Formulierung ist darunter letztlich derselbe Maßstab wie im Rahmen von § 4b Abs. 2 und 3 zu verstehen – entscheidend ist also, ob durch die abzugebenden Garantien ein angemessenes Datenschutzniveau attestiert werden kann3. 25 Abs. 2 sieht vor, dass die erforderlichen Garantien „insbesondere“ durch Vertragsklauseln oder verbindliche Unternehmensregelungen nachgewiesen werden können. Die Aufzählung ist nicht abschließend, denkbar sind auch andere Formen des Nachweises – etwa Betriebsvereinbarungen4 – sofern diese ähnlich verbindlich sind wie die genannten Beispiele. Unabhängig von der gewählten Form kommt es darauf an, ein ausreichend hohes datenschutzrechtliches Niveau nachzuweisen. Entscheidend ist hierfür eine Mischung aus materiellen datenschutzrechtlichen Bestimmungen (insbesondere Zweckbindung) und Kontrolle durch unabhängige Instanzen5. Nichtsdestotrotz vermögen diese Vereinbarungen und Regelung in rechtsdogmatischer Hinsicht kein „angemessenes Schutzniveau“ i.S.d. § 4b Abs. 2 Satz 2 BDSG zu schaffen; allerdings rechtfertigen die „ausreichenden Garantien bezüglich des Schutzes des Persönlichkeitsrechts“ eine Ausnahme i.S.d. § 4c Abs. 2 von diesem grundsätzlichen Erfordernis, indem sie eine Garantie für ein angemessenes Schutzniveau für die konkret genehmigten Übermittlungen etablieren (vgl. hierzu auch § 4b Rz. 23 f.)6. 26 Bei Konzernen stellt sich die Frage, welcher Konzernteil zum Abschluss eines solchen Standardvertrags verpflichtet ist. Wie bereits im Rahmen der Kommentierung des § 4b erörtert, ist zur Bestimmung maßgeblich, welcher Konzernteil die Entscheidungskompetenz hinsichtlich der jeweiligen Übermittlung innehat (ausführlich unter § 4b Rz. 37). 1 2 3 4 5 6
Gola/Schomerus, § 4c BDSG Rz. 19. Simitis/Simitis, § 4c BDSG Rz. 43. Taeger/Gabel/Gabel, § 4c BDSG Rz. 15. Hierzu Backes/Eul/Guthmann/Martwich/Schmidt, RDV 2004, 156 (161 f.). Vgl. Simitis/Simitis, § 4c BDSG Rz. 41. Vgl. Moos, CR 2010, 281, 281; Taeger/Gabel/Gabel, § 4c BDSG Rz. 15.
154 v. d. Bussche
Ausnahmen
§ 4c BDSG
3. Verwendung der EU-Standardvertragsklauseln Einen – in der Praxis sehr häufig auftretenden – Sonderfall der in § 4c 27 Abs. 2 Satz 1 genannten Vertragsklauseln stellen die Standardvertragsklauseln dar, welche die EU-Kommission gestützt auf Art. 26 Abs. 4 der EG-Datenschutzrichtlinie veröffentlicht hat. Bislang hat die EU-Kommission drei Standardvertragsklauseln entwickelt. Es handelt sich um die „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an verantwortliche Stellen in Drittländern“ vom 15.6.20011 (auch: „Standardvertragsklauseln Set I“) sowie ein alternativer Regelungsvorschlag vom 27.12.20042 (auch: „Standardvertragsklauseln Set II“). Darüber hinaus existieren die neu gefassten „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern“ vom 5.2.20103, die nun insbesondere die sog. Kettenauslagerungen durch die Erteilung von Unteraufträgen detailliert regeln4. Die bis dahin geltenden Standardvertragsklauseln für Auftragsverarbeiter in Drittländern vom 15.6.20015 sind auf neue Verträge nicht mehr anwendbar, behalten aber für Altverträge übergangsweise ihre Gültigkeit6. Der Aufbau dieser drei „Sets“ an Standardvertragsklauseln ist weit- 28 gehend identisch: Sie bestehen aus einem Mustervertragstext, in dem die gegenseitigen Rechte und Pflichten von übermittelnder und empfangender Stelle im Hinblick auf die zu übermittelnden Daten geregelt sind. Die individuellen Besonderheiten und Details der Vertragsparteien werden in zwei Anhängen aufgegriffen. Dabei ist vor allem zu beachten, dass die Parteien vorab definieren, zu welchem Zweck welche Daten übertragen werden sollen. Ändert sich später die Art der übermittelten Daten oder der Zweck der Datenübermittlung, ist die Vereinbarung 1 EU-Kommission, Entscheidung v. 15.6.2001 (K(2001) 1539), ABl. EG Nr. L 181 v. 4.7.2001, S. 19. 2 EU-Kommission, Entscheidung v. 27.12.2004 (K(2004) 5271), ABl. EG Nr. L 385 v. 29.12.2004, S. 74. 3 EU-Kommission, Beschl. v. 5.2.2010 (K(2010) 593), ABl. EU Nr. L 39 v. 12.2.2010, S. 5; ausführlich zur Kritik an der älteren Version v. 27.12.2001 (ABl. EG Nr. L 6 v. 10.1.2002, S. 52) und zu den Neuerungen, insb. zur Möglichkeit der Unterbeauftragung: Moos, CR 2010, 281. 4 Zur Kettenauslagerung auf Grundlage der Standardvertragsklauseln v. 27.12.2001 und zu deren Reformbedarf s. Fischer/Steidle, CR 2009, 632; allgemeiner Überblick über die neuen Standardvertragsklauseln für Auftragsverarbeiter bei Moos, CR 2010, 281. 5 EU-Kommission, Entscheidung v. 15.6.2001 (K(2001) 1539), ABl. EG Nr. L 181 v. 4.7.2001, S. 19. 6 Hierzu Moos, CR 2010, 281, 284.
v. d. Bussche
155
BDSG § 4c
Allgemeine und gemeinsame Bestimmungen
dementsprechend anzupassen1. Rechtsdogmatisch schafft die Verwendung der Standardvertragsklauseln kein i.S.v. § 4b „angemessenes datenschutzrechtliches Niveau“ (siehe oben Rz. 25). Hergestellt wird vielmehr eine vertragliche Datenschutzzelle, die hinreichende Garantien für den Persönlichkeitsschutz bietet und daher die Ausnahmegenehmigung rechtfertigt2. 29 Die Verwendung der Standardvertragsklauseln macht – im Gegensatz zur Verwendung von Individualvertragsklauseln – ein behördliches Genehmigungsverfahren obsolet3. Die Anerkennung hinreichender Datenschutzgarantien durch die EU-Kommission bindet die Mitgliedsstaaten aus europarechtlicher Sicht, so dass die deutschen Datenschutzbehörden keine Kompetenz zur Ablehnung der Klauseln hätten und ein Genehmigungsverfahren somit eine bloße Förmelei darstellen würde4. Nach Ansicht der Datenschutzbehörden wird teilweise gefordert, die Datenübermittlung unter Verwendung der Standardvertragsklauseln bei der zuständigen Aufsichtsbehörde zumindest anzuzeigen5. Eine Verpflichtung hierzu besteht aber nicht. Dies dürfte auch dann noch gelten, wenn die Standardvertragsklauseln lediglich um zusätzliche, die Betroffenenrechte nicht einschränkende Klauseln erweitert werden6. a) Standardvertragsklausel Set I und II 30 Die Standardvertragsklauseln Set I und II gelten für Datenübermittlungen vom Datenübermittler zum Datenempfänger als neue verantwortliche Stelle in Drittländer und finden alternativ Anwendung. Set II gilt dabei als wirtschaftsfreundlicher, da sie im Unterschied zu Set I insbesondere keine gesamtschuldnerische Haftung der übermittelnden Stelle und des Datenempfängers enthält, sondern vielmehr bestimmte Verantwortungsbereiche abgrenzt, innerhalb derer Datenexporteur und -importeur individuell haften7. Zu beachten ist aber, dass die Standardvertragsklauseln Set II zumindest nach Ansicht der Datenschutzaufsichtsbehörden nur be1 Hierzu Wisskirchen, CR 2004, 862 (865). 2 Vgl. Rittweger/Schmidl, DuD 2004, 617 (618). 3 So auch Taeger/Gabel/Gabel, § 4c BDSG Rz. 22; Gola/Schomerus, § 4c BDSG Rz. 12; Simitis/Simitis, § 4c BDSG Rz. 51. 4 Vgl. auch Bierekoven, ITRB 2009, 39 (40); Wisskirchen, CR 2004, 862 (866); Taeger/Gabel/Gabel, § 4c BDSG Rz. 22; Simitis/Simitis, § 4c BDSG Rz. 51. 5 Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 18c. 6 Weber/Voigt, ZD 2011, 74 (78). 7 Taeger/Gabel/Gabel, § 4c BDSG Rz. 24; Vergleich von Standardvertragsklauseln Set I und Set II bei Lejeune, ITRB 2005, 94 (95 f.).
156 v. d. Bussche
Ausnahmen
§ 4c BDSG
dingt eine taugliche Grundlage für die Übermittlung von Arbeitnehmerdaten darstellen. Denn es fehlen vor allem auch die für Betroffene wichtigen Auskunftsrechte1. Sollen die Standardvertragsklauseln Set II für den Transfer arbeitnehmerbezogener Daten verwendet werden, müssen dessen Bestimmungen nach vorgenannter Ansicht demnach um eine Vereinbarung ergänzt werden, die diese Mängel behebt2. b) Standardvertragsklauseln für Auftragsdatenverarbeitungen Die Standardvertragsklauseln vom 5.2.2010 finden hingegen explizit für 31 Datenübermittlungen zum Zweck der Auftragsdatenverarbeitung in Drittstaaten Anwendung3. Signifikanteste Änderung zu den bis dahin bestehenden Standardklauseln ist die nun ausdrücklich zugelassene und geregelte Unterbeauftragung4. Das neue Klauselwerk stellt strenge Anforderungen an die Weitervergabe sowie an den Subbeauftragten5: Sofern der Auftragnehmer seinerseits gewisse Verarbeitungstätigkeiten auslagern möchte, muss er in erster Linie im Vorfeld die schriftliche Einwilligung des ursprünglichen Auftraggebers einholen6; der Auftragnehmer haftet dem Auftraggeber gegenüber für jegliche Schlecht- oder Nichtleistung des Subbeauftragten7. Die Weitervergabe an den Subbeauftragten muss außerdem auf Grundlage der Standardklauseln erfolgen8. Nach letzter Vorgabe ist bedauerlicherweise irrelevant, ob zwischen Auftragnehmer und Subbeauftragtem bereits verbindliche Unternehmensregelungen existie1 Däubler/Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 18a. 2 Vgl. Arbeitskreis „Datenschutz in Recht und Praxis“, DuD 2008, 645 (655); Däubler/Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 18a nennt als Form der Abmachung die Gesamtzusage gegenüber bereits Beschäftigten und entsprechende Klauseln in künftigen Arbeitsverträgen. 3 EU-Kommission, Beschluss 2010/87/EU v. 5.2.2010, Art. 2 Abs. 2; Moos, K&R 2011, 145 (147); zur Auftragsdatenverarbeitung in Drittstaaten unter Verwendung (modifizierter) EU-Standardvertragsklauseln Weber/Voigt, ZD 2011, 74; zur Sub-Beauftragung in Drittstaaten vgl. Lensdorf, CR 2010, 735. 4 Klausel 11 der Standardvertragsklauseln, beigefügt in EU-Kommission, Beschl. 2010/87/EU v. 5.2.2010; vgl. auch Moos, CR 2010, 281 (282). 5 Ausführlich zu den Voraussetzungen und Pflichten Moos, CR 2010, 281 (282 f.). 6 Klauseln 5h) und 11 Abs. 1 S. 1 der Standardvertragsklauseln, beigefügt in EUKommission, Beschl. 2010/87/EU v. 5.2.2010; Taeger/Gabel/Gabel, § 4c BDSG Rz. 26. 7 Klausel 11 Abs. 1 S. 3 der Standardvertragsklauseln, beigefügt in EU-Kommission, Beschl. 2010/87/EU v. 5.2.2010; Hillenbrandt-Beck, RDV 2007, 231 (235). 8 Klausel 11 Abs. 1 S. 2 der Standardvertragsklauseln, beigefügt in EU-Kommission, Beschl. 2010/87/EU v. 5.2.2010.
v. d. Bussche
157
BDSG § 4c
Allgemeine und gemeinsame Bestimmungen
ren (siehe sogleich Rz. 36) oder ob der Subbeauftragte über eine Safe-Harbor-Zertifizierung verfügt (siehe § 4b Rz. 30)1. Dies ist insbesondere bei der Weitergabe von Verarbeitungsaufträgen innerhalb verbundener Unternehmen nicht nur unpraktikabel und formalistisch, sondern auch nicht sachgerecht, da nicht ersichtlich ist, warum EU-Standardvertragsklauseln grundsätzlich personenbezogene Daten besser zu schützen vermögen als verbindliche Unternehmensregelungen2. 32 Das Klauselwerk ist nur anwendbar, wenn Auftrag- und Unterauftragnehmer in einem Drittland ansässig sind und Daten für einen innerhalb der EU ansässigen Auftraggeber verarbeiten3. Für den praxisrelevanten Fall, dass der in der Beauftragungskette an erster Stelle Stehende in der EU ansässig ist und einen Subauftragnehmer in einem Drittland beauftragt, sind die Standardklauseln demnach unmittelbar nicht anwendbar4. Die EU-Kommission hat den Mitgliedstaaten die Entscheidung über die Zulässigkeit einer derartigen Unterbeauftragung überlassen, mithin die Entscheidung ob das Standardvertragsklauselwerk auch für diese Fallkonstellation „ausreichende Garantien“ i.S.d. § 4c Abs. 2 Satz 2 zu etablieren vermag5. Bisweilen handhabten die deutschen Aufsichtsbehörden diese Problematik nach der Maßgabe der mittlerweile abgelösten Standardvertragsklauseln vom 27.12.2001 folgendermaßen: Der Auftraggeber müsse einen gesonderten Standardvertrag mit dem Unterauftragnehmer abschließen, da erstens ein bloßer Auftragsdatenverarbeitungsvertrag mit einem in einem Drittstaat befindlichen Auftragsdatenverarbeiter nicht ausreicht (siehe bereits § 4b Rz. 7) und zweitens nicht der Erstbeauftragte sondern nur der Auftraggeber „verantwortliche Stelle“ i.S.d. BDSG sei6. Hierbei kann er allerdings vom ursprünglich beauftragten Datenverarbeiter vertreten werden7. Folglich hat der im Drittstaat befindliche Subbeauftragte sowohl mit dem Erstbeauftragten einen „Standardvertrag für Auftragsdatenverarbeitung in Drittstaaten“ 1 2 3 4
Moos, K&R 2011, 145 (148). So auch Moos, CR 2010, 281 (285). EU-Kommission, Beschl. 2010/87/EU v. 5.2.2010, Erwägungsgrund 17. Moos, K&R 2011, 145 (147); Taeger/Gabel/Gabel, § 4c BDSG Rz. 26; Lensdorf, CR 2010, 735. 5 EU-Kommission, Beschl. 2010/87/EU v. 5.2.2010, Erwägungsgrund 23; Moos, CR 2010, 281 (284). 6 Zwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/7646, S. 24; Hillenbrandt-Beck, RDV 2007, 231 (234). 7 Taeger/Gabel/Gabel, § 4c BDSG Rz. 26.
158 v. d. Bussche
Ausnahmen
§ 4c BDSG
als auch (ggf. vertreten durch den Erstbeauftragten) mit der verantwortlichen Stelle zusätzlich einen „Standardvertrag Set I oder Set II“ abzuschließen. Bei den heute üblichen Hosting-, Outsourcing- und Cloud Computing Services durch Subbeauftragte in Drittländern wie den USA oder Indien bedeutet das einen für die beteiligten Unternehmen kaum noch zu bewältigenden Verwaltungsaufwand. Hier besteht dringender Handlungsbedarf. So fordert ebenfalls die Artikel-29-Datenschutzgruppe die Schaffung eines rechtlichen Instruments durch die EU-Kommission um diese Fallkonstellation europaweit einheitlich zu regeln1. Bis dahin verbleibt abzuwarten, ob und inwiefern die nationalen Aufsichtsbehörden diese Problematik aufgrund der neugestalteten Standardvertragsklauseln vom 5.2.2010 different beurteilen werden. Als Übergangslösung ist es für einen in der EU bzw. dem EWR befindlichen Erstbeauftragten bisweilen ratsam, sich bereits beim Vertragsschluss vom Auftraggeber als verantwortliche Stelle bevollmächtigen zu lassen, um im Namen des Auftraggebers einen entsprechenden Standardvertrag mit dem im Drittstaat befindlichen Subbeauftragten abschließen zu können2. Ebenso ist eine Aufnahme des Subbeauftragten in den ursprünglichen Vertrag als mögliche Lösung anerkannt3. Zu beachten ist, dass sich die Rechtfertigung durch Verwendung der EU- 33 Standardvertragsklauseln per se nur auf die Sekundärebene der Datenübermittlung, d.h. der Drittlandsübermittlung i.S.d. § 4c, beschränkt. Davon zu differenzieren ist die Primärebene der Übermittlung, die bei der Auftragsdatenverarbeitung in Drittländern aufgrund des uneingeschränkt anwendbaren Erlaubnisvorbehalts des § 4 Abs. 1 eine materiell-rechtliche Rechtfertigung für den Datentransfer verlangt (siehe dazu § 4b Rz. 16). 4. Verwendung von Individualvertragsklauseln Abweichungen von den Standardvertragsklauseln oder der Abschluss von Individualvereinbarungen sind selbstverständlich möglich; es handelt sich bei den Standardvertragsklauseln nur um unverbindliche Mus1 Artikel-29-Datenschutzgruppe, WP 161: „Stellungnahme über den Entwurf einer Entscheidung der Kommission zu Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG“, S. 3. 2 Vgl. auch Moos, CR 2010, 281 (283 und 285). 3 Fußnote 1) zu Klausel 11 Abs. 1 Satz 2 der Standardvertragsklauseln, beigefügt in EU-Kommission, Beschl. 2010/87/EU v. 5.2.2010; Hillenbrandt-Beck, RDV 2007, 231 (234).
v. d. Bussche
159
34
BDSG § 4c
Allgemeine und gemeinsame Bestimmungen
ter. Allerdings ist in diesem Fall ein behördliches Genehmigungsverfahren einzuleiten bei welchem das Risiko besteht, dass die zuständige Aufsichtsbehörde die individuell gestalteten Vertragsklauseln als nicht ausreichende Garantien für den Schutz des Persönlichkeitsrechts der Betroffenen wertet. Je gravierender die inhaltliche Abweichung von den Standardvertragsklauseln, desto höher ist das Risiko eines langwierigen und ggf. negativ beschiedenen Genehmigungsverfahrens. Das Genehmigungserfordernis lebt ausnahmsweise dann nicht wieder auf, wenn die Individualklauseln eindeutig zugunsten des Betroffenen von den Standardverträgen abweichen1 bzw. wenn diese lediglich um zusätzliche, die Betroffenen nicht belastende Regelungen ergänzt wird (siehe bereits Rz. 28). Im Einzelfall kann es sinnvoll sein, die veränderten Standardvertragsklauseln vor Verwendung mit der zuständigen Aufsichtsbehörde abzusprechen2. 5. Multilaterale/insbesondere konzerninterne Datenübermittlung a) Verwendung der Standardvertragsklauseln 35 Der Normalfall der Standardvertragsklauseln ist die Datenübermittlung zwischen lediglich zwei Parteien. Dies schließt aber eine Vereinbarung mehrerer Parteien unter Zugrundelegung von Standardvertragsklauseln nicht aus, etwa bei den in einem Konzern zusammengeschlossenen Unternehmen. Allerdings sind die Standardvertragsklauseln nur bedingt für den konzerninternen Datenverkehr mit zahlreichen Stellen geeignet, da hierfür zahlreiche bilaterale Vereinbarungen getroffen werden müssten3. 36 Ein Mehrparteienvertrag zwischen mehreren oder allen Konzernunternehmen auf Basis der Standardvertragsklauseln wird allerdings für möglich erachtet4. Erforderlich dürfte somit die entsprechende Anpassung 1 So auch Taeger/Gabel/Gabel, § 4c BDSG Rz. 27. 2 Gola/Schomerus, § 4c BDSG Rz. 14; Taeger/Gabel/Gabel, § 4c BDSG Rz. 27; Zwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/7646, S. 20; Düsseldorfer Kreis, Beschl. v. 19./20.4.2007, Ziff. II.4. 3 Vgl. Räther/Seitz, MMR 2002, 520 (521). 4 Artikel-29-Datenschutzgruppe, WP 74: „Übermittlung personenbezogener Daten in Drittländer: Anwendung von Artikel 26 Absatz 2 der EU-Datenschutzrichtlinie auf verbindliche unternehmensinterne Vorschriften für den internationalen Datentransfer“, S. 7; Zweiundzwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/1015, S. 10; Taeger/Gabel/Gabel, § 4c BDSG Rz. 25.
160 v. d. Bussche
Ausnahmen
§ 4c BDSG
der Standardvertragsklauseln an diese besonderen Bedingungen sein. Welche Voraussetzungen ein solcher konzernweiter Vertrag in den Augen der zuständigen Aufsichtsbehörden im Einzelnen erfüllen muss, ist bislang nicht vollständig klar. Zumindest müssen sich daraus konkret die datenimportierenden Stellen innerhalb des Konzerns sowie ihre Rolle im Rahmen der Datenverarbeitung (verantwortliche Stelle oder Auftragsverarbeiter) ergeben1. Darüber hinaus bedarf es wohl hinreichend konkreter Angaben über Art und Umfang der geplanten Übermittlungen, entsprechend der Anlagen zu den Standardvertragsklauseln2. Genauso unklar ist, ob ein solcher multilateraler Vertrag auf Basis der Standardvertragsklauselwerke der Genehmigung der zuständigen Behörde gemäß § 4c Abs. 2 bedarf. In Anbetracht der wohl vorzunehmenden Modifikation um den Besonderheiten eines „Konzernvertrags“ gerecht zu werden, ist allerdings eine Vorlage bei der zuständigen Behörde zumindest empfehlenswert3. Ein Zusammenspiel eines solchen Mehrparteienvertrages und weiterer verbindlicher Unternehmensregelungen (sogleich Rz. 38) wird ebenfalls als effiziente Lösung für den konzernweiten Datenaustausch in Betracht gezogen, wobei der Übergang zwischen beiden Klauselwerken fließend sein kann4. Bei der Verwendung gegenüber unselbständigen Unternehmensteilen in 37 Drittstaaten – auch hier ist zumindest nach Ansicht der Datenschutzbehörden eine gesonderte Rechtfertigung der Übermittlung erforderlich, obwohl die Daten nicht an einen „Dritten“ i.S.d. § 3 Abs. 8 übermittelt werden (vgl. § 4b Rz. 37)5 – wird ferner empfohlen die Vertragsklauseln als 1 Zweiundzwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/1015, S. 10–11; Artikel-29-Datenschutzgruppe, WP 74, S. 7. 2 Zweiundzwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/1015, S. 11; Taeger/Gabel/Gabel, § 4c BDSG Rz. 25. 3 Vgl. Zweiundzwanzigster Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 18/1015, S. 10–11. 4 Artikel-29-Datenschutzgruppe, WP 74, S. 7. 5 Taeger/Gabel/Gabel, § 4b BDSG Rz. 15; vgl. ferner Neunzehnter Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LTDrucks. 16/5892 Ziff. 11.2; Fünfzehnter Bericht der Hessischen Landesregierung, LT-Drucks. 15/46503 Rz. 5; Hillenbrand-Beck, RDV 2007, 231 (232); Däubler/Klebe/Wedde/Weichert/Däubler, § 4c BDSG Rz. 17a.
v. d. Bussche
161
BDSG § 4c
Allgemeine und gemeinsame Bestimmungen
Garantieerklärung auszugestalten. Andernfalls würde eine vertragliche Vereinbarung zwischen einem Unternehmen und einem nichtselbständigen Unternehmensteil ein unwirksames Insichgeschäft darstellen1. b) Verbindliche Unternehmensregelungen/„Binding Corporate Rules“ aa) Allgemeines/Gestaltung von verbindlichen Unternehmensregelungen 38 Ausdrücklich benennt Abs. 2 auch „verbindliche Unternehmensregelungen“ als Möglichkeit, um hinreichende Garantien für den Persönlichkeitsschutz nachzuweisen. Diese sog. „Binding Corporate Rules“ sind vor allem für Konzerne und andere Kooperationsformen interessant, die Wert auf eine international einheitliche Regelung des Datenschutzniveaus legen oder bei denen es regelmäßig zu zahlreichen Datentransfers zwischen den einzelnen Unternehmensteilen kommt2. In der Praxis können sich bei der Gestaltung solcher Binding Corporate Rules erhebliche Schwierigkeiten ergeben. Inhaltlich Konkretisierendes lässt sich dem Gesetz nämlich nicht entnehmen. Die Artikel-29-Datenschutzgruppe hat zu diesem Thema jedoch eine Reihe von Arbeitspapieren erarbeitet3. Diese sind nicht verbindlich, bieten aber Hilfestellung und Musterformulierungen aus Sicht der europäischen Datenschutzbehörden. In jedem Fall ist auch beim Rückgriff auf diese Arbeitspapiere eine Anpassung der Klauseln an die konkreten Gegebenheiten des jeweiligen Konzerns vorzunehmen4. 39 Die Unternehmensregelungen müssen ein angemessenes Datenschutzniveau i.S.d. § 4b Abs. 2 und 3 garantieren können; mithin die Grundsätze der EU-Datenschutzrichtlinie aufgreifen5. Um dies zu erreichen, wird von den Aufsichtsbehörden eine Orientierung an den Standardvertrags1 Taeger/Gabel/Gabel, § 4c BDSG Rz. 25. 2 Ausführlich: Grapentin, CR 2009, 693 ff. 3 Zu nennen sind: Working Paper (WP) 74 v. 3.6.2003 (Allgemeine inhaltliche Vorgaben); WP 107 v. 14.4.2005 (Festlegung eines Kooperationsverfahrens zwischen europäischen Datenschutzbehörden); WP 108 v. 14.4.2005 (MusterCheckliste für Genehmigungsanträge); WP 153 v. 24.6.2008 (Überblick über die Bestandteile und Grundsätze einer BCR); WP 154 v. 24.6.2008 (Vorschlag für die Struktur einer BCR) und WP 155 v. 24.6.2008 (FAQ). Alle Dokumente sind abrufbar unter http://ec.europa.eu/justice/policies/privacy/workinggroup/ wpdocs/index_search_en.htm. (Zuletzt abgerufen September 2012). 4 Vgl. Räther/Seitz, MMR 2002, 520 (527); Taeger/Gabel/Gabel, § 4c BDSG Rz. 29. 5 Artikel-29-Datenschutzgruppe, WP 74, S. 5; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 28.
162 v. d. Bussche
Ausnahmen
§ 4c BDSG
klauseln empfohlen, insbesondere im Hinblick auf Drittbegünstigungsund Haftungsklauseln1. Eine Übernahme der dortigen Regelungen ist jedoch nicht zwingend: So stellt die Artikel-29-Datenschutzgruppe nochmals klar, dass die in Art 26 Abs. 2 der EG-Datenschutzrichtlinie (bzw. § 4c Abs. 2) geforderten „ausreichenden Garantien“ ebenfalls durch andere Instrumente als vertragliche Lösungen oder verbindliche Unternehmensregelungen erreicht werden können2. Abweichungen zugunsten des Betroffenen bzw. Ergänzungen von Betroffene nicht belastenden Regelungen sind folglich denkbar (vgl. bereits Rz. 29). In Anbetracht der durch den Gesetzgeber formulierten Alternativität zwischen der Verwendung von Verträgen oder Unternehmensregelungen kann somit außerdem nicht gefordert werden, dass verbindliche Unternehmensregelungen zwingend auf vertraglicher Basis begründet werden müssen3. Möglich ist demnach auch die Verwendung z.B. einer Satzung4. Entscheidend ist in erster Linie der verbindliche Charakter der Unter- 40 nehmensregelungen, damit eine Datenübermittlung auf diese gestützt werden kann5. Nicht ausreichend sind also bloße Wohlverhaltenserklärungen oder ein unverbindlicher „Code of Conduct“6. Zu beachten ist, dass die Termini zum Teil nicht einheitlich verwendet werden. Daher ist mehr auf den verbindlichen Charakter des Regelungswerks zu achten als auf dessen Bezeichnung. Die Verbindlichkeit muss hierbei sowohl „intern“ als auch „extern“ wirken7. Interne Verbindlichkeit bedeutet, dass die einzelnen Konzernteile und Mitarbeiter durch entsprechende Weisungen zur Befolgung der jeweiligen Unternehmensregelungen verpflichtet werden8. Dies kann beispielsweise durch Androhung von Sanktionen, Schulungen, Festlegung von regelmäßigen Audits sowie 1 Taeger/Gabel/Gabel, § 4c BDSG Rz. 29; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 28; Fünfzehnter Bericht der Hessischen Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 15/4659, S. 16. 2 Artikel-29-Datenschutzgruppe, WP 74, S. 5; Däubler/Klebe/Wedde/Weichert/ Klebe, § 4c BDSG Rz. 22. 3 So auch Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 28; Däubler/Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 22; a.A. Simitis/ Simitis, § 4c BDSG Rz. 61 und 65. 4 Däubler/Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 22. 5 Simitis/Simitis, § 4c BDSG Rz. 65. 6 Vgl. Tinnefeld/Rauhofer, DuD 2008, 717 (721); vgl. auch Wisskirchen, CR 2004, 862 (866) – Verhaltenskodex ist nur dann taugliche Grundlage, wenn dieser den Umgang mit Daten verbindlich festlegt. 7 Artikel-29-Datenschutzgruppe, WP 74, S. 14 und 16. 8 Däubler/Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 22.
v. d. Bussche
163
BDSG § 4c
Allgemeine und gemeinsame Bestimmungen
eindeutigen Verpflichtungen zur Zusammenarbeit mit den zuständigen Datenschutzbehörden usw. gewährleistet werden1. Die externe Verbindlichkeit wird in erster Linie durch Drittbegünstigungsklauseln geschaffen: durch diese soll den von der Datenübermittlung Betroffenen ermöglicht werden, die Einhaltung der Bestimmungen unmittelbar und grenzüberschreitend durchsetzen zu können – sei es mithilfe der zuständigen Aufsichtsbehörden oder Gerichte2. Die konkrete Ausgestaltung dieser Anforderungen hängt ab von der Unternehmensstruktur und den im jeweiligen Staat existierenden rechtlichen Möglichkeiten, in dem das zu verpflichtende Konzernunternehmen ansässig ist. Insbesondere hinsichtlich der Umsetzung der Drittbegünstigungsklausel ist eine rechtlich wirksame Durchsetzbarkeit zu gewährleisten, was sich in z.B. Deutschland (vgl. § 311 Abs. 1 BGB) sowie auch in anderen Staaten nur schwer durch einseitige Verpflichtungserklärungen oder konzerninterne Weisungen erreichen lässt3. Der Konzern ist somit aufgefordert die nötigen vertraglichen Voraussetzungen zu schaffen, damit Dritten (z.B. Aufsichtsbehörden oder den Betroffenen) die eben erwähnten erforderlichen Rechte eingeräumt werden4. Dem Betroffenen sollen Rechte in dem Umfang eingeräumt werden, wie diese entsprechend in den Standardvertragsklauseln gegen Datenexporteur und Datenimporteur vorgesehen sind5. Die Haftung und Verantwortung für sämtliche durch den Konzern begangene Verstöße gegen die verbindlichen Unternehmensregelungen soll konzernweit bei der Hauptniederlassung oder einem zu benennenden in der EU ansässigen Konzernteil konzentriert werden6. 41 Schließlich müssen die geplanten Datenübermittlungen die unter Maßgabe der Binding Coporate Rules erfolgen sollen, darin auch hinreichend konkretisiert werden7. Im Hinblick darauf, dass sich die behördliche 1 Artikel-29-Datenschutzgruppe, WP 74, S. 10 und 16; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 28. 2 Artikel-29-Datenschutzgruppe, WP 74, S. 11; Gola/Schomerus, § 4c BDSG Rz. 15; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 28. 3 Artikel-29-Datenschutzgruppe, WP 74, S. 12; Taeger/Gabel/Gabel, § 4c BDSG Rz. 30. 4 Taeger/Gabel/Gabel, § 4c BDSG Rz. 30; Moritz/Tinnefeld, JurPC Web-Dok. 181/2003; ausführlich Schröder, DuD 2004, 462 ff. sowie Schröder, Die Haftung für Verstöße gegen Privacy Policies und Codes of Conduct nach US-amerikanischem und deutschem Recht, Dissertation 2008, S. 212 ff. 5 Artikel-29-Datenschutzgruppe, WP 74, S. 12. 6 Artikel-29-Datenschutzgruppe, WP 74, S. 19; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 28. 7 Artikel-29-Datenschutzgruppe, WP 74, S. 15.
164 v. d. Bussche
§ 4c BDSG
Ausnahmen
Genehmigung anerkanntermaßen auch auf ganze „Arten von Übermittlungen“ erstrecken kann (siehe Rz. 22), wird teilweise auch empfohlen, bereichsspezifische Unternehmensregelungen zu gestalten (bspw. differenziert nach Kunden- und Mitarbeiterdaten)1. bb) Genehmigungerfordernis/zuständige Aufsichtsbehörde Fraglich ist, ob Übermittlungen, die unter Maßgabe von Binding Corpo- 42 rate Rules durchgeführt werden, einer Genehmigung der zuständigen Aufsichtsbehörde nach § 4c Abs. 2 bedürfen. Teilweise wird vertreten, dass durch verbindliche Unternehmensregelungen bereits ein angemessenes Datenschutzniveau i.S.d. § 4b Abs. 2, 3 geschaffen wird und Übermittlungen auf deren Grundlage somit in den Selbstregulierungsbereich der verantwortlichen Stelle nach § 4b Abs. 5 fielen; es folglich keiner gesonderten behördlichen Genehmigung nach § 4c Abs. 2 bedürfe2. Aus systematischen und richtlinienkonformen Gesichtspunkten kann dem aber nicht gefolgt werden (siehe ausführlich unter § 4b Rz. 25 f.). Die h.M. geht richtigerweise davon aus, dass in solchen Fällen eine Genehmigung der zuständigen Aufsichtsbehörde nach § 4c Abs. 2 einzuholen ist3. Folglich werden die verbindlichen Unternehmensregelungen erst im Rahmen einer behördlichen Prüfung i.S.d. § 4c Abs. 2 berücksichtigt; sie sind demnach nicht in der Lage, eine Drittlandsübermittlung bereits nach § 4b Abs. 2, 3 zu rechtfertigen4. Zuständige Aufsichtsbehörde ist diejenige, in deren Jurisdiktion das Un- 43 ternehmen seinen Sitz hat5. Hat ein Unternehmen Niederlassungen in mehreren europäischen Staaten und werden Daten auch von dort ins Ausland übermittelt, wird unter Umständen das Anrufen zahlreicher Aufsichtsbehörden erforderlich6. Um etwaigen Problemen und Unstimmigkeiten entgegenzuwirken, die sich aus der Vielzahl von potentiell 1 Büllesbach/Höss-Löw, DuD 2001, 135, 138. 2 So Gola/Schomerus, § 4c BDSG Rz. 16; Innenministerium Baden-Württemberg, Zweiter Tätigkeitsbericht zum Datenschutz im nichtöffentlichen Bereich, 2003, S. 19, abrufbar unter: http://www.baden-wuerttemberg.datenschutz.de/ lfd/tb/imtbs/im2003.zip. (Zuletzt abgerufen September 2012). 3 So Taeger/Gabel/Gabel, § 4c BDSG Rz. 31; Bergmann/Möhrle/Herb, § 4c BDSG Rz. 16; Däubler/Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 23; Spindler/ Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 29; Simitis/Simitis, § 4c BDSG Rz. 66, 67. 4 Bergmann/Möhrle/Herb, § 4c BDSG Rz. 17. 5 Vgl. Simitis/Simitis, § 4c BDSG Rz. 36; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 29 und 30. 6 Hierzu Hilber, RDV 2005, 143, 150 f.
v. d. Bussche
165
BDSG § 4c
Allgemeine und gemeinsame Bestimmungen
zuständigen Aufsichtsbehörden ergeben können, hat die Artikel-29-Datenschutzgruppe ein Kooperationsverfahren entwickelt, das helfen soll, die verschiedenen Genehmigungsverfahren einheitlich und somit die Etablierung von verbindlichen Unternehmensregelungen attraktiver zu gestalten1. Fundament dieses Verfahrens ist die Bestimmung einer sogenannten federführenden Behörde auf Vorschlag des vorlegenden Unternehmens, welche in der Regel die für die Konzernzentrale (bzw. Europazentrale) zuständige Aufsichtsbehörde ist2. Die federführende Behörde stimmt die verbindlichen Unternehmensregelungen mit dem Unternehmen und den im weiteren Verlauf des Genehmigungsverfahrens weiterhin zuständigen Aufsichtsbehörden ab; es handelt sich somit um ein „One-Stop-Shopping“. Nicht handelt es sich wiederum um ein „Forum Shopping“, da dem Konzern keine freie Wahlmöglichkeit hinsichtlich der federführenden Aufsichtsbehörde zukommt und den im Kooperationsverfahren unterbreiteten Vorschlag anhand aussagekräftiger Kriterien zu begründen hat3. Durch das „One-Stop-Shopping“-Verfahren bleibt die Zuständigkeit der einzelnen Aufsichtsbehörden grundsätzlich unberührt4. Jedoch haben sich mehrere europäische Aufsichtsbehörden dazu verpflichtet, die Entscheidungen der jeweils zuständigen federführenden Aufsichtsbehörde hinsichtlich vorgelegter Unternehmensregelungen anzuerkennen (sog. „Mutual Recognition“)5. Demnach werden seitens dieser Aufsichtsbehörden keine zusätzlichen Prüfungen vorgenommen6. cc) Genehmigungsgegenstand 44 Innerhalb der h.M. ist allerdings umstritten, ob die verbindlichen Unternehmensregelungen an sich Prüfungsgegenstand des Genehmigungsver-
1 Artikel-29-Datenschutzgruppe, WP 107: „Festlegung eines Kooperationsverfahrens zwecks Abgabe gemeinsamer Stellungnahmen zur Angemessenheit der verbindlich festgelegten unternehmensinternen Datenschutzgarantien“, S. 2 ff. 2 Taeger/Gabel/Gabel, § 4c BDSG Rz. 32; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 30. 3 Artikel-29-Datenschutzgruppe, WP 107, S. 2. 4 Dix/Gardain, DuD 2006, 343, 345. 5 Hierzu gehören bislang: Deutschland, Frankreich, Großbritannien, Irland, Island, Italien, Lettland, Liechtenstein, Luxemburg, Malta, Niederlande, Norwegen, Slowenien, Spanien, Tschechien und Zypern; Jahresbericht BInBDI 2008, S. 117. 6 Taeger/Gabel/Gabel, § 4c BDSG Rz. 32.
166 v. d. Bussche
Ausnahmen
§ 4c BDSG
fahrens sind1, oder jeweils nur einzelne Übermittlungen bzw. Arten von Übermittlungen unter Verwendung der Binding Corporate Rules des jeweiligen Unternehmens genehmigt werden können2. Letztere Ansicht orientiert sich in erster Linie am Wortlaut der Norm, gemäß dem nur „einzelne Übermittlungen oder bestimmte Arten von Übermittlungen“ behördlich genehmigt werden können3. Demnach könnten die Aufsichtsbehörden weder Vertragsklauseln noch verbindliche Unternehmensregelungen genehmigen4. Des Weiteren würde eine anfängliche abstrakte Genehmigung zu der Erteilung einer unzulässigen „BlankoVollmacht“ führen5. Für eine solche abstrakte Prüfung von Binding Corporate Rules spricht 45 allerdings, dass der Gesetzgeber in der Begründung zur aktuellen Fassung des § 4c expressis verbis anführt, dass verbindliche Unternehmensregelungen „zur Genehmigung“ vorzulegen seien6. So geht auch die Artikel-29-Datenschutzgruppe wie selbstverständlich davon aus, dass verbindliche Unternehmensregelungen der behördlichen Genehmigung nach Art. 26 Abs. 2 der EG-Datenschutzrichtlinie bedürfen7. Ebenfalls das soeben beschriebene „One-Stop-Shopping“-Verfahren (siehe Rz. 43) spricht eher dafür, dass die Binding Coporate Rules selbst Prüfungsgegenstand des behördlichen Genehmigungsverfahrens sein sollen. Insbesondere ist weiter zu beachten, dass nach Ansicht der Artikel-29-Datenschutzgruppe das Genehmigungserfordernis bei Aktualisierungen der verbindlichen Unternehmensregelungen nicht erneut auflebe8: Dies trägt dem Umstand Rechnung, dass Unternehmen sich verändernde Organisationen seien und nach Abschluss des Genehmigungsverfahrens neue Unternehmensteile in die Konzernstruktur aufgenommen werden und sich somit gewisse Arbeitsverfahren ändern können. Sofern der jeweilige Datenexporteur sicherstellt, dass der empfangende neue Unternehmensteil zur Einhaltung der verbindlichen Unternehmensregelun1 So Simitis/Simitis, § 4c BDSG Rz. 67. 2 So Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 29; Bergmann/Möhrle/Herb, § 4c BDSG Rz. 16; wohl auch Taeger/Gabel/Gabel, § 4c BDSG Rz. 31; Gola/Schomerus, § 4c BDSG Rz. 17 (für den Fall dass Unternehmensregelungen zur Absicherung vorgelegt werden). 3 So Bergmann/Möhrle/Herb, § 4c BDSG Rz. 16; Gola/Schomerus, § 4c BDSG Rz. 17. 4 So Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 29. 5 Gola/Schomerus, § 4c BDSG Rz. 17. 6 BT-Drucks. 14/4329, S. 35; kritisch Bergmann/Möhrle/Herb, § 4c BDSG Rz. 16. 7 Artikel-29-Datenschutzgruppe, WP 74, S. 4 und WP 107, S. 2 ff. 8 Artikel-29-Datenschutzgruppe, WP 74, S. 15 und 16.
v. d. Bussche
167
BDSG § 4c
Allgemeine und gemeinsame Bestimmungen
gen verpflichtet ist, können personenbezogene Daten deshalb ohne vorherige erneute Genehmigung übermittelt werden. Über Aktualisierungen hinausgehend sind signifikante Änderungen im Bezug auf Verarbeitungsziele, verarbeitete Datenkategorien sowie betroffene Personen. In solchen Fällen sind die veränderten Unternehmensregelungen erneut zur Genehmigung vorzulegen. Schließlich ist eine stets zu aktualisierende Liste aller Unternehmensteile zu führen und jährlich der Aufsichtsbehörde zu übermitteln, welche die Genehmigung ursprünglich erteilt hat. Aus diesen Umständen kann entnommen werden, dass die Artikel-29-Datenschutzgruppe davon ausgeht, dass die nationalen Aufsichtsbehörden die Binding Corporate Rules abstrakt auf Datenschutzkonformität überprüfen und Datenübermittlungen unter Einhaltung der dort festgelegten Richtlinien keiner weiteren behördlichen Genehmigung bedürfen. Eine erneute Vorlageobliegenheit wäre nämlich nicht notwendig, wenn jeweils nur die konkreten Übermittlungen den eigentlichen Genehmigungsgegenstand bilden würden. Denn dann müssten die Binding Corporate Rules, auf deren Grundlage dann die Bewertung der „ausreichenden Garantien“ i.S.d. § 4c Abs. 2 seitens der Aufsichtsbehörde erfolgt, ohnehin jeweils bei jedem Antrag nach § 4c Abs. 2 von der Behörde neu evaluiert werden. Ebenfalls die Klarstellung, dass sich Aktualisierungen der Unternehmensregelungen im Gegensatz dazu nicht auf eine bereits erteilte Genehmigung auswirken, spricht für ein solches Verständnis des Genehmigungsgegenstands. Dies würde auch nicht zu einer „Blanko-Vollmacht“ führen, da auch nur die Übermittlungen zulässig wären, die unter Befolgung der durch die Behörde genehmigten verbindlichen Unternehmensregelungen vollzogen werden1. 46 Daher sprechen die überzeugenderen Argumente dafür, dass die Binding Corporate Rules an sich der Prüfungsgegenstand des Genehmigungsverfahrens nach § 4c Abs. 2 sind. Die vorgebrachte Befürchtung einer „Blanko-Vollmacht“ ist nicht gegeben, sofern die jeweiligen verbindlichen Unternehmensregelungen die nach den Working Papers der Artikel-29-Datenschutzgruppe nötigen Klauseln und Konkretisierungen enthalten (siehe Rz. 38). Insbesondere im Hinblick auf die verbindliche Konkretisierung der geplanten Übermittlungen ist auch nicht ersichtlich, dass die abstrakte Genehmigung von verbindlichen Unternehmensregelungen im Vergleich zu der Genehmigung von „bestimmten Arten von Übermittlungen“ einen signifikant unterschiedlichen Genehmigungsumfang hätte, da durch beide eine ähnliche Konkretisierung
1 So auch Simitis/Simitis, § 4c BDSG Rz. 67.
168 v. d. Bussche
Ausnahmen
§ 4c BDSG
hinsichtlich der genehmigten Übermittlungen eintritt1. In praktischer Hinsicht muss man sogar attestieren, dass die Grenze zwischen beiden Antragsgegenständen fließend ausfallen kann. Nichtsdestotrotz liegt auf der Hand, dass in der Praxis erhebliche 47 Schwierigkeiten bei der Gestaltung und späteren Genehmigung verbindlicher Unternehmensregelungen bestehen, insbesondere solange nicht einmal Einigkeit darüber besteht, worin der Prüfungsgegenstand der behördlichen Genehmigung liegt und worauf sich die erteilte Genehmigung anschließend bezieht. In Deutschland werden Binding Corporate Rules bisweilen im Rahmen des sog. Düsseldorfer Kreises zwischen den vorlegenden Unternehmen und Aufsichtsbehörden abgestimmt2. Für die Zukunft ist zu hoffen, dass die von der Artikel-29-Datenschutzgruppe aufgestellten Leitlinien hinsichtlich der Gestaltung von verbindlichen Unternehmensregelungen von den nationalen Aufsichtsbehörden aufgegriffen werden, und so ein europaweit einheitliches und abstraktes Genehmigungsverfahren sowie eine allgemeine Standardisierung der Übermittlungsbedingungen etabliert werden können3. Die Einführung des „One-Stop-Shopping“ und der „Mutual Recognition“ (siehe Rz. 43) ist zweifelsfrei ein Schritt in die richtige Richtung. Verglichen mit den EU-Standardvertragsklauseln sind Binding Corporate Rules zwar bei den Bedürfnissen von Unternehmen flexibler, jedoch geht dies zu Lasten eines mühsamen, langwierigen und kostenintensiven Genehmigungsprozesses4. Ein solcher entfällt bei den EU-Standardverträgen. Die höhere Rechtssicherheit bieten die Binding Corporate Rules, wenn eine Ergänzung der EU-Standardvertragsklauseln notwendig wird. Eine Ergänzung der Standardvertragsklausel ist laut den Erwägungsgründen zulässig für eine flexiblere Gestaltung des Vertrags5. Jedoch besteht das Risiko, dass eine solche Ergänzung genehmigungsbedürftig ist (zur Genehmigungsbedürftigkeit der EU-Standardverträge bei ihrer Änderung siehe Rz. 34). 1 Vgl. Simitis/Simitis, § 4c BDSG Rz. 67. 2 Gola/Schomerus, § 4c BDSG Rz. 16; Spindler/Schuster, Recht der elektronischen Medien, § 4c BDSG Rz. 32. 3 Vgl. auch Simitis/Simitis, § 4c BDSG Rz. 67. 4 Für eine Übersicht von bereits genehmigten Binding Corporate Rules Verfahren siehe auch http://ec.europa.eu/justice/data-protection/document/internatio nal-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm (Stand Oktober 2012). 5 Vgl. z.B. den Erwägungsgrund 4 der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 5.2.2010 – 2010/87/EU.
v. d. Bussche
169
BDSG § 4c
Allgemeine und gemeinsame Bestimmungen
Zudem sind die EU-Standardvertragsklauseln primär für den bilateralen Datentransfer entworfen; bei Konzernen, die eine multilaterale Datenübermittlung praktizieren, bieten Binding Corporate Rules einen größeren Gestaltungsspielraum. IV. Rechtsfolgen/Sanktionen 48 Ist bei einer vorgesehenen Datenübermittlung ins Ausland weder ein angemessenes Schutzniveau i.S.d. § 4b im Empfängerland noch eine Ausnahme nach § 4c Abs. 1 gegeben, hat die Datenübermittlung zu unterbleiben. Ein Verstoß hiergegen stellt eine Ordnungswidrigkeit dar und ist gemäß § 43 Abs. 2 Nr. 1 bis zu einer Höhe von 300 000 Euro bußgeld- sowie ggf. gemäß § 44 Abs. 1 mit Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe strafbewehrt1. Des Weiteren sind Schadensersatzansprüche etwaiger Betroffener gemäß §§ 7 und 8 denkbar. 49 Gegen eine verweigerte Genehmigung i.S.d. Abs. 2 seitens der Aufsichtsbehörde, kann die verantwortliche Stelle den Verwaltungsrechtsweg in Form einer Verpflichtungsklage vor dem zuständigen Verwaltungsgericht beschreiten, falls sie weiterhin beabsichtigt, die ursprünglich geplante Datenübermittlung durchzuführen2. 50 Unabhängig davon ist fraglich, ob durch die verweigerte Genehmigung ein Rückgriff auf einen möglicherweise einschlägigen Ausnahmetatbestand des Abs. 1 gesperrt wird. Davon muss jedenfalls dann ausgegangen werden, falls die Behörde im Rahmen ihrer Untersuchung feststellt, dass ein Ausnahmetatbestand des Abs. 1 nicht erfüllt ist, mithin eine materielle Bindungswirkung diesbezüglich eingetreten ist. Ersichtlich kommt es hierbei auf die Umstände des Einzelfalls, insbesondere den Umfang der von der jeweils zuständigen Aufsichtsbehörde vorgenommenen Prüfung an. In der Praxis können sich hierbei durchaus Inkongruenzen ergeben, so dass keine definitive Aussage diesbezüglich getroffen werden kann. 51 Ob es nun ratsam ist eine Genehmigung nach Abs. 2 „hilfsweise“ einzuholen, obwohl aus Sicht der verantwortlichen Stelle bereits ein Ausnahmetatbestand des Abs. 1 erfüllt und die entsprechende Übermittlung mithin bereits gesetzlich legitimiert ist, muss angezweifelt werden. Er1 Vgl. bereits § 4b Rz. 39. 2 Taeger/Gabel/Gabel, § 4c BDSG Rz. 19; Däubler/Klebe/Wedde/Weichert/Klebe, § 4c BDSG Rz. 14; je nach Bundesland muss ggf. im Vorfeld ein behördliches Widerspruchsverfahren gemäß den §§ 68 ff. VwVfG durchgeführt werden.
170 v. d. Bussche
Meldepflicht
§ 4d BDSG
fahrungsgemäß sind Aufsichtsbehörden ohnehin eher zögerlich, wenn es darum geht sich auf eine positive Bescheidung eines Antrags, insbesondere schriftlich, festzulegen. Daher ist es unwahrscheinlich, dass die Rechtsposition der verantwortlichen Stelle durch vorherige Konsultation der zuständigen Aufsichtsbehörde gestärkt werden kann. Meldepflicht
4d
(1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nach Maßgabe von § 4e zu melden. (2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat. (3) Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. (4) Die Absätze 2 und 3 gelten nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle 1. zum Zweck der Übermittlung, 2. zum Zweck der anonymisierten Übermittlung oder 3. für Zwecke der Markt- oder Meinungsforschung gespeichert werden.
(5) 1Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). 2Eine Vorabkontrolle ist insbesondere durchzuführen, wenn 1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
v. d. Bussche
171
BDSG § 4d
Allgemeine und gemeinsame Bestimmungen
2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. (6) 1Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. 2Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. 3Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und die Informatonsfreiheit zu wenden. I. Überblick . . . . . . . . . . . . . . . . .
1
II. Meldepflicht für „Verfahren automatisierter Verarbeitung“. . . . . . . . . . . . . . . . . . . . . 4 1. Grundsatz der Meldepflicht (Abs. 1) . . . . . . . . . . . . . . . . . . . 4 2. Ausnahmen von der Meldepflicht (Abs. 2 und 3) . . . . . . . . 9 3. Gegenausnahme für geschäftsmäßige Speicherung von Daten (Abs. 4) . . . . . . . . . . 13
4. Rechtsfolgen/Sanktionen bei unterlassener Meldung . . . . . . 14 III. Vorabkontrolle bei besonderen Risiken (Abs. 5 und 6) . . . . 1. Grundsatz der Durchführungspflicht . . . . . . . . . . . . 2. Ausnahmen von der Durchführungspflicht . . . . . . . . . . . . 3. Zuständigkeit und Verfahren . 4. Rechtsfolgen . . . . . . . . . . . . . . .
15 15 16 18 20
Schrifttum: Engelien-Schulz, Die Vorabkontrolle gemäß § 4d Abs. 5 und Abs. 6 Bundesdatenschutzgesetz, RDV 2003, 270; Gola, Die Digitalisierung der Personalakte und der Datenschutz, RDV 2008, 135; Gola/Klug, Neuregelung zur Bestellung betrieblicher Datenschutzbeauftrager, NJW 2007, 118; Hilpert, Zulässigkeit der Videoüberwachung nach § 6b BDSG am Beispiel des ÖPNV, RDV 2009, 160; Klug, Die Vorabkontrolle – Eine neue Aufgabe für betriebliche und behördliche Datenschutzbeauftragte, RDV 2001, 12; Müglich, Datenschutzrechtliche Anforderungen an die Vertragsgestaltung beim e-Shop Hosting – Anspruch, Wirklichkeit und Vollzugsdefizit, CR 2009, 479; Reif, Warnsysteme der Wirtschaft und Kundendatenschutz, RDV 2007, 4; Rüpke, Freie Advokatur, anwaltliches Berufsgeheimnis und datenschutzrechtliche Kontrollbefugnisse, RDV 2003, 72; Schild, Meldepflichten und Vorabkontrolle, DuD 2001, 282; Schild, Was hat der Personalrat mit dem Datenschutz zu tun? Versuch einer kleinen Einführung in das Datenschutzrecht, ZfPR 2010, 17; Weniger, Das Verfahrensverzeichnis als Mittel datenschutzkonformer Unternehmensorganisation, RDV 2005, 153; Westerwelle/Kahl, Die Novellierung des Bundesdatenschutzgesetzes, ITRB 2009, 273; Zilkens, Arbeitszeiterfassungssysteme und Datenschutz, RDV 2005, 50.
172 v. d. Bussche
Meldepflicht
§ 4d BDSG
I. Überblick § 4d regelt die Meldepflicht für Verfahren automatisierter Datenver- 1 arbeitung sowie das Institut der Vorabkontrolle. Öffentliche und nichtöffentliche Stellen sowie Post- und Telekommunikationsunternehmen müssen gemäß Abs. 1 vor der Aufnahme von Verfahren automatisierter Datenverarbeitungsprozesse diese der zuständigen Aufsichtsstelle melden. Durch das Meldeverfahren werden der Datenverarbeitungsvorgang und insbesondere auch die Zweckbestimmung der Datenverarbeitung offengelegt und so leichter überprüfbar gemacht1. Die Meldepflicht entfällt, wenn eine Ausnahme nach Abs. 2 oder 3 vorliegt. Abs. 4 wiederum regelt eine Gegenausnahme von Abs. 2 und 3 für den Fall, dass mit der automatisierten Datenverarbeitung bestimmte und geschäftsmäßig betriebene Zwecke verfolgt werden. Die inhaltlichen Anforderungen an die Meldung werden durch § 4e konkretisiert. Abs. 5 und 6 regeln die Vorabkontrolle für automatisierte Datenverarbeitungsvorgänge, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen. Bei der Anwendung von § 4d ist in drei Schritten, entsprechend der Re- 2 gel-Ausnahme-Gegenausnahme-Struktur2 der Norm, vorzugehen: Zunächst ist von der generellen Meldepflicht für alle Verfahren automatisierter Datenverarbeitung auszugehen (Abs. 1). Dann sind die Ausnahmen von der Meldepflicht nach Abs. 2 oder Abs. 3 zu prüfen. Wird eine Ausnahme bejaht, ist Abs. 4 zu prüfen. Denn liegen dessen Voraussetzungen vor, kann sich die Verantwortliche Stelle gerade nicht auf die Ausnahmen in Abs. 2 oder 3 berufen. Zusätzlich ist zu prüfen, ob aufgrund der Besonderheiten der automatisierten Datenverarbeitung eine Vorabkontrollpflicht gemäß Abs. 5 besteht. § 4d setzt Art. 18 (Meldepflicht) und Art. 20 (Vorabkontrolle) der EG-Da- 3 tenschutzrichtlinie um3. Die Vorschrift wurde durch die BDSG-Novellierung im Jahr 2009 geringfügig modifiziert: In Abs. 3 wurden mit Wirkung ab 1.4.2010 die Worte „in der Regel“ (höchstens neun Personen) sowie „ständig“ (beschäftigt) eingefügt. Mit Wirkung ab 1.9.2009 wurde in Abs. 4 die automatisierte Datenverarbeitung „zum Zwecke der Markt- oder Meinungsforschung“ neu aufgenommen; in Abs. 3 und
1 Vgl. Erwägungsgrund 48 der EG-Datenschutzrichtlinie; ferner Schild, ZfPR 2010, 17 (20). 2 Vgl. Taeger/Gabel/Scheja, § 4d BDSG Rz. 5 und 7. 3 Bergmann/Möhrle/Herb, § 4d BDSG Rz. 3 und 9.
v. d. Bussche
173
BDSG § 4d
Allgemeine und gemeinsame Bestimmungen
Abs. 5 wurde außerdem der Begriff „Vertragsverhältnis“ durch „rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis“ ersetzt. II. Meldepflicht für „Verfahren automatisierter Verarbeitung“ 1. Grundsatz der Meldepflicht (Abs. 1) 4 Abs. 1 bestimmt als gesetzlich geregelten Ausgangsfall: Die Verwendung von Verfahren automatisierter Datenverarbeitung muss vor Inbetriebnahme gemeldet werden. Die Meldung darf nur unterbleiben, wenn eine der Ausnahmen der Abs. 2 und 3 vorliegt, was in der Praxis inzwischen als Regefall bezeichnet werden kann. Nach Abs. 1 sind nicht-öffentliche Stellen, öffentliche Stellen sowie Post- und Telekommunikationsunternehmen meldepflichtig. Damit werden grundsätzlich alle verantwortlichen Stellen von der Meldepflicht erfasst. Eine Ausnahme speziell für bestimmte Berufsgruppen, wie etwa solche, die Träger von Amts- oder Berufsgeheimnissen sind, ist nicht vorgesehen1. Dies war zunächst umstritten, mit der im Zuge der BDSG-Novelle im Jahr 2006 neu aufgenommenen Regelung in § 4f Abs. 2 Satz 3 stellte der Gesetzgeber die Rechtssicherheit aber wieder her2. Denn § 4f Abs. 2 Satz 3 stellt ausdrücklich klar, dass die vom Datenschutzbeauftragten durchzuführenden datenschutzrechtlichen Kontrollen auch Daten erfassen, die einem Berufs- oder Amtsgeheimnis unterliegen3. Eine grundsätzliche Anwendungsausnahme des BDSG und der Meldeverpflichtung für verantwortliche Stellen, die Berufs- und Amtsträger sind, lässt sich so nicht mehr begründen4. Die Meldepflicht entfällt ferner nicht dadurch, dass eine verantwortliche Stelle die Datenverarbeitung durch eine beauftragte Stelle im Rahmen der Auftragsdatenverarbeitung durchführen lässt5. Denn diese Dienstleistung ist der verantwortlichen Stelle weiterhin zuzurechnen, sie bleibt für diese Daten die verantwortliche Stelle im Sinne des Gesetzes6. Aus der Zurechnung wiederum folgt die Meldepflicht des Auftraggebers7. Durch den Wegfall der Regelung des § 32 BDSG in der Fassung des BDSG 1990 mit der BDSG-Novelle 2001 ist der Auftragsdatenverarbeiter selbst nicht mehr meldepflichtig8. 1 2 3 4 5 6 7 8
Vgl. Simitis/Petri, § 4d BDSG Rz. 12; so aber Rüpke, RDV 2003, 72 (80). Vgl. Gola/Klug, NJW 2007, 118 (121). Simitis/Petri, § 4d BDSG Rz. 12. Ausführlich Taeger/Gabel/Scheja, § 4d BDSG Rz. 11. Taeger/Gabel/Scheja, § 4d BDSG Rz. 12. Vgl. Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 22 ff. Vgl. Spindler/Schuster, Recht der elektronischen Medien, § 4d BDSG Rz. 3. Taeger/Gabel/Scheja, § 4d BDSG Rz. 12; Simitis/Petri, § 4d BDSG Rz. 18.
174 v. d. Bussche
Meldepflicht
§ 4d BDSG
Empfänger der Meldung ist bei nicht-öffentlichen Stellen die „zuständige 5 Aufsichtsbehörde“. Diese wird gemäß § 38 Abs. 6 von der jeweiligen Landesregierung bzw. der von ihr ermächtigten Stelle bestimmt. Die Aufsichtsbehörde führt gemäß § 38 Abs. 2 ein öffentlich zugängliches Register der nach § 4d meldepflichtigen Datenverarbeitungen. Es enthält die nach § 4e erforderlichen Pflichtangaben, die von jedermann abgerufen werden können (§ 38 Abs. 2). Zuständig für öffentliche Stellen sowie (öffentliche und nicht-öffentliche) Post- und Telekommunikationsunternehmen ist hingegen der Bundesbeauftragte für den Datenschutz (§ 22). Gemäß Abs. 1 sind „Verfahren automatisierter Verarbeitung“ bei der zu- 6 ständigen Behörde anzuzeigen. Den Begriffen „Verfahren“ und „automatisierte Verarbeitung“ kommt dabei eigenständige Bedeutung zu1. § 3 Abs. 2 definiert die „automatisierte Verarbeitung“ als „Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen“. Nicht definiert ist hingegen der Begriff des „Verfahrens“. Art. 18 Abs. 1 der EG-Datenschutzrichtlinie definiert den Gegenstand eines Verfahrens als „die Verarbeitung oder eine Mehrzahl von Verarbeitungen zur Realisierung einer oder mehrerer verbundener Zweckbestimmungen“. Damit ist der Begriff richtlinienkonform dahingehend zu verstehen, dass nicht jede einzelne Erhebung, Verarbeitung und Nutzung personenbezogener Daten ein eigenständiges Verfahren darstellt2. Der Begriff des Verfahrens soll vielmehr ein Bündel einzelner Vorgänge beschreiben, die alle einem übergreifenden einheitlichen Zweck dienen3. Einheitliche Verfahren sind demnach z.B. die Telefondatenerfassung, Warnsysteme der Wirtschaft4, die Videoüberwachung5 oder die Personaladministrations- und Informationssysteme, die Arbeitszeiterfassung6, wohl auch der Betrieb eines Webshops durch den Host7, selbst wenn es in jedem dieser Bereiche zu zahlreichen individuellen datenschutzrechtlich relevanten Verarbeitungsvorgängen kommt8. 1 Vgl. Simitis/Petri, § 4d BDSG Rz. 6. 2 So auch Taeger/Gabel/Scheja, § 4d BDSG Rz. 13; Gola/Schomerus, § 4d BDSG Rz. 9a. 3 Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 2; Simitis/Petri, § 4d BDSG Rz. 6 – meldepflichtig sei aber auch ein isolierter Verarbeitungsschritt, wenn dieser nicht Teil eines umfassenderen Verfahrens ist. 4 Hierzu Reif, RDV 2007, 4, (8). 5 Hierzu Hilpert, RDV 2009, 160 (167). 6 Zilkens, RDV 2005, 50 (52). 7 Hierzu Müglich, CR 2009, 479 (480). 8 Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 2; ausführlich Wächter, Datenschutz im Unternehmen, Rz. 364 ff.
v. d. Bussche
175
BDSG § 4d
Allgemeine und gemeinsame Bestimmungen
Gemeldet werden muss somit nur das übergreifende Verfahren an sich, nicht aber jeder individuelle Datenverarbeitungsvorgang1. Dabei liegt die Einschätzung darüber, welche einzelnen Verarbeitungsvorgänge zu einem Verfahren zusammengefasst werden, weitestgehend im Ermessen der verarbeitenden Stelle2. Dabei ist das Verfahren in der Meldung hinreichend konkret zu beschreiben, um der Aufsichtsbehörde eine kursorische Rechtmäßigkeitsüberprüfung zu ermöglichen (siehe dazu auch § 4e Rz. 7 f.)3; andernfalls droht ein Bußgeld gemäß § 43 Abs. 1 Nr. 1 i.V.m. Abs. 3. 7 Die Meldung muss vor der Aufnahme des Verfahrens zur automatisierten Verarbeitung erfolgen4. Dies ermöglicht der zuständigen Aufsichtsstelle die Zulässigkeit der Datenverarbeitung frühzeitig zu überprüfen. Da es sich aber nicht um ein Genehmigungserfordernis handelt und die Behörde die Meldung nur auf Vollständigkeit und nicht auf materielle Legalität hin überprüft, kann die verantwortliche Stelle unmittelbar nach erfolgter Meldung mit der Datenverarbeitung beginnen5. Eine gewisse Stillhaltefrist ist insofern nur in Betracht zu ziehen, wenn inhaltliche Bedenken gegen die Rechtmäßigkeit der Datenverarbeitung bestehen, wobei, wie soeben erwähnt, eine materielle Prüfung der Aufsichtsbehörde unter Umständen ohnehin nicht durchgeführt wird. Die inhaltlichen Anforderungen an die Meldung ergeben sich aus § 4e. Spezielle Formerfordernisse bestehen nicht, die Meldung kann also in jeder geeigneten Form (Schreiben, Fax, E-Mail6) erfolgen7. Viele Aufsichtsbehörden halten allerdings auch Musterformulare für die Meldung bereit, deren Verwendung zwar nicht verpflichtend, aber zu empfehlen ist8. 8 Die gemeldeten Verfahren werden gemäß § 38 Abs. 2 von der Aufsichtsbehörde in ein Melderegister eingetragen. Wie bereits erwähnt erfolgt lediglich eine Prüfung hinsichtlich der Vollständigkeit der Meldung (siehe 1 Gola/Schomerus, § 4d BDSG Rz. 9a; Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 2; Taeger/Gabel/Scheja, § 4d BDSG Rz. 13. 2 So auch Taeger/Gabel/Scheja, § 4d BDSG Rz. 14; Weniger, RDV 2005, 153 (154). 3 Simitis/Petri, § 4d BDSG Rz. 26. 4 Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 3: Zilkens, RDV 2005, 50 (52). 5 Vgl. Simitis/Petri, § 4d BDSG Rz. 30; Taeger/Gabel/Scheja, § 4d BDSG Rz. 18. 6 Simitis/Petri, § 4d BDSG Rz. 28 – Vereinzelt gehen Aufsichtsbehörden von Authentizitätsproblemen bei Meldungen per E-Mail aus; eine vorherige Abstimmung dahingehend wird daher empfohlen. 7 Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 3. 8 Taeger/Gabel/Scheja, § 4d BDSG Rz. 16.
176 v. d. Bussche
Meldepflicht
§ 4d BDSG
Rz. 7). Mit der Eintragung in das Melderegister ist also keine konkludente Bestätigung der Rechtmäßigkeit der Datenverarbeitung verbunden1. 2. Ausnahmen von der Meldepflicht (Abs. 2 und 3) Abs. 2 regelt die in der Praxis relevanteste Ausnahme von der Melde- 9 pflicht. Die Meldepflicht entfällt für den Fall, dass die verantwortliche Stelle einen Datenschutzbeauftragten berufen hat. Irrelevant dabei ist, ob die Stelle hierzu verpflichtet war (§ 4f) oder sich freiwillig für die Bestellung entschieden hat2. Durch die Bestellung eines Datenschutzbeauftragten entfällt dann zwar die Meldepflicht gegenüber der externen Aufsichtsbehörde; intern ist die verantwortliche Stelle aber gemäß § 4g Abs. 2 Satz 1 weiterhin verpflichtet, dem Datenschutzbeauftragten eine inhaltlich weitgehend mit der Meldung identische Übersicht über alle Datenverarbeitungsvorgänge zu übergeben3. Öffentliche Stellen sind grundsätzlich gemäß § 4f Abs. 1 Satz 1 zur Bestellung eines Datenschutzbeauftragten verpflichtet (eine Ausnahme liegt lediglich bei einer möglichen Konzentrierung nach § 4f Abs. 1 Satz 5 vor, siehe dazu § 4f Rz. 15)4. Bei nicht-öffentlichen Stellen sind nur kleinere Unternehmen, die „in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ (§ 4f Abs. 1 Satz 4), ausgenommen. Folglich ist ein großer Teil aller datenverarbeitenden Stellen bereits aufgrund ihrer Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch die Regelung des Abs. 2 von der Meldepflicht befreit. Dies zeigt, dass das gesetzlich vorgesehene Regel-Ausnahmeverhältnis in der Praxis umgekehrt ist – die Befreiung von der Meldepflicht ist die Regel, die wirksame Meldepflicht die Ausnahme5. Ferner befreit Abs. 3 kleinere Unternehmen bei Vorliegen von drei Voraussetzungen von der Meldepflicht: (1) Die Daten verarbeitende Stelle erhebt, verarbeitet oder nutzt die Daten ausschließlich „für eigene Zwecke“. Dieses Tatbestandsmerkmal ist identisch mit dem in § 28 verwendeten Begriff6. Erfasst ist damit die für die Verfolgung von Geschäftszwecken erforderliche Datenverarbeitung, nicht aber die Datenverarbeitung um ihrer selbst willen als eigenständiger Geschäftszweck (siehe § 28 Rz. 12 ff.). 1 2 3 4 5 6
Simitis/Petri, § 4d BDSG Rz. 30; Taeger/Gabel/Scheja, § 4d BDSG Rz. 18. BT-Drucks. 14/4329, S. 35. Vgl. Taeger/Gabel/Scheja, § 4d BDSG Rz. 20. Vgl. auch Gola/Schomerus, § 4d BDSG Rz. 5. Vgl. Bergmann/Möhrle/Herb, § 4d BDSG Rz. 22. Taeger/Gabel/Scheja, § 4d BDSG Rz. 22.
v. d. Bussche
177
10
BDSG § 4d
Allgemeine und gemeinsame Bestimmungen
11 (2) Die Stelle beschäftigt hierbei „in der Regel höchstens neun Personen ständig“ mit der automatisierten Datenverarbeitung. Durch die BDSGNovellierung im Jahr 2009 wurde der Wortlaut dieser Voraussetzung an den des § 4f Abs. 1 Satz 4 angepasst. Durch diese Formulierung werden vor allem kleinere Betriebe entlastet, die weniger als zehn Personen mit datenverarbeitenden Aufgaben betraut haben1. Der Begriff „Personen“ stellt klar, dass nicht nur Arbeitnehmer, sondern alle für die verantwortliche Stelle Tätigen berücksichtigt werden. Unerheblich ist es daher, ob die mit der automatisierten Datenverarbeitung betrauten Personen Vollzeit- oder Teilzeitkräfte, Auszubildende, Praktikanten, Leiharbeiter oder Freie Mitarbeiter sind2. Maßgeblich ist allein, ob die jeweilige Person für und im Auftrag der verantwortlichen Stelle tätig wird. Bei der Berechnung der Personen ist vom Regelbetrieb („in der Regel“) auszugehen und nicht von evtl. existierenden saisonalen Unterschieden nach oben bzw. unten. Berücksichtigung findet jegliche mit der Datenverarbeitung verbundene Tätigkeit, ob die jeweilige Person den Verarbeitungsprozess ganz oder teilweise selbständig durchführen kann ist irrelevant3. Es genügt bereits, dass ein Zugriff auf personenbezogene Daten möglich ist4. Folglich ist grundsätzlich jede Person, die Zugriff auf E-Mails, das Internet oder sonstige Datenbanken bspw. Kundenkonten hat, zu berücksichtigen5. Ebenfalls umfasst werden die der eigentlichen automatisierten Verarbeitung vor- und nachgelagerten Tätigkeiten wie etwa das handschriftliche Ausfüllen von Formularen sowie das anschließende Versenden von Verarbeitungsergebnissen6. Der Begriff ständig bedeutet nicht notwendig dauernd, verlangt aber, dass die Tätigkeit auf Dauer angelegt ist und die betreffende Person immer dann tätig wird, wenn es notwendig ist, selbst wenn die Tätigkeit nur in zeitlichen Abständen (z.B. monatlich) anfällt7. Personen, die nur ausnahmsweise und vereinzelt Zugriff auf personenbezogene Daten haben, müssen nicht berücksichtigt werden8.
1 BR-Drucks. 302/06, S. 20. 2 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 15. 3 Simitis/Simitis, § 4f BDSG Rz. 28, 29; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 14. 4 Taeger/Gabel/Scheja, § 4f BDSG Rz. 20; Bergmann/Möhrle/Herb, § 4f BDSG Rz. 30; Simitis/Simitis, § 4f BDSG Rz. 28. 5 Vgl. Taeger/Gabel/Scheja, § 4d BDSG Rz. 23; Simitis/Simitis, § 4f BDSG Rz. 28; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 14. 6 Vgl. Simitis/Simitis, § 4f BDSG Rz. 29; Gola/Schomerus, § 4f BDSG Rz. 13. 7 Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 20. 8 Taeger/Gabel/Scheja, § 4d BDSG Rz. 23.
178 v. d. Bussche
Meldepflicht
§ 4d BDSG
(3) Eine Einwilligung des Betroffenen in die Datenverarbeitung liegt vor oder die Datenverarbeitung ist für die Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich. Die Einwilligung muss den Anforderungen des § 4a entsprechen (siehe dazu § 4a Rz. 2). Der Wortlaut wurde mit der BDSG-Novelle im Jahr 2009 dahingehend abgeändert, dass die Datenverarbeitung nunmehr zur Durchführung oder Beendigung des Schuldverhältnisses erforderlich sein muss und ihr nicht lediglich dienen solle. Gleichermaßen wurde die Formulierung in § 28 angepasst, insofern sei auf die dortige Kommentierung verwiesen (siehe dazu § 28 Rz. 8 ff., 109). Nichtsdestotrotz wurde der bis 2009 geltende Begriff „dient“ ohnehin als „erforderlich“ gelesen1. Die praktische Relevanz dieser Gesetzesänderungen ist somit gering und eher deklaratorischer Art2.
12
3. Gegenausnahme für geschäftsmäßige Speicherung von Daten (Abs. 4) Abs. 4 regelt die Gegenausnahme zu Abs. 2 und 3. Diese gelten dann 13 nicht, wenn die automatisierte Datenverarbeitung dazu dient, geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung oder anonymisierten Übermittlung sowie der Markt- und Meinungsforschung zu speichern. Abs. 4 nimmt damit die Datenverarbeitung gemäß §§ 29, 30 und 30a in Bezug – derartige Datenverarbeitungsvorgänge, wie sie bei Auskunfteien, Detekteien und Kreditschutzorganisationen (Schufa)3 aber auch in sozialen Netzwerken wie Xing oder Facebook4 zu finden sind, sind also stets meldepflichtig, da von ihnen eine gesteigerte Gefahr für das Recht auf informationelle Selbstbestimmung der Betroffenen ausgeht5. Geschäftsmäßig ist die Datenverarbeitung dann, wenn sie auf eine gewisse Dauer angelegt ist, wobei die Wiederholungsabsicht maßgeblich ist6. Auf Entgeltlichkeit kommt es hingegen nicht an (zum Begriff der Geschäftsmäßigkeit siehe § 29 Rz. 7)7.
1 Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 6; Gola/Schomerus, § 28 BDSG Rz. 14. 2 So Westerwelle/Kahl, ITRB 2009, 273 (274); zum Hintergrund der Änderungen in § 28 BDSG: BT-Drucks. 16/12011, S. 31. 3 Beispiele nach Simitis/Petri, § 4d BDSG Rz. 15. 4 So Taeger/Gabel/Scheja, § 4d BDSG Rz. 31. 5 Simitis/Petri, § 4d BDSG Rz. 17. 6 Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 9. 7 Simitis/Ehmann, § 29 BDSG Rz. 61; Taeger/Gabel/Scheja, § 4d BDSG Rz. 29.
v. d. Bussche
179
BDSG § 4d
Allgemeine und gemeinsame Bestimmungen
4. Rechtsfolgen/Sanktionen bei unterlassener Meldung 14 Wer die Meldung pflichtwidrig unterlässt oder sie nicht richtig, nicht vollständig oder nicht rechtzeitig tätigt, handelt ordnungswidrig (§ 43 Abs. 1 Nr. 1), was eine Geldbuße bis zu 50 000 Euro zur Folge haben kann (§ 43 Abs. 2). III. Vorabkontrolle bei besonderen Risiken (Abs. 5 und 6) 1. Grundsatz der Durchführungspflicht 15 Weist die automatisierte Verarbeitung personenbezogener Daten besondere Risiken für die „Rechte und Freiheiten der Betroffenen“ auf, ordnet Abs. 5 vor Beginn der Verarbeitung eine sog. Vorabkontrolle an1. Das Gesetz nennt zwei konkretisierende Regelbeispiele: Besondere Risiken sind beispielsweise („insbesondere“) anzunehmen bei der Verarbeitung besonderer Arten personenbezogener Daten (§ 3 Abs. 9) oder wenn die Verarbeitung dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, etwa im Rahmen von Personalinformationssystemen2, bei Auswahlverfahren3 und in Assessment Centern4. Erfasst sein sollen aber auch Systeme zur Bewertung der Kreditwürdigkeit eines Kunden5, der Einsatz von Videoüberwachung, Chipkarten, Warndateien und das Anlegen von Kundenprofilen6. Im Generellen hat der Gesetzgeber der Norm den Gedanken zugrunde gelegt, dass eine automatisierte Verarbeitung personenbezogener Daten, das Recht auf informationelle Selbstbestimmung des Betroffenen nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG besonders gefährdet und somit die durch § 4g Abs. 1 Nr. 1 vorgesehene laufende Rechtmäßigkeitskontrolle als unzureichend erscheint7. Im Hinblick auf die erforderliche Schwere des Eingriffs zwecks Qualifikation als „besonderes Risiko“ im Sinne der Norm, wird man sich an den exemplarisch genannten Fällen orientieren können8. Die EG-Datenschutzrichtlinie nennt in Erwägungsgrund 53 mögliche Faktoren, die ein besonderes Risiko i.S.d. § 4g Abs. 5 etablieren können: Art der Ver1 Ausführlich: Engelien-Schulz, RDV 2003, 270; zum europarechtlichen Hintergrund siehe Art. 20 sowie Erwägungsgrund 54 der EG-Datenschutzrichtlinie. 2 Zur digitalisierten Personalakte: Gola, RDV 2008, 135 (142). 3 Simitis/Petri, § 4d BDSG Rz. 33. 4 Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 10. 5 Reif, RDV 2007, 4 ff. 6 Beispiele nach Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 10. 7 Vgl. Erwägungsgründe 53 u. 54 der EG-Datenschutzrichtlinie; so auch Simitis/ Petri, § 4d BDSG Rz. 32. 8 Vgl. Spindler/Schuster, Recht der elektronischen Medien, § 4d BDSG Rz. 9.
180 v. d. Bussche
Meldepflicht
§ 4d BDSG
arbeitung, Tragweite für den Betroffenen, Verwendung neuer Technologie, risikoträchtige Zweckbestimmung. Darüber hinaus sind die Wahrscheinlichkeit irreversibler Schäden sowie die Verwendung besonders komplexer Verarbeitungssysteme zu berücksichtigen1. Im Weiteren sind hierbei auch die Gefahren maßgeblich, die sich aus der konkreten Verwendungsmöglichkeit eines möglicherweise „belanglosen“ Datums durch dessen automatisierte Verarbeitung ergeben können2. Hieraus schließend ist bereits indiziert, dass der Auslegung des unbestimmten Rechtsbegriffs „besondere Risiken“ in der Praxis kaum Grenzen gesetzt sind und die Abgrenzung zu nicht-vorabprüfpflichtigen Verarbeitungen große Probleme bereitet3. Dennoch ist der Ausnahmecharakter der Norm nicht aus dem Blick zu verlieren und daher der Anwendungsbereich des Vorabkontrollverfahrens sinnvoll und angemessen abzustecken4. Folglich ist stets im Einzelfall zu entscheiden. 2. Ausnahmen von der Durchführungspflicht Die grundsätzlich erforderliche Vorabkontrolle entfällt gemäß Abs. 5 16 Satz 2, 2. Halbs. in drei Fällen: (1) Es besteht eine gesetzliche Verpflichtung zur automatisierten Datenverarbeitung. Erforderlich dabei ist, dass das einschlägige Gesetz die automatisierte Datenverarbeitung i.S.v. § 4 Abs. 1 ausdrücklich anordnet, und nicht bloß ermöglicht5. (2) Der Betroffene hat in die Verarbeitung eingewilligt6. Die Einwilligung muss – wie stets – den Anforderungen des 4a bzw. im Bereich der Werbung denen des § 28 Abs. 3a entsprechen und sich gerade auch auf die automatisierte Verarbeitung erstrecken7. (3) Die Datenverarbeitung ist zur Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich. Die Konsequenz daraus ist, dass Personalinformations- und -auswahlsysteme, obwohl dort in der Regel sensitive Daten i.S.d. Abs. 5 Satz 2 Nr. 1 verarbeitet werden, zumindest nicht grundsätzlich der Vor1 Ausführlich Simitis/Petri, § 4d BDSG Rz. 35. 2 BVerfGE 65, 1 – Volkszählungsurteil; Taeger/Gabel/Scheja, § 4d BDSG Rz. 64; Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 9. 3 Vgl. Gola/Schomerus, § 4d BDSG Rz. 9; Taeger/Gabel/Scheja, § 4d BDSG Rz. 60; Gliss, DSB 2003, Nr. 6, S. 14–15. 4 Vgl. Erwägungsgründe 53 u. 54 der EG-Datenschutzrichtlinie; so auch Kort, RDV 2011, 79 (81). 5 Taeger/Gabel/Scheja, § 4d BDSG Rz. 68; Engelien-Schulz, RDV 2003, 270 (273). 6 VG Gießen v. 16.7.2004 – 22 L 2286/04 Rz. 30 (am Rande). 7 Simitis/Petri, § 4d BDSG Rz. 34.
v. d. Bussche
181
BDSG § 4d
Allgemeine und gemeinsame Bestimmungen
abkontrolle unterliegen, da sie zur Begründung oder Durchführung eines Arbeitsverhältnisses erforderlich sein können1. Ungeachtet dessen ist wie im Rahmen der §§ 28 ff. im Einzelfall zu prüfen, ob die Verarbeitung unerlässlich für die Zweckbestimmung des jeweiligen Schuldverhältnisses ist2. 17 Umstritten ist die Reichweite dieser Ausnahmen. Ihre Stellung am Ende des 2. Halbs. von Abs. 5 Satz 2, der Regelbeispiele für die Notwendigkeit eine Vorabkontrolle nennt, kann aus syntaktischen Gesichtspunkten darauf hindeuten, dass diese Ausnahmen auch nur für diese Regelbeispiele, nicht aber generell für die Vorabkontrolle nach Satz 1 gelten sollen3. Demnach könnten sich also nur Stellen auf die Ausnahmen berufen, die entweder personenbezogene Daten i.S.v. § 3 Abs. 9 verarbeiten (Nr. 1) oder die Persönlichkeit des Betroffenen bewerten (Nr. 2)4. Dagegen ist die Komplexität des formulierten Ausnahmekatalogs im Gegengewicht zur potentiellen Anwendbarkeit auf lediglich zwei Regelbeispiele, mithin bloß Konkretisierungen eines Grundsatzes, zu beachten: Es erscheint unwahrscheinlich, dass dieses Ungleichgewicht vom Gesetzgeber intendiert war5. Ebenfalls im Hinblick auf die Schutzbedürftigkeit des Betroffenen ist nicht nachvollziehbar, warum gerade diese äußerst grundrechtsrelevanten Datenverarbeitungsvorgänge von einer möglichen Befreiung des Vorabkontrollverfahrens profitieren können sollten. Schließlich öffnet der Begriff „insbesondere“ Satz 2 auch für unbegrenzt weitere Fälle, die besondere Risiken bei der automatisierten Datenverarbeitung aufweisen, so dass bereits vom Wortlaut her die Ausnahmen für diese weiteren Fälle zugelassen werden müssten. Die in Abs. 5 Satz 2, 2. Halbs. genannten Ausnahmevoraussetzungen sind demnach als „Satz 3“ der Norm zu lesen und folglich auf die generelle Pflicht zur Durchführung einer Vorabkontrolle gemäß Satz 1 anzuwenden; die in Satz 2 genannten Regelbeispiele stellen mithin lediglich Konkretisierungen des Grundsatzes nach Satz 1 dar6. 1 Taeger/Gabel/Scheja, § 4d BDSG Rz. 62; Bergmann/Möhrle/Herb, § 4d BDSG Rz. 44; Gola/Schomerus, § 4d BDSG Rz. 13; a.A. Simitis/Petri, § 4d BDSG Rz. 34; differenzierend Spindler/Schuster, Recht der elektronischen Medien, § 4d BDSG Rz. 12. 2 Vgl. Taeger/Gabel/Taeger, § 28 BDSG Rz. 47. 3 So Simitis/Petri, § 4d BDSG Rz. 34; Schild, DuD 2001, 282 (285). 4 So Engelien-Schulz, RDV 2003, 270 (273); Simitis/Petri, § 4d BDSG Rz. 33; uneindeutig in der Gesetzesbegründung: BT-Drucks. 14/4329, S. 36. 5 Vgl. Taeger/Gabel/Scheja, § 4d BDSG Rz. 67. 6 Im Ergebnis auch Taeger/Gabel/Scheja, § 4d BDSG Rz. 67; Gola/Schomerus, § 4d BDSG Rz. 11; Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 8;
182 v. d. Bussche
Meldepflicht
§ 4d BDSG
3. Zuständigkeit und Verfahren Zuständig für die Durchführung der Vorabkontrolle ist gemäß Abs. 6 der 18 Datenschutzbeauftragte, sobald er die entsprechende Übersicht gemäß § 4g Abs. 2 Satz 1 des etwaigen automatisierten Verarbeitungsvorhabens empfangen hat (siehe dazu § 4g Rz. 25). Dem Datenschutzbeauftragten obliegt es dann festzustellen, ob ein „besonderes Risiko“ im obengenannten Sinne des Abs. 5 vorliegt1. Demnach ist der Datenschutzbeauftragte nicht nur mit der Prüfungsobliegenheit, sondern auch mit der Beurteilungskompetenz über das Vorliegen eines Falles des Abs. 5 ausgestattet2. Die Prüfungskompetenz nach Abs. 6 im Rahmen der Vorabkontrolle ist jedoch nicht uneingeschränkt gewährt. Vielmehr ist sie auf die spezifischen von Abs. 5 berücksichtigten Gefahren, die aus automatisierten Verarbeitungsvorgängen erwachsen können („besondere Risiken“), limitiert3. Um diese etwaigen unverhältnismäßige Eingriffe in das informationelle Selbstbestimmungsrecht der Betroffenen bewerten zu können, ist in der Praxis allerdings von der Notwendigkeit einer umfassenden materiellen Zulässigkeitsprüfung auszugehen4. Nach Abs. 6 Satz 3 besteht nur für den Datenschutzbeauftragten von nicht-öffentlichen Stellen eine Pflicht, bei Zweifeln über die Rechtmäßigkeit des Verfahrens die zuständige Stelle zu Rate zu ziehen. Angesichts seiner Weisungsfreiheit (vgl. § 4f Abs. 3 Satz 2) wird allein auf die Sicht des Datenschutzbeauftragten und nicht auf die Sicht der Leitung der verantwortlichen Stelle abzustellen sein5. Demnach besteht die Pflicht, die Aufsichtsbehörde zu Rate zu ziehen, sofern der Beauftragte Zweifel bei der Beurteilung einer geplanten automatisierten Verarbeitungsmaßnahme hat6. Allerdings wird man wohl aus der arbeitsrechtlichen Treuepflicht verlangen können, dass zuvörderst eine Klärung mit der verantwortlichen Stelle gesucht wird, um bestehende Zweifel über die Rechtmäßigkeit des Verfahrens auszuräumen7. Erst wenn bestehende Zweifel im Diskurs mit der verantwortlichen Stelle nicht ausgeräumt werden können, sollte die Aufsichtsbehörde bzw. der Bundesbeauftragte
1 2 3 4 5 6 7
a.A. Simitis/Petri, § 4d BDSG Rz. 34; Spindler/Schuster, Recht der elektronischen Medien, § 4d BDSG Rz. 11. Spindler/Schuster, Recht der elektronischen Medien, § 4d BDSG Rz. 15. So auch Gola/Schomerus, § 4d BDSG Rz. 14. BT-Drucks. 14/4329, S. 35. So auch Taeger/Gabel/Scheja, § 4d BDSG Rz. 73. So auch Gola/Schomerus, § 4d BDSG Rz. 19; Taeger/Gabel/Scheja, § 4d BDSG Rz. 68. Wybitul, Handbuch – Datenschutz im Unternehmen, Rz. 258. Gola/Schomerus, § 4d BDSG Rz. 18.
v. d. Bussche
183
19
BDSG § 4d
Allgemeine und gemeinsame Bestimmungen
für Datenschutz konsultiert werden1. Wird dies vom Datenschutzbeauftragten versäumt, kann die Aufsichtsbehörde dessen Abbestellung verlangen, vgl. § 4f Abs. 3 Satz 4 i.V.m. § 38 Abs. 5 Satz 3. Stellt allerdings der Datenschutzbeauftragte zweifelsfrei fest, dass ein geplantes Vorhaben unzulässig ist, und die verarbeitende Stelle entschließt sich dennoch, dieses Vorhaben durchzuführen, erwächst für den Datenschutzbeauftragten daraus keine Pflicht zur Anzeige dieser unzulässigen Verarbeitung im Sinne eines „Whistleblowing“2. Der Zweck der Norm liegt nämlich darin, dem Datenschutzbeauftragten bei Zweifeln die Möglichkeit zu eröffnen, auf die Fachkunde der zuständigen Aufsichtsbehörde zurückgreifen zu können und nicht ihn als „Spitzel“ der Aufsichtsbehörde im Unternehmen einzusetzen3. Dies entspricht auch dem generellen Prinzip der Selbstkontrolle, das dem BDSG zugrunde liegt. Darüber hinaus wäre es weder sachgerecht noch im BDSG angelegt, sollte den Datenschutzbeauftragten grundsätzlich eine Verantwortlichkeit für einen seiner Meinung nach unzulässigen Datenverarbeitungsvorgang treffen. Er hat seiner Pflicht vollumfänglich Genüge getan, indem er die verantwortliche Stelle auf seine Bedenken aufmerksam macht. Entschließt sich die verantwortliche Stelle dennoch die Verarbeitung entgegen dem Anraten des Datenschutzbeauftragten vorzunehmen, ist es nicht angemessen, ihn darüber hinaus mit einer Anzeigepflicht und folglich Überleitung der Verantwortlichkeit für diese Verarbeitung auf ihn zu belasten. Denn letztlich obliegt der verantwortlichen Stelle die Entscheidungsgewalt in datenschutzrechtlicher Hinsicht, d.h. sie entscheidet, welche Verarbeitungen durchgeführt und welche Datenschutzmaßnahmen getroffen werden (siehe § 4g Rz. 7). Auch trägt die verarbeitende Stelle die Verantwortung und potentielle Haftung für jegliche datenschutzrechtliche Verstöße, ferner § 4g Rz. 43). Schließlich ist dem Datenschutzbeauftragten in Anbetracht der Konfliktsituation, in der er sich als einerseits Mandatsträger und andererseits Angestellter der verantwortlichen Stelle befindet, eine Anzeigepflicht schlicht nicht zuzumuten4. 4. Rechtsfolgen 20 Ebenso wie die bloße Meldung gemäß Abs. 1 ist die Vorabkontrolle allerdings nicht als Genehmigung des geplanten Vorhabens zu begreifen. Im 1 BT-Drucks. 14/4329, S. 36. 2 So auch Gola/Schomerus, § 4d BDSG Rz. 19; Kort, RDV 2011, 79 (83); a.A. Taeger/Gabel/Scheja, § 4d BDSG Rz. 78; Simitis/Simitis, § 4g BDSG Rz. 23. 3 Kort, RDV 2011, 79 (83). 4 Vgl. auch Gola/Schomerus, § 4d BDSG Rz. 18.
184 v. d. Bussche
Meldepflicht
§ 4d BDSG
Unterschied zur Meldung wird bei der Vorabkontrolle jedoch die materielle Rechtmäßigkeit der automatisierten Datenverarbeitung im soeben abgesteckten Rahmen des Abs. 5 mit überprüft (siehe Rz. 18)1. Bei dieser Prüfung kann die Konsultation der Websites einiger Datenschutzbehörden hilfreich sein2. Dem Wortlaut nach hat die Vorabkontrolle „vor Beginn der Verarbeitung“ zu erfolgen. Jedenfalls muss die verantwortliche Stelle den Datenschutzbeauftragten so rechtzeitig vor Beginn informieren, dass dieser ausreichend Zeit für die Durchführung der Prüfung hat3. Vom Wortlaut der Norm ausgehend ist dabei unklar, ob die verarbeitende Stelle auch das Ergebnis der Vorabprüfung abwarten muss, ehe sie mit der Datenverarbeitung beginnen kann. Infolgedessen ist ebenso unklar, ob die Vorabkontrolle eine Rechtmäßigkeitsvoraussetzung für die geplante automatisierte Verarbeitung darstellt4. Im Umkehrschluss aus der mangelnden Genehmigungskompetenz des Datenschutzbeauftragten kann aber abgeleitet werden, dass weder die Freigabe des Vorhabens durch den Datenschutzbeauftragten noch eine ordnungsgemäße Durchführung des Vorabkontrollverfahrens zur Rechtmäßigkeit der geplanten Verarbeitung erforderlich sind; entscheidend ist somit ausschließlich die materielle Legalität5. Konsequenz daraus ist außerdem, dass die verantwortliche Stelle nicht an die Entscheidung des Datenschutzbeauftragten gebunden ist6. Dennoch ist zur internen Absicherung zu empfehlen, mit der Durchführung der Verarbeitung abzuwarten, bis der Datenschutzbeauftragte seine Prüfung abgeschlossen hat, um ggf. bei einer negativen Bescheidung eine interne Lösung zu erarbeiten7. Falls die verantwortliche Stelle sich dazu entschließen sollte, sich über die zutreffend negativ ausfallende Stellungnahme des Datenschutzbeauftrag-
1 BT-Drucks. 14/4329, S. 35; ausführlich zu den inhaltlichen Anforderungen: Engelien-Schulz, RDV 2003, 270 (274 ff.). 2 Z.B. ist auf der Website des Hessischen Landesbeauftragten für Datenschutz eine Checkliste für die Prüfung nach Hessischem Landesrecht zu finden, siehe http://www.datenschutz.hessen.de/tf001.htm. (Zuletzt abgerufen September 2012). 3 Simitis/Petri, § 4d BDSG Rz. 37. 4 Spindler/Schuster, Recht der elektronischen Medien, § 4d BDSG Rz. 16. 5 So auch Gola/Schomerus, § 4d BDSG Rz. 15; Taeger/Gabel/Scheja, § 4d BDSG Rz. 74; Däubler/Klebe/Wedde/Weichert/Klebe, § 4d BDSG Rz. 11; Simitis/Petri, § 4d BDSG Rz. 41; a.A. Spindler/Schuster, Recht der elektronischen Medien, § 4d BDSG Rz. 16. 6 Taeger/Gabel/Scheja, § 4d BDSG Rz. 77. 7 Vgl. auch Taeger/Gabel/Scheja, § 4d BDSG Rz. 77; am Rande auch davon ausgehend: VG Wiesbaden v. 27.2.2009 – 6 K 1045/08.WI.
v. d. Bussche
185
BDSG § 4e
Allgemeine und gemeinsame Bestimmungen
ten hinwegzusetzen, trägt sie das Risiko und die Verantwortung, falls sich die Verarbeitung im Nachhinein als unzulässig herausstellt1. 21 Nach den Katalogen der §§ 43, 44 ist die Nichtdurchführung der Vorabkontrolle weder bußgeld- noch strafbewehrt2. Inhalt der Meldepflicht
4e
1Sofern
Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen: 1. Name oder Firma der verantwortlichen Stelle, 2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen, 3. Anschrift der verantwortlichen Stelle, 4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, 5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien, 6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können, 7. Regelfristen für die Löschung der Daten, 8. eine geplante Datenübermittlung in Drittstaaten, 9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind. 2§ 4d Abs. 1 und 4 gilt für die Änderung der nach Satz 1 mitgeteilten Angaben sowie für den Zeitpunkt der Aufnahme und der Beendigung der meldepflichtigen Tätigkeit entsprechend. I. Allgemeines/Zuständigkeiten . . . . . . . . . . . . . . . . . . . .
1
II. Interne Verarbeitungsübersicht und externes Verfahrensverzeichnis . . . . . . . . . . . .
5
III. Inhalt der Meldepflicht. . . . . .
6
1. Basisdaten der verantwortlichen Stelle (Satz 1 Nr. 1, 2, 3) . . . . . . . . . . . . . . . . . . . . . . 2. Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung (Satz 1 Nr. 4) . .
6
7
1 So auch Gola/Schomerus, § 4d BDSG Rz. 16; Simitis/Petri, § 4d BDSG Rz. 41; Taeger/Gabel/Scheja, § 4d BDSG Rz. 67. 2 Gola/Schomerus, § 4d BDSG Rz. 15.
186 v. d. Bussche
§ 4e BDSG
Inhalt der Meldepflicht 3. Beschreibung der betroffenen Personengruppen und Daten (Satz 1 Nr. 5). . . . . . . . . . . . . . . 4. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können (Satz 1 Nr. 6). . . . . . . . 5. Regelfristen für die Löschung der Daten (Satz 1 Nr. 7). . . . . . 6. Geplante Datenübermittlung in Drittstaaten (Satz 1 Nr. 8) .
10
7. Allgemeine Beschreibung der Sicherheit der Datenverarbeitung (Satz 1 Nr. 9) . . . . . . . . . . 14 IV. Aktualität des Registers (Satz 2) . . . . . . . . . . . . . . . . . . . . 15
11 12
V. Folgen einer fehlerhaften, unvollständigen oder unterlassenen Meldung. . . . . . . . . . . . . . . 16
13
Schrifttum: Siehe die Literaturangaben bei § 4d BDSG; ferner Bitkom (Hrsg.), Verfahrensverzeichnis und Verarbeitungsübersicht nach BDSG, Version 2.0, 2007; Fraenkel/Hammer, Rechtliche Löschvorschriften, DuD 2007, 899; Innenministerium Baden-Württemberg, Hinweise des Innenministeriums zum Datenschutz für private Unternehmen und Organisationen (Nr. 40), v. 18.2.2002; Petri, Inhaltliche Anforderungen an die Verfahrensübersicht nach §§ 4g Abs. 2, 4e BDSG als Grundlage für ein effektives Datenschutzmanagement, RDV 2003, 267.
I. Allgemeines/Zuständigkeiten § 4e knüpft an die Meldepflicht aus § 4d an. Während § 4d darüber entscheidet, ob eine Meldepflicht besteht oder nicht (siehe dazu § 4d Rz. 2), konkretisiert § 4e durch die Aufzählung in Nr. 1 bis 9 den Inhalt der abzugebenden Meldung. Die im Rahmen des § 4e zuzuleitenden Informationen sollen der zuständigen Aufsichtsbehörde ermöglichen, eine Übersicht über die bei der verantwortlichen Stelle vorhandenen oder von ihr geplanten Datenverarbeitungsvorgänge zu erhalten, sowie dadurch eine effektive materielle Prüfung der jeweiligen Vorhaben durchführen zu können1. Nach Abgabe der Meldung kann die verantwortliche Stelle mit dem gemeldeten Datenverarbeitungsvorgang beginnen, ohne auf eine etwaige Stellungnahme der Aufsichtsbehörde warten zu müssen2; Im Einzelfall kann jedoch die Einhaltung einer gewissen Stillhaltefrist geboten sein (siehe dazu § 4d Rz. 7).
1
Die Angaben nach Nr. 1 bis 8 werden von der Aufsichtsbehörde in das gemäß § 38 Abs. 2 Satz 1 geführte öffentliche Register eingetragen. Ausgenommen hiervon sind lediglich die gemäß Nr. 9 ebenfalls zu beschreibenden Maßnahmen der Datensicherung. Diese werden gemäß § 38 Abs. 2 Satz 3 in einem Teil des Registers aufbewahrt, der nicht generell
2
1 Vgl. Simitis/Petri, § 4e BDSG Rz. 1. 2 Vgl. Gola/Schomerus, § 4e BDSG Rz. 2.
v. d. Bussche
187
BDSG § 4e
Allgemeine und gemeinsame Bestimmungen
zugänglich ist. Zuständig ist gemäß § 38 Abs. 1 die Aufsichtsbehörde, in deren Bezirk die meldepflichtige Stelle ihren Sitz hat. Sofern dieser außerhalb der EU liegt, ist der Sitz des im Inland ansässigen Vertreters der meldepflichtigen Stelle maßgeblich (vgl. § 1 Abs. 5)1. Die meisten Aufsichtsbehörden halten ein vorgefertigtes Meldeformular auf ihren Websites bereit2. 3 Für den Fall, dass für die verantwortliche Stelle eine behördliche Meldepflicht besteht, obwohl ein Datenschutzbeauftragter bestellt worden ist, verbleibt die Zuständigkeit der Meldung bei der verantwortlichen Stelle, es sei denn, dass diese Obliegenheit dem Datenschutzbeauftragten individualvertraglich übertragen worden ist3. In der Praxis trifft dies allerdings nur auf nicht-öffentliche Stellen zu, die geschäftsmäßig personenbezogene Daten zum Zwecke der Übermittlung i.S.d. § 4d Abs. 4 verarbeiten4. Der Großteil der verantwortlichen Stellen ist ohnehin von der Meldepflicht gegenüber der Behörde befreit (siehe dazu § 4d Rz. 9). 4 Durch die BDSG-Novelle 2009 wurde § 4e nicht berührt. Die Norm geht zurück auf die Umsetzung des Art. 19 EG-Datenschutzrichtlinie5. II. Interne Verarbeitungsübersicht und externes Verfahrensverzeichnis 5 § 4e legt im Wesentlichen die Inhalte der internen Verarbeitungsübersicht i.S.d. § 4g Abs. 2 Satz 1 fest, welche dem betrieblichen Datenschutzbeauftragten von der verantwortlichen Stelle zur Verfügung zu stellen ist. Darüber hinaus sind in der Übersicht zusätzlich die „zugriffsberechtigten Personen“ gemäß § 4g Abs. 1 Satz 1, 2. Halbs. zu nennen (siehe auch § 4g Rz. 20). Der Datenschutzbeauftragte hat die interne Verarbeitungsübersicht dann gemäß Satz 2 für „jedermann“ zugänglich zu machen (ausführlich unter § 4g Rz. 20 f.). Dieses externe Verfahrensverzeichnis, häufig auch „Jedermannsverzeichnis“ genannt, beinhaltet lediglich die Angaben gemäß § 4e Satz. 1 Nr. 1 bis 8. Die verantwortliche Stelle soll nicht dazu verpflichtet werden, ihre technischen und or1 Gola/Schomerus, § 4e BDSG Rz. 4. 2 Liste der Aufsichtsbehörden mit weiterleitenden Hyperlinks abrufbar unter: http://www.datenschutz-berlin.de/content/adressen/deutschland/ aufsichtsbehoerden (Stand Januar 2012). 3 Taeger/Gabel/Scheja, § 4e BDSG Rz. 4; Spindler/Schuster, Recht der elektronischen Medien, § 4e BDSG Rz. 2; bzgl. einer etwaig einzuhaltenden Stillhaltefrist siehe § 4d Rz. 7. 4 Bergmann/Möhrle/Herb, § 4e BDSG Rz. 4. 5 Spindler/Schuster, Recht der elektronischen Medien, § 4e BDSG Rz. 1.
188 v. d. Bussche
§ 4e BDSG
Inhalt der Meldepflicht
ganisatorischen Datensicherungsmaßnahmen (Nr. 9) offenzulegen1. Wie bei der Meldung gegenüber der zuständigen Aufsichtsbehörde, soll dem Datenschutzbeauftragten detailliert über die interne Verarbeitungsübersicht bzw. Außenstehenden wenigstens überblicksartig mit Hilfe des externen Verfahrensverzeichnisses ermöglicht werden, eine Übersicht über die betriebenen oder geplanten datenschutzrechtlich relevanten Verfahren innerhalb der verantwortlichen Stelle zu erhalten2. III. Inhalt der Meldepflicht 1. Basisdaten der verantwortlichen Stelle (Satz 1 Nr. 1, 2, 3) Dem ausdrücklichen Wortlaut der Nr. 1 nach genügt die Angabe von 6 Name oder Firma der verantwortlichen Stelle. Angaben z.B. zur Handelsregister- oder Vereinsregisternummer sowie zum zuständigen Amtsgericht sind hingegen nicht erforderlich3. Die anzugebende Firma entspricht dem Handelsnamen nach § 17 HGB4. Handelt es sich bei der verantwortlichen Stelle um eine natürliche Person, muss sie Vor- und Nachname angeben. Darüber hinaus sind nach Nr. 2 ferner sowohl die mit der Geschäftsleitung, als auch die mit der Leitung der Datenverarbeitung betrauten Personen der verantwortlichen Stelle mit Vor- und Zunamen zu nennen5. Die Nennung des Datenschutzbeauftragten ist dagegen nicht vorgeschrieben, aber dennoch empfehlenswert, da er regelmäßig Ansprechpartner der Aufsichtsbehörden sowie der Betroffenen ist6. Im Rahmen von Nr. 3 ist umstritten, ob die reale Postanschrift zu melden ist7, oder ob eine Postfachanschrift genügt8. Da die von Nr. 1 bis 3 geforderten Angaben insgesamt den Betroffenen ermöglichen sollen, die verantwortliche Stelle und den richtigen Ansprechpartner stets iden-
1 Däubler/Klebe/Wedde/Weichert/Klebe, § 4g BDSG Rz. 20. 2 Taeger/Gabel/Scheja, § 4e BDSG Rz. 2. Eine für die Praxis wertvolle Hilfestellung zur Umsetzung des externe Verfahrensverzeichnisses und der internen Verarbeitungsübersicht bietet BITKOM, Verfahrensverzeichnis und Verarbeitungsübersicht nach BDSG – Ein Praxisleitfaden, Version 2.0 v. 2007. 3 Simitis/Petri, § 4e BDSG Rz. 4; Taeger/Gabel/Scheja, § 4e BDSG Rz. 6; a.A. Bergmann/Möhrle/Herb, § 4e BDSG Rz. 7. 4 Däubler/Klebe/Wedde/Weichert/Klebe, § 4e BDSG Rz. 2. 5 Spindler/Schuster, Recht der elektronischen Medien, § 4e BDSG Rz. 4. 6 Simitis/Petri, § 4e BDSG Rz. 6; Taeger/Gabel/Scheja, § 4e BDSG Rz. 6. 7 So Simitis/Petri, § 4e BDSG Rz. 6; Spindler/Schuster, Recht der elektronischen Medien, § 4e BDSG Rz. 4; Däubler/Klebe/Wedde/Weichert/Klebe, § 4e BDSG Rz. 2; Bergmann/Möhrle/Herb, § 4e BDSG Rz. 9. 8 So Taeger/Gabel/Scheja, § 4e BDSG Rz. 6.
v. d. Bussche
189
BDSG § 4e
Allgemeine und gemeinsame Bestimmungen
tifizieren zu können1, ist von diesem Normzweck ausgehend die Angabe einer realen Postanschrift zu fordern. Die Angabe von Telekommunikationswegen ist gesetzlich zwar nicht festgeschrieben, wird aber bspw. von den Meldeformularen der Aufsichtsbehörden aus Praktikabilitätsgründen vorgesehen2. Ebenfalls aus Identifikationsgründen ist es außerdem erforderlich, dass die Kontaktdaten stets auf dem aktuellen Stand sind3. 2. Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung (Satz 1 Nr. 4) 7 Fraglich ist, auf welche Zweckbestimmung abzustellen ist bzw. wie der Begriff in diesem Zusammenhang auszulegen ist. Überwiegend wird in der Fachliteratur auf den „Primärzweck“ i.S.d. § 28 Abs. 1 Satz 2 der Verarbeitung abgestellt4. Demnach könne eine Orientierung an der Systematik der §§ 28 ff. erfolgen, so dass zunächst zwischen Datenverarbeitungen für „eigene Zwecke“ i.S.d. § 28, sowie zu „Übermittlungszwecken in nicht anonymisierter (§ 29) oder anonymisierter (§ 30) Form“ zu differenzieren sei5. Dieses Verständnis hat zur Folge, dass die Meldepflicht eine Angabe jeder einzelnen Datenverarbeitung i.S.d. §§ 28 ff. verlangt. 8 Stringenter erscheint allerdings, den Bezug der Zweckbestimmung der jeweiligen automatisierten Datenverarbeitungsverfahren i.S.d. § 4d Abs. 1 herzustellen, mit der Konsequenz, dass im Rahmen der Meldung, lediglich die im Vorfeld durch die verantwortliche Stelle festgelegten einheitlichen Zwecke zur Bündelung von einzelnen Datenverarbeitungsvorgängen zu „Verfahren“ i.S.d. § 4d Abs. 1 zu nennen sind (siehe dazu § 4d Rz. 6). Dafür spricht in erster Linie, dass § 4e sich systematisch nicht auf § 28 bezieht, sondern den Inhalt der Meldepflicht konkretisiert und demnach auf § 4d aufbaut. Hinzukommend ist der Wortlaut beider Normen diesbezüglich identisch, denn beide gehen von „Verfahren automatisierter Verarbeitung“ als Regelungsgegenstand aus. Demnach ist zu attestieren, dass sich die Meldepflicht nicht auf einzelne Verarbeitungen i.S.d. §§ 28 ff., sondern auf „Verfahren“, mithin Bün1 2 3 4
Vgl. Gola/Schomerus, § 4e BDSG Rz. 5. Simitis/Petri, § 4e BDSG Rz. 6. Taeger/Gabel/Scheja, § 4e BDSG Rz. 6. So Simitis/Petri, § 4e BDSG Rz. 7; Bergmann/Möhrle/Herb, § 4e BDSG Rz. 10; Gola/Schomerus, § 4e BDSG Rz. 6; zustimmend wohl auch Däubler/Klebe/ Wedde/Weichert/Klebe, § 4e BDSG Rz. 3. 5 So Bergmann/Möhrle/Herb, § 4e BDSG Rz. 10; sich dem anschließend Däubler/ Klebe/Wedde/Weichert/Klebe, § 4e BDSG Rz. 3.
190 v. d. Bussche
Inhalt der Meldepflicht
§ 4e BDSG
del einzelner Datenverarbeitungen, i.S.d. § 4d bezieht. Im Einzelfall kann dies freilich deckungsgleich ausfallen. Die rechtliche Klammer dieser „Bündel“ ist die durch die einzelnen gebündelten Datenverarbeitungsvorgänge verfolgte Zweckbestimmung (siehe dazu § 4d Rz. 6). Im Ergebnis bleibt also festzuhalten, dass im Rahmen des § 4e Satz 1 Nr. 4 der gleiche Maßstab hinsichtlich der Bestimmung des „Zwecks“ anzusetzen wie in § 4d Abs. 11. Dafür spricht schließlich auch, dass ebenfalls die EG-Datenschutzrichtlinie in den durch §§ 4d und e umgesetzten Art. 18 Abs. 1 und Art. 19 Abs. 1 Buchst. b den Begriff „Zweckbestimmungen“ einheitlich verwendet. Tatsächlich bleibt es der verantwortlichen Stelle überlassen in welchem 9 Detailgrad der jeweilige Zweck bestimmt wird (vgl. § 4d Rz. 6). Die Angaben sollten dabei jedoch zumindest so genau beschrieben werden, dass eine kursorische datenschutzrechtliche Bewertung möglich ist2, z.B. bezüglich Personalverwaltungssystem, elektronische Bewerberdatenbank, Zugangskontrollsystem, Speicherung von Internetverbindungsdaten, Telefonkostenabrechnung etc.3. Aus Sicht der verantwortlichen Stelle sollte ein angemessener, d.h. nicht zu kleinteiliger Detailgrad gewählt werden4. Da je detaillierter die Konkretisierung der Verarbeitungszwecke ausfällt, desto – unter Umständen unsachgemäß – umgrenzter ist regelmäßig der erlaubte Umfang der Datenverwendung5. 3. Beschreibung der betroffenen Personengruppen und Daten (Satz 1 Nr. 5) Jede von der Datenverarbeitung betroffene Personengruppe sollte be- 10 nannt werden. Der Begriff „Personengruppe“ erlaubt Zusammenfassungen und Kategorisierungen, zunächst abstrakt6 wie etwa Angestellte, Vertragspartner oder Dritte; allerdings auch differenzierter7 wie etwa Kreditnehmer, gesetzliche Vertreter, Bürger, Auszubildende, Rentner etc. Der Grad der zulässigen Pauschalisierung ist von dem jeweiligen gemeldeten Verfahren bzw. dem allgemeinen Tätigkeitsbereich der verant1 2 3 4 5
Im Ergebnis wohl auch Taeger/Gabel/Scheja, § 4e BDSG Rz. 7. So auch Taeger/Gabel/Scheja, § 4e BDSG Rz. 7. Beispiele nach Gola/Schomerus, § 4e BDSG Rz. 7. So auch Taeger/Gabel/Scheja, § 4e BDSG Rz. 7. So auch Taeger/Gabel/Scheja, § 4e BDSG Rz. 7; vgl. ferner Simitis/Petri, § 4e BDSG Rz. 7. 6 Vgl. Simitis/Petri, § 4e BDSG Rz. 8. 7 Beispiele nach Däubler/Klebe/Wedde/Weichert/Klebe, § 4e BDSG Rz. 4; mit weiteren Beispielen Taeger/Gabel/Scheja, § 4e BDSG Rz. 7.
v. d. Bussche
191
BDSG § 4e
Allgemeine und gemeinsame Bestimmungen
wortlichen Stelle abhängig1. Entscheidend ist, dass die Angaben hinreichend konkret sind, damit die Rechtmäßigkeit der Datenverarbeitung für die genannte Personengruppe vorläufig untersucht werden kann2. So wird die Angabe „Kunden“ im Rahmen eines Bonitätsprüfungsverfahrens einer Bank für unzureichend erachtet, da die Zulässigkeit eines solchen Verfahrens nicht für sämtliche Kunden gleich bewertet werden kann3. Bei weniger komplexen Verarbeitungsvorgängen wiederum kann dies allerdings als ausreichend konkret bewertet werden (so z.B. bei der Videoüberwachung von Verkaufsräumen)4. Außerdem sind jeder Personengruppe die verwendeten und sie betreffenden personenbezogenen Daten zuzuordnen5. Ziel dieser Verknüpfung soll insbesondere sein, die Verarbeitung sensitiver Daten (§ 3 Abs. 9) sowie sich ggf. erst durch Zuordnung zu den betroffenen Personen ergebender sensitiver Daten6 identifizieren zu können7. 4. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können (Satz 1 Nr. 6) 11 Der Begriff des Empfängers ist in § 3 Abs. 8 Satz 1 definiert als „jede Person oder Stelle, die Daten erhalten.“ Entscheidend ist dabei die realistische Möglichkeit („können“) einer zukünftigen Mitteilung der Daten an die zu nennenden Empfänger. Eine konkrete Durchführung im Einzelfall ist nicht erforderlich8. Mit den Empfängern sind zunächst Personen außerhalb der verantwortlichen Stelle gemeint, etwa Auftragsdatenverarbeiter oder Zweigstellen. Erfasst sind aber auch Personen innerhalb der verantwortlichen Stelle selbst. Demnach muss es sich bei den zu meldenden Empfängern nicht um „Dritte“ i.S.d. § 3 Abs. 8 Satz 2 1 Vgl. Taeger/Gabel/Scheja, § 4e BDSG Rz. 8; Simitis/Petri, § 4e BDSG Rz. 8. 2 So auch Simitis/Petri, § 4e BDSG Rz. 8. 3 Spindler/Schuster, Recht der elektronischen Medien, § 4e BDSG Rz. 6; Gola/ Schomerus, § 4e BDSG Rz. 7. 4 Innenministerium Baden-Württemberg, Hinweise des Innenministeriums zum Datenschutz für private Unternehmen und Organisationen (Nr. 40), v. 18.2.2002, S. 10, abrufbar unter: http://www.datenschutz-help.de/him_40.pdf, Stand November 2011. 5 Taeger/Gabel/Scheja, § 4e BDSG Rz. 8; Simitis/Petri, § 4e BDSG Rz. 9; Spindler/Schuster, Recht der elektronischen Medien, § 4e BDSG Rz. 6; Däubler/Klebe/Wedde/Weichert/Klebe, § 4e BDSG Rz. 4. 6 Vgl. BVerfGE 65, 1, 45 – Volkszählungsurteil; Taeger/Gabel/Scheja, § 3 BDSG Rz. 58. 7 BT-Drucks. 14/4329, S. 36. 8 So auch Simitis/Petri, § 4e BDSG Rz. 10; Taeger/Gabel/Scheja, § 4e BDSG Rz. 9.
192 v. d. Bussche
§ 4e BDSG
Inhalt der Meldepflicht
handeln; mithin muss keine Datenübermittlung i.S.d. § 3 Abs. 4 Nr. 3 vorliegen1. Es wird daher empfohlen, in der Meldung zwischen internen und externen Empfängern zu unterscheiden2. Nr. 6 überlässt es der meldepflichtigen Stelle, ob sie konkrete Einzelpersonen benennt („Empfänger“) oder diese nur ihrer Funktion nach beschreibt („Kategorien von Empfängern“). Ersteres bietet sich in der Praxis nur dann an, wenn die Datenweitergabe tatsächlich nur an einzelne individualisierbare Personen erfolgt3 – denn jede Änderung in der Person des Empfängers löst bereits die Korrekturpflicht des Satzes 2 aus. 5. Regelfristen für die Löschung der Daten (Satz 1 Nr. 7) Nr. 7 verlangt von der verantwortlichen Stelle, eine Regelfrist für die Lö- 12 schung personenbezogener Daten anzugeben. Dabei begründet Nr. 7 keine Pflicht, eine solche Löschfrist einzuführen, sondern nimmt lediglich andere Normen, aus denen sich eine Löschfrist ergibt, in Bezug. Die allgemeine Löschfrist ergibt sich aus § 35 Abs. 2 Satz 2 Nr. 3, wonach personenbezogene Daten zu löschen sind, wenn sie für die Erfüllung des verfolgten Zwecks nicht mehr erforderlich sind. Eine über diesen Zeitpunkt hinausgehende Speicherung kann aus gesetzlichen Pflichten oder Verhältnismäßigkeitsgesichtspunkten gemäß § 35 Abs. 3 Nr. 3 zulässig sein. Daneben existieren zahlreiche weitere spezielle Fristenregelungen4. Sind keine speziellen Löschfristen zu beachten, genügt es, wenn die verantwortliche Stelle auf diese Norm Bezug nimmt5. Andererseits genügt nicht der bloße Hinweis, dass „nach den gesetzlichen Bestimmungen“ gelöscht werde6. Problematisch ist dabei, dass der Wortlaut der Norm ausdrücklich die Nennung von „Regelfristen“ fordert. Solche sind häufig allerdings nur schwer zu benennen, da die genaue Verweildauer personenbezogener Daten immer vom konkreten Einzelfall abhängt und sich nicht für gesamte Verfahren im oben genannten Sinne pauschalisieren lässt. Aus diesem Gesichtspunkt ist die vom Gesetzgeber gewählte Erweiterung der meldepflichtigen Angaben gemäß Art. 19
1 2 3 4
So auch Däubler/Klebe/Wedde/Weichert/Klebe, § 4e BDSG Rz. 4. Taeger/Gabel/Scheja, § 4e BDSG Rz. 9. Vgl. Simitis/Petri, § 4e BDSG Rz. 10. Überblick über Löschfristen und deren Bestimmung bei Fraenkel/Hammer, DuD 2007, 899. 5 So auch Taeger/Gabel/Scheja, § 4e BDSG Rz. 10; a.A. Simitis/Petri, § 4e BDSG Rz. 11. 6 Schild, ZFPR 2010, 17, 20.
v. d. Bussche
193
BDSG § 4e
Allgemeine und gemeinsame Bestimmungen
Abs. 1 EG-Datenschutzrichtlinie als „unglücklich“ zu begreifen1. Auch einige Aufsichtsbehörden haben dieses Problem erkannt und erachten auch bei speziellen Fristenregelungen die Nennung der einschlägigen Normen entgegen dem klaren Wortlaut als hinreichend2. 6. Geplante Datenübermittlung in Drittstaaten (Satz 1 Nr. 8) 13 Nr. 8 ergänzt die Meldepflicht bezüglich der potentiellen Empfänger der Daten. Sofern personenbezogene Daten Empfängern außerhalb der EU bzw. des EWR mitgeteilt werden sollen, ist dies gemäß Nr. 8 anzuzeigen. Dies soll eine Überprüfung nach Maßgabe der §§ 4b, 4c ermöglichen. Maßgeblich bei der Drittlandsübermittlung von personenbezogenen Daten ist, ob das jeweilige Empfängerland ein „angemessenes Datenschutzniveau“ i.S.d. § 4b Abs. 2 und 3 vorweisen kann (siehe § 4b Rz. 23 ff.). Falls dies nicht gegeben sein sollte, ist eine gesonderte Genehmigung der zuständigen Aufsichtsbehörde gemäß § 4c Abs. 2 erforderlich (siehe § 4c Rz. 20 ff.). Die Nennung der Drittlandsübermittlungen dient somit dieser Differenzierungsmöglichkeit3. Demnach müssen auch sämtliche Zielländer bei der Meldung genannt werden4. 7. Allgemeine Beschreibung der Sicherheit der Datenverarbeitung (Satz 1 Nr. 9) 14 Nr. 9 bezieht sich auf die Datensicherungsmaßnahmen gemäß § 9 (siehe dazu § 9 Rz. 21). Verlangt wird aber lediglich eine allgemeine Beschreibung, die auch nur für eine „vorläufige Beurteilung“ genügen muss5. Insofern sind die Anforderungen gering, es genügt die abstrahierte und stichwortartige Angabe der vorhandenen Sicherheitsmaßnahmen, wie etwa Antivirusprogramme, Zugangskontrollen o.ä.6. Es soll auch ausreichen, wenn sich die Dokumentation an den „8 Geboten“ der Datensicherung (Anlage zu § 9) orientiert, was bereits durch den entsprechen-
1 Vgl. BT-Drucks. 14/4329, S. 36; so auch Taeger/Gabel/Scheja, § 4e BDSG Rz. 10. 2 So z.B. LDI NRW unter: https://www.ldi.nrw.de/mainmenu_Datenschutz/sub menu_Verfahrensregister/Inhalt/FAQ/Wie_detailliert.php, Stand November 2011. 3 Bergmann/Möhrle/Herb, § 4e BDSG Rz. 14. 4 Taeger/Gabel/Scheja, § 4e BDSG Rz. 11; Simitis/Petri, § 4e BDSG Rz. 12. 5 So auch Taeger/Gabel/Scheja, § 4e BDSG Rz. 12. 6 Simitis/Petri, § 4e BDSG Rz. 13; Spindler/Schuster, Recht der elektronischen Medien, § 4e BDSG Rz. 9.
194 v. d. Bussche
Inhalt der Meldepflicht
§ 4e BDSG
den Verweis in § 9 intendiert ist1. Möglich ist auch die Zuweisung unternehmensspezifischer Sicherheitsstufen zu bestimmten meldepflichtigen Datenverarbeitungen, sofern ein Anhang zur Meldung genauere diesbezügliche Spezifikationen enthält2. Wie Eingangs erwähnt, sind diese Angaben lediglich Bestandteil der internen Verarbeitungsübersicht und somit nicht öffentlich zugänglich (siehe Rz. 5). IV. Aktualität des Registers (Satz 2) Durch die Regelung des Satz 2 soll das Verfahrensregister stets auf aktu- 15 ellem Stand gehalten werden3. Hierzu muss die verantwortliche Stelle nicht nur die Aufnahme der automatisierten Datenverarbeitung melden, sondern muss ihre Angaben gemäß § 4e Satz 2 auch aktualisieren, wenn sich die nach Satz 1 meldepflichtigen Informationen ändern. Aufgrund der Verweisung auf § 4d Abs. 1 muss die Änderung vor ihrem Inkrafttreten bzw. ihrer Inbetriebnahme gemeldet werden4. Schließlich sind der genaue Zeitpunkt der Aufnahme und der Beendigung der Verarbeitung anzuzeigen. Im Falle einer Beendigung aufgrund einer Insolvenz der verantwortlichen Stelle ist der Insolvenzverwalter für deren Anzeige verantwortlich5. V. Folgen einer fehlerhaften, unvollständigen oder unterlassenen Meldung Wird die Meldung pflichtwidrig nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erbracht oder werden Änderungen gemäß Satz 2 nicht gemeldet, so stellt dies eine Ordnungswidrigkeit dar (§ 43 Abs. 1 Nr. 1), die mit bis zu 50 000 Euro Bußgeld geahndet werden kann (§ 43 Abs. 2 Satz 1). Nicht bußgeldbewehrt ist allerdings das Nichterstellen der internen Verarbeitungsübersicht gemäß § 4g Abs. 2 Satz 1. Die zuständige Aufsichtsbehörde kann dies jedoch im Rahmen ihres Auskunftsanspruchs nach § 38 Abs. 3, 4 anordnen und durchsetzen. Bei ei-
1 So Taeger/Gabel/Scheja, § 4e BDSG Rz. 12; Gola/Schomerus, § 4e BDSG Rz. 10. 2 Simitis/Petri, § 4e BDSG Rz. 13. 3 Däubler/Klebe/Wedde/Weichert/Klebe, § 4e BDSG Rz. 6; Simitis/Petri, § 4e BDSG Rz. 14. 4 So auch Taeger/Gabel/Scheja, § 4e BDSG Rz. 13; Simitis/Petri, § 4e BDSG Rz. 14. 5 Bergmann/Möhrle/Herb, § 4e BDSG Rz. 18.
v. d. Bussche
195
16
BDSG § 4f
Allgemeine und gemeinsame Bestimmungen
ner Weigerung kann so mittelbar ein Bußgeld gemäß § 43 Abs. 1 Nr. 10 fällig werden. Beauftragter für den Datenschutz (1) 1Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. 2Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. 3Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. 4Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. 5Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. 6Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.
4f
(2) 1Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. 2Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. 3Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. 4Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten aus einer anderen öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen. (3) 1Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen. 2Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes wei196 v. d. Bussche
Beauftragter für den Datenschutz
§ 4f BDSG
sungsfrei. 3Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. 4Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuchs, bei nichtöffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, widerrufen werden. 5Ist nach Absatz 1 ein Beauftragter für den Datenschutz zu bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. 6Nach der Abberufung als Beauftragter für den Datenschutz ist die Kündigung innerhalb eines Jahres nach der Beendigung der Bestellung unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist. 7Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. (4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird. (4a) 1Soweit der Beauftragte für den Datenschutz bei seiner Tätigkeit Kenntnis von Daten erhält, für die dem Leiter oder einer bei der öffentlichen oder nichtöffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Beauftragten für den Datenschutz und dessen Hilfspersonal zu. 2Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. 3Soweit das Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht, unterliegen seine Akten und andere Schriftstücke einem Beschlagnahmeverbot. (5) 1Die öffentlichen und nicht-öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. 2Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.
v. d. Bussche
197
BDSG § 4f I. Überblick . . . . . . . . . . . . . . . . . II. Pflicht zur Bestellung (Abs. 1) . . . . . . . . . . . . . . . . . . . 1. Grundsatz der Bestellungspflicht . . . . . . . . . . . . . . . . . . . . 2. Ausnahmen von der Bestellungspflicht . . . . . . . . . . . . . . . 3. Die zur Bestellung verpflichtete Stelle . . . . . . . . . . . . . . . . . 4. Zeitpunkt und formale Voraussetzungen der Bestellung 5. Vertragliches Verhältnis zwischen Datenschutzbeauftragtem und verantwortlicher Stelle . . . . . . . . . . . . . . . . . . . . .
Allgemeine und gemeinsame Bestimmungen 1
4. Unterstützungspflicht des Arbeitgebers . . . . . . . . . . . . . . . 44
5
V. Verschwiegenheitspflicht und Zeugnisverweigerungsrecht . . . . . . . . . . . . . . . . . . . . . 46
7 12 14 16
21
III. Person des Datenschutzbeauftragten . . . . . . . . . . . . . . . 24 1. Fachkunde . . . . . . . . . . . . . . . . 28 2. Zuverlässigkeit/insbesondere Interessenkonflikt . . . . . . . . . . 30 IV. Organisatorische Stellung und Unabhängigkeit . . . . . . . . 1. Organisatorische Stellung im Unternehmen . . . . . . . . . . . . . 2. Weisungsfreiheit . . . . . . . . . . . 3. Benachteiligungsverbot . . . . .
36 37 38 42
VI. Anrufungsrecht der Betroffenen (Abs. 5 Satz 2) . . . . . . . . . . 48 VII. Beendigung der Tätigkeit (Abs. 3). . . . . . . . . . . . . . . . . . . . 1. Widerruf der Bestellung/ Abberufung . . . . . . . . . . . . . . . . a) Auf Verlangen der Aufsichtsbehörde . . . . . . . . . . . . b) Durch die verantwortliche Stelle . . . . . . . . . . . . . . . . . . . 2. Kündigung des zugrundeliegenden Arbeitsverhältnisses. . 3. Das Verhältnis zwischen Widerruf und außerordentlicher Kündigung . . . . . . . . . . . . . . . . 4. Sonstige Beendigungstatbestände . . . . . . . . . . . . . . . . . . VIII. Rechtsfolgen fehlerhafter oder unterlassener Bestellung
50 51 52 53 56
60 65 68
Schrifttum: Abel, Der behördliche Datenschutzbeauftragte, MMR 2002, 289; Albrecht/Dienst, Fach- und Sachkunde der Beauftragten für den Datenschutz, JurPC Web-Dok. 19/2011, Abs. 1–36; Bongers, BB-Kommentar: „Rechtsklarheit ist nach wie vor nur durch sorgfältige Arbeitsvertragsgestaltung zu erzielen“, BB 2011, 638; Bongers/Commichau, Der Kündigungs- und Bestellungsschutz des betrieblichen Datenschutzbeauftragten, ArbRAktuell 2010, 139; Däubler, Neue Unabhängigkeit für den betrieblichen Datenschutzbeauftragten?, DuD 2010, 20; Dzida/ Kröpelin, Kann ein Betriebsratmitglied zugleich Datenschutzbeauftragter sein?, NZA 2011, 1018; Eylert/Sänger, Der Sonderkündigungsschutz im 21. Jahrhundert, RdA 2010, 24; Gehlhaar, Der Kündigungsschutz des betrieblichen Datenschutzbeauftragten, NZA 2010, 373; Gernhold, Aktuelle Überlegungen zur Änderung der Bestellpflicht von betrieblichen Datenschutzbeauftragten, RDV 2006, 6; Gola/Klug, Neuregelung zur Bestellung betrieblicher Datenschutzbeauftragter, NJW 2007, 118; Jaspers/Reif, Qualifikation des Datenschutzbeauftragten durch praxisnahe Ausbildung, DuD 2007, 333; Kaufmann, Bestellpflicht betrieblicher Datenschutzbeauftragter, CR 2012, 413; Kaufmann, Die Neuregelung zum betrieblichen Datenschutzbeauftragten, MMR 2006, Heft 10, XIV; Kohlhage, Konzerndatenschutz, DuD 2009, 752; Liedtke, Wie wirksam schützen Gesetz und Rechtsprechung personenbezogene Daten in Unternehmen?, NZA-RR 2008, 505;
198 v. d. Bussche
Beauftragter für den Datenschutz
§ 4f BDSG
Schierbaum, Der Datenschutzbeauftragte in Behörden, PersR 2010, 101; Schwab/ Ehrhard, Sonderkündigungsrecht für Datenschutzbeauftragte, NZA 2009, 1118; Wagner, Besonderer Kündigungsschutz für den angestellten Datenschutzbeauftragten?, DuD 2008, 660; Wedde, Der betriebliche Datenschutzbeauftragte, DuD 2004, 670.
I. Überblick § 4f regelt die Bestellung des betrieblichen bzw. behördlichen Daten- 1 schutzbeauftragten als ein wesentliches Element der Selbstregulierung im Datenschutzrecht1. Der deutsche Gesetzgeber hat sich damit für eine grundsätzliche Bestellungspflicht entschieden2. So sollten die Schaffung eines enormen Überwachungsapparates sowie erheblicher Bürokratieaufwand vermieden werden. Die EG-Datenschutzrichtlinie dagegen verlangt keine grundsätzlich verpflichtende Bestellung eines Datenschutzbeauftragten, sieht diesen aber vor und schafft insoweit Anreize für seine Bestellung, als damit die Meldepflicht gegenüber staatlichen Aufsichtsstellen entfällt (Art. 18 Abs. 2 der EG-Datenschutzrichtlinie). Erwägungsgrund 49 der EG-Datenschutzrichtlinie beschreibt auch die Anforderungen an einen solchen Datenschutzbeauftragten: Er „muss seine Aufgaben in vollständiger Unabhängigkeit ausüben können“. Das BDSG formuliert besondere Regelungen hinsichtlich des Sonderkündigungsschutzes, der Voraussetzungen der Abberufung und der generellen Weisungsunabhängigkeit des Datenschutzbeauftragten sowie Maßnahmen zu deren Sicherstellung. Ob diese Vorkehrungen die geforderte „vollständige“ Unabhängigkeit garantieren, ist in der Praxis nicht immer gewährleistet. Der betriebliche Datenschutzbeauftragte soll eine unternehmensinterne 2 Kontrollinstanz sein, die den ordnungsgemäßen Umgang mit personenbezogenen Daten besser überprüfen kann als eine externe Aufsichtsbehörde3. Denn dieser fehlt regelmäßig der Zugriff auf unternehmensinterne Informationen und der Überblick über Unternehmensabläufe. Im Idealfall ist der Datenschutzbeauftragte eine unabhängige und kritische Instanz, die sich auch nicht vor Konflikten mit der verantwortlichen Stelle scheut. Darüber hinaus dient er als „Anwalt der Betroffenen“, d.h. dass er ihnen als Anlaufstelle bei etwaigen Datenschutzverstößen zur Verfügung steht4. Freilich kann ein hauseigener Kontrolleur aber auch rasch 1 2 3 4
Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 7. Vgl. BT-Drucks. 14/4329, S. 36. Däubler, DuD 2010, 20. Gola/Schomerus, § 4f BDSG Rz. 57.
v. d. Bussche
199
BDSG § 4f
Allgemeine und gemeinsame Bestimmungen
zu einer bloßen Alibi-Kontrollinstanz „verkommen“, die den Datenschutz hinter Unternehmensinteressen zurückstehen lässt1, was jedoch seit einer Serie von prominenten Datenschutzskandalen und den darauf folgenden Novellen des BDSG im Jahr 2009 immer seltener der Fall zu sein scheint. Es ist spätestens seit diesem Zeitpunkt auf Seiten der Industrie ein Umdenken erkennbar, welches von großen Firmen über die Lieferantenketten den kleineren Unternehmen weitergegeben wird: Datenschutz wird „ernst“ genommen. Das hat einen signifikanten Bedeutungszuwachs auf Seiten der betrieblichen Datenschutzbeauftragten zur Folge, die, vormals weniger beachtet, nunmehr dichter an die Geschäftsleitung herangerückt sind und mit dieser zunehmend im unmittelbaren Austausch stehen. 3 Systematische Struktur: Abs. 1 regelt die Voraussetzungen, bei deren Vorliegen öffentliche und nicht öffentliche Stellen einen Datenschutzbeauftragten bestellen müssen. Abs. 2 normiert die persönlichen und fachlichen Anforderungen, die an einen zu bestellenden Datenschutzbeauftragten gestellt werden. Abs. 3 regelt die Stellung des Datenschutzbeauftragten innerhalb der verantwortlichen Stelle. Abs. 4 und 4a normieren besondere Geheimhaltungs- und Zeugnisverweigerungsrechte für den Datenschutzbeauftragten für Daten, mit denen er im Zuge seiner Tätigkeit in Berührung kommt. Abs. 5 schließlich verpflichtet die verantwortliche Stelle zur Unterstützung des Datenschutzbeauftragten in seiner Tätigkeit. Die konkreten Aufgaben des Datenschutzbeauftragten ergeben sich nicht aus § 4f, sondern aus § 4g. 4 Signifikante Änderungen erfuhr § 4f durch das Erste Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft (vom 22.8.2006, BGBl. I, S. 1970) im Jahr 2006 sowie die BDSGNovelle II aus dem Jahr 2009 (vom 14.8.2009, BGBl. I, S. 2814). Ersteres hob den Schwellenwert für die betriebliche Bestellungspflicht von „vier Arbeitnehmern“ auf „neun Personen“ an (siehe sogleich Rz. 12). Durch die Datenschutznovelle II wurde Abs. 3 um die Sätze 5 bis 8 erweitert, die den Kündigungsschutz des Datenschutzbeauftragten ausweiten und ihm die Teilnahme an Schulungs- und Fortbildungsmaßnahmen ermöglichen.
1 So Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 1.
200 v. d. Bussche
Beauftragter für den Datenschutz
§ 4f BDSG
II. Pflicht zur Bestellung (Abs. 1) Abs. 1 regelt, unter welchen Voraussetzungen öffentliche und nicht-öffentliche Stellen einen Datenschutzbeauftragten bestellen müssen. Abs. 1 weist dabei folgende Systematik auf: Bestellungspflichten ergeben sich aus Satz 1, Satz 3 und Satz 6; die Sätze 2, 4 und 5 enthalten hingegen Sonderregelungen und Ausnahmen hierzu.
5
Selbst wenn die Voraussetzungen für eine verpflichtende Bestellung 6 gemäß Abs. 1 nicht erfüllt sind, kann jede verantwortliche Stelle auf freiwilliger Basis einen Datenschutzbeauftragten bestellen1. Seine Befugnisse bestimmen sich dann nach den individuell getroffenen Abmachungen2. Weicht die Stellung dieses Datenschutzbeauftragten aber zu sehr vom Idealbild des § 4f ab, ist fraglich, ob dann noch die gesetzlichen Privilegierungen bei der Bestellung eines Datenschutzbeauftragten – z.B. Entfallen der Meldepflicht gemäß § 4d – eingreifen3. 1. Grundsatz der Bestellungspflicht Nach der Regelung in Satz 1 müssen sowohl öffentliche als auch nicht- 7 öffentliche Stellen einen Datenschutzbeauftragten bestellen, wenn sie personenbezogene Daten automatisiert verarbeiten. Der Begriff der automatisierten Datenverarbeitung bestimmt sich nach § 3 Abs. 2. Eine weitere Bestellungspflicht ergibt sich aus Satz 3. Demnach ist ein 8 Datenschutzbeauftragter ferner dann zu bestellen, wenn die verantwortliche Stelle Daten zwar nicht automatisiert, aber auf „andere Weise“, also nicht automatisiert, verarbeitet, und hierfür „in der Regel mindestens 20 Personen“ beschäftigt. Im Unterschied zu Satz 1 knüpft die Bestellungspflicht hier also nicht an die im Hinblick auf die informationelle Selbstbestimmung als besonders gefährlich eingestufte automatisierte Datenverarbeitung an, sondern daran, dass besonders viele Personen – nämlich „mindestens 20“ – Zugriff auf die Daten haben und deshalb tendenziell auch mehr Daten verarbeitet werden4. Der Begriff „Personen“ stellt klar, dass nicht nur Arbeitnehmer, sondern alle für die ver1 Vgl. BT-Drucks. 16/12011, S. 30; Taeger/Gabel/Scheja, § 4f BDSG Rz. 22; Simitis/Simitis, § 4f BDSG Rz. 30. 2 Simitis/Simitis, § 4f BDSG Rz. 31; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 20. 3 Generell bei freiwilliger Bestellung ablehnend: Simitis/Simitis, § 4f BDSG Rz. 31. 4 Zu den Erwägungen des Gesetzgebers vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 23.
v. d. Bussche
201
BDSG § 4f
Allgemeine und gemeinsame Bestimmungen
antwortliche Stelle Tätigen berücksichtigt werden. Unerheblich ist es daher, ob die mit der Datenverarbeitung betrauten Personen Vollzeitoder Teilzeitkräfte, Auszubildende, Praktikanten, Leiharbeiter oder freie Mitarbeiter sind1. Maßgeblich ist allein, ob die jeweilige Person im Rahmen eines arbeitsrechtlichen Status für die verantwortliche Stelle tätig wird2. Demnach sind beispielsweise Mitarbeiter von Auftragsdatenverarbeitern i.S.d. § 11 nicht zu berücksichtigen3. Bei der Berechnung der Personen ist vom Regelbetrieb („in der Regel“) auszugehen und nicht von kurzzeitigen Schwankungen nach oben bzw. unten. Berücksichtigung findet jegliche mit der Datenverarbeitung verbundene Tätigkeit, ob die jeweilige Person den Verarbeitungsprozess ganz oder teilweise selbständig durchführen kann ist irrelevant – demnach genügt bereits das manuelle Ausfüllen von Antragsformularen4. Erläuterung des Begriffs ständig wurde verschoben in Rz. 12. 9 Darüber hinaus formuliert Satz 6 eine besondere Bestellungspflicht, sofern nicht-öffentliche Stellen Datenverarbeitungsvorgänge durchführen, die der Vorabkontrolle gemäß § 4d Abs. 5 unterliegen oder personenbezogene Daten geschäftsmäßig zum Zwecke der personenbezogenen oder anonymisierten Übermittlung automatisiert verarbeiten. Auf die Zahl der Mitarbeiter kommt es in diesem Fall nicht an5. 10 Die Regelung des Abs. 2 Satz 3 impliziert ferner, dass auch Berufsgeheimnisträger unter den Voraussetzungen von Abs. 1 zur Bestellung eines Datenschutzbeauftragten verpflichtet sind6. 11 Weitere Bestellungspflichten können spezialgesetzlich angeordnet sein. So sind bspw. Stellen im Sozialbereich gemäß § 81 Abs. 4 SGB X zur Bestellung eines Datenschutzbeauftragten verpflichtet. Bestellungspflichten für öffentliche Stellen der Länder sind in den jeweiligen Datenschutzgesetzen der Länder geregelt7.
1 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 15. 2 Vgl. BT-Drucks. 16/1853, S. 12. 3 Karper/Stutz, DuD 2006, 789 (791); Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 15. 4 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 14; Simitis/Simitis, § 4f BDSG Rz. 28, 29. 5 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 11; Gola/Schomerus, § 4f BDSG Rz. 10; Taeger/Gabel/Scheja, § 4f BDSG Rz. 24. 6 Vgl. Bergmann/Möhrle/Herb, § 4f BDSG Rz. 68b und c. 7 Bergmann/Möhrle/Herb, § 4f BDSG Rz. 47.
202 v. d. Bussche
Beauftragter für den Datenschutz
§ 4f BDSG
2. Ausnahmen von der Bestellungspflicht Eine Ausnahme von der Bestellungspflicht ergibt sich aus Satz 4: Die 12 Sätze 1 und 2 sind nämlich unanwendbar auf nicht-öffentliche Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Der Maßstab ist identisch mit dem im Rahmen von Satz 3 (siehe dazu Rz. 8). Der Begriff ständig bedeutet nicht notwendig dauernd, verlangt aber, dass die Tätigkeit auf Dauer angelegt ist und die betreffende Person immer dann tätig wird, wenn es notwendig ist, selbst wenn die Tätigkeit nur in zeitlichen Abständen (z.B. monatlich) anfällt1. Satz 4 wurde durch das Erste Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft (vom 22. August 2006, BGBl. I, S. 1970) modifiziert – statt der ursprünglichen Grenze von „mehr als vier Arbeitnehmern“ entfällt die Pflicht zur Bestellung eines Datenschutzbeauftragten nun bis zu einer Grenze von „höchstens neun Personen“. Damit sollen vor allem kleine Unternehmen ein Stück weit entlastet werden. Wiederum zu beachten ist, dass die Privilegierung des Satzes 4 ausdrücklich nicht im Falle einer besonderen Bestellungspflicht gemäß Satz 6 anwendbar ist, da diese nicht von einer bestimmten Anzahl von Beschäftigten abhängt, sondern durch die Notwendigkeit einer Vorabkontrolle aufgrund „besonderer Risiken“ nach § 4d Abs. 5 indiziert ist (siehe dazu § 4d Rz. 15 f.).
13
3. Die zur Bestellung verpflichtete Stelle Grundsätzlich muss jede Stelle, die die Voraussetzungen des Abs. 1 er- 14 füllt (siehe Rz. 7 f.), einen Datenschutzbeauftragten bestellen. Zu beachten ist dabei, dass es sich nicht zwangsläufig um die „verantwortliche Stelle“ i.S.d. § 3 Abs. 7 handeln muss, wobei dies regelmäßig der Fall sein wird2. Demnach gilt die Bestellpflicht auch für Auftragsdatenverarbeiter, sofern sie die Voraussetzungen des Abs. 1 erfüllen3. Dies stellt insoweit die Regelung des § 11 Abs. 4 Nr. 2 durch den Verweis auf § 4f klar. Mit „Stelle“ ist jeweils die rechtliche Einheit gemeint: Im nicht-öffentlichen Bereich das Unternehmen, im öffentlichen Bereich die je-
1 Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 20; Kaufmann, CR 2012, 413 (416). 2 So auch Taeger/Gabel/Scheja, § 4f BDSG Rz. 13; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 10. 3 So auch Taeger/Gabel/Scheja, § 4f BDSG Rz. 13; Gola/Schomerus, § 11 BDSG Rz. 27; vgl. auch Bergmann/Möhlre/Herb, § 4g BDSG Rz. 34.
v. d. Bussche
203
BDSG § 4f
Allgemeine und gemeinsame Bestimmungen
weilige Behörde1. Ebenso muss jedes zu einem Konzern gehörende Unternehmen in Ermangelung eines „Konzernprivilegs“2 einen eigenen Datenschutzbeauftragten bestellen3. Möglich ist es aber, dass ein und dieselbe Person die Funktion des Datenschutzbeauftragten für mehrere verantwortliche Stellen übernimmt4. Vorausgesetzt ist dabei, dass jede konzernangehörige Firma den „Konzernbeauftragten“ separat ordnungsgemäß bestellt5. Allerdings darf dies nicht nur eine Beauftragung auf dem Papier sein – es muss dann vielmehr auch sichergestellt sein, dass der Konzerndatenschutzbeauftragte über die notwendigen personellen und sachlichen Ressourcen verfügt, um an jeder verantwortlichen Stelle sein Amt effektiv ausüben zu können6. Hierzu bedarf es bei einer entsprechenden Unternehmensgröße z.B. des Einsatzes von zuarbeitenden Datenschutz-Koordinatoren innerhalb der einzelnen Konzernteile7. Ein solches Mandat stellt allerdings gesteigerte Anforderungen an die Person des Datenschutzbeauftragten (siehe dazu Rz. 27 ff.). Der Datenschutzbeauftragte handelt intern für das Konzernunternehmen, bei dem er angestellt ist, für alle anderen Konzernteile entsprechend als externer Datenschutzbeauftragter.
1 Es gilt der funktionale Behördenbegriff, s. Abel, MMR 2002. 289 (290). 2 Auf Ebene der EU-Kommission sowie des sog. „Düsseldorfer Kreises“, das informelle Beratungsgremium der obersten deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, wird inzwischen diskutiert, wie innerhalb Konzernstrukturen die Einhaltung der Vorgaben des Datenschutzes erleichtert werden kann; u.a. zu nennen: Artikel-29-Datenschutzgruppe, WP 169 „Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“; Düsseldorfer Kreis, Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ v. 11.1.2005 und Positionspapier zum Internationalen Datentransfer v. 12/13.2.2007; dazu BITKOM, Stellungnahme vom 22.4.2008, abrufbar unter http://www.bitkom.org/files/do cuments/BITKOM_Echo_Duesseldorfer_Kreis_Int__ADV.pdf (Stand Dezember 2011) sowie Schriftenreihe „Recht und Steuer“, Band 2 – Übermittlung personenbezogener Daten, S. 20 f.; ergänzend sei erwähnt, dass das Europäische Parlament die Absicht verfolgt den konzerninternen Datentransfer in Zukunft zu erleichtern, Entschließung vom 6.7.2011 zum Gesamtkonzept für den Datenschutz in der Europäischen Union (2011/2025(INI)). 3 Kohlhage, DuD 2009, 752; Bergmann/Möhrle/Herb, § 4f BDSG Rz. 39. 4 Vgl. Simitis/Simitis, § 4f BDSG Rz. 35 f.; Taeger/Gabel/Scheja, § 4f BDSG Rz. 77; kritisch Gola/Schomerus, § 4f BDSG Rz. 24. 5 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 7. 6 Vgl. Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 7. 7 TB 1999 zum Datenschutz im nicht-öffentlichen Bereich in Hessen, LTDrucks. 15/1539; Gola/Schomerus, § 4f BDSG Rz. 8.
204 v. d. Bussche
§ 4f BDSG
Beauftragter für den Datenschutz
Für öffentliche Stellen ist eine solche Konzentrierung ausdrücklich in Satz 5 vorgesehen, soweit dies aufgrund ihrer Struktur erforderlich ist. Intendierte Folge einer Zusammenlegung sollte aber stets eine gesteigerte Effizienz des Datenschutzes durch die bereichsübergreifende Kompetenz des Datenschutzbeauftragten sein. Demnach ist die Zulässigkeit abhängig davon, ob der Datenschutzbeauftragte trotz der behördenübergreifenden Konzentrierung seines Amtes dennoch in der Lage ist, seine Tätigkeit wirksam ausüben zu können1.
15
4. Zeitpunkt und formale Voraussetzungen der Bestellung Für nicht-öffentliche Stellen ordnet Satz 2 an, dass die Bestellung inner- 16 halb eines Monats nach Eintreten der Bestellungsvoraussetzungen gemäß Abs. 1 erfolgen muss. Mangels einer Fristenregelung für öffentliche Stellen ist im Umkehrschluss davon auszugehen, dass die Pflicht zur Bestellung mit Schaffung der Behörde, spätestens bei Vorlage der Bestellungsvoraussetzungen des Abs. 1, unverzüglich zu erfüllen ist2. Für die Bestellung gilt gemäß Abs. 1 Satz 1 ein Schriftformerfordernis 17 (§ 126 BGB). Die Bestellung selbst ist eine gegenseitige Erklärung zwischen verantwortlicher Stelle und Bestelltem, beide Parteien müssen daher die Bestellungsurkunde unterzeichnen3. Das Schriftformerfordernis wirkt konstitutiv, d.h. dass die Bestellung bei dessen Nichteinhaltung unwirksam ist4. Arbeitnehmervertretungen (Betriebs- und Personalrat) haben hinsicht- 18 lich der Bestellung eines Datenschutzbeauftragten keine speziellen Mitbestimmungsrechte5. Allerdings wirkt der Betriebsrat bei Einstellung oder Versetzung von Angestellten mit. Geht mit der Bestellung eines Datenschutzbeauftragten die Anstellung oder Versetzung eines Arbeitnehmers einher, so entsteht mittelbar ein Mitbestimmungsrecht des Betriebsrats im Bezug auf die Berufung des Datenschutzbeauftragten. Da der Datenschutzbeauftragte im Idealfall mit den Mitarbeitervertretungen eng zusammenarbeiten soll, kann es dienlich sein, dem Betriebsrat
1 Simitis/Simitis, § 4f BDSG Rz. 38 und 39; Bergmann/Möhrle/Herb, § 4f BDSG Rz. 44. 2 So auch Gola/Schomerus, § 4f BDSG Rz. 15; a.A. wohl Bergmann/Möhrle/ Herb, § 4f BDSG Rz. 54. 3 Taeger/Gabel/Scheja, § 4f BDSG Rz. 30; Simitis/Simitis, § 4f BDSG Rz. 57. 4 Gola/Schomerus, § 4f BDSG Rz. 30; Simitis/Simitis, § 4f BDSG Rz. 59. 5 Taeger/Gabel/Scheja, § 4f BDSG Rz. 33.
v. d. Bussche
205
BDSG § 4f
Allgemeine und gemeinsame Bestimmungen
freiwillig per Betriebsvereinbarung ein Mitbestimmungsrecht bei der Bestellung des Datenschutzbeauftragten einzuräumen1. Im Rahmen einer solchen Betriebsvereinbarung wird empfohlen, eine Regelung für den Fall eines Dissenses zu treffen2. Die verantwortliche Stelle hat nämlich ihrer Bestellungspflicht nach Abs. 1 Satz 1 unter Einhaltung der Frist des Satz 2 nachzukommen. Dies darf durch eine Nichteinigung mit dem Betriebsrat nicht vereitelt werden3. 19 Das BDSG äußert sich nicht zu einer möglichen Befristung der Bestellung. Ob eine solche Möglichkeit besteht, wird unterschiedlich beantwortet. Einerseits wird argumentiert, dass eine befristete Bestellung eine Umgehung der Widerrufsvoraussetzungen des § 4f Abs. 3 Sätze 4–6 BDSG i.V.m. § 626 BGB sei, welche das Vorliegen eines „wichtigen Grunds“ fordert (siehe dazu Rz. 54)4. Als Lösung dieser Missbrauchsmöglichkeit seitens des Arbeitgebers wird gefordert, dass die Befristung gleichermaßen wie der Widerruf an einen „wichtigen Grund“ in analoger Anwendung des § 4f Abs. 3 Sätze 4–6 BDSG i.V.m. § 626 BGB geknüpft werden soll. Dagegen spricht, dass in der Praxis ein solcher Grund bereits bei der Bestellung kaum denkbar ist, eine Befristungsmöglichkeit mithin faktisch nicht existent wäre5. Eine Befristung aufgrund erheblicher Zweifel an der erforderlichen Fachkunde oder Zuverlässigkeit des Kandidaten ist nämlich rechtlich unzulässig, da die Voraussetzungen an die Person des Datenschutzbeauftragten bereits bei dessen Bestellung vorliegen müssen und die verantwortliche Stelle sich über deren Vorliegen hinreichend zu vergewissern hat6. Ebenfalls liegen die Voraussetzungen für die zuvor genannte Analogie nicht vor7. Nach zutreffender Ansicht wird die befristete Bestellung eines Datenschutzbeauftragten als legitime Ausprägung der unternehmerischen und vertraglichen Freiheit des Arbeitgebers gewertet und ist somit nicht an das
1 So auch Gola/Schomerus, § 4f BDSG Rz. 36. 2 Simitis/Simitis, § 4f BDSG Rz. 69. 3 Ausführlich zur Beteiligung von Arbeitnehmervertretungen: Simitis/Simitis, § 4f BDSG Rz. 65 ff. 4 Gola/Schomerus, § 4f BDSG Rz. 32; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 75. 5 Ausführlich und überzeugend zur Verneinung der Analogievoraussetzungen: Taeger/Gabel/Scheja, § 4f BDSG Rz. 38; im Ergebnis auch Simitis/Simitis, § 4f BDSG Rz. 61. 6 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 75. 7 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 75; Simitis/Simitis, § 4f BDSG Rz. 63.
206 v. d. Bussche
Beauftragter für den Datenschutz
§ 4f BDSG
Vorliegen der Voraussetzungen des § 626 BGB gebunden1. Solange sich für das schuldrechtliche Grundgeschäft (meist Dienstvertrag, siehe dazu Rz. 21 f.) kein Befristungsverbot ergibt, so spricht dies für eine mögliche Befristung des akzessorisch verknüpften Amtsverhältnisses als Datenschutzbeauftragter. Ein Missbrauch der Befristung läge demnach nur vor, wenn die Bestelldauer in Relation zum Umfang der vorzunehmenden Tätigkeiten des Datenschutzbeauftragten zu kurz bemessen wäre, um diese realistisch und effizient durchführen zu können2. Dies kann offensichtlich nur im Einzelfall entschieden werden. Entsprechend darf aber auch eine zu kurz bemessene Befristung des vertraglichen Dienstverhältnisses nicht die effiziente Ausübung des Amts als Datenschutzbeauftragter unterlaufen3. Unter diesen Prämissen lässt sich ein angemessener Ausgleich im Spannungsverhältnis zwischen unternehmerischer Freiheit und Schutz des Mandats des Datenschutzbeauftragten herstellen. Dies alles deutet darauf hin, dass eine befristete Bestellung des Datenschutzbeauftragten grundsätzlich in den soeben abgesteckten Grenzen zulässig ist. Da sich die verantwortliche Stelle bei der Benennung des Datenschutzbeauftragten über dessen genügende Fachkunde und Zuverlässigkeit versichern muss, ist die Vereinbarung einer Probezeit grundsätzlich unzulässig4. Soweit sich, trotz einer sorgfaltsgemäßen Versicherung über die Fachkunde und Zuverlässigkeit, nach der Benennung herausstellt, dass diese nicht (mehr) gegeben ist, so kann die Benennung widerrufen werden.
20
5. Vertragliches Verhältnis zwischen Datenschutzbeauftragtem und verantwortlicher Stelle Bei der Bestellung eines Datenschutzbeauftragten sind zwei Rechtsver- 21 hältnisse zu unterscheiden. Zunächst wird durch die Bestellung des Datenschutzbeauftragten (i) das Amtsverhältnis begründet und die gesetzlichen Rechtsfolgen der §§ 4f, 4g werden ausgelöst. Davon zu trennen ist (ii) die schuldrechtliche Verpflichtung, aus der sich die Pflicht zum Tä-
1 So auch Simitis/Simitis, § 4f BDSG Rz. 62; Taeger/Gabel/Scheja, § 4f BDSG Rz. 38. 2 Eine Mindestdauer fordernd: Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 75 (5 Jahre); Simitis/Simitis, § 4f BDSG Rz. 62 (2 Jahre). 3 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 76. 4 So auch Simitis/Simitis, § 4f BDSG Rz. 63; Däubler/Klebe/Wedde/Weichert/ Däubler, § 4f BDSG Rz. 75.
v. d. Bussche
207
BDSG § 4f
Allgemeine und gemeinsame Bestimmungen
tigwerden sowie etwaige Vergütungsansprüche des Datenschutzbeauftragten ergeben1. 22 Bei Angestellten der verantwortlichen Stelle liegt die schuldrechtliche Verpflichtung regelmäßig im Arbeits- bzw. Dienstverhältnis2. Dieses wird entsprechend abgeändert, da die Bestellung zum Datenschutzbeauftragten eine Erweiterung der arbeitsvertraglichen Aufgaben des Beauftragten darstellt3. Ob diese Änderung vom Direktionsrecht des Arbeitgebers erfasst ist oder der Zustimmung des Beauftragten bedarf, hängt von dem zugrundeliegenden Arbeitsvertrag ab4. Sofern die vom Arbeitnehmer vorzunehmenden Tätigkeiten dort konkret festgelegt sind, bedarf es zur zusätzlichen oder substitutionellen Übertragung der Aufgaben als Datenschutzbeauftragter einer einvernehmlichen Vertragsanpassung5. Diese Vereinbarung kann auch konkludent erfolgen, indem der Arbeitnehmer das Mandat annimmt6. Ist im Arbeitsvertrag das Tätigkeitsfeld des Beschäftigten weit gefasst, kann sich die zu übertragende Funktion als Datenschutzbeauftragter als neue Konkretisierung der ohnehin bereits geschuldeten Arbeitsleistungen darstellen. Eine solche Änderung ist einseitig möglich, da sie vom Direktionsrecht des Arbeitgebers gedeckt ist7. Ein vom Arbeitnehmer zu quittierendes Ernennungsschreiben ist aus beweisrechtlichen Gründen dennoch zu empfehlen8. 23 Bei externen Datenschutzbeauftragten wird es sich hingegen bei dem schuldrechtlichen Grundgeschäft zur Bestellung meist um einen Geschäftsbesorgungsvertrag handeln9. Das Verhältnis von Amtsverhältnis und Geschäftsbesorgung zueinander ist vor allem dann zu beachten, wenn eines der beiden beendet werden soll (hierzu sogleich Rz. 56 ff.).
1 Gola/Schomerus, § 4f BDSG Rz. 30; Henssler/Willemsen/Kalb/Lembke, Arbeitsrecht Kommentar, 5. Aufl. 2012, §§ 4f, 4g BDSG Rz. 5; mit Einschränkungen auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 26. 2 Däubler/Klebe/Wedde/Weichert/Klebe, § 4f Rz. 26; kritisch dazu Liedtke, NZA-RR 2008, 505. 3 So BAG, NJW 2011, 476; BAG, NJW 2007, 2507, 2508, auch zur Bestellung durch Geschäftsbesorgungsvertrag. 4 BAG, MMR 2007, 582 (583). 5 BAG, NZA 2011, 1036 Rz. 29; Gehlhaar, NZA 2010, 373 (375). 6 BAG, NZA 2011, 1036 Rz. 29. 7 So auch Gola/Schomerus, § 4f BDSG Rz. 30, a.A. Simitis/Simitis, § 4f BDSG Rz. 82. 8 Gola/Schomerus, § 4f BDSG Rz. 30. 9 Taeger/Gabel/Scheja, § 4f BDSG Rz. 36.
208 v. d. Bussche
Beauftragter für den Datenschutz
§ 4f BDSG
III. Person des Datenschutzbeauftragten Durch die permanent steigende Professionalisierung des Berufsbilds des Datenschutzbeauftragten kann kein Zweifel mehr daran bestehen, dass es sich um einen Beruf handelt, der grundrechtlichen Schutz gemäß Art. 12 GG genießt1.
24
Als Datenschutzbeauftragte in Form einer natürlichen Person kommen 25 sowohl Angestellte der verantwortlichen Stelle als auch externe Personen in Betracht. Letztere können selbst für verantwortliche Stellen gewählt werden, bei denen Daten verarbeitet werden, die einem Berufsgeheimnis gemäß § 203 StGB unterliegen – dies wird durch Abs. 2 Satz 3 sowie Abs. 4a klargestellt (siehe auch Rz. 10). Für öffentliche Stellen kommen gemäß Abs. 2 Satz 3 als externe Personen nur Bedienstete aus einer anderen öffentlichen Stelle in Betracht2. Ein externer Datenschutzbeauftragter kommt vor allem dann in Be- 26 tracht, wenn sich aus dem Personal der verantwortlichen Stelle keine geeignete Person findet. Dies kann gerade bei kleineren Unternehmen der Fall sein3. Gerade im Hinblick auf die Vertragsgestaltung stellt sich hier die Frage, ob auch juristische Personen zu Datenschutzbeauftragten ernannt werden können. Insbesondere wenn größere Unternehmen beauftragt werden sollen, die professionell mehreren verantwortlichen Stellen als Datenschutzbeauftragte zur Verfügung stehen, wäre es von Vorteil, wenn diese direkt unter Vertrag genommen werden könnten, ohne erst einen Mitarbeiter als Vertragspartner dazwischen schalten zu müssen. Der Gesetzeswortlaut von Abs. 2 spricht nicht dagegen. Teilweise wird die Möglichkeit, eine juristische Person zu bestellen, jedoch mit dem Argument verneint, dass nur natürliche Personen die erforderlich Fachkunde und Zuverlässigkeit aufweisen könnten4. Diese Ansicht widerspricht jedoch anderen gesetzlichen Regelungen (z.B. § 27 WPO), die selbstverständlich von der Legitimität juristischer Personen für Mandate, die persönliche Zuverlässigkeit voraussetzen, ausgehen5. Auch entspricht es nur einer natürlichen wirtschaftlichen Betrachtungs1 Simitis/Simitis, § 4f BDSG Rz. 83. 2 Vgl. BT-Drucks. 461/00, S. 89; Simitis/Simitis, § 4f BDSG Rz. 42; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 21; Gola/Schomerus, § 4f BDSG Rz. 17–18; a.A. Taeger/Gabel/Scheja, § 4f BDSG Rz. 73. 3 Vgl. Gernhold, RDV 2006, 6 (7). 4 Gola/Schomerus, § 4f BDSG Rz. 19; Schaffland/Wiltfang, § 4f BDSG Rz. 45; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 22. 5 So auch Simitis/Simitis, § 4f BDSG Rz. 48, 50; Taeger/Gabel/Scheja, § 4f BDSG Rz. 79.
v. d. Bussche
209
BDSG § 4f
Allgemeine und gemeinsame Bestimmungen
weise, wenn professionell agierende Datenschutzbeauftragte als Gesellschaften mit oder ohne Rechtspersönlichkeit organisiert sind. Die Gegenmeinung schlägt die Bestellung eines Mitarbeiters der juristischen Person als Datenschutzbeauftragten vor, wobei das schuldrechtliche Grundverhältnis zwischen der verantwortlichen Stelle und der juristischen Person geschlossen werden kann. Die rechtliche Klammer bildet dann der Arbeitsvertrag des Bestellten1. Dies ist aber aus oben genannten Gründen unnötig sowie unpraktikabel, sofern eines der beiden Verhältnisse (Amts- bzw. Schuldverhältnis) wegfällt (siehe Rz. 31 f.)2. Daher sollte davon ausgegangen werden, dass auch juristische Personen Datenschutzbeauftragte sein können3. 27 Abs. 2 Satz 1 stellt zwei Anforderungen an die Person des Datenschutzbeauftragten: Dieser muss (i) die erforderliche Fachkunde auf dem Gebiet des Datenschutzes (unten Rz. 28) sowie (ii) die erforderliche Zuverlässigkeit (unten Rz. 30) aufweisen4. Beide Begriffe bedürfen mangels Legaldefinition der Auslegung. Sie müssen zum Zeitpunkt der Bestellung bereits in der Person des zu Ernennenden vorhanden sein5. Mangels geforderter Zertifizierungsverfahren6 sowie Fachausbildung für Datenschutzbeauftragte, unterliegt die Einschätzung darüber, ob obige Anforderungen erfüllt sind, der Selbstkontrolle und -regulierung der verantwortlichen Stelle sowie des Datenschutzbeauftragten7. Das BDSG kennt dabei kein detailliertes Anforderungsprofil im Hinblick auf den Grad der Fachkunde und Zuverlässigkeit; dieses ist vielmehr als sich stetig verändernd sowie nicht abstrakt, sondern konkret an den Anforderungen, welche die jeweilige verantwortliche Stelle in sich birgt, zu begreifen8. Beispielsweise stellt die Tätigkeit innerhalb eines Kreditunternehmens den Datenschutzbeauftragten oder sogar „Konzerndatenschutzbeauftragten“ vor gänzlich andere Herausforderungen als das glei1 So Gola/Schomerus, § 4f BDSG Rz. 19. 2 Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 79. 3 So auch Simitis/Simitis, § 4f BDSG Rz. 48 ff.; Taeger/Gabel/Scheja, § 4f BDSG Rz. 79 f. 4 Hinsichtlich der Rechtsfolgen bei mangelnder Fachkunde oder Zuverlässigkeit siehe Rz. 69. 5 So auch Gola/Schomerus, § 4f BDSG Rz. 20; Simitis/Simitis, § 4f BDSG Rz. 93. 6 Zertifizierungen werden unter anderen angeboten von: GDD, TÜV Nord, Ulmer Akademie; hierzu Jaspers/Reif, DuD 2007, 333. 7 Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 58; Gola/Schomerus, § 4f BDSG Rz. 20. 8 Vgl. Simitis/Simitis, § 4f BDSG Rz. 84, 89; Taeger/Gabel/Scheja, § 4f BDSG Rz. 62; vgl. ferner BT-Drucks. 16/12011, S. 30.
210 v. d. Bussche
Beauftragter für den Datenschutz
§ 4f BDSG
che Amt in einem mittelständischen Handwerksbetrieb1. Entsprechend variieren auch die Anforderungen an seine Befähigung. Sofern der bestellte Datenschutzbeauftragte die für die jeweilige verantwortliche Stelle erforderliche Fachkunde bzw. Zuverlässigkeit jedoch nicht aufweist, steht dies auf der Rechtsfolgenseite dem Fall gleich, dass überhaupt kein Datenschutzbeauftragter bestellt wird (siehe Rz. 69). 1. Fachkunde Die Tätigkeit als Datenschutzbeauftragter setzt nicht den Abschluss ei- 28 ner bestimmten Ausbildung oder den Nachweis einer bestimmten Zertifizierung voraus. Entscheidend für das Vorliegen ausreichender Fachkunde ist vielmehr, ob der Kandidat die gesetzlichen Anforderungen an einen Datenschutzbeauftragten und insbesondere die Anforderungen des § 4g erfüllt2. Dies setzt eine Trias rechtlicher, organisatorischer und technischer Kenntnisse voraus3. Im Ausgangspunkt wird man daher auf jeden Fall fundierte Kenntnisse im Datenschutzrecht einschließlich damit verwandter Rechtsmaterien (insbesondere Telekommunikationsrecht, Geheimnisschutz, Verbraucherschutz) sowie über aktuelle Datenverarbeitungstechnologien verlangen müssen4. Der Datenschutzbeauftragte muss in der Lage sein erfassen zu können, ob ein Datenverarbeitungsvorgang technisch vorliegt und dann auch juristisch zulässig ist. Weiterhin muss er dazu befähigt sein analysieren zu können, welche technisch-organisatorischen Datenschutzmaßnahmen für Verarbeitungsvorgänge nötig sind5. Der Datenschutzbeauftragte kann gemäß Abs. 3 Satz 7 auf Kosten der ver- 29 antwortlichen Stelle an Weiterbildungsmaßnahmen teilnehmen. Hierdurch soll der Datenschutzbeauftragte sich die erforderlichen Kenntnisse zur Ausübung seiner Tätigkeit aneignen und – in Anbetracht rasanter technischer Entwicklungen und Gesetzesnovellen – auch erhalten6. Demnach ist die Fachkunde eines Datenschutzbeauftragten temporär zu begreifen und stets neu zu bewerten7. Die Norm ist in Anlehnung an 1 Vgl. auch Gola/Schomerus, § 4f BDSG Rz. 20a. 2 Vgl. Abel, MMR 2002, 289 (291); Gola/Schomerus, § 4f BDSG Rz. 20; Albrecht/ Dienst, JurPC Web-Dok. 19/2011, Abs. 10. 3 Simitis/Simitis, § 4f BDSG Rz. 84; Wedde, DuD 2004, 670 (672); Gola/Klug, NJW 2007, 118 (120). 4 Vgl. Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 28; Gola/Schomerus, § 4f BDSG Rz. 20. 5 Taeger/Gabel/Scheja, § 4f BDSG Rz. 60. 6 Vgl. Wedde, DuD 2004, 670 (672). 7 So auch Simitis/Simitis, § 4f BDSG Rz. 87.
v. d. Bussche
211
BDSG § 4f
Allgemeine und gemeinsame Bestimmungen
entsprechende Rechte für Betriebs- und Personalräte formuliert1. Umfang und Inhalt der von Satz 7 abgedeckten Weiterbildungsmaßnahmen bestimmt sich nach dem Kenntnisstand des Datenschutzbeauftragten und den Anforderungen der verantwortlichen Stelle2. Einem unerfahrenen Datenschutzbeauftragten wird man zunächst auch umfangreichere Weiterbildungsmaßnahmen zugestehen müssen3. Freilich sind dabei auch die Interessen der verantwortlichen Stelle zu beachten, es wird letztlich darauf hinauslaufen, ob bei vernünftiger Abwägung aller Interessen ein bestimmtes Sachmittel oder eine eingeforderte Unterstützung erforderlich sind4. Externe Beauftragte haben dagegen selbst für ihre Fortbildung Sorge zu tragen5. 2. Zuverlässigkeit/insbesondere Interessenkonflikt 30 Die Zuverlässigkeit betrifft die Person als solche – zu prüfen ist, inwiefern Umstände in der Person daran zweifeln lassen, dass sie ihr Amt als Datenschutzbeauftragter ordnungsgemäß erfüllen wird6. Generell gilt, dass die Anforderung an die Zuverlässigkeit des Datenschutzbeauftragten – ebenso wie an die Fachkunde – im Verhältnis zu der Menge der Betroffenen und der Sensibilität der durchgeführten Datenverarbeitungsprozesse steigt7. Unzuverlässigkeitsgründe können sich aus dem Verhalten des Kandidaten ergeben8. Von mangelnder Zuverlässigkeit ist beispielsweise auszugehen, wenn der Kandidat in der Vergangenheit seine Verschwiegenheitspflicht verletzt hat oder bereits Abmahnungen gegen ihn ergangen sind9. 31 In der Praxis kommt meist eine absehbare Interessenkollision als Grund für die Annahme der Unzuverlässigkeit in Betracht10. So etwa, wenn der Datenschutzbeauftragte seine bisherige Tätigkeit weiter ausübt und die1 BT-Drucks. 16/12011, S. 30. 2 Vgl. BT-Drucks. 16/12011, S. 30; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 61a ff. 3 Däubler, DuD 2010, 20 (22) spricht für „ein oder zwei Wochen“. 4 Däubler, DuD 2010, 20 (22). 5 Simitis/Simitis, § 4f BDSG Rz. 154; vgl. auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 56. 6 Vgl. Bergmann/Möhrle/Herb, § 4f BDSG Rz. 99; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 29; Taeger/Gabel/Scheja, § 4f BDSG Rz. 66; Simitis/Simitis, § 4f BDSG Rz. 94. 7 Taeger/Gabel/Scheja, § 4f BDSG Rz. 66. 8 So Abel, MMR 2002, 289 (291). 9 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 29. 10 Taeger/Gabel/Scheja, § 4f BDSG Rz. 68.
212 v. d. Bussche
Beauftragter für den Datenschutz
§ 4f BDSG
se Tätigkeit gerade auf die umfassende Verarbeitung personenbezogener Daten angelegt ist. In diesem Fall ist die Trennung zwischen Datenschutzbeauftragtem und verantwortlicher Stelle nicht mehr gewährleistet1. Ausgeschlossen ist damit die Bestellung des Geschäftsführers oder eines anderen mit der Geschäftsleitung betrauten Angestellten; ungeeignet sind auch der Leiter der EDV-Abteilung, der Personalleiter oder der Leiter der Marketingabteilung2. Ebenso führt eine zu starke Arbeitgebernähe zur Bejahung eines Interessenkonflikts; so etwa bei leitenden Angestellten sowie Familienangehörigen des Arbeitgebers3. Ob eine Mitgliedschaft im Betriebs- oder Personalrat eine Tätigkeit des 32 Angestellten als Datenschutzbeauftragter ausschließt, ist umstritten4. Für eine Unverträglichkeit der Ämter wird angeführt, dass aufgrund der umfassenden allgemeinen Kontrollfunktion der §§ 80 Abs. 1 Nr. 1 BetrVG und 68 Abs. 1 Nr. 2 BPersVG die Überwachung über die Einhaltung von datenschutzrechtlichen Bestimmungen durch die jeweilige verantwortliche Stelle ohnehin originär in den Aufgabenbereich der Betriebsund Personalräte fällt5. Demnach bestehen die Überwachungspflichten des Betriebs- und Personalrats neben denen des Datenschutzbeauftragten, so dass beide auch gegenseitig von der Fachkunde und dem Informationsbestand des jeweils anderen profitieren sollen6. Eine Interessenkollision könnte aber auch durch Verleiten zu strategischen Maßnahmen bestehen. Denn Betriebs- oder Personalräte sind zwar aufgrund oben genannter Vorschriften zur Überwachung von Datenschutzregelungen verpflichtet, aber erfahrungsgemäß dennoch gelegentlich zu Konzessionen im Bereich des Datenschutzes bereit, wenn sich im Gegenzug anderweitige Interessen durchsetzen lassen; auch werden Datenschutzinteressen teilweise allein aus dem Grund vorgeschoben, um möglichst starke Verhandlungspositionen aufzubauen. Dann fehlt es jedenfalls an der erforderlichen Zuverlässigkeit für das Amt des Datenschutzbeauftragten7. 1 Vgl. Simitis/Simitis, § 4f BDSG Rz. 97; Bergmann/Möhrle/Herb, § 4f BDSG Rz. 102. 2 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 31; Taeger/Gabel/ Scheja, § 4f BDSG Rz. 68 f. 3 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 31. 4 Unzuverlässigkeit bejahend: Henssler/Willemsen/Kalb/Lembke, Arbeitsrecht Kommentar, 5. Aufl. 2012, §§ 4f, 4g BDSG Rz. 5; Simitis/Simitis, § 4f BDSG Rz. 108; Bergmann/Möhrle/Herb, § 4f BDSG Rz. 105; a.A. Gola/Schomerus, § 4f BDSG Rz. 28; BAG, NZA 2011, 1036 Rz. 25. 5 So Simitis/Simitis, § 4f BDSG Rz. 108. 6 So Taeger/Gabel/Scheja, § 4f BDSG Rz. 71. 7 Simitis/Simitis, § 4f BDSG Rz. 108.
v. d. Bussche
213
BDSG § 4f
Allgemeine und gemeinsame Bestimmungen
33 Die Gegenmeinung geht von einer Inkompatibilität beider Ämter nicht aus und lässt es genügen, eine mangelnde Zuverlässigkeit aufgrund einer tatsächlich unzureichenden Aufgabenwahrnehmung erst im Rahmen des Widerrufs der Bestellung feststellen lassen zu können1. Auch würde ein pauschales Absprechen der Befähigung eines Betriebs- oder Personalratmitglieds zum Amt des Datenschutzbeauftragten zu einer Benachteiligung gegenüber anderen Arbeitnehmern i.S.d. § 78 BetrVG bzw. § 107 BPersVG führen2. 34 Wenig zu überzeugen vermag das Argument, dass aus der allgemeinen Kontrollfunktion der Betriebs- und Personalräte gemäß §§ 80 Abs. 1 Nr. 1 BetrVG und 68 Abs. 1 Nr. 2 BPersVG, auf eine Exklusivität im Bezug auf das Amt des Datenschutzbeauftragten zu schließen sei (siehe Rz. 32). Ein solches Gebot ist den Normen nicht zu entnehmen3. Es ist daraus auch nicht ersichtlich, dass die Überwachungsfunktion in datenschutzrechtlicher Hinsicht nicht auf ein Mitglied des Betriebs- bzw. Personalrats durch zusätzliche Bestellung als Datenschutzbeauftragter konzentriert werden kann. Ebenso wenig ist in einem solchen Fall eine unzureichende Aufgabenerfüllung aufgrund anderweitiger Interessen immanent, sondern jeweils eine Frage des Einzelfalls und daher kein zwingender Grund für eine Benachteiligung i.S.d. § 78 BetrVG bzw. § 107 BPersVG4. Maxime im Rahmen der Feststellung der Unzuverlässigkeit sollte stets sein, ob die nötige Unabhängigkeit, die das Amt als Datenschutzbeauftragter erfordert, nicht gewährleistet werden kann5. Dies vermag die Vorverurteilung von Betriebs- und Personalratsmitgliedern als „unzuverlässig“ selbst dann nicht zu belegen, wenn im Einzelfall Datenverarbeitungsvorgänge des Betriebs- oder Personalrats durch den Datenschutzbeauftragten zu kontrollieren sind (umstritten; siehe hierzu § 4g Rz. 29 f.)6. Auch als Mitglied des entsprechenden Rats kann ein Datenschutzbeauftragter seine Aufgaben dennoch ordnungsgemäß und „zuverlässig“ wahrnehmen7. Demnach ist eine generelle Unzuver-
1 BAG, NZA 2011, 1036 Rz. 25. 2 Gola/Schomerus, § 4f BDSG Rz. 28; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 32. 3 So auch Gola/Schomerus, § 4f BDSG Rz. 28. 4 So auch BAG, NZA 2011, 1036 Rz. 25. 5 Vgl. Simitis/Simitis, § 4f BDSG Rz. 97 f.; Taeger/Gabel/Scheja, § 4f BDSG Rz. 68 f.; Bergmann/Möhrle/Herb, § 4f BDSG Rz. 102. 6 So auch BAG, NZA 2011, 1036 Rz. 25; vgl. ferner BAG, RDV 1998, 64 ff.; Gola/ Schomerus, § 4f BDSG Rz. 28. 7 So auch BAG, NZA 2011, 1036 Rz. 25.
214 v. d. Bussche
Beauftragter für den Datenschutz
§ 4f BDSG
lässigkeit von Betriebs- und Personalratsmitgliedern für das Mandat als Datenschutzbeauftragter abzulehnen1. Für externe Kandidaten kann sich ein Interessenkonflikt beispielsweise 35 ergeben, wenn der Kandidat bereits andere verarbeitungsintensive Aufgaben für die verantwortliche Stelle übernimmt (z.B. Lohnabrechnungen)2. IV. Organisatorische Stellung und Unabhängigkeit Die wichtigste Voraussetzung für einen kritischen Datenschutzbeauf- 36 tragten ist dessen Unabhängigkeit von der verantwortlichen Stelle3. Es liegt auf der Hand, dass ein Arbeitnehmer in einem regulären Arbeitsverhältnis kaum bereit sein wird, die datenschutzrelevanten Tätigkeiten seines Arbeitgebers kritisch zu hinterfragen und nachhaltig für Verbesserungen im betrieblichen Datenschutz einzutreten4. Entsprechende gesetzliche Vorkehrungen sind daher notwendig. Abs. 3 trägt diesen Bedürfnissen Rechnung, indem für den Datenschutzbeauftragten verschiedene Sonderrechte geschaffen werden, die seine Unabhängigkeit gegenüber der verantwortlichen Stellung stärken sollen. 1. Organisatorische Stellung im Unternehmen Gemäß Abs. 3 Satz 1 ist der Beauftragte für den Datenschutz unmit- 37 telbar dem Leiter der verantwortlichen Stelle zu unterstellen. Dies garantiert einen direkten Zugang zu den Verantwortlichen und erhöht die Autorität des Datenschutzbeauftragten gegenüber Mitarbeitern der verantwortlichen Stelle5. Darüber hinaus soll diese exponierte Positionierung des Datenschutzbeauftragten einerseits seine Neutralität verdeutlichen und andererseits sicherstellen, dass Anfragen und Forderungen seinerseits nicht in der Hierarchieleiter der verantwortlichen Stelle „stecken bleiben“6.
1 So auch BAG, NZA 2011, 1036 Rz. 25; Gola/Schomerus, § 4f BDSG Rz. 28. 2 Simitis/Simitis, § 4f BDSG Rz. 110; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 34. 3 Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 1. 4 Allgemein zum Spannungsfeld zwischen den Aufgaben besonders Beauftragter (nicht nur im Datenschutzrecht) und ihrer Abhängigkeit als Arbeitnehmer: Eylert/Sänger, RdA 2010, 24 (37 f.). 5 Vgl. Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 43. 6 So auch Taeger/Gabel/Scheja, § 4f BDSG Rz. 80.
v. d. Bussche
215
BDSG § 4f
Allgemeine und gemeinsame Bestimmungen
2. Weisungsfreiheit 38 In der Ausübung seiner fachlichen Tätigkeit ist der Datenschutzbeauftragte gemäß Abs. 3 Satz 2 weisungsfrei. Die Weisungsfreiheit ist essentielle Voraussetzung für einen kritischen Datenschutzbeauftragten. Er ist also grundsätzlich frei darin zu entscheiden, wann, wo und wie er datenschutzrechtliche Initiativen ergreift, zu einer bestimmten Meinung oder einem bestimmten Ergebnis kann er nicht gezwungen werden1. Die Weisungsfreiheit darf aber nicht mit einer Freiheit von jeglicher Kontrolle gleichgesetzt werden, sondern betrifft nur die fachliche Tätigkeit als solche2. 39 Eine dienstliche Kontrolle bleibt selbstverständlich weiterhin möglich, diese darf sich aber nur auf den äußeren Ablauf der Tätigkeit beziehen, also z.B. die Einhaltung von Arbeitszeiten, Arbeitsverhalten etc. erfassen3. Darüber hinaus trägt die verantwortliche Stelle weiterhin die Verantwortung hinsichtlich der Einhaltung der Datenschutzbestimmungen, mithin darüber, dass der Datenschutzbeauftragte seine Aufgaben korrekt durchführt4. Folglich besteht ein diesbezügliches Anordnungsrecht seitens der verantwortlichen Stelle, sobald sie Kenntnis von einer etwaigen mangelhaften Durchführung seitens des Datenschutzbeauftragten Kenntnis erlangt5. Die Abgrenzung zwischen unzulässiger Weisung und gerechtfertigter Anordnung ist erkennbar problematisch6. 40 Prüfaufträge und Beratungsersuchen seitens der verantwortlichen Stelle werden nicht als Weisungen im Sinne der Norm klassifiziert7. Demnach ist der Datenschutzbeauftragte verpflichtet, ihnen zumindest so lange nachzukommen, wie sie von Dauer und Umfang seine übrigen Tätigkeiten nicht gefährden8.
1 So Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 44. 2 Vgl. Wedde, DuD 2004, 670 (673). 3 Vgl. Bergmann/Möhrle/Herb, § 4f BDSG Rz. 126; Taeger/Gabel/Scheja, § 4f BDSG Rz. 81. 4 Simitis/Simitis, § 4f BDSG Rz. 125. 5 Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 81; Simitis/Simitis, § 4f BDSG Rz. 125. 6 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 47; Simitis/ Simitis, § 4f BDSG Rz. 126. 7 So auch Taeger/Gabel/Scheja, § 4f BDSG Rz. 81; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 46; Gola/Schomerus, § 4f BDSG Rz. 48a. 8 So auch Simitis/Simitis, § 4f BDSG Rz. 124; Däubler/Klebe/Wedde/Weichert/ Däubler, § 4f BDSG Rz. 46.
216 v. d. Bussche
Beauftragter für den Datenschutz
§ 4f BDSG
Im Rahmen seiner umfassenden und freien Prüfungsbefugnis besteht für 41 den Datenschutzbeauftragten allerdings keine Entscheidungskompetenz hinsichtlich der von ihm für erforderlich erachteten Datenschutzmaßnahmen. Diese Entscheidungen obliegen weiterhin der verantwortlichen Stelle1. 3. Benachteiligungsverbot Abs. 3 Satz 3 verbietet es jedermann, den Datenschutzbeauftragten wegen seiner Tätigkeit zu benachteiligen, ihm also z.B. den beruflichen Aufstieg zu verwehren. Umfasst werden sowohl direkte und indirekte Benachteiligungen sowie das Verhalten von Mitarbeitern der verantwortlichen Stelle gegenüber dem Datenschutzbeauftragten2. Ferner genügt die objektive Feststellbarkeit der Benachteiligung; eine vorsätzliche Begehung ist nicht erforderlich3. Außerhalb eklatanter und eindeutig erkennbarer Benachteiligungen wird die praktische Reichweite des Benachteiligungsverbotes allerdings beschränkt sein, denn häufig werden sich sachliche Gründe zumindest vorschieben lassen, die eine vermeintliche Benachteiligung als sachlich gerechtfertigt erscheinen lassen4.
42
Der im Rahmen der BDSG-Novelle 2009 eingeführte Sonderkündigungs- 43 sowie Bestandsschutz des Datenschutzbeauftragten (siehe dazu Rz. 56 f.) hat das Benachteiligungsverbot im Zusammenhang mit Kündigung oder Abberufung nunmehr explizit geregelt und somit dem Anwendungsbereich des generellen Benachteiligungsverbots mehr oder minder entzogen; dieses tritt allenfalls schutzverstärkend neben Abs. 3 Satz 4–65. 4. Unterstützungspflicht des Arbeitgebers Abs. 5 formuliert eine aktive Unterstützungspflicht der verantwortlichen Stelle hinsichtlich der Tätigkeit des Datenschutzbeauftragten. Der Umfang der Pflicht ist gesetzlich nicht konkretisiert und stets individuell und konkret mit Bezug auf die von ihm zu bewältigenden Auf-
1 So auch Gola/Schomerus, § 4f BDSG Rz. 28; Simitis/Simitis, § 4g BDSG Rz. 5; Taeger/Gabel/Scheja, § 4g BDSG Rz. 5. 2 Taeger/Gabel/Scheja, § 4f BDSG Rz. 83. 3 Simitis/Simitis, § 4f BDSG Rz. 138. 4 So Taeger/Gabel/Scheja, § 4f BDSG Rz. 83; Däubler/Klebe/Wedde/Weichert/ Däubler, § 4f BDSG Rz. 50. 5 Vgl. Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 50.
v. d. Bussche
217
44
BDSG § 4f
Allgemeine und gemeinsame Bestimmungen
gaben zu bewerten1. Demnach ist stets das Ausmaß an Unterstützung erforderlich, welches angemessen erscheint, um seine Funktionsfähigkeit in Bezug auf die konkrete Stelle gewährleisten zu können2. Die Entscheidungskompetenz hinsichtlich der Angemessenheit der zu ergreifenden Maßnahmen steht der verantwortlichen Stelle zu3. Sie sollte dabei allerdings auch die Vorstellungen des Datenschutzbeauftragten berücksichtigen und einfließen lassen. Ansonsten besteht die Gefahr, dass dieser von seinem Recht aus § 4g Abs. 1 Satz 2 gebraucht macht und die zuständige Aufsichtsbehörde zur Konsultation heranzieht4. 45 Generell umfasst die Unterstützungspflicht unter anderem, dass der Datenschutzbeauftragte rechtzeitig über alle datenschutzrelevanten Vorhaben innerhalb der Stelle unterrichtet wird, dass die nötigen organisatorisch-betrieblichen Maßnahmen eingeleitet werden, um dessen Arbeit zu erleichtern, sowie dass ihm hinreichende Fortbildungsmöglichkeiten eingeräumt werden5. Die Norm nennt als Regelbeispiele, dass ihm „insbesondere“ die Sachmittel wie Hilfspersonal, Räume, Einrichtungen und Geräte im erforderlichen Umfang zur Verfügung zu stellen sind6. Bei internen Datenschutzbeauftragten, die das Amt nur als Nebentätigkeit bekleiden, kann sich die Unterstützungspflicht auch so äußern, dass der Datenschutzbeauftragte in ausreichendem Umfang von seinen sonstigen Tätigkeiten freigestellt wird, um seine Aufgabe als Datenschützer zu erfüllen. Unter Umständen kann dies auch eine vollständige Freistellung bedeuten7. V. Verschwiegenheitspflicht und Zeugnisverweigerungsrecht 46 Abs. 4 normiert ein Berufsgeheimnis: Der Datenschutzbeauftragte ist verpflichtet, die Identität des Betroffenen und Umstände, die Rückschlüsse auf seine Identität zulassen würden, geheim zu halten. Diese Verschwiegenheitspflicht garantiert, dass sich Betroffene vertrauensvoll
1 Vgl. Simitis/Simitis, § 4f BDSG Rz. 84. 2 Taeger/Gabel/Scheja, § 4f BDSG Rz. 88. 3 So auch Taeger/Gabel/Scheja, § 4f BDSG Rz. 88; Simitis/Simitis, § 4f BDSG Rz. 143; Gola/Schomerus, § 4f BDSG Rz. 55. 4 Simitis/Simitis, § 4f BDSG Rz. 143. 5 Gola/Schomerus, § 4f BDSG Rz. 54. 6 Ausführlich mit konkretisierenden Beispielen: Taeger/Gabel/Scheja, § 4f BDSG Rz. 88 ff. 7 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 55.
218 v. d. Bussche
Beauftragter für den Datenschutz
§ 4f BDSG
an den Datenschutzbeauftragten wenden können1. Die Verschwiegenheitspflicht hat grundsätzlichen Vorrang, selbst wenn die Beseitigung eines Datenschutzverstoßes die Nennung des Betroffenen erfordern würde2. Solange der Betroffene in die Offenbarung nicht eingewilligt hat oder – gemäß § 34 StGB – höherrangige Interessen die Offenbarung erforderlich machen, hat die Beseitigung folglich zu unterbleiben3. Ein Beispiel für solch höherrangige Interessen wäre etwa der Fall, in dem der Datenschutzbeauftragte von einer bevorstehenden Katalogstraftat des § 138 StGB erfährt und die Polizei alarmiert4. Die Identität Nicht-Betroffener, die sich versehentlich an den Datenschutzbeauftragten wenden, fällt ebenfalls unter die Verschwiegenheitspflicht5. Die verantwortliche Stelle hat im Rahmen der ihr obliegenden Unterstützungspflicht gemäß Abs. 5 die nötigen Maßnahmen zu treffen, so dass dem Datenschutzbeauftragten die Einhaltung seiner Verschwiegenheitspflicht ermöglicht wird (z.B. Bereitstellung vertraulicher Real- und Telekommunikationsmöglichkeiten)6. Verletzungen der Verschwiegenheitspflicht können einen Widerrufsgrund i.S.d. § 4f Abs. 3 Satz 4 darstellen sowie zu Schadensersatzansprüchen des Betroffenen führen7. Sofern Daten in den Kontrollbereich des Datenschutzbeauftragten ge- 47 langen, die einem Berufsgeheimnis unterliegen, stellt § 203 Abs. 2a StGB klar, dass dieses auch ihn zur Verschwiegenheit verpflichtet8. Aus diesem Grund besteht für ihn ein (abgeleitetes) Zeugnisverweigerungsrecht in Abs. 4a9. Wenn aber der eigentliche Berufsgeheimnisträger keinen Gebrauch von seinem Zeugnisverweigerungsrecht machen will, so kann sich auch der Datenschutzbeauftragte nicht mehr auf sein abgeleitetes Recht aus Abs. 4a berufen10. Ergänzend besteht ein Beschlagnahmeverbot für die Akten und sonstigen Unterlagen des Datenschutzbeauftragten.
1 Simitis/Simitis, § 4f BDSG Rz. 167; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 51. 2 Simitis/Simitis, § 4f BDSG Rz. 172; Taeger/Gabel/Scheja, § 4f BDSG Rz. 85. 3 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 53; Taeger/ Gabel/Scheja, § 4f BDSG Rz. 85, 86. 4 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 54. 5 Gola/Schomerus, § 4f BDSG Rz. 51. 6 Taeger/Gabel/Scheja, § 4f BDSG Rz. 89. 7 Simitis/Simitis, § 4f BDSG Rz. 173. 8 Bergmann/Möhrle/Herb, § 4f BDSG Rz. 160b. 9 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 54a. 10 Vgl. Gola/Schomerus, § 4f BDSG Rz. 52b.
v. d. Bussche
219
BDSG § 4f
Allgemeine und gemeinsame Bestimmungen
VI. Anrufungsrecht der Betroffenen (Abs. 5 Satz 2) 48 Der Datenschutzbeauftragte fungiert zudem gemäß Abs. 5 Satz 2 als Anlaufstelle für Betroffene (intern und extern der verantwortlichen Stelle) von Datenschutzverletzungen1. Er ist verpflichtet, den Vorwürfen nachzugehen und auf die Einstellung von festgestellten Datenschutzverletzungen hinzuwirken2. In der Praxis wird dadurch die Arbeit des Datenschutzbeauftragten allerdings ebenso erheblich erleichtert, da er so Kenntnis von datenschutzrechtlichen Missständen innerhalb der verantwortlichen Stelle erlangt3. 49 Abzugrenzen hiervon ist das Auskunftsrecht gemäß §§ 19, 34. Hierbei geht es nicht darum einen datenschutzrechtlichen Verstoß zu melden, sondern über das „Ob“ und „Wie“ der Verarbeitung personenbezogener Daten unterrichtet zu werden4. Demnach muss der Betroffene bei der Geltendmachung seines Rechts nach § 4g Abs. 5 Satz 2 bereits von einer Verletzung seiner Rechte bei der Verarbeitung überzeugt sein5. VII. Beendigung der Tätigkeit (Abs. 3) 50 Die Tätigkeit als Datenschutzbeauftragter kann aufgrund folgender Tatbestände beendet werden. 1. Widerruf der Bestellung/Abberufung 51 Der Widerruf der Bestellung kann auf Verlangen der zuständigen Aufsichtsbehörde erfolgen; auch kann die verantwortliche Stelle den Datenschutzbeauftragten bei Vorlage eines „wichtigen Grunds“ i.S.d. § 4f Abs. 3 Satz 4 abberufen.
1 Ausführlich zu den Vorraussetzungen des Anrufungsrechts: Simitis/Simitis, § 4f BDSG Rz. 155 ff. 2 Gola/Schomerus, § 4f BDSG Rz. 57 stellen eine Pflicht des Datenschutzbeauftragten zur Abstellung von Datenschutzverletzungen fest. Dies scheint angesichts des weich formulierten Hinwirkungsauftrages des § 4g Abs. 1 Satz 1 nicht haltbar. 3 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 62. 4 Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 94. 5 Vgl. auch Simitis/Simitis, § 4f BDSG Rz. 159 der eine Verletzung objektiv fordert. Dies erscheint überzogen, da fraglich ist wie der Betroffene dies im Vorfeld ohne Hilfe des Datenschutzbeauftragten feststellen soll.
220 v. d. Bussche
Beauftragter für den Datenschutz
§ 4f BDSG
a) Auf Verlangen der Aufsichtsbehörde Besitzt der Datenschutzbeauftragte die erforderliche Fachkunde und Zu- 52 verlässigkeit nicht oder nicht mehr, kann gemäß § 38 Abs. 5 Satz 3 die Aufsichtsbehörde seine Abberufung verlangen. Hinsichtlich der Einzelheiten sei auf die Kommentierung von § 38 verwiesen. Ein solches Einschreiten ist nur im nicht-öffentlichen Bereich vorgesehen1. Das Verlangen der Behörde berechtigt den Arbeitgeber zum Widerruf der Bestellung2. b) Durch die verantwortliche Stelle Darüber hinaus kann auch die verantwortliche Stelle den Datenschutz- 53 beauftragten gemäß § 4f Abs. 3 Satz 4 „aus wichtigem Grund“ abberufen. Dies gilt dem Wortlaut der Norm nach für sämtliche Datenschutzbeauftragte, unabhängig davon, ob sie ihre Tätigkeit intern oder extern ausüben bzw. aufgrund einer gesetzlichen Pflicht oder freiwillig bestellt wurden3. Aufgrund des Verweises in Abs. 3 Satz 4 auf § 626 BGB müssen für den Widerruf der Bestellung die Voraussetzungen des § 626 BGB vorliegen, d.h. die weitere Tätigkeit als Datenschutzbeauftragter nach Abwägung aller Umstände für die verantwortliche Stelle unzumutbar sein. Unstreitig ist, dass der Widerruf auf Umständen beruhen kann, die unmittelbar mit der Tätigkeit des Datenschutzbeauftragten zusammenhängen4. Als Auslöser kommen demnach Pflichtverletzungen wie Geheimnisverrat, Computerkriminalität, Verstoß gegen Verschwiegenheitsverpflichtungen, nachträgliche Feststellung der mangelnden Fachkunde oder Zuverlässigkeit usw. in Betracht5. Der h.M. nach kann sich darüber hinaus eine Unzumutbarkeit aus Umständen ergeben, die auf dem zugrundeliegenden Arbeitsverhältnis beruhen und so unmittelbar keinen Bezug zur Tätigkeit als Datenschutzbeauftragter haben6; bei1 Vgl. Simitis/Simitis, § 4f BDSG Rz. 192; Däubler/Klebe/Wedde/Weichert/ Däubler, § 4f BDSG Rz. 65. 2 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 66; vgl. auch Bergmann/Möhrle/Herb, § 4f BDSG Rz. 143 die eine Bitte der Aufsichtsbehörde unter Umständen als hinreichend erachten. 3 Vgl. BAG, NZA 2011, 1036 (1039). 4 Simitis/Simitis, § 4f BDSG Rz. 183; Taeger/Gabel/Scheja, § 4f BDSG Rz. 42. 5 Vgl. bezüglich Beispielen Simitis/Simitis, § 4f BDSG Rz. 183; Taeger/Gabel/ Scheja, § 4f BDSG Rz. 42. 6 So auch BAG, NZA 2011, 1036, 1037; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 67; Gola/Schomerus, § 4f BDSG Rz. 38; Gehlhaar, NZA 2010, 373, 377; Dzida/Kröpelin, NZA 2011, 1018, 1020; a.A. Simitis/Simitis, § 4f BDSG Rz. 183; Taeger/Gabel/Scheja, § 4f BDSG Rz. 44; zu den wichtigen
v. d. Bussche
221
BDSG § 4f
Allgemeine und gemeinsame Bestimmungen
spielsweise die Unterschlagung eines größeren Geldbetrags1. Rein wirtschaftliche oder betriebsorganisatorische Gründe allein genügen in der Regel nicht für eine Abberufung, denn sonst könnte der besondere Schutz des Datenschutzbeauftragten zu leicht umgangen werden (Ausnahme siehe Rz. 67)2. So wurde die bloß unternehmerische Entscheidung, die Funktion des Datenschutzbeauftragten nun durch einen externen Dienstleister erfüllen zu lassen, allein als unzureichend erachtet3. Wobei eine solche Entscheidung über das Outsourcing durchaus auf sachlichen Gründen, wie etwa betrieblichen Notsituationen, basieren und folglich als wichtiger Grund anzuerkennen sein kann4. Die Folgen des Widerrufs auf das zugrundeliegende schuldrechtliche Verhältnis sind differenziert zu betrachten (sogleich Rz. 61 f.). 54 Da Abs. 3 Satz 4 auf den gesamten § 626 BGB verweist, ist schließlich auch die Zwei-Wochen Frist einzuhalten5. Demnach muss der Widerruf innerhalb von zwei Wochen nach Kenntnisnahme der Tatsachen, welche den „wichtigen Grund“ ausmachen, erfolgen6. Ein verspäteter Widerruf ist unwirksam. Zum Teil wird für die Wirksamkeit der Abberufung auch verlangt, dass der Datenschutzbeauftragte zuvor angehört wurde7. 55 Aufgrund mangelnder gesetzlicher Regelung ist umstritten, ob der Widerruf der Schriftform bedarf. Teilweise wird dies in einem Umkehrschluss aus dem Schriftformerfordernis der Bestellung des Datenschutzbeauftragten konstatiert8. Anderer Ansicht nach wird aus der mangelnden gesetzlichen Normierung auf einen bewussten Verzicht des Schriftformerfordernisses geschlossen9. Ungeachtet dessen ist ein Widerruf in Schriftform zu Dokumentations- und Beweiszwecken jedenfalls zu empfehlen.
1 2 3 4 5 6 7 8 9
Kündigungsgründen im Allgemeinen siehe Palandt/Weidenkaff, § 626 BGB Rz. 60 ff. Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 67. Ausführlich: LAG Berlin-Brandenburg, MMR 2010, 61 ff. Hierzu BAG, NZA 2011, 1036, Leitsatz. So auch Bongers/Commichau, ArbRAktuell 2010, 139 (140); Gehlhaar, NZA 2010, 373 (374); Dzida/Kröpelin, NZA 2011, 1018 (1020). So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 68; Simitis/ Simitis, § 4f BDSG Rz. 197. Ausführlich: Palandt/Weidenkaff, § 626 BGB Rz. 23. Bergmann/Möhrle/Herb, § 4f BDSG Rz. 147. So Simitis/Simitis, § 4f BDSG Rz. 180; Taeger/Gabel/Scheja, § 4f BDSG Rz. 46. So Gola/Schomerus, § 4f BDSG Rz. 43.
222 v. d. Bussche
§ 4f BDSG
Beauftragter für den Datenschutz
2. Kündigung des zugrundeliegenden Arbeitsverhältnisses Wichtigster Garant der Unabhängigkeit des innerbetrieblichen Daten- 56 schutzbeauftragten ist dessen besonderer Kündigungsschutz. Wer zum Datenschutzbeauftragten bestellt wurde, kann gemäß Abs. 3 Satz 5 nur gekündigt werden, wenn Tatsachen vorliegen, welche zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen würden. Durch Einfügung des Satzes 5 im Jahr 2009 hat der Gesetzgeber die Diskussion darüber beendet, ob sich insbesondere aus dem Benachteiligungsverbot in Abs. 5 Satz 1 ein besonderer Kündigungsschutz für den Datenschutzbeauftragten ergibt1. Inzwischen steht fest: Das Arbeitsverhältnis des intern bestellten Datenschutzbeauftragten ist vor jeder Form der ordentlichen Kündigung geschützt2. Dies befreit den Datenschutzbeauftragten weitgehend von der Befürchtung, dass eine besonders tiefschürfende und kritische Arbeitsweise gegenüber der verantwortlichen Stelle zur Auflösung des Arbeitsvertrages führen könnte. Externe Datenschutzbeauftragte verbleiben weiterhin ordentlich kündbar, da es sich bei der schuldrechtlichen Bindung zur verantwortlichen Stelle nicht um Arbeitsverträge handelt3. Ferner greift der Kündigungsschutz gemäß Abs. 5 ebenso nicht für solche Datenschutzbeauftragte, die bloß freiwillig bestellt worden sind, da sich Abs. 3 Satz 5 ausdrücklich nur auf Fälle einer gesetzlichen Verpflichtung zur Bestellung bezieht4. Es besteht in solchen Fällen allerdings die Möglichkeit, einen entsprechenden Kündigungsschutz individualvertraglich zu vereinbaren5. Die einzig zulässigen Kündigungsgründe gegenüber einem Datenschutzbeauftragten sind somit solche, die eine außerordentliche, fristlose Kündigung rechtfertigen. Es können einer Kündigung, wie der Abberufung, sowohl amtsbezogene als auch sich aus dem eigentlichen Dienstverhältnis ergebende Verfehlungen zu Grunde gelegt werden (siehe entspre-
1 Hierzu Wagner, DuD 2008, 660 ff.; zur Gesetzesnovelle: Schwab/Ehrhard, NZA 2009, 1118 ff. 2 Simitis/Simitis, § 4f BDSG Rz. 185; Gola/Schomerus, § 4f BDSG Rz. 40; dazu auch Däubler, DuD 2010, 20 (22). 3 So auch Gola/Schomerus, § 4f BDSG Rz. 40; Däubler/Klebe/Wedde/Weichert/ Däubler, § 4f BDSG Rz. 70. 4 BT-Drucks. 16/12011, S. 30; so auch Simitis/Simitis, § 4f BDSG Rz. 188; Gehlhaar, NZA 2010, 373. 5 So auch Gehlhaar, NZA 2010, 373; Bongers/Commichau, ArbRAktuell 2010, 139 (140).
v. d. Bussche
223
57
BDSG § 4f
Allgemeine und gemeinsame Bestimmungen
chend Rz. 53)1. Wie bei einem Widerruf der Bestellung ist auch bei der Kündigung des zugrundeliegenden Arbeitsverhältnisses die Zwei-Wochen-Frist des § 626 zu wahren (siehe Rz. 54). Im Unterschied zum Widerruf bedarf die Kündigung allerdings gemäß § 623 BGB zwingend der Schriftform. 58 Abs. 3 Satz 6 dehnt den Kündigungsschutz weiter aus: Demnach darf ein Datenschutzbeauftragter auch innerhalb eines Jahres nach Beendigung seiner Tätigkeit als Datenschutzbeauftragter nicht ordentlich gekündigt werden. Die Ratio ist, dass nach einem Jahr eine eventuell bestehende Verärgerung des Arbeitgebers über den Datenschutzbeauftragten abgeklungen sein wird, er also keine Repressalien mehr für seine vergangene Tätigkeit befürchten muss2. 59 Bei einer Kündigung sind ggf. Mitbestimmungsrechte der Mitarbeitervertretungen zu beachten (§§ 99 f. BetrVG und §§ 77 Abs. 3, 79 BPersVG)3. 3. Das Verhältnis zwischen Widerruf und außerordentlicher Kündigung 60 Die Abberufung als Datenschutzbeauftragter – das ergibt sich auch schon aus Abs. 3 Satz 6 – schlägt nicht automatisch auch auf das evtl. bestehende Arbeitsverhältnis durch. Vielmehr muss geprüft werden, ob auch die generelle Tätigkeit des Angestellten für die verantwortliche Stelle aufgrund der ihm vorgeworfenen Verfehlungen unzumutbar geworden ist, mithin auch im Bezug auf das Schuldverhältnis ein wichtiger Grund i.S.d. § 626 BGB vorliegt4. Vice Versa ist klärungsbedürftig, inwiefern sich eine außerordentliche Kündigung des Arbeitsvertrags auf das Amtsverhältnis als Datenschutzbeauftragter auswirkt. Unabhängig ist in jedem Fall neben dem Widerruf der Bestellung als Datenschutzbeauftragter zusätzlich eine außerordentliche Kündigung auszusprechen5, da es sich
1 Zum Streitstand: Gehlhaar, NZA 2010, 373 m.w.N.; so auch Däubler/Klebe/ Wedde/Weichert/Däubler, § 4f BDSG Rz. 71; Dzida/Kröpelin, NZA 2011, 1018, 1020; a.A. Taeger/Gabel/Scheja, § 4f BDSG Rz. 44; zu den wichtigen Kündigungsgründen im Allgemeinen s. Palandt/Weidenkaff, § 626 BGB Rz. 60 ff. 2 Däubler, DuD 2010, 20 (23). 3 Taeger/Gabel/Scheja, § 4f BDSG Rz. 45. 4 Simitis/Simitis, § 4f BDSG Rz. 186. 5 BAG, NJW 2007, 2507 (2509) Rz. 29; zum Ganzen Gola/Schomerus, § 4f BDSG Rz. 38 ff.
224 v. d. Bussche
Beauftragter für den Datenschutz
§ 4f BDSG
um zwei verschiedene Rechtsverhältnisse handelt1. Unbedingt zu beachten ist dabei, dass beide Verhältnisse innerhalb der Zwei-WochenFrist des § 626 BGB gekündigt bzw. widerrufen werden (siehe Rz. 54, 57). Eine verspätete Erklärung führt nämlich zur Unzulässigkeit der Kündigung bzw. des Widerrufs. Im Falle eines Widerrufs der Bestellung ist regelmäßig von einer simul- 61 tanen Unzumutbarkeit am Festhalten des Dienstverhältnisses auszugehen, wenn die Ausübung des Datenschutzmandats die primäre Tätigkeit des Arbeitnehmers war2. In einem solchen Fall ist dies als logische Konsequenz aus den schwerwiegenden Verfehlungen im Bezug auf die Haupttätigkeit als Datenschutzbeauftragter anzusehen3. Aufgrund des Ultima-Ratio-Charakters einer Beendigungskündigung ist eine Änderungskündigung unter Zuweisung eines neuen Tätigkeitsfelds allerdings nicht gänzlich ausgeschlossen4. Sofern das Arbeitsverhältnis aus amtsbezogenen Gründen wirksam gekündigt wird, stellt dies gleichzeitig einen Abberufungsgrund nach § 4f Abs. 3 Satz 4 dar. Bei einem externen Beauftragten endet das zugrunde liegende Schuldverhältnis mit dem Widerruf. Da das Schuldverhältnis nur geschlossen wurde, um die Bestellung des Datenschutzbeauftragten zu ermöglichen, entfällt mit dem rechtmäßigen Widerruf der Bestellung die rechtliche Grundlage des zugrundeliegenden Vertrags5. Problematisch und bisweilen ungeklärt gestaltet sich die umgekehrte 62 Konstellation, dass das Arbeitsverhältnis wirksam gekündigt wurde, der Umstand, aufgrund dessen allerdings die Kündigung erfolgte, keinen wichtigen Grund hinsichtlich der Abberufung aus dem Amt des Datenschutzbeauftragten gemäß § 4f Abs. 3 Satz 4 darstellt. Dies wäre, zumindest theoretisch, dann möglich, wenn der Kündigungsgrund sich aus dem Arbeitsverhältnis ergeben würde, derjenige das Amt des Datenschutzbeauftragten trotzdem weiterhin fehlerfrei und zuverlässig ausüben könnte. In der Praxis wird in solchen Fällen in der Regel davon auszugehen sein, dass gleichermaßen an der Zuverlässigkeit im Hin1 Das BAG geht davon aus, dass das Arbeitsverhältnis und die Bestellung des Datenschutzbeauftragten miteinander verknüpft sei, BAG v. 13.3.2007 – 9 AZR 612/05, NJW 2007, 2507 (2509) Rz. 29; ebenso Eylert/Sänger, RdA 2010, 24 (38); kritisch zur dogmatischen Konstruktion des BAG: Liedtke, NZA-RR 2008, 505 ff.; Gehlhaar, NZA 2010, 373 (375). 2 Im Ergebnis auch Bongers/Commichau, ArbRAktuell 2010, 139 (140). 3 So auch Taeger/Gabel/Scheja, § 4f BDSG Rz. 42. 4 Taeger/Gabel/Scheja, § 4f BDSG Rz. 42. 5 So auch Simitis/Simitis, § 4f BDSG Rz. 191; Taeger/Gabel/Scheja, § 4f BDSG Rz. 50.
v. d. Bussche
225
BDSG § 4f
Allgemeine und gemeinsame Bestimmungen
blick auf das Amt des Datenschutzbeauftragten nach § 4f Abs. 2 Satz 1 erhebliche Zweifel bestehen werden; mithin eine Abberufung gemäß § 4f Abs. 3 Satz 4 gerechtfertigt wäre1. Wenn man nun dennoch den theoretischen Fall annimmt, wäre die Konsequenz, dass der gekündigte Arbeitnehmer weiterhin das Amt des Datenschutzbeauftragten bekleiden würde, ohne dass ein rechtlicher Rahmen für diese Tätigkeiten in Form eines Vertrags bestünde2, sondern allenfalls ein faktisches Rechtsverhältnis3. Prominent und äußerst praxisrelevant gestaltet sich diese Konstellation allerdings in den Fällen (i) eines externen sowie (ii) internen, jedoch freiwillig bestellten, Datenschutzbeauftragten: Wie bereits dargestellt, unterliegt das zugrunde liegende Vertragsverhältnis nicht dem Sonderkündigungsschutz des Abs. 3 Satz 5 und kann somit weiterhin ordentlich gekündigt werden (siehe Rz. 56). Das Amtsverhältnis unterliegt allerdings weiterhin dem Abberufungsschutz gemäß Abs. 3 Satz 4 und ist somit an das Vorliegen eines „wichtigen Grunds“ gebunden. Dieser Tatbestand ergibt sich im Übrigen auch wenn ein befristeter Arbeitsvertrag bzw. sonstiger Dienstvertrag mit einem externen Beauftragten ausläuft (zur Zulässigkeit siehe bereits Rz. 19). 63 Eine mögliche und überzeugende Lösung ist, dass der Umstand, dass kein vertragliches Grundverhältnis zwischen den Parteien mehr bestehe, selbst einen wichtigen Grund zur Abberufung des Datenschutzbeauftragten darstellt4. Diese Ansicht wurde auch vom BAG als möglich erachtet5. Im Falle von internen Datenschutzbeauftragten ist dieser Ansicht zuzustimmen. Falls eine gesetzliche Pflicht zur Bestellung nach Abs. 1 bestand, so ist der Beauftragte durch den Sonderkündigungsschutz gemäß Abs. 3 Satz 5 hinreichend geschützt. Sofern die Weiterbeschäftigung für den Arbeitgeber objektiv unzumutbar i.S.d. § 626 BGB ist, ist nicht ersichtlich, warum er weiterhin gezwungen sein sollte, denjenigen weiter als Datenschutzbeauftragten einzusetzen. Der Arbeitnehmer kann die Wirksamkeit der Kündigung gerichtlich feststellen lassen. So kann der Gefahr eines unzulässigen Widerrufs entgegnet werden6. Im Falle einer freiwilligen Bestellung eines internen Beauftragten ist zu beachten, dass sich der deutsche Gesetzgeber bewusst gegen einen
1 2 3 4
Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 44. Vgl. Wagner, DuD 2008, 660 ff. Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 72. So auch Gehlhaar, NZA 2010, 373, (377); Dzida/Kröpelin, NZA 2011, 1018 (1020); a.A. Simitis/Simitis, § 4f BDSG Rz. 183. 5 BAG, NZA 2011, 1036 (1037). 6 Dzida/Kröpelin, NZA 2011, 1018 (1020).
226 v. d. Bussche
§ 4f BDSG
Beauftragter für den Datenschutz
Sonderkündigungsschutz entschieden hat1. Demnach wäre auch nicht nachvollziehbar, wenn die verantwortliche Stelle den wirksam gekündigten Beauftragten in dem Amtsverhältnis weiterhin einsetzen müsste, obwohl noch nicht einmal eine Pflicht zur ursprünglichen Bestellung bestand2. Die Intention des Gesetzgebers durch den Verzicht auf den Sonderkündigungsschutz, Anreize für nicht bestellungspflichtige Stellen zu schaffen, würde sonst fehlgehen3. Im Falle externer Beauftragter stellt sich das Problem, dass durch die Möglichkeit einer ordnungsgemäßen Kündigung des schuldrechtlichen Verhältnisses, sich ein „wichtiger Grund“ i.S.d. § 626 BGB zur Abberufung aus dem Amt des Datenschutzbeauftragten quasi „kreieren“ lässt. Um die Unabhängigkeit des externen Beauftragten dennoch zu wahren, wird eine großzügig bemessene befristete Kündbarkeit (zumindest sechs Monate zum Quartalsende) des schuldrechtlichen Vertrags vorgeschlagen4. Nichtsdestotrotz verbleibt die Wirksamkeit einer Abberufung bzw. Kündigung unter Berücksichtigung aller Umstände und sich gegenüber stehender Interesse zu bewerten, vgl. § 626 BGB. Demnach ist jeweils auf die konkreten Umstände des Einzelfalls abzustellen. Weiterhin verbleibt es abzuwarten, wie sich die Rechtsprechung zukünftig zu diesem Thema verhalten wird. Übt der Arbeitnehmer die Funktion als Datenschutzbeauftragter nur als 64 Nebentätigkeit aus, ist für die Beendigung des zugrunde liegenden Arbeitsverhältnisses zu unterscheiden, ob der wichtige Grund im Zusammenhang mit seiner Nebentätigkeit als Datenschutzbeauftragter oder mit seiner primären Tätigkeit als Arbeitnehmer begründet liegt. Im ersten Fall sind zwar die Voraussetzungen für einen Widerruf der Bestellung gegeben, solange diese allerdings nicht auf das zugrunde liegende Arbeitsverhältnis durchschlagen, ist dem Arbeitgeber ein Festhalten am Arbeitsvertrag weiterhin zumutbar und dem Arbeitnehmer lediglich das Amt des Datenschutzbeauftragten zu entziehen5. Eine Änderungskündigung zur Beendigung der Tätigkeit als Datenschutzbeauftragter ist dennoch zu erklären6. Sofern die Änderung des Arbeitsvertrags bei der Bestellung nur konkludent vereinbart wurde (siehe dazu Rz. 22), bedarf es dagegen keiner Teilkündigung, da die Tätigkeit als Datenschutzbeauftragter durch den wirksamen Widerruf nicht mehr Bestandteil der ge-
1 2 3 4 5 6
BT-Drucks. 16/12011, S. 30. Vgl auch Simitis/Simitis, § 4f BDSG Rz. 188. Vgl. BT-Drucks. 16/12011, S. 30. Taeger/Gabel/Scheja, § 4f BDSG Rz. 50. So auch Bongers/Commichau, ArbRAktuell 2010, 139 (140). Gola/Schomerus, § 4f BDSG Rz. 40.
v. d. Bussche
227
BDSG § 4f
Allgemeine und gemeinsame Bestimmungen
schuldeten Arbeitsleistung ist1. Die Möglichkeit dieser Konstellation, nämlich des Fortbestehens des restlichen Arbeitsverhältnisses, setzt Abs. 3 Satz 6 voraus2. Verstößt der Arbeitnehmer andererseits schwer gegen eine Primärpflicht seines Arbeitsvertrages, ohne zugleich auch seine Pflichten als Datenschutzbeauftragter zu verletzen, ist es dem Arbeitgeber grundsätzlich weiterhin zumutbar, den Arbeitnehmer quasi als Teilzeit-Datenschutzbeauftragten weiter zu beschäftigen und nur eine entsprechende Änderungskündigung auszusprechen3. Ob die Pflichtverletzung so schwer wiegt, dass sie ebenfalls als „wichtiger Grund“ in Bezug auf das jeweils andere Verhältnis (restliches Dienstverhältnis bzw. Amtsverhältnis als Datenschutzbeauftragter) zu klassifizieren ist, ist eine Frage des Einzelfalls, aber durchaus möglich4. Unabhängig davon sind auch hier wieder der Widerruf der Bestellung als Datenschutzbeauftragter und die Kündigung des Arbeitsvertrags isoliert zu erklären. 4. Sonstige Beendigungstatbestände 65 Der Datenschutzbeauftragte selbst ist dazu befugt, jederzeit sein Amt niederzulegen5. Dem werden allenfalls vertragliche Grenzen gesetzt, etwa wenn sich der Beauftragte zur Ausübung des Amtes für eine gewisse Zeit verpflichtet hat6. Dadurch wird er allerdings lediglich vertragsbrüchig und ggf. schadensersatzpflichtig. Eine Erzwingbarkeit der Erfüllung der Pflicht scheidet aufgrund der Wertung in § 613 BGB i.V.m. § 888 Abs. 3 ZPO aus7. 66 Des Weiteren kann die Beendigung einvernehmlich zwischen dem Beauftragten und der verantwortlichen Stelle per Aufhebungsvertrag vereinbart werden8. 67 Das Mandat des Datenschutzbeauftragten endet auch, wenn die Bestellpflicht des Abs. 1 für die verantwortliche Stelle wegfällt. Dies kann beispielsweise durch Absinken der Anzahl der mit der Datenverarbei1 BAG, NZA 2011, 1036 Rz. 25. 2 Vgl. BT-Drucks. 16/12011, S. 30; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 73a. 3 Gola/Schomerus, § 4f BDSG Rz. 39. 4 So auch Taeger/Gabel/Scheja, § 4f BDSG Rz. 42; Gola/Schomerus, § 4f BDSG Rz. 42; BAG, NZA 2011, 1036 Rz. 15. 5 Simitis/Simitis, § 4f BDSG Rz. 179; Bergmann/Möhrle/Herb, § 4f BDSG Rz. 66. 6 Taeger/Gabel/Scheja, § 4f BDSG Rz. 54. 7 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 63. 8 Taeger/Gabel/Scheja, § 4f BDSG Rz. 54.
228 v. d. Bussche
Beauftragter für den Datenschutz
§ 4f BDSG
tung beschäftigten Personen unter das gesetzliche Mindestmaß im Betrieb bedingt sein. Regelmäßig problematisch ist dabei die Festlegung des Zeitpunkts, in dem die Bestellpflicht entfällt1. Weiterhin muss es sich um eine dauerhafte Absenkung und nicht um lediglich eine vorübergehende Schwankung handeln. Die Grundlage für die Bestellpflicht entfällt außerdem, wenn die Stelle des Datenschutzbeauftragten faktisch wegfällt, etwa durch eine Betriebsstilllegung oder eine Fusion2. Uneinigkeit besteht darüber, ob dennoch der Widerruf der Bestellung erklärt werden muss3. Der Wegfall der Stelle ist jedenfalls als „wichtiger Grund“ i.S.d. § 4f Abs. 3 Satz 4 anerkannt4. Demnach ist grundsätzlich zu empfehlen die Bestellung zu widerrufen, insbesondere im Hinblick auf externe Datenschutzbeauftragte, um die Möglichkeit etwaig weiterbestehender vertraglicher Bindungen zu vermeiden (siehe auch Rz. 62 f.)5. VIII. Rechtsfolgen fehlerhafter oder unterlassener Bestellung Die fehlerhafte oder unterlassene Bestellung ist eine Ordnungswidrigkeit (§ 43 Abs. 1 Nr. 2), die mit einem Bußgeld von bis zu 50 000 Euro geahndet werden kann (§ 43 Abs. 3 Satz 1).
68
Eine Bestellung eines Datenschutzbeauftragten, der die geforderte Fachkunde (oben Rz. 28) oder Zuverlässigkeit (oben Rz. 30) nicht aufweist, steht dem Fall gleich, dass überhaupt kein Datenschutzbeauftragter bestellt wird (siehe Rz. 68)6.
69
1 Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 64. 2 BAG, NJW 2011, 476 (477); Simitis/Simitis, § 4f BDSG Rz. 200; ferner Bongers, BB 2011, 638 (639); ausführlich zum Wegfall der Stelle des Datenschutzbeauftragten bei Fusionen Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 77 f. 3 Bejahend LAG Berlin-Brandenburg v. 28.5.2009 – 5 Sa 425/09, 5 Sa 434/09 u.a., RDV 2009, 284, II. 2.1; Däubler/Klebe/Wedde/Weichert/Däubler, § 4f BDSG Rz. 64; Gehlhaar, NZW 2010, 373 (374); Taeger/Gabel/Scheja, § 4f BDSG Rz. 53; a.A. BAG, NJW 2011, 476 (477); Simitis/Simitis, § 4f BDSG Rz. 200. 4 LAG Berlin-Brandenburg 28.5.2009 – 5 Sa 425/09, 5 Sa 434/09 u.a., RDV 2009, 284, II. 2.1; Gehlhaar, NZW 2010, 373 (374). 5 Vgl. Taeger/Gabel/Scheja, § 4f BDSG Rz. 53. 6 Bergmann/Möhrle/Herb, § 4f BDSG Rz. 185; Däubler/Klebe/Wedde/Weichert/ Däubler, § 4f BDSG Rz. 35.
v. d. Bussche
229
BDSG § 4g
Allgemeine und gemeinsame Bestimmungen
Aufgaben des Beauftragten für den Datenschutz (1) 1Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. 2Zu diesem Zweck kann sich der Beauftragte für den Datenschutz in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden. 3Er kann die Beratung nach § 38 Abs. 1 Satz 2 in Anspruch nehmen. 4Er hat insbesondere 1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten, 2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.
4g
(2) 1Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. 2Der Beauftragte für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar. (2a) Soweit bei einer nichtöffentlichen Stelle keine Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz besteht, hat der Leiter der nichtöffentlichen Stelle die Erfüllung der Aufgaben nach den Absätzen 1 und 2 in anderer Weise sicherzustellen. (3) 1Auf die in § 6 Abs. 2 Satz 4 genannten Behörden findet Absatz 2 Satz 2 keine Anwendung. 2Absatz 1 Satz 2 findet mit der Maßgabe Anwendung, dass der behördliche Beauftragte für den Datenschutz das Benehmen mit dem Behördenleiter herstellt; bei Unstimmigkeiten zwischen dem behördlichen Beauftragten für den Datenschutz und dem Behördenleiter entscheidet die oberste Bundesbehörde. I. Überblick . . . . . . . . . . . . . . . . . II. Aufgaben des Datenschutzbeauftragten . . . . . . . . . . . . . . . 1. Allgemeine Hinwirkungspflicht (Abs. 1 Satz 1) . . . . . . .
230 v. d. Bussche
1 6 7
2. Kodifizierte Konkretisierungen der Hinwirkungspflicht in § 4g . . . . . . . . . . . . . . . . . . . . 12 a) Programmüberwachung (Abs. 1 Satz 4 Nr. 1) . . . . . . . 13
Aufgaben des Beauftragten für den Datenschutz
3. 4. 5. 6.
b) Schulungs- und Fortbildungsfunktion (Abs. 1 Satz 4 Nr. 2) . . . . . . . . . . . . . c) Verfahrensverzeichnis/ Publizität (Abs. 2) . . . . . . . . Durchführung der Vorabkontrolle (§ 4d Abs. 5, 6) . . . . . . . . Tätigkeitsbericht . . . . . . . . . . . Übertragung sonstiger Aufgaben . . . . . . . . . . . . . . . . . Verhältnis zwischen Datenschutzbeauftragtem und Mitarbeitervertretungen (evtl. Kompetenzbeschränkung) . . .
17 20 25 26 27
28
III. Aufgabenerfüllung durch Stellenleiter . . . . . . . . . . . . . . . 34
§ 4g BDSG
IV. Rechtsfolgen bei Missachtung des Datenschutzbeauftragten . . . . . . . . . . . . . . . 35 1. Allgemeines . . . . . . . . . . . . . . . 35 2. Einschaltung der Aufsichtsbehörde . . . . . . . . . . . . . . . . . . . 36 V. Exkurs: Haftung des Datenschutzbeauftragen . . . . . . . . . . 43 1. Ansprüche der Betroffenen . . . 44 2. Ansprüche der verantwortlichen Stelle . . . . . . . . . . . . . . . 49 VI. Exkurs: Strafrechtliche Verantwortlichkeit des Datenschutzbeauftragten . . . . . . . . . 54
Schrifttum: Siehe die Literaturangaben bei § 4f; ferner Aßmus, Kontrolle des Betriebsrats durch den betrieblichen Datenschutzbeauftragten?, ZD 2011, 27; Barton, „Beihilfe durch Unterlassen?“, RDV 2010, 247; Bitkom (Hrsg.), Verfahrensverzeichnis und Verarbeitungsübersicht nach BDSG, Version 2.0, 2007; Engelien-Schulz, Die Hinwirkungsaufgabe des behördlichen Datenschutzbeauftragten nach § 4g Abs 1 BDSG, VR 2006, 412; Gola/Klug, Neuregelung zur Bestellung betrieblicher Datenschutzbeauftrager, NJW 2007, 118; Kaufmann, Die Neuregelungen zum betrieblichen Datenschutzbeauftragten, MMR 2006, XIV, Kiesche/Wilke, Gemeinsam handeln! – Zur Zusammenarbeit von Datenschutzbeauftragtem und Betriebsrat, dbr 2010, Nr. 11, 24; Weniger, Das Verfahrensverzeichnis als Mittel datenschutzkonformer Unternehmensorganisation, RDV 2005, 153.
I. Überblick § 4g regelt die Aufgaben des Datenschutzbeauftragten nicht abschließend. Dies wird zum einen durch die nur regelhafte Aufzählung des § 4g Abs. 1 Satz 4 („insbesondere“) indiziert. Zum anderen normiert das BDSG auch an anderen Stellen Pflichten des Datenschutzbeauftragten. Er hat zum Beispiel den Betroffenen gemäß § 4f Abs. 5 Satz 2 anzuhören und dessen Anliegen nachzugehen (siehe dazu § 4f Rz. 48). Ebenso unterliegt der Datenschutzbeauftragte der Pflicht zur Vorabkontrolle i.S.d. § 4d Abs. 6 Satz 1 (siehe dazu § 4d Rz. 15 ff.).
1
Nach Abs. 1 Satz 1 ist es Aufgabe des Datenschutzbeauftragten, auf die 2 Einhaltung des BDSG und anderer datenschutzrechtlicher Vorschriften hinzuwirken. Beispielhafte Konkretisierungen dieser Pflicht folgen in Satz 3. Abs. 2 regelt die interne Verarbeitungsübersicht sowie die Sicherstellung der Veröffentlichung des externen Verfahrensverzeichnisses. v. d. Bussche
231
BDSG § 4g
Allgemeine und gemeinsame Bestimmungen
3 Von signifikanter Bedeutung ist Abs. 1 Satz 2, welcher die Zusammenarbeit des Datenschutzbeauftragten mit der zuständigen Aufsichtsbehörde normiert. Sie anzurufen stellt das „schärfste Schwert“ des Datenschutzbeauftragten dar, da ihm sonst keinerlei Anordnungsbefugnisse gegenüber der verantwortlichen Stelle zustehen und seine Funktion im Übrigen auf Beratung beschränkt ist1. 4 Durch den neu eingeführten Abs. 2a2 wird der Leiter einer nicht-öffentlichen Stelle verpflichtet, die Erfüllung der Aufgaben der Abs. 1 und 2 auf „andere Weise“ sicherzustellen, sofern für diejenige Stelle keine Bestellpflicht gemäß Abs. 1 besteht. 5 Abs. 3 formuliert Sonderregelungen für den öffentlichen Bereich. Konkret wird in Satz 1 der Publizitätsgrundsatz des Verfahrensverzeichnisses gemäß Abs. 2 Satz 2 eingeschränkt; in Satz 2 folgt zudem eine Regelung hinsichtlich des Verhältnisses zwischen Datenschutzbeauftragtem und Behördenleiter. II. Aufgaben des Datenschutzbeauftragten 6 Das Aufgabenspektrum des Datenschutzbeauftragten wird nur unvollständig in § 4g umrissen. Dieser statuiert in Abs. 1 Satz 1 die allgemeine Hinwirkungspflicht, gefolgt von einzelverbrieften Konkretisierungen in Abs. 1 Satz 4 und Abs. 2, welche als nicht abschließende Regelbeispiele formuliert sind. Des Weiteren ist er zur Durchführung der Vorabkontrolle bestimmter automatisierter Datenverarbeitungsvorhaben gemäß § 4d Abs. 5, 6 verpflichtet. Weitere Pflichten können dem Datenschutzbeauftragten im Einzelfall individualvertraglich übertragen werden. 1. Allgemeine Hinwirkungspflicht (Abs. 1 Satz 1) 7 Nach Abs. 1 Satz 1 ist es die Aufgabe des Datenschutzbeauftragten, auf die Einhaltung des BDSG und anderer datenschutzrechtlicher Vorschriften hinzuwirken. Anders als noch im Rahmen des BDSG 90 ist dem Datenschutzbeauftragten nicht länger die „Sicherstellung“ der Einhaltung datenschutzrechtlicher Vorschriften aufgetragen, Abs. 1 Satz 1 ist nicht als dahingehende Pflicht des Datenschutzbeauftragten zu verstehen.
1 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 4. 2 Eingefügt durch das „Erste Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft, in Kraft getreten am 26.8.2006, BGBl. I, S. 1970/1971.
232 v. d. Bussche
Aufgaben des Beauftragten für den Datenschutz
§ 4g BDSG
Denn de lege lata obliegt diese Pflicht nun der verantwortlichen Stelle1. Der Datenschutzbeauftragte hat beratende und analysierende Funktion. Es fehlt ihm die Kompetenz, der verantwortlichen Stelle konkrete Handlungspflichten aufzuerlegen2. Somit würde eine Verpflichtung zur Sicherstellung der Wahrung sämtlicher datenschutzrechtlicher Standards ohnehin leerlaufen3. Der Datenschutzbeauftragte kann und soll lediglich Hinweise geben, wie der Datenschutz besser umzusetzen bzw. wie die Rechtskonformität in Bezug auf Datenschutz und Datensicherheit herzustellen ist. Seine Hauptaufgaben sind die Kontrolle und Beratung der gesamten ver- 8 arbeitenden Stelle4. Abhängig von der Größe, der Anzahl der Mitarbeiter und der Art und des Umfangs der verarbeitenden Daten variieren Art und Umfang der Aufgabe. Daher kann es unter Umständen sinnvoll sein, ein externes Unternehmen als Datenschutzbeauftragten einzusetzen (zur Frage, ob auch juristische Personen als Datenschutzbeauftragte in Betracht kommen, siehe § 4f Rz. 26). Die Beratungs- und Kontrollfunktion bezieht sich auf jeglichen Umgang mit personenbezogenen Daten. Obwohl ein Fokus auf der automatischen Datenverarbeitung liegt (vgl. Abs. 1 Satz 4 Nr. 1), wird der Datenschutzbeauftragte auch beim Umgang mit nicht automatisierten Dateien (z.B. der Umgang mit analogen Personalakten) beratend und kontrollierend tätig5. Hinzukommend unterliegen auch die technischen und organisatorischen Maßnahmen zur Etablierung einer angemessen Datensicherheit seiner Prüfungsobliegenheit6. Seiner Beratungsfunktion kann der Datenschutzbeauftragte darüber hinaus dadurch gerecht werden, dass er unternehmensinterne Datenschutzrichtlinien in Form von Betriebs- oder Dienstvereinbarungen entwickelt, die zur Verbesserung von Datenschutz und -sicherheit beitragen können7. 1 Taeger/Gabel/Scheja, § 4g BDSG Rz. 5; Simitis/Simitis, § 4g BDSG Rz. 29. 2 Gola/Schomerus, § 4g BDSG Rz. 2; Schaffland/Wiltfang, § 4g BDSG Rz. 4; Taeger/Gabel/Scheja, § 4g BDSG Rz. 5. 3 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 5. 4 In der Unternehmenspraxis kommen den betrieblichen Datenschutzbeauftragten oft auch repräsentative sowie Funktionen eines Vertreters zu, die seinen Aufgabenkreis jedoch unzulässigerweise erweitern, siehe Dorn, DSB 10/2009, 9 ff.; explizit zu den Aufgaben behördlicher Datenschutzbeauftragter siehe Engelien-Schulz, VR 2006, 412 (414 ff.). 5 Simitis/Simitis, § 4g BDSG Rz. 38; Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 7. 6 Taeger/Gabel/Scheja, § 4g BDSG Rz. 7; Roßnagel/Königshofen, Handbuch Datenschutzrecht, Kap. 5.5 Rz. 52. 7 Vgl. auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 14.
v. d. Bussche
233
BDSG § 4g
Allgemeine und gemeinsame Bestimmungen
9 Die Kontrolle der rechtskonformen Übermittlung von Daten ins Ausland gemäß den Vorgaben der §§ 4b und c1 sowie der Einhaltung datenschutzrechtlicher Vorschriften beim Auftragsdatenverarbeiter (i.S.d. § 11) fällt ebenfalls in den Kompetenzbereich des Datenschutzbeauftragten2. Zu beachten ist dabei, dass sich zwar aus § 11 Abs. 2 Satz 4 die Pflicht des Auftraggebers ergibt, den Auftragsdatenverarbeiter und dessen Umgang mit den personenbezogenen Daten regelmäßig zu kontrollieren, allerdings beinhaltet das BDSG keine dahingehende Duldungspflicht des Auftragsdatenverarbeiters3. Ein entsprechendes Recht zur Kontrolle sollte daher regelmäßig zwischen Auftraggeber und Auftragsdatenverarbeiter individualvertraglich vereinbart werden (ausführlich unter § 11 Rz. 108). Ungeachtet dessen, ist der Datenschutzbeauftragte bei der Auswahl des Auftragsdatenverarbeiters sowie bei der Formulierung der entsprechenden Weisungen an diesen (vgl. § 11 Abs. 3) zu konsultieren4. 10 Seine Kontrollpflicht bezieht sich auf die Einhaltung des BDSG und anderer Vorschriften. Mit anderen Vorschriften sind nur solche gemeint, die den Datenschutz und die Datensicherheit betreffen. Das umfasst beispielsweise die Kontrolle der Einhaltung der §§ 91 ff. TKG, der §§ 67 ff. SGB X oder auch einer solchen Videobeobachtung, die nicht von § 6b erfasst ist5. Bei der Verarbeitung von Personaldaten ist von ihm auch zu überwachen, ob etwaige Mitbestimmungsrechte der Mitarbeitervertretungen (Betriebs- und Personalrat) beachtet wurden, da bei Verstößen die jeweilige Datenverarbeitung unzulässig wäre6. 11 Der Datenschutzbeauftragte ist nicht verpflichtet, seine Kontrollen vorher anzumelden7. Sein Recht zu unangemeldeten Kontrollen dient vielmehr einer verbesserten Überprüfung und ermöglicht das Erkennen von Gesetzeswidrigkeiten gerade auch beim täglichen Umgang mit personenbezogenen Daten im Tagesgeschäft. 1 Simitis/Simitis, § 4g BDSG Rz. 32. 2 Gola/Schomerus, § 11 BDSG Rz. 21a; Taeger/Gabel/Scheja, § 11 BDSG Rz. 33; Simitis/Simitis, § 4g BDSG Rz. 39. 3 Gola/Schomerus, § 11 BDSG Rz. 21a; vgl. auch Simitis/Simitis, § 4g BDSG Rz. 39. 4 Simitis/Simitis, § 4g BDSG Rz. 39; Taeger/Gabel/Scheja, § 11 BDSG Rz. 33; Gola/Schomerus, § 11 BDSG Rz. 21a. 5 Gola/Schomerus, § 4g BDSG Rz. 4; Simitis/Simitis, § 4g BDSG Rz. 31. 6 Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 7; Taeger/Gabel/Scheja, § 11 BDSG Rz. 8. 7 Simitis/Simitis, § 4g BDSG Rz. 48; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 30; Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 13.
234 v. d. Bussche
Aufgaben des Beauftragten für den Datenschutz
§ 4g BDSG
2. Kodifizierte Konkretisierungen der Hinwirkungspflicht in § 4g Wie bereits eingangs erwähnt, ist die Aufzählung der Aufgaben des Datenschutzbeauftragten in Abs. 1 Satz 4 und Abs. 2 nicht abschließend zu begreifen, sowie bewusst allgemein gehalten1. Manifestiert darin ist einmal mehr der Leitgedanke, dass sich die Anforderungen an das Amt des Datenschutzbeauftragten nicht allgemeingültig abstrahieren lassen. Diese weitgefächerte Bandbreite an möglichen Prüfungsobliegenheiten gebietet vielmehr, dass das Anforderungsprofil an sein Mandat jeweils konkret an den Gegebenheiten der jeweiligen verantwortlichen Stelle zu bemessen ist (hierzu auch § 4f Rz. 27 ff.). Die Konkretisierungen des § 4g bilden somit lediglich die „Mindestausrüstung“ des Beauftragten, die ihm seine Aufgabenerfüllung ermöglichen sollen2.
12
a) Programmüberwachung (Abs. 1 Satz 4 Nr. 1) Abs. 1 Satz 4 Nr. 1, 1. Halbs. konkretisiert die Aufgabe des Datenschutz- 13 beauftragten dahingehend, dass er die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, welche personenbezogene Daten verarbeiten, überwachen soll. Der Begriff umfasst sämtliche Programme, mit denen personbezogene Daten unter Einsatz von Datenverarbeitungsanlagen erhoben, verarbeitet und genutzt werden können3. Damit fällt auch schon das Öffnen einer Datei, welche personenbezogene Daten enthält, mittels eines Textverarbeitungsprogramms in seinen Kompetenzbereich4. Die Überwachungspflicht bezieht sich nicht nur auf den ordnungsgemäßen und rechtskonformen Umgang mit der Datenverarbeitungssoftware, sondern auch auf die Software selber5. Diese muss den Standards des Datenschutzes entsprechen und somit eine datenschutzrechtlich konforme Verarbeitung ermöglichen6. Insbesondere sind auch die Grundsätze der Datenvermeidung und Datensparsamkeit (§ 3a) sowie die Maßgabe besonderer Verfahren nach §§ 6a–c zu beachten7. Das Zeitalter der Konvergenz und die daraus resultierende Schnelllebigkeit in technischer und datenschutzrechtlicher Hinsicht macht ei1 2 3 4 5
Simitis/Simitis, § 4g BDSG Rz. 2. Gola/Schomerus, § 49 BDSG Rz. 7. Definition siehe § 3 Abs. 2 Satz 1. Taeger/Gabel/Scheja, § 4g BDSG Rz. 11. Simitis/Simitis, § 4g BDSG Rz. 43; ausführlich zur Zertifizierung und Überprüfung von Software und IT-Produkten siehe Münch, RDV 2003, 223 ff. 6 Bergmann/Möhrle/Herb, § 4g BDSG Rz. 27; Simitis/Simitis, § 4g BDSG Rz. 48. 7 Taeger/Gabel/Scheja, § 4g BDSG Rz. 12.
v. d. Bussche
235
BDSG § 4g
Allgemeine und gemeinsame Bestimmungen
ne regelmäßige, aber nicht zwingend angemeldete, Überprüfung erforderlich1. 14 Um seiner Beratungsfunktion gerecht werden zu können, ist der Datenschutzbeauftragte daher gemäß Abs. 1 Satz 4 Nr. 1, 2. Halbs. über den geplanten Einsatz von automatischen Datenverarbeitungsprogrammen sowie über Veränderungen der Datenverarbeitungsverfahren, beispielsweise Neuanschaffungen rechtzeitig zu informieren und in den Entscheidungsprozess mit einzubeziehen. Der zeitliche Vorlauf muss so bemessen sein, dass der Datenschutzbeauftragte die Möglichkeit hat, eventuelle Bedenken einzubringen und etwaige Korrekturen noch durchgeführt werden können; andernfalls ist das Gebot der Rechtzeitigkeit nicht gewahrt2. 15 Der Datenschutzbeauftragte ist zwar zur Überprüfung und Kontrolle der Datenverarbeitungsprogramme und bei entsprechenden Auffälligkeiten zur Meldung und Beratung verpflichtet. Er muss jedoch keine konkreten Vorschläge unterbreiten, wie sich seine Hinweise realisieren lassen3. Die Pflicht zur technischen Umsetzung liegt bei der verantwortlichen Stelle. Sind die Datenverarbeitungsprogramme zu komplex oder umfangreich, um sie mit gewöhnlichem Fachwissen überprüfen zu können, kann der Datenschutzbeauftragte externe Experten hinzuziehen4. Die verantwortliche Stelle hat ihm zu diesem Zweck die entsprechenden Ressourcen zur Verfügung zu stellen (vgl. § 4f Abs. 5 Satz 1). Die finale Entscheidungskompetenz hinsichtlich eines solchen Outsourcings verbleibt allerdings bei der verantwortlichen Stelle (vgl. bereits § 4f Rz. 44). Die Kontrolle kann auch anhand Checklisten und Fragebögen, die den entsprechenden Systemverantwortlichen vorgelegt werden, erfolgen5. 16 Eine Pflicht, die Resultate der Überprüfung zu dokumentieren lässt sich dem Gesetz zwar nicht entnehmen, wird aber allgemein bejaht6. 1 Simitis/Simitis, § 4g BDSG Rz. 48: Taeger/Gabel/Scheja, § 4g BDSG Rz. 12; ein Überprüfungsturnus von einem Jahr wird empfohlen, siehe dazu Gola/ Schomerus, § 4g BDSG Rz. 19. 2 Taeger/Gabel/Scheja, § 4g BDSG Rz. 12; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 28; Roßnagel/Königshofen, Handbuch Datenschutzrecht, Kap. 5.5 Rz. 26. 3 Simitis/Simitis, § 4g BDSG Rz. 46; Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 15. 4 Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 16; Schaffland/Wiltfang, § 4g BDSG Rz. 7. 5 So Taeger/Gabel/Scheja, § 4g BDSG Rz. 13, 16. 6 So auch Gola/Schomerus, § 4g BDSG Rz. 19; Simitis/Simitis, § 4g BDSG Rz. 48; Taeger/Gabel/Scheja, § 4g BDSG Rz. 16.
236 v. d. Bussche
Aufgaben des Beauftragten für den Datenschutz
§ 4g BDSG
b) Schulungs- und Fortbildungsfunktion (Abs. 1 Satz 4 Nr. 2) Dem Datenschutzbeauftragten kommt außerdem gemäß Abs. 1 Satz 4 17 Nr. 2 die Aufgabe zu, die Mitarbeiter der verantwortlichen Stelle mit den gesetzlichen Bestimmungen des Datenschutzes vertraut zu machen. Aufgrund der aktuell rasanten Entwicklung im Bereich des Datenschutzes (siehe Rz. 13) ist seine Schulungs- und Fortbildungsfunktion als Daueraufgabe zu begreifen1. Ziel dieser Schulungen ist zum einen die Vermittlung datenschutzrechtlicher Grundkenntnisse sowie zum anderen, eine Sensibilisierung („Awareness“) im Umgang mit personenbezogenen Daten bei den Angestellten zu fördern2. Darüber hinaus fordert die Norm, dass auf die jeweiligen besonderen Erfordernisse des Datenschutzes Rücksicht genommen wird. Daher sind die Schulungsmaßnahmen auf die Tätigkeit der verantwortlichen Stelle und auf die spezifischen Verarbeitungsvorgänge der jeweils aufzuklärenden Abteilungen abzustimmen3. Je mehr personenbezogene Daten verarbeitet werden und je sensibler die Daten sind, desto umfassender hat die Schulung zu erfolgen4. Sind die Mitarbeiter zum Datengeheimnis (§ 5) verpflichtet, müssen sie dementsprechend geschult werden. Auch technische und organisatorische Maßnahmen zur Datensicherheit (§ 9) sowie ferner die Rechte der Betroffenen (§§ 19 ff. und §§ 36 ff.) sind zu erläutern5. Der Datenschutzbeauftragte ist in der Durchführung der Schulungsund Fortbildungsmaßnahmen frei. Es liegt in seinem Ermessen, ob er die Schulung durch Seminare, Workshops oder schriftliches Informationsmaterial durchführt. Ebenso Rund-E-Mails als Erinnerung an bestimmte Bestimmungen und Vorgehensweisen sind denkbar6. Er hat sich jedoch ggf. mit dem Betriebs- bzw. Personalrat abzustimmen (§§ 98 BetrVG, 75 Abs. 3 Nr. 6 BPersVG)7. Die verantwortliche Stelle hat die zur Durchführung der Maßnahmen erforderlichen Mittel und Räume
1 Vgl. Bergmann/Möhrle/Herb, § 4g BDSG Rz. 38; Taeger/Gabel/Scheja, § 4g BDSG Rz. 18. 2 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 17; Simitis/Simitis, § 4g BDSG Rz. 51. 3 Taeger/Gabel/Scheja, § 4g BDSG Rz. 18; Däubler/Klebe/Wedde/Weichert/ Däubler, § 4g BDSG Rz. 17. 4 Vgl. Taeger/Gabel/Scheja, § 4g BDSG Rz. 20. 5 Vgl. Bergmann/Möhrle/Herb, § 4g BDSG Rz. 37; Taeger/Gabel/Scheja, § 4g BDSG Rz. 17. 6 Taeger/Gabel/Scheja, § 4g BDSG Rz. 20. 7 Dazu Simitis/Simitis, § 4g BDSG Rz. 55 ff.
v. d. Bussche
237
18
BDSG § 4g
Allgemeine und gemeinsame Bestimmungen
zur Verfügung zu stellen sowie die entstehenden Kosten zu tragen (vgl. § 4f Abs. 5 Satz 1). Die teilnehmenden Mitarbeiter sind für den benötigten Zeitraum freizustellen1. 19 Die Schulungen sind grundsätzlich vom Datenschutzbeauftragten selbst durchzuführen. Er kann sich aber externer Schulungseinrichtungen bedienen, wenn es der Gegenstand erforderlich erscheinen lässt2 und solange er auf die Konzeption und Durchführung der konkreten Schulungsmaßnahme Einfluss hat3. c) Verfahrensverzeichnis/Publizität (Abs. 2) 20 Abs. 2 Satz 1 verpflichtet die verantwortliche Stelle, dem Datenschutzbeauftragten eine interne Verfahrensübersicht zur Verfügung zu stellen. Hierbei handelt es sich um eine Übersicht über die Verfahren automatisierter Datenverarbeitung innerhalb der verantwortlichen Stelle. Diese muss die in § 4e Satz 1 Nr. 1–9 vorgesehenen Informationen beinhalten (siehe dazu § 4e Rz. 6 ff.). Neben den Angaben nach § 4e Satz 1 sind in der Übersicht zusätzlich die „zugriffsberechtigten Personen“ gemäß § 4g Abs. 1 Satz 1, 2. Halbs. zu nennen. Dabei handelt es sich nicht lediglich um Mitarbeiter der verarbeitenden Stelle, sondern auch Außenstehende, die auf Grund gesetzlicher oder vertraglicher Befugnisse die ständige Möglichkeit des Zugriffs auf die personenbezogenen Daten haben4. Damit werden lediglich sporadisch zugreifende Personen wie Steuerberater oder Wirtschaftsprüfer sowie Pflege- und Wartungsvorgänge von der gesetzlichen Regelung ausgenommen5. Abzugrenzen von den zugriffsberechtigten Außenstehenden sind die bloßen möglichen Empfänger der Daten, die bereits gemäß § 4e Nr. 6 in das Verzeichnis aufzunehmen sind (vgl. dazu § 4e Rz. 11). Dabei kann es natürlich zu Überschneidungen kommen6. Auf eine namentliche Nennung kann nach h.M. verzichtet werden; eine Nennung der Funktion ist hinreichend um die zugriffs-
1 Taeger/Gabel/Scheja, § 4g BDSG Rz. 18; Simitis/Simitis, § 4g BDSG Rz. 58. 2 Simitis/Simitis, § 4g BDSG Rz. 59; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 39; Taeger/Gabel/Scheja, § 4g BDSG Rz. 19, 20. 3 Taeger/Gabel/Scheja, § 4g BDSG Rz. 19; Roßnagel/Königshofen, Handbuch Datenschutzrecht, Kap. 5.5 Rz. 45. 4 Taeger/Gabel/Scheja, § 4g BDSG Rz. 24; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 47; a.A. Simitis/Simitis, § 4g BDSG Rz. 69. 5 Taeger/Gabel/Scheja, § 4g BDSG Rz. 24. 6 Taeger/Gabel/Scheja, § 4g BDSG Rz. 24; Gola/Schomerus, § 4g BDSG Rz. 26.
238 v. d. Bussche
Aufgaben des Beauftragten für den Datenschutz
§ 4g BDSG
berechtigten Personen hinreichend, zu bestimmen und so die nötige Transparenz zu schaffen1. Die interne Verfahrensübersicht soll dem Datenschutzbeauftragten einen Überblick über die verantwortliche Stelle und über Art, Zweck und Ablauf der Datenverarbeitung verleihen, um den Status Quo von Datenschutz und Datensicherheit überhaupt erst beurteilen und anschließend kontrollieren zu können2. Diese Übersicht dient in erster Linie der betriebsinternen Selbstkontrolle3.
21
Originär obliegt es der verantwortlichen Stelle, die Übersicht zur Ver- 22 fügung zu stellen. Nach h.M. kann diese Pflicht auch nicht an den Datenschutzbeauftragten delegiert werden4. Von ihm ist jedoch zu verlangen, die Richtigkeit der Angaben zu überprüfen und erforderliche Änderungen einzupflegen5, welche ihm von der verantwortlichen Stelle fortlaufend mitzuteilen sind6. In der Praxis wird der Datenschutzbeauftragte in der Regel eine rechtskonforme Erstellung der notwendigen Verarbeitungsübersichten sicherstellen und somit unterstützend tätig werden müssen7. Die Identifikation von datenschutzrechtlich relevanten Verfahren gelingt den Fachabteilungen nur selten vollständig und abteilungsübergreifend, so dass hier eine der wesentlichen Aufgaben des Datenschutzbeauftragten zu verorten ist. Da die verantwortliche Stelle durch die Bestellung des Datenschutzbeauftragten von der generellen Meldepflicht des § 4d Abs. 1 befreit wird (siehe § 4d Rz. 9), verpflichtet Abs. 2 Satz 2 den Datenschutzbeauftragten als Surrogat die Publizität des Verfahrensverzeichnisses sicherzustellen. Im Gegensatz zu der internen Verfahrensübersicht ist das externe Verfahrensverzeichnis nach Abs. 2 Satz 2 zur Information von „jedermann“ gedacht8. Angaben nach § 4e Satz 1 Nr. 1 bis 8 sind daher
1 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 24; Simitis/Simitis, § 4g BDSG Rz. 69; a.A. Gola/Schomerus, § 4g BDSG Rz. 29. 2 Simitis/Simitis, § 4g BDSG Rz. 60; Weniger, RDV 2005, 153, 156. 3 Weniger, RDV 2005, 153, 154. 4 So Simitis/Simitis, § 4g BDSG Rz. 63; Gola/Schomerus, § 4g BDSG Rz. 24; Schaffland/Wiltfang, § 4g BDSG Rz. 30; Weniger, RDV 2005, 153, 154; a.A. Taeger/Gabel/Scheja, § 4g BDSG Rz. 21. 5 Simitis/Simitis, § 4g BDSG Rz. 61. 6 Gola/Schomerus, § 4g BDSG Rz. 28. 7 Vgl. Taeger/Gabel/Scheja, § 4g BDSG Rz. 22. 8 Daher die häufig anzutreffende Bezeichnung als „Jedermannsverzeichnis“.
v. d. Bussche
239
23
BDSG § 4g
Allgemeine und gemeinsame Bestimmungen
jedem Interessierten, also auch Wettbewerbern1, auf Antrag zur Verfügung zu stellen; eine permanente Verfügbarkeit ist demnach nicht erforderlich2. Dies muss nur „in geeigneter Weise“ geschehen, so dass eine bestimmte Form nicht vorgeschrieben ist, sondern die Übersicht dem Antragssteller schriftlich, elektronisch oder auch durch Einsichtnahme vor Ort verfügbar gemacht werden kann3. Insofern erleichtert die Übersicht auch die Kontrolle durch Betroffene und externe Instanzen im Rahmen von Auskunftsverlangen (§§ 19 Abs. 1, 38 Abs. 3, 4)4. 24 Das externe Verfahrensverzeichnis weicht von der internen Verarbeitungsübersicht insofern ab, als dass Angaben zur Datensicherheit gemäß § 4e Satz 1 Nr. 9 (zum Schutz der Systemsicherheit der verantwortlichen Stelle) sowie eine Liste der zugriffsberechtigten Personen nicht enthalten ist5. Das externe Verfahrensverzeichnis ist damit an Umfang und Inhalt deutlich weniger komplex als die interne Verarbeitungsübersicht6. Behörden i.S.d. § 6 Abs. 2 Satz 4, der auf § 19 Abs. 3 verweist, sind von der Pflicht, eine externe Übersicht zur Verfügung zu stellen, gänzlich ausgenommen (Abs. 3 Satz 1). Dem liegt der Gedanke zugrunde, dass bei jenen Behörden das Geheimhaltungsinteresse höher wiegt als das Informationsbedürfnis der Öffentlichkeit7. 3. Durchführung der Vorabkontrolle (§ 4d Abs. 5, 6) 25 Im Zusammenhang mit dem zu erstellenden Verfahrensverzeichnis nach Abs. 2 Satz 1 steht die Pflicht des Datenschutzbeauftragten zur Vorabkontrolle gemäß § 4d Abs. 5, 6. Die Vorabkontrolle ist nach Erhalt des Verfahrensverzeichnisses dann vorzunehmen, wenn die automatisierte Verarbeitung personenbezogener Daten besondere Risiken für die „Rechte und Freiheiten der Betroffenen“ aufweist. Dem Datenschutz1 Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 21; Simitis/Simitis, § 4g BDSG Rz. 77. 2 Taeger/Gabel/Scheja, § 4g BDSG Rz. 29; Däubler/Klebe/Wedde/Weichert/ Däubler, § 4g BDSG Rz. 21; Gola/Schomerus, § 4g BDSG Rz. 30. 3 Taeger/Gabel/Scheja, § 4g BDSG Rz. 29; Simitis/Simitis, § 4g BDSG Rz. 74. 4 Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 19. 5 Bergmann/Möhrle/Herb, § 4g BDSG Rz. 48; Gola/Schomerus, § 4g BDSG Rz. 29. 6 Eine für die Praxis wertvolle Hilfestellung zur Umsetzung des externen Verfahrensverzeichnisses und der internen Verarbeitungsübersicht bietet BITKOM, Verfahrensverzeichnis und Verarbeitungsübersicht nach BDSG – Ein Praxisleitfaden, Version 2.0 v. 2007. 7 Zustimmend Taeger/Gabel/Scheja, § 4g BDSG Rz. 28; kritisch Simitis/Simitis, § 4g BDSG Rz. 79.
240 v. d. Bussche
Aufgaben des Beauftragten für den Datenschutz
§ 4g BDSG
beauftragten obliegt es dann festzustellen, ob ein „besonderes Risiko“ i.S.d. § 4d Abs. 5 vorliegt. Demnach ist der Datenschutzbeauftragte nicht nur mit der Prüfungsobliegenheit, sondern auch mit der Beurteilungskompetenz über das Vorliegen eines Falles des § 4d Abs. 5 ausgestattet1. Die Prüfungskompetenz nach § 4d Abs. 6 im Rahmen der Vorabkontrolle ist jedoch nicht uneingeschränkt gewährt. Vielmehr ist sie auf die spezifischen von § 4d Abs. 5 berücksichtigten Gefahren, die aus automatisierten Verarbeitungsvorgängen erwachsen können („besondere Risiken“), limitiert2. Im Weiteren ist auf die entsprechende Kommentierung zu verweisen (siehe § 4d Rz. 15 ff.). 4. Tätigkeitsbericht Zur Erstellung eines Tätigkeitsberichtes ist der Datenschutzbeauftragte, 26 anders als die externen Kontrollinstanzen (§§ 26 Abs. 1 Satz 1, 38 Abs. 1 Satz 7), nicht verpflichtet3. Dies kann jedoch gerade zur Dokumentation von erledigten und noch anstehenden Aufgaben hilfreich sein. Auch ist eine Dokumentation sinnvoll, um bei drohender Abberufung des Datenschutzbeauftragten durch die Aufsichtsbehörde gemäß § 38 Abs. 5 Satz 3 die erforderliche Zuverlässigkeit nachweisen zu können4. 5. Übertragung sonstiger Aufgaben Die verantwortliche Stelle kann dem Datenschutzbeauftragten weitere 27 Aufgaben unter Wahrung zweier Voraussetzungen übertragen: (i) Es darf sich dabei um keine Verpflichtungen handeln, die originär von der verantwortlichen Stelle selbst wahrgenommen werden müssen (z.B. § 4g Abs. 2 Satz 1, siehe Rz. 22); und (ii) die zusätzliche Verpflichtung darf nicht zu einer Überforderung des Datenschutzbeauftragten führen, und somit als Konsequenz die von ihm geforderte Erfüllung der gesetzlichen Aufgaben, mithin seine Zuverlässigkeit, gefährden (vgl. § 4f Abs. 2 Satz 1)5.
1 2 3 4 5
So auch Gola/Schomerus, § 4d BDSG Rz. 14. BT-Drucks. 14/4329a, S. 35. Simitis/Simitis, § 4g BDSG Rz. 94 m.w.N. Gola/Schomerus, § 38 BDSG Rz. 27. So auch Simitis/Simitis, § 4g BDSG Rz. 90.
v. d. Bussche
241
BDSG § 4g
Allgemeine und gemeinsame Bestimmungen
6. Verhältnis zwischen Datenschutzbeauftragtem und Mitarbeitervertretungen (evtl. Kompetenzbeschränkung) 28 Die Funktion des Datenschutzbeauftragten und die Funktion von Arbeitnehmervertretungen überschneiden sich in gewisser Hinsicht, so dass sich die Frage stellt, wie dieser Konflikt aufzulösen ist1. Aufgrund der umfassenden allgemeinen Kontrollfunktion der §§ 80 Abs. 1 Nr. 1 BetrVG und 68 Abs. 1 Nr. 2 BPersVG fällt die Überwachung über die Einhaltung von datenschutzrechtlichen Bestimmungen durch die jeweilige verantwortliche Stelle im weiteren Sinne ebenfalls originär in den Aufgabenbereich der Betriebs- und Personalräte. Demnach bestehen die Überwachungspflichten des Betriebs- und Personalrats gesetzlich neben denen des Datenschutzbeauftragten, so dass beide auch gegenseitig von der Fachkunde und dem Informationsbestand des jeweils anderen profitieren können sollten2. Seitens des Datenschutzbeauftragten sind in erster Linie die Mitbestimmungsrechte der Arbeitnehmervertretungen im Rahmen von datenschutzrechtlichrelevanten Maßnahmen zu beachten, welche den Lohn, die Arbeitszeit oder die Überwachung des Verhaltens und der Leistung der Arbeitnehmer betreffen, vgl. § 87 BetrVG3. 29 Deutlich kritischer und umstrittener ist dabei allerdings die Frage, inwiefern dem Datenschutzbeauftragten die Kompetenz zur Überwachung der datenschutzrechtlichrelevanten Aktivitäten der Mitarbeitervertretungen zukommt. Zunächst hatte das BAG mit Entscheidung vom 11.11.1997 eine Kontrollkompetenz des Datenschutzbeauftragten in Bezug auf den Betriebsrat vollumfänglich abgelehnt4. Hauptargument war, dass der Datenschutzbeauftragte den verlängerten Arm des Arbeitgebers darstelle, da er den Beauftragten einseitig bestellen und wieder abberufen könne, und somit dessen nötige Unabhängigkeit nicht gewahrt sei. Darüber hinaus fehle dem Betriebs- bzw. Personalrat ein unmittelbares Mitbestimmungsrecht bezüglich dieser Entscheidungen (siehe hierzu § 4f Rz. 18). Konsequenterweise könnte die Überwachungskompetenz seitens des Beauftragten mittelbar eine unzulässige Kontrolle durch den Arbeitgeber bewirken und so die Unabhängigkeit des Betriebsrats gefährden. Dem Datenschutzbeauftragten könnten im Rahmen einer mög1 Zur Frage, ob eine Mitgliedschaft im Betriebs- oder Personalrat eine Tätigkeit als betrieblicher Datenschutzbeauftragter ausschließt oder nicht siehe § 4f Rz. 32–34. 2 Taeger/Gabel/Scheja, § 4f BDSG Rz. 71. 3 Taeger/Gabel/Scheja, § 4g BDSG Rz. 8. 4 BAG v. 11.11.1997 – 1 ABR 21/97, NJW 1998, 2466 (2467); zustimmend Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 23.
242 v. d. Bussche
Aufgaben des Beauftragten für den Datenschutz
§ 4g BDSG
lichen Kontrolle auch solche Informationen offenbart werden, die nicht unter dessen Verschwiegenheitspflicht gemäß § 4f Abs. 4 fielen, da es sich dabei nicht ausschließlich um Informationen handeln müsse, durch deren Offenbarung auf die Identität eines Betroffenen geschlossen werden könne (vgl. § 4f Rz. 46 f.)1. Das Gericht stellte zwar klar, dass Mitarbeitervertretungen auch an die Vorschriften des BDSG gebunden sind, ihre Kontrollierbarkeit jedoch im Kompetenzbereich der zuständigen Aufsichtsbehörde liegt2. Resultat dieser mangelnden betriebsinternen Kontrollierbarkeit der Mitarbeitervertretungen ist eine lediglich lückenhafte Überwachung der verantwortlichen Stelle durch den Datenschutzbeauftragten. Diese Ansicht widerspricht allerdings der EG-Datenschutzrichtlinie 30 sowie dem Kontrollkonzept des BDSG, nämlich einer lückenlosen Kontrolle der verantwortlichen Stelle durch den Datenschutzbeauftragten3. Darüber hinaus setzt insbesondere Art. 28 Abs. 1 Unterabschnitt 2 der EG-Datenschutzrichtlinie eine „völlige Unabhängigkeit“ des Datenschutzbeauftragten als Instanz der Selbstkontrolle konstitutiv voraus4. Gerade diese Unabhängigkeit wurde dem Datenschutzbeauftragten durch die ursprüngliche Entscheidung des BAG indes abgesprochen5. Zu beachten ist jedoch, dass der Entscheidung die Stellung des Datenschutzbeauftragten vor der Novellierung des BDSG im Jahr 2009 zugrunde liegt. Die Einführung des Sonderkündigungs- und Bestandsschutzes (§ 4f Abs. 3 Satz 4–6) im Jahr 2009 stärkte die Position und Handlungsfreiheit des Datenschutzbeauftragten signifikant (siehe dazu § 4f Rz. 56). Im Zuge dieser Aufwertung, hätte es nahe gelegen, auch die fehlende Überwachungsmöglichkeit der Mitarbeitervertretungen durch Einführung des vom BAG6 geforderten Mitbestimmungsrechts des Betriebsrats bei der Bestellung des Datenschutzbeauftragten zu überwinden. Nichtsdestotrotz sieht das BDSG de lege lata stets noch eine einseitige Bestellung und Abberufung des Datenschutzbeauftragten durch den Arbeitgeber ohne Mitbestimmungsrechte der Mitarbeitervertretungen vor. Dies begeg-
1 BAG, NJW 1998, 2466 (2468). 2 BAG, NJW 1998, 2466, Leitsatz. 3 So auch, dennoch de lege lata Kontrollbefugnis verneinend und auf Gesetzesänderung drängend: Simitis/Simitis, § 4g BDSG Rz. 42. 4 Erwägungsgrund 49 der EG-Datenschutzrichtlinie; zum Begriff bereits EuGH, MMR 2010, 352. 5 BAG, NJW 1998, 2466 (2467). 6 Vgl. BAG, NJW 1998, 2466 (2469).
v. d. Bussche
243
BDSG § 4g
Allgemeine und gemeinsame Bestimmungen
net vor allem europarechtlichen Bedenken im Hinblick auf die geforderte „völlige Unabhängigkeit“ des Datenschutzbeauftragten1. 31 Es bleibt also bei dem bisher ungelösten Problem, dass der Datenschutzbeauftragte einerseits per Gesetz verpflichtet ist, auf die Einhaltung datenschutzrechtlicher Vorschriften innerhalb der gesamten verantwortlichen Stelle hinzuwirken2, aber andererseits dies im Hinblick auf die Mitarbeitervertretungen vom BAG ausgeschlossen worden ist. Ferner ist in diesem Zusammenhang die Surrogatfunktion des Datenschutzbeauftragten zu berücksichtigen. Diese ersetzt gemäß § 4d Abs. 2 die Meldepflicht gemäß § 4d Abs. 1 (siehe hierzu § 4d Rz. 9). Ebenfalls die EG-Datenschutzrichtlinie sieht dies in Art. 18 Abs. 2, 2. Spiegelstrich so vor. Demnach dürfen konsequenterweise seinen Kontrollbefugnissen keine Verarbeitungsvorgänge vorbehalten bleiben, die ansonsten unter die generelle Meldepflicht fielen3. Eine Differenzierung zwischen den Verarbeitungsvorgängen der Mitarbeitervertretungen und der restlichen verantwortlichen Stelle ist der Norm nicht zu entnehmen und wäre auch systemwidrig, da, wie bereits erwähnt, auch die Mitarbeitervertretungen an die Vorschriften des BDSG gebunden sind. Letztlich hat auch das BAG richtigerweise festgestellt, dass die Mitarbeitervertretungen ebenfalls Teil der verantwortlichen Stelle sind (damaliger Terminus „Speichernde Stelle“) und nicht etwa „Dritter“ i.S.d. § 3 Abs. 8 Satz 24. Demnach erstreckt sich sowohl die Hinwirkungspflicht des Datenschutzbeauftragten, als auch die Meldepflicht der verantwortlichen Stelle zweifelsfrei auch auf die Verarbeitung personenbezogener Daten durch Mitarbeitervertretungen. Konsequenterweise müsste somit auch die Überwachungskompetenz des Datenschutzbeauftragten diesbezüglich umfassend zu begreifen sein. Ob dieser Widerspruch zwischen lückenloser gesetzlicher Kontrollpflicht einerseits und höchstrichterlich festgestellter Ausnahme bei Mitarbeitervertretungen andererseits nun letztlich doch zu einer Kontrolle der Mitarbeitervertretungen durch den Datenschutzbeauftragten führt oder lediglich einen Appell an den Gesetzgeber darstellt, eine richtlinienkonforme Gesetzeslage zu schaffen, bedarf der Klärung5. 1 Ausführlich und Richtlinienkonformität des einseitigen Bestellungsverfahrens verneinend: Aßmus, ZD 2011, 27 (29 f.). 2 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 10. 3 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 10. 4 BAG, NJW 1998, 2466; Gola/Schomerus, § 3 BDSG Rz. 49; Simitis/Simitis, § 3 BDSG Rz. 240. 5 De lege lata Kontrollbefugnis verneinend und auf Gesetzesänderung drängend: Simitis/Simitis, § 4g BDSG Rz. 42; Aßmus, ZD 2011, 27 (29 f.); wohl auch Tae-
244 v. d. Bussche
Aufgaben des Beauftragten für den Datenschutz
§ 4g BDSG
Im Rahmen einer neuen Entscheidung vom 23.3.2011 stellte das BAG 32 fest, dass keine grundsätzliche Inkompatibilität zwischen den Ämtern des Datenschutzbeauftragten und eines Mitarbeitervertreters existiere1. Demnach kann ein Mitglied des Betriebs- bzw. Personalrats auch als Datenschutzbeauftragter innerhalb desselben Betriebs beauftragt werden (siehe § 4f Rz. 34). Die hier entscheidende Frage, inwiefern dem Datenschutzbeauftragten eine Kontrollkompetenz bezüglich der Verarbeitung personenbezogener Daten durch Mitarbeitervertretungen zukommt, wurde jedoch ausdrücklich offen gelassen und für die oben genannte Kompatibilitätsproblematik der beiden Ämter für irrelevant erklärt2. In Anbetracht der äußerst unsicheren Rechtslage und aufgrund der man- 33 gelnden Erkenntnisse die aus obigem Urteil gezogen werden können, kann hier nur der Gesetzgeber Abhilfe schaffen. Die Kodifizierung eines gesonderten Mitbestimmungsrechts des Betriebs- bzw. Personalrats bei der Bestellung und Abberufung des Datenschutzbeauftragten kristallisiert sich insoweit als der zu beschreitende Weg heraus (vgl. § 4f Rz. 18)3. Bis dahin ist an eine kollegiale Zusammenarbeit zwischen Datenschutzbeauftragtem und Mitarbeitervertretungen zu appellieren4. III. Aufgabenerfüllung durch Stellenleiter Ist die verantwortliche Stelle nicht zur Bestellung eines Datenschutz- 34 beauftragten verpflichtet, muss der Leiter der verantwortlichen Stelle gemäß Abs. 2a die Erfüllung der Aufgaben der Abs. 1 und 2 auf andere Weise sicherstellen5. Dadurch wird ausdrücklich klargestellt, dass auch Stellen, für die keine Bestellungspflicht gemäß § 4f Abs. 1 besteht, dennoch zur Einhaltung datenschutzrechtlicher Vorschriften „in anderer Weise“ verpflichtet sind. In der Praxis werden einzelne Arbeitnehmer mit den entsprechenden Aufgaben betraut, ohne nominell das Amt des Datenschutzbeauftragten zu bekleiden. Eine freiwillige Berufung eines Datenschutzbeauftragten ist überdies ebenfalls möglich (siehe dazu § 4f Rz. 6). Diese Norm richtet sich insbesondere an mittelständische Unter-
1 2 3 4 5
ger/Gabel/Scheja, § 4g BDSG Rz. 10; Kontrollbefugnis gänzlich verneinend Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 23. BAG, NZA 2011, 1036 Rz. 25. BAG, NZA 2011, 1036 Rz. 25. So auch Simitis/Simitis, § 4g BDSG Rz. 42; kritisch Gola/Schomerus, § 4g BDSG Rz. 11. So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 10. Dazu siehe Kaufmann, MMR 2006, Heft 10, XIV, XV.
v. d. Bussche
245
BDSG § 4g
Allgemeine und gemeinsame Bestimmungen
nehmen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, vgl. § 4f Abs. 1 Satz 4. IV. Rechtsfolgen bei Missachtung des Datenschutzbeauftragten 1. Allgemeines 35 Der Datenschutzbeauftragte hat beratende und analysierende Funktion. Es fehlt ihm die Kompetenz, der verantwortlichen Stelle konkrete Handlungspflichten aufzuerlegen. Ebenso wenig kann der Datenschutzbeauftragte gegen den Willen der verantwortlichen Stelle Gesetzesverstöße selbständig beheben. Die Entscheidungskompetenz über die Vornahme und Nichtvornahme jeglicher datenschutzrechtlich relevanter Vorgänge liegt bei der verantwortlichen Stelle (siehe bereits Rz. 7 sowie § 4f Rz. 41). Demnach besteht für sie zwar die Pflicht den Datenschutzbeauftragten im Vorfeld jener Vorgänge entsprechend zu informieren und konsultieren, unabhängig von dessen Bewertung im Einzelfall, bleibt es ihr allerdings überlassen, ob sie sich der Ansicht des Datenschutzbeauftragten anschließen oder widersetzen möchte1. 2. Einschaltung der Aufsichtsbehörde 36 Um seinen Ansichten dennoch Nachdruck zu verleihen, räumt das Gesetz dem Datenschutzbeauftragten die Möglichkeit ein, die zuständige Aufsichtsbehörde hinzuzuziehen. 37 Hinsichtlich der zuständigen Aufsichtsbehörden ist zwischen nicht-öffentlichen Stellen und öffentlichen Stellen zu unterscheiden. Bei nichtöffentlichen Stellen bestimmen die Länder die zuständigen Aufsichtsbehörden (§ 38 Abs. 6), bei öffentlichen Stellen des Bundes ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig (§ 24 BDSG), bei öffentlichen Stellen der Länder ergibt sich die Zuständigkeit aus den jeweiligen landesrechtlichen Regelungen zum Datenschutz. Eine Sonderzuständigkeit ergibt sich gemäß § 115 Abs. 4 Satz 1 TKG für Telekommunikationsdienstleister. Abzustellen ist dabei auf die konkret verwendeten Daten: Für die Verarbeitung von personenbezogenen Daten, die der geschäftsmäßigen Erbringung von Telekommunikationsdiensten dienen, ist der BfDI zuständig; bei Beschäf-
1 Simitis/Simitis, § 4g BDSG Rz. 5.
246 v. d. Bussche
Aufgaben des Beauftragten für den Datenschutz
§ 4g BDSG
tigten- und sonstigen personenbezogenen Daten verbleibt es bei der Zuständigkeit der Aufsichtsbehörde nach § 381. Abs. 1 unterscheidet bei der Hinzuziehung der Aufsichtsbehörde zwi- 38 schen zwei Varianten: Das Konsultationsrecht in Zweifelsfällen nach Abs. 1 Satz 2 und das allgemeine Beratungsrecht nach Abs. 1 Satz 3. Stößt der Datenschutzbeauftragte bei seiner Aufgabenerfüllung auf indi- 39 viduelle Schwierigkeiten, kann er sich erstens nach Abs. 1 Satz 2 in Zweifelsfällen an die zuständige Aufsichtsbehörde wenden. Zweifelsfälle können etwa gegeben sein, wenn der Datenschutzbeauftragte sich über die Reichweite oder Anwendung gewisser gesetzlicher Regelungen im Unklaren ist oder Unsicherheiten bezüglich der Angemessenheit bestimmter datenschutzrechtlicher Maßnahmen bestehen2. Häufig auftretende Problemkomplexe sind beispielsweise Abgrenzungsschwierigkeiten zwischen den Anwendungsbereichen des BDSG und spezialgesetzlichen Regelungen sowie Auslandsübermittlungen in Drittstaaten3. Grundsätzlich steht es im Ermessen des Datenschutzbeauftragten, in 40 Zweifelsfällen die Aufsichtsbehörde anzurufen (anders § 4d Abs. 6 Satz 3, der eine Pflicht statuiert, siehe § 4d Rz. 19). Dieses Ermessen wird jedoch begrenzt durch die arbeitsvertraglichen Treuepflicht, die es gebietet, primär eine interne Lösung der datenschutzrechtlichen Probleme zu suchen, bevor als ultima ratio die externe Aufsichtsbehörde eingeschaltet wird4. Falls sich intern keine Lösung finden lässt, ist fraglich ob der Datenschutzbeauftragte grundsätzlich zur Einschaltung der zuständigen Aufsichtsinstanz verpflichtet ist. Dies ist mit dem klaren Wortlaut der Norm, welche von einem „Können“ spricht, abzulehnen5. Der diesbezügliche Wille des Gesetzgebers verdeutlicht sich im Vergleich zum Ausnahmecharakter des § 4d Abs. 6 Satz 3, welcher eine Konsultationspflicht im Rahmen von Zweifeln bei Vorabkontrollen formuliert. Dies ist auch expressis verbis der entsprechenden Gesetzes-
1 2 3 4
Simitis/Simitis, § 4g BDSG Rz. 17. Taeger/Gabel/Scheja, § 4g BDSG Rz. 32. Simitis/Simitis, § 4g BDSG Rz. 22. Zustimmend Gola/Schomerus, § 4g BDSG Rz. 16; Taeger/Gabel/Scheja, § 4g BDSG Rz. 32; Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 22; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 21; a.A. Simitis/Simitis, § 4g BDSG Rz. 24. 5 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 33; Gola/Schomerus, § 4g BDSG Rz. 16; a.A. Simitis/Simitis, § 4g BDSG Rz. 23; Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 23.
v. d. Bussche
247
BDSG § 4g
Allgemeine und gemeinsame Bestimmungen
begründung zu entnehmen1. Das Ermessen des Datenschutzbeauftragten zur Anrufung der Behörde reduziert sich nur auf Null, wenn er gravierende Verstöße (etwa gegen das Strafrecht) aufdeckt2. Für den Fall, dass der Datenschutzbeauftragte zweifelsfrei feststellen kann, dass ein geplantes Vorhaben unzulässig ist und die verarbeitende Stelle sich dennoch entschließt dies durchzuführen, muss betont werden, dass daraus ebenfalls keine Pflicht zur Einschaltung der Aufsichtsbehörde im Sinne eines „Whistleblowing“ für ihn entsteht (siehe bereits § 4d Rz. 19). 41 Zweitens kann der betriebliche Datenschutzbeauftragte nach Abs. 1 Satz 3 die zuständige Aufsichtsbehörde zur Beratung anrufen (§ 38 Abs. 1 Satz 2). Damit werden die Anforderung an die Fachkunde des betrieblichen Datenschutzbeauftragten (§ 4f Abs. 2 Satz 2) etwas entschärft, weil auf die Kompetenz der Aufsichtsbehörden zurückgegriffen werden kann3. Die Beratungsfunktion zielt weniger auf eine Einzelberatung ab (dazu Abs. 1 Satz 2), sondern es geht dabei mehr um allgemeine Hinweise der Aufsichtsbehörde, die aufgrund ihrer Erfahrung auf branchentypische Datenschutzprobleme hinweisen kann4. 42 Datenschutzbeauftragte der Behörden i.S.d. § 6 Abs. 2 Satz 4, welcher auf § 19 Abs. 3 verweist, müssen nach Abs. 3 Satz 2 erst das Benehmen mit dem Behördenleiter herstellen, bevor sie ihr Konsultationsrecht nach Abs. 1 Satz 2 ausüben5. Wird hierbei keine Einigung erzielt, entscheidet die oberste Bundesbehörde über die Einschaltung der jeweils zuständigen Aufsichtsbehörde6. V. Exkurs: Haftung des Datenschutzbeauftragen 43 Vorangestellt werden muss, dass letztlich die verarbeitende Stelle die Entscheidungsgewalt über die Vornahme oder aber die Nichtvornahme datenschutzrelevanter Vorhaben innehat und somit auch einer eventuellen Haftung primär ausgesetzt ist7. Nichtsdestotrotz ist die Rolle des 1 BT-Drucks. 14/4329, S. 36. 2 Taeger/Gabel/Scheja, § 4g BDSG Rz. 33; Gola/Schomerus, § 4g BDSG Rz. 15; Barton, RDV 2010, 247 (251); a.A. Däubler/Klebe/Wedde/Weichert/Däubler, § 4g BDSG Rz. 22. 3 So auch Gola/Schomerus, § 38 BDSG Rz. 7a. 4 Gola/Klug, NJW 2007, 118 (121). 5 So auch Gola/Schomerus, § 4g BDSG Rz. 17; Taeger/Gabel/Scheja, § 4g BDSG Rz. 30; ablehnend Simitis/Simitis, § 4g BDSG Rz. 25 ff.; Däubler/Klebe/Wedde/ Weichert/Däubler, § 4g BDSG Rz. 23. 6 Kritisch zum Verfahren Simitis/Simitis, § 4g BDSG Rz. 26 f. 7 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 38.
248 v. d. Bussche
Aufgaben des Beauftragten für den Datenschutz
§ 4g BDSG
Datenschutzbeauftragten diesbezüglich ebenfalls zu berücksichtigen1. Es können sowohl der verantwortlichen Stelle als auch den Betroffenen durch eine Nicht- oder Schlechterfüllung der dem Datenschutzbeauftragten obliegenden Verpflichtungen Schäden entstehen. Solche Schäden können sich aus unterlassenen oder falsch evaluierten Kontrollen, fehlerhaften Schulungen und Beratungen, Verstößen gegen die Verschwiegenheitspflicht usw. ergeben. Das BDSG enthält keine Anspruchsgrundlagen gegenüber dem Datenschutzbeauftragten im Falle einer Pflichtverletzung. Demnach richtet sich seine Haftung nach den schuldrechtlichen Grundsätzen. 1. Ansprüche der Betroffenen Zwischen Datenschutzbeauftragtem und Betroffenen besteht keine ver- 44 tragliche Bindung; ein Vertrag zugunsten Dritter ist mangels primären Leistungsanspruchs des Betroffenen ebenfalls nicht gegeben2. Die Einbeziehung der Betroffenen in den Vertrag zwischen Beauftragten und verantwortlicher Stelle über die Rechtsfigur des Vertrags mit Schutzwirkung zugunsten Dritter wird auch allgemein mangels Leistungsnähe und Einbeziehungsinteresse abgelehnt3. Wobei eine differenziertere Betrachtung nach Mitarbeitern des Beauftragten und sonstigen externen Vertragspartnern der verantwortlichen Stelle sowie anderen Dritten im Einzelfall angebracht sein könnte. Deliktisch können sich Ansprüche aus § 823 Abs. 1 und 2 BGB ergeben. 45 Das Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrecht nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG ist als „sonstiges Recht“ i.S.d. § 823 Abs. 1 BGB allgemein anerkannt4. Als Verletzungshandlungen kommen jegliche Verarbeitungsvorgänge in Betracht, die weder durch eine gesetzliche Vorschrift zugelassen noch von einer wirksamen Einwilligung des Betroffenen gedeckt sind (vgl. § 4 Abs. 1)5. Im Rahmen von Ansprüchen gemäß § 823 Abs. 2 BGB kommen als relevante Schutzgesetze §§ 4f und 4g in Betracht. Da sie zumindest auch den Schutz des Rechts auf informationelle Selbstbestimmung intendieren, weisen sie die nötige Drittbezogenheit auf: 1 So auch Simitis/Simitis, § 4g BDSG Rz. 97. 2 Gola/Schomerus, § 4g BDSG Rz. 32; Taeger/Gabel/Scheja, § 4g BDSG Rz. 40; Simitis/Simitis, § 4g BDSG Rz. 103. 3 Taeger/Gabel/Scheja, § 4g BDSG Rz. 40; Gola/Schomerus, § 4g BDSG Rz. 32; Simitis/Simitis, § 4g BDSG Rz. 103. 4 Palandt/Sprau, § 823 BGB Rz. 19; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 65. 5 Taeger/Gabel/Scheja, § 4g BDSG Rz. 41.
v. d. Bussche
249
BDSG § 4g
Allgemeine und gemeinsame Bestimmungen
mithin handelt es sich bei §§ 4f, 4g um Schutzgesetze1 i.S.d. § 823 Abs. 2 BGB2. 46 Unbeschadet der Anspruchsvariante ist die Ursächlichkeit des Verhaltens des Datenschutzbeauftragten von maßgeblicher Bedeutung. Die eingetretene Verletzung muss ihm demnach unmittelbar zuzurechnen sein3. Wie bereits erwähnt ist dabei vor allem zu beachten, dass letztendlich der verarbeitenden Stelle die Entscheidungshoheit obliegt, welche datenschutzrechtlich-relevanten Verarbeitungen vorgenommen und welche datenschutzsichernden Maßnahmen umgesetzt werden (siehe Rz. 7 ff.). Demnach muss die eingetretene Verletzung auf eine mangelhafte Erfüllung der dem Datenschutzbeauftragten explizit obliegenden Pflichten zurückzuführen sein4. Exemplarisch seien hier der Verstoß gegen seine Verschwiegenheitspflicht oder die fehlerhafte rechtliche Evaluierung eines geplanten Datenverarbeitungsvorgangs genannt. Bei einer komplexen Rechtsmaterie wie dem Datenschutzrecht, welches selbst für Experten bisweilen schwer verständlich ist, sollte dabei kein zu strenger Maßstab angesetzt werden. Eine Haftung scheidet wiederum aus, wenn die verantwortliche Stelle eine Datenverarbeitung vornimmt obwohl er seine Bedenken im Vorfeld geäußert hat5. Die Beweislast trägt dabei der Betroffene. Die in § 7 Abs. 1 Satz 2 vorgesehene Beweislastumkehr im Rahmen von Ansprüchen gegen die verantwortliche Stelle findet in vorliegenden Fällen keine Anwendung6. 47 Im Rahmen des Verschuldens sind für interne Datenschutzbeauftragte erneut die Grundsätze des innerbetrieblichen Schadensausgleichs zu beachten. Demnach haftet der Beauftragte nur für Vorsatz und grobe Fahrlässigkeit. Sofern ihm nur leichte Fahrlässigkeit vorzuwerfen ist, steht ihm ein Freistellungsanspruch gegenüber seinem Arbeitgeber zu7. Sofern die jeweilige Rechtsverletzung ebenfalls der verantwortlichen Stelle 1 Ausführlich dazu Palandt/Sprau, § 823 BGB Rz. 56 f. 2 So auch Simitis/Simitis, § 4g BDSG Rz. 106; Taeger/Gabel/Scheja, § 4g BDSG Rz. 41; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 65; Schutzgesetzcharakter für § 4f verneinend: Gola/Schomerus, § 4g BDSG Rz. 32. 3 Taeger/Gabel/Scheja, § 4g BDSG Rz. 43; Simitis/Simitis, § 4g BDSG Rz. 105; Gola/Schomerus, § 4g BDSG Rz. 33. 4 So auch Simitis/Simitis, § 4g BDSG Rz. 105; Gola/Schomerus, § 4g BDSG Rz. 33. 5 Taeger/Gabel/Scheja, § 4g BDSG Rz. 43; vgl. auch Simitis/Simitis, § 4g BDSG Rz. 104. 6 Simitis/Simitis, § 4g BDSG Rz. 110; Däubler/Klebe/Wedde/Weichert/Däubler, § 7 BDSG Rz. 16. 7 Gola/Schomerus, § 4g BDSG Rz. 34a; Simitis/Simitis, § 4g BDSG Rz. 112.
250 v. d. Bussche
Aufgaben des Beauftragten für den Datenschutz
§ 4g BDSG
vorzuwerfen ist, haften sie und der Datenschutzbeauftragte gesamtschuldnerisch nach § 421 BGB (siehe auch Rz. 52). Die Haftung im Innenverhältnis richtet sich dann nach der Verschuldensquote, vgl. § 426 BGB. Das Aufgabenfeld des Datenschutzbeauftragtem im öffentlichen Dienst 48 ist identisch mit dem des betrieblichen Beauftragten. Daher handelt es sich um keine hoheitliche Tätigkeit1. Insofern muss die Position als behördlicher Beauftragter von dem ihm zugrundeliegenden sonstigen Beamten- oder Angestelltenverhältnis differenziert werden2. Die Haftung bei Verletzungshandlungen bei der Ausübung des Datenschutzmandats richtet sich folglich nur nach § 823 BGB3. Der Amtshaftungsanspruch nach § 839 BGB sowie die sich daraus ergebende Haftungsüberleitung auf den Staat gemäß Art. 34 GG findet keine Anwendung4. 2. Ansprüche der verantwortlichen Stelle Bei Schäden, die der verantwortlichen Stelle entstehen, kommt in erster Linie eine vertragliche Haftung in Betracht. Anspruchsgrundlage ist sowohl bei internen als auch externen Beauftragten regelmäßig § 280 BGB.
49
Demnach bedarf es auf Tatbestandsseite eines Schuldverhältnisses und 50 einer Pflichtverletzung, die der Beauftragte auch zu vertreten haben muss5. Das Schuldverhältnis ist bei internen Datenschutzbeauftragten der Arbeitsvertrag, bei externen regelmäßig ein Geschäftsbesorgungsvertrag6. Als Pflichtverletzung kommt eine Schlecht- oder Nichterfüllung einer Obliegenheit des Datenschutzbeauftragten in Betracht7. Im Rahmen des Vertretenmüssens ist zwischen internen und externen Beauftragten zu differenzieren. Erstere kommen in den Genuss der Haftungsprivilegierung nach den Grundsätzen des innerbetrieblichen Scha-
1 Gola/Schomerus, § 4g BDSG Rz. 34. 2 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 45; Simitis/Simitis, § 4g BDSG Rz. 108/109. 3 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 45; Simitis/Simitis, § 4g BDSG Rz. 108/109; Anspruch nach § 839 BGB bejahend aber Haftungsüberleitung i.S.d. Art. 34 GG verneinend: Gola/Schomerus, § 4g BDSG Rz. 34. 4 So auch Simitis/Simitis, § 4g BDSG Rz. 108/109. 5 Taeger/Gabel/Scheja, § 4g BDSG Rz. 37; Gola/Schomerus, § 4g BDSG Rz. 35. 6 Vgl. Simitis/Simitis, § 4g BDSG Rz. 98. 7 Simitis/Simitis, § 4g BDSG Rz. 98; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 67.
v. d. Bussche
251
BDSG § 4g
Allgemeine und gemeinsame Bestimmungen
densausgleichs1. Demnach haften sie dem Arbeitgeber gegenüber nur für Vorsatz und große Fahrlässigkeit. Externe Datenschutzbeauftragte müssen eine solche Haftungserleichterung individualvertraglich aushandeln. 51 Auf Rechtsfolgenseite muss die Pflichtverletzung kausal für den eingetretenen Schaden gewesen sein2. Ungeachtet dessen, ob eine Pflichtverletzung seitens des Datenschutzbeauftragten vorliegt oder nicht, scheidet demnach eine Haftung aus, wenn die verantwortliche Stelle die vom Datenschutzbeauftragten unterbreiteten Vorschläge und geforderten Maßnahmen nicht oder nur unzureichend umsetzt und ihr so ein Schaden entsteht3. Hinzukommend kann der Anspruch aufgrund Mitverschuldens nach § 254 BGB gemindert sein oder gänzlich ausscheiden, beispielsweise im Fall einer unzureichenden Unterstützung des Beauftragten i.S.d. § 4f Abs. 54. 52 Die verantwortliche Stelle und der Datenschutzbeauftragter haften gesamtschuldnerisch nach § 421 BGB gegenüber den Betroffenen (siehe bereits Rz. 47). Demnach kann die in Anspruch genommene verantwortliche Stelle den Datenschutzbeauftragten, je nach Verschuldensquote im Innenverhältnis, in Regress nehmen5. 53 Der Datenschutzbeauftragte im öffentlichen Dienst haftet nach § 48 BeamtStG (früher § 46 Abs. 1 BRRG) und § 75 Abs. 1 BBG (früher § 78 Abs. 1 BBG) ebenso wie der interne betriebliche Beauftragte lediglich für Vorsatz und grobe Fahrlässigkeit. VI. Exkurs: Strafrechtliche Verantwortlichkeit des Datenschutzbeauftragten 54 In strafrechtlicher Hinsicht kann der Datenschutzbeauftragte bei aktiver Verwirklichung bzw. Mitverwirklichung wie jeder andere als Täter bzw. Mittäter einer datenschutzrechtlich relevanten Straftat (etwa § 44 BDSG und § 202a StGB) selbstverständlich in Betracht kommen6. 1 So auch Taeger/Gabel/Scheja, § 4g BDSG Rz. 38; Gola/Schomerus, § 4g BDSG Rz. 35. 2 Leupold/Glossner/Scheja/Haag, Teil 4 Datenschutzrecht Rz. 316. 3 Taeger/Gabel/Scheja, § 4g BDSG Rz. 37. 4 So auch Simitis/Simitis, § 4g BDSG Rz. 100; Bergmann/Möhrle/Herb, § 4g BDSG Rz. 67; Taeger/Gabel/Scheja, § 4g BDSG Rz. 37. 5 Bergmann/Möhrle/Herb, § 4g BDSG Rz. 67; Simitis/Simitis, § 4g BDSG Rz. 98. 6 Barton, RDV 2010, 247 (250).
252 v. d. Bussche
Aufgaben des Beauftragten für den Datenschutz
§ 4g BDSG
Deutlich praxisrelevanter ist aber die Frage, inwiefern für ihn eine Teil- 55 nehmerstrafbarkeit wegen Beihilfe durch Unterlassen an einer datenschutzrechtlich relevanten und vorsätzlich begangenen Haupttat eines anderen begründet werden kann. Dies wäre der Fall, wenn er trotz Kenntnis ein solches Delikt fördern würde, indem er die notwendigen und ihm möglichen Gegenmaßnahmen nicht ergreift, um die Verwirklichung der Tat zu verhindern1. Kernfrage dieses Problems ist, inwiefern allein aus den gesetzlich nor- 56 mierten Pflichten des Datenschutzbeauftragten der §§ 4d, f und g eine Garantenstellung i.S.d. § 13 StGB erwachsen kann; also er dafür einzustehen hat, dass ein strafrechtlich missbilligter Erfolg ausbleibt2. Im Falle des Compliance-Beauftragten eines Unternehmens hat der BGH3 dies bejaht. So obliegt dem Compliance-Beauftragten die Pflicht, Straftaten, die aus dem Unternehmen heraus durch Unternehmensangehörige begangen werden, zu verhindern4. Die Garantenstellung sei die notwendige Kehrseite ihrer gegenüber der Unternehmensleitung übernommenen Pflicht, Rechtsverstöße und insbesondere Straftaten zu unterbinden, wobei vielmehr die tatsächliche Übernahme des Pflichtenkreises als der eigentliche Vertragschluss entscheidend ist5. Darüber hinaus stellte das Gericht obiter dictum klar, dass dies auch gelte, wenn der Beschuldigte eine sonstige gesetzlich geregelte Funktion als Betriebsbeauftragter übernimmt (genannt werden Gewässer-, Immissions-, Strahlenschutz)6. Ob sich dies vollumfänglich verallgemeinern lässt und somit auch den Datenschutzbeauftragten betrifft ist bisher unklar und noch nicht gerichtlich entschieden. Teilweise wird die Garantenstellung für Betriebsbeauftragte ohnehin generell verneint, da ihnen keine Anweisungs- oder Entscheidungsbefugnisse zustehen, sondern sie lediglich Beratungs- und Kontrolltätigkeiten übernehmen7. Vereinzelt wird eine Garantenstellung für Datenschutzbeauftragte allerdings angenommen8. Demnach resultiere die Annahme des Mandats als Datenschutzbeauftragter in einer 1 Wybitul, Handbuch – Datenschutz im Unternehmen, Rz. 351; Barton, RDV 2010, 247 (250). 2 Barton, RDV 2010, 247 (252). 3 BGH, NJW 2009, 3173 ff. 4 BGH, NJW 2009, 3173 Rz. 25. 5 BGH, NJW 2009, 3173 Rz. 27. 6 BGH, NJW 2009, 3173 Rz. 24; so auch OLG Frankfurt, NJW 1987, 2753 (2757). 7 Barton, RDV 2010, 247, 252 m.w.N. 8 Barton, RDV 2010, 247, 252; Wybitul, Handbuch – Datenschutz im Unternehmen, Rz. 351.
v. d. Bussche
253
57
BDSG § 5
Allgemeine und gemeinsame Bestimmungen
Einstandspflicht für die Integrität des von ihm zu überwachenden Datenschutzressorts innerhalb des Unternehmens1. Fraglich ist, ob eine solch pauschalisierte Bejahung der Teilnehmerstrafbarkeit die starke Varietät des Mandats des Datenschutzbeauftragten hinreichend berücksichtigt. Demnach lässt sich ein fest abgestecktes Tätigkeitsfeld nahezu unmöglich abstrahieren; die gesetzlichen Normierungen sind dabei bewusst nicht abschließend formuliert (siehe hierzu Rz. 6). Es kommt stets auf die Anforderungen an, welche die jeweilige verantwortliche Stelle bei der der Datenschutzbeauftragte tätig ist, mit sich bringt (siehe hierzu § 4f Rz. 27 ff.). Zusätzlich können dem Beauftragten abseits der gesetzlichen Konkretisierungen weitere Tätigkeiten schuldrechtlich oktroyiert werden. Der sich letztlich ergebende tatsächliche Pflichtenkreis des Beauftragten in seiner beruflichen Praxis ist somit nicht hinreichend an den allgemein gehaltenen gesetzlichen Bestimmungen des §§ 4d bis g abzulesen. Dies spricht daher eher gegen eine generelle Bejahung einer Garantenstellung, sondern vielmehr für die Notwendigkeit einer genauen Untersuchung der Pflichten und Möglichkeiten des Amtsträgers im Einzelfall2. 58 Ungeachtet einer etwaigen Garantenstellung müsste das Unterlassen des Datenschutzbeauftragten für den späteren Taterfolg ursächlich geworden sein; mithin wenn bei Vornahme der pflichtgemäßen Handlung der tatbestandliche Erfolg mit an Sicherheit grenzender Wahrscheinlichkeit ausgeblieben wäre3. Darüber hinaus müsste er auf subjektiver Seite vorsätzlich im Bezug auf die Verwirklichung der Haupttat des anderen sowie seinem Hilfeleisten durch Unterlassen und im Bewusstsein seiner (etwaigen) Garantenstellung gehandelt haben4. Die Voraussetzungen für eine Strafbarkeit sowie deren Nachweisbarkeit sind demnach zu Recht erkennbar hoch. Datengeheimnis
5
1Den
bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). 2Diese Personen sind, soweit sie bei
1 Henssler/Willemsen/Kalb/Lembke, §§ 4f, 4g BDSG Rz. 26; vgl. auch BGH, NJW 2009, 3173 Rz. 24. 2 Im Ergebnis wohl auch Gola/Schomerus, § 4g BDSG Rz. 36. 3 BGH, NJW 2000, 2753 (2757); Schönke/Schröder/Stree/Bosch, § 13 StGB Rz. 61. 4 Barton, RDV 2010, 247 (253).
254 v. d. Bussche/Schreiber
§ 5 BDSG
Datengeheimnis
nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. 3Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. I. Einführung . . . . . . . . . . . . . . . .
1
3. Belehrungsadressat . . . . . . . . . 19
II. Datengeheimnis (Satz 1) . . . . . 1. Inhalt der Pflicht zur Wahrung des Datengeheimnisses . 2. Verpflichteter Personenkreis .
4
IV. Fortbestand (Satz 3) . . . . . . . . . 24
4 7
III. Verpflichtung auf die Wahrung des Datengeheimnisses (Satz 2) . . . . . . . . . . . . . . . . . . . 11 1. Rechtsnatur und Zweck der „Verpflichtung“ . . . . . . . . . . . . 11 2. Form, Inhalt und Durchführung der Belehrung . . . . . . 14
V. Rechtsfolgen/Sanktionen . . . . 1. Rechtsfolgen bei unterlassener Belehrung . . . . . . . . . . . . . . 2. Rechtsfolgen bei erfolgter Belehrung . . . . . . . . . . . . . . . . . 3. Sanktionen bei Verweigerung der Kenntnisnahme . . . . . . . . .
25 25 27 33
VI. Verweise/Kontext . . . . . . . . . . 35
Schrifttum: Behm, Verletzung des Dienstgeheimnisses – Anmerkung zum LG Ulm, Beschluss vom 17.12.1999, NStZ 2001, 153; Biewald, Externe Dienstleister im Krankenhaus und ärztliche Schweigepflicht – eine rechtliche Unsicherheit, DuD 2011, 867; Bohnert, Der beschuldigte Amtsträger zwischen Aussagefreiheit und Verschwiegenheitspflicht, NStZ 2004, 301; Cebulla, Daten- und Geheimnisschutz beim Hybridbrief, DuD 2010, 308; Conrad/Schneider, Einsatz von „privater IT“ im Unternehmen – Kein privater USB-Stick, aber „Bring your own device“ (BYOD)?, ZD 2011, 153; Dieckmann, Die Verpflichtung externer Personen – insbesondere externe Prüfer – zur Einhaltung datenschutzrechtlicher Vorschriften, RDV 2004, 256; Ehmann, Wie geht man mit „Verweigerern“ um? Die Verpflichtung auf das Datengeheimnis, DatenschutzPraxis 3/2011, 4; Fernandez/Heinemann, Datenschutz beim Einsatz von Leiharbeitnehmern, DuD 2011, 711; Giesen, Zum Begriff des Offenbarens nach § 203 StGB im Falle der Einschaltung privatärztlicher Verrechnungsstellen, NStZ 2012, 122; Gliss, Verpflichtung von Mitarbeitern auf das Datengeheimnis, DSB 2001, Nr. 9, 11; Gola/Wronka, Arbeitnehmerdatenverarbeitung beim Betriebs-/Pesonalrat und Datenschutz, NZA 1991, 790; Hoeren, Das neue BDSG und die Auftragsdatenverarbeitung, DuD 2010, 688; Hold, Arbeitnehmer-Datenschutz – Ein Überblick, RDV 2006, 249; Jandt/ Roßnagel/Wilke, Outsourcing der Verarbeitung von Patientendaten – Fragen des Daten- und Geheimnisschutzes, NZS 2011, 641; Kaiser, Zulässigkeit des Ankaufs deliktisch erlangter Steuerdaten, NStZ 2011, 383; Kleinert, Datenschutzaspekte bei der Abrechnung von Patientendaten, DuD 2010, 240; Linnenkohl, Datenschutz und Tätigkeit des Betriebsrats – Verarbeitung personenbezogener Arbeitnehmerdaten durch den Betriebsrat, NJW 1981, 202; Müthlein, Datenschutz-Organisation – Verpflichtung der Mitarbeiter, IT-Sicherheit 1/2003, 41; Müthlein/Heck, Einstieg in die Datenschutzorganisation, RDV 1994, 121; v. Reumont, Dichthalten! Die optimale Verpflichtung auf das Datengeheimnis, DatenschutzPraxis 6/2009, 3; Runge, Datengeheimnis und Mitarbeiterschulung, DuD 1993, 321; Schierbaum, Rechte der Beschäftigten im novellierten BDSG, Computer-Fachwissen 4/2002, 20; Schmittmann, Steuerrechtliche Mitwirkungspflichten im Spannungsfeld zum Da-
Schreiber 255
BDSG § 5
Allgemeine und gemeinsame Bestimmungen
tenschutz – Plädoyer für eine transparente Ermächtigungsgrundlage, ZD 2012, 16; Sensburg, Datenschutz im Bürgeramt, DuD 1998, 650; Weichert, Datenschutzstrafrecht – ein zahnloser Tiger?, NStZ 1999, 490; Wybitul, „Whistleblowing“ – datenschutzkonformer Einsatz von Hinweisgebersystemen? – Für und Wider zum rechtskonformen Betrieb, ZD 2011, 118; Zilkens/Kohlhause: Das Datenschutzgesetz NRW – zukunftsfest oder novellierungsbedürftig? – Zum Änderungsbedarf zwölf Jahre nach der letzten Reform, ZD 2012, 119.
I. Einführung 1 Die Regelung des § 5 Satz 1 statuiert eine Pflicht zur Wahrung des sog. „Datengeheimnisses“. Die Vorschrift nimmt insoweit eine Sonderstellung im Rahmen des BDSG ein, als sie sich direkt an einzelne natürliche Personen richtet1. Sie setzt damit das für die verantwortlichen Stellen geltende Verbot mit Erlaubnisvorbehalt des § 4 Abs. 1 auf der Ebene der mit der Datenverarbeitung beschäftigten Personen fort2. 2 Die Regelung des § 5 Satz 2 richtet sich hingegen an die verantwortlichen Stellen, konkret an „nicht-öffentliche Stellen“, und verpflichtet diese dazu, ihre Beschäftigten auf die Wahrung des Datengeheimnisses zu verpflichten. Die Regelung schränkt damit die Privatautonomie der Parteien im Grundverhältnis zwischen der verantwortlichen Stelle und den bei ihr beschäftigten Personen ein. § 5 Satz 1 untersteht nicht der Disposition der Parteien und ist nicht abdingbar3. 3 In Satz 3 ist schließlich geregelt, dass das Datengeheimnis auch nach Beendigung der Tätigkeit der betroffenen Individuen weiter von diesen zu wahren ist. II. Datengeheimnis (Satz 1) 1. Inhalt der Pflicht zur Wahrung des Datengeheimnisses 4 Das in Satz 1 postulierte Datengeheimnis untersagt den mit der Datenverarbeitung beschäftigten Personen jeden unbefugten Umgang mit personenbezogenen Daten4. Unbefugt handelt ein Beschäftigter immer dann, wenn die Datenverarbeitung an sich rechtswidrig, also nicht durch eine Norm erlaubt ist und der Betroffene nicht eingewilligt hat5. 1 2 3 4 5
Simitis/Ehmann, § 5 BDSG Rz. 5. Taeger/Gabel/Kinast, § 5 BDSG Rz. 1. Bergmann/Möhrle/Herb, § 5 BDSG Rz. 5/7; Simitis/Ehmann, § 5 BDSG Rz. 6. Siehe zum Begriff des „personenbezogenen Datums“ siehe § 3 Rz. 4 ff. Schaffland/Wiltfang, § 5 BDSG Rz. 11.
256 Schreiber
Datengeheimnis
§ 5 BDSG
Ein Verstoß gegen Datenschutzrecht durch die verantwortliche Stelle begründet damit stets auch einen Verstoß gegen das Datengeheimnis durch die handelnde Person1. Eine Datenverarbeitung ist aber auch bereits dann unbefugt, wenn der Beschäftigte zu dem betreffenden Verhalten intern nicht befugt war, also insbesondere eine nicht von seinem Aufgabenbereich gedeckte Verwendung personenbezogener Daten vornimmt2. Das ist zum Beispiel der Fall, wenn der Beschäftigte Einsicht in Datenbestände nimmt, deren inhaltliche Kenntnisnahme zur Erfüllung seiner Aufgaben nicht erforderlich ist3. Eine solche Verwendung ist selbst dann unbefugt, wenn die verantwortliche Stelle zur Datenverarbeitung an sich berechtigt gewesen wäre4. Dabei trifft den Dienstherrn allerdings die Verpflichtung, Personaldaten der jeweiligen Zweckbestimmung entsprechend organisatorisch abgeschottet zu verarbeiten5. Daraus folgt auch die Verpflichtung des Dienstherren, den Kreis der mit der Verarbeitung von Personaldaten beschäftigten Personen möglichst gering zu halten6.
5
Die Reichweite der internen Befugnis ist stets am Einzelfall zu ermitteln und kann sich beispielsweise aus einer Weisung, der internen Zuständigkeitsverteilung oder durch wiederholtes „Geschehen lassen“ bzw. Ermöglichen der Kenntnisnahme durch den Vorgesetzten ergeben7. Nur wenn der Beschäftigte seinen Arbeitsbereich eigenverantwortlich zu organisieren hat, ist er ggf. verpflichtet, sich bei seinem Vorgesetzten oder dem Datenschutzbeauftragten über die Rechtmäßigkeit vorab zu informieren8. Dasselbe gilt, wenn die Rechtswidrigkeit der Datenverarbeitung beispielsweise wegen eines entsprechenden Hinweises oder der strafrechtlichen Relevanz offensichtlich ist9. Unterlässt er es dann gleichwohl, sich beim Dienstherrn oder anderweitig zu informieren, kann das ggf. das Verschulden des Beschäftigten und daraus Schadens-
6
1 2 3 4 5 6
7 8 9
Simitis/Ehmann, § 5 BDSG Rz. 20. Vgl. Taeger/Gabel/Kinast, § 5 BDSG Rz. 20. Taeger/Gabel/Kinast, § 5 BDSG Rz. 20. Simitis/Ehmann, § 5 BDSG Rz. 21 f.; vgl. LAG Hamm v. 16.9.2011 – 10 TaBV 17/11, ZD 2012, 183. Vgl. Gola/Schomerus, § 5 BDSG Rz. 6. Vgl. Gola/Schomerus, § 5 BDSG Rz. 6; Schaffland/Wiltfang, § 5 BDSG Rz. 2; siehe hierzu auch Sensburg, DuD 1998, 650 (651), zur Datenvermeidung im Bürgeramt. Taeger/Gabel/Kinast, § 5 BDSG Rz. 20. Taeger/Gabel/Kinast, § 5 BDSG Rz. 20. Gola/Schomerus, § 5 BDSG Rz. 5; Taeger/Gabel/Kinast, § 5 BDSG Rz. 20.
Schreiber 257
BDSG § 5
Allgemeine und gemeinsame Bestimmungen
ersatzansprüche seines Arbeitsgebers gegen den Beschäftigten sowie arbeitsrechtliche Konsequenzen nach sich ziehen1. 2. Verpflichteter Personenkreis 7 Der persönliche Anwendungsbereich des § 5 ist seinem Schutzzweck entsprechend weit auszulegen2. Zum betroffenen Personenkreis gehören alle bei der verantwortlichen Stelle beschäftigten Personen, die tatsächlich personenbezogene Daten erheben, verarbeiten oder nutzen. Auch wenn sich die Regelung des Satz 1 entsprechend ihres missverständlichen Wortlauts nur an die mit der „Datenverarbeitung“ beschäftigten Personen richtet, so gilt sie doch für sämtliche Formen des Umgangs mit personenbezogenen Daten, also nicht allein für den Fall der „Verarbeitung“ solcher Daten. 8 Umfasst sind zudem – über den Wortlaut des Satz 1. hinaus – auch diejenigen bei der verantwortlichen Stelle beschäftigten Personen, die jedenfalls die Möglichkeit zu einer Verwendung personenbezogener Daten haben3. Ob die Beschäftigten zum Zugriff auf die Daten befugt sind und gewollt oder ungewollt mit den Daten in Berührung kommen, ist unerheblich4. 9 Die „beschäftigten Personen“ sind zunächst alle in einem abhängigen Arbeitsverhältnis zur verantwortlichen Stelle stehenden Personen, worunter auch in Heimarbeit Beschäftigte fallen5. Erfasst sind alle Arten von Arbeitnehmern. Überdies greift § 5 auch bei sonstigen Beschäftigten, wie arbeitnehmerähnlichen Personen, Teilzeitbeschäftigten, Leiharbeitern, Werkstudenten, Aushilfen, Lehrlingen, freien Mitarbeiter und Praktikanten6. Damit sind vor allem die „Beschäftigten“ im Sinne von § 3 Abs. 11 (s. § 3 Rz. 82 ff.) angesprochen, wenngleich es in § 5 Satz 1 nicht auf eine „Arbeitnehmer- oder arbeitnehmerähnliche Stellung“, sondern allein darauf ankommt, ob den jeweiligen Personen ein Zugang zu personenbezogenen Daten möglich ist. Demgegenüber sind Handels1 Taeger/Gabel/Kinast, § 5 BDSG Rz. 20. 2 Taeger/Gabel/Kinast, § 5 BDSG Rz. 9/11; vgl. Gola/Schomerus, § 5 BDSG Rz. 9. 3 Taeger/Gabel/Kinast, § 5 BDSG Rz. 9; vgl. Conrad/Schneider, ZD 2011, 153 (156), wonach auch Reinigungspersonal betroffen sein kann. 4 Taeger/Gabel/Kinast, § 5 BDSG Rz. 9/11. 5 Taeger/Gabel/Kinast, § 5 BDSG Rz. 11. 6 Vgl. Taeger/Gabel/Kinast, § 5 BDSG Rz. 12; Gola/Schomerus, § 5 BDSG Rz. 8; Schaffland/Wiltfang, § 5 BDSG Rz. 6; Fernandez/Heinemann, DuD 2011, 711 (712).
258 Schreiber
Datengeheimnis
§ 5 BDSG
vertreter selbst verantwortliche Stelle, so dass auf diese § 5 nicht anwendbar ist1. Gleichgültig ist, auf welcher Rechtsgrundlage das Beschäftigungsverhältnis geschlossen worden ist, oder ob es sich um ein wirksames oder unwirksames Beschäftigungsverhältnis handelt2. Ob Organe einer Kapitalgesellschaft, Inhaber von Unternehmen oder 10 Geschäftsführer einer GmbH in den Anwendungsgereich fallen, ist strittig. Eine Ansicht verneint dies unter Berufung auf die fehlende Beschäftigteneigenschaft3. Nach wohl richtiger Ansicht ist in Anlehnung an den weit gefassten Wortlaut von § 5 Satz 2 und 3 davon auszugehen, dass jede „Tätigkeit“ für die datenverarbeitende Stelle ausreichend ist, den Anwendungsbereich des § 5 zu eröffnen. Schließlich begründet allein die Tätigkeit die potenzielle Zugriffsmöglichkeit auf personenbezogene Daten4, wodurch die Betroffenen gegenüber diesen Personen ebenso schutzwürdig sind, wie im Falle eines Zugriffs auf die Daten durch sonstige Beschäftigte. Auch Mitglieder eines Betriebs- oder Personalrats unterliegen dem Datengeheimnis aus § 5 Satz 15. III. Verpflichtung auf die Wahrung des Datengeheimnisses (Satz 2) 1. Rechtsnatur und Zweck der „Verpflichtung“ Spricht § 5 Satz 2 wörtlich von einer „Verpflichtung“ des Betroffenen, 11 handelt es sich letztlich doch eher um eine Belehrung über die schon nach dem Gesetz bestehende Pflicht des Betroffenen6: Die Pflicht des Arbeitgebers gemäß Satz 2 erschöpft sich darin, dass er seine Beschäftigten ausdrücklich, also klar und unmissverständlich, auf das zu wahrende Datengeheimnis hinzuweisen hat7. Die entsprechende Erklärung des Arbeitgebers wirkt dabei rein deklaratorisch. § 5 Satz 1 ist nämlich stets anwendbar und zwar unabhängig davon, ob eine „Verpflichtung“ tatsächlich vorgenommen wurde oder mangelhaft war. Der Beschäftigte hat sich damit stets an das Datengeheimnis zu halten8. Zur Sicherung 1 Schaffland/Wiltfang, § 5 BDSG Rz. 8. 2 Vgl. Simitis/Ehmann, § 5 BDSG Rz. 14; Taeger/Gabel/Kinast, § 5 BDSG Rz. 12. 3 Simitis/Ehmann, § 5 BDSG Rz. 16; Schaffland/Wiltfang, § 5 BDSG Rz. 5/8. 4 Taeger/Gabel/Kinast, § 5 BDSG Rz. 13. 5 Gola/Schomerus, § 5 BDSG Rz. 15; Bergmann/Möhrle/Herb, § 5 BDSG Rz. 15. 6 Taeger/Gabel/Kinast, § 5 BDSG Rz. 22. 7 Schaffland/Wiltfang, § 5 BDSG Rz. 18; vgl. Ehmann, DatenschutzPraxis 3/2011, 4 (5); Wybitul, ZD 2011, 118, zum „Whistleblowing“. 8 Simitis/Ehmann, § 5 BDSG Rz. 26; Taeger/Gabel/Kinast, § 5 BDSG Rz. 22.
Schreiber 259
BDSG § 5
Allgemeine und gemeinsame Bestimmungen
etwaiger vertragsrechtlicher Ansprüche mag eine schriftliche Belehrung vorzugswürdig sein1. Dabei sind dann aber stets die unten beschriebenen Besonderheiten zu Form, Inhalt und Durchführung zu beachten2. 12 Eine beidseitige Willenserklärung ist nicht erforderlich. Bei einer etwaigen Kenntnisnahme des Hinweises auf die bestehende Belehrung durch den Beschäftigten, z.B. durch Entgegennahme eines entsprechenden Merkblatts, handelt es sich vielmehr um einen bloßen Realakt, der lediglich eine Wissenserklärung – Bestätigung der Kenntnisnahme von der Belehrung auf das Datengeheimnis – darstellt3. Dadurch können auch Minderjährige (z.B. im Fall von Lehrlingen) auf das Datengeheimnis verpflichtet werden4. 13 Durch die Belehrung wird der Beschäftigte gleichsam „bösgläubig“, was im Falle eines unrechtmäßigen Umgangs mit Daten ein Verschulden und dadurch haftungs- und arbeitsrechtliche Konsequenzen begründen kann5. Der Beschäftigte kann sich dann jedenfalls nicht mehr auf einen Verbotsirrtum berufen6. 2. Form, Inhalt und Durchführung der Belehrung 14 Die Belehrungen gegenüber den Beschäftigten können formlos, das heißt ggf. auch mündlich erfolgen7. Aus Gründen der Beweisbarkeit ist es aber immer ratsam, Schriftform zu wählen8. Dabei ist es zweckmäßig, das jeweilige Dokument von dem Erklärungsempfänger gegenzeichnen zu lassen9. Verweigert der jeweilige Beschäftigte eine Unterschrift, kann die Beweissituation durch Unterzeichnung eines weiteren Mitarbeiters verbessert werden10. Diese „Verpflichtung“ ist auch bei Weigerung der Bestätigung der Kenntnisnahme stets wirksam11. 1 2 3 4 5 6 7 8
9 10 11
Simitis/Ehmann, § 5 BDSG Rz. 26. Siehe Rz. 14 ff. Simitis/Ehmann, § 5 BDSG Rz. 26; Taeger/Gabel/Kinast, § 5 BDSG Rz. 23. Simitis/Ehmann, § 5 BDSG Rz. 26. Taeger/Gabel/Kinast, § 5 BDSG Rz. 24. Schaffland/Wiltfang, § 5 BDSG Rz. 17; Taeger/Gabel/Kinast, § 5 BDSG Rz. 24; Müthlein, IT-Sicherheit 1/2003, 41. Gola/Schomerus, § 5 BDSG Rz. 11; Hold, RDV 2006, 249 (259). Schaffland/Wiltfang, § 5 BDSG Rz. 18; Simitis/Ehmann, § 5 BDSG Rz. 28; Taeger/Gabel/Kinast, § 5 BDSG Rz. 25; Runge, DuD 1993, 321 (323); Müthlein/Heck, RDV 1994, 121 (126); siehe auch Müthlein, IT-Sicherheit 1/2003, 41 (42); Gliss, DSB 2001, Nr. 9, 11, mit jeweils entsprechendem Muster. Gola/Schomerus, § 5 BDSG Rz. 11. Taeger/Gabel/Kinast, § 5 BDSG Rz. 25. Simitis/Ehmann, § 5 BDSG Rz. 29.
260 Schreiber
Datengeheimnis
§ 5 BDSG
Um Haftungsrisiken zu vermeiden, ist davon abzuraten, die Belehrung 15 durch Aushang am „schwarzen Brett“1 oder unter Verwendung von E-Mails, die nicht nach dem SignG verschlüsselt sind, bekannt zu machen2. Eine bloße Wiedergabe des Wortlauts von § 5 reicht nicht aus3. Statt- 16 dessen ist der Beschäftigte möglichst präzise über die folgenden drei Bereiche aufzuklären: (1). Die allgemeinen und speziell auf seinen Arbeitsplatz anwendbaren Bestimmungen zu Datengeheimnis sowie angrenzende Geheimhaltungspflichten4; (2.) Hinweise und Verhaltensempfehlungen zur praktischen Umsetzung des Datengeheimnisses; sowie (3.) Die (u.a. strafrechtlichen) Konsequenzen, die drohen, wenn sich der Beschäftigte nicht an das Datengeheimnis hält5. Der Belehrung sollte daher ein Merkblatt beigelegt werden, welches die vorgenannten Hinweise auf branchenübliche und positionsbezogene Verhaltensweisen sowie die jeweils wichtigsten Normen enthält und die Konsequenzen eines Verstoßes wie Schadensersatz oder sonstige Sanktionen aufzeigt6. Die Belehrung kann durch unterschiedliche Funktionsträger, beispiels- 17 weise die Personalabteilung, erfolgen7. Es gehört nicht zu den gemäß § 4g originären Pflichten des betrieblichen Datenschutzbeauftragten, die Belehrung vorzunehmen. Es bietet sich aber aufgrund seiner Sachnähe an, ihm diese Funktion zu übertragen8. Die Mitarbeiter sind nur einmal und zwar bei Aufnahme ihrer Tätigkeit zu belehren, wobei es sich anbietet, die Belehrung als Zusatzerklärung zum Arbeitsvertrag unterzeichnen zu lassen, diese zu den Personalakten zu nehmen und dem Beschäftigen eine Zweitschrift auszuhändigen9. Leiharbeitnehmer sind durch den Entleiher zu verpflichten. Der Entlei-
1 2 3 4 5 6
Gola/Schomerus, § 5 BDSG Rz. 11. Taeger/Gabel/Kinast, § 5 BDSG Rz. 25. Gola/Schomerus, § 5 BDSG Rz. 12; Taeger/Gabel/Kinast, § 5 Rz. 25. Taeger/Gabel/Kinast, § 5 BDSG Rz. 26. Vgl. hierzu Simitis/Ehmann, § 5 BDSG Rz. 28. Taeger/Gabel/Kinast, § 5 BDSG Rz. 26; vgl. Schaffland/Wiltfang, § 5 BDSG Rz. 2. 7 Vgl. Bergmann/Möhrle/Herb, § 5 BDSG Rz. 41; Taeger/Gabel/Kinast, § 5 BDSG Rz. 27; Runge, DuD 1993, 321 (322); Diekmann, RDV 2004, 256 (257); Müthlein, IT-Sicherheit 1/2003, 41 (42). 8 Gola/Schomerus, § 5 BDSG Rz. 13. 9 Simitis/Ehmann, § 5 BDSG Rz. 28; Schaffland/Wiltfang, § 5 BDSG Rz. 18.
Schreiber 261
18
BDSG § 5
Allgemeine und gemeinsame Bestimmungen
her verfügt nämlich regelmäßig über die größere Branchennähe und bessere Kenntnis von aufgabenbezogenen Verhaltensweisen1. 3. Belehrungsadressat 19 Adressat der Belehrung ist der bei einer nicht-öffentlichen Stelle „Beschäftigte“2. Aber nicht jeder Beschäftigte, der dem Datengeheimnis nach § 5 Satz 1 unterliegt, ist zugleich zwingend Adressat einer Belehrung nach § 5 Satz 2. 20 Organe einer Gesellschaft, Inhaber von Betrieben und gesetzliche Vertreter bedürfen keiner Belehrung nach § 5 Satz 2, obwohl sie zweifellos dem Geheimnisschutz nach § 5 Satz 1 unterliegen. Begründet wird das regelmäßig damit, dass diese Personen selbst für die Belehrung verantwortlich sind3. 21 Im Rahmen einer Auftragsdatenverarbeitung sind die bei dem Auftragnehmer Beschäftigten durch diesen zu unterrichten4. Das betrifft beispielsweise Service-Rechenzentren, Datenerfassungsbüros sowie externe Prüfer5. § 11 Abs. 4 Satz 1 in Verbindung mit § 11 Abs. 3 Satz 2 Nr. 5 sieht darüber hinaus vor, dass im Vertrag über die Auftragsdatenverarbeitung die „Pflicht zur Vornahme einer Verpflichtung“ aufgenommen werden muss. Entsprechend stellt sich die Lage im Falle einer Subunternehmereigenschaft dar6. Entsprechend sollten auch externe Mitarbeiter, wenn sie beispielsweise Zugriff auf die DV-Anlagen haben, belehrt werden7. Um jegliche Haftungsrisiken in diesem Zusammenhang auszuschließen, ist es ratsam, eine solche Belehrung auch gegenüber Reinigungskräften und Wachpersonal vorzusehen, soweit nicht ausgeschlossen werden kann, dass im Einzelfall ein Zugriff auf personenbezogene Daten möglich ist8.
1 Fernandez/Heinemann, DuD 2011, 711 (713); a.A. Simitis/Ehmann, § 5 BDSG Rz. 16; Bergmann/Möhrle/Herb, § 5 BDSG Rz. 21. 2 Zum Begriff des „Beschäftigten“ im Sinne von § 5 Satz 1 siehe oben unter Rz. 7 ff. 3 Taeger/Gabel/Kinast, § 5 BDSG Rz. 13. 4 Simitis/Ehmann, § 5 BDSG Rz. 25; Gola/Schomerus, § 5 BDSG Rz. 14; Taeger/ Gabel/Kinast, § 5 BDSG Rz. 16. 5 Dieckmann, RDV 2004, 256; Gola/Schomerus, § 5 BDSG Rz. 14. 6 Taeger/Gabel/Kinast, § 5 BDSG Rz. 16. 7 Diekmann, RDV 2004, 256 (266); Müthlein/Heck, RDV 1994, 121 (126). 8 Vgl. Gola/Schomerus, § 5 GDSG Rz. 9; Taeger/Gabel/Kinast, § 5 BDSG Rz. 11.
262 Schreiber
Datengeheimnis
§ 5 BDSG
Mitarbeiter des öffentlichen Dienstes sind keine Adressaten der Beleh- 22 rung des § 5. Das heißt aber nicht, dass sie von jeglichem Geheimnisschutz entbunden sind. Stattdessen unterliegen sie der im öffentlichen Dienst geltenden Verschwiegenheitspflicht, auf die regelmäßig in besonderer Form hingewiesen wird1. Ob auch die Mitglieder eines Betriebsrates nach § 5 Satz 2 belehrt wer- 23 den müssen, ist strittig. Nach einer Ansicht ist dies zu verneinen, weil hierdurch die Unabhängigkeit des Betriebsrates beeinträchtigt würde2. Nach zutreffender Auffassung verkennt diese Ansicht jedoch den rein deklaratorischen Charakter von § 5 Satz 2. Eine – zusätzliche – Verpflichtung, welche die Unabhängigkeit des Betriebsrats tangieren könnte, folgt daraus gerade nicht3. Daher ist § 5 Satz 2 auch auf Betriebsräte anzuwenden4. Dasselbe gilt für den betrieblichen Datenschutzbeauftragten5. IV. Fortbestand (Satz 3) Das Datengeheimnis besteht nach Beendigung des Beschäftigtenverhält- 24 nisses fort6. Es konzentriert sich dann auf das Verbot, personenbezogene Daten unzulässiger Weise zu offenbaren oder an Dritte weiterzugeben7. Für die Frage, ob das Beschäftigtenverhältnis beendet ist, kommt es nur auf die faktische Möglichkeit des Datenumgangs an8. Das bedeutet, dass neben dem Ausscheiden aus dem Arbeitsverhältnis eine Beendigung auch durch Umsetzung innerhalb desselben Betriebs möglich ist9.
1 Gola/Schomerus, § 5 BDSG Rz. 10. 2 Vgl. BAG v. 11.11.1997 – 1 ABR 21/97, RDV 1998, 64, ZTR 1998, 284 = NJW 1998, 2466; Darstellung bei Gola/Schomerus, § 5 BDSG Rz. 15 m.w.N. 3 Taeger/Gabel/Kinast, § 5 BDSG Rz. 14; Gola/Schomerus, § 5 BDSG Rz. 15; Kriependorf, DuD 1979, 17 (19). 4 Taeger/Gabel/Kinast, § 5 BDSG Rz. 14; Gola/Schomerus, § 5 BDSG Rz. 15. 5 Gola/Schomerus, § 5 BDSG Rz. 9; Taeger/Gabel/Kinast, § 5 BDSG Rz. 15; a.A. Schaffland/Wiltfang, § 5 BDSG Rz. 2. 6 Taeger/Gabel/Kinast, § 5 BDSG Rz. 29 f.; Simitis/Ehmann, § 5 BDSG Rz. 31. 7 Simitis/Ehmann, § 5 BDSG Rz. 32. 8 Taeger/Gabel/Kinast, § 5 BDSG Rz. 29. 9 Vgl. Schaffland/Wiltfang, § 5 BDSG Rz. 2; Taeger/Gabel/Kinast, § 5 BDSG Rz. 29.
Schreiber 263
BDSG § 5
Allgemeine und gemeinsame Bestimmungen
V. Rechtsfolgen/Sanktionen 1. Rechtsfolgen bei unterlassener Belehrung 25 Hat die verantwortliche Stelle die Belehrung des Beschäftigten unterlassen, drohen ihr keine Sanktionen unmittelbar wegen der Verletzung von § 5 Satz 2. Allenfalls droht eine behördliche Anordnung gemäß § 38 Abs. 5 Satz 1, weil ein Verstoß gegen Satz 1 der Anlage zu § 9 wegen mangelhafter Organisationsgestaltung vorliegt1. Darüber hinaus kommen im Schadensfall deliktische Ansprüche sowohl aus § 823 Abs. 1 Satz BGB wegen Verletzung des Rechts auf informationelle Selbstbestimmung als auch aus § 831 Abs. 1 Satz 1 BGB und § 7 in Betracht2. Aufgrund der unterlassenen Belehrung kann sich die verantwortliche Stelle dann nicht exkulpieren3. Unter Umständen könnte bei einer schwerwiegenden Persönlichkeitsverletzung überdies ein Anspruch auf Schmerzensgeld gegeben sein4. 26 Denkbar ist es auch, dass sich die verantwortliche Stelle trotz der unterlassenen Belehrung an dem jeweils handelnden Mitarbeiter schadlos halten kann, wenn die Rechtswidrigkeit des Umgangs mit den Daten auf der Hand lag oder der Mitarbeiter anderweitig darüber in Kenntnis gesetzt wurde5. Kann der Mitarbeiter hingegen darlegen, dass er sich in einem unvermeidbaren Verbotsirrtum befand, scheidet seine persönliche Haftung aus6. 2. Rechtsfolgen bei erfolgter Belehrung 27 Verstößt der Beschäftigte trotz Belehrung gegen das Datengeheimnis, kommen verschiedene Rechtsfolgen in Betracht7: 28 Zunächst sind arbeitsrechtliche Sanktionen nach den allgemeinen Grundsätzen von der Abmahnung bis zur außerordentlichen Kündigung denkbar, wobei das Ultima-ratio-Prinzip zu beachten ist8. Der Arbeit1 Taeger/Gabel/Kinast, § 5 BDSG Rz. 32; Simitis/Ehmann, § 5 BDSG Rz. 36. 2 Taeger/Gabel/Kinast, § 5 BDSG Rz. 33; siehe zu § 7 auch Schierbaum, Computer-Fachwissen, 4/2002, 20 (28). 3 Taeger/Gabel/Kinast, § 5 BDSG Rz. 33; vgl. Hold, RDV 2006, 249 (259). 4 Bergmann/Möhrle/Herb, § 5 BDSG Rz. 35. 5 Siehe Rz. 6. 6 Vgl. Bergmann/Möhrle/Herb, § 5 BDSG Rz. 38; Taeger/Gabel/Kinast, § 5 BDSG Rz. 34. 7 Taeger/Gabel/Kinast, § 5 BDSG Rz. 37/35 f. 8 Vgl. Schaffland/Wiltfang, § 5 BDSG Rz. 24; Taeger/Gabel/Kinast, § 5 BDSG Rz. 37; Bergmann/Möhrle/Herb, § 5 BDSG Rz. 35; vgl. LAG Hamm v. 16.9.2011
264 Schreiber
Datengeheimnis
§ 5 BDSG
geber hat außerdem ggf. einen Schadensersatzanspruch aus § 280 Abs. 1 BGB in Verbindung mit § 611 BGB gegen seinen Mitarbeiter1. Gleichzeitig kann ein Schadensersatzanspruch des Betroffenen gegen die verantwortliche Stelle aus § 280 BGB beziehungsweise § 7 gegeben sein2. Darüber hinaus hat der Betroffene eventuell unmittelbar einen Scha- 29 densersatzanspruch, beziehungsweise bei einer besonders schwerwiegenden Persönlichkeitsverletzung einen Schmerzensgeldanspruch gegen den Beschäftigten aus § 823 Abs. 1 BGB3. Wegen des erhöhten Betriebsrisikos ist der Arbeitgeber gegenüber dem Arbeitnehmer in diesem Fall im Innenverhältnis ggf. zur (teilweisen) Freihaltung verpflichtet4. Der Umfang des Freihalteanspruches richtet sich nach dem Verschuldensgrad des Arbeitnehmers und entfällt bei Vorsatz und grober Fahrlässigkeit5. Maßgeblich für das Verschulden wird unter anderem die Qualität der Belehrung sein6. Außerdem kann es sich bei einem Verstoß des Beschäftigten gegen den 30 Grundsatz des Datengeheimnisses um eine Ordnungswidrigkeit gemäß § 43 Abs. 2 handeln, wenn es sich bei den personenbezogenen Daten um nicht allgemein zugängliche Daten gehandelt hat7. Ist der Verstoß darüber hinaus gegen Entgelt oder mit Schädigungsabsicht erfolgt, könnte der Straftatbestand nach § 44 Abs. 1 erfüllt sein, der aber gemäß § 44 Abs. 2 nur auf Antrag verfolgt wird8. Als weiterer Straftatbestand kommt § 203 StGB bei Verletzung des Berufs- oder Amtsgeheimnisses in Betracht9. Weitergehend kommt die
1 2 3 4 5 6 7 8
9
– 10 TaBV 17/11, ZD 2012, 183; BAG v. 24.3.2011 – 2 AZR 282/10, ArbRB 2011, 332. Taeger/Gabel/Kinast, § 5 BDSG Rz. 38. Taeger/Gabel/Kinast, § 5 BDSG Rz. 38, siehe zu § 7 auch Schierbaum, Computer-Fachwissen, 4/2002, 20 (28). Vgl. Bergmann/Möhrle/Herb, § 5 BDSG Rz. 35. Taeger/Gabel/Kinast, § 5 BDSG Rz. 38. Taeger/Gabel/Kinast, § 5 BDSG Rz. 38. Taeger/Gabel/Kinast, § 5 BDSG Rz. 38. Vgl. Bergmann/Möhrle/Herb, § 5 BDSG Rz. 35; Taeger/Gabel/Kinast, § 5 BDSG Rz. 40; zu § 43 Abs. 2 siehe dort Rz. 11. Vgl. Taeger/Gabel/Kinast, § 5 BDSG Rz. 40; zu 203 StGB, 40 BDSG: Hold, RDV 2006, 249 (259); Weichert, NStZ 1999, 490; Hoeren, DuD 2010, 688 (690); Gliss, DSB 2001, Nr. 9, 11; Kaiser, NStZ 2011, 383 (388), zur Strafbarkeit des Ankaufs von Steuerdaten bei Verrat nach § 17 UWG; zu § 44 siehe dort Rz. 1 ff. Taeger/Gabel/Kinast, § 5 BDSG Rz. 41; vgl. Biewald, DuD 2011, 867 ff.; Weichert, NStZ 1999, 490, zu § 203 StGB; siehe Giesen, NStZ 2012, 122 ff., zur
Schreiber 265
31
BDSG § 5
Allgemeine und gemeinsame Bestimmungen
Qualifizierung nach § 353b StGB bei gleichzeitiger Gefährdung wichtiger öffentlicher Interessen und § 355 StGB bei Verletzung von § 30 AO in Betracht1. Bei Verletzung des Fernmeldegeheimnisses aus § 88 TKG könnte außerdem § 206 StGB einschlägig sein2. 32 Für öffentliche Stellen kommt eine Amtshaftung gemäß Art. 34 GG in Verbindung mit § 839 BGB, für den fiskalischen Bereich aus §§ 31, 89 BGB beziehungsweise § 831 BGB in Betracht3. Eine verschuldensunabhängige Haftung der öffentlichen Stelle ist durch § 8 im Falle einer automatisierten Datenverarbeitung möglich4. 3. Sanktionen bei Verweigerung der Kenntnisnahme 33 Der Beschäftigte ist aus dem Arbeitsverhältnis heraus nicht dazu verpflichtet, die Belehrung auf das Datengeheimnis seinem Arbeitgeber gegenüber besonders (z.B. durch Gegenzeichnung auf einem dafür vorbereiteten Merkblatt) zu bestätigen. Denn die einzige Funktion der Bestätigung liegt darin, die Beweissituation des Arbeitgebers zu stärken. Insbesondere kann der Beschäftigte nicht durch Weisung dazu gezwungen werden5. Daher kommen arbeitsrechtliche Sanktionen wegen der Verweigerung der Anerkennung der Belehrung grundsätzlich nicht in Betracht6. 34 Wenn jedoch hinreichender Verdacht dahingehend besteht, dass der Beschäftigte sich hierdurch der Verantwortung für sein eigenes Verhalten gezielt entziehen will, sollte der Beschäftigte daran gehindert werden, personenbezogene Daten zur Kenntnis zu nehmen. Überdies ist es in einem solchen Fall ratsam, arbeitsrechtliche Sanktionen zu prüfen und zu ergreifen7.
1
2 3 4 5 6 7
ärztlichen Schweigepflicht gegenüber Verrechnungsstellen und § 203 StGB; Kleinert, DuD 2010, 240, 244. Vgl. Schaffland/Wiltfang, § 5 BDSG Rz. 24; Taeger/Gabel/Kinast, § 5 BDSG Rz. 41; Behm, NStZ 2001, 153 ff., zu §§ 353b, 203 StGB siehe LG ULM v. 17.12.1999 – I Qs 1136 – 1137/99, NStZ, 2001, 153 ff.; Bohnert, NStZ 2004, 301. Taeger/Gabel/Kinast, § 5 BDSG Rz. 41; siehe hierzu § 32 Rz. 110 sowie § 88 TKG Rz. 25 f. Taeger/Gabel/Kinast, § 5 BDSG Rz. 39. Taeger/Gabel/Kinast, § 5 BDSG Rz. 39. Taeger/Gabel/Kinast, § 5 BDSG Rz. 36. Taeger/Gabel/Kinast, § 5 BDSG Rz. 35 f. Taeger/Gabel/Kinast, § 5 BDSG Rz. 36.
266 Schreiber
Datengeheimnis
§ 5 BDSG
VI. Verweise/Kontext § 5 ergänzt gesetzliche und berufsrechtliche Geheimhaltungspflichten, 35 und tritt grundsätzlich nicht wegen Subsidiarität nach § 1 Abs. 3 Satz 1 dahinter zurück. Stattdessen bleibt § 5 gemäß § 1 Abs. 3 Satz 2 kumulativ anwendbar1. Entsprechende Geheimhaltungspflichten finden sich etwa in § 2 BORA, § 43a BRAO, § 57 Abs. 1 StBerG i.V.m. mit § 9 BOStB, sowie in § 4f Abs. 4 (betrieblicher Datenschutzbeauftragter)2. Etwaige speziellere Vorschriften zum Geheimnisschutz, die den glei- 36 chen Sachverhalt regeln, gehen demgegenüber gemäß § 1 Abs. 3 Satz 1 dem allgemeinen Datengeheimnis des § 5 vor. Vorrangig ist daher zum Beispiel das Meldegeheimnis aus § 5 Abs. 1 MRRG3, sowie das Steuergeheimnis aus § 30 AO4. Werden die datenschutzrechtlichen Anforderungen aus § 5 BDSG gemäß § 1 Abs. 3 Satz 1 durch Spezialregelungen verschärft, verpflichtet § 5 die Beschäftigten auch auf diese zusätzlichen Anforderungen5. Beispielsweise richtet sich die Rechtmäßigkeit einer Einwilligung in die Übermittlung und Veröffentlichung von Statistikdaten nicht nach § 4a BDSG, sondern aufgrund seines spezielleren Charakters nach § 16 Abs. 1 Satz 2 Nr. 1 BStatG6.
37
Bieten gesetzliche Geheimhaltungspflichten hingegen einen gegenüber 38 dem BDSG weniger speziellen Schutz, wie beispielsweise durch den Grundsatz der allgemeinen Amtsverschwiegenheit aus § 67 BBG oder einem Landesbeamtengesetz, so setzt sich das BDSG mit § 5 durch7. Dies gilt allerdings nur, soweit personenbezogene Daten betroffen sind. Das bedeutet, dass die allgemeinere Norm anwendbar bleibt, soweit es um den Umgang mit nicht-personenbezogenen Daten geht. Entsprechend 1 Bergmann/Möhrle/Herb, § 5 BDSG Rz. 48; Taeger/Gabel/Kinast, § 5 BDSG Rz. 4; Simitis/Ehmann, § 5 BDSG Rz. 7; siehe zur ärztlichen Schweigepflicht Giesen, NStZ 2012, 122 ff. (ggü. Privatärztlichen Verrechnungsstellen); Jandt/ Roßnagel/Wilke, NZS 2011, 641 (645). 2 Vgl. auch Taeger/Gabel/Kinast, § 5 BDSG Rz. 4; hierzu gehören auch die ärztliche Schweigepflicht und das Patientengeheimnis, die sich jeweils aus den Berufsordnungen der Ärztekammern ergeben, sowie das kanonische oder pfarrdienstliche Beicht- und Seelsorgegeheimnis. 3 Gola/Schomerus, § 5 BDSG Rz. 1. 4 Taeger/Gabel/Kinast, § 5 BDSG Rz. 5; a.A. Schmittmann, ZD 2012, 16 (19), zu § 30 AO. 5 Taeger/Gabel/Kinast, § 5 BDSG Rz. 6 f. 6 Vgl. Taeger/Gabel/Kinast, § 5 BDSG Rz. 6. 7 Taeger/Gabel/Kinast, § 5 BDSG Rz. 7; vgl. Simitis/Ehmann, § 5 BDSG Rz. 7.
Schreiber 267
BDSG § 6
Allgemeine und gemeinsame Bestimmungen
ist das Verhältnis von § 5 zu § 30 VwVfG für Nicht-Beamte und § 17 UWG beziehungsweise § 79 BetrVerfG1 für Betriebs- und Geschäftsgeheimnisse2 sowie zu § 88 TKG3. Neben § 41 Abs. 1 BDSG gelangt § 5 nicht zur Anwendung, ohne allerdings zwingend einen spürbar geringeren Schutz des Datengeheimnisses zur Folge zu haben4. 39 Vergleichbare landesrechtliche Regelungen zu § 5 finden sich in § 9 HDSG, § 6 LDSG BW, Art. 5 BayDSG, § 6 BbgDSG, § 6 BremDSG, § 7 HmbDSG, § 5 Abs. 1 LDSG MV, § 5 NDSG, § 6 DSG NRW5, § 8 Abs. 1 LDSG R-Pf, § 6 Abs. 2 SächsDSG und § 8 Abs. 2 BlnDSG6. Rechte des Betroffenen
6
(1) Die Rechte des Betroffenen auf Auskunft (§§ 19, 34) und auf Berichtigung, Löschung oder Sperrung (§§ 20, 35) können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.
(2) 1Sind die Daten des Betroffenen automatisiert in der Weise gespeichert, dass mehrere Stellen speicherungsberechtigt sind, und ist der Betroffene nicht in der Lage festzustellen, welche Stelle die Daten gespeichert hat, so kann er sich an jede dieser Stellen wenden. 2Diese ist verpflichtet, das Vorbringen des Betroffenen an die Stelle, die die Daten gespeichert hat, weiterzuleiten. 3Der Betroffene ist über die Weiterleitung und jene Stelle zu unterrichten. 4Die in § 19 Abs. 3 genannten Stellen, die Behörden der Staatsanwaltschaft und der Polizei sowie öffentliche Stellen der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, können statt des Betroffenen den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unterrichten. 5In diesem Fall richtet sich das weitere Verfahren nach § 19 Abs. 6.
1 Gola/Schomerus, § 5 BDSG Rz. 1; vgl. hierzu Gola/Wronka, NZA 1991, 790, 792 ff.; zu anderen Bestimmungen aus dem BetrVG Linnenkohl, NJW 1981, 202 ff. 2 Kaiser, NStZ 2011, 383 (387 f.), zur Strafbarkeit des Ankaufs von Steuerdaten bei Verrat nach § 17 UWG. 3 Vgl. Gola/Schomerus, § 5 BDSG Rz. 1; Taeger/Gabel/Kinast, § 5 BDSG Rz. 7; vgl. Cebulla, DuD 2010, 308 (310), zum Hybridbrief und § 39 PostG. 4 Vgl. Taeger/Gabel/Kinast, § 5 BDSG Rz. 8. 5 Zilkens/Kohlhause, ZD, 2012, 119 (122). 6 Gola/Schomerus, § 5 BDSG Rz. 17.
268 Schreiber
§ 6 BDSG
Rechte des Betroffenen
(3) Personenbezogene Daten über die Ausübung eines Rechts des Betroffenen, das sich aus diesem Gesetz oder aus einer anderen Vorschrift über den Datenschutz ergibt, dürfen nur zur Erfüllung der sich aus der Ausübung des Rechts ergebenden Pflichten der verantwortlichen Stelle verwendet werden. I. Einführung . . . . . . . . . . . . . . . .
1
II. Unabdingbarkeit (Abs. 1) . . . . 4 1. Anwendungsvoraussetzungen. . . . . . . . . . . . . . . . . . . . . . . 4 2. Rechtsfolgen . . . . . . . . . . . . . . 11 III. Verbunddateien und vernetzte Systeme . . . . . . . . . . . . 13 1. Pflicht zur Weiterleitung und Unterrichtung . . . . . . . . . . . . . 13
2. Rechtsfolgen . . . . . . . . . . . . . . . 17 3. Besonderheiten bei Sicherheitsbehörden (Abs. 2 Satz 4, 5) . . . . . . . . . . . . . . . . . . 20 IV. Zweckbindung der Daten (Abs. 3). . . . . . . . . . . . . . . . . . . . 23 V. Rechtsdurchsetzung . . . . . . . . 26 VI. Verweise/Kontext . . . . . . . . . . 27
Schrifttum: Arzt/Eier, Zur Rechtmäßigkeit der Speicherung personenbezogener Daten in „Gewalttäter“-Verbunddateien des Bundeskriminalamts, DVBl 2010, 816; Däubler, Individualrechte des Arbeitnehmers nach dem neuen BDSG, CR 1991, 475; Hogenschurz, NZM 2010, 500; Knemeyer, Auskunftsanspruch und behördliche Auskunftsverweigerung, JZ 1992, 348; 12; Pauly/Ritzer, DatenschutzNovellen: Herausforderungen für die Finanzbranche, WM 2010, 8.
I. Einführung Der Schutz der informationellen Selbstbestimmung des Einzelnen kann 1 nur so gut und effektiv sein, wie die damit verbundenen Schutzrechte letztlich auch durchgesetzt werden können. § 6 Abs. 1 sichert jedem Betroffenen daher die Unabdingbarkeit insbesondere seiner Ansprüche auf Auskunft, Berichtigung, Löschung und Sperrung. § 6 Abs. 2 stellt sicher, dass der Betroffene diese Rechte auch dann noch 2 geltend machen kann, wenn die einschlägigen Verarbeitungs- und Organisationsstrukturen und daher letztlich sein Anspruchsgegner für ihn nicht unmittelbar zu erkennen sind (sog. Verbunddateien und vernetzte Systeme)1. Besonderheiten gelten für Behörden im Sicherheitsbereich2. § 6 Abs. 3 stellt sicher, dass der Betroffene durch die Geltendmachung 3 seiner Rechte auf Auskunft, Löschung oder Sperrung keine Nachteile er-
1 Simitis/Mallmann, § 6 BDSG Rz. 26, 15 f. 2 Bergmann/Möhrle/Herb, § 6 BDSG Rz. 60; siehe hierzu Rz. 20 ff.
Schreiber 269
BDSG § 6
Allgemeine und gemeinsame Bestimmungen
leidet1. In der Vergangenheit wurde beispielsweise vereinzelt festgestellt, dass in der Praxis die Bitte eines Betroffenen um Auskunft bei Auskunfteien zu einem schlechteren Score2 und damit zu einer Abwertung seiner Bonität geführt hatte3. Durch § 6 Abs. 3 soll unter anderem dieser Praxis ein Riegel vorgeschoben werden4. II. Unabdingbarkeit (Abs. 1) 1. Anwendungsvoraussetzungen 4 Nach § 6 Abs. 1 können die Rechte auf Auskunft (§§ 19, 34) und auf Berichtigung, Löschung oder Sperrung (§§ 20, 35) nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden. Diese Aufzählung der Rechte ist nicht abschließend5. Weitere indisponible Rechte des Betroffenen sind etwa das Recht auf Belehrung bei der Datenerhebung aus § 13 Abs. 1a, das Recht, sich mit einer Beschwerde an die Aufsichtsbehörde zu wenden oder die bei der Aufsichtsbehörde geführten Register einzusehen, das allgemeine Widerspruchsrecht sowie der Schadensersatzanspruch nach § 76. 5 Die Bestimmung verbietet jeglichen Ausschluss der indisponiblen Rechte7. Auch eine Beschränkung der Ansprüche ist verboten8, wobei damit bereits jede Änderung zum Nachteil des Betroffenen gemeint ist. Eine Beschränkung liegt daher beispielsweise vor, wenn an die Geltendmachung Bedingungen oder Voraussetzungen geknüpft werden oder die Rechte nur noch teilweise geltend gemacht werden können9. Aus demselben Grund darf gegenüber den Rechten des Betroffenen auch ein Zurückbehaltungsrecht nicht geltend gemacht werden10.
1 Taeger/Gabel/Meents, § 6 BDSG Rz. 20. 2 Zum „Scoring“ siehe § 28b Rz. 6; vgl. hierzu auch Pauly/Ritzer, WM 2010, 8, 12. 3 Gola/Schomerus, § 6 BDSG Rz. 8a; Bergmann/Möhrle/Herb, § 6 BDSG Rz. 2a; Däubler, CR 1991, 475, 476. 4 BT-Drucks. 16/10529, 13. 5 Gola/Schomerus, § 6 BDSG Rz. 2; Bergmann/Möhrle/Herb, § 6 BDSG Rz. 5. 6 Vgl. Simitis/Dix, § 6 BDSG Rz. 21; Schaffland/Wiltfang, § 6 BDSG Rz. 1; ausführlich Bergmann/Möhrle, § 6 BDSG Rz. 39 ff. 7 Vgl. Taeger/Gabel/Meents, § 6 BDSG Rz. 10; nach Schaffland/Wiltfang, § 6 BDSG Rz. 2, ist hingegen ein einseitiger Verzicht möglich ist. 8 Gola/Schomerus, § 6 BDSG Rz. 4. 9 Gola/Schomerus, § 6 BDSG Rz. 5. 10 Simitis/Dix, § 6 BDSG Rz. 21; Schaffland/Wiltfang, § 6 BDSG Rz. 2a.
270 Schreiber
Rechte des Betroffenen
§ 6 BDSG
Im Privatrecht findet das Verbot sowohl auf Individualvereinbarungen 6 als auch auf Allgemeine Geschäftsbedingungen Anwendung1. Anwendbar ist das Verbot auch auf den Abschluss von Betriebsvereinbarungen2. Im öffentlich-rechtlichen Bereich ist der rechtsgeschäftliche Ausschluss der Rechte aus Absatz 1 durch hoheitliches Handeln praktisch kaum relevant3. Aber auch bei sonstigem hoheitlichem Handeln, zum Beispiel durch Nebenbestimmungen zu einem Verwaltungsakt, dürfen die Rechte des Betroffenen nicht eingeschränkt werden4. Während Verzicht und Beschränkung auf die Rechte des Betroffenen nicht zulässig sind, ist eine Vereinbarung, durch welche die Rechte des Betroffenen gestärkt werden, hingegen möglich5. Zu Recht wurde § 6 Abs. 1 daher auch als „Verböserungsverbot“ bezeichnet6.
7
Berechtigt zur Durchsetzung der Ansprüche ist jeder Betroffene. Der Begriff des Betroffenen ist in § 3 Abs. 1 legal definiert (siehe § 3 Rz. 4 f.). Als Ausfluss des Rechts auf informationelle Selbstbestimmung stehen die Rechte aus Absatz 1 damit „jedermann“ zu7. Es kommt also insbesondere nicht auf die Nationalität an. Als höchstpersönliche Rechte sind die Ansprüche weder übertragbar, noch vererbbar8.
8
Sowohl der rechtsgeschäftliche als auch der gesetzliche Vertreter kann die Rechte für den Betroffenen jedoch stellvertretend geltend machen9.
9
Anspruchsverpflichtet nach Absatz 1 ist die verantwortliche Stelle. Der Begriff der verantwortlichen Stelle ist in § 3 Abs. 7 legal definiert (siehe § 3 Rz. 66 ff.). Besonderheiten gelten bei Verbundsystemen10. Im Falle einer Auftragsdatenverarbeitung nach § 11 Abs. 1 Satz 2 ist verantwortliche Stelle grundsätzlich der Auftraggeber11. Im Falle einer Insolvenz
10
1 2 3 4 5 6 7 8
Schaffland/Wiltfang, § 6 BDSG Rz. 33; Gola/Schomerus, § 6 BDSG Rz. 4. Gola/Schomerus, § 6 BDSG Rz. 4; Bergmann/Möhrle/Herb, § 6 Rz. 33. Gola/Schomerus, § 6 BDSG Rz. 4. Gola/Schomerus, § 6 BDSG Rz. 4; ausführlich Bergmann/Möhrle, 39 ff. Vgl. Simitis/Dix, § 6 BDSG Rz. 22. Taeger/Gabel/Meents, § 6 BDSG Rz. 8. Vgl. BVerfGE 65, 1, 42. Gola/Schomerus, § 6 BDSG Rz. 3; Bergmann/Möhrle/Herb, § 6 BDSG Rz. 12; zur Übertrag- und Vererbbarkeit von Schadensersatzansprüchen nach §§ 7 und 8 vgl. § 7 Rz. 22 sowie § 8 Rz. 14. 9 Schaffland/Wiltfang, § 6 BDSG Rz. 2; Bergmann/Möhrle/Herb, § 6 BDSG Rz. 11. 10 Siehe hierzu Rz. 13 ff. 11 Taeger/Gabel/Meents, § 6 BDSG Rz. 6, siehe zur Auftragsdatenverarbeitung § 11 Rz. 1 ff.
Schreiber 271
BDSG § 6
Allgemeine und gemeinsame Bestimmungen
sind die Pflichten der verantwortlichen Stelle vom Insolvenzverwalter fortzuführen1. 2. Rechtsfolgen 11 Im privaten Bereich hat ein Verstoß gegen Absatz 1 die Nichtigkeit des Rechtsgeschäfts nach § 134 BGB zur Folge2. Daneben kommt bei Allgemeinen Geschäftsbedingungen ein Verstoß gegen §§ 305 ff. BGB in Betracht. Ein Verstoß gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) liegt i.d.R. nur dann vor, wenn man die Bestimmungen des BDSG als Marktverhaltensregelungen ansieht (vgl. näher dazu § 1 Rz. 15 f.). 12 Im öffentlich-rechtlichen Bereich führt ein Verstoß regelmäßig zur Nichtigkeit des Rechtsgeschäfts oder Verwaltungshandelns. Bei einem Verwaltungsakt ergibt sich die Nichtigkeit des gesamten Verwaltungsaktes in erster Linie aus § 44 Abs. 1 VwVfG, weil es sich regelmäßig um einen besonders schwerwiegenden Fehler handeln dürfte3. In Betracht kommt außerdem ein Verstoß gegen die guten Sitten nach § 44 Abs. 2 Nr. 6 VwVfG4. Bei Nebenbestimmungen zu begünstigenden Verwaltungsakten sind lediglich die Nebenbestimmungen nichtig, § 36 VwVfG. Bei öffentlich-rechtlichen Verträgen kann sich die Nichtigkeit entweder aus § 59 Abs. 1 VwVfG in Verbindung mit § 134 BGB oder, wenn es sich um einen subordinationsrechtlichen Vertrag handelt, aus § 59 Abs. 2 i.V.m. § 44 VwVfG ergeben5. Außerdem kann die verantwortliche Stelle ggf. gemäß §§ 7, 8 schadensersatzpflichtig sein6. III. Verbunddateien und vernetzte Systeme 1. Pflicht zur Weiterleitung und Unterrichtung 13 Abs. 2 Satz 1–3 enthält eine Weiterleitungs- und Unterrichtungspflicht der angerufenen Stelle, die dem Betroffenen die Durchsetzung seiner
1 Bergmann/Möhrle/Herb, § 6 BDSG Rz. 9. 2 Taeger/Gabel/Meents, § 6 BDSG Rz. 11; Gola/Schomerus, § 6 BDSG Rz. 5; siehe auch Simitis/Dix, § 6 BDSG Rz. 24, wonach es für die Nichtigkeit keines Rückriffs auf § 134 BGB bedarf. 3 Vgl. Simitis/Dix, § 6 BDSG Rz. 25; Bergmann/Möhrle/Herb, § 6 BDSG Rz. 34 f. 4 Bergmann/Möhrle/Herb, § 6 BDSG Rz. 35. 5 Vgl. Simitis/Dix, § 6 BDSG Rz. 25; Bergmann/Möhrle/Herb, § 6 BDSG Rz. 35. 6 Taeger/Gabel/Meents, § 6 BDSG Rz. 11.
272 Schreiber
Rechte des Betroffenen
§ 6 BDSG
Rechte auch in den Fällen ermöglichen soll, in denen seine Daten in einer Datei gespeichert sind, in denen mehrere Stellen speicherungsberechtigt sind1. Da er in solchen Fällen regelmäßig nicht erkennen kann, wer letztlich für die gespeicherten Daten tatsächlich verantwortliche Stelle ist, kann er sich mit seinem Gesuch an jede zur Speicherung berechtigte Stelle wenden. Dadurch sollen dem Betroffenen insbesondere aufwändige Nachforschungen erspart werden2. § 6 Abs. 2 Satz 1 setzt voraus, dass mindestens zwei Stellen zur Speiche- 14 rung personenbezogener Daten berechtigt sind, die angerufene Stelle auch an dem „Verbundsystem“3 beteiligt und der Betroffene nicht in der Lage ist, die verantwortliche Stelle selbst zu ermitteln4. Absatz 2 ist regelmäßig nicht einschlägig, wenn der Betroffene von der verantwortlichen Stelle über die Speicherung unterrichtet wurde5. Die Anwendung von § 6 Abs. 2 Satz 1–3 kommt vor allem im Rahmen 15 vielschichtiger Vertragserfüllungen, wenn beispielsweise diverse Konzerngesellschaften an der Vertragserfüllung beteiligt sind, in Betracht. Auch bei der Auftragsdatenverarbeitung6 oder bei einer Kombination von Auftragsdatenverarbeitung im Fremdinteresse und Datenverarbeitung im Eigeninteresse („Doppelfunktion im Eigeninteresse“)7 liegt eine Anwendbarkeit nahe. Dies gilt auch dann, wenn der Betroffene nicht erkennen kann, dass die verarbeitende Stelle lediglich im Auftrag tätig wird8. Im öffentlichen Bereich kommt § 6 Abs. 2 etwa in Betracht, wenn Daten zwischen Behörden weitergegeben oder abgeglichen werden9. Die Frage der datenschutzrechtlichen Verantwortung wird durch § 6 Abs. 2 nicht berührt10. Eine gesamtschuldnerische Haftung zwischen
1 Bergmann/Möhrle/Herb, § 6 BDSG Rz. 52; Simitis/Mallmann, § 6 BDSG Rz. 26. 2 Taeger/Gabel/Meents, § 6 BDSG Rz. 13. 3 Zur Speicherung von Verbunddateien vgl. Arzt/Eier, DVBL 2010, 816 (818 ff.). 4 Taeger/Gabel/Meents, § 6 BDSG Rz. 12 f.; Gola/Schomerus, § 6 BDSG Rz. 6; vgl. zur Kenntlichmachung der verantwortlichen Stelle bei Videoüberwachungen von Hauseingängen, um § 6 Abs. 2 zu entgehen Hogenschurz, NZM 2010, 500 (502). 5 Schaffland/Wiltfang, § 6 BDSG Rz. 25; Gola/Schomerus, § 6 BDSG Rz. 6; a.A. Simitis/Dix, § 6 BDSG Rz. 25. 6 Gola/Schomerus, § 6 BDSG Rz. 6; Schaffland/Wiltfang, § 6 BDSG Rz. 25. 7 Siehe hierzu § 11 Rz. 25 f. 8 Taeger/Gabel/Meents, § 6 BDSG Rz. 12. 9 Vgl. hierzu ausführlich Bergmann/Möhrle/Herb, § 6 BDSG Rz. 55a, 55b. 10 Simitis/Mallmann, § 6 BDSG Rz. 35.
Schreiber 273
16
BDSG § 6
Allgemeine und gemeinsame Bestimmungen
den einzelnen an der Datenverarbeitung beteiligten Stellen wird dadurch nicht begründet1. 2. Rechtsfolgen 17 Soweit die genannten Voraussetzungen erfüllt sind, kann sich der Betroffene an jede speicherungsberechtigte Stelle wenden. Diese hat sein Vorbringen unverzüglich an die Stelle weiterzuleiten, welche die Daten tatsächlich gespeichert hat2. 18 Nach § 6 Abs. 2 Satz 3 ist der Betroffene über die Weiterleitung seines Vorbringens von der angerufenen Stelle unverzüglich zu informieren. Ferner sind ihm Name und Anschrift der speichernden Stelle mitzuteilen. Die Mitteilung muss dabei in einer Form erfolgen, die die Kenntnisnahme des Betroffenen sicherstellt3. Besondere Anforderungen an die Form stellt das Gesetz hingegen nicht. Wenn eine schriftliche Benachrichtigung erfolgt, sollte ein geschlossenes Couvert verwendet werden4. 19 Die Verletzung der Weiterleitungs- und Unterrichtungspflicht kann im privatrechtlichen Bereich Schadensersatzpflichten aus § 823 Abs. 2 BGB sowie – soweit eine vertragliche Beziehung besteht – aus § 280 BGB begründen5. Im öffentlich-rechtlichen Bereich ist hierin eine Amtspflichtverletzung zu sehen, so dass für einen Schadensersatzanspruch § 839 BGB in Verbindung mit Art. 34 GG in Betracht kommt6. 3. Besonderheiten bei Sicherheitsbehörden (Abs. 2 Satz 4, 5) 20 Handelt es sich bei der nach § 6 Abs. 2 Satz 1–3 in Anspruch genommenen Stelle um eine der in § 6 Abs. 2 Satz 4 abschließend7 aufgeführten Sicherheitsbehörden, kann diese von einer Unterrichtung des Betroffenen absehen und stattdessen den Bundesbeauftragten für den Datenschutz (BfDI) informieren8. Von dieser Ermessensregelung müssen die Behörden allerdings nicht in jedem Fall Gebrauch machen9. Zu den aufgeführten Si1 2 3 4 5 6 7 8 9
Bergmann/Möhrle/Herb, § 6 BDSG Rz. 56. Vgl. Pauly/Ritzer, WM 2010, 8 (12); Simitis/Mallmann, § 6 BDSG Rz. 39. Simitis/Mallmann, § 6 BDSG Rz. 41. Simitis/Mallmann, § 6 BDSG Rz. 41. Vgl. Gola/Schomerus, § 6 BDSG Rz. 7; Bergmann/Möhrle/Herb, § 6 BDSG Rz. 59. Bergmann/Möhrle/Herb, § 6 BDSG Rz. 59. Taeger/Gabel/Meents, § 6 BDSG Rz. 19; Simitis/Mallmann, § 6 BDSG Rz. 41. Simitis/Mallmann, § 6 BDSG Rz. 46. Bergmann/Möhrle/Herb, § 6 BDSG Rz. 61.
274 Schreiber
Rechte des Betroffenen
§ 6 BDSG
cherheitsbehören gehören u.a. die Verfassungsschutzbehörden, der Bundesnachrichtendienst sowie der Militärische Abschirmdienst1. Macht die Sicherheitsbehörde von ihrem Recht Gebrauch, prüft der BfDI, ob die Nichtunterrichtung rechtmäßig gewesen ist (Abs. 2 Satz 5 unter Verweis auf § 19 Abs. 6)2. Über den Stand seiner Überprüfung darf der BfDI den Betroffenen allerdings nur so allgemein informieren, dass Rückschlüsse auf die verantwortliche Stelle nicht möglich sind3.
21
Stellt der BfDI einen datenschutzrechtlichen Verstoß fest, muss er auf Abhilfe bei der verantwortlichen Stelle hinwirken4.
22
IV. Zweckbindung der Daten (Abs. 3) Seit der Novelle zum 1.4.2010 enthält das BDSG mit § 6 Abs. 3 ein 23 Zweckbindungsgebot und Nutzungsverbot5, um sicherzustellen, dass der Betroffene keine Nachteile dadurch erleidet, dass er die ihm gesetzlich zustehenden Betroffenenrechte geltend macht6. Die aus der Geltendmachung eines solchen Rechts folgenden personenbezogenen Daten unterliegen einer engen Zweckbindung, so dass Daten nur in dem Umfang erhoben und gespeichert werden dürfen, wie dies für die Erfüllung der Aufgaben nach dem BDSG notwendig ist. Überdies muss eine Nutzung der in Folge gespeicherten Daten für andere als die Zwecke der Rechtsausübung unterbleiben7. Hat die verantwortliche Stelle die jeweils geltend gemachten Ansprüche erfüllt, sind die Daten zu löschen oder zu anonymisieren8. § 6 Abs. 3 flankiert damit die aus § 28 folgende Zweckbindung, die sich dort nur unmittelbar auf die Verwendung der personenbezogenen Daten selbst bezieht9. § 6 Abs. 3 erfasst zunächst alle personenbezogenen Daten, die durch die Geltendmachung der Rechte auf Auskunft, Löschung, Berichtigung und 1 Zu den Sicherheitsbehörden im Eizelnen siehe Simitis/Mallmann, § 6 BDSG Rz. 41. 2 Simitis/Mallmann, § 6 BDSG Rz. 60; Taeger/Gabel/Meents, § 19 BDSG Rz. 38; vgl. zum Verfahren nach § 19 Abs. 6 dort unter Rz. 27 f. 3 Simitis/Mallmann, § 6 BDSG RZ. 59. 4 Vgl. Taeger/Gabel/Mester, § 19 BDSG Rz. 38. 5 Gola/Schomerus, BDSG § 6 Rz. 8a. 6 Vgl. hierzu auch oben Rz. 3 f. 7 Bergmann/Möhrle/Herb, § 6 BDSG Rz. 76b; Simitis/Mallmann, § 6 BDSG Rz. 63. 8 Simitis/Mallmann, § 6 BDSG Rz. 65. 9 Taeger/Gabel/Meents, § 6 BDSG Rz. 22.
Schreiber 275
24
BDSG § 6
Allgemeine und gemeinsame Bestimmungen
Sperrung entstehen. Die Vorschrift gilt jedoch über den Wortlaut hinaus auch für die Wahrnehmung sonstiger Betroffenenrechte, die nicht in § 6 genannt sind, beispielsweise das Widerspruchsrecht1. 25 Die Missachtung des Zweckbindungsgebotes aus § 6 Abs. 3 begründet keinen Bußgeldtatbestand und stellt keine Strafvorschrift dar. Es handelt sich jedoch um ein Verbotsgesetz i.S.d. § 134 BGB sowie um ein Schutzgesetz i.S.d. § 823 Abs. 2 BGB2. V. Rechtsdurchsetzung 26 Welcher Rechtsweg zur Durchsetzung der Rechte des Betroffenen eröffnet ist, richtet sich danach, welcher Rechtsweg für sonstige Ansprüche der jeweils Beteiligten einschlägig wäre3. Ist die verantwortliche Stelle eine Behörde, so wird, wie auch bei der Geltendmachung der Rechte aus den §§ 19, 20 BDSG, die Verpflichtungsklage vor dem Verwaltungsgericht statthaft sein. Handelt es sich hingegen um einen Sozialversicherungsträger oder ein Versorgungsamt, ist die Klage vor dem Sozialgericht einzulegen4. Handelt es sich bei der zuständigen Stelle um die Staatsanwaltschaft oder eine Justizbehörde, so ist gemäß § 23 EGGVG der ordentliche Rechtsweg eröffnet5. Gemäß § 2 ArbGG kann der Rechtsweg vor dem Arbeitsgericht eröffnet sein, wenn es um Ansprüche geht, die im Rahmen des Arbeitsverhältnisses geltend gemacht werden6. In Abgaben- oder Steuerangelegenheiten wird regelmäßig der Rechtsweg zu den Finanzgerichten gemäß § 33 FGO einschlägig sein7. VI. Verweise/Kontext 27 Einige Landesdatenschutzgesetze enthalten vergleichbare – zum Teil erweiterte – Bestimmungen – zur Unabdingbarkeit der Rechte aus Absatz 1 (beispielsweise § 6 Abs. 2 Hmb DSG, § 20 NDSG, § 7 BlnDSG, § 5 Abs. 1 Satz 2 BbgDSG, § 28 DSG M-V, § 5 Satz 2 DSG NRW, § 6 Abs. 2 LDSG RPf, § 19 SDSD, § 5 Abs. 2 Sächs. DSG, § 17 DSG-LSA, § 31 LDSG SH, § 5 Abs. 2 ThürDSG)8. 1 2 3 4 5 6 7 8
Simitis/Mallmann, § 6 BDSG Rz. 63. Simitis/Mallmann, § 6 BDSG Rz. 64. Taeger/Gabel/Meents, § 6 BDSG Rz. 23; vgl. zum Rechtsweg auch § 20 Rz. 34. Gola/Schomerus, § 19 BDSG Rz. 35. Vgl. Gola/Schomerus, § 19 BDSG Rz. 35. Bergmann/Möhrle/Herb, § 6 BDSG Rz. 71. Vgl. Bergmann/Möhrle/Herb, § 6 BDSG Rz. 71. Vgl. auch Gola/Schomerus, § 6 BDSG Rz. 9.
276 Schreiber
§ 6a BDSG
Automatisierte Einzelentscheidung
Automatisierte Einzelentscheidung (1) 1Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. 2Eine ausschließlich auf eine automatisierte Verarbeitung gestützte Entscheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat.
6a
(2) Dies gilt nicht, wenn 1. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertragsverhältnisses oder eines sonstigen Rechtsverhältnisses ergeht und dem Begehren des Betroffenen stattgegeben wurde oder 2. die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen gewährleistet ist und die verantwortliche Stelle dem Betroffenen die Tatsache des Vorliegens einer Entscheidung im Sinne des Absatzes 1 mitteilt sowie auf Verlangen die wesentlichen Gründe dieser Entscheidung mitteilt und erläutert. (3) Das Recht des Betroffenen auf Auskunft nach den §§ 19 und 34 erstreckt sich auch auf den logischen Aufbau der automatisierten Verarbeitung der ihn betreffenden Daten. I. Einführung . . . . . . . . . . . . . . . .
1
II. Verbot der automatisierten Einzelentscheidung. . . . . . . . . 4 1. Entscheidungen (Abs. 1 Satz 1) . . . . . . . . . . . . . . . . . . . . 5 2. Auswirkungen der Entscheidungen (Rechtliche Folge/Erhebliche Beeinträchtigung) (Abs. 1 Satz 1). . . . . . . . . . . . . . 6 3. Ausschließlichkeit der automatisierten Verarbeitung (Abs. 1 Satz 1 und 2) . . . . . . . . 11 4. Bewertung einzelner Persönlichkeitsmerkmale (Abs. 1 Satz 1) . . . . . . . . . . . . . . . . . . . . 14
5. Ausnahmen von dem Verbot (Abs. 2). . . . . . . . . . . . . . . . . . . . a) Stattgabe des Begehrens (Abs. 2 Nr. 1) . . . . . . . . . . . . b) Wahrung der berechtigten Interessen (Abs. 2 Nr. 2) . . . 6. Auskunft (Abs. 3) . . . . . . . . . . .
18 19 20 29
III. Verhältnis zu anderen Normen . . . . . . . . . . . . . . . . . . . 31 IV. Rechtsfolgen/Sanktionen . . . . 34
Schrifttum: Abel, Rechtsfragen von Scoring und Rating, RDV 2006, 108; Abel, Die neuen BDSG-Regelungen, RDV 2009, 147; Beckhusen, Der Datenumgang innerhalb des Kreditinformationssystems der SCHUFA, 2004; Beckhusen, Das Scoring-Verfahren der SCHUFA im Wirkungsbereich des Datenschutzrechts, BKR
Kamlah 277
BDSG § 6a
Allgemeine und gemeinsame Bestimmungen
2005, 335; Behm, Datenschutzrechtliche Anforderungen an Scoring-Verfahren unter Einbeziehung von Geodaten, RDV 2010, 61; Braunsfeld/Richter, Bonitätsbeurteilungen mittels DV-gestützter Verfahren, CR 1996, 775; Dittombée, CreditScoring in der Praxis, in: LDI NRW (Hrsg.), Living by numbers, 2005, 86; Früh, Die Regelung des § 18 KWG, WM 2002, 1813; Füser, Scoring und Rating im Kontext von Basel II, FLF 2001, 94; Füser/Rödel, Basel II-Internes Rating mittels (quantitativer und) qualitativer Kriterien, DStR 2002, 275; Ganßauge, Datenverarbeitung und -nutzung von Kreditwürdigkeitsdaten durch fremdnützige Verarbeiter, 1995; GDD-Arbeitskreis „Datenschutz-Praxis“ (Hrsg.), Praxishilfe Automatisierte Einzelentscheidungen, Scoring, Datenübermittlung an Auskunfteien, Sonderbeilage zur RDV-Ausgabe 1 (2010); Gürtler/Kriese, Die Umsetzung der Scoringtransparenz bei Banken, RDV 2010, 47; Helfrich, Kreditscoring und Scorewertbildung der SCHUFA – Datenschutzrechtliche Zulässigkeit im Rahmen der praktischen Anwendungen, 2010; Höfer/Rauscher, ASS – Das Scoreverfahren der SCHUFA, FLF 1997, 109; Hoeren, Rechtliche Grundlagen des SCHUFA-ScoringVerfahrens, RDV 2007, 93; Hoeren, Datenschutz und Scoring; Grundelemente der BDSG-Novelle I, VuR 2009, 363; Hoeren, Rechtliche Grundlagen des SCHUFAScoring-Verfahrens in: SCHUFA Holding AG, Grundlageschrift; Kamlah, Das SCHUFA-Verfahren und seine datenschutzrechtliche Zulässigkeit, MMR 1999, 395; Kamlah, Das Scoring-Verfahren der SCHUFA, MMR 2003, V-VII; Kamlah, Scoring-Verfahren – Statistik und Datenschutzrecht, ZVI 2004, 9; Klein, Zur datenschutzrechtliche Relevanz des Scorings von Kreditrisiken, BKR 2003, 488; Koch, Scoring-Systeme in der Kreditwirtschaft Einsatz unter datenschutzrechtlichen Aspekten, MMR 1998, 458; Mackenthun, Datenschutzrechtliche Voraussetzungen der Verarbeitung von Kundendaten beim zentralen Rating und Scoring im Bank-Konzern, WM 2004, 1713; Petri, Das Scoringverfahren der SCHUFA, DuD 2001, 290; Petri, Sind Scoringwerte rechtswidrig?, DuD 2003, 631; Petri, Ist Credit-Scoring rechtswidrig? in: LDI NRW (Hrsg,) Living by numbers, 2005, 111; Schuler-Harms, Die kommerzielle Nutzung statistischer Persönlichkeitsprofile als Herausforderung für den Datenschutz, in: LDI NRW (Hrsg.), Living by numbers, 2005, 5; Taeger, Datenschutz im Versandhandel – Übermittlung von Kundendaten mit positivem Bonitätswert, BB 2007, 785; Urbatsch, Die Entwicklung von Credit-Scoring-Systemen, in LDI NRW (Hrsg.), Living by numbers, Düsseldorf 2005, 68; Wäßle/Heinemann, Scoring im Spannungsfeld von Datenschutz und Informationsfreiheit – Rechtliche Rahmenbedingungen für den Einsatz von Scoringverfahren nach der Novellierung des Bundesdatenschutzgesetzes, CR 2010, 410; Weichert, Datenschutzrechtliche Anforderungen an Verbraucher-Kredit-Scoring, DuD 2005, 582; Weichert, Verbraucher-Scoring meets Datenschutz, DuD 2006, 399; Wolber, Datenschutzrechtliche Zulässigkeit automatisierter Kreditentscheidungen – Rechtliche Rahmenbedingungen für die elektronische Risikobewertung, CR 2003, 623; Wuermeling, Umsetzung der Europäischen Datenschutzrichtlinie – Konsequenzen für die Privatwirtschaft DB 1996, 663; Wuermeling, Scoring von Kreditrisiken, NJW 2002, 3508; Wuermeling, Scoring rechtmäßig gestalten, in: LDI NRW (Hrsg.), Living by numbers, 2005, 98; Wuermeling, Scoring rechtmäßig gestalten, in: LDI NW (Hrsg.), Living by numbers – Leben zwischen Statistik und Wirklichkeit, 2005, 38.
278 Kamlah
Automatisierte Einzelentscheidung
§ 6a BDSG
I. Einführung Die Vorschrift wurde ursprünglich im Zuge der BDSG-Novelle 2001 in 1 Umsetzung der Europäischen Datenschutzrichtlinie 95/46/EG (EG-Datenschutzrichtlinie)1 in das BDSG aufgenommen. Als europarechtliche Norm ist sie daher richtlinienkonform auszulegen. Konkret liegen der Regelung des § 6a die Art. 12 und 15 der EG-Datenschutzrichtlinie zugrunde. Die Integration dieser Vorschriften in die EG-Datenschutzrichtlinie erfolgte auf Bestreben Frankreichs und sollte insbesondere automatisierte Entscheidungen der öffentlichen Verwaltung regeln2. Allerdings wurde dann im Laufe des Richtlinienverfahrens diskutiert, ob auch zivilrechtliche Vorgänge wie die Ablehnung von Vertragsanträgen vom Anwendungsbereich erfasst sein sollten. Auch wenn man die Ablehnung von Vertragsverhältnissen vom Anwendungsbereich der Vorschrift erfasst sieht, darin aber gleichwohl keine Verletzung der Vertragsfreiheit erblickt, weil kein Kontrahierungszwang begründet wird3, so bleibt doch zu konstatieren, dass die durch § 6a bestehende Begründungspflicht insoweit in die Vertragsfreiheit eingreift. Die systematische Verortung der Vorschrift im Datenschutzrecht ist 2 nicht unproblematisch, denn im Kern handelt es sich nicht um eine datenschutzrechtliche Regelung. Da die Vorschrift automatisierte Einzelentscheidungen im Rahmen von vorvertraglichen oder vertraglichen Verhältnissen regelt, wäre eine Verortung im Bürgerlichen Gesetzbuch (BGB) passender gewesen. Stattdessen wurde eine zivilrechtliche Willensbildung, die typischerweise auf Basis von Informationen erfolgt und teilweise auch nur auf Basis ausreichender Informationen erfolgen darf (s. § 93 Abs. 1 Satz 2 AktG), datenschutzrechtlich ausgestaltet und über § 38 unter Datenschutzaufsicht gestellt. In der Praxis führt dies dazu, dass sich beispielsweise Banken ggü. der datenschutzrechtlichen Aufsichtsbehörde dafür rechtfertigen müssen, wenn sie einem Kunden keinen Kredit gewähren oder risikospezifische Zinsen verlangen. Da im Rahmen der BDSG-Novelle 2001 in der Gesetzesbegründung als 3 Anwendungsbeispiel der Norm auch Scoringverfahren genannt wurden4,
1 ABl. EG L Nr. 281 v. 23.11.1995. 2 Zu den Hintergründen im Einzelnen s. Wuermeling, DB 1996, 668. 3 So die Gesetzesbegründung zu § 6a i.d.F. der BDSG-Novelle I, BT-Drucks. 16/10529, S. 13. 4 BT-Drucks. 14/4329, S. 37, obwohl man durchaus hätte vertreten können, dass die den (automatisierten) Entscheidungen zugrunde liegenden Verfahren gerade
Kamlah 279
BDSG § 6a
Allgemeine und gemeinsame Bestimmungen
war seit 2001 über die Vorschrift des § 6a auch die datenschutzrechtliche und datenschutzpolitische Diskussion um Scoringverfahren insgesamt eröffnet. Da diese nicht zur Ruhe kam (s. § 28b), sah sich der Gesetzgeber erneut zum Handeln veranlasst. Im Zuge der sog. BDSGNovelle I1 wurde zum einen klargestellt, wann eine ausschließlich auf einer automatisierten Verarbeitung (von personenbezogenen Daten) gestützte Entscheidung vorliegt. Zum anderen wurde eine Verpflichtung aufgenommen, wonach die wesentlichen Gründe einer ablehnenden Entscheidung dem Betroffenen auf Verlangen mitzuteilen sind. II. Verbot der automatisierten Einzelentscheidung 4 Die Norm gilt aufgrund der Verortung in den allgemeinen Teil des BDSG für den öffentlichen wie für den nicht-öffentlichen Bereich (§ 1 Abs. 2)2. 1. Entscheidungen (Abs. 1 Satz 1) 5 Das Verbot des § 6a betrifft nur die Datenverarbeitung und Nutzung, die unmittelbar zu einer Entscheidung führt3. Anknüpfungspunkt ist nicht die Zulässigkeit der Datenverarbeitung und Nutzung selbst, sondern allein die Zulässigkeit des darauf basierenden Entscheidungsvorgangs. Es sind aber nicht jedwede Entscheidungen betroffen. Die Entscheidungen müssen vielmehr auf der automatisierten Bewertung von Persönlichkeitsmerkmalen, wie der beruflichen Leistungsfähigkeit oder Zuverlässigkeit beruhen. Davon zu trennen sind ferner Verarbeitungs- und Nutzungsvorgänge, bei denen beispielsweise lediglich mehrere Entscheidungsvorschläge gemacht oder Entscheidungen vorbereitet werden. So stellt beispielsweise eine automatisierte Vorauswahl (z.B. automatisierter Abgleich des Personaldatenbestandes anhand bestimmter Suchkriterien wie etwa Alter, Ausbildung, Zusatzqualifikation u.ä.), der eine Entscheidung erst nachfolgt, keine automatisierte Einzelentscheidung
keinen Anwendungsfall des § 6a darstellen, sondern nur die entsprechenden Entscheidungen selbst. 1 BT-Drucks. 16/10529 und 16/13219. 2 Zu vergleichbaren Vorschriften im öffentlichen Bereich sowie in den Landesdatenschutzgesetzen Simitis/Scholz, § 6a BDSG Rz. 2; Gola/Schomerus, § 6a BDSG Rz. 2a und 20. 3 Allerdings fallen Scoringverfahren nur dann unter die Regelung, wenn sowohl das Scoringverfahren als auch die anschließende Entscheidung in einer Hand liegen, BT-Drucks. 14/4329.
280 Kamlah
Automatisierte Einzelentscheidung
§ 6a BDSG
i.S.d. § 6a dar1. Ebenfalls keine vollautomatisierte Entscheidung ist die bloße Erfragung von oder Auswertung nach bestimmten Merkmalen2. In aller Regel entfällt dann auch das Kriterium der Ausschließlichkeit der automatisierten Verarbeitung oder der automatisierten Bewertung von Persönlichkeitsmerkmalen. 2. Auswirkungen der Entscheidungen (Rechtliche Folge/Erhebliche Beeinträchtigung) (Abs. 1 Satz 1) Der Anwendungsbereich ist unter anderem dann eröffnet, wenn die Ent- 6 scheidung eine rechtliche Folge hat. Die Terminologie der rechtlichen Folge setzt voraus, dass sich die Rechtsposition des Betroffenen in irgendeiner Weise verändert oder in ein Recht eingegriffen wird. Daraus lässt sich schließen, dass diese Tatbestandsvariante nicht einschlägig ist, wenn es um Entscheidungen im Zusammenhang mit Vertragsabschlüssen geht. Hier besteht grundsätzlich Vertragsfreiheit, so dass seitens des Betroffenen keine Rechtspositionen bestehen, in die – etwa bei einer Vertragsablehnung – eingegriffen wird3. Gleiches gilt, wenn Vertragsanträge modifiziert angenommen werden. Dagegen liegt eine Veränderung von Rechtspositionen vor, wenn beispielsweise auf der Grundlage von automatisierten Entscheidungen (belastende) Verwaltungsakte ergehen4. Der Anwendungsbereich ist aber auch dann eröffnet, wenn Entschei- 7 dungen den Betroffenen erheblich beeinträchtigen5. Im Rahmen dieser Tatbestandsalternative wird dann aber allgemein davon ausgegangen, dass die Ablehnung von Vertragsanträgen eine erhebliche Beeinträchtigung i.S.d. Vorschrift darstellt. Diese – wohl herrschende Ansicht – stützt sich dabei auf Erörterungen im Richtlinienverfahren6, kann aber auch aus dem Umkehrschluss des Wortlauts des Abs. 2 Nr. 1 abgeleitet werden. Allerdings kann eine erhebliche Beeinträchtigung bei einer Ablehnung von Vertragsanträgen dann nicht angenommen werden, wenn der beantragte Vertrag keinen „erheblichen“ Gegenstand hat, er beispielsweise nur geringe wirtschaftliche oder praktische Bedeutung hat. 1 2 3 4 5
BT-Drucks. 14/4329, S. 37. Simitis/Scholz, § 6a BDSG Rz. 21 und Rz. 24 a.E. So auch Simitis/Scholz, § 6a BDSG Rz. 27. BT-Drucks. 14/4329, S. 37. Zur verfassungsrechtlichen Dimension der Erheblichkeit einschränkend Simitis/Scholz, § 6a BDSG Rz. 11, der allerdings dann dagegen in Rz. 27 ff. zu einer weiten Auslegung tendiert. 6 S. hierzu Simitis/Scholz, § 6a BDSG Rz. 27, dort mit Fn. 88; Taeger/Gabel/ Mackenthun, § 6a BDSG Rz. 13 f.; a.A. wohl Wolber, CR 2003, 623 (626).
Kamlah 281
BDSG § 6a
Allgemeine und gemeinsame Bestimmungen
Hier wird man zwischen Gegenständen der Grundversorgung wie zum Beispiel Konto, Wohnung oder Energie einerseits und des (ggf. kreditfinanzierten) Konsums andererseits differenzieren müssen1. 8 Damit stellt sich jedoch unmittelbar die Frage, ob neben der Ablehnung eines Vertragsantrags auch die Annahme eines Vertragsantrags unter Änderung der ursprünglich vorgeschlagenen Konditionen die Erheblichkeitsschwelle der Beeinträchtigung erreicht. Relevant wird dies beispielsweise im Anschluss an eine Werbung mit „ab Konditionen“2. Entscheidend dürfte sein, aus welchen Gründen der Vertrag zwar angenommen wird, dieser jedoch zu geänderten Konditionen erfolgt. So leitet sich beispielsweise im Anschluss an die Verbraucherkreditrichtlinie3 aus § 18 KWG und § 509 BGB für den Bereich der Kreditvergabe eine Pflicht zur Bonitätsprüfung ab4. Hintergrund für diese Regelungen ist eine verantwortungsvolle Kreditvergabe. Führt diese dazu, dass beispielsweise zusätzliche Sicherheiten eingeholt werden oder die Laufzeiten verändert werden, so können diese letztlich zum Schutz des Betroffenen getroffenen Maßnahmen keine erheblichen Beeinträchtigungen darstellen. Keine erhebliche Beeinträchtigung ist auch die Entscheidung über die Zahlungsweise (z.B. Nachnahme oder auf Rechnung), da hier dem Vertragsbegehren ja stattgegeben wurde5. 9 Den vorgenannten Grundsätzen entsprechend wären dann auch automatisierte Entscheidungen innerhalb laufender Vertragsbeziehungen zu betrachten. So kann beispielsweise bei lang laufenden Kreditbeziehungen eine Änderung der Konditionen durchaus sachlich geboten sein und würde dann keine erhebliche Beeinträchtigung darstellen (z.B. Änderung eingeräumter Limite). Demgegenüber wäre bei einer Vertragskündigung eine erhebliche Beeinträchtigung wohl anzunehmen, auch wenn diese zu Recht erfolgt6. 10 Da eine erhebliche Beeinträchtigung (mit vorgenannten Einschränkungen) nur bei der Ablehnung von Vertragsanträgen angenommen werden kann, stellen Entscheidungen auch dann keine erhebliche Beeinträchtigung dar, wenn sie in keinem unmittelbaren Zusammenhang mit einem Vertragsschluss stehen. Daher stellen beispielsweise vollautomatisierte 1 2 3 4 5 6
Vgl. auch Begriff des Massengeschäfts in § 19 AGG. S. aber auch § 6 PangVO Abs. 2. Richtlinie 2008/48/EG v. 23.4.2008, ABl. EU Nr. L 133/66 v. 22.5.2008. So auch Hofmann, NJW 2010, 1782. A.A. Gola/Schomerus, § 6a BDSG Rz. 10 und auch Helfrich, 241 ff. Vgl. Gola/Schomerus, § 6a BDSG Rz. 11.
282 Kamlah
Automatisierte Einzelentscheidung
§ 6a BDSG
Vorselektionen (s. dazu bereits Rz. 5), etwa auch im Vorfeld von Werbemaßnahmen, keine erhebliche Beeinträchtigung dar1. 3. Ausschließlichkeit der automatisierten Verarbeitung (Abs. 1 Satz 1 und 2) Das Verbot der automatisierten Einzelfallentscheidung gilt nur dann, 11 wenn die Entscheidung ausschließlich auf eine automatisierte Verarbeitung (s. § 3 Abs. 2) personenbezogener Daten gestützt wird. Im öffentlichen Bereich würden solche ausschließlich automatisierten Entscheidungen i.d.R. auch zu ermessensfehlerhaften Entscheidungen führen2. Dabei sind viele Methoden denkbar, automatisierte Entscheidungen zu generieren. So können vordefinierte und festgelegte Entscheidungsbäume ebenso zu automatisierten Einzelentscheidungen führen, wie komplexe EDV-gestützte Prozesse. Auch Scoreverfahren (zum Begriff s. § 28b) können zu automatisierten Einzelentscheidungen i.S.v. § 6a führen, zwingend ist das jedoch nicht. Vielmehr müssen auch bei Zugrundelegung von Scoreverfahren die übrigen Voraussetzungen des § 6a vorliegen, damit das Verbot zur Anwendung kommt. Seit Inkrafttreten der Regelung war umstritten, wie intensiv der Einfluss eines Menschen auf die Entscheidung (noch) sein muss, damit keine automatisierte Entscheidung vorliegt, die dann ggf. das Verbot der automatisierten Einzelentscheidung auslöst. Der Gesetzgeber hat daher im Rahmen der sog. BDSG-Novelle I3 mit Wirkung zum 1.4.2010 Satz 2 in Abs. 1 der Vorschrift ergänzt. Danach liegt eine ausschließlich auf eine automatisierte Verarbeitung gestützte Verarbeitung insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat. Ausweislich der Gesetzesbegründung kam es dem Gesetzgeber darauf an, dass die Beteiligung einer natürlichen Person nicht bloß einen formalen Akt darstellt, sondern diese auch tatsächlich die Befugnis und die Kenntnis der zugrunde liegenden Daten und des Verfahrens hat, (ggf. anders) zu entscheiden4. Der Begriff der natürlichen Person ist im BDSG allerdings nicht definiert. Auch § 3 Abs. 1 hilft hier nicht weiter. Zugrunde zu legen ist vielmehr die Entscheidungsbefugnis des zuständigen Sachbear-
1 2 3 4
So auch Gola/Schomerus, § 6a BDSG Rz. 10. Simitis/Scholz, § 6a BDSG Rz. 10. BGBl. I, 2254. BT-Drucks. 16/10529, S. 13.
Kamlah 283
12
BDSG § 6a
Allgemeine und gemeinsame Bestimmungen
beiters, ggf. eigene Erfahrungen oder Kenntnisse in die Entscheidung mit einfließen zu lassen oder die Möglichkeit, den Entscheidungsprozess ggf. anzuhalten und zu eskalieren1. 13 An der vorgenannten Befugnis fehlt es, wenn beispielsweise ein sog. „cut-off“ vorgegeben ist, der im Anschluss an den automatisierten Verarbeitungsprozess eine Entscheidung vorgibt. Der „cut-off“ stellt in aller Regel dann auch die Arbeitsanweisung dar, nicht anders zu entscheiden. Die eigentliche Entscheidung wird dann nur durch eine natürliche Person verkündet, wobei darauf zu achten ist, dass die Kriterien der Entscheidung auf Basis der Bewertung einzelner Persönlichkeitsmerkmale vorliegen müssen, was beispielsweise bei Auswertungen anhand bloßer Einzelinformationen nicht gegeben ist. Solche Fälle sind insbesondere im Massengeschäft denkbar. Das Vorliegen einer automatisierten Einzelentscheidung wird insbesondere dann relevant, wenn im Rahmen des Entscheidungsprozesses natürliche Personen gar nicht mehr in Erscheinung treten, wie beispielsweise beim Fernabsatz oder beim Onlinebanking. Dagegen ist das Ausschließlichkeitskriterium nicht gegeben, wenn eine natürliche Person eine wie auch immer geartete Möglichkeit, eine Plausibilitätskontrolle durchzuführen, abweichend entscheiden oder den vollautomatisiert ermittelten Entscheidungsvorschlag zumindest eskalieren kann2. 4. Bewertung einzelner Persönlichkeitsmerkmale (Abs. 1 Satz 1) 14 Die automatisierte Verarbeitung muss sich zunächst auf personenbezogene Daten beziehen (s. hierzu § 3 Abs. 1). Diese Daten müssen ferner der Bewertung einzelner Persönlichkeitsmerkmale dienen (können). Zu den Daten, die der Bewertung einzelner Persönlichkeitsmerkmale dienen, können nach Art. 15 der EG-Datenschutzrichtlinie die berufliche Leistungsfähigkeit (wie z.B. Vertriebserfolge), die Kreditwürdigkeit (die beispielsweise auf Basis eigener Daten und/oder seitens Auskunfteien zur Verfügung gestellter Daten ermittelt wurde), die Zuverlässigkeit (die beispielsweise für Sicherheits- oder compliancerelevante Berufe zu ermitteln oder Voraussetzung zum Erhalt bestimmter Genehmigungen ist) oder das Verhalten einer natürlichen Person gehören. Auch Entscheidungen lediglich auf Basis einer einzigen Eigenschaft des Betroffenen (z.B. Geschäftsfähigkeit oder Verbrauchereigenschaft) sind denkbar,
1 Vgl. auch Gola/Schomerus, § 6a BDSG Rz. 6. 2 Vgl. Simitis/Scholz, § 6a BDSG Rz. 20.
284 Kamlah
Automatisierte Einzelentscheidung
§ 6a BDSG
wenn diese beispielsweise der Erfüllung gesetzlicher Vorschriften dient oder in Umsetzung einer bestimmten Geschäftspolitik erfolgt1. Das führt zur Frage, wann von einem Persönlichkeitsmerkmal auszuge- 15 hen ist und wann nur von einer personenbezogenen Information, deren (Vor-)Selektion für sich genommen keine Entscheidung darstellt (sonst hätte es des zusätzlichen Begriffs nicht bedurft). I.E. wird man sagen müssen, dass Persönlichkeitsmerkmale die Eigenschaft einer natürlichen Person beschreiben (z.B. Geschäftsfähigkeit), was nicht bei jedem personenbezogenen Datum nach § 3 Abs. 1 der Fall sein muss (z.B. Adresse). So sind auch automatisierte Einzelentscheidungen denkbar, die auf per- 16 sonenbezogenen Daten beruhen, die aber ohne Analyse von Persönlichkeitsmerkmale erfolgen mit der Konsequenz, dass das Verbot des § 6a keine Anwendung findet. So wird bei automatisierten Zahlungsverfügungen oder diesen zugrunde liegenden Entscheidungen i.d.R. kein Persönlichkeitsmerkmal bewertet, sondern nur das Vorliegen eines ausreichenden Verfügungsrahmens überprüft (z.B. Abhebung vom Geldautomaten, automatisierte Genehmigungen von Kreditkartenverfügungen, automatisiert gesteuerte Guthabenabgleiche zur Ausführung von Überweisungs-, Scheck- oder Lastschriftaufträgen)2. Ähnlich verhält es sich bei automatisieren Identitätsfeststellungen, denen letztlich nur ein Abgleich von Informationen zugrunde liegt (z.B. biometrische Zugangssysteme)3. Auch in einem solchen Fall findet § 6a keine Anwendung. Umgekehrt bedeutet das auch, dass § 6a „nur“ die vollautomatisierte Einzelentscheidung auf Basis der Bewertung einzelner Persönlichkeitsmerkmale regelt, nicht aber die Profilbildung als solche. Die Zulässigkeit dessen richtet sich vielmehr nach den allgemeinen Regeln4.
17
5. Ausnahmen von dem Verbot (Abs. 2) Automatisierte Einzelentscheidungen i.S.d. Abs. 1 sind jedoch nicht 18 grundsätzlich unzulässig. § 6a formuliert kein generelles Verbot automatisierter Einzelentscheidungen, sondern differenziert und versieht automatisierte Einzelentscheidungen ggf. mit Auflagen.
1 2 3 4
S. BT-Drucks. 16/10529, S. 13. BT-Drucks. 14/4329, S. 37. BT-Drucks. 14/4329, S. 37. Anders offenbar Simitis/Scholz, § 6a BDSG Rz. 21 f.
Kamlah 285
BDSG § 6a
Allgemeine und gemeinsame Bestimmungen
a) Stattgabe des Begehrens (Abs. 2 Nr. 1) 19 Abs. 2 Nr. 1 stellt ausdrücklich fest, dass automatisierte Entscheidungen dann nicht unzulässig sind, wenn die Entscheidung im Rahmen des Abschlusses der Erfüllung eines Vertragsverhältnisses oder eines sonstigen (öffentlich-rechtlichen) Rechtsverhältnisses ergeht und dem Begehren des Betroffenen stattgegeben wurde. Nach der Systematik des § 6a sind nicht-vollautomatisierte Einzelentscheidungen und automatisierte stattgebende (positive) Entscheidungen mithin zulässig. b) Wahrung der berechtigten Interessen (Abs. 2 Nr. 2) 20 Aber auch belastende automatisierte Einzelentscheidungen nach Abs. 1 können zulässig sein, wenn die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen gewährleistet ist und die weiteren Voraussetzungen des Abs. 2 Nr. 2 eingehalten werden. In diesem Fall hat die verantwortliche Stelle (s. § 3 Abs. 7), die die Entscheidung nach Abs. 1 getroffen hat, dem Betroffenen zunächst unaufgefordert das Vorliegen einer solchen Entscheidung mitzuteilen1. Der Aufbau der Vorschrift ist insoweit undeutlich, als dass die Pflicht zur Wahrung der berechtigten Interessen zuerst genannt wird. Logischerweise hat zunächst die Information zu erfolgen, woran sich dann die Wahrung der Betroffenenrechte (durch weitergehende Mitteilungen und Erläuterungen auf Verlangen, um dem Betroffenen die Möglichkeit zu geben ggf. seinen Standpunkt mit dem Ziel eine erneuten Überprüfung geltend zu machen) anschließt. 21 Das Gesetz schreibt keine Form vor2, so dass diese Mitteilung schriftlich (Brief, Fax) oder auch in Textform (E-Mail) erfolgen kann. Auch eine mündliche Mitteilung (z.B. am point of sale) ist denkbar, wobei sich dann ggf. ein Nachweisproblem ergibt. Auch eine Mitteilung in AGB erscheint denkbar3. Insgesamt ist die Mitteilung allerdings so zu gestal1 Gola/Schomerus, § 6a BDSG Rz. 12. 2 Gola/Schomerus, § 6a BDSG Rz. 14c. 3 Bei einer Verankerung der Mitteilung über das Vorliegen einer Entscheidung nach Abs. 1 in AGB entsteht die Frage, ob über die AGB dann auch eine Verzichtserklärung hinsichtlich der weiteren nach Abs. 2 Nr. 2 bestehenden Mitteilungs- und Erläuterungspflichten verankert werden kann. Da § 6a in § 6 nicht genannt ist, können die Rechte grundsätzlich abbedungen werden, wobei die AGB-rechtlichen Transparenzanforderungen zu beachten sind. Am point of sale oder im Internetprozess bestünde ggf. die Möglichkeit der Unterzeichnung einer gesonderten Erklärung bzw. das transparente Setzen eines Häkchens.
286 Kamlah
Automatisierte Einzelentscheidung
§ 6a BDSG
ten, dass sie in zeitlichem Kontext zur eigentlichen Entscheidung zur Kenntnis genommen werden kann. Das Gesetz sieht zwar auch keine Frist vor. Aus dem Sinn und Zweck 22 der Vorschrift, wonach der Betroffene mit einem „zuständigen Sachbearbeiter in Kontakt treten und seine Interessen vertreten“ können soll, ist jedoch zu schließen, dass diese Information in unmittelbarem zeitlichen Zusammenhang mit der eigentlichen Entscheidung zu ergehen hat, damit über die dann erfolgende Kontaktaufnahme die Entscheidung ggf. zeitnah revidiert werden kann. Ferner müssen bei Vorliegen einer automatisierten Einzelentscheidung 23 nach Abs. 1 die berechtigten Interessen des Betroffenen durch geeignete Maßnahmen gewahrt werden. Die ursprünglich im Gesetz vorhandene Konkretisierung der geeigneten Maßnahmen ist entfallen. Allerdings nennt die Gesetzesbegründung zu Abs. 2 Nr. 2 n.F. als Motiv für die Neuregelung die damit verbundene Möglichkeit des Betroffenen, im Anschluss an die Mitteilung und Erläuterung der nach Abs. 1 getroffenen Entscheidung ggf. seinen Standpunkt geltend zu machen1. Offenbar geht der Gesetzgeber davon aus, dass es dann zwangsläufig zu einer (nicht automatisierten) Überprüfung der ursprünglichen Entscheidung kommt, so dass eine Richtlinienkonformität zu Art. 15 Abs. 2a der EG-Datenschutzrichtlinie noch angenommen werden kann2. Begreift man im Lichte von Art. 15 der EG-Datenschutzrichtlinie die 24 Mitteilung und Erläuterung der wesentlichen Gründe der Entscheidung nach Abs. 1 als geeignete Maßnahme, so müssen die Mitteilung und die Erläuterung der wesentlichen Gründe der Entscheidung nach Abs. 1 geeignet sein, dass der Betroffene seinen Standpunkt geltend machen kann, auf dessen Basis dann wiederum eine erneute Überprüfung der Entscheidung stattfinden kann. Die Mitteilung und Erläuterung der wesentlichen Gründe für die Entscheidung soll den Betroffenen in die Lage versetzen zu erkennen, „woran es gelegen hat“3. Um dieses Ziel zu erreichen, müssen nicht notwendigerweise umfangreiche Ausführungen gemacht werden. So kann es ausreichend sein, beispielsweise auf das Alter, das (verfügbare) Einkommen, das Bestehen eines erst kurzzeitigen Arbeitsverhältnisses o.ä. abzustellen, um der gesetzlichen Pflicht zu genügen. Damit sind entsprechend der Forderung der Gesetzesbegründung 1 S. BT-Drucks. 16/10529. 2 Gleichwohl wird die gesetzgeberische Leistung hier immer wieder kritisiert; s. hierzu auch Gola/Schomerus, § 6a BDSG Rz. 14b. 3 BT-Drucks. 16/10529, S. 13.
Kamlah 287
BDSG § 6a
Allgemeine und gemeinsame Bestimmungen
auch gleichzeitig die „wesentlichen personenbezogenen Daten“ mitgeteilt. Die Erläuterung der genauen Funktionsweise des automatisierten Verfahrens oder gar die Offenlegung bestimmter mathematischer Formeln ist dagegen nicht erforderlich1. 25 Auch hier ist keine Form vorgeschrieben, so dass auf Rz. 21 verwiesen werden kann. Bei telefonischen Auskünften sind aber besondere Anforderungen an die Identitätsfeststellung zu stellen, um unzulässige Datenübermittlungen zu vermeiden (s. auch § 34). Anders als die Mitteilung über das Vorliegen einer Entscheidung nach Abs. 1 können die Mitteilung und die Erläuterung der wesentlichen Gründe der Entscheidung aber wohl nicht über AGB erfüllt werden. 26 Eine Pflicht der verantwortlichen Stelle, den Betroffenen auf die Möglichkeit der Mitteilung und Erläuterung der wesentlichen Gründe hinzuweisen, sieht das Gesetz nicht vor. Dies ist insoweit konsequent, als dass es eine Pflicht, beispielsweise auf die Möglichkeit des § 34 hinzuweisen, ebenfalls nicht gibt. 27 Das ist insoweit bedeutsam, als dass die Pflicht zur Mitteilung und Erläuterung der wesentlichen Gründe der Entscheidung nur auf Verlangen des Betroffenen zu erfüllen sind. Auch dieses ist systemgerecht, da die in § 34 enthaltenen Betroffenenrechte ebenfalls nur auf Verlangen zu erfüllen sind (s. § 34). Es obliegt damit dem Betroffenen, ob er im Anschluss an die Mitteilung über eine Entscheidung nach Abs. 1 weitergehende Rechte geltend machen möchte. Macht der Betroffene von seinem Verlangen nicht Gebrauch, entfällt naturgemäß die Verpflichtung für die verantwortliche Stelle, die Entscheidung zu überprüfen. 28 Eine Frist, innerhalb der das Verlangen zu erfüllen ist, ist nicht bestimmt. Es kann aber insoweit auf die Rz. 22 verwiesen werden. 6. Auskunft (Abs. 3) 29 Das in Abs. 3 verankerte Auskunftsrecht des Betroffenen basiert auf Art. 15, 12a, 3. Spiegelstrich und Erwägungsgrund 41 der EG-Datenschutzrichtlinie2. Danach soll sich das aus den §§ 19 bzw. 34 ergebende Auskunftsrecht auf den „logischen Aufbau der automatisierten Verarbeitung“ der Daten erstrecken. Im Anwendungsbereich des § 6a werden die §§ 19 und 34 quasi erweitert. Die Anknüpfung an die §§ 19 und 1 BT-Drucks. 16/10529, S. 13. 2 So ausdrücklich BT-Drucks. 14/4329, S. 38.
288 Kamlah
Automatisierte Einzelentscheidung
§ 6a BDSG
34 bedeutet aber auch, dass die formalen Regeln sowie die inhaltlichen Voraussetzungen und Grenzen dieser Vorschriften auch für eine Auskunft nach Abs. 3 gelten (s. hier § 34). Dementsprechend ist auch im Rahmen von Abs. 3 nur über die der automatisierten Einzelentscheidung zugrunde liegenden Datenarten und nicht über die Einzelinformationen Auskunft zu erteilen. Ebenso kann nicht über den „Umweg“ des Abs. 3 Auskunft über die Gewichtung dieser Einzelinformationen verlangt werden1. Anhaltspunkte für die Reichweite des Auskunftsanspruchs ergeben sich 30 aus Erwägungsgrund 41 der EG-Datenschutzrichtlinie. Darin hat der Richtliniengeber insbesondere anerkannt, dass es im Bereich automatisierter Datenverarbeitungen seitens der verantwortlichen Stelle geistiges Eigentum gibt, welches schutzwürdig ist und mit den Informationsinteressen des Betroffenen abzuwägen ist2. Das ist nunmehr auch bei der Neufassung der Vorschrift des Abs. 2 Nr. 2 berücksichtigt worden, bei der ausweislich der Gesetzesbegründung nicht die Funktionsweise des automatisierten Verfahrens oder gar mathematische Formeln offenzulegen sind3. In richtlinienkonformer Auslegung kann nichts anderes dann aber auch für Abs. 3 gelten. Die Auskunft über den logischen Aufbau beschränkt sich damit auf die Erläuterung des Ablaufs der Datenverarbeitung. Dem Betroffenen ist zu erläutern, in welcher Art und Weise seine Daten verarbeitet werden und warum das genauso geschieht. Hierzu bedarf es keiner detaillierten technischen Erläuterungen. Sofern das Programm und dessen Funktionsweise allgemein bekannt sind, kann auch die Nennung des Programms ausreichend sein. Entscheidend ist, dass der Betroffene in die Lage versetzt wird, eine allgemeine Vorstellung davon zu bekommen, wie die Daten verarbeitet wurden, die zu der Entscheidung geführt haben. Erfolgt die automatisierte Einzelentscheidung unter Anwendung von Scoreverfahren, darf der Auskunftsanspruch nach Abs. 3 nicht über die nach § 34 zu gebenden allgemeinverständlichen Erläuterungen hinausgehen4.
1 2 3 4
So aber Simitis/Scholz, § 6a BDSG Rz. 40. S. auch Simitis/Scholz, § 6a BDSG Rz. 8. BT-Drucks. 16/10529, S. 13. Im Einzelnen zu weitgehend dagegen Däubler/Klebe/Wedde/Weichert/Weichert, § 6a BDSG Rz. 14 ff.; nach Gola/Schomerus, § 6a BDSG Rz. 14a entsprechen sich bei Scoringverfahren die Ansprüche aus § 6a und § 34 Abs. 2 bzw. 4.
Kamlah 289
BDSG § 6a
Allgemeine und gemeinsame Bestimmungen
III. Verhältnis zu anderen Normen 31 Sofern die Entscheidung nach Abs. 1 ausschließlich auf Basis von Scoreverfahren erfolgte, entspricht als Teilmenge die Erläuterungspflicht nach Abs. 2 dem Auskunftsanspruch nach § 34 Abs. 1 und 2. Das Auskunftsrecht nach § 34 Abs. 1 ist insofern weiter, als dass dort alle personenbezogenen Daten zu beauskunften sind, während das nach Abs. 2 nur für die wesentlichen Gründe gilt, damit deutlich wird, „woran es gelegen hat“ Dementsprechend sind nach Abs. 2, anders als in § 34 Abs. 2, auch nicht das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einfallbezogen und nachvollziehbar in allgemein verständlicher Form zu beauskunften (Einzelheiten s. § 34). Demgegenüber geht § Abs. 3 nicht weiter als 34 Abs. 2 oder Abs. 4. 32 Für den Bereich von Entscheidungen nach Abs. 1, die nicht auf Scoreverfahren beruhen (automatisierte Einzelentscheidungen und Scoreverfahren sind nicht deckungsgleich), behalten die Abs. 2 und 3 einen eigenständigen Anwendungsbereich, was insoweit von Bedeutung ist, als dass dies auf Verfahren zutreffen kann, die nicht den Anforderungen an die Wissenschaftlichkeit nach § 28b genügen (müssen). Umgekehrt formuliert § 28b keine Voraussetzung für zulässige Entscheidungen, so dass beide Vorschriften nebeneinander Anwendung finden1. 33 Gemeinsam haben die Auskunftsansprüche nach § 6a und § 34, dass sie nur auf Verlangen zu erteilen sind. Das unterscheidet sie von § 29 Abs. 7, wonach bei einer ablehnenden Entscheidung auch ohne Verlangen Auskunft zu erteilen ist, wenn diese (auch nicht automatisiert) aufgrund einer Auskunft einer Stelle nach § 29 Abs. 6 erfolgte (Einzelheiten s. § 29). IV. Rechtsfolgen/Sanktionen 34 Die Verletzung der Mitteilungs- und Erläuterungspflichten in Abs. 2 ist genauso wenig bußgeld- oder strafbewehrt wie eine Verletzung des Auskunftsrechts nach Abs. 3, kann aber über § 38 über die Aufsichtsbehörden durchgesetzt werden. 35 Zivilrechtlich entfaltet das Verbot der automatisierten Einzelentscheidung keine eigene Konsequenz. „Fehlerhafte“ Entscheidungen können im Zivilrecht mit dem klassischen Instrumentarium der Grundsätze 1 So auch Simitis/Scholz, § 6a BDSG Rz. 18; vgl. auch Gola/Schomerus, § 6a BDSG Rz. 15–17.
290 Kamlah
Beobachtung öffentlich zugänglicher Räume
§ 6b BDSG
über Willensmängel (Dissens, Irrtum, arglistige Täuschung) „korrigiert“ werden. Eine (unzulässige) automatisierte Einzelentscheidung führt nicht zu zusätzlichen zivilrechtlichen Rechten der Beteiligten. Dies hat seinen Grund nicht zuletzt in dem im Zivilrecht geltenden Prinzip der Vertragsfreiheit. Entsprechendes gilt bei einem Verstoß gegen die Mitteilungs- und Erläuterungspflichten. Diese begründen für sich keinen zivilrechtlichen Willensmangel. Aufgrund der Vertragsfreiheit werden auch selten deliktische Ansprüche gegeben sein, da trotz eines Verstoßes gegen die Bestimmungen des § 6a und damit unterbliebener Möglichkeit zur Stellungnahme ein Vertrag nicht hätte geschlossen werden müssen und es damit in aller Regel an der Kausalität für einen etwas eingetretenen Schaden fehlt. Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen
6b
(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie 1. zur Aufgabenerfüllung öffentlicher Stellen, 2. zur Wahrnehmung des Hausrechts oder 3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. (2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen.
(3) 1Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. 2Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. (4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung oder Nutzung entsprechend den §§ 19a und 33 zu benachrichtigen.
Kamlah/Becker 291
BDSG § 6b
Allgemeine und gemeinsame Bestimmungen
(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. I. Einführung . . . . . . . . . . . . . . . .
1
II. Anwendungsbereich . . . . . . . .
3
III. Öffentlich zugängliche Räume . . . . . . . . . . . . . . . . . . .
9
IV. Beobachtung mit optischelektronischen Einrichtungen. . . . . . . . . . . . . . . . . . . . 11 V. Zweckbestimmung und Zweckbindung. . . . . . . . . . . . . 14
VI. Erforderlichkeit und Interessenabwägung . . . . . . . . . . . . . . 20 VII. Erkennbarkeit der Beobachtung . . . . . . . . . . . . . . . . . . . . . . 27 VIII. Benachrichtigungs- und Löschungspflichten . . . . . . . . . 29 IX. Rechtsfolgen/Sanktionen, Rechtsweg. . . . . . . . . . . . . . . . . 31
Schrifttum: Alich, „Task Force“ im Kinosaal, DuD 2010, 44; Bäumler, Datenschutzrechtliche Grenzen der Videoüberwachung, RDV 2001, 67; Bayreuther, Videoüberwachung am Arbeitsplatz, NZA 2005, 1038; Brenneisen/Staack, Die Videobildübertragung nach allgemeinem Polizeirecht, DuD 1999, 447; Butz/ Brummer, Rechtswidrige Überwachungsmaßnahmen, Drohen Beweisverwertungsverbote?, AuA 2011, 400; Czernik, Heimliche Bildaufnahmen – ein beliebtes Ärgernis, GRUR 2012, 457; Forst, Videoüberwachung am Arbeitsplatz und der neue § 32 BDSG, RDV 2009, 204; Freckmann/Wahl, Überwachung am Arbeitsplatz, BB 2008, 1904; Garstka, Videoüberwachung: Allheilmittel oder Gift für die Freiheitsrechte, DuD 2000, 192; Gola, Der neue strafrechtliche Schutz vor unbefugten Bildaufnahmen im Lichte des BDSG, RDV 2004, 215; Gola/Klug, Videoüberwachung gemäß § 6b BDSG – Anmerkungen zu einer verunglückten Gesetzeslage, RDV 2004, 65; Heinson/Sörup/Wybitul, Der Regierungsentwurf zur Neuregelung des Beschäftigtendatenschutzes, CR 2010, 751; Hilpert, Rechtsfragen des Videoeinsatzes unter besonderer Berücksichtigung des ÖPNV, RDV 2009, 160; Hornung/Desoi, „Smart Cameras“ und automatische Verhaltensanalyse, K&R 2011, 153; Huff, Elektronische Überwachung in der Wohnungseigentumsanlage, NZM 2002, 89; Huff, Grenzen der Videoüberwachung in der Wohnungseigentumsanlage, NZM 2002, 688; Huff, Neues zur Videoüberwachung im Mietund Wohnungseigentumsrecht, NZM 2004, 533; Königshofen, Neue datenschutzrechtliche Regelungen zur Videoüberwachung, RDV 2001, 220; Loy, Zulässigkeit von Webcams auf Baustellen, ZfIR, 2004, 181; Maties, Arbeitnehmerüberwachung mittels Kamera, NJW 2008, 2219; Oberwetter, Arbeitnehmerrechte bei Lidl, Aldi & Co., NZA 2008, 609; Ronellenfitsch, Datenschutz bei der Bahn, DVBl. 2010, 401; Schnabel, Das Recht am eigenen Bild und der Datenschutz, ZUM 2008, 657; Saurer, Die Landesdatenschutzgesetze als Rechtsgrundlage für die kommunale Videoüberwachung, DÖV 2008, 17; Scholand, Videoüberwachung und Datenschutz, DuD 2000, 202; Selk, Kundendaten in der Hotelerie – Aktuelle Datenschutzprobleme vom Check-In bis zum CRM, RDV 2008, 187; Steinkühler/Raif, „Big Brother am Arbeitsplatz“ – Arbeitnehmerüberwachung, AuA 2009, 213; Tammen, Video- und Kameraüberwachung am Arbeitsplatz: Hinweise für Betriebs- und Personalräte, RDV 2000, 15; Weichert, Rechtsfragen der
292 Becker
Beobachtung öffentlich zugänglicher Räume
§ 6b BDSG
Videoüberwachung, DuD 2000, 662; Winkler, Vertrauenswürdige Videoüberwachung, Sichere intelligente Kameras mit Trusted Computing, DuD 2011, 797; Wohlfahrt, Staatliche Videoüberwachung des öffentlichen Raumes, RDV 2000, 106; Wrede, Rechtliche Einordnung von Webcams, DuD 2012, 225; von Zezschwitz, Videoüberwachung in Hessen, DuD 2000, 670; Ziegler, Das Hausrecht als Rechtfertigung einer Videoüberwachung, DuD 2003, 337.
I. Einführung Die Bestimmungen zur Videoüberwachung sind erst mit dem BDSG 1 2001 ins Gesetz gelangt1. Die Regelung des § 6b knüpft an Tatbestände an, die einer Datenerhebung oder -verarbeitung vorgelagert sein können, und erweitert damit den aufgrund der allgemeinen Bestimmungen des BDSG vermittelten Schutz. Die Regelung wird teilweise als „Fremdkörper“ in der Systematik des BDSG bezeichnet, weil sie nicht notwendig an personenbezogene Daten i.S.d. § 3 Abs. 1 anknüpft2. Der Sachzusammenhang zum Recht auf informationelle Selbstbestimmung und damit zum Datenschutz im weiteren Sinne ist jedoch offenkundig und die Verortung im BDSG daher richtig. § 6b trägt den besonderen Gefahren der Videotechnik für das Recht auf informationelle Selbstbestimmung Rechnung. Dabei ist besonders hervorzuheben, dass dieser Schutz sich nach der Rechtsprechung des BVerfG nicht allein auf die Privat- und Intimsphäre bezieht, sondern gerade auch den informationellen Schutzinteressen des Einzelnen, der sich in die Öffentlichkeit begibt, Rechnung zu tragen hat3. D.h. gerade auch in der Öffentlichkeit besteht ein Schutz vor ungerechtfertigter oder unangemessener Beobachtung. Die Norm wird aufgrund der stark zunehmenden Verbreitung von Videoanwendungen im privaten und geschäftlichen Bereich an Bedeutung weiter gewinnen. Die Regelung der Thematik im BDSG begründet eine Zuständigkeit der Datenschutzbehörden für Fälle der Videoüberwachung im öffentlichen Raum auch in den Fällen, in denen es an einer Datenverarbeitung im engeren Sinne (§§ 1 Abs. 2 Nr. 3, 3 Abs. 2) fehlt. Dem Bürger wird damit die Möglichkeit eingeräumt, vor gerichtlichen Schritten gegenüber Dritten den einfacheren Weg der Einschaltung der Datenschutzbehörde zu nehmen. 1 Zur Gesetzgebungsgeschichte ausführlich Simitis/Scholz, § 6b BDSG Rz. 2 ff.; zur rechtspolitischen Diskussion Weichert, DuD 2000, 663; Garstka, DuD 2000, 193; Scholand, DuD 2000, 203; Bäumler, RDV 2001, 67; Wohlfahrt, RDV 2000, 101. 2 Vgl. Gola/Schomerus, § 6b BDSG Rz. 3; Gola/Klug, RDV 2004, 65. 3 BVerfG v. 11.8.2009 – 2 BvR 941/08, NJW 2009, 3293; v. 23.2.2007 – 1 BvR 2368/06, NJW 2007, 2320.
Becker 293
BDSG § 6b
Allgemeine und gemeinsame Bestimmungen
2 Die Vorschriften des § 6b sind komplementär zu Bestimmungen außerhalb des BDSG zu sehen, die durch § 6b nicht verdrängt, sondern ergänzt werden. Nach der Gesetzesbegründung bleiben bereichsspezifische Normen von § 6b unberührt1. Die Nutzung von Videotechnik ist daher regelmäßig unter verschiedenen rechtlichen Gesichtspunkten zu beurteilen: Grundsätzlich können sich deliktische Abwehrrechte (§§ 823 Abs. 1, 1004 BGB) in Bezug auf das allgemeine Persönlichkeitsrecht oder sonstige absolute Rechtsgüter ergeben (dazu auch unten Rz. 31). Das Recht am eigenen Bild (§ 22 KUG) ist Grundlage für Abwehransprüche, wenn Personen auf Videoaufnahmen individuell erkennbar sind und es um deren Verbreitung oder öffentliche Zurschaustellung geht2. Gegen mit Videoaufnahmen verbundene Tonaufnahmen des nicht-öffentlich gesprochenen Wortes schützt § 201 StGB. Gegen unbefugte Bildaufnahmen in einer Wohnung oder einem gegen Einblick besonders geschützten Raum schützt § 201a StGB3. Als Alltagsgegenstände getarnte Sendeanlagen zur Übertragung von heimlich aufgenommenen Bildern sind nach § 90 Abs. 1 TKG verboten; Besitz, Herstellung, Vertrieb und Einfuhr solcher Anlagen sind strafbar (§ 148 TKG). II. Anwendungsbereich 3 Die Bestimmungen des § 6b gelten sowohl für den öffentlichen als auch für den nicht-öffentlichen Bereich. 4 Im öffentlichen Bereich richten sich die Bestimmungen an die öffentlichen Stellen des Bundes4. Auf Ebene des Bundesrechts finden sich jedoch vorrangige und abschließende Regelungen zu Bild- und Tonaufnahmen und zwar vor allem in den Bereichen der Gefahrenabwehr und Strafverfolgung. Im Verhältnis zu diesen begründet § 6b keine zusätzlichen Eingriffsbefugnisse5. Hinzuweisen ist insoweit auf die Regelungen zur Gefahrenabwehr bei Versammlungen in geschlossenen Räumen (§ 12a VersG) oder unter freiem Himmel (§ 19a VersG), zu strafprozessualen Abhörmaßnahmen (§ 100c Abs. 1 StPO) und zur heimlichen Videoobservation außerhalb von Wohnungen (§ 100h Abs. 1 Nr. StPO), zur au1 BT-Drucks. 14/4329, S. 38. 2 Zur Abgrenzung vor Einführung des § 6b BGH v. 25.4.1995 – VI ZR 272/94, NJW 1995, 1955; vgl. auch Czernik, GRUR 2012, 457 (458); Wrede, DuD 2010, 225 (226). 3 Vgl. Schnabel, ZUM 2008, 657; Gola, RDV 2004, 215. 4 Simitis/Scholz, § 6b BDSG Rz. 34. 5 Beschlussempfehlung und Bericht des Innenausschusses, BT-Drucks. 14/5793, S. 61.
294 Becker
Beobachtung öffentlich zugänglicher Räume
§ 6b BDSG
tomatisierten Videoüberwachung von Staatsgrenzen oder besonderer Objekte (§§ 27, 23 Abs. 1 Nr. 4 BPolG) und – heimlichen – Observation (§ 28 BPolG) durch die Bundespolizei, zu langfristigen Observationen und der Abwehr akuter Gefahren durch die Bundeskriminalpolizei (§§ 20g, 20h, 23 BKAG) und zur Informationsbeschaffung und Gefahrenabwehr durch das Bundesamt für Verfassungsschutz (§§ 8 Abs. 2, 9 BVerfSchG). Im öffentlichen Bereich ist die Videoüberwachung auch in fast allen 5 Landesdatenschutzgesetzen geregelt, die in der Regel mit § 6b praktisch inhaltsgleiche Regelungen enthalten1. Die Besonderheiten sind geringfügig. Die Landesgesetze beziehen die Erforderlichkeit der Videoüberwachung naturgemäß auf Anforderungen der öffentlichen Sicherheit und Ordnung und sehen anders als § 6b Abs. 5 („unverzüglich“) zum Teil konkrete Löschungsfristen vor. Ferner finden sich Regelungen zur Videoüberwachung auch in den Polizeigesetzen der Länder2. Zum Anwendungsbereich des § 6b wird vertreten, dass die Regelung 6 nicht angewendet werden soll, wenn Videoaufnahmen von Geschehnissen im öffentlichen Raum von vornherein keine Überwachung Betroffener erlauben oder „eindeutig“ nicht hierauf abzielen3. Als Beispiel wird insbesondere auf die Beobachtung einer Straßenkreuzung zu Zwecken der Verkehrsregelung Bezug genommen. Richtigerweise sollte dies jedoch im Zweifel keine Frage der Anwendbarkeit sein, sondern der Interessenabwägung. Sind die technischen Einstellungen einer entsprechenden Anlage so gewählt, dass schutzwürdige Interessen der durch die Videoüberwachung betroffenen Personen nicht berührt werden, ist die Maßnahme möglicherweise gemäß § 6 Abs. 1 gerechtfertigt (unten Rz. 24). Das BVerfG verneint bei Videoaufzeichnungen eine Eingriffsqualität aus verfassungsrechtlicher Sicht lediglich dann, wenn Daten ungezielt und allein technisch bedingt zunächst miterfasst, dann aber ohne weiteren Erkenntnisgewinn, anonym und spurenlos wieder gelöscht werden4. Die Eingriffsschwelle für die Anwendung des § 6b ist dementsprechend niedrig anzusetzen5. 1 Vgl. zu landesgesetzlichen Regelungen Brenneisen/Staak, DuD 1998, 447; Zezschwitz, DuD 2000, 671. 2 Zur Gesetzgebungskompetenz der Länder BVerwG v. 25.1.2012 – 6 C 9/11, ZD 2012, 438; BVerfG v. 23.2.2007 – 1 BvR 2368/06, NJW 2007, 2320 = DÖV 2007, 606 m. Anm. Saurer, DÖV 2008, 17. 3 Gola/Schomerus, § 6b BDSG Rz. 7. 4 BVerfG v. 11.8.2009 – 2 BvR 941/08, NJW 2009, 3293. 5 Vgl. Wrede, DuD 2010, 225, 227 zur Tatbestandsmäßigkeit von Webcams für Zwecke des Tourismus und Städtemarketings.
Becker 295
BDSG § 6b
Allgemeine und gemeinsame Bestimmungen
7 Zunehmend von Bedeutung ist die Ausnahmeregelung des § 1 Abs. 2 Nr. 3 2. Halbs. zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten ausschließlich für persönliche und familiäre Tätigkeiten1. Mit der wachsenden Verbreitung von stationären und mobilen Videoanwendungen findet die „private“ Nutzung vermehrt auch im öffentlichen Raum statt und wirft vielfach neue Frage auf. Der Begriff der „privaten“ Zwecke sollte dabei aus Schutzzweckgesichtspunkten eng ausgelegt werden. Die Entscheidung über die Zulässigkeit sollte vor allem über die Interessenabwägung fallen. Erfolgt die Übertragung von (vermeintlich) privaten Videoaufzeichnungen an Sicherheitsdienste, greift die Privilegierung ohnehin nicht (vgl. § 8 BewachVO). Aber auch bei der Übertragung an sonstige Dienstleister, die eine geschäftsmäßige Verarbeitung der Daten (z.B. für eine Vielzahl privater Nutzer eines Internetdienstes) vorsehen, wird der Bereich des Privaten im Zweifel verlassen. Auch wenn die Begründung der EG-Datenschutzrichtlinie2 und die Gesetzesbegründung3 hierzu schweigen, ist der Grund für die Privilegierung der privaten Zwecke in § 1 Abs. 2 Nr. 3 2. Halbs. nicht darin zusehen, dass das private Sammeln von Daten für die hiervon Betroffenen unproblematischer ist als vergleichbare geschäftliche Tätigkeiten. Gemeinschaftsrechtlich beruht die Ausnahme auf der notwendigen Beschränkung der EG-Datenschutzrichtlinie auf Themen des innergemeinschaftlichen Handels – ein Umstand, der für die deutsche Gesetzesanwendung keine Rolle spielen kann. Die Privilegierung im nationalen Recht kann und soll sinnvoller Weise nur verhindern, dass der private Videonutzer nicht seinerseits zum Objekt einer unverhältnismäßigen staatlichen Kontrolle und Reglementierung wird. Der nationale Gesetzgeber kann nicht bezweckt haben, unternehmerische Geschäftsmodelle generell vom Datenschutz freizustellen, nur weil sich jeder Nutzer einzeln auf die grundsätzliche Privatheit seiner Videoaufnahmen berufen kann. Neuartige Anwendungen für die „private“ Videoaufzeichnung im Rahmen von stationären oder mobilen Internetanwendungen oder Telematikdiensten sind daher jeweils daraufhin zu prüfen, ob sie den Bereich des Privaten verlassen. Die Konstruktion einer pri1 Die Regelung spiegelt lediglich Art. 3 Abs. 2 der EG-Datenschutzrichtlinie, wonach diese keine Anwendung findet auf eine Datenverarbeitung, die „von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird“. 2 Erwägungsgrund 12 der EG-Datenschutzrichtlinie, der als Beispiel für eine rein private Datenverarbeitung auf privaten Schriftverkehr oder Führung von Anschriftenverzeichnissen, also eine private Adressensammlung verweist. 3 Begründungen zu § 1 Abs. 2 Nr. 3 und § 6b, BT-Drucks. 14/4329, S. 31 (38).
296 Becker
Beobachtung öffentlich zugänglicher Räume
§ 6b BDSG
vaten Auftragsdatenverarbeitung1 etwa im Rahmen von Anbieter-AGB wird dabei der Lebenswirklichkeit nicht gerecht: ein privater Dienstenutzer dürfte kaum jemals die Kontrollrechte und -pflichten des Auftraggebers aus § 11, insbesondere die Pflicht zur vorherigen Kontrolle der technischen und organisatorischen Maßnahmen (§ 11 Abs. 2 Satz 4), wahrnehmen können oder wollen. Im Anwendungsbereich des § 6b, d.h. in Fällen der Videoüberwachung 8 öffentlich zugänglicher Räume, scheidet ein Rückgriff auf §§ 13 ff. bzw. auf § 28 oder § 32 als Erlaubnisnormen aus. Allerdings bleibt es bei der Anwendung des § 28 bzw. § 32 (im Arbeitsverhältnis), sofern Videoüberwachung in nicht öffentlich zugänglichen Räumen durchgeführt wird. Auch die weitere Verarbeitung und Nutzung von Videoaufnahmen richtet sich ausschließlich nach § 6b. Dies folgt aus Abs. 3 Satz 1, der insoweit als lex specialis gegenüber den allgemeinen Erlaubnistatbeständen anzusehen ist2. Sachlich ergibt sich dadurch jedoch kein wesentlicher Unterschied zu einer Beurteilung nach § 28 Abs. 1, 2. Eine Zweckänderung ist nur in den engen Grenzen des Abs. 3 Satz 2 zulässig (unten Rz. 19); ein Rückgriff auf § 28 scheidet insoweit generell aus3. III. Öffentlich zugängliche Räume Die Regelung des § 6b gilt unmittelbar nur für öffentlich zugängliche 9 Räume. Der Begriff des öffentlich zugänglichen Raums ist weit zu verstehen und erfasst jedenfalls alle räumlichen Bereiche, die der Öffentlichkeit ausdrücklich oder aufgrund einer nach außen erkennbaren Zweckbestimmung zugänglich gemacht werden4. Auf die Eigentumsverhältnisse oder das Vorhandensein einer ausdrücklichen öffentlichen Widmung seitens des Eigentümers kommt es dabei nicht entscheidend an. Es kann unter Umständen auch genügen, dass z.B. ein bestimmter im Privateigentum stehender Bereich über längere Zeit von der Öffentlichkeit genutzt wird, ohne dass es eine erkennbare Billigung hierfür gab (z.B. langjährige Nutzung eines Privatweges durch Nachbarn). Solange der Berechtigte die Privatheit nicht wieder herstellt, kann er sich gegenüber der Anwendung des § 6b nicht auf die vielleicht innerlich vorbehaltene, aber dauerhaft nicht geltend gemachte Privatheit des betreffenden Raumes berufen. Bei öffent1 Vgl. Gola/Schomerus, § 6b BDSG Rz. 7a. 2 Vgl. Gola/Schomerus, § 6b BDSG Rz. 4; einschränkend Simitis/Scholz, § 6b BDSG Rz. 147. 3 BT-Drucks. 14/5793, S. 62. 4 Königshofen, RDV 2001, 220.
Becker 297
BDSG § 6b
Allgemeine und gemeinsame Bestimmungen
lich-rechtlichem Eigentum ist keine förmliche Widmung erforderlich. Alle dem öffentlichen Verkehr formal gewidmeten Flächen sind aber öffentlich zugängliche Räume i.S.d. § 6b. Erfasst sind mithin insbesondere öffentliche Straßen, Plätze, Eingänge und für Besucher zugängliche Bereiche öffentlicher Gebäude oder Einrichtungen und für das allgemeine Publikum geöffnete Bereiche von Geschäftsräumen (z.B. Eingangshallen, Warteräume, Tiefgaragen, Besucher- oder Kundenbereiche in Museen, Theatern, zoologischen Gärten, öffentliche Flächen von Verkehrsbetrieben, Sportstätten, Gaststätten und Hotels)1. 10 Nicht erfasst vom Tatbestand des § 6b sind diejenigen Flächen öffentlicher oder privater Eigentümer, die nicht der Öffentlichkeit zugänglich sind. In erster Linie handelt es sich dabei um Wohnungen und diejenigen Teile von Amts- oder Geschäftsräumen, die nicht für den Publikumsverkehr geöffnet sind. Eine entsprechende Anwendung von § 6b scheidet mangels Regelungslücke aus2. Diese Bereiche sind jedoch nicht schutzlos der beliebigen Videoüberwachung ausgesetzt. Vielmehr beurteilt sich dort die Videoüberwachung nach allgemeinen Rechtsgrundsätzen, d.h. vor allem nach dem deliktischen Schutz des allgemeinen Persönlichkeitsrechts der Betroffenen (§§ 823 Abs. 1, 1004 BGB). Für den praktisch wichtigsten Bereich der Videoüberwachung an nicht-öffentlichen Arbeitsplätzen hat die Rechtsprechung eine weitgehende Kasuistik zur Zulässigkeit von Überwachungsmaßnahmen entwickelt, welche die arbeitsrechtliche Sonderbeziehung berücksichtigt (dazu unten Rz. 26)3. Hier greift außerdem § 324. IV. Beobachtung mit optisch-elektronischen Einrichtungen 11 Das Merkmal der Beobachtung ist wertend zu betrachten. Die Beobachtung setzt eine gewisse Zielgerichtetheit bei der Wahrnehmung äußerer Vorgänge mit optisch-elektronischen Geräten voraus. Es kommt nicht darauf an, dass die Beobachtung das eigentliche Ziel oder auch nur der Hauptzweck der Tätigkeit ist. Es genügt, dass die Beobachtung des öffentlichen Raumes eine (unvermeidliche) Nebenfolge des eigentlich Ge1 BT-Drucks. 14/4329, S. 38 nennt als Beispiele Bahnsteige, Ausstellungsräume, Verkaufsräume und Schalterhallen; zur Videoüberwachung in Hotels Selk, RDV 2008, 187 (191); bei der Eisenbahn Ronellenfitsch, DVBl. 2010, 401 (407) m.w.N.; zum öffentlichen Nahverkehr Hilpert, RDV 2009, 160. 2 Forst, RDV 2009, 204 (206). 3 Vgl. BAG v. 16.12.2010 – 2 AZR 485/08, RDV 2011, 192; LAG Schleswig-Holstein v. 16.11.2011 – 3 Sa 284/11, juris, m.w.N.; Bayreuther, NZA 2005, 1038. 4 Vgl. Forst, RDV 2009, 204 (206 f.).
298 Becker
Beobachtung öffentlich zugänglicher Räume
§ 6b BDSG
wollten ist, so zum Beispiel die Erfassung des öffentlichen Fußgängerwegs bei der Überwachung des Eingangsbereichs zu einem Gebäude oder die Erfassung von Kunden bei der ggf. berechtigten Überwachung eines Mitarbeiters an seinem nicht-öffentlichen Arbeitsplatz. „Beobachtung“ als Vorgang setzt grundsätzlich eine gewisse Dauerhaftigkeit voraus1. Aber auch eine kurzzeitige Videoüberwachung oder die von vornherein zeitlich befristete Beobachtung (z.B. nur für die Zwecke einer einmaligen Veranstaltung) erfüllt grundsätzlich den Tatbestand des § 6b. Je stärker der Beobachtungswille ausgeprägt ist, desto weniger kommt es auf die Dauer der Beobachtung an und umgekehrt. Auf eine bestimmte Motivation des Beobachtenden kommt es für die Tatbestandsmäßigkeit zunächst nicht an, die subjektive Zwecksetzung spielt erst bei der Rechtfertigung eine entscheidende Rolle (unten Rz. 14 ff.). Optisch-elektronische Geräte sind alle Geräte, die Bewegtbilder bzw. 12 Bildfolgen, die als Bewegtbilder wahrgenommen werden, erzeugen und wahrnehmbar machen können. Auf die Technik kommt es nicht an; erfasst werden analoge und digitale Videoüberwachung. Abgrenzungsschwierigkeiten können sich insbesondere bei sog. Webcams ergeben, die in regelmäßigen Abständen Bilder erstellen, die jedoch aufgrund ihrer langsamen Abfolge nicht notwendigerweise als Bewegtbild wahrgenommen werden. Gleichwohl kann es sich in diesen Fällen um eine Videoüberwachung handeln2. Nicht abschließend geklärt ist, ob § 6b lediglich für ortsfeste Geräte zur Videoüberwachung gilt oder auch mobile Kameras erfasst3. Hier sollte eine wertende Betrachtung erfolgen; eine mobile Videoeinrichtung die auf Beobachtung angelegt ist, sollte nicht aus dem Anwendungsbereich des § 6b herausfallen. Der Begriff der Beobachtung setzt nicht die elektronische oder sonstige 13 Aufzeichnung der erfassten Bilder voraus. Es ist zwar zutreffend, dass die Videoüberwachung erst durch die Möglichkeit der Aufzeichnung in besonders starker Weise in das Persönlichkeitsrecht der Betroffenen eingreift. Es geht jedoch darum, den Einzelnen vor dem Gefühl der permanenten Beobachtung und Überwachung im öffentlichen Raum zu schützen. Rechtspolitisch ist dies zu begrüßen und einfachrechtlich hat dies seinen Ausdruck in einem Beobachtungsbegriff gefunden, der ohne weitere Qualifikation auskommt. Entgegen einer Mindermeinung findet § 6b daher auch im Fall der reinen Beobachtung ohne Aufzeichnung 1 Gola/Klug, RDV 2004, 65 (68). 2 Ausführlich Wrede, DuD 2010, 225; Loy, ZfIR 2004, 181; bejahend auch Hessische Landesregierung, Hessischer Landtag Drucks. 15/2950, S. 18. 3 Vgl. Gola/Klug, RDV 2004, 65 (66).
Becker 299
BDSG § 6b
Allgemeine und gemeinsame Bestimmungen
oder Speicherung von Daten Anwendung (sog. verlängertes Auge)1. Alles andere widerspräche auch der eindeutigen Gesetzesbegründung, die ausdrücklich hervorhebt, dass durch § 6b die Beobachtung selbst erfasst ist und es nicht auf das Erfordernis einer anschließenden Speicherung des Bildmaterials ankommt2. Vor diesem Hintergrund ist es auch zu begrüßen, dass die Rechtsprechung auf der Grundlage des allgemeinen Persönlichkeitsrechts einen Abwehranspruch gegen die bloße Möglichkeit der Beobachtung oder Aufzeichnung bzw. gegen die Schaffung eines entsprechenden Anscheins wegen des dadurch entstehenden Überwachungsdrucks bejaht3. Insoweit handelt es sich um einen dem § 6b vorgelagerten Tatbestand. Aber bereits die sichtbare, wenn auch möglicherweise ungenutzte oder funktionsunfähige Videokamera kann die aus Freiheitsgesichtspunkten unerwünschte verhaltenssteuernde Wirkung verursachen und stellt damit eine Beeinträchtigung des Persönlichkeitsrechts und der allgemeinen Handlungsfreiheit der Betroffenen dar4. V. Zweckbestimmung und Zweckbindung 14 Die Videoüberwachung ist gemäß § 6b nur zulässig, soweit sie für einen der in Abs. 1 Nr. 1 bis 3 genannten Zwecke erforderlich ist. Die Zwecksetzung ist vor allem im nicht-öffentlichen Bereich in einer verobjektivierten Weise zu betrachten. Zwar erfolgt die Zweckbestimmung einer Videoüberwachung zunächst subjektiv durch die verantwortliche Stelle. Darüber hinaus sind aber auch solche Zwecksetzungen zu berücksichtigen, die sich aus den objektiven Umständen ableiten lassen. Maßgeblich ist insoweit der tatsächliche, nicht der vorgeschützte Zweck einer Videoüberwachung. 15 Der Aufgabenerfüllung öffentlicher Stellen gemäß Abs. 1 Nr. 1 kommt als Rechtfertigungstatbestand eine Auffangfunktion zu. Die Regelung ist gegenüber den spezialgesetzlichen Regelungen zur Videoüberwachung durch öffentliche Stellen subsidiär. Ist die Videoüberwachung im An1 Vgl. nur Simitis/Scholz, § 6b BDSG Rz. 52 f. 2 BT-Drucks. 14/4329, S. 38; BT-Drucks. 14/5793, S. 62. 3 BGH v. 21.10.2011 – V ZR 265/10, NJW-RR 2012, 140; v. 16.3.2010 – VI ZR 176/09, NJW 2010, 1533; OLG München v. 13.2.2012/4.1.2012 – 20 U 4641/11, CR 2012, 335; LG Bonn v. 16.11.2004 – 8 S 139/04, RDV 2005, 122; LG Darmstadt v. 17.3.1999 – 8 O 42/99, NZM 2000, 360; LG Braunschweig v. 18.3.1998 – 12 S 23-97, NJW 1998, 2457. 4 Vgl. OLG Köln v. 30.10.2008 – 21 U 22/08, NJW 2009, 1827, das grundsätzlich auch einen vorbeugenden Unterlassungsanspruch bejaht.
300 Becker
Beobachtung öffentlich zugänglicher Räume
§ 6b BDSG
wendungsbereich der spezialgesetzlichen Normen ausgeschlossen, kann sie nicht auf § 6b gestützt werden1. Der Anwendungsbereich des Abs. 1 Nr. 1 ist damit verhältnismäßig eng und überschneidet sich mit dem von Abs. 1 Nr. 2. Praktische Bedeutung kommt der Regelung vor allem bei der Videoüberwachung zur Eigensicherung von Bundesbehörden oder zum Schutz öffentlicher Einrichtungen zu2. Die Videoüberwachung kann ferner zum Zwecke der Wahrnehmung des 16 Hausrechts gemäß Abs. 1 Nr. 2 gerechtfertigt sein. Das Hausrecht ist dabei weit zu verstehen3, nicht lediglich im Sinne einer Zugangskontrolle oder als Schutz gegen Hausfriedensbruch (§ 123 StGB), sondern als ein umfassendes Bestimmungs-, Abwehr- und Sicherungsrecht in Bezug auf befriedetes Besitztum oder andere Räume, die der Öffentlichkeit zugänglich gemacht werden4. Die Videoüberwachung dient insoweit auch einer präventiven Absicherung des Hausrechts5. Da das Hausrecht grundsätzlich an den Grenzen des Grundstücks endet, ist auch das Recht zur Videoüberwachung zur Sicherung des Hausrechts auf das Grundstück des Hausrechtsinhabers beschränkt. Bei öffentlich-rechtlich genutzten Gebäuden ist im Rahmen der Abwägung zu berücksichtigen, dass die öffentliche Stelle die Nutzung im Rahmen der öffentlich-rechtlichen Widmung und Zwecksetzung des Gebäudes dulden muss und die Besucher regelmäßig gezwungen sind, die betreffenden Räumlichkeiten aufzusuchen6. Ebenso ist im Rahmen von Arbeitsverhältnissen zu berücksichtigen, dass auch Arbeitnehmer gezwungen sind, zur Erbringung der Arbeitsleistung die Räumlichkeiten des Arbeitgebers zu betreten und sich dort berechtigterweise aufhalten; ihre Videoüberwachung lässt sich damit im Regelfall nicht mit dem Hausrecht rechtfertigen7. Das Hausrecht gilt entsprechend auch in Bezug auf öffentliche Transportmittel (Busse, Bahnen). Schließlich kann die Videoüberwachung auch gemäß Abs. 1 Nr. 3 zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke 1 Simitis/Scholz, § 6b BDSG Rz. 72. 2 Simitis/Scholz, § 6b BDSG Rz. 71 m.w.N. 3 Für die gleichlautende Regelung im Landesdatenschutzgesetz Nordrhein-Westfalen OVG NW v. 8.5.2009 – 16 A 3375/07, RDV 2009, 232 m.w.N.; grundlegend zum Begriff des Hausrechts und dessen Problematik Ziegler, DuD 2003, 337. 4 Vgl. Hessische Landesregierung, Hessischer Landtag Drucks. 15/2950, S. 13. 5 Umfassend zur Videoüberwachung im Bereich von Mietwohnungen- und Wohnungseigentum Huff, NZM 2002, 89; NZM 2002, 688; NZM 2004, 535. 6 Vgl. Ziegler, DuD 2003, 337 (338). 7 Forst, RDV 2009, 204 (208).
Becker 301
17
BDSG § 6b
Allgemeine und gemeinsame Bestimmungen
gerechtfertigt sein. Ungeachtet des gesetzgeberischen Ziels, die Videoüberwachung nur in engen Grenzen zu erlauben, hat der Gesetzgeber mit diesem Tatbestand eine Generalklausel in das Gesetz aufgenommen, die aber im Sinn eines effektiven Schutzes eng auszulegen ist1. Nach den Gesetzesmaterialien gilt der Rechtfertigungstatbestand nur für nicht-öffentliche Stellen2. Wie auch im Rahmen des § 28 genügt im Ausgangspunkt grundsätzlich jedes rechtliche, wirtschaftliche oder ideelle Interesse. Allerdings muss das Interesse objektiv bestehen3. Es genügt nicht die bloße Behauptung eines Interesses. In der Praxis werden vor allem Maßnahmen der Gefahrenabwehr und der Beweissicherung unter Abs. 1 Nr. 3 gefasst. In diesen Fällen ist eine scharfe Abgrenzung zur Wahrnehmung des – weit verstandenen – Hausrechts gemäß Abs. 1 Nr. 2 kaum möglich. Zwar soll ein Interesse an der Abwehr abstrakter Gefahren nicht ausreichen4. Gefordert wird vielmehr eine konkrete Gefahr z.B. in Bezug auf Vandalismus an Gebäuden, Einbrüche etc. Allerdings soll es hierfür wiederum genügen, wenn sich die erhöhte Gefährdungslage bei typisierender Betrachtung aus den Umständen ergibt, z.B. eine erhöhte Diebstahlsgefahr in Kaufhäusern, eine generell erhöhte Einbruchsgefahr bei Juwelieren5. Dem ist zuzustimmen. Nur eine typisierende Betrachtung ist auch praxisgerecht. Es ist demgegenüber überzogen, wenn gefordert wird, dass derjenige der eine Videoüberwachung einrichten will, Rechtsverletzungen oder Angriffe in der Vergangenheit nachweisen muss, um eine konkrete Gefährdung nachzuweisen6. Auswüchsen einer maßlosen Videoüberwachung kann hinreichend im Rahmen der Erforderlichkeitsprüfung bzw. der Interessenabwägung begegnet werden. Strenger ist allerdings der Maßstab, wenn es um die Überwachung von Mitarbeitern an öffentlich zugänglichen Arbeitsplätzen geht (unten Rz. 26). 18 Der Tatbestand des Abs. 1 Nr. 3 verlangt, dass die Zwecksetzung konkret festgelegt sein muss. Eine bestimmte Form der Festlegung wird da1 Simitis/Scholz, § 6b BDSG Rz. 77; Däubler/Klebe/Wedde/Weichert/Wedde, § 6b BDSG Rz. 35. 2 BT-Drucks. 14/5793, S. 61. 3 BT-Drucks. 14/5793, S. 61. 4 Vgl. Hessische Landesregierung, Hessischer Landtag Drucks. 15/2950, S. 13. 5 Zutreffend z.B. OLG München v. 13.2.2012/4.1.2012 – 20 U 4641/11, CR 2012, 335, das ohne weiteren Nachweis die grundsätzliche Schutzbedürftigkeit des Geschäftssitzes eines Versicherungskonzern bejaht; ähnlich AG Berlin-Mitte v. 18.12.2003 – 16 C 427/02, NJW-RR 2004, 531, das die Auflistung der verfolgten Interessen durch den Grundstückseigentümer als „plausibel und nachvollziehbar“ bezeichnet. 6 So aber Simitis/Scholz, § 6b BDSG Rz. 80.
302 Becker
Beobachtung öffentlich zugänglicher Räume
§ 6b BDSG
bei grundsätzlich nicht verlangt. Besteht eine Pflicht zur Führung eines Verfahrensverzeichnisses (§§ 4e Satz 1 Nr. 4, 4g Abs. 2), muss die Festlegung des Zweckes ohnehin schriftlich erfolgen. Die Anforderungen an die Festlegung des Zweckes in anderen Fällen (z.B. bei einer Videoüberwachung ohne Aufzeichnung von Daten) oder im Fall von Kleinstbetrieben i.S.d. § 4d Abs. 3 sollten nicht überspitzt werden. Der konkrete Zweck der Videoüberwachung wird sich bei diesen in aller Regel aus den objektiven Umständen ergeben und entsprechend eng anzunehmen sein (z.B. Videoüberwachung des Kassenbereichs in einem Einzelhandelsgeschäft zur Verhinderung von Diebstählen). Eine fehlende Dokumentation geht dabei grundsätzlich zu Lasten der verantwortlichen Stelle. Auf Zwecke, die nicht offenkundig, aber auch nicht dokumentiert sind, kann sich die verantwortliche Stelle nicht berufen. Die Festlegung des Zwecks muss vor der Inbetriebnahme einer Videoüberwachung erfolgen1. Die ggf. aus der Videoüberwachung gewonnenen Daten unterliegen ei- 19 ner strengen Zweckbindung. Nach Abs. 3 Satz 2 dürfen die Daten für einen anderen als den ursprünglichen Zweck nur verarbeitet und genutzt werden, soweit dies für die Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist. Aufnahmen aus einer Videoüberwachung dürfen damit im Wesentlichen nur weiterverwendet werden, soweit es zu einer Rechtsverletzung gekommen ist und die Aufzeichnungen als Beweismittel dienen2. Im Fall schwerwiegender Straftaten kann auch die Veröffentlichung von Videoaufnahmen zur Fahndungsunterstützung zulässig sein. Unterhalb dieser Schwelle scheidet eine Veröffentlichung generell aus. VI. Erforderlichkeit und Interessenabwägung Die Videoüberwachung muss für die Verwirklichung der in Abs. 1 Nr. 1 20 bis 3 genannten Zwecke erforderlich sein. Dies gilt auch für jede weitere Verarbeitung und die Nutzung von Daten, die aus der Videoüberwachung gewonnen werden (Abs. 3 Satz 1)3. Entsprechend dem allgemeinen Begriffsverständnis der Erforderlichkeit setzt dies voraus, dass die Videoüberwachung für den jeweiligen Zweck geeignet ist und kein milderes Mittel zur Verfügung steht, mit dem der Zweck ebenso wirk-
1 BT-Drucks. 14/5793, S. 61. 2 Vgl. BT-Drucks. 14/5793, S. 62. 3 BT-Drucks. 14/5793, S. 62.
Becker 303
BDSG § 6b
Allgemeine und gemeinsame Bestimmungen
sam erreicht werden kann1. Die Erforderlichkeit in diesem Sinne bestimmt sich nach objektiven Maßstäben. Bei der Prüfung der Geeignetheit geht es vor allem darum, ungeeignete und insoweit für die Betroffenen unnötig belastende Maßnahmen auszuschließen. Es ist nicht notwendig, die am besten geeignete Alternative zu identifizieren. Von einer Geeignetheit ist vielmehr bereits dann auszugehen, wenn die Erreichung des maßgeblichen Zwecks sinnvoll gefördert wird2. Es ist insoweit verfehlt, wenn einer Videoüberwachung die Geeignetheit abgesprochen wird, weil z.B. die Auflösung der verwendeten Kameras zu gering ist, um Personen zu erkennen. 21 Bei der Prüfung der Erforderlichkeit ist zu berücksichtigen, ob der verantwortlichen Stelle andere Maßnahmen z.B. der Gefahrenabwehr oder Beweissicherung wirtschaftlich zumutbar sind. Der Verweis auf ein vermeintlich milderes Mittel ist dann nicht berechtigt, wenn der verantwortlichen Stelle durch dessen Verwendung wesentlich höhere Kosten oder sonstige wesentliche Nachteile entstehen. So ist insbesondere der Verweis auf kostenintensive persönliche Kontrollen durch Mitarbeiter regelmäßig unangemessen, wenn diese mit hohen Personalkosten oder mit einer Mitarbeitergefährdung einhergehen3. An dieser Stelle wird der Konflikt zwischen einem wirtschaftlichen Eigentumsschutz und dem Recht auf informationelle Selbstbestimmung offenkundig. Denn im Hinblick auf die immer kostengünstiger werdende Videotechnik liegt es auf der Hand, dass die Videoüberwachung im Zweifel stets die wirtschaftlichere und gefahrlosere Form der Überwachung von Gebäuden und Anlagen darstellt. Dem kann sich die Anwendung des § 6b nicht grundsätzlich verschließen. Der notwendige Ausgleich der widerstreitenden Rechte muss eher im Rahmen der Interessenabwägung sowie im Bereich der Hinweis- und Löschungspflichten erfolgen. 22 Die Interessenabwägung muss das Interesse der verarbeitenden Stelle an der Durchsetzung der in Abs. 1 in Bezug genommenen Zwecke und die 1 Zur Auslegung des Begriffs der Erforderlichkeit im Rahmen des § 28 und den für das BDSG geltenden Besonderheiten siehe die Kommentierung zu § 28, dort Rz. 19 ff., 25. 2 BAG v. 14.12.2004 – 1 ABR 34/03, RDV 2005, 216, das insoweit von grundsätzlicher bzw. genereller Eignung der Videoüberwachung zur Verhinderung von Diebstählen in einem Betrieb spricht sowie davon, dass die Videoüberwachung die Erreichung dieses Ziels jedenfalls fördert; ähnlich OVG NW v. 8.5.2009 – 16 A 3375/07, RDV 2009, 232, das vor allem auf den „nach allgemeinen Erfahrungswerten“ gegebenen Abschreckungseffekt abstellt. 3 AG Berlin-Mitte v. 18.12.2003 – 16 C 427/02, NJW-RR 2004, 531; OVG NW v. 8.5.2009 – 16 A 3375/07, RDV 2009, 232.
304 Becker
Beobachtung öffentlich zugänglicher Räume
§ 6b BDSG
schutzwürdigen Interessen der Betroffenen gegenüberstellen. Der gesetzliche Wortlaut zur Interessenabwägung in Abs. 1 bzw. Abs. 3 Satz 1 entspricht weitgehend der Formulierung des § 28 Abs. 1 Satz 1 Nr. 2. Im Rahmen einer umfassenden Abwägung ist zu prüfen, ob die Verhältnismäßigkeit der Videoüberwachung sowie der Verarbeitung und Nutzung der erlangten Daten gewahrt bleibt. Maßgeblich für die Interessenabwägung sind die konkreten Umstände des Einzelfalls, wobei jedoch naturgemäß eine typisierende Betrachtung im Hinblick auf die Interessenlage der Betroffenen erforderlich ist. In diesem Sinne ist die gesetzliche Formulierung zu verstehen, wonach die Videoüberlassung nur zulässig ist, „soweit keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen“. Da die Abwägung im Vorfeld der Videoüberwachung stattfinden muss, kommt es naturgemäß auf eine Prognose im Hinblick auf die betroffenen Interessen an. Im Fall wesentlicher Änderungen der Umstände muss seitens der verarbeitenden Stelle ggf. eine Neubewertung stattfinden. Auf Seiten der verarbeitenden Stelle sind die Zwecksetzung und die für 23 eine Videoüberwachung sprechenden Momente zu berücksichtigen. Insbesondere in Fällen, in denen die Videoüberwachung der Gefahrenabwehr oder Sicherungszwecken dient, ist das Maß der Gefahr zu berücksichtigen. Ist es bereits in der Vergangenheit zu konkreten Rechtsverletzungen gekommen, ist das Interesse an einer Vermeidung weiterer Rechtsverletzungen und an deren Aufklärung besonders hoch zu bewerten. Zu berücksichtigen ist auch, dass das Sicherheitsbedürfnis der Öffentlichkeit heute bei weitem ausgeprägter ist als noch vor einigen Jahren. Die Betreiber bestimmter Anlagen (z.B. Parkhäuser, U-Bahnen, Bahnhöfe) stehen heute sogar unter einem erheblichen öffentlichen Druck eine angemessene Videoüberwachung zu betreiben, um damit den Nutzern ein angemessenes – wenn auch teils nur subjektives – Sicherheitsgefühl zu geben und die – kriminalpolitisch wünschenswerte – schnelle Aufklärung von Straftaten unterstützen zu können. Dies wird geradezu als Teil der Verkehrsicherungspflicht der betroffenen Unternehmen gesehen. Es wäre falsch, dem mit überzogenen Anforderungen an die Interessenabwägung im Rahmen des § 6b entgegenzutreten. Dies gilt in ähnlicher Weise für Verkehrssicherungspflichten in Bezug auf die Vermeidung von Unfällen durch die Betreiber bestimmter Anlagen1.
1 Vgl. etwa OLG Saarbrücken v. 29.11.2006 – 1 U 616/05, NJW-RR 2007, 462 (zur Verkehrssicherungspflicht mittels Videoüberwachung an gefährlichen Stellen im Schwimmbad).
Becker 305
BDSG § 6b
Allgemeine und gemeinsame Bestimmungen
24 Im Hinblick auf die Art und Weise der Videoüberwachung sind sämtliche technischen und sonstigen Umstände zu berücksichtigen, welche Einfluss auf die Intensität der Videoüberwachung und den Eingriff in die Rechte der Betroffenen haben. Zu beachten sind insbesondere die Auflösung der Kamera und die dadurch gegebene Erkennbarkeit erfasster Personen, die Größe und Veränderlichkeit des Bildausschnittes, eine vorhandene Zoomfunktion, die Verfolgbarkeit einzelner Personen, die Anzahl der Kameras in einem bestimmten Bereich, die Uhrzeiten, zu denen die Videoüberwachung stattfindet, die Anzahl der Personen, die Zugriff auf die Videoüberwachung bzw. Aufzeichnungen haben, sowie automatisierte Schwärzungen von Bildbereichen1. Umfassendere technische Konzepte, insbesondere die Verwendung sog. intelligenter Kameras mit Schwärzungs- und Verpixelungsfunktionen, bedürfen im Zweifel einer aufwändigen Detailbetrachtung2. Je größer die Individualisierbarkeit der betroffenen Personen und je umfangreicher die erfassten Daten und Auswertungsmöglichkeiten, desto strenger sind die Anforderungen an die berechtigten Interessen der verarbeitenden Stelle. Eine dauerhafte Überwachung rund um die Uhr ist im Regelfall unverhältnismäßig. Eine besondere Grenze für die Videoüberwachung stellt die Privat- oder Intimsphäre der Betroffenen dar; hier ist im Zweifel immer von einem überwiegenden Interesse der Betroffenen auszugehen (z.B. Unzulässigkeit der Überwachung von Sanitärräumen und Umkleidekabinen)3. Von wesentlicher Bedeutung ist naturgemäß, ob die Videoüberwachung nur im Sinne eines „verlängerten Auges“ ohne Aufzeichnung stattfindet oder ob und ggf. wie Aufzeichnungen angefertigt, gespeichert, verarbeitet und ggf. übermittelt werden (Abs. 3 Satz 1)4. Durch die getrennte Regelung der Videoüberwachung in Abs. 1 und die Regelung der Verarbeitung und Nutzung in Abs. 3 hat der Gesetzgeber deutlich gemacht, dass beides getrennt zu prüfen und zu bewerten ist. Im Rahmen der Interessenabwägung sind auch die Erfüllung von Hinweispflichten (Abs. 2) und die Maßnahmen zur Sicherstellung einer zeitnahen Löschung (Abs. 5) zu berücksichtigen. Solange die Einhaltung dieser Gebote nicht gewährleistet ist, muss richtigerweise schon die Videoüberwachung als solche 1 Vgl. BVerwG v. 25.1.2012 – 6 C 9/11; OLG München v. 13.2.2012/4.2.2012 – 20 U 4641/11, CR 2012, 335. 2 Zu den vielfältigen Aspekten intelligenter Kamerasysteme Winkler, DuD 2011, 797; Hornung/Dosei, K&R 2011, 153. 3 Vgl. BT-Drucks. 14/5793, S. 62. 4 Vgl. BT-Drucks. 14/5793, S. 62 („je leistungsfähiger die Möglichkeiten automatisierter Auswertung … desto gewichtiger ist das informationelle Selbstbestimmungsrecht im Rahmen der Abwägung“).
306 Becker
Beobachtung öffentlich zugänglicher Räume
§ 6b BDSG
unterbleiben. Umgekehrt können ein klares und datenschutzfreundliches Hinweis- und Löschungskonzept die Abwägung positiv zugunsten der Videoüberwachung beeinflussen. Dies gilt in gleicher Weise für die Einhaltung der Gebote der Datenvermeidung und -sparsamkeit (§ 3a). Die vorgenannten Aspekte eröffnen einen gewissen Spielraum der ver- 25 arbeitenden Stelle, die Videoüberwachung in tatsächlicher Hinsicht so zu gestalten, dass die Interessenabwägung zu ihren Gunsten ausfällt. In den Fällen, in denen die Rechtfertigungstatbestände des Abs. 1 Nr. 1 bis 3 grundsätzlich erfüllt sind, geht es daher bei der Videoüberwachung meist nicht so sehr um das „Ob“, sondern vor allem um das „Wie“ der Videoüberwachung. Besondere Einschränkungen gelten in Bezug auf die Videoüberwachung 26 im Anwendungsbereich des § 6b, soweit es sich zugleich um den Arbeitsplatz von Mitarbeitern handelt. Insoweit werden die Bestimmungen des § 6b von der arbeitsrechtlichen Sonderbeziehung überlagert. Der Arbeitnehmer kann sich der Beobachtung an seinem Arbeitsplatz nicht ohne Verletzung seiner Dienstpflichten entziehen und bedarf daher eines besonderen Schutzes. Die langfristige und durchgehende videogestützte Beobachtung von Mitarbeitern an ihrem Arbeitsplatz ist grundsätzlich unzulässig, wenn keine besondere Gefährdungslage oder ein konkreter Anfangsverdacht nachgewiesen werden kann1. Ein überwiegendes Interesse des Arbeitgebers an der Videoüberwachung kann nur unter besonderen Voraussetzungen bejaht werden, insbesondere wenn es um die Abwehr besonderer Gefahren oder um die Aufdeckung erheblichen Fehlverhaltens (z.B. Begehung von Straftaten am Arbeitsplatz) geht, für das ein konkreter Anfangsverdacht besteht2. In diesen Fällen ist gleichwohl restriktiv mit der weiteren Nutzung und Auswertung gewonnener Daten zu verfahren. Im Fall unzulässiger Videoüberwachung steht dem betroffenen Mitarbeiter regelmäßig ein Schmerzensgeld zu (unten Rz. 31). Die Videoüberwachung unterliegt als technische Überwachungsmaßnahme außerdem der Mitbestimmung (§ 87 Abs. 1 Nr. 6 BetrVG, § 75 Abs. 3 Nr. 17 BPersVG)3. Dem Betriebs-
1 BAG v. 14.12.2004 – 1 ABR 34/03, RDV 2005, 216; zur Schwierigkeit der Konkretisierung dieses Maßstabes Bayreuther, NZA 2005, 1038 (1039). 2 Vgl. Freckmann/Wahl, BB 2008, 1904; Oberwetter, NZA 2008, 609. 3 Ausführlich zum notwendigen Inhalt der Betriebsvereinbarung Freckmann/ Wahl, BB 2008, 1904 (1906); Tammen, RDV 2000, 15, 18; siehe auch Marties, NJW 2008, 2219; zu den Grenzen einer Betriebsvereinbarung bei Videoüberwachung BAG v. 26.8.2008 – 1 ABR 16/07, RDV 2008, 238; v. 14.12.2004 – 1
Becker 307
BDSG § 6b
Allgemeine und gemeinsame Bestimmungen
rat stehen bei Verstoß hiergegen Unterlassungsansprüche zu1. Der Gesetzentwurf zum Beschäftigtendatenschutz sieht die Einführung eines § 32f (neu) vor, der im Einzelnen die Anforderungen an die Videoüberwachung für nicht öffentlich zugängliche Arbeitsplätze festlegt2. Die vorgeschlagene Neuregelung sieht dabei eine entsprechende Anwendung von § 6b Abs. 3 und 4 vor. VII. Erkennbarkeit der Beobachtung 27 Die Videoüberwachung ist gemäß Abs. 2 kenntlich zu machen. Fraglich ist, ob die Transparenz der Videoüberwachung als Rechtmäßigkeitsvoraussetzung anzusehen ist3. Die Systematik spricht eher gegen eine solch strikte Auslegung. Im Gesetzgebungsverfahren wurde Abs. 2 lediglich als „allgemeine Verfahrenssicherung“ bezeichnet4. Dies spricht gegen die Kenntlichmachung als Rechtmäßigkeitsvoraussetzung, auch wenn dies in Bezug auf Schutzzweckgesichtspunkte unbefriedigend sein mag. Allerdings wird die fehlende oder unzureichende Transparenz regelmäßig auch bei der Interessenabwägung zu berücksichtigen sein (oben Rz. 24). Die heimliche Videobeobachtung wird daher in aller Regel unzulässig sein, wenn sie nicht zum Schutz überragend wichtiger Rechtsgüter, insbesondere im Rahmen notwehrähnlicher Situationen gerechtfertigt ist5. Die notwendigen Maßnahmen zur Kenntlichmachung sind anhand objektiver Kriterien zu bestimmen. Angemessen sind Maßnahmen, die den Erwartungen und Kenntnisnahmemöglichkeiten der betroffenen Verkehrskreise entsprechen. Kritisch zu sehen ist die Auffassung, dass es genügen kann, wenn die Videoanlage für jedermann sichtbar installiert ist6. Dies ist schon deshalb problematisch, weil Videokameras meist an Stellen installiert sind, an denen sie außer-
1 2 3
4 5 6
ABR 34/03, RDV 2005, 216; LAG Hamm v. 14.4.2011 – 15 Sa 125/11, juris – Unverhältnismäßigkeit einer permanenten Videoüberwachung. LAG Rheinland-Pfalz v. 19.8.2011 – 9 TaBVGa 1/11, juris. BT-Drucks. 17/4320, S. 8; vgl. auch Heinson/Sörup/Wybitul, CR 2010, 751 (756 f.). So jedenfalls ArbG Frankfurt v. 25.1.2006 – 7 Ca 3342/05, RDV 2006, 214; vgl. Gola/Schomerus, § 6b BDSG Rz. 28; Bayreuther, NZA 2005, 1038 (1040); zum daraus ggf. folgenden Verwertungsverbot bei heimlicher Videoüberwachung unten Rz. 31. BT-Drucks. 14/5793, S. 62; vgl. auch Forst, RDV 2009, 204 (209) („bloße Ordnungsvorschrift“). Zur heimlichen Videoüberwachung im Arbeitsverhältnis Forst, RDV 2009, 204 (209); Bayreuther, NZA 2005, 1038 (1040). Vgl. Gola/Schomerus, § 6b BDSG Rz. 23.
308 Becker
Beobachtung öffentlich zugänglicher Räume
§ 6b BDSG
halb der Reichweite etwaiger Passanten sind und deshalb nicht erwartet werden kann, dass sie von diesen wahrgenommen werden. Außerdem macht die Hinweispflicht nur dann Sinn, wenn der Betroffene gewarnt wird, bevor (!) er in das Blickfeld der Videoüberwachung gerät. Für den Regelfall ist daher eine separate und deutliche Kennzeichnung durch Hinweisschilder zu verlangen. Durchgesetzt haben sich hierfür Piktogramme, die mit einem Videokamerasymbol auf die optische Überwachung hinweisen. Grundsätzlich müssen – nach bisheriger Verkehrsauffassung – keine besonderen Vorkehrungen zur Kenntlichmachung für Personen getroffen werden, welche die optischen Hinweise nicht wahrnehmen können (z.B. Menschen mit Sehbehinderungen). Es ist anerkannt, dass keine besonderen Hinweise über die Verarbeitung oder Nutzung der Daten erforderlich sind (z.B. über die Dauer der Speicherung von Aufnahmen). Anzugeben ist jeweils auch die verantwortliche Stelle. Ausreichend hierfür sind Name oder Firma und die Postadresse, sofern diese nicht ebenfalls offenkundig ist (z.B. Firmenname am Gebäude). Weitere Angaben sind nicht erforderlich.
28
VIII. Benachrichtigungs- und Löschungspflichten Ein Betroffener muss von der Videoüberwachung gemäß Abs. 4 benach- 29 richtigt werden, wenn die Daten aus der Videoüberwachung seiner Person zugeordnet werden. Dies gilt sowohl für den öffentlichen (§ 19a) als auch den nicht-öffentlichen Bereich (§ 33). Die Benachrichtigungspflicht setzt entsprechend dem Wortlaut des Abs. 4 zwingend voraus, dass durch die Videoüberwachung Daten erhoben, d.h. aufgezeichnet bzw. gespeichert wurden. Die Benachrichtigungspflicht entsteht in dem Moment, in dem der einzelne Betroffene von der verantwortlichen Stelle identifiziert und damit aus seiner relativen Anonymität im öffentlichen Raum herausgehoben wird. Die bloße Möglichkeit, die Identität der im Rahmen einer Videoüberwachung erfassten Personen festzustellen, begründet noch keine Benachrichtigungspflicht1. Der Verweis auf § 19a und § 33 umfasst auch die in deren Abs. 2 jeweils genannten Ausnahmetatbestände. Allerdings darf nicht generell angenommen werden, dass der Betroffene aufgrund der vorhandenen Hinweise auf die Videoüberwachung auf „andere Weise“ Kenntnis davon erlangt hat, dass eine individuelle Zuordnung seiner Person zu den Daten aus der Videoüberwachung stattgefunden hat (vgl. §§ 19a Abs. 2 Satz 1 Nr. 1, 33 Abs. 2 1 Vgl. Simitis/Scholz, § 6b BDSG Rz. 133, 134.
Becker 309
BDSG § 6b
Allgemeine und gemeinsame Bestimmungen
Satz 1 Nr. 1). Damit muss er gerade nicht rechnen. Die Benachrichtigung kann formlos erfolgen und muss Art und Umfang der Aufzeichnung sowie die damit verfolgte Zielsetzung umfassen. 30 An die Löschungspflicht gemäß Abs. 5 sind strenge Anforderungen zu stellen. Die von der verarbeitenden Stelle vorgesehenen Löschungsfristen sind auch im Rahmen der Interessenabwägung zu berücksichtigen (oben Rz. 24). Die Löschung muss jeweils unverzüglich erfolgen, wenn die Aufbewahrung der Daten zur Zweckerreichung nach Abs. 1 nicht mehr erforderlich ist oder die schutzwürdigen Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. Bei allen Maßnahmen zur Gefahrenabwehr und Sicherung ist dies der Fall, wenn es nicht zu relevanten Störungen gekommen ist. Die verarbeitende Stelle ist im eigenen Interesse gehalten, schnellstmöglich auf eine entsprechende Klärung hinzuwirken. Die Gesetzesmaterialien gehen davon aus, dass nicht mehr benötigte Aufnahmen innerhalb weniger Tage zu löschen sind1. Davon darf nur in Ausnahmefällen abgewichen werden. Die verarbeitende Stelle muss ggf. nach dem Stand der Technik verfügbare automatisierte Verfahren zur Löschung vorsehen. Dies folgt auch bereits aus dem Grundsatz der Datenvermeidung und Datensparsamkeit gemäß § 3a2. IX. Rechtsfolgen/Sanktionen, Rechtsweg 31 Im Fall eines Verstoßes gegen § 6b ist die Videoüberwachung rechtswidrig. Betroffene können einer rechtswidrigen Videoüberwachung Unterlassungsansprüche aus §§ 823 Abs. 1, 1004 BGB in Verbindung mit dem Recht auf informationelle Selbstbestimmung bzw. dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1, Art. 1 Abs. 1 GG) geltend machen3, sofern sie durch die Videoüberwachung hinreichend individuell betroffen sind. § 6b ist außerdem Schutzgesetz i.S.d. § 823 Abs. 2 BGB4. Für den Unterlassungsanspruch gegenüber Privaten ist der Zivilrechtsweg gegeben, im Arbeitsverhältnis zu den Arbeitsgerichten. Im öffentlichen Bereich kann der Unterlassungsanspruch unmittelbar auf die Grundrechte aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gestützt werden, sofern es keinen einfachgesetzlichen Unterlassungsanspruch gibt5. Die Video1 2 3 4
BT-Drucks. 14/5793, S. 63. BT-Drucks. 14/5793, S. 63. So schon BGH, NJW 1995, 1955 vor Einführung des § 6b. AG Berlin-Mitte v. 18.12.2003 – 16 C 427/02, NJW-RR 2004, 531; Palandt/ Sprau, BGB, 71. Aufl. 2012, § 823 Rz. 62A; vgl. allgemein zum BDSG als Schutzgesetz auch Gola/Schomerus, § 1 Rz. 3. 5 BVerwG v. 25.1.2012 – 6 C 9/11, Rz. 22, juris.
310 Becker
Beobachtung öffentlich zugänglicher Räume
§ 6b BDSG
überwachung ist schlichtes Verwaltungshandeln, gegen das der Rechtsweg zu den Verwaltungsgerichten gegeben ist1. Ein vorbeugender Unterlassungsanspruch kann schon bei Erstbegehungsgefahr gegeben sein, wenn ernsthafte und greifbare tatsächliche Anhaltspunkte dafür vorliegen, der Anspruchsgegner werde in naher Zukunft eine rechtswidrige Videoüberwachung durchführen2. Neben Unterlassungsansprüchen kann zumindest in Arbeitsverhältnissen auch ein Anspruch auf Schmerzensgeld gegeben sein3. Ein Verstoß gegen § 6b ist als solcher nicht bußgeldbewehrt oder strafbar; die §§ 43, 44 enthalten keinen Verweis auf § 6b. Bußgeldbewehrt ist aber gemäß § 43 Abs. 1 Nr. 8 das Unterlassen der gebotenen Benachrichtigung nach Abs. 4 i.V.m. § 33 Abs. 1. Rechtswidrige Videoaufzeichnungen können unter bestimmten Voraussetzungen einem Beweisverwertungsverbot unterliegen4. Die Rechtsprechung ist jedoch generell zurückhaltend mit der Annahme eines Verwertungsverbots5.
1 Vgl. BVerwG v. 25.1.2012 – 6 C 9/11, Rz. 22, juris, m.w.N. 2 OLG Köln v. 30.10.2008 – 21 U 22/08, NJW 2009, 1827; zur Wiederholungsgefahr im Fall der öffentlichen Videoüberwachung BVerwG v. 25.1.2012 – 6 C 9/11, Rz. 21, juris. 3 LAG Frankfurt v. 25.10.2010 – 7 Sa 1586/09, RDV 2011, 99 m. Anm. Albrecht, jurisPR-ITR 10/2011 Anm. 4. 4 Ausführlich Bayreuther, NZA 2005, 1038 (1041). 5 Vgl. für das Arbeitsrecht BAG v. 16.12.2010 – 2 AZR 485/08, RDV 2011, 192 m.w.N.; v. 27.3.2003 – 2 AZR 51/02, RDV 2003, 293; LAG Hamm v. 15.7.2011 – 10 Sa 1781/10, juris – Ablehnung eines Verwertungsverbots bei Verstoß gegen § 6b in notwehrähnlicher Lage (Revision anhängig – BAG, 2 AZR 797/11); ArbG Düsseldorf v. 3.5.2011 – 11 Ca 7326/10, juris = RDV 2011, 311 – Bejahung des Verwertungsverbots wegen Verstoß gegen § 6b (analog) und § 32 m.w.N.; ebenso ArbG Düsseldorf v. 29.4.2011 – 9 BV 183/10 m. Anm. Spitz, jurisPR-ITR 12/2011 Anm. 5; LArbG Sachsen-Anhalt v. 15.4.2008 – 11 Sa 522/07, juris – jedenfalls kein Verwertungsverbot bei fehlendem Bestreiten; ArbG Frankfurt v. 25.1.2006 – 7 Ca 3342/05, RDV 2006, 214 – Verwertungsverbot wegen Verstoß gegen § 6b bejaht; zur Verwertung privater Videoaufzeichnungen in einem Kaufhaus für einen Strafprozess siehe BayOLG v. 24.1.2002 – 2St RR 8/02, NJW 2002, 2893; im Zivilprozess OLG Köln v. 5.7.2005 – 24 U 12/05, RDV 2006, 19; zur Zulässigkeit der verdeckten Videoüberwachung am Arbeitsplatz bei Diebstahlsverdacht unter Berücksichtigung der Menschenrechte EGMR v. 5.10.2010 – 420/07, EuGRZ 2011, 471; zusammenfassend zum Stand der Rechtsprechung Butz/Bummer, AuA 2011, 400; Steinkühler/Raif, AuA 2009, 213; Freckmann/Wahl, BB 2008, 1904 (1907).
Becker 311
BDSG § 6c
Allgemeine und gemeinsame Bestimmungen
Mobile personenbezogene Speicher- und Verarbeitungsmedien
6c
(1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereithält, muss den Betroffenen 1. über ihre Identität und Anschrift, 2. in allgemein verständlicher Form über die Funktionsweise des Mediums einschließlich der Art der zu verarbeitenden personenbezogenen Daten, 3. darüber, wie er seine Rechte nach den §§ 19, 20, 34 und 35 ausüben kann, und 4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen unterrichten, soweit der Betroffene nicht bereits Kenntnis erlangt hat. (2) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen. (3) Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, müssen für den Betroffenen eindeutig erkennbar sein. I. Einführung . . . . . . . . . . . . . . . .
1
II. Normadressat. . . . . . . . . . . . . .
3
III. Speicher- und Verarbeitungsmedien . . . . . . . . . . . . . . . . . . .
7
IV. Informationspflicht (Abs. 1) . . 12 V. Geräte und Einrichtungen zur Auskunft (Abs. 2) . . . . . . . 18
VI. Erkennbarkeit von Datenverarbeitungs-Vorgängen (Abs. 3). . . . . . . . . . . . . . . . . . . . 22 VII. 1. 2. 3. 4. 5.
Fallgruppen . . . . . . . . . . . . . . . . Gesundheitskarten . . . . . . . . . Kundenkarten. . . . . . . . . . . . . . Personalausweis . . . . . . . . . . . . RFID . . . . . . . . . . . . . . . . . . . . . SIM-Karten . . . . . . . . . . . . . . . .
24 24 25 26 27 28
Schrifttum: Artikel-29-Datenschutzgruppe, Rahmen für Datenschutzfolgenabschätzungen für RFID-Anwendungen, WP 180 v. 11.2.2011; Conrad, RFID-Ticketing aus datenschutzrechtlicher Sicht, CR 2005, 537; Geis, Der Betroffene als Zahl – Wirtschaftsinteresse contra Betroffenenrechte?, RDV 2007, 1; Hornung, Datenschutz für Chipkarten, DuD 2004, 243; Hornung, RFID und datenschutzrechtliche Transparenz, MMR 5/2006, XX; Lahner, Anwendung des 6c BDSG auf RFID, DuD 2004, 723; Polenz, Der neue elektronische Personalausweis, MMR 2010, 671; Holznagel/Bonnekoh, Radio Frequency Identification – Innovation vs. Datenschutz?, MMR 2006, 17; Kramer, Ist die Geldkarte ein „mobiles personenbezogenes
312 Hullen
Mobile personenbezogene Speicher- und Verarbeitungsmedien
§ 6c BDSG
Speicher- und Verarbeitungsmedium“?, DSB 2002, Nr. 5, 8; Roßnagel, Modernisierung des Datenschutzrechts für eine Welt allgegenwärtiger Datenverarbeitung, MMR 2005, 71; Schmitz/Eckhardt, Einsatz von RFID nach dem BDSG, CR 2007, 171; Weichert, Datenschutzrechtliche Anforderungen an Chipkarten, DuD 1997, 266; Zilkens, Datenschutz im Pass- oder Personalausweiswesen, RDV 2010, 14.
I. Einführung § 6c normiert besondere Informationspflichten, die mit der Verwendung 1 mobiler personenbezogener Speicher- und Verarbeitungsmedien (siehe Legaldefinition in § 3 Abs. 10) einhergehen (Abs. 1). Hierdurch soll die Transparenz bei der Verarbeitung personenbezogener Daten auf Datenträgern wie Chipkarten, bei denen der Betroffene die Verarbeitungsvorgänge aufgrund mangelnder Wahrnehmbarkeit nur schwer nachvollziehen kann, erhöht werden1. Insbesondere soll der Betroffene durch die frühzeitige Information über 2 die Funktionsweise des Mediums sowie über die Art der zu verarbeitenden Daten erkennen können, in welcher Weise und in welchem Umfang in sein Recht auf informationelle Selbstbestimmung eingegriffen wird2. Hierdurch wird der Betroffene bereits vor der Speicherung seiner Daten auf dem Medium entscheiden können, ob er einem derart gestalteten Verarbeitungsprozess vertrauen möchte. § 6c adressiert hingegen nicht die Frage der Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten, insofern gelten die entsprechenden allgemeinen oder speziellen Zulässigkeitsnormen des Datenschutzrechts3. Die Informationspflicht wird flankiert von der Pflicht zur Bereitstellung technischer Einrichtungen, die das Auslesen der mobilen Datenträger durch den Betroffenen selbst ermöglichen (Abs. 2) und der Pflicht, das Ablaufen von Datenverarbeitungsvorgängen auf Speicher- und Verarbeitungsmedien für den Betroffenen erkennbar zu machen (Abs. 3). II. Normadressat Die Informationspflichten des Abs. 1 treffen zwei unterschiedliche Stellen, die zur Unterrichtung des Nutzers verpflichtet sind (verpflichtete Stellen). Zum einen ist dies die Stelle, die ein mobiles Speicher- und Verarbeitungsmedium (hierzu unten Rz. 7) ausgibt. Zum anderen ist auch die Stelle verpflichtet, die „Verfahren zur automatisierten Verar1 Vgl. BT-Drucks. 14/5793, S. 63. 2 So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 6c BDSG Rz. 2. 3 Ausführlich zur Rechtsnatur der Regelung Simitis/Scholz, § 6c BDSG Rz. 20.
Hullen 313
3
BDSG § 6c
Allgemeine und gemeinsame Bestimmungen
beitung personenbezogener Daten“ auf einen Speicher- und Verarbeitungsmedium aufbringt oder sie ändert oder hierfür bereithält. Als verpflichtete Stellen i.S.d. Abs. 1 kommen dabei alle in § 1 Abs. 2 genannten in Betracht. 4 Ausgebende Stelle ist diejenige, die die Aushändigung, Übergabe, Verteilung oder Versendung1 des Speicher- und Verarbeitungsmediums an den Betroffenen verantwortet. Etwaig zwischengeschaltete Transportpersonen fallen dabei nicht in den Anwendungsbereich der Norm2. 5 Verfahrensstellen sind die Stellen, die „Verfahren zur automatisierten Verarbeitung personenbezogener Daten“ auf das Speicher- und Verarbeitungsmedium aufbringen, bereits vorhandene Verfahren ändern oder dem Betroffenen die Möglichkeit bieten, solche Verfahren selbst zu installieren oder zu verändern (bspw. durch Bereitstellung entsprechender Programme im Internet)3. 6 Adressaten des Abs. 1 sind lediglich ausgebende Stellen oder Verfahrensstellen. Diese müssen jedoch nicht zwangsläufig mit der verantwortlichen Stelle, die personenbezogene Daten für sich erhebt, verarbeitet oder nutzt (siehe § 3 Abs. 7) identisch sein. Im Rahmen eines Kundenbindungsprogramms kann bspw. die Ausgabe einer Bonuskarte durch die teilnehmenden Unternehmen (ausgebende Stelle) erfolgen, die vorherige Aufspielung der notwendigen Software wird dabei durch die Verfahrensstelle durchgeführt. Die eigentliche Datenverarbeitung kann dann z.B. durch einen externen Dienstleister erfolgen4. In diesem Fall treffen die zuerst genannten Stellen die Pflichten aus § 6c, die letztgenannte jedoch nicht. Die nach § 6c verpflichtete Stelle wird jedoch regelmäßig auch mit der verantwortlichen Stelle i.S.v. § 3 Abs. 7 identisch sein. III. Speicher- und Verarbeitungsmedien 7 § 6c ist eine Spezialnorm für die Datenverarbeitung mittels mobiler personenbezogener Speicher- und Verarbeitungsmedien. Dies sind gem. der Legaldefinition des § 3 Abs. 10 Datenträger, die an den Betroffenen ausgegeben werden, auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert 1 Simitis/Scholz, § 6c BDSG Rz. 24. 2 Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 12. 3 Siehe Bergmann/Möhrle/Herb, § 38a BDSG Rz. 9; Gola/Schomerus, § 6c BDSG Rz. 3. 4 Gola/Schomerus, § 6c BDSG Rz. 3.
314 Hullen
Mobile personenbezogene Speicher- und Verarbeitungsmedien
§ 6c BDSG
verarbeitet werden können und bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann. Unstreitig fallen alle mobilen Medien, die mittels integrierten Prozes- 8 sors selbst eine automatische Datenverarbeitung auf der Karte ermöglichen (sog. Smartcards), in den Anwendungsbereich des § 6c. Solche Chipkarten werden bspw. zu kryptografischen Zwecken (Signaturkarten) oder als Bank- (EC-Karten mit Geldkartenfunktion) und Krankenversicherungskarten (elektronische Gesundheitskarte) eingesetzt1. Umstritten ist jedoch, ob auch reine Speichermedien (Read-only- und 9 Read-write-Medien), die keine Prozessoreinheit und somit keine automatische Datenverarbeitung auf dem Medium selbst ermöglichen, von § 6c umfasst sind. Dies sind z.B. Karten, auf denen lediglich ein bestimmter Datensatz gespeichert ist, der zu Zwecken der Zugangs- oder Zugriffskontrolle ausgelesen wird, die jedoch über keine eigene Prozessoreinheit verfügt (z.B. „Hausausweise“). Insbesondere Kundenkarten, auf denen lediglich die Stammdaten des Kunden gespeichert werden, damit diese – z.B. zur Teilnahme an einem Bonusprogramm – an der Kasse ausgelesen werden können, fallen in die Kategorie der Speicherkarten. Gegen eine Anwendbarkeit des § 6c auf reine Speichermedien spricht der Wortlaut des § 3 Abs. 10 Nr. 2 (siehe dort Rz. 82). Hiernach gelten nur solche Karten als Speicher- und Verarbeitungsmedien, bei denen eine Datenverarbeitung „über die Speicherung hinaus“ und auf der Karte selbst stattfindet2. Auch dem Schutzzweck der Norm nach unterfallen reine Speichermedien nicht dem Anwendungsbereich. Chipkarten mit eigener Prozessoreinheit bieten ein besonders hohes Maß an Intransparenz. Im Gegensatz zu optischen Kennkarten, die ebenfalls ein (externe) Datenverarbeitungsvorgänge auslösen können (bspw. beim Einscannen von aufgedruckten Barcodes), bringt der Einsatz von Smartcards, auf denen ein – für den Betroffenen ohne weitere Information nicht nachvollziehbarer – Datenverarbeitungsvorgang stattfindet, ein erhöhtes Maß an Unsicherheit mit sich, da es sich zumeist um neue informationstechnische Abläufe handelt, die dem Großteil der Betroffenen so noch nicht geläufig sind. 1 Zur Bedeutung und Einsatzumgebung solcher Smartcards siehe ausführlich Simitis/Scholz, § 6c BDSG Rz. 13. 2 So zutreffend Hornung, MMR 5/2006, XX; ähnlich auch Gola/Schomerus, § 38a BDSG Rz. 2a; Simitis/Scholz, § 6c BDSG Rz. 2; Taeger/Gabel/Buchner, § 3 BDSG Rz. 61; a.A. Däubler/Klebe/Wedde/Weichert/Weichert, § 6c BDSG Rz. 2; Holznagel/Bonnekoh, MMR 2006, 17 (21).
Hullen 315
10
BDSG § 6c
Allgemeine und gemeinsame Bestimmungen
11 Die Informationspflichten des Abs. 1 werden bereits ausgelöst, wenn sich das Verarbeitungsmedium bei Ausgabe in einem Zustand befindet, der die Datenverarbeitung nach Abs. 1 zu einem späteren Zeitpunkt ermöglicht, auch wenn dies noch von weiteren Umständen abhängig ist (bspw. dem Aufspielen einer entsprechenden Software oder der Einrichtung einer technischen Infrastruktur)1. IV. Informationspflicht (Abs. 1) 12 Die verantwortlichen Stellen (siehe oben Rz. 6) haben den Betroffenen über die in Abs. 1 Nr. 1 bis 4 festgelegten Informationen zu unterrichten. 13 Gemäß Abs. 1 Nr. 1 ist der Betroffene über die Identität und Anschrift (Nr. 1) der verpflichteten Stelle (siehe oben Rz. 3) zu informieren. Die Nennung der für die Datenverarbeitung verantwortlichen Stelle nach § 3 Abs. 7 kann sinnvoll sein, ist aber nicht durch Abs. 1 zwingend vorgeschrieben2. Die Angabe von Identität und Anschrift soll es dem Betroffenen erleichtern, seine Rechte durchzusetzen, bspw. auf die Bereitstellung von Einrichtungen nach Abs. 2 (siehe unten Rz. 18). 14 Der Betroffene ist weiterhin über die Funktionsweise des Mediums sowie über die Art der zu verarbeitenden personenbezogenen Daten zu informieren (Nr. 2). Dieses Erfordernis trägt wesentlich zur Steigerung der Transparenz des Datenverarbeitungsvorgangs bei3. Die Information muss dabei „in allgemein verständlicher Form“ erfolgen. Auch technische Laien sollen hierdurch erkennen können, welche Daten unter welchen Umständen von welchen Stellen verarbeitet werden4. Eine Pflicht zur Offenlegung technischer Details besteht darüber hinaus nicht5. 15 Zudem muss der Betroffene über die Möglichkeit der Ausübung seiner Rechte nach den §§ 19, 20, 34 und 35 informiert werden (Nr. 3). Hierbei ist auf die Besonderheit der Verwendung mobiler Speicher- und Verarbeitungsmedien einzugehen, bspw. durch Unterrichtung über die Standorte von Lesegeräten nach Abs. 2 (siehe hierzu unten Rz. 18).
1 So auch Bergmann/Möhrle/Herb, § 6c BDSG Rz. 9; Simitis/Scholz, § 6c BDSG Rz. 24. 2 Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 3 Die Gesetzesbegründung misst dieser Informationspflicht insofern eine „zentrale Bedeutung“ bei, siehe BT-Drucks. 14/5793, S. 63. 4 Däubler/Klebe/Wedde/Weichert/Weichert, § 6c BDSG Rz. 5; Gola/Schomerus, § 6c BDSG Rz. 6. 5 BT-Drucks. 14/5793, S. 63.
316 Hullen
Mobile personenbezogene Speicher- und Verarbeitungsmedien
§ 6c BDSG
Schließlich ist der Betroffene darüber zu informieren, wie er im Falle 16 des Verlusts oder der Zerstörung des Mediums vorgehen sollte (Nr. 4). Zweckmäßigerweise sollten sich diese Informationen auch auf den Fall der Beschädigung des Mediums beziehen1. Die Informationen hierüber können dem Betroffenen etwa anhalten, den Verlust unverzüglich einer zuständigen Stelle anzuzeigen und ihm erklären, ob und wie ein Ersatz angefordert werden muss und ob bzw. in welcher Höhe hierfür Kosten anfallen2. Die Unterrichtung kann unterbleiben, wenn der Betroffene bereits 17 Kenntnis über die in Abs. 1 genannten Informationen erhalten hat. Die Formulierung des Gesetzestextes ist missglückt und gilt nur für folgenden Fall. Bei Änderungen des Verfahrens der Datenverarbeitung muss der Betroffene hierüber i.S.d. Abs. 1 informiert werden. Die Unterrichtung kann sich in diesem Fall auf die technischen oder organisatorischen Änderungen beschränken. Eine erneute vollumfängliche Information ist in diesen Fällen nicht notwendig3. V. Geräte und Einrichtungen zur Auskunft (Abs. 2) Die nach Abs. 1 verpflichteten Stellen haben technische Mittel (Lese- 18 geräte) zur Verfügung zu stellen, damit Betroffene von ihrem Auskunftsrecht Gebrauch machen und selbst die auf dem mobilen Medium gespeicherten Daten abrufen und zur Kenntnis nehmen können4. Die Verpflichtung trägt dem Umstand Rechnung, dass der Betroffene zwar in der Regel die physische Sachherrschaft über das mobile Medium besitzt, jedoch nicht ohne weitere technische Hilfsmittel in der Lage ist, die gespeicherten Inhalte abzurufen5. Die Bereitstellung hat in einem angemessenen Umfang und kostenlos 19 zu erfolgen. Der Gesetzgeber hat den unbestimmten Rechtsbegriff des angemessenen Umfangs gewählt, um Aspekte wie die Sensibilität der gespeicherten Daten, wirtschaftliche Erwägungen und Verbreitungsgrad des technischen Verfahrens, dem die Datenverarbeitung auf mobilen Medien zugrunde liegt, berücksichtigen zu können6. 1 Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 39. 2 Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 40; Simitis/Scholz, § 6c BDSG Rz. 41. 3 Siehe Bericht und Beschlussempfehlung des Innenausschusses, BT-Drucks. 14/5793, S. 64. 4 Gola/Schomerus, § 6c BDSG Rz. 9. 5 Simitis/Scholz, § 6c BDSG Rz. 49. 6 BT-Drucks. 14/5793, S. 64.
Hullen 317
BDSG § 6c
Allgemeine und gemeinsame Bestimmungen
20 Möglich, aber nicht verpflichtend ist die Übergabe von Lesegeräte zur vorübergehenden oder dauerhaften ausschließlichen Nutzung durch den Betroffenen. Ausreichend ist eine Zurverfügungstellung im öffentlichen Raum, wie es bspw. Geldautomaten zum Auslesen von Geldkarten im Selbstbedienungsbereich von Banken üblich ist1. 21 Die Bereitstellung und Nutzung der Lesegeräte hat dabei unentgeltlich zu erfolgen. Dies trägt dem allgemeinen datenschutzrechtlichen Grundsatz Rechnung, dass Auskünfte prinzipiell kostenlos zu erteilen sind (siehe auch § 19 Rz. 5)2. VI. Erkennbarkeit von Datenverarbeitungs-Vorgängen (Abs. 3) 22 Abs. 3 gibt vor, dass der Betroffene Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, erkennen können muss. Hierdurch soll eine „heimliche“ Datenverarbeitung, die bspw. durch ein bloßes Vorbeigehen an einem entsprechenden Terminal unbemerkt ausgelöst werden könnte, verhindert werden3. 23 Über die Art und Weise der Kenntlichmachung der Datenverarbeitungsvorgänge sagt Abs. 3 nichts aus, insofern besteht ein weiter Gestaltungsspielraum der verpflichteten Stellen. Die Vorgabe kann z.B. durch entsprechende Anzeigen auf einem Display, durch Signaltöne oder Lichtzeichen erfolgen4. Die Information über die Ausführung des Datenverarbeitungsvorgangs muss dabei so rechtzeitig erfolgen, dass der Betroffene den Vorgang auf Wunsch abbrechen kann. Eine Information erst nach Abschluss des Vorgangs ist somit nicht ausreichend5. VII. Fallgruppen 1. Gesundheitskarten 24 Die elektronische Gesundheitskarte, deren Ausgabe zum 1.10.2011 begonnen hat, enthält eine eigene Prozessoreinheit und ist somit in der Lage, personenbezogene Daten automatisiert zu verarbeiten. Zwar findet eine Datenverarbeitung auf der Karte zwecks fehlender Telematik-Infra1 Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 45. 2 Gola/Schomerus, § 6c BDSG Rz. 10. 3 So das in der Gesetzesbegründung gewählte Beispiel, siehe BT-Drucks. 14/5793, S. 64. 4 Däubler/Klebe/Wedde/Weichert/Weichert, § 6c BDSG Rz. 8. 5 Simitis/Scholz, § 6c BDSG Rz. 65.
318 Hullen
Mobile personenbezogene Speicher- und Verarbeitungsmedien
§ 6c BDSG
struktur zurzeit noch nicht statt1. Da es bei der Frage der Anwendbarkeit der Norm lediglich auf die Möglichkeit einer automatisierten Verarbeitung personenbezogener Daten bei Ausgabe des Mediums ankommt2, unterfällt die elektronische Gesundheitskarte schon jetzt dem Anwendungsbereich3. 2. Kundenkarten Kundenkarten, auf denen lediglich Stammdaten des Karteninhabers gespeichert sind (Name, Anschrift, Kontaktdaten etc.), die z.B. der Identifikation zur Teilnahme an einem Bonusprogramm dienen, unterfallen nicht dem Anwendungsbereich des § 6c. Eine Ausnahme besteht lediglich dann, wenn solche Kundenkarten weitergehende Funktionen unter Einsatz einer eigenen Prozessoreinheit bereitstellen können4.
25
3. Personalausweis Der elektronische Personalausweis5, der seit 1.11.2010 anstelle des laminierten Papierdokuments ausgegeben wird, ist mit einer eigenen Prozessoreinheit ausgestattet, die eine automatisierte Verarbeitung personenbezogener Daten erlaubt6. Der elektronische Personalausweis ist somit nicht nur als reines Speichermedium ausgestaltet und fällt somit in den Anwendungsbereich des § 6c.
26
4. RFID Einen kontaktlosen Datenaustausch mit Speicher- und Verarbeitungsmedien gewährleisten so genannte RFID-Chips, die auch als Tags bezeichnet werden7. Die Radio Frequency Identification Technik ermöglicht einen Datenaustausch mittels elektromagnetischer Wellen, wodurch die auf dem jeweiligen Medium gespeicherten Daten z.B. an ei1 BMG, Die Ausgabe der elektronischen Gesundheitskarte hat begonnen, 10.11.2011; abrufbar unter http://www.bmg.bund.de/krankenversicherung/ elektronische-gesundheitskarte/allgemeine-informationen-egk.html. 2 Bergmann/Möhrle/Herb, § 6c BDSG Rz. 9. 3 Vgl. auch Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 22 m.w.N. 4 Hornung, MMR 5/2006, XX; Gola/Schomerus, § 6c BDSG Rz. 2a; a.A. Holznagel/Bonnekoh, MMR 2006, 17 (19). 5 Zu den rechtlichen Rahmenbedingungen siehe Borges, NJW 2010, 3334. 6 Siehe Simitis/Scholz, § 6c BDSG Rz. 19. 7 Zur RFID-Technik z.B. Hornung, MMR 5/2006, XXI; Simitis/Scholz, § 6c BDSG Rz. 10.
Hullen 319
27
BDSG § 7
Allgemeine und gemeinsame Bestimmungen
ne externe Datenverarbeitungseinheit übertragen werden können1. Zutreffend ist die RFID als Schnittstelle nicht entscheiden für die Anwendbarkeit des § 6c, sondern die weitere technische Gestaltung des Mediums2. RFID-Systeme, die an reine Speichermedien gekoppelt sind, werden nicht vom Anwendungsbereich der Norm umfasst3. RFID-Medien unterfallen hingegen der Norm, soweit der RFID-Chip eine eigene Prozessoreinheit aufweist oder mit einer solchen intern verbunden ist. 5. SIM-Karten 28 SIM-Karten sind kleine Chipkarten, die sowohl einen eigenen Speicher, als auch eine eigene Prozessoreinheit (z.B. zur Verschlüsselung von Daten) aufweisen. SIM-Karten unterfallen daher prinzipiell dem Anwendungsbereich der Norm4. Ist es dem Betroffenen jedoch selbst möglich, die Datenverarbeitungsvorgänge zu steuern, bspw. durch sein Handy oder Notebook, so ist § 6c mangels entsprechender Beeinträchtigung des Betroffenen nicht anwendbar5. Schadensersatz
7
1Fügt
eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. 2Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. I. Einführung . . . . . . . . . . . . . . . .
1
II. Anwendungsbereich . . . . . . . .
5
III. Haftungsvoraussetzungen (Satz 1) . . . . . . . . . . . . . . . . . . . 12
IV. Verschulden, Entlastungsbeweis (Satz 2) . . . . . . . . . . . . . 15 V. Geltendmachung, Sonstiges . . 20 VI. Konkurrenzen. . . . . . . . . . . . . . 25
1 Ausführlich Schmitz/Eckhardt, CR 2007, 171; Simitis/Scholz, § 6c BDSG Rz. 19. 2 Hornung, MMR 5/2006, XXI; wohl auch Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 24. 3 So z.B. Gola/Schomerus, § 6c BDSG Rz. 2a. 4 Taeger/Gabel/Zscherpe, § 6c BDSG Rz. 22. 5 Däubler/Klebe/Wedde/Weichert/Weichert, § 6c BDSG Rz. 2; Gola/Schomerus, § 6c BDSG Rz. 4.
320 Hullen/Becker
Schadensersatz
§ 7 BDSG
Schrifttum: Bachmeier, EG-Datenschutzrichtlinie – Rechtliche Konsequenzen für die Datenschutzpraxis, RDV 1995, 49; Bierekoven, Schadensersatzansprüche bei der Verletzung von Datenschutzanforderungen nach der BDSG-Novelle, Die Bedeutung der neuen Informationspflichten des § 42a BDSG, ITRB 2010, 88; Born, Schadensersatz bei Datenschutzverstößen, Diss. Hamburg, 2001; Dzida/ Grau, Rechtsfolgen von Verstößen gegen den Beschäftigtendatenschutz, ZIP 2012, 504; Hoffmann, Die Verletzung der Vertraulichkeit informationstechnischer Systeme durch Google Street View, CR 2010, 514; Kopp, Das EG-Richtlinienvorhaben zum Datenschutz, RDV 1993, 1; Niedermeier/Schröcker, Ersatzfähigkeit immaterieller Schäden aufgrund rechtswidriger Datenverarbeitung, RDV 2002, 217; Oberwetter, Überwachung und Ausspähung von Arbeitnehmern am Arbeitsplatz – alles ohne Entschädigung?, NZA 2009, 1120; Roßnagel/Pfitzmann/Garstka, Modernisierung, des Datenschutzrechts, Gutachten im Auftrag des Bundesministeriums des Innern, 2002; Taeger, Datenschutzrechtliche Haftung – insbesondere bei unrichtiger Datenverarbeitung durch fehlerhafte Computerprogramme, RDV 1996, 77; Wind, Haftung bei der Verarbeitung personenbezogener Daten, RDV 1991, 16; Wuermeling, Umsetzung der Europäischen Datenschutzrichtlinie, DB 1996, 663.
I. Einführung § 7 ist eine eigenständige Anspruchsgrundlage, die dem Betroffenen im 1 Fall rechtswidriger oder falscher Datenverwendung die Geltendmachung seines materiellen Schadens ermöglicht. Sachlich handelt es sich um einen deliktischen Anspruch1. Die praktische Bedeutung der Vorschrift wird eher als gering eingestuft. Dies liegt vor allem an der geringen Zahl von Gerichtsentscheidungen, die sich unmittelbar mit § 7 bzw. datenschutzrechtlichen Schadensersatzansprüchen beschäftigt2. Der Grund hierfür liegt in der Natur der Datenverwendung: Erweist sich die Verarbeitung oder Nutzung von Daten als rechtswidrig oder sind Daten falsch, wird der Betroffene versuchen, die rechtswidrige Datenverarbeitung zu beenden oder die falschen Daten korrigieren zu lassen. Zur 1 BT-Drucks. 14/4329, S. 38; BT-Drucks. 14/5793, S. 64. 2 Vgl. im Wesentlichen VG Wiesbaden v. 6.10.2010 – 6 K 280/10.WI, DuD 2011, 142 (mögliche Schadensersatzansprüche eines Journalisten wegen Nichtzulassung zu einer Veranstaltung aufgrund rechtswidriger Datenweitergabe an die NATO); BAG v. 20.1.2009 – 1 AZR 515/08, RDV 2009, 172 (Unterlassungsanspruch aus § 7 BDSG analog wegen Gewerkschaftswerbung per E-Mail); OLG Düsseldorf v. 14.12.2006 – 10 U 69/06, CR 2007, 534 (Unberechtigte Schufa-Meldung); LG Stuttgart v. 15.5.2002 – 21 O 97/01, DB 2002, 1499 (Ersatzansprüche im Zusammenhang mit Berichtigungsanspruch); LG Bonn v. 16.3.1994 – 5 S 179/93, RDV 1995, 253 (Unberechtigte Schufa-Meldung); OLG Frankfurt v. 6.1.1988 – 17 U 35/87 und 203/87, RDV 1988, 148 (Unberechtigte Schufa-Meldung); LG Paderborn v. 5.3.1981 – 5 S 3/81, DB 1981, 1038 (Fehlerhafte Meldung an Kreditauskunft).
Becker 321
BDSG § 7
Allgemeine und gemeinsame Bestimmungen
Durchsetzung entsprechender Maßnahmen gibt das BDSG dem Betroffenen Korrektur-, Löschungs- und Sperrungsansprüche an die Hand (vgl. §§ 6, 20, 35). Ist der Betroffene damit erfolgreich, ist der primäre „Schaden“ beseitigt1. Anders als im sonstigen Schadensrecht ist damit beim Datenschutz die Naturalrestitution (§ 249 Abs. 1 BGB) durch Beseitigung des rechtswidrigen Zustands die Regel. Aufwand und Kosten des Betroffenen, die rechtwidrige Verarbeitung oder Nutzung von Daten beenden oder einzelne Daten korrigieren zu lassen, sind typischerweise geringfügig. Gleiches gilt auf Seiten der verarbeitenden Stelle. Ein weitergehender Vermögensschaden tritt beim Betroffenen eher selten ein oder ist so marginal, dass sich aus Sicht des Betroffenen die Verfolgung nicht lohnt. Die Schadensminderungspflicht (§ 254 BGB) tut ihr Übriges. Am Beispiel2: Wer einen Kredit wegen einer unzutreffenden Kreditauskunft nicht erhält, wird und muss sich zunächst darum bemühen, seine Kreditfähigkeit nachzuweisen. Gelingt ihm dies gegenüber der Bank, ist es im Regelfall leicht, eine entsprechende Datenänderung bei der Kreditauskunft zu erreichen. Gelingt ihm dies gegenüber der Bank nicht, hilft auch eine – dann eher unwahrscheinliche – Änderung der Daten bei der Kreditauskunft nicht. Ein zurechenbarer materieller Schaden könnte allenfalls darin liegen, dass mehrere (oder alle) Banken einen Kredit aufgrund der Kreditauskunft trotz ihrer – nachgewiesenen – Fehlerhaftigkeit ablehnen, verzögern oder nur zu vergleichsweise schlechten Konditionen anbieten. Kausalität und Zurechenbarkeit des Schadens sind in solchen Fällen nicht einfach nachzuweisen. Diese und ähnliche Konstellationen machen deutlich, weshalb die (gerichtliche) Verfolgung von Vermögensschäden im Bereich des Datenschutzes bisher kaum eine Rolle spielt. Es bleibt in den meisten Fällen bei wirtschaftlich nicht quantifizierbaren Belästigungen des Betroffenen (z.B. durch Werbung), einem geringen Mehraufwand (z.B. für den Nachweis seiner angezweifelten Kreditfähigkeit) oder einfach nur bei einem Gefühl der Ohnmacht gegenüber der fremden Datenverarbeitung.
1 Vgl. OLG Frankfurt v. 6.1.1988 – 17 U 35/87 und 203/87, RDV 1988, 148 (kein Beseitigungsanspruch nach erfolgter Korrektur fehlerhafter Schufa-Einträge). 2 Vgl. ähnlich LG Stuttgart v. 15.5.2002 – 21 O 97/01, DB 2002, 1499 zu einem falschen Schufa-Eintrag. Die Haftung wurde dort bei der einmeldenden Bank gesehen; ob diese im Ergebnis in Anspruch genommen wurde, ist dem Urteil nicht zu entnehmen; ähnlich LG Bonn v. 16.3.1994 – 5 S 179/93, RDV 1995, 253; siehe auch den Beispielsfall bei Wybitul, Handbuch – Datenschutz im Unternehmen, 2011, Rz. 359 (Rechtsanwaltskosten nach Kündigung wegen Datenschutzverstoß).
322 Becker
Schadensersatz
§ 7 BDSG
In den Vordergrund rückt damit die Frage nach dem Ersatz des immate- 2 riellen Schadens („Schmerzensgeld“), der nur in den gesetzlich bestimmten Fällen ersatzfähig ist (§ 253 BGB). Der Gesetzgeber hat für den Bereich der öffentlichen Stellen hierzu eine ausdrückliche Regelung getroffen (§ 8 Abs. 2), während es in allen anderen Fällen bei den allgemeinen Bestimmungen des Vertrags- und Deliktsrechts bleibt (§§ 253, 280, 823 BGB). Diese gewähren einen Anspruch auf Schmerzensgeld bei der Verletzung des allgemeinen Persönlichkeitsrechts (einschließlich des Rechts auf informationelle Selbstbestimmung) als Folge der Grundrechtsgewährleistung aus Art. 1 Abs. 1, Art. 2 Abs. 1 GG. Die fehlende Erwähnung des allgemeinen Persönlichkeitsrechts in § 253 BGB ist insoweit unbeachtlich1. Ist im Einzelfall gleichwohl ein Vermögensschaden entstanden, bietet § 7 eine zusätzliche Anspruchsgrundlage, deren Vorteil vor allem in der Beweislastumkehr hinsichtlich des Verschuldens liegt (§ 7 Satz 2). Für den öffentlichen Bereich wird die Vorschrift durch die Gefährdungshaftung des § 8 ergänzt, die auch immaterielle Schäden erfasst (§ 8 Abs. 2), aber zugleich eine enge betragsmäßige Begrenzung von Ersatzansprüchen vorsieht (§ 8 Abs. 3). Einen erheblichen Mehrwert für die Betroffenen gegenüber den weiter anwendbaren Haftungsregelungen des allgemeinen Zivilrechts (unten Rz. 25, 26) bzw. des relevanten Staatshaftungsrechts (unten Rz. 27) bieten die §§ 7 und 8 damit nicht. Der Vorwurf der symbolischen Gesetzgebung ist insoweit nicht ganz von der Hand zu weisen2.
3
In Zukunft könnten die Vorschriften allerdings in Kombination mit den 4 Informationspflichten des § 42a im Fall von sog. Datenpannen an Bedeutung gewinnen3. Das Schadenspotenzial durch Datenpannen erscheint erheblich, während zugleich die Anforderungen an professionelle Datenverarbeiter, solche Datenpannen zu vermeiden, hoch anzusetzen sind (siehe § 42a Rz. 1).
1 H.M., vgl. zur eindeutigen Gesetzesbegründung bei der Neuordnung des Schadensrechts BT-Drucks. 14/7752, S. 25 unter Hinweis auf die gefestigte BGHRechtsprechung seit BGHZ 128, 1 – Caroline von Monaco; Fortführung in BGHZ 160, 298; Simitis/Simitis, § 7 BDSG Rz. 33; Gola/Schomerus, § 7 BDSG Rz. 13; a.A. Niedermeier/Schröcker, RDV 2002, 217 (222). 2 Vgl. Simitis/Simitis, § 7 BDSG Rz. 7. 3 Bierekoven, ITRB 2010, 88.
Becker 323
BDSG § 7
Allgemeine und gemeinsame Bestimmungen
II. Anwendungsbereich 5 § 7 entspricht den Forderungen des Art. 23 EG-Datenschutzrichtlinie, der von den Mitgliedstaaten die ausdrückliche Regelung eines eigenen, datenschutzrechtlichen Schadensersatzanspruches verlangt1. Die Regelung des § 7 ist dabei nicht in sich abgeschlossen, sondern zusammen mit den allgemeinen zivilrechtlichen Bestimmungen zu lesen. Der Gesetzgeber ging davon aus, dass dies selbstverständlich sei und hat – anders als bei früheren Fassungen2 – bewusst darauf verzichtet, dies klarzustellen3. Es gelten daher insbesondere die allgemeinen Grundsätze zur haftungsausfüllenden Kausalität, zum Mitverschulden (§ 254 BGB) und zur Verjährung (§§ 195, 199 BGB). 6 Berechtigte Anspruchssteller sind ausschließlich die von einer rechtswidrigen oder fehlerhaften Datenverarbeitung Betroffenen (§ 3 Abs. 1). § 7 kommt keine drittschützende Wirkung zu4. Die Regelung spricht dem Betroffenen einen Schadensersatzanspruch in Bezug auf das ihm höchstpersönlich zustehende und verletzte allgemeine Persönlichkeitsrecht in seiner Ausprägung als Recht auf informationelle Selbstbestimmung (dazu oben § 1 Rz. 9) zu. Dritte (z.B. eine Bank, die sich auf eine fehlerhafte Kreditauskunft verlässt) können Ansprüche wegen unzulässiger oder fehlerhafter Datenverarbeitung nur nach den allgemeinen Bestimmungen geltend machen. 7 Der Anwendungsbereich des § 7 ist nicht auf Verstöße gegen das BDSG beschränkt, sondern gilt nach seinem Wortlaut für jede „nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz“ unzulässige oder fehlerhafte Datenverwendung. Die Regelung gilt mithin für den gesamten Bereich des materiellen Datenschutzes. Verschiedene gesetzliche Regelungen verweisen ausdrücklich auf § 7 (§ 16 Abs. 4 DeMail-Gesetz, § 82 SGB X). § 7 findet außerdem Anwendung bei datenschutzrechtlichen Verstößen im Bereich des Gendiagnostikgesetzes (GenDG)5. § 7 findet neben § 40 TKG auch bei Verstößen gegen §§ 91 ff. TKG Anwendung, obwohl der Datenschutz gemäß TKG eine bereichsspezifische Sonderregelung darstellt und insoweit das BDSG verdrängt
1 2 3 4
Art. 23 Abs. 1 der EG-Datenschutzrichtlinie; dazu BR-Drucks. 461/00, S. 93. Zur Gesetzgebungsgeschichte ausführlich Simitis/Simitis, § 7 BDSG Rz. 3 ff. BT-Drucks. 14/5793, S. 64. Simitis/Simitis, § 7 BDSG Rz. 9; BAG v. 20.1.2009 – 1 AZR 515/08, RDV 2009, 172. 5 BT-Drucks. 16/10532, S. 16.
324 Becker
Schadensersatz
§ 7 BDSG
(§ 1 Abs. 3 Satz 1)1. Allerdings gilt dabei die Haftungsbeschränkung des § 44a TKG, die nicht nach Anspruchsgrundlagen unterscheidet und damit in ihrem Anwendungsbereich auch den Anspruch aus § 7 erfasst2. § 7 findet ferner Anwendung bei Verstößen gegen §§ 11 ff. TMG3. Gemäß dem sog. Medienprivileg des § 41 (dazu § 41 Rz. 4 ff.) sehen die Landespressegesetze (z.B. § 12 LandespresseG NRW) und der Rundfunkstaatsvertrag (§ 57 Abs. 1 RStV) für Datenschutzverstöße bei Verfolgung journalistisch-redaktioneller Zwecke Haftungserleichterungen vor4. Als datenschutzrechtliche Vorschrift i.S.d. § 7 kommt auch jede andere Rechtsvorschrift mit datenschutzrechtlichem Gehalt (§ 4 Abs. 1) in Betracht. Erfasst werden folglich auch Verstöße gegen entsprechende Bestimmungen in Tarifverträgen (§ 4 Abs. 1 TVG) oder Betriebsvereinbarungen (§§ 77, 87 Abs. 1 Nr. 6 BetrVG)5. Anspruchsgegner ist die verarbeitende Stelle (§ 7 Satz 1), die auch für ihren Auftragsdatenverarbeiter einzustehen hat (§ 11 Abs. 1 Satz 1). Eine entsprechende Anwendung auf andere als die verarbeitende Stelle (§ 3 Abs. 7), z.B. auf deren Beschäftigte (§ 3 Abs. 11) oder den betrieblichen Datenschutzbeauftragten (§ 4f), scheidet aus. § 7 ist insoweit nicht analogiefähig.
8
§ 7 gilt für den öffentlichen und nicht-öffentlichen Bereich. Die Ersatzpflicht trifft bei öffentlichen Stellen deren Träger. Die diesbezügliche Klarstellung in § 7 Satz 1 ist lediglich dem spezifischen Begriff der verarbeitenden Stellen im BDSG geschuldet (siehe § 3 Abs. 7). Besonderheiten können sich in Bezug auf öffentlich-rechtliche Kreditinstitute ergeben, die durch einzelne landesgesetzliche Regelungen in Bezug auf den Datenschutz den nicht-öffentlichen Stellen zugeordnet werden6.
9
Die Regelung gilt (anders als § 8) nicht nur für die automatisierte Daten- 10 verarbeitung, sondern auch für die Datenverarbeitung in Akten7.
1 Säcker/Klesczewski, Berliner Kommentar zum TKG, 2. Aufl. 2009, § 91 Rz. 15. 2 Vgl. Säcker/Klesczewski, Berliner Kommentar zum TKG, 2. Aufl. 2009, § 44a Rz. 11. 3 jurisPK-Internetrecht/Heckmann, 2. Aufl. 2009, Kapitel 1.12 Rz. 70. 4 Dazu Harstein/Ring/Kreile/Dörr/Stettner, RStV, 37. Lieferung, Januar 2009, § 57 RStV Rz. 2. 5 Gola/Schomerus, § 7 BDSG Rz. 5; Simitis/Simitis, § 7 BDSG Rz. 16; Dzida/ Grau, ZIP 2012, 504, 507. 6 Simitis/Simitis, § 7 BDSG Rz. 10 m.w.N. 7 BR-Drucks. 461/00, S. 93.
Becker 325
BDSG § 7
Allgemeine und gemeinsame Bestimmungen
11 § 7 Satz 1 wird teilweise als Grundlage eines allgemeinen datenschutzrechtlichen Unterlassungsanspruches angesehen, so dass insoweit ein Rückgriff auf §§ 1004, 823 Abs. 1, 2 BGB (wegen Verletzung des Rechts auf informationelle Selbstbestimmung bzw. in Verbindung mit den datenschutzrechtlichen Vorschriften als Schutzgesetze) nicht mehr notwendig wäre1. Sachlich unterscheidet sich ein solcher Unterlassungsanspruch jedoch nicht von dem allgemeinen Unterlassungsanspruch aus §§ 1004, 823 BGB; auf die Entlastungsmöglichkeit des § 7 Satz 2 kommt es in diesen Fällen nicht an, weil der Unterlassungsanspruch ohnehin verschuldensunabhängig ist2. III. Haftungsvoraussetzungen (Satz 1) 12 Voraussetzung für die Haftung nach § 7 Satz 1 ist die unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung (§ 3 Abs. 3 bis 5) von personenbezogenen Daten des Betroffenen. Die „unzulässige“ Datenverarbeitung meint dabei jede rechtswidrige Nutzung oder Verwendung von Daten. Es genügt jede einfache Rechtswidrigkeit, es ist nicht erforderlich, dass der Rechtsverstoß bußgeld- oder strafbewehrt ist (§§ 43, 44). Allerdings führt nicht jeder Verstoß gegen die Bestimmungen des BDSG unmittelbar zur Rechtswidrigkeit der Datenverarbeitung. Einzelnen Bestimmungen des BDSG kommt nur die Bedeutung einer Ordnungsvorschrift3 zu, ihre Verletzung begründet damit keinen Schadensersatzanspruch4. Die Bezugnahme auf die „unrichtige“ Datenverarbeitung betont den Anspruch des Betroffenen darauf, dass nur inhaltlich richtige Daten genutzt und verarbeitet werden dürfen; insoweit ergänzt § 7 im Bereichs des Schadensersatzes die Berichtigungsansprüche des Betroffenen (§§ 20 Abs. 1 Satz 1, 35 Abs. 1 Satz 1). Dementsprechend ist der Begriff der „unrichtigen“ Datenverarbeitung weit zu verstehen und umfasst alle falschen, unvollständigen oder verfälschten Daten und Datenverarbeitungsvorgänge5. Auf die Schwere der Verletzung kommt es, anders als bei § 8 Abs. 2, nicht an6. 1 BAG v. 20.1.2009 – 1 AZR 515/08, RDV 2009, 172; ablehnend Dzida/Grau, ZIP 2012, 504 (507). 2 Palandt/Bassenge, § 1004 BGB Rz. 4, 13; BGHZ 110, 313; dazu auch Simitis/Simitis, § 7 BDSG Rz. 29, 35, 36. 3 Vgl. z.B. § 6b Rz. 27. 4 Däubler/Klebe/Wedde/Weichert/Däubler, § 7 BDSG Rz. 11; Niedermeyer/ Schröcker, CR 2002, 217 (218). 5 Simitis/Simitis, § 7 BDSG Rz. 20. 6 Simitis/Simitis, § 7 BDSG Rz. 34 m.w.N.
326 Becker
Schadensersatz
§ 7 BDSG
Der Ersatzanspruch aus § 7 setzt ferner voraus, dass der datenschutz- 13 rechtliche Verstoß kausal zu einem Schaden beim Betroffenen geführt hat. Der Nachweis der Ursächlichkeit und des Eintritts eines Schadens obliegt dabei als haftungsbegründendem Umstand dem Betroffenen. Beweiserleichterungen gelten hierfür nicht. Die Gegenauffassung1 argumentiert vor allem mit dem Schutzzweck des Gesetzes, der jedoch insoweit keinen Niederschlag im Wortlaut gefunden hat. § 7 Satz 2 ordnet die Beweislastumkehr ausschließlich für die Frage der Verantwortlichkeit ein, im Übrigen bleibt es jedoch bei den allgemeinen Regeln der Beweislastverteilung, d.h. jede Seite hat in einem Rechtsstreit die für sie günstigen Umstände darzulegen und ggf. zu beweisen. Die Darlegungspflicht des Betroffenen nach den allgemeinen Regeln ist dabei indessen nicht zu überspannen, soweit es um Umstände geht, die in der Sphäre der verarbeitenden Stelle liegen2. Insbesondere muss der Betroffene nicht etwa die technischen Details der Datenverarbeitung darlegen, soweit diese für die Schadensursächlichkeit eine Rolle spielen. § 7 Satz 1 räumt den Betroffenen keinen Anspruch auf Ersatz des imma- 14 teriellen Schadens ein. Entsprechende politische Forderungen sind nicht Gesetz geworden3. § 8 Abs. 2 findet keine entsprechende Anwendung. Auch mit einer richtlinienkonformen Auslegung gelangt man nicht zu einem Schmerzensgeldanspruch aus § 7 Satz 1; die EG-Datenschutzrichtlinie bietet hierfür keine Anhaltspunkte4. Eins solcher Anspruch auf „Schmerzensgeld“ ergibt sich aber zweifelsohne aus allgemeinem Deliktsrecht in Verbindung mit dem allgemeinen Persönlichkeitsrecht (dazu oben Rz. 2). Hierfür gelten die von der Rechtsprechung entwickelten Grundsätze zum Eingriff in das allgemeine Persönlichkeitsrecht5. 1 Gola/Schomerus, § 7 BDSG Rz. 11 unter Hinweis auf LG Bonn v. 16.3.1994 – 5 S 179/93, RDV 1995, 253 (Ursächlichkeit stand aufgrund der Beweisaufnahme fest); LG Bielefeld v. 7.9.1995 – 22 S 100/95, RDV 1996, 43 (Entscheidung betrifft Schutzumfang des Bankgeheimnisses) und BGH RDV 1996, 132 (Entscheidung beruht maßgeblich auf den besonderen Anforderungen zur ärztlichen Dokumentationspflicht). 2 Niedermeier/Schröcker, RDV 2002, 217 (219). 3 Hierzu Simitis/Simitis, § 7 BDSG Rz. 32. 4 Vgl. Niedermeier/Schröcker, RDV 2002, 217 (223 f.); a.A., Kopp, RDV 1993, 1 (8); Wuermeling, DB 1996, 663 (670); rechtspolitisch Roßnagel/Pfitzmann/ Garstka, Modernisierung, des Datenschutzrechts, Gutachten im Auftrag des Bundesministeriums des Innern, 2002, S. 19. 5 Palandt/Sprau, § 823 BGB Rz. 83 ff.; OLG Frankfurt v. 21.1.1987 – 21 U 164, 86, NJW 1987, 1087 (Videoaufnahmen von einem Betrunkenen); ähnlich OLG Köln v. 13.10.1988 – 18 U 37/88, RDV 1989, 240 (Videoüberwachung durch Nachbarn).
Becker 327
BDSG § 7
Allgemeine und gemeinsame Bestimmungen
Insoweit werden typischerweise zwei Fallgruppen unterschieden: Zum einen Fälle, bei denen eine objektiv erheblich ins Gewicht fallende Persönlichkeitsrechtsverletzung begangen wurde. Zum anderen Fälle, bei denen subjektiv eine besonders schwere Schuld des Schädigers vorliegt. Diese Fallgruppen wurden allerdings vor allem im Bereich des Presserechts entwickelt1 und lassen sich nicht ohne weiteres für den Bereich datenschutzrechtlicher Verstöße fruchtbar machen. Während im Presserecht zumeist die Individualität des Verletzten im Vordergrund steht, betrifft „ein“ Datenschutzverstoß häufig eine Vielzahl von Personen, wobei die Betroffenheit der einzelnen Personen häufig nur im Bagatellbereich liegt2. Schadensersatzrechtlich sind daher die von der „Caroline“-Rechtsprechung betonten sonstigen Gesichtspunkte und ihre Übersetzung ins datenschutzrechtliche Umfeld von besonderer Bedeutung, nämlich einmal die „Genugtuungsfunktion“ sowie die „Präventionsfunktion“ von Ersatzansprüchen im Fall von Persönlichkeitsrechtsverletzungen3. Es stellt sich insoweit die Frage, ob bei der Verletzung des Datenschutzes mit einer Vielzahl von Verletzten auch dann jedem Einzelnen ein angemessenes Schmerzensgeld zuzuerkennen ist, wenn die Beeinträchtigung des einzelnen Betroffenen für diesen „verschmerzbar“ oder völlig vernachlässigbar ist, aber es unangemessen erschiene, dem Täter den Vorteil aus seinen möglicherweise sogar vorsätzlich begangenen Verletzungshandlungen ungeschmälert zu belassen. Die konkrete Bemessung des Schmerzensgeldes wäre dabei zumindest in bestimmten Bereichen (z.B. Adresshandel) im Hinblick auf den Marktwert von personenbezogenen Daten leicht möglich und nur das schadensersatzrechtliche Spiegelbild der Kommerzialisierung von Verbraucherdaten. Die rechtliche Entwicklung bleibt insoweit abzuwarten. Es ist zu vermuten, dass sich die Gerichte auch in Zukunft dem Thema nur vorsichtig nähern werden und mit Schmerzensgeldansprüchen zurückhaltend sein 1 Vgl. Rehbock, Medien- und Prozessrecht, 2. Aufl. 2011, § 3 Rz. 446 ff., 475 ff. 2 Vgl. z.B. AG Kassel v. 3.11.1998 – 424 C 1260/98, CR 1999, 749 (Weitergabe von Kundendaten); vgl. auch Hoffmann, CR 2010, 514 (518) zum Erfassen von W-LAN-Informationen durch Google Street View. 3 Vgl. zur Genugtuungsfunktion im Presserecht BGHZ 18, 149; BGHZ 26, 349 – Herrenreiterfall; BGHZ 35, 363 – Ginsengwurzel; BGH v. 30.1.1979 – VI ZR 163/77, NJW 1979, 1041 – Exdirektor; zur Präventionsfunktion die CarolineRechtsprechung; BGHZ 128, 1 (15); BGH v. 5.12.1995 – VI ZR 332/94, NJW 1996, 984; BGHZ 131, 332; BGHZ 160, 298; zum Kommerzialisierungsgedanken auch BGHZ 143, 214 – Marlene Dietrich; dazu Rehbock, Medien- und Prozessrecht, 2. Aufl. 2011, § 3 Rz. 443, 444; zur datenschutzrechtlichen Betrachtung ausführlich Born, Schadensersatz bei Datenschutzverstößen, 2001, S. 120 ff.
328 Becker
Schadensersatz
§ 7 BDSG
werden. Für die Unternehmen bleibt damit das Risiko wegen datenschutzrechtlicher Ersatzansprüche weitgehend überschaubar, solange es in Deutschland nicht die Möglichkeit von (datenschutzrechtlichen) Sammelklagen gibt, die eine Abschöpfung rechtswidrig erlangter Vorteile vorsehen. Allerdings wäre es durchaus denkbar, dass Betroffene ihre Ansprüche durch Abtretung z.B. an einen Verbraucherverband bündeln und gemeinsam geltend machen (zur Abtretbarkeit unten Rz. 22)1. Soweit bisher ein Schmerzensgeld zuerkannt wurde, betraf dies jeweils Einzelfälle mit insgesamt überschaubaren Beträgen2. IV. Verschulden, Entlastungsbeweis (Satz 2) § 7 Satz 2 gestattet der verantwortlichen Stelle den Entlastungsbeweis. 15 Die Regelung einer Exkulpationsmöglichkeit ist in der EG-Datenschutzrichtlinie als „Kann“-Vorschrift formuliert. Der nationale Gesetzgeber könnte daher auch eine strengere Regelung vorsehen und z.B. im Rahmen einer Gefährdungshaftung den Entlastungsbeweis einschränken oder ganz abschneiden. Das BDSG belässt es jedoch zulässigerweise bei einer Verschuldenshaftung3. Der Wortlaut der Richtlinie und der Erwägungsgründe fordert allerdings zwingend, dass im Fall einer Exkulpationsmöglichkeit der hierfür erforderliche Nachweis von der verantwortlichen Stelle zu führen ist4. § 7 Satz 2 spiegelt diese Vorgabe zur Beweislast grundsätzlich wieder. Danach muss die verantwortliche Stelle darlegen und ggf. nachweisen, dass sie die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. Die rechtspolitisch umstrittene5 Möglichkeit des Entlastungsbeweises ändert nichts an der grundsätz1 Vgl. zum erfolgreichen Fall einer solchen „unechten Sammelklage“ gegen einen Energieversorger wegen Preiserhöhungen LG Hamburg, ZMR 2012, 104; zur schlichten prozessualen Bündelung bei mehreren Beteiligten OLG Frankfurt v. 9.11.2010 – 11 U 4/10, juris; zu den standes- und wettbewerbsrechtlichen Fragen der Bewerbung von „unechten Sammelklagen“ durch Rechtsanwälte KG Berlin v. 31.8.2010 – 5 W 198/10, GRUR-RR 2010, 437; OLG München v. 12.1.2012 – 6 U 813/11, GRUR-RR 2012, 163. 2 Vgl. ArbG Frankfurt v. 26.9.2000 – 18 Ca 4036/00, RDV 2001, 190 (Zweiwöchige Videoüberwachung am Arbeitsplatz: 1300 DM); OLG Frankfurt v. 21.1.1987 – 21 U 164/86, NJW 1987, 1087 (Verbreitung von Videoaufnahmen eines Betrunkenen: 3000 DM); OLG Köln v. 13.10.1988 – 18 U 37/88, RDV 1989, 240 (Einjähriger Videoüberwachung durch Nachbarn: 5000 DM); zur Idee eines pauschalen Mindestbetrags für Schmerzensgeldzahlungen bei Serienfällen Oberwetter, NZA 2009, 1120 (1122 f.). 3 Vgl. Bachmeier, RDV 1995, 49. 4 Siehe Art. 23 Abs. 2 und Erwägungsgrund 55 der EG-Datenschutzrichtlinie. 5 Simitis/Simitis, § 7 BDSG Rz. 21, 22.
Becker 329
BDSG § 7
Allgemeine und gemeinsame Bestimmungen
lichen Verschuldenshaftung1. Immerhin aber führt die Regelung hinsichtlich des Verschuldens zu einer Beweislastverteilung, die gegenüber derjenigen bei der allgemeinen deliktischen Haftung aus § 823 BGB zumindest im Ansatz zu einer Besserstellung der Betroffenen führt (zum Nutzen des § 7 aber oben Rz. 3). 16 Die Anforderungen an den Entlastungsbeweis hängen von den Umständen des Einzelfalls ab. Die verantwortliche Stelle muss zeigen, dass sie nicht für den spezifisch eingetreten Schaden verantwortlich ist (oder ihr eigenes Verschulden jedenfalls gegenüber dem des Betroffenen unerheblich ist, § 254 BGB). Die verantwortliche Stelle muss dabei nachweisen, dass sie hinsichtlich der Umstände, die ursächlich zu dem Schaden geführt haben, die erforderliche Sorgfalt (§ 276 Abs. 2 BGB) eingehalten hat. Nicht notwendig ist, dass die verantwortliche Stelle zu diesem Zweck sämtliche Datenverarbeitungsvorgänge oder gar diesbezügliche Geschäftsgeheimnisse offenlegt, unabhängig davon ob sie für den eingetreten Schaden von Bedeutung sein können oder nicht (vgl. auch Wertung des § 34 Abs. 1 Satz 4). Wurde der Schaden beispielsweise durch die mangelnde Aktualität der verarbeiteten Daten verursacht, kommt es allein auf die Frage an, ob die verantwortliche Stelle die notwendige Sorgfalt aufgewandt hat, um den relevanten Datenbestand hinreichend aktuell zu halten. Wurde der Schaden durch ein Datenleck oder den rechtswidrigen Eingriff eines Dritten verursacht, geht es um die Frage, welche Maßnahmen sorgfaltsgemäß aufzuwenden sind, um ein solches Datenleck oder Eingriffe Dritter abzuwenden. Der Sorgfaltsmaßstab ist dabei am Stand der Technik sowie dem Schutzinteresse der Betroffenen auszurichten. Maßgeblich sind die konkreten Umstände der Datenverarbeitungssituation. Der Wortlaut des § 7 Satz 2 ist insoweit mit dem Hinweis auf die „nach den Umständen des Falles gebotene Sorgfalt“ etwas enger formuliert als § 276 Abs. 2 BGB, der auf die im „Verkehr erforderliche Sorgfalt“ abstellt2. Die verarbeitende Stelle kann sich naturgemäß nicht auf die „übliche Nachlässigkeit“ in ihrer Branche berufen. Rechtswidrige Eingriffe Dritter entschuldigen die verarbeitende Stelle nur, wenn sie nicht durch nach dem Stand der Technik zumutbare Schutzmaßnahmen (§ 9) abzuwenden sind3. 1 Der ursprüngliche Gesetzentwurf setzte ausdrücklich eine „schuldhafte“ Verletzung voraus, BT-Drucks. 14/4329, S. 10 (38); erst im weiteren Gesetzgebungsverfahren wurde dies im Hinblick auf die Entlastungsmöglichkeit des § 7 Satz 2, die eine Verschuldenshaftung notwendigerweise voraussetzt, für entbehrlich gehalten, BT-Drucks. 14/5793, S. 64. 2 Niedermeier/Schröcker, RDV 2002, 217 (219). 3 Vgl. Simitis/Simitis, § 7 BDSG Rz. 25.
330 Becker
Schadensersatz
§ 7 BDSG
Da es sich bei § 7 Satz 1 um eine deliktische Haftung handelt (oben 17 Rz. 1), gelten grundsätzlich ergänzend die Bestimmungen der §§ 823 ff. und damit auch die Exkulpationsmöglichkeiten des § 831 Abs. 1 Satz 2 BGB. Sachlich ergeben sich jedoch aus den datenschutzrechtlichen Bestimmungen eine Reihe von Organisationspflichten, die wiederum die Entlastungsmöglichkeiten nach § 831 Abs. 1 Satz 2 BGB faktisch einschränken. Dazu gehören u.a. die Verpflichtung von Mitarbeitern auf das Datengeheimnis (§ 5), die Bestimmung eines betrieblichen Datenschutzbeauftragten (§ 4f Abs. 1 Satz 1), die Durchführung von Vorabkontrollen (§ 4d Abs. 5, 6), die technisch-organisatorischen Maßnahmen (§ 9) und die Auftragskontrolle (§ 11 Abs. 1 Satz 1, Abs. 2). Diese Organisationspflichten treffen die Organe der verarbeitenden Stelle. Eine diesbezügliche Pflichtverletzung der Organe wird der juristischen Person gemäß §§ 30, 31, 89 BGB ohne eine Exkulpationsmöglichkeit zugerechnet1. Die pflichtwidrige Nichteinbeziehung des Datenschutzbeauftragten, dessen Vorabkontrolle z.B. eine rechtswidrige Datenverarbeitung hätte verhindern können, führt damit regelmäßig zu einem Verschulden. Weitergehend wollen einzelne Stimmen die Anwendung des § 831 Abs. 1 Satz 2 BGB mit dem Hinweis auf eine vergleichbare Rechtslage bei der deliktischen Produzentenhaftung ausschließen2. Ein rechtspolitisches Bedürfnis hierfür ist im Hinblick auf die vorgenannten Organisationspflichten und die daraus folgende Haftung über §§ 30, 31, 89 BGB nicht ersichtlich. Offen ist die Frage, inwieweit das Fehlverhalten und vor allem Fehlein- 18 schätzungen des betrieblichen Datenschutzbeauftragten der verantwortlichen Stelle zugerechnet werden oder Einfluss auf die Einhaltung der erforderlichen Sorgfalt haben. Fraglich ist insbesondere, ob im Fall einer positiven Vorabkontrolle durch den Datenschutzbeauftragten, die sich im Nachhinein als fehlerhaft herausstellt, die Exkulpation gemäß § 7 Satz 2 möglich ist. Sofern die Vorabkontrolle lega artis (vgl. § 4d Abs. 5, 6) durchgeführt wurde, ist eine Exkulpation jedenfalls dann zu erwägen, wenn der Fehler allein in der Anwendung von Abwägungsregelungen z.B. im Rahmen des § 28 liegt, das Ergebnis des Datenschutzbeauftragten aber jedenfalls vertretbar erschien. Ein solches Verständnis würden die Stellung des betrieblichen Datenschutzbeauftragten im Unternehmen sicherlich stärken. Hiergegen ließe sich aus Schutzzweckgesichts1 Palandt/Sprau, § 31 BGB Rz. 7 ff.; § 823 BGB Rz. 50, 78; § 831 BGB Rz. 2 m.w.N. 2 Däubler/Klebe/Wedde/Weichert/Däubler, § 7 BDSG Rz. 15; vgl. auch Niedermeier/Schröcker, RDV 2002, 217 (221).
Becker 331
BDSG § 7
Allgemeine und gemeinsame Bestimmungen
punkten einwenden, dass damit die Schadensersatzansprüche des Betroffenen in die Hände des Datenschutzbeauftragten gelegt würden, dessen Unabhängigkeit in der Praxis häufig nicht dem gesetzlichen Leitbild entspricht (§ 4f Abs. 3 Satz 2). Es gehört aber zur Konzeption des BDSG, dass dem betrieblichen Datenschutzbeauftragten eine besondere Rolle für die Einhaltung der datenschutzrechtlichen Regeln zukommt. Der Gesetzgeber setzt gerade auf einen Schutz durch Verfahrensregeln. Es ist daher nur folgerichtig, die verarbeitende Stelle zu entlasten, wenn das vorgeschriebene Verfahren zur Wahrung der datenschutzrechtlichen Belange eingehalten wurde und der Datenschutzbeauftragte auf Grundlage hinreichender Informationen im Rahmen einer Abwägung dazu kommt, dass eine bestimmte Maßnahme gemäß §§ 28 ff. zulässig ist. 19 Zu beachten ist, dass der Entlastungsbeweises i.S.d. § 7 Satz 2 sich zwar auf die Einhaltung der gebotenen Sorgfalt richtet und damit die Frage des Verschuldens (§ 276 Abs. 2 BGB) in den Vordergrund stellt. Dies ist jedoch nicht abschließend zu verstehen. Die EG-Datenschutzrichtlinie verwendet den Begriff der Entlastungsmöglichkeit weiter als § 7 Satz 2. Art. 23 EG-Datenschutzrichtlinie spricht in der deutschen Fassung davon, dass der Umstand, durch den der Schaden eingetreten ist, der verantwortlichen Stelle „nicht zur Last gelegt werden kann“. Der verantwortlichen Stelle stehen mithin alle sonstigen Verteidigungsmöglichkeiten offen. In diesem Sinne kann die verantwortliche Stelle sich insbesondere mit einem Hinweis auf Höhere Gewalt oder auf ein Mitverschulden des Betroffenen (§ 254 BGB) verteidigen1. Hinsichtlich dieser allgemeinen „Entlastungsmöglichkeiten“ gilt ebenfalls die Beweiserleichterung des § 7 Satz 2. Im Ergebnis entspricht dies jedenfalls beim Mitverschuldenseinwand aus § 254 BGB der ohnehin gegebenen Beweislastverteilung. V. Geltendmachung, Sonstiges 20 Der Anspruch aus § 7 Satz 1 ist ein zivilrechtlicher Anspruch und deshalb grundsätzlich vor den ordentlichen Gerichten geltend zu machen. Dies gilt auch bei der Geltendmachung von Ansprüchen gegen öffentliche Stellen (Art. 34 Satz 3 GG; § 40 Abs. 2 VwGO). Die Sonderzuständigkeit für Amtshaftungsansprüche gemäß § 71 Abs. 2 Nr. 2 GVG dürfte zumindest entsprechende Anwendung finden. Für Schadensersatzansprüche gegen Arbeitgeber als verarbeitende Stelle ist die Zuständigkeit der Arbeitsgerichte gegeben, weil es sich um einen deliktischen An1 Erwägungsgrund 55 der EG-Datenschutzrichtlinie.
332 Becker
Schadensersatz
§ 7 BDSG
spruch im Zusammenhang mit dem Arbeitsverhältnis handelt (§ 2 Abs. 1 Nr. 3d) ArbGG). Mehrere Ersatzpflichtige haften gemäß § 840 BGB gesamtschuldnerisch. § 8 Abs. 4 findet allerdings keine entsprechende Anwendung.
21
Teilweise wird vertreten, ein Schadensersatzanspruch aus § 7 sei nicht 22 übertragbar oder vererblich1. Für diese Auffassung gibt es keine tragfähige Grundlage; der Ursprung des Schadensersatzanspruchs in einer Verletzung des Persönlichkeitsrechts spricht nicht gegen eine Übertragbarkeit oder Vererblichkeit. Mit Entstehung des Anspruchs gehört dieser zum geschützten Vermögensbestand des Betroffenen. Entsprechend der h.M. zu § 253 BGB sind die Ansprüche aus § 7, unabhängig davon, ob sie auf den Ersatz des materiellen oder immateriellen Anspruchs gerichtet sind, ohne Einschränkung übertragbar, vererblich, pfändbar und verpfändbar2. Im Voraus kann auf einen Anspruch aus § 7 nicht verzichtet werden. In- 23 sofern findet der Rechtsgedanke des § 6 Anwendung3. Nicht ersichtlich ist hingegen, weshalb der Betroffene nach Entstehung des Anspruchs durch bewusst Erklärung hierauf nicht verzichten können soll4. Insbesondere im Rahmen eines Vergleichs muss ein nachträglicher Verzicht zulässig sein. Ein Ausschluss oder eine wesentliche Einschränkung des § 7 durch AGB ist hingegen nicht möglich, weil hiermit gegen das gesetzliche Leitbild verstoßen würde (§ 307 Abs. 2 Nr. 1 BGB)5. Ob indessen jedwede Haftungsbegrenzung ausgeschlossen ist, erscheint zweifelhaft. Die Möglichkeit von Haftungsbegrenzungen ist in § 309 Nr. 7 BGB nur im Hinblick auf überragende Rechtsgüter und in Bezug auf grobes Verschulden generell ausgeschlossen. Angemessene Haftungsbegrenzungen im Hinblick auf Fälle einfacher Fahrlässigkeit erscheinen daher nicht von vornherein unzulässig. Ansprüche aus § 7 verjähren regelmäßig in drei Jahren ab Kenntnis von 24 Schaden und Ersatzpflichtigem (Jahresendverjährung gemäß §§ 195, 199 Abs. 1 BGB), spätestens aber zehn Jahre nach Entstehung des Schadens bzw. 30 Jahre nach dem schadenstiftenden Ereignis (§ 199 Abs. 3 BGB). 1 Simitis/Simitis, § 7 BDSG Rz. 44. 2 Däubler/Klebe/Wedde/Weichert/Däubler, § 7 BDSG Rz. 22; vgl. auch Palandt/ Grüneberg, § 253 BGB Rz. 22; zu Änderung gegenüber der früheren Rechtslage BGH v. 6.12.1994 – VI ZR 80/94, NJW 1995, 783. 3 Däubler/Klebe/Wedde/Weichert/Däubler, § 7 BDSG Rz. 24. 4 So aber Simitis/Simitis, § 7 BDSG Rz. 46. 5 Simitis/Simitis, § 7 BDSG Rz. 47.
Becker 333
BDSG § 8
Allgemeine und gemeinsame Bestimmungen
VI. Konkurrenzen 25 Mit § 7 sollten die Betroffenen eine zusätzliche Anspruchsgrundlage erhalten. § 7 lässt andere Anspruchsgrundlagen unberührt1. Im Fall von Datenschutzverstößen sind daher gegen die verarbeitende Stelle auch vertragliche und deliktische Ansprüche, im Fall öffentlicher Stellen Staatshaftungsansprüche denkbar. Die Bedeutung anderer Anspruchsgrundlagen gegenüber § 7 liegt vor allem darin, dass sie ggf. auch Anspruch auf Ersatz des immateriellen Schadens geben. 26 Gegenüber nicht-öffentlichen Stellen kommen insbesondere Ansprüche aus Verschulden bei Vertragsschluss (§ 311 Abs. 2 BGB), wegen Verletzung von Haupt- oder Nebenpflichten (§ 280 Abs. 1 BGB) oder aus Delikt in Betracht (§§ 823, 824, 826 BGB)2. Das Recht auf informationelle Selbstbestimmung ist ein sonstiges Recht i.S.d. § 823 Abs. 1 BGB. Des Weiteren sind die Bestimmungen des BDSG sowie der besonderen Datenschutzgesetze (§§ 91 ff. TKG, §§ 11 ff. TMG) als Schutzgesetze zugunsten des Betroffenen anzusehen. Das gilt jedenfalls für die Regelungen zur Einwilligung (§ 4a), die Kernregelungen über die Zulässigkeit der Datenverarbeitung (§§ 28 ff.) sowie Anforderungen an technische und organisatorische Maßnahmen (§ 9). Tatbestandlich werden daher über § 823 Abs. 2 BGB die gleichen Pflichtverletzungen wie über § 7 erfasst. Bei der Weitergabe von kreditrelevanten Informationen kommen Ansprüche aus § 824 BGB in Betracht3. 27 Gegenüber öffentlichen Stellen kommen vor allem Ansprüche aus Amtspflichtverletzung (Art. 34 GG, § 839 BGB) in Betracht. Im Bereich des fiskalischen Handels sind die §§ 31, 89, 831 BGB als Haftungsgrundlagen zu prüfen. Schadensersatz bei automatisierter Datenverarbeitung durch öffentliche Stellen
8
(1) Fügt eine verantwortliche öffentliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten ei-
1 H.M., vgl. Simitis/Simitis, § 7 BDSG Rz. 52; Gola/Schomerus, § 7 BDSG Rz. 16. 2 Ausführlich zu den Konkurrenzen Niedermeier/Schröcker, RDV 2002, 217 (219 ff.); vgl. auch Wind, RDV 1991, 16 ff. 3 OLG Frankfurt v. 6.1.1988 – 17 U 35/87 und 203/87, RDV 1988, 148.
334 Becker
Schadensersatz bei automatisierter Datenverarbeitung
§ 8 BDSG
nen Schaden zu, ist ihr Träger dem Betroffenen unabhängig von einem Verschulden zum Schadensersatz verpflichtet. (2) Bei einer schweren Verletzung des Persönlichkeitsrechts ist dem Betroffenen der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen. (3) 1Die Ansprüche nach den Absätzen 1 und 2 sind insgesamt auf einen Betrag von 130 000 Euro begrenzt. 2Ist aufgrund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von 130 000 Euro übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zu dem Höchstbetrag steht. (4) Sind bei einer automatisierten Verarbeitung mehrere Stellen speicherungsberechtigt und ist der Geschädigte nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen. (5) Hat bei der Entstehung des Schadens ein Verschulden des Betroffenen mitgewirkt, gilt § 254 des Bürgerlichen Gesetzbuchs. (6) Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung. I. Einführung . . . . . . . . . . . . . . . .
1
III. Gefährdungshaftung . . . . . . . .
8
II. Anwendungsbereich . . . . . . . .
3
IV. Haftungsumfang, Geltendmachung. . . . . . . . . . . . . . . . . . . . . 10
Schrifttum: Siehe Schrifttum zu § 7.
I. Einführung § 8 ist eine Sonderregelung für öffentliche Stellen, die eine verschuldensunabhängige, deliktische Gefährdungshaftung für die automatisierte Datenverarbeitung vorsieht. Die Bedeutung ist in Bezug auf die Rechtsprechung wie bei § 7 eher gering. Die Regelung statuiert letztlich nur eine warnend vorgetragene Sorgfaltsanforderung an öffentliche Stellen, ihre automatisierte Datenverarbeitung so einzurichten und im Falle mehrerer beteiligter Stellen (§ 8 Abs. 4) so aufeinander abzustimmen, dass eine rechtswidrige oder fehlerhafte Datenverarbeitung nicht vorkommt. Ähnlich wie bei § 7 ist die geringe Bedeutung des § 8 darauf zurückzuführen, dass die Datenverarbeitung letztlich nur Mittel zum Zweck ist und eine unrichtige Datenverarbeitung in aller erster Linie in Becker 335
1
BDSG § 8
Allgemeine und gemeinsame Bestimmungen
der Rechtswirklichkeit zu korrigieren ist: Der Schaden des betroffenen Bürgers liegt im Zweifel nicht in einem falschen Datum, sondern manifestiert sich in fehlerhaftem Verwaltungshandeln ihm gegenüber. Wird das fehlerhafte Verwaltungshandeln seitens der Behörde autonom oder aufgrund von Rechtsmitteln des Betroffenen korrigiert, wird auch die Datenverarbeitung hieran angepasst und ein weitergehender materieller Schaden tritt nicht ein1. So gesehen hat sich die in der Gesetzesbegründung befürchtete „Automatisierungsgefährdung“2 jedenfalls in schadensrechtlicher Hinsicht nicht verwirklicht. Die Daseinsberechtigung des § 8 ist insoweit zweifelhaft3. 2 Als Haftungsnorm geht § 8 jedenfalls über das von Art. 23 EG-Datenschutzrichtlinie geforderte Haftungsregime hinaus. Die bereits durch das BDSG 1990 als § 7 a.F. eingeführte Regelung4 bedurfte daher nach Erlass der Richtlinie im Jahr 1995 keiner erheblichen inhaltlichen Änderung. Die „Ungleichbehandlung“ gegenüber nicht-öffentlichen Stellen durch die Anordnung der im Ansatz strengeren Gefährdungshaftung ist allerdings insoweit angemessen, als sie sich zwanglos damit begründen lässt, dass der betroffene Bürger in aller Regel keine Wahl hinsichtlich seiner Datenverarbeitung durch öffentliche Stellen hat und der staatliche Zwang seinen Ausgleich in einer entsprechenden strengen Haftung findet. Europarechtlich ist die an sich strengere Haftung indessen nicht geboten5. Umgekehrt steht ihr auch der Gedanke der umfassenden Harmonisierung6 nicht entgegen, weil es nicht um den tatbestandlichen Umfang des zulässigen Datenverkehrs im Binnenmarkt geht, sondern „lediglich“ um die schadensersatzrechliche Behandlung von Verstößen im Rahmen des nationalen Deliktsrechts. Hierfür kann eine Vollharmo1 Vgl. den Fall bei Taeger, RDV 1996, 1 mit Hinweis auf ein unveröffentlichtes Urteil (LG Hannover, 15 O 181/90). 2 BR-Drucks. 618/88, S. 108. 3 Art. 77 des Entwurfs einer europäischen Datenschutz-Grundverordnung (KOM(2012) 11 endg.) belässt es bei der Verschuldenshaftung wie sie heute auch in Art. 23 der Richtlinie 95/46/EG vorgesehen und durch § 7 umgesetzt ist. 4 Dazu BR-Drucks. 618/88, S. 108 ff. 5 A.A. Simitis/Simitis, § 8 BDSG Rz. 2; § 7 BDSG Rz. 4, der generell eine Gefährdungshaftung fordert und dies mit dem Hinweis auf Art. 23 Abs. 1 der EG-Datenschutzrichtlinie begründet, der für sich genommen (d.h. unter Weglassung des Art. 23 Abs. 2) als Forderung nach einer unbedingten Gefährdungshaftung verstanden werden soll; ähnlich Däubler/Klebe/Wedde/Weichert/Däubler, § 8 BDSG Rz. 7. 6 Vgl. EuGH v. 24.11.2011 – C-468/10 und C-469/10 (ASNEF/FECEMD), CR 2012, 29 = K&R 2012, 40.
336 Becker
§ 8 BDSG
Schadensersatz bei automatisierter Datenverarbeitung
niserung (auch wenn sie auf den Bereich des Datenschutzes begrenzt ist) durch die EG-Datenschutzrichtlinie nicht angenommen werden; eine solche muss einem eigenen Rechtsakt der EU vorbehalten sein. In Einzelbereichen, in denen öffentliche Stellen betroffen sind, die keine hoheitlichen Aufgaben wahrnehmen, kann das unterschiedliche Haftungsregime indessen auch zu Wertungswidersprüchen führen1. Diese sind aber durch den Gesetzgeber aufzulösen und ändern nichts an der Anwendung des § 8. Die praktischen Auswirkungen der Gefährdungshaftung bleiben aufgrund ihrer höhenmäßigen Beschränkung (§ 8 Abs. 3) im Ergebnis ohnehin gering. II. Anwendungsbereich Der Haftung gemäß § 8 unterliegen ausschließlich öffentliche Stellen 3 i.S.d. § 2 Abs. 1 bis 3, 4 Satz 2. Da eine Regelung wie in § 12 Abs. 1 fehlt, gilt § 8 auch dann, wenn die öffentliche Stelle als öffentlich-rechtliches Unternehmen am Wettbewerb teilnimmt2. Die Regelung gilt nicht nur im Außenverhältnis zugunsten des Bürgers, sondern auch im Innenverhältnis zugunsten von Mitarbeitern öffentlicher Stellen3. Anspruchsberechtigt sind natürliche Personen, die bei einer automatisierten Verwendung von Daten durch die öffentliche Stelle einen Schaden erlitten haben. Der Gesetzgeber hat in diesem Zusammenhang sehr wohl den Wertungswiderspruch gesehen, der darin liegt, dass gerade auch Unternehmen im Rahmen staatlicher Datenverarbeitung einen Schaden erleiden können4. Er sah sich aber offenbar außer Stande, diesen Punkt im BDSG zu regeln. Für Unternehmen bleibt es insoweit bei den allgemeinen Haftungsregeln des Staatshaftungsrechts, aus denen sie ggf. Ansprüche herleiten können.
4
Wie § 7 gilt auch § 8 für jede rechtswidrige oder fehlerhafte Datenver- 5 wendung nach dem BDSG und anderen Vorschriften über den Datenschutz, d.h. für das gesamte materielle Datenschutzrecht, dem die jeweiligen öffentliche Stellen unterliegen. Ausdrückliche Verweise auf § 8 enthalten insbesondere § 82 Satz 2 SGB X, § 22a Abs. 6 Nr. 9 BVerfSchG, § 9a Abs. 6 Nr. 9 BND-Gesetz und § 486 Abs. 2 StPO.
1 2 3 4
Simitis/Simitis, § 8 BDSG Rz. 6. Simitis/Simitis, § 8 BDSG Rz. 4; Gola/Schomerus, § 8 BDSG Rz. 3. Oberwetter, NZA 2009, 1120. BR-Drucks. 618/88, S. 108.
Becker 337
BDSG § 8
Allgemeine und gemeinsame Bestimmungen
6 Allerdings knüpft die Gefährdungshaftung ausschließlich an die automatisierte Datenverarbeitung an, d.h. die manuelle oder aktenmäßige Verarbeitung von Daten begründet lediglich eine Haftung gemäß § 7 (§ 7 Rz. 10) bzw. nach den allgemeinen Vorschriften. Die Abgrenzung mag im Einzelfall schwierig sein, wird aber vom Gesetzgeber so gefordert. Die Gegenmeinung, die zumindest bei der Kombination von automatisierter und nicht-automatisierter Verarbeitung eine einheitliche Betrachtung fordert und auch einen Fehler bei der nicht-automatisierten Verarbeitung als Schadensquelle ausreichen lassen möchte1, widerspricht dem erklärten Willen des historischen Gesetzgebers2. 7 Die Gefährdungshaftung der öffentlichen Stellen gilt auch dann, wenn die Daten im Auftrag verarbeitet werden (§ 11 Abs. 1 Satz 2). III. Gefährdungshaftung 8 Die Gefährdungshaftung knüpft (wie § 7) an eine unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung von Daten an. Auf den Nachweis eines Verschuldens kommt es nicht an; der öffentlichen Stelle steht auch nicht die Möglichkeit eines Entlastungsbeweises zu. Selbst wenn positiv erwiesen ist, dass die öffentliche Stelle mit aller gebotenen Sorgfalt gehandelt, ist sie nach § 8 zum Ersatz des materiellen und immateriellen Schadens verpflichtet. Den Grund für die Gefährdungshaftung sah der Gesetzgeber vor allem in der technischen Komplexität der Datenverarbeitung und der damit verbundenen „Automatisierungsgefährdung“3. Der Betroffene soll sich hiermit nicht auseinandersetzen und ein etwaiges Verschulden der verantwortlichen Stelle darlegen müssen. Der Gesetzgeber ging davon aus, dass § 8 auch den Ersatz mittelbarer Schäden umfassen soll, solange diese jedenfalls adäquat-kausal durch die automatisierte Datenverarbeitung verursacht werden4. 9 Die haftungsbegründende Unrichtigkeit der Daten muss im Rahmen der automatisierten Datenverarbeitung entstanden sein (oben Rz. 6)5. § 8 findet keine Anwendung, wenn die öffentliche Stelle nachweisen kann, 1 Simitis/Simitis, § 8 BDSG Rz. 10 f. 2 Vgl. BR-Drucks. 618/88, S. 110; BT-Drucks. 11/4306, S. 42 („Für diese Fälle [z.B. Fehler bei der manuellen Eingabe von Daten], die keinen Ausfluss der typischen Automatisierungsgefährdung darstellen, soll nicht die Gefährdungshaftung, sondern die normale Verschuldenshaftung gelten.“). 3 BR-Drucks. 618/88, S. 108; BT-Drucks. 11/4306, S. 42. 4 BR-Drucks. 618/88, S. 108; BT-Drucks. 11/4306, S. 42. 5 BR-Drucks. 618/88, S. 109; BT-Drucks. 11/4306, S. 42.
338 Becker
Schadensersatz bei automatisierter Datenverarbeitung
§ 8 BDSG
dass der Fehler im Rahmen der manuellen Bearbeitung eines Vorgangs (z.B. bei der manuellen Dateneingabe) entstanden ist1; in diesen Fällen bleibt es bei der Verschuldenshaftung des § 7. Die Beweislast hierfür liegt allerdings bei der öffentlichen Stelle2. IV. Haftungsumfang, Geltendmachung § 8 Abs. 1 umfasst zunächst den Ersatz des materiellen Schadens des Betroffenen aufgrund der unzulässigen oder fehlerhaften Datenverarbeitung der öffentlichen Stelle.
10
§ 8 Abs. 2 verpflichtet sodann auch zum Ersatz des immateriellen Schadens. Der Gesetzgeber ging davon aus, dass der Nichtvermögensschaden der Hauptanwendungsfall des § 8 würde3. Allerdings setzt der Ersatz des immateriellen Schadens voraus, dass der haftungsbegründende Umstand als eine schwere Verletzung des Persönlichkeitsrechst des Betroffenen anzusehen ist. Maßgeblich ist dabei eine objektive Betrachtung, ein unabweisbares Bedürfnis für eine Geldentschädigung ist jedoch nicht notwendig4. Die Notwendigkeit einer schweren Verletzung entspricht zwar der gefestigten Rechtsprechung zum Schmerzensgeld bei Persönlichkeitsrechtsverletzungen (vgl. § 7 Rz. 14), führt aber gerade bei typischen Datenschutzverstößen (z.B. unzulässiger Handel mit Verbraucherdaten) mit massenhafter Verletzung eher im Bagatellbereich zum Entfallen des Schmerzensgelds (§ 7 Rz. 14). Die Regelung des § 8 Abs. 2 führt damit bei Lichte betrachtet nicht etwa zu einer Besserstellung des Betroffenen, sondern vor allem zu einer Haftungsbeschränkung zugunsten der öffentlichen Hand. Bei einem erheblichen Mitverschulden des Betroffenen ist eine schwere Verletzung des Persönlichkeitsrechts unter Umständen zu verneinen5.
11
1 2 3 4
BR-Drucks. 618/88, S. 109; BT-Drucks. 11/4306, S. 42. BR-Drucks. 618/88, S. 109; BT-Drucks. 11/4306, S. 42. BR-Drucks. 618/88, S. 110; BT-Drucks. 11/4306, S. 42. Vgl. LG Hanau v. 4.4.2003 – 2 S 395/02, NJW-RR 2003, 1410 (Kein Schmerzensgeld bei ungewollter Eintragung in öffentliches Verzeichnis durch öffentliche Stelle) mit teils überzogenen Anforderungen, aber im konkreten Fall zutreffend; siehe auch zu Bagatellfällen LG Zweibrücken v. 25.11.1997 – 3 S 134/97, RDV 1998, 177; AG Speyer, RDV 2008, 161; Oberwetter, NZA 2009, 1120 (1122). 5 LG Berlin v. 26.7.2005 – 27 O 301/05, NJW-RR 2005, 1565 (Unsachgemäße Verwendung der von ihr selbst veröffentlichten Personalausweisnummer einer Prominenten durch die Polizei).
Becker 339
BDSG § 8
Allgemeine und gemeinsame Bestimmungen
12 Im Gegenzug für die fehlende Exkulpationsmöglichkeit hat der Gesetzgeber außerdem eine höhemäßige Begrenzung des Ersatzanspruches vorgesehen (§ 8 Abs. 3)1. Anders als noch im ursprünglichen Entwurf vorgesehen wird dabei eine doppelte Begrenzung normiert, nämlich für den einzelnen Betroffenen (§ 8 Abs. 3 Satz 1) und für die Gesamtheit aller durch einen Datenschutzverstoß oder einen Verarbeitungsfehler Betroffenen (§ 8 Abs. 3 Satz 2). Zu Recht wird auch insoweit darauf hingewiesen, dass im Fall des für die Datenverarbeitung eher typischen „Serienschadens“ der Ersatzanspruch des Einzelnen nur noch gering ausfällt2. Da die Gefährdungshaftung nach der EG-Datenschutzrichtlinie nicht geboten ist (oben Rz. 2), verstößt aber auch die höhenmäßige Begrenzung des Anspruchs nicht gegen Europarecht3. Ein weitergehende Schaden oder ein höheres Schmerzensgeld kann nach allgemeinen Vorschriften liquidiert werden (§ 7 Rz. 25, 27). 13 Sind mehrere öffentliche Stellen mit der Datenverarbeitung befasst und lässt sich das schadenstiftende Ereignis nicht bei einer der Stellen lokalisieren, haftet dem Betroffenen gegenüber jede speichernde Stelle (§ 8 Abs. 4). Im Ergebnis dürfte diese Regelung allerdings nur dazu führen, dass im Ernstfall die beteiligten öffentlichen Stellen die aus ihrer Sicht verantwortliche Stelle gegenüber dem Betroffenen benennen, damit er diese in Anspruch nehmen kann. Werden mehrere Stellen erfolgreich als Gesamtschuldner in Anspruch genommen, richtet sich deren Ausgleich im Innenverhältnis nach § 426 Abs. 2 BGB. 14 Für die Gefährdungshaftung gelten der Mitverschuldenseinwand (§ 8 Abs. 5 BDSG, § 254 BGB; vgl. oben § 7 Rz. 19) sowie die Bestimmungen zur Verjährung deliktischer Ansprüche entsprechend (§ 8 Abs. 6; vgl. oben § 7 Rz. 24). Daneben gelten auch die sonstigen allgemeinen Bestimmungen wie bei der deliktischen Haftung nach § 7. Insbesondere haften mehrere materiell Ersatzpflichtige gemäß § 840 BGB gesamtschuldnerisch (dazu oben § 7 Rz. 21). Sämtliche Ansprüche aus § 8 sind übertragbar, abtretbar, pfändbar und verpfändbar (dazu oben § 7 Rz. 22). Weitergehende Ansprüche bleiben unberührt (dazu oben § 7 Rz. 25, 27).
1 BR-Drucks. 618/88, S. 110; BT-Drucks. 11/4306, S. 42. 2 Simitis/Simitis, § 8 BDSG Rz. 22. 3 A.A. Däubler/Klebe/Wedde/Weichert/Däubler, § 8 BDSG Rz. 7.
340 Becker
Technische und organisatorische Maßnahmen
§ 9 BDSG
Technische und organisatorische Maßnahmen
9
1Öffentliche
und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. 2Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Anlage (zu § 9 Satz 1) 1Werden
personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. 2Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), Plath 341
BDSG § 9
Allgemeine und gemeinsame Bestimmungen
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. 3Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. I. Einführung . . . . . . . . . . . . . . . . 1. Normzweck und Inhalt . . . . . 2. Anwendungsbereich (Satz 1) .
1 1 5
II. Technische und organisatorische Maßnahmen (Satz 1). . . .
9
III. Grundsatz der Verhältnismäßigkeit (Satz 2) . . . . . . . . . . 14 IV. Rechtsfolgen bei Verstoß . . . . 19 V. Technische und organisatorische Maßnahmen nach der Anlage zu § 9 Satz 1 . . . . . . . . 21 1. Anwendungsbereich . . . . . . . . 24 2. Gestaltung der inneren Organisation (Satz 1) . . . . . . . . 25
3. Maßnahmenkatalog (Satz 2) . . a) Zutrittskontrolle (Nr. 1) . . . b) Zugangskontrolle (Nr. 2) . . c) Zugriffskontrolle (Nr. 3) . . . d) Weitergabekontrolle (Nr. 4) . . . . . . . . . . . . . . . . . . e) Eingabekontrolle (Nr. 5) . . . f) Auftragskontrolle (Nr. 6) . . g) Verfügbarkeitskontrolle (Nr. 7) . . . . . . . . . . . . . . . . . . h) Gebot der getrennten Verarbeitung (Nr. 8). . . . . . . 4. Verschlüsselungsverfahren (Satz 3) . . . . . . . . . . . . . . . . . . . .
28 30 34 37 40 44 48 52 54 57
Schrifttum: Siehe auch Schrifttum zu § 11; Klett/Lee, Vertraulichkeit des E-Mailverkehrs, CR 2008, 644.
I. Einführung 1. Normzweck und Inhalt 1 § 9 regelt zentral die Datensicherheit im Anwendungsbereich des BDSG1. Die Norm verpflichtet jede Stelle, die mit personenbezogenen Daten umgeht, diejenigen technischen und organisatorischen Maßnah1 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 1; Gola/Schomerus, § 9 BDSG Rz. 1; zum Verhältnis von Datenschutz und Datensicherheit sowie zum Begriff der Datensicherung vgl. die Ausführungen bei Taeger/Gabel/ Schultze-Melling, § 9 BDSG Rz. 3 ff. sowie Gola/Schomerus, § 9 BDSG Rz. 3; Bergmann/Möhrle/Herb, § 9 BDSG Rz. 6 ff.; Simitis/Ernestus, § 9 BDSG Rz. 2 f.
342 Plath
Technische und organisatorische Maßnahmen
§ 9 BDSG
men zu treffen, die zum Schutz dieser Daten und damit der informationellen Selbstbestimmung des Betroffenen erforderlich sind. Die Stelle muss also gewährleisten, dass die verwendeten Daten weder durch äußere Einflüsse noch durch fehlerhaftes oder gar missbräuchliches Verhalten im Betriebsablauf beeinträchtigt werden1. Darüber hinaus trifft sie die Pflicht, für eine Einhaltung der gesetzlichen Regelungen zu sorgen und personenbezogene Daten nur unter den Voraussetzungen zu verwenden, die das BDSG vorsieht. Damit verpflichtet § 9 zur Umsetzung aller gesetzlichen Anforderungen des BDSG, z.B. betreffend möglicher Auskunfts-, Berichtigungs- und Löschungspflichten2. Vielfach werden sich die zu treffenden Maßnahmen mit denjenigen decken, die die verarbeitende Stelle ohnehin im eigenen Interesse ergreifen wird, um eine Beschädigung, einen Verlust oder eine sonstige Beeinträchtigung ihrer Daten zu verhindern3. Eine genaue Beschreibung der zu treffenden Maßnahmen hat der Gesetzgeber aufgrund der Vielzahl denkbarer Einzelfallkonstellationen nicht vorgenommen. Allerdings befindet sich im Anhang zu § 9, auf den in Satz 1 verwiesen wird, eine Auflistung von Maßnahmen, die die verarbeitende Stelle im Falle einer automatisierten Verarbeitung mindestens zu berücksichtigen hat.
2
Grundsätzlich sind gemäß Satz 2 allerdings nur die Maßnahmen zu tref- 3 fen, die als Ergebnis einer Verhältnismäßigkeitsprüfung erforderlich sind. Die Einhaltung der Anforderungen des § 9 richtet sich danach nach folgendem Prüfungsschema: – Anwendbarkeit des BDSG (z.B. keine Beschränkung auf die Verwendung rein familiärer Daten) – Vorliegen einer automatisierten Datenverarbeitung – Implementierung technischer und organisatorischer Maßnahmen – Erforderlichkeit der Maßnahmen.
1 Vgl. auch Art. 17 der EG-Datenschutzrichtlinie 95/46/EG, wonach „für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten“ zu sorgen ist; Taeger/Gabel/ Schultze-Melling, § 9 BDSG Rz. 1 f. 2 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 13. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 1; Bergmann/Möhrle/ Herb, § 9 BDSG Rz. 4.
Plath 343
BDSG § 9
Allgemeine und gemeinsame Bestimmungen
4 Für die Einhaltung der Anforderungen des § 9 ist grundsätzlich der Datenschutzbeauftragte (DSB) gemäß § 4f zuständig. Darüber hinaus sei auch den Stellen, die keinen DSB bestellen müssen, empfohlen, einem Mitarbeiter (z.B. dem Sicherheitsbeauftragten) die Verantwortung für die Ergreifung von Maßnahmen i.S.d. § 9 aufzuerlegen. Zumindest sollte jedoch die Durchführung entsprechender Überlegungen und Risikoanalysen zu Zwecken der Beweissicherung dokumentiert werden1. 2. Anwendungsbereich (Satz 1) 5 Die Regelungen des § 9 sind grundsätzlich bei jedem Datenumgang im Anwendungsbereich des BDSG zu beachten. Demnach richtet sich die Norm sowohl an verantwortliche Stellen (§ 3 Abs. 7) als auch an Auftragsdatenverarbeiter i.S.d. § 11, die nicht für sich, sondern für ihren Auftraggeber Daten verwenden2. Zu beachten ist, dass sich § 9 nicht auf die datenschutzrechtliche Verantwortlichkeit für den Datenumgang auswirkt. Wer verantwortliche Stelle und damit letztendlich für die Rechtmäßigkeit des Datenumgangs zuständig ist, richtet sich ausschließlich nach § 3 Abs. 7. Dementsprechend muss die verantwortliche Stelle im Falle einer Auftragsdatenverarbeitung gemäß § 11 Abs. 2 Nr. 3 dafür Sorge tragen, dass ihr Auftragnehmer diejenigen Maßnahmen trifft, die den Anforderungen des § 9 entsprechen3. 6 Im Rahmen des § 9 kommt es nicht darauf an, ob die datenverwendende Stelle öffentlich oder nicht-öffentlich ist. Ebenso unerheblich ist, ob die Daten automatisiert oder nicht-automatisiert durch die Stelle verwendet werden4. Der Wortlaut des Satz 1 macht zudem deutlich, dass die technischen und organisatorischen Maßnahmen während jeder Phase der Datenverwendung (Erhebung, Verarbeitung und Nutzung) zu berücksichtigen sind. Die Regelungen verpflichten – anders als bezüglich des Datengeheimnisses gemäß § 5 – nicht den Einzelnen, der tatsächlich physisch mit den personenbezogenen Daten umgeht, sondern die verarbeitende Stelle selbst. 7 Voraussetzung für die Anwendbarkeit des § 9 ist, dass der Anwendungsbereich des BDSG eröffnet ist. Damit sind insbesondere bei Vorgängen 1 So auch Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 12. 2 Gola/Schomerus, § 9 BDSG Rz. 3. 3 Vgl. die diesbezüglichen Ausführungen bei Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 11. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 2; Gola/Schomerus, § 9 BDSG Rz. 6; Simitis/Ernestus, § 9 BDSG Rz. 8.
344 Plath
Technische und organisatorische Maßnahmen
§ 9 BDSG
familiärer oder persönlicher Natur, für die das BDSG gemäß § 1 Abs. 2 Nr. 3 nicht gilt, die Anforderungen des § 9 nicht einzuhalten. Fraglich ist, ob § 9 auch auf vorübergehend existierende Daten wie z.B. Zwischenspeicherungen oder Protokolldateien anwendbar ist. Grundsätzlich geht auch von solchen Daten, solange sie existieren, ein gewisses Gefahrenpotential aus, dem durch entsprechende Maßnahmen begegnet werden muss. Damit ist bei denjenigen vorübergehenden Daten, auf die das BDSG anwendbar ist, die Regelung des § 9 zu berücksichtigen. Allerdings kann bei Daten, die z.B. nur für ganz kurze Augenblicke existieren, die Einhaltung weitreichender technischer und organisatorischer Maßnahmen gemäß Satz 2 unverhältnismäßig sein.
8
II. Technische und organisatorische Maßnahmen (Satz 1) § 9 Satz 1 ordnet an, dass die verantwortliche Stelle diejenigen tech- 9 nischen und organisatorischen Maßnahmen zu treffen hat, die zur Ausführung des Gesetzes erforderlich sind. Da jedoch die Verpflichtung zur Einhaltung der gesetzlichen Regelungen des BDSG per se besteht und dementsprechend keiner gesonderten gesetzlichen Anordnung bedarf, scheint die Regelung auf den ersten Blick Makulatur zu sein. So ist eine Datenverwendung, die sich auf einen gesetzlichen Erlaubnistatbestand stützt, nur dann zulässig, wenn die verantwortliche Stelle die entsprechenden Voraussetzungen erfüllt. § 9 muss also dahin gehend verstanden werden, dass jede Stelle, die mit personenbezogenen Daten umgeht, über die unmittelbaren gesetzlichen Anforderungen hinaus begleitende Maßnahmen treffen muss, um eine Einhaltung der gesetzlichen Vorschriften zu gewährleisten1. Nicht zuletzt soll die verarbeitende Stelle auch dazu gezwungen werden, ihre datenschutzrechtlichen Mechanismen regelmäßig zu überprüfen und neuen Gegebenheiten anzupassen2. Die verarbeitende Stelle ist dabei nicht nur den einzelnen Normen verpflichtet, sondern darüber hinaus auch dem Schutz der informationellen Selbstbestimmung des Betroffenen, also dem Rechtsgut, das den Regelungen des BDSG in seiner Gesamtheit zugrunde liegt3. Dieser Umstand ist insbesondere im Vorfeld eines Datenumgangs von Bedeutung: noch 1 Simitis/Ernestus, § 9 BDSG Rz. 15; vgl. auch den Katalog der „Mindestanforderungen an den technischen Datenschutz bei der Anbindung von Praxis-EDVSystemen an medizinische Netze“ des Düsseldorfer Kreises, Beschluss v. 4/5.5.2011. 2 Simitis/Ernestus, § 9 BDSG Rz. 15. 3 Simitis/Ernestus, § 9 BDSG Rz. 12.
Plath 345
10
BDSG § 9
Allgemeine und gemeinsame Bestimmungen
bevor es zu einer geplanten Verwendung personenbezogener Daten kommt, muss die verantwortliche Stelle präventiv durch Ergreifung entsprechender Maßnahmen dafür Sorge tragen, dass es nicht zu einer Verletzung der schutzwürdigen Interessen des Betroffenen kommt1. So wird bereits bei der Installation der benötigten IT- und TK-Hardware darauf zu achten sein, dass Vorkehrungen getroffen werden, die den Anforderungen des BDSG gerecht zu werden. 11 Der Begriff der „technischen und organisatorischen Maßnahmen“ ist weit auszulegen und umfasst alle denkbaren Mechanismen, die dazu geeignet sind, die Ausführung des Gesetzes zu gewährleisten2. Eine Abgrenzung zwischen „technischen“ und „organisatorischen“ Maßnahmen ist vielfach nicht möglich, allerdings auch nicht von Bedeutung. Auf eine genaue Auflistung der zu treffenden Maßnahmen hat der Gesetzgeber angesichts der starken Einzelfallkasuistik sowie der rasanten Entwicklung, insbesondere im technischen Bereich, bewusst verzichtet. Allerdings ist in der Anlage zu § 9 eine Konkretisierung von Maßnahmen erfolgt, die bei automatisierten Datenverwendungen insbesondere zu treffen sind. Trotz der Beschränkung auf diese spezielle Form des Datenumgangs lohnt sich auch in anderen Fällen ein Blick in den Maßnahmenkatalog der Anlage zu § 9. Auch im Falle nicht-automatisierter Datenverwendung wird der Verantwortliche z.B. Maßnahmen der Zugangs-, ZugriffsWeitergabe- und Organisationskontrolle ergreifen müssen3. 12 Die getroffenen Maßnahmen können z.B. baulicher (Schlösser, Schallschutz o.ä.) oder personeller (Wahl des Datenschutzbeauftragten) Natur sein, die IT- und TK- Infrastruktur oder die täglichen Betriebsabläufe betreffen, einzelfallbezogen oder von grundsätzlicher Bedeutung sein oder vor äußeren oder inneren Einwirkungen schützen. Typische Maßnahmen sind der Schutz vor Einbruch, vor Zerstörung (z.B. durch Feuer), die Personal- und Auftragnehmerauswahl, die Einführung von Passwörtern und (physischen) Schlössern, die Implementierung bestimmter Verfahren wie z.B. dem Vier-Augen-Prinzip, der Erlass von Arbeitsrichtlinien sowie die Überwachung bzw. Kontrolle durch entsprechendes Personal4. 1 Simitis/Ernestus, § 9 BDSG Rz. 16. 2 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 16; Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 17. 3 Ebenso Schaffland/Wiltfang, § 9 BDSG Rz. 27 ff. 4 Siehe u.a. auch Simitis/Ernestus, § 9 BDSG Rz. 20; Gola/Schomerus, § 9 BDSG Rz. 5; Bergmann/Möhrle/Herb, § 9 BDSG Rz. 37; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 17; Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 17.
346 Plath
Technische und organisatorische Maßnahmen
§ 9 BDSG
Welche Maßnahmen tatsächlich ergriffen werden müssen, richtet sich letztlich nach dem Einzelfall. Dabei spielen Faktoren wie die Sensibilität der Daten, die Art der Datenverarbeitung sowie andere Umstände wie z.B. das Vorkommen von Publikumsverkehr eine entscheidende Rolle. Insbesondere müssen auch die gesetzlichen Regelungen, deren Ausführung durch die Ergreifung der Maßnahmen gewährleistet werden soll, berücksichtigt werden. Eine ausführliche Darstellung technischer und organisatorischer Maßnahmen, die für die Einhaltung der Anforderungen des § 9 geeignet sind, ist in einer Vielzahl von Handbüchern und anderen Publikationen zu finden1. In der Praxis wird vor Einführung der Datensicherheitsmaßnahmen regelmäßig eine Risikoanalyse erfolgen, die den Sicherungsbedarf und -umfang ermittelt. Der Verantwortliche muss allerdings nur diejenigen Maßnahmen treffen, die zur Ausführung des Gesetzes erforderlich sind. Das Kriterium der Erforderlichkeit wird in Satz 2 erläutert.
13
III. Grundsatz der Verhältnismäßigkeit (Satz 2) Satz 2 konkretisiert, welche Maßnahmen „erforderlich“ i.S.d. Satz 1 14 sind. Es muss eine Abwägung nach dem Verhältnismäßigkeitsgrundsatz durchgeführt werden. Danach sind nur solche Maßnahmen „erforderlich“, die zur Gewährleistung der Durchführung des Gesetzes geeignet sind, und bei denen ein angemessenes Verhältnis zwischen Aufwand und angestrebtem Schutzzweck besteht2. Satz 2 schränkt damit die Verpflichtungen der datenverwendenden Stelle nach Satz 1 auf ein vertretbares Maß ein. Auf der einen Seite der Abwägung steht der zu erwartende Aufwand, 15 den eine Maßnahme mit sich bringt. Gemeint ist damit sowohl der finanzielle als auch der zeitliche oder organisatorische Aufwand. Welche Maßnahme der Verantwortliche tatsächlich ergreift, ist ihm überlassen. Bei gleicher Effektivität kann er diejenige Maßnahme wählen, die den geringsten Aufwand mit sich bringt3. In einem zweiten Abwägungsschritt wird er allerdings zu prüfen haben, ob mit dem intendierten Auf1 Vgl. z.B. der IT-Grundschutz-Katalog des Bundesamts für Sicherheit in der Informationstechnik (BSI), Stand 11. Ergänzungslieferung, aufzurufen unter https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/kataloge.html. 2 Zur Unverhältnismäßigkeit im Einzelfall der Anordnung einer Verschlüsselung von E-Mails durch den Datenschutzbeauftragten VG Berlin v. 24.5.2011 – VG 1 K 133.10, 1 K 133/10. 3 Bergmann/Möhrle/Herb, § 9 BDSG Rz. 26.
Plath 347
BDSG § 9
Allgemeine und gemeinsame Bestimmungen
wand der angestrebte Schutzzweck erreicht werden kann. Auf eine Maßnahme, die gemäß Satz 2 als einzige dazu geeignet ist, den ermittelten Schutzzweck zu gewährleisten, kann nicht mit Hinweis auf einen unzumutbaren Aufwand verzichtet werden. Vielmehr muss dann die geplante Art des Datenumgangs angepasst werden. Keine Berücksichtigung im Rahmen der Abwägung nach Satz 2 soll der Aufwand für solche Maßnahmen finden, die der Verantwortliche ohnehin und unabhängig von den datenschutzrechtlichen Vorschriften treffen müsste (z.B. Abschließung des Haupteingangs). 16 Mit der Orientierung am gesetzlichen Schutzzweck macht der Gesetzgeber deutlich, dass die Datensicherung keinen Selbstzweck erfüllen soll1. Wie im gesamten BDSG steht auch hier der Schutz der personenbezogenen Daten des Betroffenen und mithin seiner informationellen Selbstbestimmung im Vordergrund. Dementsprechend ist der vom Gesetzgeber gewählte Begriff „Schutzzweck“ irreführend. Gemeint ist eher die „Schutzbedürftigkeit“ des Betroffenen im konkreten Fall2. Im Einzelfall wird sich die Schutzbedürftigkeit des Betroffenen aus der Art der Daten, dem Zweck des Datenumgangs sowie der Größe der verarbeitenden Stelle ergeben. Darüber hinaus soll auch das Schadenspotential bei Verlust oder Verbreitung der Daten eine Auswirkung auf die Schutzbedürftigkeit haben3. 17 Im Rahmen der nach Satz 2 erforderlichen Abwägung kommt es stets auf die Summe der getroffenen Maßnahmen an4. Damit kann eine schwächere Vorkehrung durch eine andere, stärkere im Ergebnis ausgeglichen werden. Durch geschickte Gestaltung, z.B. durch die Implementierung von festen Abläufen und automatischen Kontrollmechanismen, kann in den meisten Fällen ein kostengünstiges Maßnahmenpaket entwickelt werden. Andererseits bildet im Falle der Verwendung unterschiedlicher Arten von personenbezogenen Daten stets das sensibelste Datum den Maßstab für die Schutzbedürftigkeit des Betroffenen5. 18 Der Grundsatz der Verhältnismäßigkeit nach Satz 2 gilt nur für die flankierenden Maßnahmen nach § 9. Maßnahmen, die zwingend von anderen Vorschriften des BDSG vorausgesetzt werden, müssen unabhängig 1 Vgl. Bergmann/Möhrle/Herb, § 9 BDSG Rz. 27; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 18. 2 So auch Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 20. 3 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 23 f. 4 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 29. 5 Simitis/Ernestus, § 9 BDSG Rz. 28.
348 Plath
Technische und organisatorische Maßnahmen
§ 9 BDSG
davon, ob sie in einem angemessenen Verhältnis zur Schutzbedürftigkeit des Betroffenen stehen, berücksichtigt werden1. IV. Rechtsfolgen bei Verstoß Bei einem Verstoß gegen die Anforderungen des § 9 kann die Aufsichts- 19 behörde Maßnahmen nach § 38 Abs. 5 zur Beseitigung technischer oder organisatorischer Mängel treffen, soweit Daten automatisiert oder dateibezogen verwendet werden2. Darüber hinaus führt der Verstoß gegen § 9 zu keinen weiteren Sanktionen nach dem BDSG, insbesondere nicht zu einer ordnungswidrigkeitsrechtlichen oder strafrechtlichen Ahndung. Die Datenverarbeitung bleibt damit trotz eines Verstoßes gegen § 9 nach Maßgabe des § 4 zulässig, es sei denn, dass zugleich ein Verstoß gegen andere Vorschriften des BDSG erfolgt. Dies wäre beispielsweise der Fall, wenn die unterlassene Einführung ausreichender technischer und organisatorischer Maßnahmen dazu führen würde, dass die Datenverwendung selbst gemäß § 28 unverhältnismäßig ist. Denkbar ist zudem, dass der Verantwortliche bei Verletzung der Vorgaben des § 9 auf Grundlage von Drittnormen (z.B. im Rahmen der Geschäftsführerhaftung nach § 43 Abs. 2 GmbHG) wegen der Verletzung von Obliegenheiten haftet. Im Rahmen eines Auftragsdatenverarbeitungsverhältnisses ist zu beachten, dass die Regelung des § 9 zwar den Auftragnehmer verpflichtet, der Auftraggeber jedoch weiterhin verantwortlich i.S.d. § 3 Abs. 7 ist. Er hat demnach gemäß § 11 Abs. 2 diejenigen Maßnahmen zu bestimmen, die der Auftragnehmer im Rahmen seiner Pflicht zur Gewährleistung der Datensicherheit treffen muss. Verstößt der Auftragnehmer damit gegen § 9, so führt dies zu einem unrechtmäßigen Datenumgang durch den Auftraggeber als verantwortliche Stelle, was wiederum gemäß § 43 Abs. 2 Nr. 1 eine Ordnungswidrigkeit darstellt.
20
V. Technische und organisatorische Maßnahmen nach der Anlage zu § 9 Satz 1 In der Anlage zu § 9 ist ein Kompromiss zwischen einerseits dem von 21 der Wissenschaft propagierten Ansatz einer allgemeinen und flexiblen Formulierung und andererseits dem Bedürfnis der Praxis nach mehr Rechtssicherheit durch konkrete Maßnahmenkataloge zu sehen: Die 1 Gola/Schomerus, § 9 BDSG Rz. 5. 2 Vgl. zur fehlenden Anordnungsbefugnis bei nicht-automatisierten Datenvorgängen OVG Hamburg v. 7.7.2005 – 1 Bf 172/03, NJW 2006, 310.
Plath 349
BDSG § 9
Allgemeine und gemeinsame Bestimmungen
Maßnahmen sind weiterhin „nur“ im Rahmen einer Anlage kodifiziert und beschränken sich auf relativ allgemeine und auslegungsbedürftige Formulierungen1. Die Auflistung bildet das Mindestmaß an Sicherheitsmaßnahmen, die die verarbeitende Stelle zur Gewährleistung der Ausführung des BDSG zu ergreifen hat. 22 Es wird kritisiert, dass der Katalog zu sehr an klassische Methoden der Datenverarbeitung anknüpft und die Maßnahmen nur schwer auf technische Neuerungen (z.B. Smartphones, Cloud Computing, Virtual Private Networks, usw.) anzuwenden sind. Die Befolgung der Anweisungen der Anlage zu § 9 wird damit häufig in der Praxis nicht mehr ausreichen, um das nach § 9 Satz 1 geforderte Gewährleistungsniveau zu erreichen. 23 Der Anlage zu § 9 kommt keine eigene normative Bedeutung zu. Sie ist vielmehr immer im Zusammenhang mit § 9 zu sehen. Es ist deshalb auch eindeutig, dass der Verhältnismäßigkeitsgrundsatz nach § 9 Satz 2 auf den gesamten § 9 Satz 1 und damit auch auf die Anlage zu § 9 anwendbar ist2. Damit sind auch die Maßnahmen nach dem Katalog der Anlage zu § 9 nur in dem Umfang zu treffen, in dem sie erforderlich zur Erreichung des gesetzlichen Schutzzwecks sind. Die Verwendung des Begriffs „geeignet“ statt „erforderlich“ in Satz 2 der Anlage ist als gesetzliche Ungenauigkeit bedeutungslos3. 1. Anwendungsbereich 24 Die Anlage zu § 9 ist unmittelbar in allen Phasen der Datenverwendung (Erhebung, Verarbeitung und Nutzung) anwendbar, soweit der Datenumgang automatisiert erfolgt. Darüber hinaus ist jedoch auch eine entsprechende Anwendung auf nicht-automatisierte Vorgänge denkbar. Die Anlage zu § 9 richtet sich ebenso wie § 9 Satz 1 an jede Stelle, die mit personenbezogenen Daten umgeht, unabhängig davon, ob sie selbst die verantwortliche Stelle i.S.d. § 3 Abs. 7 ist. Die Formulierung „innerbehördliche oder innerbetriebliche Organisation“ macht zudem deutlich, dass die Anlage zu § 9 sowohl von öffentlichen als auch von nicht-öffentlichen Stellen anzuwenden ist.
1 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 35 f. 2 Simitis/Ernestus, § 9 BDSG Rz. 55. 3 Ebenso Simitis/Ernestus, § 9 BDSG Rz. 54.
350 Plath
Technische und organisatorische Maßnahmen
§ 9 BDSG
2. Gestaltung der inneren Organisation (Satz 1) Die Organisationskontrolle nach Satz 1 bildet gewissermaßen das Leitmotiv der Anlage zu § 9. Die Maßnahmen nach Satz 2 haben diesbezüglich einen ergänzenden Charakter. Damit muss jede Stelle, die Daten verwendet, durch ihre interne Organisation die Ausführung des Gesetzes gewährleisten. Der Grund für die besondere Hervorhebung der Bedeutung organisatorischer Maßnahmen liegt darin, dass die automatisierte Datenverarbeitung deutlich größere Gefahren für den Betroffenen durch unkontrollierte Vorgänge birgt. Durch die Entwicklung eines innerorganisatorischen Konzepts soll der Verantwortliche zugleich zu einer Auseinandersetzung mit den automatischen Verarbeitungsprozessen gezwungen werden. Der Maßnahmenkatalog des Satz 2 listet also all die Vorgaben einer effektiven organisatorischen Kontrolle auf, die eine datenverwendende Stelle mindestens zu beachten hat. Darüber hinaus muss die verarbeitende Stelle organisatorisch dafür sorgen, dass sie die weiteren Pflichten nach dem BDSG (z.B. Auskunfts-, Berichtigungs- und Löschungspflichten) tatsächlich durchführt.
25
Der Begriff „Organisation“ ist weit auszulegen und umfasst sowohl die 26 Aufbau- als auch die Ablauforganisation1. Eines der wichtigsten Instrumente der internen Organisation ist die sog. Funktionsaufteilung. Dabei wird der Datenverwendungsvorgang in einzelne Abschnitte unterteilt, die wiederum einzeln organisatorisch durchdacht werden2. Diese Methodik hat den Vorteil, dass auf die datenschutzrechtlichen Besonderheiten jedes Abschnitts einzeln reagiert werden kann, was sowohl zu einer Steigerung des Schutzniveaus als auch in den meisten Fällen zu einer Senkung des (finanziellen) Aufwands führt. Darüber hinaus ist es bei einem unterteilten Prozess leichter, auf eventuelle Fehler zu reagieren und die Kontrollmechanismen zu optimieren. Welche konkreten Maßnahmen zur Umsetzung der gesetzlichen Anforderungen die verantwortliche Stelle tatsächlich ergreift, ist alleine ihr überlassen. Satz 1 der Anlage steckt nur den abstrakten Rahmen fest3.
1 Simitis/Ernestus, § 9 BDSG Rz. 50; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 40. 2 Simitis/Ernestus, § 9 BDSG Rz. 51. 3 Zu Beispielen für Maßnahmen der Organisationskontrolle Taeger/Gabel/ Schultze-Melling, § 9 BDSG Rz. 43.
Plath 351
27
BDSG § 9
Allgemeine und gemeinsame Bestimmungen
3. Maßnahmenkatalog (Satz 2) 28 In Satz 2 der Anlage hat der Gesetzgeber einen Maßnahmenkatalog eingeführt, der einzelne Punkte im Rahmen der allgemeinen Organisationskontrolle nach Satz 1 auflistet. Der Katalog ist nicht abschließend und entspricht nach weit verbreiteter Ansicht nicht mehr den Anforderungen der modernen Technik. Aufgrund seiner – durchaus kritisierten – generalklauselartigen Formulierung ist er im Ansatz dennoch als Richtschnur anwendbar. Zu beachten ist, dass es nicht auf eine akribische Berücksichtigung jedes einzelnen Kontrollpunkts ankommt. Vielmehr kommt es darauf an, dass die Maßnahmen in ihrer Gesamtheit die Ausführung des Gesetzes nach § 9 Satz 1 gewährleisten. 29 Die Bezugnahme auf die Art der verwendeten Daten, womit der Grad an Sensibilität gemeint ist, verdeutlicht, dass auch die Anlage zu § 9 kein allgemeingültiges Maßnahmenkonzept darstellt1. Es kommt vielmehr auch hier auf den Einzelfall an. Trotz des dahin gehend irreführenden Wortlauts ist die Art bzw. Kategorie der verwendeten Daten nur einer von vielen Punkten, die im Rahmen der Auflistung nach § 9 Satz 2 zu berücksichtigen sind. a) Zutrittskontrolle (Nr. 1) 30 Die datenverwendende Stelle muss zunächst Maßnahmen ergreifen, die den Zutritt zu Datenverarbeitungsanlagen2 durch Unbefugte verhindern. Damit soll verhindert werden, dass auf die Datenverarbeitungsanlagen eingewirkt wird, um eine unkontrollierte Kenntnisnahme oder Verbreitung der Daten zu ermöglichen. 31 Unter „Zutritt“ ist die räumliche Annäherung bzw. der direkte Kontakt einer natürlichen Person zu verstehen3. Die Verhinderung des Zutritts wird in der Regel durch physische Schranken und Hindernisse (z.B. Türen, Mauern, Blenden, evtl. in Verbindung mit Zeitschlössern, Passwörter, biometrischen Verfahren oder Chipkarten) erreicht4. Auch der Ein1 Bergmann/Möhrle/Herb, § 9 BDSG Rz. 45. 2 Ausführlich zum Begriff der Datenverarbeitungsanlage in diesem Kontext Simitis/Ernestus, § 9 BDSG Rz. 72 ff. bzw. Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 45. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 36; Taeger/Gabel/ Schultze-Melling, § 9 BDSG Rz. 44; Gola/Schomerus, § 9 BDSG Rz. 22. 4 Ausführlich hierzu Simitis/Ernestus, § 9 BDSG Rz. 83; Däubler/Klebe/Wedde/ Weichert/Wedde, § 9 BDSG Rz. 38 f.; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 48.
352 Plath
Technische und organisatorische Maßnahmen
§ 9 BDSG
satz von Sichtschutzfolien (Polarisationsfolien) auf den verwendeten Bildschirmen ist als zutrittsverhindernde Maßnahme anzusehen1. „Unbefugt“ ist, wer zum in Frage stehenden Zeitpunkt nicht mit der konkret betroffenen Datenverarbeitungsanlage beschäftigt ist. Ausschlaggebend sind also Zeitpunkt, Tätigkeit und Zutrittsbereich einer Person2.
32
Bereits hier wird deutlich, dass die Anlage zu § 9 dem technischen Fortschritt nicht gefolgt ist. In einer Zeit, in der Daten nicht mehr ausschließlich in zentralen Rechenzentren, sondern (zumindest auch) am Arbeitsplatz, z.B. über Desktops, Laptops, Smartphones usw., verwendet werden, ist die Verhinderung einer räumlichen Annäherung unbefugter nicht zu bewerkstelligen3. Dies gilt insbesondere dann, wenn mit Publikumsverkehr zu rechnen ist, oder wenn die Verwendung der Datenverarbeitungsanlage im Wege des Fernzugriffs erfolgt. Der Schutz der Anlagen wird deshalb vielmehr durch Zugangs- und Zugriffskontrolle nach Nr. 2 und Nr. 3 des Maßnahmenkatalogs erreicht werden.
33
b) Zugangskontrolle (Nr. 2) Im Rahmen einer Zugangskontrolle muss die datenverarbeitende Stelle 34 gewährleisten, dass Unbefugte keine Möglichkeit zur Nutzung der Datenverarbeitungssysteme haben. Es geht hier also weniger um die räumliche Nähe zur Datenverarbeitungsanlage als um die Möglichkeit zur Einwirkung auf das Datenverarbeitungssystem4. Unbefugte5 sollen daran gehindert werden, von den Daten, die sich in der Datenverarbeitungsanlage befinden, Kenntnis zu erlangen, sie zu verarbeiten oder zu nutzen. Der Begriff „nutzen“ im Wortlaut der Nr. 2 ist also nicht im datenschutzrechtlichen Sinne des § 3 Abs. 5 zu verstehen, sondern umfasst vielmehr jeden Eingriff in den Prozess der Datenverwendung und damit auch in die technischen Systeme6. Typische Zugangskontrollmechanismen sind die Erfassung der berech- 35 tigten Mitarbeiter, die Begrenzung ihrer Anzahl sowie ihre Authentifizierung vor der Gewährung des Zugangs. Die technische Umsetzung er1 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 46. 2 Simitis/Ernestus, § 9 BDSG Rz. 78. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 42; Simitis/Ernestus, § 9 BDSG Rz. 70. 4 Simitis/Ernestus, § 9 BDSG Rz. 90; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 49; Gola/Schomerus, § 9 BDSG Rz. 23. 5 Zu diesem Begriff siehe oben Rz. 32. 6 So auch Simitis/Ernestus, § 9 BDSG Rz. 92 f.
Plath 353
BDSG § 9
Allgemeine und gemeinsame Bestimmungen
folgt in der Regel über passwortgeschützte Nutzeraccounts, Chipkarten, Identitätskontrollen, biometrische Verfahren, Schlüssel, usw.1. Ebenfalls denkbar ist die Erstellung von Zugangsprotollen, um zumindest im Nachhinein nachvollziehen zu können, wer wann Zugang zu welcher Anlage hatte2. Je nach Sensibilität der Daten müssen die Schutzmaßnahmen mehr oder weniger aufwendig erfolgen. 36 In diesem Zusammenhang ist die aus Kostengründen verbreitete Praxis der Fernwartung datenverarbeitender Systeme problematisch. Da die Mitarbeiter solcher Wartungsunternehmen im Wege des Fernzugriffs Zugang zu den personenbezogenen Daten bekommen können, müssen zwischen dem Auftraggeber und dem Wartungsunternehmen strenge Vereinbarungen bezüglich der Authentifizierung geschlossen werden. c) Zugriffskontrolle (Nr. 3) 37 Durch Maßnahmen der Zugriffskontrolle soll gewährleistet werden, dass nur berechtigte Personen im vorgesehenen Umfang auf die verwendeten Daten und die Datenverarbeitungsanlagen zugreifen können. Es geht also weniger darum, fremde Personen an einer Einwirkung auf die Daten zu hindern, als darum, die Grenzen der Berechtigung des einzelnen Mitarbeiters durchzusetzen3. Die Norm setzt damit denklogisch voraus, dass zuvor überhaupt eine Begrenzung der zugriffsberechtigten Personen und des Zugriffsumfangs im Rahmen eines Berechtigungskonzepts erfolgt4. 38 Der Begriff „Zugriff“ bezeichnet jede Form des Zugangs zu personenbezogenen Daten, der mit dem Ziel erfolgt, diese zu verwenden5. Er umfasst demnach über die reine Kenntnisnahme hinaus auch die Vervielfältigung, Veränderung, Löschung, Übermittlung und Speicherung der personenbezogenen Daten6. Die BDSG-fremde Terminologie „gelesen, kopiert […] oder entfernt“ ist nicht weiter von Bedeutung. 39 In der Praxis wird die Zugriffskontrolle im Regelfall durch die Unterteilung der verwendeten Daten in bestimmte Zuständigkeitsbereiche und 1 Ausführliche Beispiele für technische und organisatorische Maßnahmen bei Simitis/Ernestus, § 9 BDSG Rz. 97 f. 2 Simitis/Ernestus, § 9 BDSG Rz. 94. 3 So auch Simitis/Ernestus, § 9 BDSG Rz. 100. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 54; Taeger/Gabel/ Schultze-Melling, § 9 BDSG Rz. 55. 5 Vgl. Simitis/Ernestus, § 9 BDSG Rz. 103. 6 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 54.
354 Plath
Technische und organisatorische Maßnahmen
§ 9 BDSG
durch die Sicherung mittels Passwörtern oder anderen Kontrollmitteln bewerkstelligt1. d) Weitergabekontrolle (Nr. 4) Durch Maßnahmen der Weitergabekontrolle soll eine sichere Übermitt- 40 lung von personenbezogenen Daten gewährleistet werden. Dies betrifft sowohl die Beschränkung der Übermittlungsvorgänge und die Kontrolle der Übermittlungsbefugnis als auch die Sicherheit des Übermittlungsvorgangs selbst. Mit dem Begriff der „Weitergabe“ ist damit weitestgehend die Übermittlung gemäß § 3 Abs. 4 Nr. 3 gemeint, er umfasst aber darüber hinaus auch die unternehmensinterne Datenweitergabe sowie die Übermittlung im Rahmen der Auftragsdatenverarbeitung (§ 11)2. Auf die Art der Weitergabe (datenträgergebunden, über Funkverbindung oder über kabelgebundene Netzwerke) kommt es nicht an3. Die datenverarbeitende Stelle muss also zunächst den Übermittlungs- 41 vorgang selbst absichern. Es muss also verhindert werden, dass Unbefugte während des Übermittlungsvorgangs Kenntnis der personenbezogenen Daten erlangen können. Dieser Teil der Kontrollmaßnahme betrifft sowohl den sicheren physischen Transport von Datenträgern als auch die Sicherheit der digitalen Übertragungswege. Typische Kontrollund Absicherungsmechanismen sind die sorgfältige Auswahl des Transportpersonals, -wegs, -mittels und -behältnisses sowie sämtliche Verfahren der Verschlüsselung4 und der (elektronischen) Signatur5. Durch die technische Entwicklung hin zu tragbaren Datenträgern (Festplatten, USB-Sticks, Mikrochips, CD-ROMs usw.) und zur Integration von Speichermedien in tragbaren Geräten wie beispielsweise Handys, Smartphones und Laptops ist eine effektive Datenträgerkontrolle in der Praxis schwierig. Auch hier wird sich die verarbeitende Stelle durch die Implementierung von Arbeitsrichtlinien über den sicheren Umgang mit solchen Datenträgern weiterhelfen müssen. Darüber hinaus besteht die 1 Ausführlich hierzu Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 57; Simitis/ Ernestus, § 9 BDSG Rz. 108. 2 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 59. 3 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 58. 4 Zur Unverhältnismäßigkeit im Einzelfall der Anordnung einer Verschlüsselung von E-Mails durch den Datenschutzbeauftragten VG Berlin v. 24.5.2011 – VG 1 K 133.10, 1 K 133/10; s. hierzu auch unten Rz. 57 ff. 5 Ausf. hierzu Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 66 ff.; weitere Beispiele bei Gola/Schomerus, § 9 BDSG Rz. 25; Simitis/Ernestus, § 9 BDSG Rz. 126 f.; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 63.
Plath 355
42
BDSG § 9
Allgemeine und gemeinsame Bestimmungen
Möglichkeit zu einer Verschlüsselung der Daten bzw. zu einer Sperrung der Datenträger1. 43 Schließlich muss die datenverarbeitende Stelle dafür Sorge tragen, dass Datenübermittlungen grundsätzlich nur in einem vorgesehen Umfang durch befugte Personen vorgenommen werden. Zudem müssen erfolgte Übermittlungsvorgänge überprüfbar sein2. Ausreichend ist dabei die Möglichkeit einer Überprüfung des vorgesehenen Empfängers; eine Protokollierung aller Übermittlungsvorgänge und damit des tatsächlichen Empfängers ist nicht erforderlich3. Die diesbezüglichen Maßnahmen gleichen denen der Zugriffskontrolle. e) Eingabekontrolle (Nr. 5) 44 Durch Maßnahmen der Eingabekontrolle soll eine nachträgliche Überprüfung und Feststellung ermöglicht werden, ob, wann und durch wen personenbezogene Daten in Datenverarbeitungssysteme eingegeben bzw. dort verändert oder von dort entfernt worden sind. Es handelt sich also um die Möglichkeit einer Ex-post-Kontrolle, um im Nachhinein Vorgänge nachvollziehen zu können. Die Maßnahmen nach Nr. 5 bilden die direkte Weiterführung der Zugriffs- und Weitergabekontrolle nach Nr. 3 und Nr. 44. 45 Am ehesten wird die Einhaltung dieses Kontrollerfordernis durch die Implementierung automatischer oder manueller Protokollierungs- und Archivierungsmechanismen erfolgen5. Die Art der verwendeten Daten, der Umfang und Zweck der Datenverwendung sowie die Anzahl der umgangsberechtigten Personen sind ausschlaggebende Faktoren für die Frequenz und den Umfang der Protokollierungen. Entsprechende Programme lassen sich auch auf mobile Datenverarbeitungsanlagen installieren. 46 Dem Sicherheitsziel von Nr. 5 wird nur genügt, wenn die Eingabekontrolle in Form eines Protokolls über einen gewissen Zeitraum bestehen bleibt. Auch hier wird es auf die Umstände des Einzelfalls ankommen6. 1 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 70. 2 Simitis/Ernestus, § 9 BDSG Rz. 113. 3 Simitis/Ernestus, § 9 BDSG Rz. 116, der von diesem Grundsatz jedoch eine Ausnahme im Falle des Zugangs zu offenen Netzen vorsieht, § 9 BDSG Rz. 117; ebenso Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 62. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 77; Simitis/Ernestus, § 9 BDSG Rz. 129. 5 Ebenso Gola/Schomerus, § 9 BDSG Rz. 26. 6 Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 83.
356 Plath
Technische und organisatorische Maßnahmen
§ 9 BDSG
Durch die Einführung von Protokollierungsmaßnahmen erfolgt zugleich 47 auch eine Erfassung von Daten über die Beschäftigten, die wiederum selbst datenschutzrechtlichen Vorschriften unterliegen. Generell empfiehlt es sich deshalb, die Protokollierungen inhaltlich auf ein – mit Blick auf die Erforderlichkeit nach § 9 Satz 1 vertretbares – Minimum zu reduzieren. In der Tat bergen solche Protokolldaten die Gefahr der Durchführung einer u.U. arbeitsrechtlich unzulässigen Leistungs- oder Verhaltenskontrolle. Gegebenenfalls bestehen auch Mitwirkungspflichten des Betriebs- oder Personalrats nach § 87 Abs. 1 Nr. 6 BetrVG bzw. § 75 Abs. 3 Nr. 17 BPersVG1. f) Auftragskontrolle (Nr. 6) Die Auftragskontrolle nach Nr. 6 betrifft ausschließlich den Bereich der Auftragsdatenverarbeitung nach § 11. Es müssen also Maßnahmen getroffen werden, durch die gewährleistet wird, dass Daten nur entsprechend der Weisungen des Auftraggebers verwendet werden.
48
Adressaten dieser Maßnahme sind sowohl der Auftraggeber als auch der Auftragnehmer. Zu beachten ist, dass die Vorkehrungen nach Nr. 6 die allgemeinen Zulässigkeitsvoraussetzungen des § 11 flankieren. Auftraggeber und Auftragnehmer müssen also durch entsprechende Maßnahmen sicherstellen, dass die Vorgaben des § 11, die überhaupt erst eine Auftragsdatenverarbeitung rechtfertigen, tatsächlich berücksichtigt und umgesetzt werden. Dementsprechend unterliegen nur die Kontrollmaßnahmen, keinesfalls jedoch die Erlaubnistatbestandsvoraussetzungen des § 11 einer Verhältnismäßigkeitsabwägung nach § 9 Satz 2.
49
Der Auftraggeber muss also v.a. dafür sorgen, dass seine Weisungen 50 durch den Auftragnehmer tatsächlich umgesetzt werden. Denkbar sind die Durchführung von Stichproben, das (vertragliche), u.U. sogar strafbewährte Verbieten bestimmter Verwendungen oder ggf. die Einführung elektronischer Sperren. Der Auftragnehmer muss innerbetrieblich dafür sorgen, dass die Weisungen des Auftraggebers befolgt werden. Hier wird sich vielfach ein Rückgriff auf Zutritts-, Zugangs-, Zugriffs-, Weitergabe- und Eingabekontrolle nach Nr. 1–5 anbieten.
1 Ausf. hierzu Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 102 ff.
Plath 357
51
BDSG § 9
Allgemeine und gemeinsame Bestimmungen
g) Verfügbarkeitskontrolle (Nr. 7) 52 Durch Maßnahmen der Verfügbarkeitskontrolle soll die verarbeitende Stelle gewährleisten, dass die personenbezogenen Daten gegen zufällige Zerstörung oder Verlust geschützt werden. Da die verarbeitende Stelle in aller Regel ein außerordentliches Interesse an der Verfügbarkeit ihrer Daten haben wird, ist davon auszugehen, dass sich der datenschutzrechtlich gebotene Mindestschutzstandard nach der Anlage zu § 9 mit den Schutzmaßnahmen decken wird, die die Stelle im eigenen Interesse ohnehin treffen wird. 53 Die verwendeten Daten sollen zunächst vor „zufälliger Zerstörung“ geschützt werden. Damit werden unvorhergesehene Ereignisse bezeichnet, durch die gleichsam als Kollateralschaden eine Zerstörung der Daten erfolgt. Beispiele für solche Geschehnisse sind insbesondere Hard- oder Softwareausfälle, aber auch datenverarbeitungsfremde Ereignisse, die sich auf die automatisierte Verarbeitung auswirken, z.B. Stromausfälle, Brände, Wasserschäden oder Sabotage. Die verarbeitende Stelle muss also zum einen Maßnahmen treffen, um die Datenverarbeitungsanlagen vor solchen Einwirkungen zu schützen1. Darüber hinaus muss die verarbeitende Stelle auch dafür sorgen, dass der Eintritt eines unvorhergesehenen Ereignisses keinen endgültigen „Verlust“ der Daten nach sich zieht. In der Regel wird dieser Teil des Verfügbarkeitsschutzes durch die regelmäßige Erstellung von Backups oder Sicherheitskopien sowie durch die Implementierung redundanter Datenverarbeitungssysteme gewährleistet, durch die auch im Falle der (Zer)Störung von Hard- oder Software die Verfügbarkeit der Daten sichergestellt werden kann2. Bestandteil der Verfügbarkeitskontrolle ist letztlich auch die sichere Aufbewahrung der Backups selbst3. Die genauen Anforderungen an Maßnahmen der Verfügbarkeitskontrolle sind vom Einzelfall, insbesondere von der Sensibilität der verwendeten Daten abhängig4. h) Gebot der getrennten Verarbeitung (Nr. 8) 54 Gemäß Nr. 8 der Anlage zu § 9 muss die verantwortliche Stelle schließlich gewährleisten, dass Daten, die zu unterschiedlichen Zwecken erho1 Ausführlich zu den technischen Sicherungsmöglichkeiten Simitis/Ernestus, § 9 BDSG Rz. 156. 2 Simitis/Ernestus, § 9BDSG Rz. 158 f.; Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 95; Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 75. 3 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 77. 4 Vgl. Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 93.
358 Plath
Technische und organisatorische Maßnahmen
§ 9 BDSG
ben wurden, auch tatsächlich getrennt verarbeitet werden. Diese Maßnahme dient also weniger der Datensicherheit als dem effektiven Datenschutz, so dass sie aus dem systematischen Rahmen des § 9 herausfällt. Durch die Einführung technischer oder organisatorischer Maßnahmen 55 nach Nr. 8 der Anlage zu § 9 soll erreicht werden, dass sich der Grundsatz der Zweckbindung in der automatisierten Datenverarbeitung niederschlägt. Die verarbeitende Stelle muss also durch die Konzeption ihrer Datenverarbeitungssysteme gewährleisten, dass nur solche Daten gemeinsam verarbeitet werden, die auch zum gleichen Zweck erhoben wurden. Denkbar ist zunächst eine Trennung der technischen Systeme, z.B. durch die Verwendung unterschiedlicher Server. Angesichts der hohen Kosten, die hiermit verbunden sein können, ist in der Regel auch eine logische, prozessuale Trennung der Datenverwendung, z.B. durch eine Verarbeitung in unterschiedlichen Arbeitsschritten oder Zuständigkeiten, ausreichend1. Die verarbeitende Stelle muss zudem dafür sorgen, dass eine manuelle Aufhebung der Trennung, z.B. durch das Verschieben von Daten, nicht erfolgen kann. Die sicherste Methode, eine solche Manipulation zu verhindern, ist wohl eine Aufteilung der Zugriffsberechtigungen2. Besonders strenge Trennungsmaßnahmen wird der Auftragsdatenverarbeiter treffen müssen, der Daten verschiedener Auftraggeber verwendet (vgl. § 11)3. Darüber hinaus sind Maßnahmen nach Nr. 8 der Anlage zu § 9 auch in Konzernen von herausragender Bedeutung: Auch dann, wenn die Daten der Konzernunternehmen auf einem zentralen Server gespeichert werden, muss eine strenge Trennung der unterschiedlichen Datenkategorien gewährleistet werden, da das BDSG kein Konzernprivileg kennt.
56
4. Verschlüsselungsverfahren (Satz 3) Gemäß Satz 3 der Anlage zu § 9 sind die Zugangs-, Zugriffs- und Wei- 57 tergabekontrolle (Nr. 2, 3 und 4 der Anlage) insbesondere durch die Verschlüsselung der verwendeten personenbezogenen Daten zu gewährleisten. Durch diese explizite Konkretisierung der einzuführenden technischen und organisatorischen Maßnahmen soll den wachsenden
1 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 80; Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 98. 2 So z.B. Däubler/Klebe/Wedde/Weichert/Wedde, § 9 BDSG Rz. 98. 3 Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 81.
Plath 359
BDSG § 9a
Allgemeine und gemeinsame Bestimmungen
Gefahren begegnet werden, die den verwendeten Daten durch Hackerangriffe droht1. 58 Der Begriff der „Verschlüsselung“ wird im BDSG nicht definiert. Gemeinhin versteht man darunter jedoch ein Verfahren, durch das eine klar lesbare Information (der sog. Klartext) mithilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine nicht lesbare bzw. interpretierbare Zeichenabfolge umgewandelt wird. Die Information wird erst nach ihrer Entschlüsselung wieder als Klartext lesbar. Welche Art der Verschlüsselung (z.B. symmetrische oder asymmetrische) die datenverwendende Stelle anzuwenden hat, lässt der Wortlaut offen. Mit dem Zusatz „dem Stand der Technik entsprechend“ macht der Gesetzgeber jedoch deutlich, dass er durchaus hohe Anforderungen an die Verschlüsselung stellt2. Zugleich verpflichtet er die Stelle dazu, ihre Verschlüsselungsmechanismen in regelmäßigen Abständen zu überprüfen und ggf. der technischen Entwicklung anzupassen, da nur so ein effektiver Schutz gegen die innovativen Methoden der Hacker gewährleistet werden kann3. 59 Teilweise wird vertreten, dass – zumindest beim E-Mail-Verkehr – aus § 9 faktisch eine Verschlüsselungspflicht folgt. Der Einsatz von Verschlüsselungstechnologien sei heutzutage so unproblematisch, dass er grundsätzlich stets als verhältnismäßig, mithin also als verpflichtend anzusehen sei4. Gegen diese Ansicht spricht jedoch, dass eine Maßnahme, die unter den Vorbehalt der Verhältnismäßigkeit gestellt wird, nicht per se verpflichtend sein kann. Es steht der verantwortlichen Stelle damit grundsätzlich frei, sich für einen anderen, ebenso effektiven Schutz des E-Mail-Verkehrs zu entscheiden. In der Regel wird jedoch die Verschlüsselung tatsächlich das Mittel der Wahl darstellen. Datenschutzaudit
9a
1Zur
Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung 1 Ebenso Simitis/Ernestus, § 9 BDSG Rz. 165. 2 Ebenso Gola/Schomerus, § 9 BDSG Rz. 29a; zum Begriff „Stand der Technik“ vgl. Simitis/Ernestus, § 9 BDSG Rz. 171. 3 Ausführlicher zu der sich wandelnden Sicherheit von Verschlüsselungen Taeger/Gabel/Schultze-Melling, § 9 BDSG Rz. 85. 4 So z.B. Klett/Lee, CR 2008, 644 (646).
360 Plath
§ 9a BDSG
Datenschutzaudit
veröffentlichen. 2Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt. I. Einführung . . . . . . . . . . . . . . . .
1
II. Adressaten . . . . . . . . . . . . . . . .
6
III. Durchführung des Datenschutzaudits . . . . . . . . . . . . . . .
7
IV. Gütesiegel . . . . . . . . . . . . . . . . . 10 Schrifttum: Behrendt, Datenschutz in der Realität – Vier Jahre Datenschutzaudit in Schleswig-Holstein, DuD 2006, 20; Bizer, Bausteine eines Datenschutzaudits, DuD 2006, 5; Bräutigam/Sonnleithner, Stiftung Datenschutz – Ein Schritt in die richtige Richtung, AnwBl 2011, 240; Piltz/Schulz, Die Stiftung Datenschutz – moderner Datenschutz neu gedacht, RDV 2011, 117; Voßbein, Prüfstandards für den Datenschutz – Hilfe für den Datenschutzbeauftragten, DuD 2006, 713; Wagner, Bundesstiftung Datenschutz – Chancen? Grenzen!, RDV 2011, 229; Weichert, Datenschutz als Verbraucherschutz, DuD 2001, 264; Weichert, Datenschutz-Audit und -Gütesiegel im Medizinbereich, MedR 2003, 674.
I. Einführung § 9a schafft die Voraussetzungen für die Einführung eines Verfahrens 1 zur Untersuchung und Bewertung der Maßnahmen, die die verarbeitende Stelle zur Gewährleistung des Datenschutzes und der Datensicherheit getroffen hat (Datenschutzaudit). Die Vorschrift ergänzt die Regelungen des § 9, der die Einführung entsprechender technischer und organisatorischer Maßnahmen vorschreibt. Anstelle einer repressiven Sanktionierung von Verstößen gegen § 9 hat sich der Gesetzgeber also für einen präventiven Ansatz zur Durchsetzung der Datensicherheit entschieden. Dadurch soll verhindert werden, dass es überhaupt zu Verstößen gegen das BDSG – und damit zu einer Verletzung des Selbstbestimmungsrechts des Betroffenen – kommt. Der Gesetzgeber hat sich dabei bewusst gegen eine verpflichtende Vor- 2 abkontrolle und für eine Selbstregulierung durch die datenverarbeitende Stelle entschieden1. Der Anreiz für die verantwortliche Stelle, sich einer solchen freiwilligen Kontrolle zu unterziehen, liegt in der darin begründeten Möglichkeit der Imagepflege und Werbung: Gemäß Satz 1 soll die verarbeitende Stelle das Ergebnis der Prüfung veröffentlichen dürfen. In der Tat gilt das Thema Datenschutz und -sicherheit infolge einiger „Skandale“ als durchaus sensibel und ist in besonderem Maße der Aufmerksamkeit 1 Ausführlich Rz. 3 f.
hierzu
Däubler/Klebe/Wedde/Weichert/Weichert,
§ 9a
BDSG
Plath 361
BDSG § 9a
Allgemeine und gemeinsame Bestimmungen
der Medien und Verbraucher ausgesetzt. In einer Zeit, in der fast alle Vorgänge mit einer Verwendung personenbezogener Daten einhergehen, kann sich ein hoher Datensicherheitsstandard erheblich zugunsten der verarbeitenden Stelle auswirken und einen Wettbewerbsvorteil darstellen1. 3 § 9a verankert letztlich nur die Intention des Gesetzgebers, ein Auditverfahren im Bereich des Datenschutzrechts einzuführen. Die eigentliche normative Ausgestaltung soll gemäß Satz 2 spezialgesetzlich erfolgen, doch wurde dieses Vorhaben durch den Bundesgesetzgeber bis heute nicht umgesetzt2. Damit hat § 9a zurzeit einen rein deklaratorischen, programmatischen Charakter. 4 Lediglich in Schleswig-Holstein wurde in §§ 4 Abs. 2, 43 Abs. 2 LDSG SH ein einheitliches Auditverfahren eingeführt, dessen Anwendbarkeit sich jedoch auf solche Produkte oder Verfahren beschränkt, an deren Einsatz bzw. Durchführung öffentliche Stellen des Landes beteiligt sind3. Darüber hinaus wurde 2008 das europäische Datenschutzgütesiegel European Privacy Seal (EuroPriSe) eingeführt, durch das Produkte und Verfahren ausgezeichnet werden können, die mit dem europäischen Datenschutzrecht konform sind4. 5 Im Koalitionsvertrag 2009 wurde schließlich die Gründung einer Stiftung Datenschutz vereinbart. Diese soll sich am Vorbild der Stiftung Warentest orientieren und eine unabhängige Überprüfung von Produkten und Dienstleistungen im Hinblick auf ihre Datenschutzfreundlichkeit vornehmen5. Die Durchführung dieses Projekts zieht sich jedoch seitdem immer weiter in die Länge. Zuletzt erging am 28.6.2012 ein Beschluss der Bundesregierung über die zeitnahe Errichtung der Stiftung Datenschutz. 1 Simitis/Scholz, § 9a BDSG Rz. 3 ff.; Taeger/Gabel/Schultze-Melling, § 9a BDSG Rz. 2; Bergmann/Möhrle/Herb, § 9a BDSG Rz. 4; vgl. zur diesbezüglichen Kritik Gola/Schomerus, § 9a BDSG Rz. 4. 2 Ausführlich zum gescheiterten Entwurf eines Bundesdatenschutzauditgesetzes (BDSAuditG) Taeger/Gabel/Schultze-Melling, § 9a BDSG Rz. 8 ff.; Gola/Schomerus, § 9a BDSG Rz. 2; Simitis/Scholz, § 9a BDSG Rz. 41 ff. 3 Vgl. hierzu Simitis/Scholz, § 9a BDSG Rz. 20 ff.; Däubler/Klebe/Wedde/Weichert/Weichert, § 9a BDSG Rz. 8; Bergmann/Möhrle/Herb, § 9a BDSG Rz. 11 ff.; Gola/Schomerus, § 9a BDSG Rz. 14; Weichert, DuD 2001, 264 (268); Bizer, DuD 2006, 5 (7); Behrendt, DuD 2006, 20 ff.; zur Umsetzung dieses Verfahrens im medizinischen Bereich Weichert, MedR 2003, 674. 4 Däubler/Klebe/Wedde/Weichert/Weichert, § 9a BDSG Rz. 9; Simitis/Scholz, § 9a BDSG Rz. 9. 5 Ausführlich zu diesem Projekt Bräutigam/Sonnleithner, AnwBl 2011, 240 ff.; Piltz/Schulz, RDV 2011, 117; Wagner, RDV 2011, 229.
362 Plath
Datenschutzaudit
§ 9a BDSG
II. Adressaten Die Möglichkeit der Durchführung eines Datenschutzaudits besteht für 6 alle Stellen, die mit personenbezogenen Daten umgehen. Dabei kommt es nicht darauf an, ob die Stelle öffentlich oder nicht-öffentlich ist1. Unklar ist allerdings, ob sich § 9a ausschließlich an verantwortliche Stellen i.S.d. § 3 Abs. 7 richtet2. Der Wortlaut des § 9a ist diesbezüglich unklar. Gegen diese Ansicht spricht die dogmatische Nähe zu § 9, der sich nach h.M. an jede Stelle, die personenbezogene Daten verwendet, richtet3. Auch ist es angesichts des Normzwecks nach der hier vertretenen Ansicht nicht ersichtlich, warum sich nur verantwortliche Stellen zu einer freiwilligen Selbstkontrolle verpflichten können sollten. Vielmehr ist es im Sinne einer effektiven Prävention, die Möglichkeit zur Durchführung eines Auditverfahrens möglichst vielen Stellen anzubieten. Hierfür spricht nicht zuletzt auch die – durchaus systemfremde – Einbeziehung in den Adressatenkreis des § 9a von Anbietern von Datenverarbeitungssystemen und -programmen, die selbst keine Daten verarbeiten, sondern lediglich die technischen Voraussetzungen dafür liefern. III. Durchführung des Datenschutzaudits Gemäß Satz 1 soll die Durchführung des Datenschutzaudits durch unab- 7 hängige und akkreditierte Gutachter erfolgen, deren Zulassung gemäß Satz 2 durch ein Spezialgesetz geregelt werden soll4. Zu beachten ist, dass hierdurch keine Beschneidung der Befugnisse des betrieblichen Datenschutzbeauftragten bzw. der Aufsichtsbehörden erfolgen soll5. Idealer Weise sollten diese vielmehr in das Auditverfahren eingebunden werden6. Generell wird zwischen dem Produkt- und dem Verfahrens-Audit unterschieden7. Beim Produktaudit wird geprüft, ob bestimmte Produkte, die 1 Bergmann/Möhrle/Herb, § 9a BDSG Rz. 5. 2 So z.B. Simitis/Scholz, § 9a BDSG Rz. 31; Bergmann/Möhrle/Herb, § 9a BDSG Rz. 14. 3 Vgl. § 9 Rz. 5. 4 Zur Qualifizierung der Gutachter Simitis/Scholz, § 9a BDSG Rz. 36. 5 Vgl. Simitis/Scholz, § 9a BDSG Rz. 15 ff.; kritisch diesbezüglich Gola/Schomerus, § 9a BDSG Rz. 5, 9 ff. 6 Gola/Schomerus, § 9a BDSG Rz. 8; Bergmann/Möhrle/Herb, § 9a BDSG Rz. 19. 7 Ausführlich hierzu Däubler/Klebe/Wedde/Weichert/Weichert, § 9a BDSG Rz. 10 ff.
Plath 363
8
BDSG § 9a
Allgemeine und gemeinsame Bestimmungen
im Rahmen der Datenverarbeitung verwendet werden können, mit den Schutzstandards des BDSG konform sind. Auf diese Weise werden insbesondere Datenverarbeitungssysteme und -programme geprüft. Entsprechend richtet sich § 9a auch an die Anbieter solcher Produkte1. 9 Im Rahmen eines Verfahrensaudits wird hingegen überprüft, ob der Datenumgang durch die datenverarbeitenden Stellen selbst technisch und organisatorisch den Anforderungen des BDSG entspricht. Gegenstand der Untersuchung sind sowohl die verwendeten technischen Einrichtungen (insbesondere Hard- und Software) als auch das Datenschutzkonzept, also die technischen und organisatorischen Maßnahmen nach § 9, die interne Kontrolle, v.a. durch den betrieblichen Datenschutzbeauftragten, die Gewährleistung der Zweckbindung, des Grundsatzes der Datenvermeidung und -sparsamkeit nach § 3a, der Feststellung der Erforderlichkeit, usw.2. Das Verfahrensaudit ist auf Kontinuität ausgelegt und verlangt eine ständige Anpassung des Datenschutzstandards an technische und gesetzliche Veränderungen3. Teilweise wird vertreten, dass Gegenstand des Datenschutzaudits weniger die Einhaltung des gesetzlichen Mindeststandards als die darüber hinausgehende „Übergewährleistung“ des Datenschutzes sein sollte, da es erst dann gerechtfertigt sei, der verarbeitenden Stelle durch die Verleihung des Gütesiegels einen Wettbewerbsvorteil zu verschaffen4. Gegen diese Ansicht spricht jedoch, dass Sinn und Zweck des Gesetzes weniger die Auszeichnung besonders beflissener datenverarbeitender Stellen ist als die Einführung einer präventiven Kontrolle zur ex-ante-Vermeidung von Rechtsverstößen5. IV. Gütesiegel 10 Die Durchführung eines Datenschutzaudits soll nach dem Willen des Gesetzgebers durch die Vergabe entsprechender Zertifikate flankiert werden. Teilweise werden an der Sinnhaftigkeit der Einführung solcher Gütesiegel Zweifel laut. Dabei wird argumentiert, dass die Wirtschaft in all den Jahren, in denen der Bundesgesetzgeber es versäumt hat, das
1 2 3 4 5
Ausführlich zum Produktaudit Simitis/Scholz, § 9a BDSG Rz. 24 ff. Ausführlich zum Verfahrensaudit Simitis/Scholz, § 9a BDSG Rz. 28 ff. Simitis/Scholz, § 9a BDSG Rz. 30. Vgl. hierzu Gola/Schomerus, § 9a BDSG Rz. 7. So im Ergebnis auch Gola/Schomerus, § 9a BDSG Rz. 7 mit Verweis auf den Wortlaut der Norm.
364 Plath
Datenschutzaudit
§ 9a BDSG
Auditverfahren spezialgesetzlich zu regeln, weitgehend auch ohne entsprechende Zertifikate ausgekommen ist. Dagegen sprechen jedoch die Erfahrungen, die in anderen Bereichen (wie z.B. dem Umweltrecht)1 und mit bestehenden Gütesiegeln2 gesammelt wurden. Die steigende Verbreitung und Akzeptanz solcher zertifizierter Abzeichen deuten darauf hin, dass auch und gerade im besonders sensiblen Bereich des Datenschutzrechts von einer positiven Auswirkung von Gütesiegeln auf das Image und die Wettbewerbsfähigkeit der ausgezeichneten Stellen auszugehen ist. Vieles spricht also dafür, dass der somit geschaffene Anreiz eine freiwillige Selbstkontrolle durch die verarbeitenden Stellen befördern wird. Voraussetzung für die erfolgreiche Implementierung von Gütesiegeln ist 11 die Gewährleistung der Transparenz, Objektivität und Sicherheit des Prüfungsverfahrens3. Es muss also von vorneherein feststehen, was Gegenstand der Zertifizierung ist (sog. Target of Evaluation, ToE)4, welche Anforderungen an die Datenschutzkonformität von Produkten und Verfahren gestellt werden, welche Prüfungs- und Bewertungsmaßstäbe gelten und wie die Akkreditierung der Gutachter erfolgt. Ebenfalls muss die Geltungsdauer und die Reichweite des Gütesiegels festgelegt werden. All dies sollte der Bundesgesetzgeber gemäß Satz 2 spezialgesetzlich normieren, was jedoch bis heute nicht erfolgt ist. Diese Lücke füllen zunehmend private Anbieter von Datenschutzkon- 12 trollen sowie unternehmensinterne Audits, deren erfolgreiche Durchführung sogar mit entsprechenden Siegeln und Zertifikaten ausgezeichnet werden5. Ihre Akzeptanz wird jedoch wegen der fehlenden hoheitlichen Regulierung und Überprüfung dieser Verfahren häufig noch in Frage gestellt6. Die überprüfte Stelle kann erteilte Gütesiegel veröffentlichen, muss dies aber nicht. Ebenso wenig ist sie dazu verpflichtet, die Nichterteilung von Zertifikaten zu veröffentlichen7. Zu beachten ist schließlich, dass die Werbung mit einem fiktiven Gütesiegel oder die falsche Be-
1 Vgl. Bergmann/Möhrle/Herb, § 9a BDSG Rz. 3. 2 Z.B. mit dem Gütesiegel des unabhängigen Ladensdatenschutzzentrums Schleswig-Holstein und dem European Privacy Seal (EuroPriSe). 3 Vgl. Weichert, DuD 2001, 264 (268). 4 Däubler/Klebe/Wedde/Weichert/Weichert, § 9a BDSG Rz. 10. 5 Vgl. zum unternehmensinternen Audit Voßbein, DuD 2006, 713. 6 Vgl. Simitis/Scholz, § 9a BDSG Rz. 10; ebenso Weichert, DuD 2001, 264 (268). 7 Simitis/Scholz, § 9a BDSG Rz. 38.
Plath 365
13
BDSG § 10
Allgemeine und gemeinsame Bestimmungen
hauptung der behördlichen Genehmigung bzw. der Verleihung eines tatsächlich existierenden Zertifikats gemäß § 3 Abs. 3 UWG i.V.m. Nr. 4 des Anhangs zu § 3 Abs. 3 UWG einen Wettbewerbsverstoß darstellt1. Einrichtung automatisierter Abrufverfahren (1) 1Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten durch Abruf ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben oder Geschäftszwecke der beteiligten Stellen angemessen ist. 2Die Vorschriften über die Zulässigkeit des einzelnen Abrufs bleiben unberührt.
10
(2) 1Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. 2Hierzu haben sie schriftlich festzulegen: 1. Anlass und Zweck des Abrufverfahrens, 2. Dritte, an die übermittelt wird, 3. Art der zu übermittelnden Daten, 4. nach § 9 erforderliche technische und organisatorische Maßnahmen. 3Im öffentlichen Bereich können die erforderlichen Festlegungen auch durch die Fachaufsichtsbehörden getroffen werden. (3) 1Über die Einrichtung von Abrufverfahren ist in Fällen, in denen die in § 12 Abs. 1 genannten Stellen beteiligt sind, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit unter Mitteilung der Festlegungen nach Absatz 2 zu unterrichten. 2Die Einrichtung von Abrufverfahren, bei denen die in § 6 Abs. 2 und in § 19 Abs. 3 genannten Stellen beteiligt sind, ist nur zulässig, wenn das für die speichernde und die abrufende Stelle jeweils zuständige Bundes- oder Landesministerium zugestimmt hat. (4) 1Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an den übermittelt wird. 2Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. 3Die speichernde Stelle hat zu gewährleisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. 4Wird ein Gesamtbestand personenbezoge1 Ausführlicher hierzu Däubler/Klebe/Wedde/Weichert/Weichert, § 9a BDSG Rz. 6; Simitis/Scholz, § 9a BDSG Rz. 39.
366 Plath
Einrichtung automatisierter Abrufverfahren
§ 10 BDSG
ner Daten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes. (5) 1Die Absätze 1 bis 4 gelten nicht für den Abruf allgemein zugänglicher Daten. 2Allgemein zugänglich sind Daten, die jedermann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts, nutzen kann. I. Einführung . . . . . . . . . . . . . . . . 1. Normzweck und Inhalt . . . . . 2. Anwendungsbereich . . . . . . . .
1 1 5
II. Zulässigkeit des Abrufverfahrens (Abs. 1) . . . . . . . . . . . . 10 III. Gewährleistung von Kontrollmöglichkeiten (Abs. 2) . . 18
IV. Unterrichtung bei Beteiligung öffentlicher Stellen (Abs. 3). . . . . . . . . . . . . . . . . . . . 26 V. Verantwortlichkeit (Abs. 4) . . 28 VI. Allgemein zugängliche Daten (Abs. 5). . . . . . . . . . . . . . . . . . . . 31
Schrifttum: Engelien-Schulz, Einrichtung automatisierter Abrufverfahren – Zu den allgemeinen datenschutzrechtlichen Anforderungen für öffentliche Stellen des Bundes, VR 2011, 1.
I. Einführung 1. Normzweck und Inhalt § 10 regelt, unter welchen Voraussetzungen die Einrichtung automatisierter Abrufverfahren zulässig ist. § 10 ist vor dem Hintergrund zu sehen, dass auch das Abrufen von Daten einen Übermittlungsvorgang gemäß § 3 Abs. 4 Nr. 3b) darstellt.
1
Erfolgt der Abruf im Rahmen eines automatisierten Verfahrens, so ent- 2 steht dadurch ein erhöhtes Gefahrenpotenzial für die personenbezogenen Daten des Betroffenen: Nicht die verantwortliche Stelle, sondern der Empfänger veranlasst den Übermittlungsvorgang. Eine Überprüfung der Notwendigkeit der Datenübermittlung durch die verantwortliche Stelle ist im Rahmen des konkreten Abrufvorgangs kaum möglich1. Diesen Risiken versucht der Gesetzgeber durch die speziellen Zulässigkeitsanforderungen des § 10 zu begegnen.
1 Däubler/Klebe/Wedde/Weichert/Klebe, § 10 BDSG Rz. 3; Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 1.
Plath 367
BDSG § 10
Allgemeine und gemeinsame Bestimmungen
3 Zu beachten ist, dass § 10 nur die Einrichtung eines solchen automatisierten Verfahrens regelt und den automatisierten Datenabruf gesetzlich ermöglicht1. Die Norm dient dem Schutz der Interessen des Betroffenen im Vorfeld des eigentlichen Verwendungsverfahrens2. Aus Abs. 1 Satz 2 geht hervor, dass die Zulässigkeit des tatsächlichen Übermittlungsvorgangs sich nach § 4 Abs. 1 richtet. Das Gesetz ordnet damit bei Abrufverfahren eine zweistufige Prüfung an: (i) Zulässigkeit des Abrufverfahrens als solches nach § 10 sowie (ii) Zulässigkeit des einzelnen Abrufs nach § 4 Abs. 13. § 10 ist also keine eigenständige Erlaubnisnorm für die Verwendung personenbezogener Daten. 4 Voraussetzung für die Zulässigkeit der Einrichtung eines automatisierten Abrufverfahrens ist zunächst, dass die schutzwürdigen Interessen des Betroffenen gegenüber den Interessen der beteiligten Stellen an der Verfolgung ihrer Aufgaben und Geschäftszwecke nicht überwiegen (Abs. 1). Darüber hinaus müssen sowohl der Übermittler als auch der Empfänger gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann (Abs. 2). Öffentliche Stellen müssen darüber hinaus den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (vgl. §§ 22 ff.) über die Einrichtung eines automatisierten Abrufverfahrens unterrichten (Abs. 3). Die datenschutzrechtliche Verantwortung für die Zulässigkeit der Datenübermittlung trägt stets der Empfänger der Daten (Abs. 4). Vom Anwendungsbereich des § 10 sind lediglich allgemein zugängliche Daten, insbesondere offene Datenbanken, ausgenommen (Abs. 5). 2. Anwendungsbereich 5 § 10 richtet sich gleichermaßen an öffentliche wie auch an nicht-öffentliche Stellen. Adressaten der Norm sind dabei sowohl der Empfänger, der die Verantwortung für die Zulässigkeit einer im Wege des automatisierten Abrufs erfolgten Übermittlung trägt, als auch der Übermittler, der das Verfahren einrichtet. Der Gesetzgeber bezeichnet beide als „beteiligte Stellen“, vgl. Abs. 1 Satz 1 und Abs. 2 Satz 1. 6 Der automatisch erfolgende Abruf personenbezogener Daten muss zugleich eine Übermittlung i.S.d. § 3 Abs. 4 Nr. 3b darstellen, um den 1 Vgl. hierzu ausführlich Simitis/Ehmann, § 10 BDSG Rz. 1 f. 2 Vgl. Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 2. 3 Anschaulich Simitis/Ehmann, § 10 BDSG Rz. 39 ff.; Bergmann/Möhrle/Herb, § 10 BDSG Rz. 7; Däubler/Klebe/Wedde/Weichert/Klebe, § 10 BDSG Rz. 4; vgl. auch Engelien-Schulz, VR 2011, 1 (2).
368 Plath
Einrichtung automatisierter Abrufverfahren
§ 10 BDSG
Anwendungsbereich der Norm zu eröffnen1. Nicht der Fall ist dies beispielsweise bei der Weitergabe von Daten innerhalb eines Unternehmens oder im Rahmen einer Auftragsdatenverarbeitung gemäß § 112. Ebenfalls keine Übermittlung stellt der Abruf von personenbezogenen Daten durch den Betroffenen selbst dar3. Der Empfänger muss also „Dritter“ sein; er wird nach dem Übermittlungsvorgang selbst verantwortliche Stelle bezüglich der übermittelten Daten. Zu beachten ist, dass das BDSG kein Konzernprivileg kennt, so dass auch die Weitergabe von Daten zwischen verschiedenen Konzernunternehmen eine Übermittlung i.S.d. § 3 Abs. 4 Nr. 3 darstellt. Darüber hinaus ist § 10 auch nicht auf persönliche oder familiäre Abrufsysteme anwendbar, da die Verwendung von Daten durch nicht-öffentliche Stellen zu solchen privaten Zwecken gemäß § 1 Abs. 2 Nr. 3 gar nicht erst in den Anwendungsbereich des BDSG fällt. Grundsätzlich kann die verantwortliche Stelle auch einen Auftragsdatenverarbeiter i.S.d. § 11 zur Einrichtung eines automatisierten Abrufverfahrens beauftragen. In diesem Fall bleibt sie weiter für die Einhaltung der Voraussetzungen des § 10 verantwortlich4.
7
Das Gesetz unterscheidet in Abs. 4 zwischen dem Abruf einzelner Da- 8 ten, auch „Dialogverarbeitung“5, „sequenzieller Abruf“6 oder „Einzelabruf“7 genannt, und dem Abruf eines Gesamtbestands personenbezogener Daten, den der Gesetzgeber als „Stapelverarbeitung“ bezeichnet. Denkbar ist jedoch auch der Abruf mehrerer Daten aus einem Datenbestand oder auch nur von Teilen von Datensätzen8. In sämtlichen dieser Fälle ist der Anwendungsbereich der Norm eröffnet. Für den Fall der Einrichtung von Abrufverfahren mit Stellen, die sich 9 außerhalb der Bundesrepublik Deutschland befinden, sind die §§ 4b und 4c zu berücksichtigen, welche die Übermittlung personenbezogener Daten ins Ausland regeln.
1 Vgl. § 3 Rz. 39 ff.; Simitis/Ehmann, § 10 BDSG Rz. 8. 2 Ausführlich zum Abruf im Rahmen der Auftragsdatenverarbeitung Simitis/Ehmann, § 10 BDSG Rz. 20 ff. 3 Gola/Schomerus, § 10 BDSG Rz. 6. 4 Ebenso Engelien-Schulz, VR 2011, 1 (6). 5 Gola/Schomerus, § 10 BDSG Rz. 3. 6 Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 6. 7 Bergmann/Möhrle/Herb, § 10 BDSG Rz. 3. 8 Vgl. Simitis/Ehmann, § 10 BDSG Rz. 16.
Plath 369
BDSG § 10
Allgemeine und gemeinsame Bestimmungen
II. Zulässigkeit des Abrufverfahrens (Abs. 1) 10 Die Frage, ob die Einrichtung (und natürlich auch die Aufrechterhaltung) eines automatisierten Abrufverfahrens zulässig ist, richtet sich nach Abs. 1 Satz 1. Dabei ordnet das Gesetz eine Vorabkontrolle an: Die Zulässigkeitsprüfung nach Abs. 1 Satz 1 muss vor der Einrichtung des automatisierten Abrufverfahrens erfolgen1. 11 Der Begriff „automatisiertes Abrufverfahren“ wird in Abs. 1 als ein Verfahren zur „Übermittlung personenbezogener Daten durch Abruf“ definiert. Ein „Abruf“ liegt nur dann vor, wenn der Vorgang durch den Empfänger auf irgendeine Art und Weise initiiert wurde2. Das Verfahren ist „automatisiert“, wenn es elektronisch erfolgt, was heute der Regelfall ist3. Das häufigste automatisierte Abrufverfahren ist der Online-Abruf über eine Internetverbindung4. Unerheblich ist, ob die Daten direkt im Internet eingesehen werden können, oder ob eine automatisierte Übermittlung einzelner Daten, beispielsweise nach Ausfüllung eines entsprechenden Formulars, erfolgt. Voraussetzung ist lediglich, dass die abrufbaren Daten nicht i.S.d. Abs. 5 allgemein zugänglich sind. 12 Inhalt der Prüfungspflicht ist die Durchführung einer Abwägung zwischen den schutzwürdigen Interessen des Betroffenen einerseits sowie den Interessen der beteiligten Stellen nach dem Verhältnismäßigkeitsgrundsatz andererseits. Gegenstand der Prüfung ist allein die Frage, ob die geschäftlichen bzw. aufgabenbezogenen Interessen der beteiligten Stellen es rechtfertigen, anstelle einer „klassischen“ Übermittlung durch Datenweitergabe nach § 3 Abs. 4 Nr. 3a) eine Übermittlung im Wege des automatisierten Abrufs gemäß § 3 Abs. 4 Nr. 3b) durchzuführen. Es kommt also nicht darauf an, ob der jeweilige Übermittlungsvorgang selbst verhältnismäßig ist5. 13 Die Einrichtung des Abrufverfahrens ist verhältnismäßig, wenn sie geeignet, erforderlich und angemessen ist. Die Abwägung muss durch öf-
1 Simitis/Ehmann, § 10 BDSG Rz. 46. 2 Ebenso Bergmann/Möhrle/Herb, § 10 BDSG Rz. 3; Gola/Schomerus, § 10 BDSG Rz. 5; Simitis/Ehmann, § 10 BDSG Rz. 15; Engelien-Schulz, VR 2011, 1 (3). 3 Simitis/Ehmann, § 10 BDSG Rz. 31; Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 6. 4 Zum Begriff „Online-Verfahren“ kritisch Simitis/Ehmann, § 10 BDSG Rz. 36. 5 Vgl. Bergmann/Möhrle/Herb, § 10 BDSG Rz. 15.
370 Plath
Einrichtung automatisierter Abrufverfahren
§ 10 BDSG
fentliche Stellen im pflichtgemäßen Ermessen erfolgen1, und bei nichtöffentlichen Stellen zu einem sachgerechten Interessenausgleich führen2. Grundsätzlich kann ein automatisches Abrufverfahren auch zwischen öffentlichen und nicht-öffentlichen Stellen eingerichtet werden, wobei die übermittelnde öffentliche Stelle dann die Regelungen des § 16 für die Übermittlung von Daten an nicht-öffentliche Stellen beachten muss3. Maßstab für die Beurteilung der Interessen der beteiligten Stellen wird 14 in der Regel die zu erwartende Frequenz, Dringlichkeit, und Menge sowie das mutmaßliche Volumen der Übermittlungsvorgänge sein. Je häufiger, umfassender und eiliger die Übermittlungen voraussichtlich sein werden, desto eher wird die Einrichtung eines automatischen Abrufverfahrens verhältnismäßig sein4. Ebenso von Bedeutung ist die Höhe der finanziellen Mehrbelastung, die die Durchführung eines „klassischen“ Übermittlungsverfahrens im Wege der Datenweitergabe nach § 3 Abs. 4 Nr. 3a) mit sich bringen würde. Der Grad der Schutzwürdigkeit des Betroffenen wird sich dagegen maß- 15 geblich daran bemessen, wie gefährdend die Einrichtung eines automatisierten Verfahrens für dessen Daten wäre. Dabei muss insbesondere die Sensibilität der verwendeten Daten berücksichtigt werden. Allerdings muss im Gegenzug auch beachtet werden, dass ein solcher Vorgang nicht nur Gefahren birgt. Vielmehr kann der automatisierte Abruf für den Betroffenen auch eine Erleichterung darstellen, wenn er dadurch nicht mehr selbst Auskunft geben oder Ermittlungen in seinem Umfeld hinnehmen muss5. Ein Überwiegen der Betroffeneninteressen wird meist nur dann anzunehmen sein, wenn durch das automatische Abrufverfahren gegen gesetzliche Vorschriften, insbesondere des BDSG, verstoßen wird6. Dem Restrisiko, welches dadurch entsteht, dass eine Prüfung der Übermittlungsnotwendigkeit im Einzelnen nicht mehr möglich ist, wird durch die Kontrollauflagen der Abs. 2 und 3 begegnet.
1 Zur Einrichtung automatischer Abrufverfahren durch öffentliche Stellen, insbesondere ausführlich zu den Ermessenserwägungen Engelien-Schulz, VR 2011, 1 (2, 3). 2 Däubler/Klebe/Wedde/Weichert/Klebe, § 10 BDSG Rz. 6. 3 Engelien-Schulz, VR 2011, 1 (3). 4 Bergmann/Möhrle/Herb, § 10 BDSG Rz. 15; Däubler/Klebe/Wedde/Weichert/ Klebe, § 10 BDSG Rz. 7; Gola/Schomerus, § 10 BDSG Rz. 11. 5 Ebenso Bergmann/Möhrle/Herb, § 10 BDSG Rz. 16. 6 Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 10; Bergmann/Möhrle/Herb, § 10 BDSG Rz. 17.
Plath 371
BDSG § 10
Allgemeine und gemeinsame Bestimmungen
Im Regelfall wird also ein begründetes Interesse der beteiligten Stellen an der Einrichtung eines automatischen Abrufverfahrens gegenüber den schutzwürdigen Interessen des Betroffenen überwiegen. 16 Darüber hinaus setzt das BDSG – anders als einige Landesdatenschutzgesetze – nicht die Erteilung einer (behördlichen) Erlaubnis oder das Bestehen einer speziellen gesetzlichen Ermächtigungsgrundlage für die Einrichtung eines automatisierten Abrufverfahrens voraus1. Eine Ausnahme von diesem Grundsatz normiert allerdings Abs. 3, sobald Sicherheitsbehörden gemäß § 19 Abs. 32 bzw. § 6 Abs. 23 beteiligt sind. 17 Abs. 1 Satz 2 verdeutlicht die Entscheidung des Gesetzgebers für ein zweistufiges Verfahren der Zulässigkeitsprüfung. Die Zulässigkeit der zweiten Stufe, also des Übermittlungsvorgangs selbst, richtet sich somit nach den allgemeinen Zulässigkeitsvorschriften, insbesondere § 4 Abs. 1. III. Gewährleistung von Kontrollmöglichkeiten (Abs. 2) 18 Die beteiligten Stellen sind gemäß Abs. 1 nach Durchführung der gebotenen Abwägung frei in ihrer Entscheidung, ob sie ein automatisches Abrufverfahren einrichten wollen. Entscheiden sie sich dafür, so müssen sie jedoch nach Abs. 2 Satz 1 die Durchführung einer Zulässigkeitskontrolle durch die jeweils zuständige Kontroll- oder Aufsichtsbehörde gewährleisten können. Um also eine nachträgliche Überprüfung der Entscheidung nach Abs. 1 zu ermöglichen, verpflichtet der Gesetzgeber alle beteiligten Stellen dazu, bestimmte Punkte schriftlich festzulegen: 19 Nr. 1: Die verantwortliche Stelle muss Anlass und Zweck des Abrufverfahrens festhalten. Damit ist i.E. die Dokumentation derjenigen aufgaben- und geschäftsbezogenen Interessen der beteiligten Stelle gemeint, durch die im Rahmen der Abwägung nach Abs. 1 die Einrichtung des Verfahrens begründet wurde4. Ebenfalls muss die verantwortliche Stelle fest1 Bergmann/Möhrle/Herb, § 10 BDSG Rz. 8; Däubler/Klebe/Wedde/Weichert/ Klebe, § 10 BDSG Rz. 6. 2 Dies sind Verfassungsschutzbehörden, Bundesnachrichtendienst, Militärischer Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung. 3 Dies sind Staatsanwaltschaft und Polizei sowie öffentliche Stellen der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern. 4 Ebenso Däubler/Klebe/Wedde/Weichert/Klebe, § 10 BDSG Rz. 12.
372 Plath
Einrichtung automatisierter Abrufverfahren
§ 10 BDSG
halten, warum mit einer Zulässigkeit der einzelnen Abfragen zu rechnen ist1. Insgesamt sollte die Entscheidung für die Einrichtung des automatisierten Abrufverfahrens für Außenstehende nachvollziehbar sein. Nr. 2: Des Weiteren muss der „Dritte, an den übermittelt wurde“, also der Empfänger der Daten, schriftlich festgehalten werden. Die Angabe einer Empfängerkategorie, z.B. Auskunfteien, ist dabei nicht ausreichend. Vielmehr hat eine möglichst genaue Bezeichnung der Empfänger zu erfolgen2. Eine Ausnahme von diesem Grundsatz ist lediglich dann denkbar, wenn der Abruf ausschließlich und flächendeckend durch eine bestimmte Empfängerkategorie erfolgen wird3.
20
Nr. 3: Darüber hinaus muss dokumentiert werden, welche Art von Da- 21 ten durch das Abrufverfahren übermittelt werden sollen. Auch hier wird eine genaue Kategoriebezeichnung (z.B. „Name“, „Anschrift“, „Beruf“, „Familienstand“ usw.) erfolgen müssen. Darüber hinaus muss auch festgehalten werden, ob es sich bei den verwendeten Daten um „besondere Arten personenbezogener Daten“ gemäß § 3 Abs. 6, sog. sensible Daten, handelt4. Nr. 4: Schließlich müssen die beteiligten Stellen auch festhalten, wel- 22 che technischen und organisatorischen Maßnahmen sie zur Gewährleistung der Datensicherheit gemäß § 9 getroffen haben. Auch Abs. 2 betrifft nach der hier vertretenen Ansicht nur die Einrich- 23 tung des Abrufverfahrens und dient demnach nicht der Gewährleistung einer Kontrolle der einzelnen Übermittlungsvorgänge5. Die korrekte Dokumentation nach Abs. 2 ist konstitutive Voraussetzung für die Zulässigkeit der Einrichtung automatisierter Abrufverfahren6. Entsprechend sinnvoll ist es, die schriftliche Festlegung sorgsam, ausführlich und genau vorzunehmen. Die schriftliche Dokumentation muss vor der tatsächlichen Inbetrieb- 24 nahme des Abrufverfahrens erfolgen7. Die Auflistung des Abs. 2 Satz 2 1 Bergmann/Möhrle/Herb, § 10 BDSG Rz. 22. 2 Däubler/Klebe/Wedde/Weichert/Klebe, § 10 BDSG Rz. 13; Taeger/Gabel/ Schultze-Melling, § 10 BDSG Rz. 15. 3 Bergmann/Möhrle/Herb, § 10 BDSG Rz. 22. 4 So Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 15. 5 A.A. Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 13. 6 OLG Stuttgart v. 26.8.2002 – 1 Ss 230/02, NJW 2004, 83 (84); Däubler/Klebe/ Wedde/Weichert/Klebe, § 10 BDSG Rz. 11. 7 Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 13; Bergmann/Möhrle/Herb, § 10 BDSG Rz. 20.
Plath 373
BDSG § 10
Allgemeine und gemeinsame Bestimmungen
ist nach einhelliger Ansicht abschließend. Richtschnur für das tatsächliche Ausmaß und die Genauigkeit der Dokumentationspflicht muss allerdings stets die Möglichkeit einer effektiven Kontrolle sein1. 25 Die Dokumentation hat grundsätzlich durch die beteiligten verantwortlichen Stellen, also sowohl durch den Übermittler als auch durch den Empfänger der Daten, zu erfolgen. Eine Ausnahme hiervon normiert Abs. 2 Satz 3, wonach die Festlegungen auch durch die Fachaufsichtsbehörden erfolgen können, soweit ausschließlich öffentliche Stellen des Bundes am Abrufverfahren beteiligt sind2. IV. Unterrichtung bei Beteiligung öffentlicher Stellen (Abs. 3) 26 Sobald öffentliche Stellen des Bundes gemäß § 12 Abs. 1 an der Einrichtung des automatisierten Abrufverfahrens beteiligt sind, muss der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hierüber informiert werden, Abs. 3 Satz 1. Dabei sind ihm auch die Festlegungen nach Abs. 2 mitzuteilen. Die Unterrichtung ist allerdings keine Zulässigkeitsvoraussetzung. 27 Noch weiter gehen die Anforderungen, sobald Sicherheitsbehörden gemäß § 19 Abs. 3 (Verfassungsschutz, BND, Militärischer Abschirmdienst und u.U. andere Behörden des Bundesministeriums der Verteidigung) oder § 6 Abs. 2 (Staatsanwaltschaft, Polizei und u.U. öffentliche Stellen der Finanzverwaltung) am automatischen Abrufverfahren beteiligt sind: Als Ausnahme zu dem Grundsatz, wonach die beteiligten Stellen eigenverantwortliche über die Einrichtung eines automatisierten Abrufverfahrens entscheiden können, muss in diesen Fällen das zuständige Bundesoder Landesministerium vorab seine Zustimmung erteilen3. V. Verantwortlichkeit (Abs. 4) 28 Gemäß Abs. 4 Satz 1 trägt bei automatisierten Abrufverfahren der Empfänger die Verantwortung dafür, dass die jeweilige Übermittlung gemäß § 4 zulässig ist. Dadurch wird dem Umstand Rechnung getragen, dass der Übermittler bei automatisierten Verfahren keine oder nur eingeschränkte Möglichkeiten hat, für die datenschutzrechtliche Rechtmäßigkeit des einzelnen Übermittlungsvorgangs zu sorgen. 1 So im Ergebnis wohl auch Taeger/Gabel/Schultze-Melling, § 10 BDSG Rz. 17. 2 Vgl. Bergmann/Möhrle/Herb, § 10 BDSG Rz. 21. 3 Ausführlich hierzu Engelien-Schulz, VR 2011, 1 (4).
374 Plath
Einrichtung automatisierter Abrufverfahren
§ 10 BDSG
Die übermittelnde Stelle1 trifft jedoch gemäß Abs. 4 Satz 2 die Pflicht, die Zulässigkeit eines Abrufs zu überprüfen, sobald hierfür ein konkreter Anlass besteht (sog. Anlassprüfung)2. Darüber hinaus muss sie gemäß Abs. 4 Satz 3 als Mindestkontrollstandard ein Stichprobenverfahren einführen, das dazu geeignet ist, die Rechtmäßigkeit von Übermittlungen im Nachhinein zu überprüfen. Als die diesbezüglich sinnvollste Methode wird überwiegend eine Protokollierung des Abrufenden, des Zeitpunkts und der abgerufenen Daten bei einer Stichprobenquote von 5–10 % aller Abrufungsvorgänge angesehen3.
29
Eine Besonderheit bei der Zulässigkeitsüberprüfung normiert Abs. 4 30 Satz 4 für die sog. Stapelverarbeitung (batch processing). Bei diesem Verfahren erfolgt keine Verarbeitung der einzelnen Daten im Rahmen des Abrufs, sondern es wird eine Datengesamtheit als „Stapel“ an den Empfänger übermittelt und erst dann und dort ausgewertet bzw. verarbeitet. Im Falle einer solchen Stapelverarbeitung muss lediglich die Zulässigkeit der Übermittlung des Gesamtbestandes feststellbar und überprüfbar sein. Eine Überprüfung aller einzelnen Daten ist weder möglich noch notwendig4. Zu beachten ist auch hier, dass Abs. 4 keine Aussage dazu trifft, ob eine Stapelverarbeitung überhaupt zulässig ist, sondern nur, wie die Überprüfung der Zulässigkeit zu erfolgen hat. VI. Allgemein zugängliche Daten (Abs. 5) Abs. 5 nimmt allgemein zugängliche (personenbezogene) Daten vom Anwendungsbereich der Abs. 1–4 aus. Der Grund hierfür ist, dass die Regelung des § 10 der Gefahr eines missbräuchlichen Abrufs durch die Einrichtung automatischer Abrufverfahren begegnen will. Ein solcher ist bei Daten, die ohnehin durch jedermann eingesehen werden können, jedoch gar nicht erst möglich5.
31
Der Begriff der „allgemein zugänglichen Daten“ ist genauso auszulegen 32 wie im Rahmen des § 28 Abs. 1 Satz 1 Nr. 3, so dass auf die diesbezüglichen Ausführungen verwiesen werden kann6. Abs. 5 Satz 2 stellt darü1 In dem Wortlaut der Norm „speichernde Stelle“ ist ein Redaktionsfehler des Gesetzgebers zu sehen. 2 Bergmann/Möhrle/Herb, § 10 BDSG Rz. 35. 3 Ausführlich hierzu Bergmann/Möhrle/Herb, § 10 BDSG Rz. 37; Däubler/Klebe/ Wedde/Weichert/Klebe, § 10 BDSG Rz. 17. 4 Ausführlich hierzu Simitis/Ehmann, § 10 BDSG Rz. 117. 5 Simitis/Ehmann, § 10 BDSG Rz. 121; Engelien-Schulz, VR 2011, 1 (6 ff.). 6 Vgl. § 28 Rz. 75 ff.
Plath 375
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
ber hinaus klar, dass Daten auch dann allgemein zugänglich sind, wenn sie von jedermann nach vorheriger Anmeldung, Zulassung oder Entgeltzahlung eingesehen werden können. Zugangshindernisse sind also unerheblich, sobald sie von jedermann ohne weiteres überwunden werden können. Die Ausnahme des Abs. 5 betrifft insbesondere öffentlich zugängliche Datenbanken und Register wie z.B. das Vereinsregister und das Handelsregister1. Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (1) 1Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. 2Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.
11
(2) 1Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. 2Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
1 Ausführlich hierzu § 28 Rz. 75.
376 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 3Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. 4Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. 5Das Ergebnis ist zu dokumentieren. (3) 1Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. 2Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. (4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie § 44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für 1. a) öffentliche Stellen, b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist, die §§ 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder, 2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die §§ 4f, 4g und 38. (5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. I. Einführung . . . . . . . . . . . . . . . .
1
II. Anwendungsbereich . . . . . . . . 7 1. Sachlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . 7 2. Territorialer Anwendungsbereich . . . . . . . . . . . . . . . . . . . 10 a) Auftragnehmer im Ausland . . . . . . . . . . . . . . . . 11
b) Auftraggeber im Ausland . . 16 3. Zeitlicher Anwendungsbereich. . . . . . . . . . . . . . . . . . . . . . 19 4. Verhältnis zu den Erlaubnisnormen des BDSG . . . . . . . . . . 20 III. Auftragsverhältnis . . . . . . . . . . 21 1. Begriff des „Auftrags“ (Abs. 1 Satz 1) . . . . . . . . . . . . . . 21
Plath 377
BDSG § 11 2. Eigeninteresse des Auftragnehmers . . . . . . . . . . . . . . . . . . 3. Doppelfunktion des Auftragnehmers . . . . . . . . . . . . . . . . . . 4. Funktionsübertragung . . . . . . a) Call Center . . . . . . . . . . . . . b) Marktforschungsinstitute . c) Letter-Shops . . . . . . . . . . . . d) Outsourcing . . . . . . . . . . . .
Allgemeine und gemeinsame Bestimmungen
24 25 27 31 32 33 35
IV. Verantwortlichkeitsverteilung im Rahmen des Auftragsverhältnisses (Abs. 1 Satz 1) . . . . . . . . . . . . . . . . . . . . 39 V. Fallgruppen . . . . . . . . . . . . . . . 1. Konzerne . . . . . . . . . . . . . . . . . 2. Cloud Computing . . . . . . . . . . a) Rechtsnatur des Cloud Computings. . . . . . . . . . . . . b) Auslandsbezug beim Cloud Computing. . . . . . . . c) Kontrollpflichten und Weisungsgebundenheit beim Cloud Computing . . . d) Unterauftragsverhältnisse beim Cloud Computing . . . 3. Banken . . . . . . . . . . . . . . . . . . . a) Vereinbarkeit mit dem KWG. . . . . . . . . . . . . . . . . . . b) Vereinbarkeit mit dem StGB . . . . . . . . . . . . . . . . . . . 4. Versicherungen und Verrechnungsstellen. . . . . . . . . . . . . . . 5. Berufliche Geheimnisträger . . 6. Beschäftigungsverhältnisse . .
42 42 46 49 51
55 57 59 63 67 72 78 86
VI. Auswahl des Auftragnehmers (Abs. 2 Satz 1). . . . . . . . . . . . . . 90 VII. Beauftragung des Auftragnehmers (Abs. 2 Satz 2). . . . . . 95 VIII. Inhalt des Auftragsdatenverarbeitungsvertrages (Abs. 2 Satz 2). . . . . . . . . . . . . . 98
1. Gegenstand und Dauer des Auftrags (Nr. 1) . . . . . . . . . . . . . 2. Umfang, Art und Zweck der Verwendung, Art der Daten und Kreis der Betroffenen (Nr. 2). . . . . . . . . . . . . . . . . . . . . 3. Technische und organisatorische Maßnahmen (Nr. 3) . . . . . 4. Berichtigung, Löschung und Sperrung (Nr. 4) . . . . . . . . . . . . 5. Spezifische Pflichten des Auftragnehmers (Nr. 5) . . . . . . 6. Unterauftragsverhältnisse (Nr. 6). . . . . . . . . . . . . . . . . . . . . a) Deckungsgleiche Pflichten für Unterauftragnehmer . . . b) Unterauftragnehmer im Ausland . . . . . . . . . . . . . . . . 7. Kontrollrechte des Auftraggebers (Nr. 7) . . . . . . . . . . . . . . . 8. Mitteilungspflichten bei Verstößen (Nr. 8) . . . . . . . . . . . 9. Weisungsbefugnisse des Auftraggebers (Nr. 9) . . . . . . . . 10. Pflichten bei Beendigung des Auftrags (Nr. 10) . . . . . . . .
99
101 102 103 104 105 106 107 108 109 110 111
IX. Kontrolle des Auftragnehmers (Abs. 2 Satz 4) . . . . . . . . . 112 X. Durchführung des Auftrags (Abs. 3). . . . . . . . . . . . . . . . . . . . 1. Weisungsgebundenheit des Auftragnehmers (Abs. 3 Satz 1) . . . . . . . . . . . . . . . . . . . . 2. Hinweispflicht des Auftragnehmers (Abs. 3 Satz 2) . . . . . . 3. Gesetzliche Pflichten des Auftragnehmers (Abs. 4) . . . . .
115
115 116 118
XI. Prüfung und Wartung von Datenverarbeitungsanlagen (Abs. 5). . . . . . . . . . . . . . . . . . . . 121 XII. Rechtsfolgen/Sanktionen . . . . 125
Schrifttum: Becker/Nikolaeva, Das Dilemma der Cloud-Anbieter zwischen US Patriot Act und BDSG, CR 2012, 170; Bierekoven, Auftragsdatenverarbeitung in der Cloud, DGRI Handbuch 2010, 95; Bongen/Kremer, Probleme der Abwicklung
378 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
ärztlicher Privatliquidationen durch externe Verrechnungsstellen, NJW 1990, 2911; Bräutigam, § 203 StGB und der funktionale Unternehmensbegriff, CR 2011, 411; Conrad/Schneider, Einsatz von „privater IT“ im Unternehmen, ZD 2011, 153; Engels, Datenschutz in der Cloud – Ist hierbei immer eine Auftragsdatenverarbeitung anzunehmen?, K&R 2011, 548; Erd, Datenschutzrechtliche Probleme sozialer Netzwerke, NVwZ 2011, 19; Fisahn, Bankgeheimnis und informationelle Selbstbestimmung, CR 1995, 632; Freise, Erfahrungen mit der Umsetzung des neuen § 11 BDSG nach einem Jahr in: Taeger (Hrsg.), Digitale Evolution – Herausforderungen für das Informations- und Medienrecht, Tagungsband Herbstakademie 2010, Edewecht (OlWIR) 2010 S. 161; Gaul/Koehler, Mitarbeiterdaten in der Computer Cloud: Datenschutzrechtliche Grenzen des Outsourcings, BB 2011, 2229; Giesen, Zum Begriff des Offenbarens nach § 203 StGB im Falle der Einschaltung privatärztlicher Verrechnungsstellen, NStZ 2012, 122. Grapentin, Haftung und anwendbares Recht im internationalen Datenverkehr – EU-Standardvertragsklauseln und Binding Corporate Rules, CR 2011, 102; Heghmanns/ Niehaus, Outsourcing im Versicherungswesen und der Gehilfenbegriff des § 203 III 2 StGB, NStZ 2008, 57; Heidrich/Wegener, Sichere Datenwolke – Cloud Computing und Datenschutz, MMR 2010, 803; Heinrichs, Funktionsauslagerung (Outsourcing) bei Kreditinstituten, WM 2000, 1561; Hoenik/Hülsunk, Outsourcing im Versicherungs- und Gesundheitswesen ohne Einwilligung? MMR 2004, 788; Jahn/Palm, Outsourcing in der Kanzlei: Verletzung von Privatgeheimnissen?, AnwBl 2011, 613; Jandt/Roßnagel/Wilke, Outsourcing der Verarbeitung von Patientendaten – Fragen des Daten- und Geheimnisschutzes, NZS 2011, 641; Kort, Strafbarkeitsrisiken des Datenschutzbeauftragten nach § 203 StGB beim ITOutsourcing, insbesondere in datenschutzrechtlich „sichere“ Drittstaaten, NStZ 2011, 193; Lensdorf, Auftragsdatenverarbeitung in der EU/EWR und Unterauftragsdatenverarbeitung in Drittländern, CR 2010, 735; Lensdorf/Steger, IT-Compliance im Unternehmen, ITRB 2006, 206; Meyer/Steding, Outsourcing von Bankdienstleistungen: Bank- und datenschutzrechtliche Probleme der Aufgabenverlagerung von Kreditinstituten auf Tochtergesellschaften und sonstige Dritte, BB 2001, 1693; Moos, Die Entwicklung des Datenschutzrechts im Jahr 2010, K&R 2011, 145; Nägele/Jacobs, Rechtsfragen des Cloud Computings, ZUM 2010, 281; Niemann/Hennrich, Kontrolle in den Wolken?, CR 2010, 686; Otto, Strafrechtliche Konsequenzen aus der Ermöglichung der Kenntnisnahme von Bankgeheimnissen in einem öffentlich-rechtlichen Kreditinstitut durch Wartungsund Servicepersonal eines Computer-Netzwerks, Wistra 1999, 201; Pohle/Ammann, Über den Wolken … – Chancen und Risiken des Cloud Computings; Redeker, Datenschutz auch bei Anwälte – aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis, NJW 2209, 554; Rüpke, Das Anwaltsgeheimnis auf dem Prüfstand des Strafrechts – ein quasi-datenschutzrechtliches Missverständnis zu § 203 StGB?, NJW 2002, 2835; Scholz/Lutz, Standardvertragsklauseln für Auftragsverarbeiter und § 11 BDSG, CR 2011, 424; Schulz, Die (un-)Zulässigkeit von Datenübertragungen innerhalb verbundener Unternehmen, BB 2011, 2552; Schuster/Reichl, Cloud Computing & SaaS: Was sind die wirklich neuen Fragen? CR 2010, 38; Splittgerber/Rockstroh, Sicher durch die Cloud navigieren – Vertragsgestaltung beim Cloud Computing, BB 2011, 2179; Wanagas, Ein Jahr BDSG-Novelle II – Rückblick unter besonderer Berücksichtigung der Fragen der Auftragsdatenverarbeitung und der Informationspflichten, DStR 2010, 1908; We-
Plath 379
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
ber/Voigt, Internationale Auftragsdatenverarbeitung, ZD 2011, 74; Weichert, Datenschutz auch bei Anwälten?, NJW 2009, 550; Witzel, Organisatorische Pflichten beim Outsourcing im Bankenbereich – Die Besonderheiten von § 25a KWG im Überblick, ITRB 2006, 286.
I. Einführung 1 Die Regelung des § 11 ermöglicht es der verantwortlichen Stelle, Dritte mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu betreuen, ohne dass es dazu einer gesetzlichen Erlaubnis oder einer Einwilligung der Betroffenen bedarf. Praktische Relevanz entfaltet die Regelung u.a. im Bereich des Hostings von Daten durch externe Dienstleister (insbesondere beim Cloud Computing), im Bereich des Outsourcings (z.B. von IT-Systemen oder Geschäftsprozessen) sowie in allen sonstigen Fällen, in denen Dienstleister durch die verantwortliche Stelle damit beauftragt werden, personenbezogene Daten weisungsgebunden für diese zu verarbeiten. 2 Die Konstruktion der Auftragsdatenverarbeitung basiert auf dem gesetzlichen Kunstgriff des § 3 Abs. 8 Satz 3. Danach sind Personen und Stellen, die im räumlichen Anwendungsbereich der Norm als Auftragsdatenverarbeiter tätig sind, keine „Dritten“ i.S.d. BDSG. Daraus folgt, dass die Übertragung der Daten an einen solchen Auftragnehmer keine „Übermittlung“ i.S.d. BDSG darstellt mit der Konsequenz, dass die Übertragung der Daten sowie deren Verarbeitung und Nutzung durch den Auftragnehmer auch ohne Einwilligung oder gesetzliche Erlaubnis zulässig sind1. Damit handelt es sich bei der Regelung des § 11 auch nicht um einen Erlaubnistatbestand i.S.d. § 4 Abs. 1. Der Gesetzgeber betrachtet den Auftragnehmer im Falle der Auftragsdatenverarbeitung vielmehr als „verlängerten Arm“ des Auftraggebers und beide Parteien damit quasi als eine Einheit2. 3 Bei der Auftragsdatenverarbeitung bleibt der Auftraggeber als verantwortliche Stelle für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich (Abs. 1 Satz 1). Er kann sich also nicht durch Einschaltung eines Dienstleisters von dieser Pflicht befreien3. Allerdings eröffnet ihm die Regelung des § 11 die Möglichkeit zur Einschal1 Ähnlich Taeger/Gabel/Gabel, § 11 BDSG Rz. 3; Gola/Schomerus, § 11 BDSG Rz. 4; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 3; Simitis/Petri, § 11 BDSG Rz. 43; vgl. auch Scholz/Lutz, CR 2011, 424, 425. 2 Bergmann/Möhrle/Herb, § 11 BDSG Rz. 16. 3 Taeger/Gabel/Gabel, § 11 BDSG Rz. 3; Simitis/Petri, § 11 BDSG Rz. 48.
380 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
tung externer Dienstleister, die ihm ansonsten nach dem BDSG u.U. verwehrt wäre, weil es an einer Einwilligung fehlt und die gesetzlichen Erlaubnistatbestände im Einzelfall nicht eingreifen (vgl. § 4 Abs. 1). Dieses „Privileg“ der Auftragsdatenverarbeitung hat allerdings auch 4 seine Kehrseite. Denn das BDSG verpflichtet den Auftraggeber nicht nur zur sorgfältigen Auswahl und Überwachung des Auftragnehmers, sondern auch zur Einhaltung umfangreicher Mindestanforderungen bei der inhaltlichen Ausgestaltung des Auftragsdatenverarbeitungsvertrages (vgl. den sog. 10-Punkte-Katalog des Abs. 2 Satz 2 Nr. 1 bis 10). Über diese Verpflichtung soll nach der gesetzgeberischen Intention sichergestellt werden, dass die für den Auftraggeber geltenden Anforderungen auch bei der Einschaltung externer Dienstleister gewahrt werden1. Es hat sich jedoch gezeigt, dass diese Anforderungen viele Unternehmen in der Praxis überfordern. Während es etwa im Rahmen eines komplexen IT-Outsourcings selbstverständlich sein dürfte, dass die von dem Dienstleister zu erfüllenden Sicherheitsstandards detailliert geregelt werden, finden sich in der Praxis diverse Konstellationen, bei denen administrativer Aufwand und Ertrag in keinem angemessenen Verhältnis stehen. Wenn sich zwei Unternehmen z.B. im Bereich der Werbewirtschaft ad hoc oder testweise zu einer Kooperation zusammenfinden wollen, die eine Datenverarbeitung im Auftrag beinhaltet, sind sie gezwungen, den 10-Punkte-Katalog des Abs. 2 vollständig abzuarbeiten, vertraglich im Detail auszuformulieren und die Einhaltung dieser Anforderungen vor Beginn der Datenverarbeitung und danach regelmäßig zu kontrollieren und zu dokumentieren (vgl. Abs. 2 Satz 4 und 5). Bei Aufträgen mit geringem Volumen, die in der Praxis häufig allein auf Zuruf erfolgen, ist der Gesetzesverstoß damit bereits vorprogrammiert, denn nur wenige dieser Verträge dürften den strengen gesetzlichen Vorgaben genügen. Bei derartigen Konstellationen ist daher zu überlegen, ob die Zusammenarbeit nicht alternativ auf die Regelung des § 28 oder einen sonstigen Erlaubnistatbestand des BDSG gestützt werden kann, um den Anforderungen des § 11 und dem damit verbundenen administrativen Aufwand zu entgehen. Ein vergleichbares Phänomen zeigt sich im Bereich des Cloud Compu- 5 tings (siehe Rz. 55 unten). Auch hier stößt die Regelung des § 11 an ihre praktischen Grenzen, wenn der Auftraggeber z.B. verpflichtet sein soll, sich vor Ort – wie teilweise gefordert wird – von der Einhaltung der orga-
1 Taeger/Gabel/Gabel, § 11 BDSG Rz. 1.
Plath 381
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
nisatorischen und technischen Maßnahmen bei einem international agierenden Anbieter entsprechender Cloud Services zu überzeugen. 6 Im Ergebnis ist in diesem Bereich der Gesetzgeber gefordert, der Regelungen bereitzustellen hat, welche die Interessen der Wirtschaft einerseits und der Betroffenen andererseits in einen angemessenen und vor allem der technischen Entwicklung entsprechenden Ausgleich bringen. Solange jedoch keine entsprechende Neuregelung des § 11 verabschiedet worden ist, muss sich die Praxis an dem aktuellen Regelungstext messen lassen. II. Anwendungsbereich 1. Sachlicher Anwendungsbereich 7 Die Regelung des § 11 gilt sowohl für den öffentlichen wie auch für den nicht-öffentlichen Bereich1. 8 Die Anforderungen des § 11 gelten nicht, wenn die zu verarbeitenden Daten keine personenbezogenen Daten i.S.d. § 3 Abs. 1 darstellen. In diesem Fall findet das BDSG schon keine Anwendung (vgl. § 1 Abs. 1). Allerdings kann es in Zweifelsfällen, z.B. wenn IP-Adressen verarbeitet werden (zur Rechtsnatur von IP-Adressen vgl. § 3 Rz. 20) angezeigt sein, den Vertrag vorsorglich im Einklang mit den Vorgaben des § 11 auszugestalten, um Bußgelder und weitere negative Konsequenzen zu vermeiden. 9 Die Regelungen des § 11 sind darüber hinaus auch dann nicht einschlägig, wenn zwar personenbezogene Daten vorliegen, der Auftragnehmer jedoch keine Erhebung, Verarbeitung oder Nutzung dieser Daten vornimmt. Dies ist z.B. beim sog. „Server-Housing“ der Fall, also dem Fall, dass der verantwortlichen Stelle von dem „Auftragnehmer“ lediglich eine reine Rechenzentrumsfläche zur Verfügung gestellt wird, innerhalb derer sie ihre Server selbst betreibt und auf diesen die personenbezogenen Daten selbst verarbeitet2. 2. Territorialer Anwendungsbereich 10 In territorialer Hinsicht ist zu unterscheiden zwischen der Konstellation, bei der ein deutscher Auftraggeber seine Daten durch einen im Ausland ansässigen Auftragsdatenverarbeiter verarbeiten lässt, und der Kon1 So auch Gola/Schomerus, § 11 BDSG Rz. 2. 2 So im Ergebnis auch Gola/Schomerus, § 11 BDSG Rz. 8; Simitis/Petri, § 11 BDSG Rz. 33.
382 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
stellation, bei der der Auftraggeber selbst seinen Sitz im Ausland hat und sich eines deutschen Auftragnehmers bedient. a) Auftragnehmer im Ausland Soweit ein Auftragnehmer im Ausland von einem deutschen Auftraggeber im Wege der Auftragsdatenverarbeitung beauftragt werden soll, gilt folgende Unterscheidung1:
11
Erfolgt die Datenverarbeitung im Geltungsbereich der EG-Datenschutzrichtlinie, also in einem anderen Mitgliedstaat der EU oder einem anderen Vertragsstaat des EWR, ist eine Auftragsdatenverarbeitung nach Maßgabe des § 11 möglich, da nur in diesem Fall der Auftragnehmer als „Nicht-Dritter“ angesehen werden kann (vgl. § 3 Abs. 8)2.
12
Erfolgt die Datenverarbeitung hingegen in einem Drittstaat außerhalb 13 der genannten Gebiete, findet § 11 grundsätzlich keine Anwendung3. Dies ergibt sich im Umkehrschluss aus § 3 Abs. 8, wonach Stellen außerhalb der EU bzw. des EWR grundsätzlich als „Dritte“ anzusehen sind4. Damit wird durch § 3 Abs. 8 die Auftragsdatenverarbeitung nur für die genannten Gebiete privilegiert. Eine Übertragung von Daten an Unternehmen in außereuropäische Drittstaaten stellt dagegen grundsätzlich eine Übermittlung dar und ist demnach nur im Rahmen der allgemeinen Erlaubnistatbestände möglich. Wegen der Einzelheiten wird auf die Kommentierung zu § 4b verwiesen, dort Rz. 16. Unter Umständen kann jedoch eine Berücksichtigung der Kriterien des § 11 für die Zulässigkeit einer Übermittlung nach § 28 ausschlaggebend sein5. Fraglich ist allerdings, ob in analoger Anwendung des § 3 Abs. 8 eine 14 Datenverarbeitung im nicht-europäischen Ausland ausnahmsweise gleichwohl zulässig sein kann6. Der teleologische Hintergrund dieser Norm liegt darin, die Privilegierung des § 11 nur dann zuzulassen, wenn der Sicherheits- und Schutzstandard der EG-Datenschutzrichtlinie gewährleistet ist (vgl. § 4b Abs. 3), was in den EU- und EWR-Mitgliedstaa1 Zu Unterauftragsverhältnissen zwischen dem Auftragnehmer und einem weiteren Unterauftragnehmer siehe Rz. 105 ff. 2 So auch Gola/Schomerus, § 11 BDSG Rz. 16; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 14; Weber/Voigt, ZD 2011, 74, 75. 3 Taeger/Gabel/Gabel, § 11 BDSG Rz. 25; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 15; Simitis/Petri, § 11 BDSG Rz. 8. 4 Scholz/Lutz, CR 2011, 424, 425. 5 Vgl. auch Gola/Schomerus, § 11 BDSG Rz. 16. 6 So zutreffend Weber/Voigt, ZD 2011, 74, 77 f.
Plath 383
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
ten kraft Gesetzes der Fall ist. Im Hinblick auf diesen Sinn und Zweck scheint es nach der hier vertretenen Ansicht jedoch gerechtfertigt, eine Auftragsdatenverarbeitung im nicht-europäischen Ausland in Abweichung vom zuvor dargestellten Grundsatz dann als zulässig anzusehen, wenn die Einhaltung des Schutzniveaus der EG-Datenschutzrichtlinie anderweitig garantiert ist. Dies sollte insbesondere dann der Fall sein, wenn eine Zertifizierung des Auftragnehmers, z.B. nach dem Safe-Harbour-Prinzip vorliegt (ausführlich hierzu § 4b Rz. 30 ff.), oder eine Verwendung der Standardvertragsklauseln der EU-Kommission1 vereinbart ist2. Zu beachten ist, dass die EU-Kommission einige Drittstaaten (u.a. Argentinien, Kanada und die Schweiz) als „sicher“ eingestuft hat, mit der Folge, dass eine Datenübermittlung in diese Länder grundsätzlich zulässig ist3. 15 Maßgeblich ist bei der Auftragsdatenverarbeitung im Ausland grundsätzlich, wo die tatsächliche Handlung erfolgt, also z.B., wo der Server installiert ist, auf dem die Datenverarbeitung vorgenommen wird. Irrelevant ist es dagegen, wo der Auftragnehmer seinen Sitz hat4. Dies folgt ebenfalls aus dem Wortlaut des § 3 Abs. 8, der an dem Ort der Erhebung, Verarbeitung und Nutzung anknüpft5. Dies kann zu Problemen führen, wenn der Auftragnehmer verschiedene Rechenzentren betreibt, die in unterschiedlichen Ländern belegen sind. Befinden sich sämtliche dieser Rechenzentren innerhalb der EU bzw. des EWR, so ist den Anforderungen des § 11 insoweit genüge getan. Befinden sich einzelne der Rechenzentren jedoch in einem Drittland, bedarf es entweder einer vertraglichen Beschränkung auf die Datenverarbeitung allein innerhalb der in der EU bzw. des EWR belegenen Rechenzentren, oder die Parteien ergreifen eine der in vorstehender Rz. 14 dargestellten Maßnahmen.
1 Beschluss der EU-Kommission vom 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländer nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, Nr. 2010/87/EU, K(2010) 593, ABl. L 39 vom 12.2.2010, S. 5; ausführlich hierzu Grapentin, CR 2011, 102, 103 f. sowie Moos, K&R 2011, 145, 147. 2 Ebenso Leupold/Glossner/Stögmüller, Anwaltshandbuch IT-Recht, Teil 5 Rz. 354; Weber/Voigt, ZD 2011, 74, 75; so im Ergebnis auch Erd, NVwZ 2011, 19, 21; vgl. auch Schulz, BB 2011, 2552, 2554 f. bezüglich der Ermöglichung eines konzerninternen Datenumgangs; a.A. Scholz/Lutz, CR 2011, 424, 427 f. 3 Vgl. § 4b Rz. 29; Bierekoven, DGRI Jahrbuch 2010, 95, 102. 4 Taeger/Gabel/Gabel, § 11 BDSG Rz. 25. 5 Simitis/Dammann, § 3 BDSG Rz. 230; Schaffland/Wiltfang, § 3 BDSG Rz. 91.
384 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
b) Auftraggeber im Ausland Befindet sich der Sitz des Auftraggebers im Ausland, stellt sich stets die 16 Frage, ob deutsches Recht und damit § 11 anzuwenden ist, wenn der Auftragnehmer im Inland tätig wird. Maßgeblich ist insoweit ebenfalls nicht der Sitz des Auftragnehmers, sondern ob die Erhebung, Verarbeitung oder Nutzung in Deutschland stattfindet (siehe oben Rz. 15). Grundsätzlich richtet sich die Anwendbarkeit des BDSG nach § 1 Abs. 5. Nach Satz 1 dieser Vorschrift hängt es zunächst davon ab, ob sich der Sitz einer verantwortlichen Stelle (hier der Auftraggeber) innerhalb oder außerhalb des EWR befindet. Hat der Auftraggeber seinen Sitz in einem Drittstaat, der nicht Vertrags- 17 staat des EWR ist, findet das deutsche Recht grundsätzlich Anwendung, sobald der Auftraggeber personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt, § 1 Abs. 5 Satz 2. Erteilt er zu diesem Zweck einen Auftrag an einen die Daten in Deutschland verarbeitenden oder nutzenden Dienstleister, unterliegt dieser Auftrag folglich zwar der Privilegierung, aber auch den Anforderungen des § 111. Anders liegt es dagegen, wenn sich der Sitz des Auftraggebers innerhalb 18 des EWR befindet. In diesen Fällen muss gemäß § 1 Abs. 5 Satz 1 zunächst danach differenziert werden, ob die Datenverarbeitung durch eine in Deutschland ansässige Niederlassung erfolgt. Nur in diesem Fall findet deutsches Recht Anwendung, § 1 Abs. 5 Satz 1 Halbs. 2. Damit kann ein im EWR Ausland sitzender Auftraggeber beeinflussen, ob deutsches Recht Anwendung findet oder nicht. Erteilt er den Auftrag zur Datenverarbeitung über eine Niederlassung in Deutschland, unterliegt der Auftrag dem BDSG. Erteilt er den Auftrag vom Hauptsitz des Unternehmens aus, ist auf den Auftrag das Recht des jeweiligen Mitgliedsbzw. Vertragsstaats anzuwenden. Zu den Besonderheiten i.R.d. Cloud Computings vgl. Rz. 51 ff. Im Übrigen wird auf die Kommentierung zu § 1 Abs. 5 verwiesen (§ 1 Rz. 45 ff.). 3. Zeitlicher Anwendungsbereich Der 10-Punkte-Katalog wie auch einige weitere Verschärfungen sind im Rahmen des BDSG 2009 in das Gesetz aufgenommen worden. Damit einhergehend wurden in § 43 Abs. 1 Nr. 2b Bußgeldtatbestände für den Fall der schuldhaften Verletzungen bestimmter Pflichten im Zusammenhang mit der Beauftragung des Auftragnehmers eingeführt. Dies hat 1 So auch Gola/Schomerus, § 11 BDSG Rz. 16a.
Plath 385
19
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
zu der Frage geführt, ob die Neuregelung des BDSG 2009 auch für Altverträge gilt, die vor dem Inkrafttreten der Novellierung zum 1.9.2009 geschlossen worden sind. Da das Gesetz keine Rückwirkungs- bzw. Übergangsregelung vorsieht, ist nach der hier vertretenen Auffassung davon auszugehen, dass keine Pflicht zur Anpassung von Altverträgen besteht. Teilweise wird jedoch empfohlen, Altverträge vorbeugend der neuen Rechtslage anzupassen1. Werden solche Verträge allerdings neu geschlossen oder durch aktives Handeln verlängert oder werden unter bestehenden Rahmenverträgen neue Einzelaufträge abgeschlossen, sind die Anforderungen des § 11 in der Fassung des BDSG 2009 zu beachten2. 4. Verhältnis zu den Erlaubnisnormen des BDSG 20 Fraglich ist schließlich, ob im Fall einer „missglückten“ Auftragsdatenverarbeitung der Rückgriff auf die allgemeinen Erlaubnisnormen des BDSG zulässig bleibt. Denkbar ist diese Konstellation z.B. dann, wenn die Parteien beabsichtigten, die Übermittlung von personenbezogenen Daten an einen Dienstleister im Wege der Auftragsdatenverarbeitung zu regeln, es jedoch an einer wirksamen Auftragsdatenverarbeitung mangelt, da bestimmte Anforderungen des § 11 wie z.B. die formale Festlegung der organisatorischen und technischen Maßnahmen nach § 9 BDSG nicht eingehalten worden sind. Nach der hier vertretenen Ansicht ist in diesen Fällen durchaus ein Rückgriff auf die allgemeinen Erlaubnistatbestände, insbesondere also auf § 28 möglich, soweit deren Voraussetzungen vorliegen. Denn die Übermittlungsbefugnisse des BDSG sind grundsätzlich nicht an die Einhaltung bestimmter Formerfordernisse gekoppelt, sondern greifen immer dann ein, wenn die Übermittlung der Daten an den Empfänger von dem Tatbestand der jeweiligen Erlaubnisnormen gedeckt ist. III. Auftragsverhältnis 1. Begriff des „Auftrags“ (Abs. 1 Satz 1) 21 Erforderlich für die Anwendbarkeit des § 11 ist eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. Der Begriff des „Auftrags“ ist im weitesten Sinne zu verstehen, er ist also insbeson-
1 Gola/Schomerus, § 11 BDSG Rz. 17. 2 So auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 6.
386 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
dere nicht auf Auftragsverhältnisse i.S.d. §§ 662 ff. BGB beschränkt1. In Betracht kommen insbesondere Dienst- und Werkverträge, aber auch alle sonstigen Vertragsformen. Eine Bezeichnung des Vertrages als „Auftragsdatenverarbeitungsvertrag“ ist nicht notwendig. Erforderlich für einen „Auftrag“ i.S.d. § 11 ist, dass der Auftraggeber den 22 Auftragnehmer damit betraut, die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durchzuführen2. Wie die Wahl der Verknüpfung „oder“ in Abs. 1 Satz 1 zeigt, muss der Auftragnehmer nicht sämtliche der vorgenannten Tätigkeiten übernehmen. Es reicht also, wenn der Auftragnehmer z.B. allein für die Verarbeitung der Daten zuständig ist, während die Erhebung durch den Auftraggeber oder einen weiteren Auftragnehmer erfolgt3. Eine Erheblichkeitsschwelle kennt der § 11 nicht. Die Regelungen zur 23 Auftragsdatenverarbeitung kommen also auch dann zur Anwendung, wenn lediglich im geringen Umfang personenbezogene Daten verarbeitet werden oder die Beauftragung zeitlich begrenzt ist4. Allerdings ist insbesondere die Frage des Volumens und der Bedeutung der bei der Datenverarbeitung anfallenden personenbezogenen Daten bei der Ausgestaltung des Auftragsverhältnisses zu berücksichtigen. So kann davon ausgegangen werden, dass z.B. in Fällen eines nur geringen Volumens an Daten von eher untergeordneter Bedeutung das Risiko eines Missbrauchs geringer sein dürfte, als etwa bei hochsensiblen Bankdaten eines international vernetzten Konzerns. Insofern sind in den Fällen der weniger bedeutsamen Daten von geringfügigen Umfang nach der hier vertretenen Ansicht auch geringere Anforderungen an die Auswahl des Auftragnehmers und die zu treffenden organisatorischen und technischen Maßnahmen zu stellen. 2. Eigeninteresse des Auftragnehmers Fraglich ist, ob ein Eigeninteresse des Auftragnehmers an der Durchführung des Auftrages eine wirksame Auftragsdatenverarbeitung aus1 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 17; Gola/Schomerus, § 11 BDSG Rz. 6; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 8. 2 So auch Gola/Schomerus, § 11 BDSG Rz. 7. 3 So im Ergebnis auch Gola/Schomerus, § 11 BDSG Rz. 7, Däubler/Klebe/Wedde/ Weichert/Wedde, § 11 BDSG Rz. 8; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 9; Simitis/Petri, § 11 BDSG Rz. 12. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 5; a.A. Schaffland/ Wiltfang, § 11 BDSG Rz. 3, wonach bei lediglich gelegentlicher Datenverarbeitung für Dritte eine Ausnahme zu machen sei.
Plath 387
24
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
schließt. Dagegen könnte eingewandt werden, dass es der Rechtsnatur der – weisungsgebundenen – Auftragsdatenverarbeitung zuwider läuft, wenn der Auftragnehmer selber daran interessiert ist, dass die Daten in bestimmter Art und Weise verarbeitet werden. Nach richtiger Ansicht1 ist ein solches Eigeninteresse jedoch nicht schädlich, denn der Gesetzeswortlaut gibt hierfür keine Anhaltspunkte. Überdies liegt es auch in der Natur der Sache, dass der Auftragnehmer in der Regel ein zumindest finanzielles Interesse an der Durchführung des Auftrags hat. Freilich darf das Eigeninteresse des Auftragnehmers nicht dem Weisungsrecht des Auftraggebers zuwiderlaufen, da Letzteres für eine wirksame Auftragsdatenverarbeitung erforderlich ist (vgl. Abs. 3). 3. Doppelfunktion des Auftragnehmers 25 Denkbar ist auch eine Konstellation, bei der die Datenverarbeitung nur zum Teil im Auftrag erfolgt, während die Daten des Auftraggebers von dem Auftragnehmer zudem auch für weitergehende Zwecke genutzt werden. Unkritisch ist dies, wenn dabei unterschiedliche Datensätze eines Auftraggebers genutzt werden2. In diesem Fall gelten für die im Auftrag verarbeiteten Daten die Regelungen des § 11, während sich die Verarbeitung und Nutzung der sonstigen Daten nach den allgemeinen Erlaubnisnormen des BDSG richtet. Möglich ist es aber auch, dass ein und derselbe Datensatz zum Teil im Auftrag und zum Teil im Rahmen der allgemeinen Zulässigkeitsvoraussetzungen genutzt wird. So ist es z.B. denkbar, dass ein Dienstleister im Rahmen eines Auftrags weisungsfreie Entscheidungen für seinen Auftraggeber treffen darf und soll, z.B. hinsichtlich der Frage, ob ein Antragsteller als neuer Kunde akzeptiert werden soll, wohingegen er bei der weiteren Kundenbetreuung weisungsgebunden als Call Center des Auftraggebers fungiert. Auch bei dieser Konstellation unterliegt der Auftragnehmer den Regelungen des § 11, soweit seine Tätigkeit als Auftragsdatenverarbeiter betroffen ist, und den allgemeinen Zulässigkeitsregelungen, soweit seine Tätigkeit als weisungsfreier Dienstleister betroffen ist. Beide Regelungen kommen also nebeneinander jeweils für die von ihnen betroffene Tätigkeit zur Anwendung. Fraglich ist dann jedoch, welche Folgen es hat, wenn der Dienstleister nach den Regelungen des Auftragsdatenverarbeitungsvertrages nicht mehr zur Verwendung der im Auftrag verarbeiteten Daten berechtigt sein soll. Nach der hier vertretenen Ansicht bleibt in diesem Fall der Dienstleister zur weiteren Verarbeitung und Nutzung der 1 So etwa Gola/Schomerus, § 11 BDSG Rz. 7a. 2 So auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 21.
388 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
Daten auf Grundlage der allgemeinen Zulässigkeitsvoraussetzungen berechtigt. Er ist allerdings nicht mehr berechtigt und verpflichtet, die entsprechenden Daten im Rahmen der weisungsgebunden Auftragstätigkeit gemäß § 11 zu nutzen. Wenig praktikabel erscheint demgegenüber die Auffassung, die nach der 26 überwiegenden Zweckbestimmung fragt, wenn sich die mit der Verarbeitung verbundenen Zwecke nicht sauber trennen lassen1. Nach der hier vertretenen Ansicht lässt sich diese Sichtweise nur schwer mit dem Modell der Auftragsdatenverarbeitung vereinbaren. Denn wenn der Auftragnehmer einerseits berechtigt sein soll, bestimmte Tätigkeiten weisungsfrei durchzuführen, andererseits aber an die Weisungen des Auftraggebers gebunden sein soll, so dürfte es insgesamt an der erforderlichen Weisungsgebundenheit fehlen, wenn sich die beiden Bereiche nicht hinreichend voneinander trennen lassen (z.B. weil dieselben Datensätze für beide Zwecke genutzt werden). In solchen Fällen muss sich die gesamte Tätigkeit des Dienstleisters an den allgemeinen Zulässigkeitsvoraussetzungen messen lassen. 4. Funktionsübertragung Nach der bislang h.M. soll es an einer wirksamen Auftragsdatenver- 27 arbeitung fehlen, sobald eine sog. „Funktionsübertragung“ auf den Auftragnehmer vorliegt2. Gemeint ist damit der Fall, dass dem Auftragnehmer nicht nur die Verarbeitung von Daten übertragen wird, sondern darüber hinaus auch die der Verarbeitung zugrunde liegende Aufgabe bzw. Funktion3. Folgt man dieser Ansicht, so hat sich die Tätigkeit des Auftragnehmers auf die Erfüllung reiner Hilfs- bzw. Unterstützungsfunktionen zu beschränken4. Zum Teil wird insoweit sogar vertreten, dass eine Auftragsdatenverarbeitung bereits dann ausscheide, wenn der Dienstleister auch nur den kleinsten inhaltlichen Bewertungs- oder Ermessensspielraum bei der Aufgabenerfüllung habe; denn es gehe dann 1 So vertreten etwa von Taeger/Gabel/Gabel, § 11 BDSG Rz. 21. 2 So auch Gola/Schomerus, § 11 BDSG Rz. 9; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 10, 11 ff.; vgl. auch Wanagas, DStR 2010, 1908. 3 Gola/Schomerus, § 11 BDSG Rz. 9; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 11; Simitis/Petri, § 11 BDSG Rz. 22. 4 So beispielsweise Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 5; ebenso Bergmann/Möhrle/Herb, § 11 BDSG Rz. 8 sowie Simitis/Petri, § 11 BDSG Rz. 22; nach Gola/Schomerus kommt es auf die „datenschutzrechtliche Verantwortlichkeit“ an, dem Dienstleister darf keinerlei Ermessensspielraum eingeräumt werden, § 11 BDSG Rz. 9.
Plath 389
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
im Kern nicht mehr um reine „Datenverarbeitung“, sondern um andere übergeordnete Aufgaben und damit eine Funktionsübertragung1. 28 Der Begriff der Funktionsübertragung ist in dem BDSG nicht erwähnt. Eine gewisse Stütze findet dieses Prinzip allerdings in der Regelung des Abs. 3, wonach der Auftragnehmer die Daten nur nach Weisung des Auftraggebers erheben, verarbeiten und nutzen darf. Allerdings steht die Weisungsbefugnis des Auftraggebers hinsichtlich des Umgangs mit den personenbezogenen Daten nicht zwingend im Widerspruch zu dem Recht des Auftragnehmers, weitreichende Aufgaben für den Auftraggeber zu übernehmen, solange er sich nur im datenschutzrechtlichen Bereich den Weisungen des Auftraggebers unterwirft. Darüber hinaus folgt auch aus dem Wortlaut des Abs. 3 Satz 1, dass eine Auftragsdatenverarbeitung (bereits) dann vorliegt, wenn der Ausführende die Datenverarbeitung nicht für sich selbst, sondern für den Auftraggeber durchführt2. 29 Vor diesem Hintergrund ist der im Vordringen befindlichen Gegenansicht zuzustimmen, wonach es nicht darauf ankommt, ob sich die Tätigkeit des Auftragnehmers auf reine Hilfsfunktionen beschränkt – was eine Auftragsdatenverarbeitung nach herkömmlicher Auffassung ermöglichen soll – oder die Übertragung eigener Funktionen beinhaltet – was der Auftragsdatenverarbeitung nach herkömmlicher Auffassung entgegensteht – sondern allein darauf, wie die Auftragserteilung konkret ausgestaltet wird. Entscheidend ist danach also nicht, welche Aufgabe übertragen wird, sondern wie dies geschieht, d.h., in welcher Weise der Auftrag ausgestaltet wird3. Anders formuliert: Solange die Einhaltung der Weisungsbefugnisse und sonstigen Anforderungen des § 11 sichergestellt ist, lässt sich grundsätzlich jeder Auftrag als Auftragsdatenverarbeitung ausgestalten. 30 Grenzen findet dieser Ansatz allein dort, wo sich die nach § 11 notwendigen Weisungsrechte nicht mit der eigenständigen Wahrnehmung von Aufgaben durch den Auftragnehmer vereinbaren lassen. Insofern ist eine wertende Einzelfallbetrachtung erforderlich, die sich danach richtet, wie viel Spielraum dem Auftragnehmer noch eingeräumt werden kann, um 1 Vgl. dazu auch die Zusammenfassung des Meinungsstands in dem Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des Düsseldorfer Kreises, S. 4. 2 Vgl. dazu auch die Zusammenfassung des Meinungsstands in dem Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des Düsseldorfer Kreises, S. 4. 3 So beispielsweise Taeger/Gabel/Gabel, § 11 BDSG Rz. 16.
390 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
dem Merkmal der Weisungsgebundenheit gerecht zu werden1. Sobald der Auftragnehmer über die Verwendung der Daten eigenständig und verantwortlich entscheiden kann, fehlt es an der erforderlichen Weisungsgebundenheit. In der Praxis werden dazu insbesondere folgende Fallgruppen diskutiert: a) Call Center Die Verträge zur Beauftragung von Call Centern werden in der Regel als 31 Auftragsdatenverarbeitungsverträge ausgestaltet. Die verantwortliche Stelle überlässt dem Call Center einen Datensatz z.B. mit Kundendaten und beauftragt das Call Center damit, die entsprechenden Telefonate im Namen des Auftraggebers zu führen. Soweit ein beauftragtes Call Center, wie in der Praxis üblich, aufgrund eines klar vorgegebenen Gesprächsleitfadens für den jeweiligen Auftraggeber tätig wird, ist von einer Weisungsgebundenheit auszugehen2. Etwas anderes könnte gelten, wenn der Auftraggeber das Call Center nicht lediglich damit beauftragt, z.B. Outbound-Calls nach festgelegten Vorgaben zu führen, sondern ihm generell die Aufgabe der Kundengewinnung überträgt und Form, Zeit und vor allem Inhalt der Neukundenansprache und des Vertragsschlusses in das freie Ermessen des Call Centers stellt. b) Marktforschungsinstitute Zahlreiche Unternehmen bedienen sich eines Marktforschungsinsti- 32 tuts, um die Zufriedenheit ihrer Kunden oder die Nachfrage nach neuen Produkten besser einschätzen zu können. Ähnlich wie bei Call Centern ist die Frage, ob das Tatbestandsmerkmal der Weisungsgebundenheit erfüllt ist, davon abhängig, inwieweit dem Marktforschungsinstitut ein Ermessensspielraum eingeräumt wird. Ist es anhand eines genauen Fragebogens lediglich mit der Befragung und statistischen Erfassung der Daten beauftragt, wird eine Weisungsgebundenheit regelmäßig zu bejahen sein, nicht jedoch, wenn der Inhalt der Befragung dem Institut anheimgestellt wird3.
1 So auch Gola/Schomerus, § 11 BDSG Rz. 9. 2 So auch Gola/Schomerus, § 11 BDSG Rz. 9 und 12; Taeger/Gabel/Gabel, § 11 BDSG Rz. 17; Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 9; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 12a; Simitis/Petri, § 11 BDSG Rz. 29. 3 Vgl. Gola/Schomerus, § 11 BDSG Rz. 9; Taeger/Gabel/Gabel, § 11 BDSG Rz. 17.
Plath 391
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
c) Letter-Shops 33 Im Rahmen des Letter-Shop-Verfahrens werden Unternehmen als sog. Letter-Shop damit beauftragt, die Versendung von Werbemitteilungen und sonstigen Informationen für den Auftraggeber zu übernehmen. Je nach Ausgestaltung des Auftrags kann die Aufgabe des Letter-Shops Maßnahmen wie z.B. die Frankierung, Etikettierung und Versendung der Werbemittel sowie weitere Tätigkeiten umfassen. Um diese Tätigkeiten durchführen zu können, werden dem Letter-Shop die Namen und Adressen und ggf. weitere Daten der (potentiellen) Kunden, die angeschrieben werden sollen, von dem jeweiligen Auftraggeber zur Verfügung gestellt. Solange sichergestellt ist, dass der Letter-Shop diese Daten nur für die Erfüllung der Zwecke des Auftrags nutzen darf, lässt sich die Einschaltung des Letter-Shops problemlos als Auftragsdatenverarbeitung ausgestalten1. 34 Eine andere Frage ist dabei, ob auch die Nutzung sog. „Fremddatensätze“ im Rahmen des Letter-Shop-Verfahrens möglich ist. Gemeint ist damit der Fall, dass ein Unternehmen dem Letter-Shop nicht seine eigenen Kundensätze zur Verfügung stellt, sondern zur Kundengewinnung auch Datensätze eines Dritten, häufig eines Listbrokers, verwenden will. Um den Anforderungen des § 28 Abs. 3 zu genügen (zu den weiteren Einzelheiten siehe dazu § 28 Rz. 143 ff.), erhält der Werbetreibende bei diesem Verfahren keinen direkten Zugriff auf die Daten des Dritten. Vielmehr wird der Letter-Shop durch den Listeigner bzw. Listbroker damit beauftragt, die Werbemittel des Werbetreibenden zu versenden, und zwar an die von dem Listeigner bzw. Listbroker bereitgestellten Adressen. Mit Blick auf die Vereinbarkeit dieses Verfahrens mit den Anforderungen des § 11 ergibt sich bei der Nutzung von Fremddatensätzen kein Unterschied zu der Nutzung eigener Datensätze des Werbetreibenden. Solange der Listeigner bzw. Listbroker in dem Vertrag mit dem Letter-Shop sicherstellt, dass die Anforderungen des § 11 an den Auftragsdatenverarbeitungsvertrag einschließlich des Gebots der Weisungsgebundenheit eingehalten werden und der Letter-Shop die Daten insbesondere nicht gegenüber dem Werbetreibenden offenlegen darf, ist die Beauftragung mit § 11 vereinbar2. Unschädlich ist es dabei auch, wenn darüber hinaus auch der Werbetreibende einen eigenen Vertrag mit dem Letter-Shop schließt, um die korrekte Aussendung sicherzustellen, solange er dabei
1 So auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 17; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 12a. 2 So auch Gola/Schomerus, § 11 BDSG Rz. 12.
392 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
keinen Zugriff auf die Daten erhält und die Weisungsbefugnisse des Listeigners bzw. Listbrokers unberührt bleiben. d) Outsourcing Wird der Betrieb von IT-Systemen oder ganzer Geschäftsprozesse im We- 35 ge des IT- bzw. Business-Process-Outsourcings an einen Dienstleister übertragen, kommt es erneut auf die konkrete Ausgestaltung des Auftrags an1. Soweit hinsichtlich des Umgangs mit den personenbezogenen Daten des Auftraggebers dessen Weisungshoheit erhalten bleibt, lässt sich das Outsourcing grundsätzlich ohne Weiteres im Einklang mit dem BDSG ausgestalten2. Beim klassischen IT-Outsourcing wird diese Weisungshoheit des Auf- 36 traggebers in aller Regel gegeben sein3, denn es liegt grundsätzlich weder im Interesse des Auftraggebers noch des Auftragnehmers, dass der Auftragnehmer weitgehend weisungsfrei mit diesen Daten verfährt. Entsprechendes gilt für den Bereich des Application-Service-Providing (ASP)4. Bei Outsourcing ganzer Geschäftsprozesse kann das Modell der Auf- 37 tragsdatenverarbeitung indes an seine Grenzen stoßen, wenn dem Auftragnehmer im Rahmen des Outsourcings weitreichende Entscheidungsbefugnisse hinsichtlich der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten eingeräumt werden sollen. Soweit jedoch die Weisungsbefugnisse des Auftraggebers in ausreichendem Maße erhalten bleiben, ist auch das Business-Process-Outsourcing mit § 11 vereinbar5. Dies ist jedenfalls dann der Fall, wenn der Auftragnehmer nicht eigenständig und -verantwortlich über das Schicksal der Daten entscheiden kann, sondern vertraglich sichergestellt ist, dass er diese ausschließlich innerhalb der klar umrissenen Grenzen des jeweiligen Auftrags nutzen darf. Ausreichend ist es dabei jedoch, wenn der Auftraggeber lediglich den äußeren Rahmen eines solchen Auftrags vorgibt. Er ist mithin nicht verpflichtet, den Auftragnehmer im Detail vorzuschreiben, auf welche Weise bzw. in welcher konkreten Form er den jeweiligen Auftrag zu erfüllen hat.
1 2 3 4 5
So im Ergebnis auch Gola/Schomerus, § 11 BDSG Rz. 13. Ebenso Bergmann/Möhrle/Herb, § 11 BDSG Rz. 12. So im Ergebnis auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 18. Vgl. auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 18. So auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 19.
Plath 393
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
38 Auf diese Weise lässt sich nach der hier vertretenen Ansicht z.B. die Durchführung der Lohn- und Gehaltsbuchhaltung sowie auch die Erstellung von Steuererklärungen im Wege der Auftragsdatenverarbeitung auf einen externen Dienstleister übertragen1. Gleiches gilt für die Auslagerung der konzerninternen Personalverwaltung2 sowie die Einschaltung Dritter bei der Erbringung von Versicherungs- und Bankdienstleistungen, etwa der Entscheidung über die Kreditvergabe, soweit diese nach konkreten Vorgaben des auslagernden Instituts zu erfolgen hat3. Schließlich ist auch die Verwendung von Daten durch externe, z.B. „freie“ Mitarbeiter, mit § 11 vereinbar, und zwar selbst, wenn diese über private IT-Systeme auf die Daten zugreifen, soweit die verantwortliche Stelle auch gegenüber diesen Personen weisungsbefugt ist4. IV. Verantwortlichkeitsverteilung im Rahmen des Auftragsverhältnisses (Abs. 1 Satz 1) 39 Ein Grundprinzip der Auftragsdatenverarbeitung liegt darin, dass grundsätzlich allein der Auftraggeber für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich bleibt (Abs. 1 Satz 1)5. Entsprechend sind auch die Betroffenenrechte der §§ 6, 7 und 8 einschließlich etwaiger Schadensersatzansprüche gegen ihn geltend zu machen (Abs. 1 Satz 2)6. Über diese in Abs. 1 Satz 2 explizit aufgeführten Rechte hinaus, sind auch alle weiteren Rechte der Betroffenen gegenüber dem Auftraggeber geltend zu machen, wie z.B. das Widerspruchsrecht des § 28 Abs. 47. 40 Der Auftragnehmer hat hingegen zunächst einmal nur die in § 11 Abs. 3 und 4 normierten Pflichten zu beachten. Handelt der Auftragnehmer al1 Ebenso Taeger/Gabel/Gabel, § 11 BDSG Rz. 19 sowie im Ergebnis wohl auch Bergmann/Möhrle/Herb, § 11 BDSG Rz. 11a; Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des Düsseldorfer Kreises, S. 3; kritisch hingegen Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 15; Gola/ Schomerus, § 11 BDSG Rz. 11 sowie Simitis/Petri, § 11 BDSG Rz. 28. 2 Vgl. Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des Düsseldorfer Kreises, S. 13; kritisch hingegen Gola/Schomerus, § 11 BDSG Rz. 9. 3 Ebenso Taeger/Gabel/Gabel, § 11 BDSG Rz. 19; kritisch hingegen Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 15. 4 Conrad/Schneider, ZD 2011, 153, 154. 5 Bergmann/Möhrle/Herb, § 11 BDSG Rz. 16; Simitis/Petri, § 11 BDSG Rz. 48. 6 Gola/Schomerus, § 11 BDSG Rz. 26; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 19 ff. 7 Taeger/Gabel/Gabel, § 11 BDSG Rz. 30; Simitis/Petri, § 11 BDSG Rz. 50.
394 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
so nach den Weisungen des Auftraggebers, kann er für etwaige daraus resultierende Datenschutzverstöße grundsätzlich nicht belangt werden. Eine eigene Haftung des Auftragnehmers gegenüber Dritten kann indes dann begründet werden, wenn er sich über die Weisungen des Auftraggebers hinwegsetzt1. Gleiches kann gelten, wenn es an dem wirksamen Abschluss eines Auftragsdatenverarbeitungsvertrages fehlt und sich der Auftragnehmer entsprechend nicht auf das Privileg des § 11 berufen kann2. Den Parteien bleibt es grundsätzlich unbenommen, im Innenverhältnis 41 eine abweichende Verteilung der Risiken festzulegen, soweit die Grenze der Weisungsgebundenheit des Auftragnehmers dabei nicht überschritten wird. So empfiehlt es sich aus Sicht des Auftraggebers zum einen, den Auftragnehmer dazu zu verpflichten, die notwendigen Mitwirkungshandlungen zu erbringen, damit der Auftraggeber seine Pflichten im Außenverhältnis gegenüber den Betroffenen sowie den Aufsichtsbehörden erfüllen kann. Zum anderen kann auch eine Regelung von Haftungsfragen angezeigt sein, z.B. für den Fall, dass der Auftraggeber wegen eines vertragswidrigen Verhaltens des Auftragnehmers durch Dritte in Anspruch genommen wird. V. Fallgruppen 1. Konzerne Auch wenn kein Zweifel darüber besteht, dass das BDSG kein „Konzernprivileg“ kennt, also konzernverbundene Unternehmen genauso behandelt werden wie sonstige Dritte, wird dieser Umstand in der Praxis vereinzelt immer noch übersehen. Tatsache ist, dass auch die Übermittlung von personenbezogenen Daten zwischen selbständigen Unternehmen eines Konzerns der gesetzlichen Erlaubnis bzw. der Einwilligung der Betroffenen bedarf3. Fehlt es an diesen Voraussetzungen, kann der konzerninterne Datentransfer allein im Wege einer Auftragsdatenverarbeitung ermöglich werden4. Dieses Erfordernis gilt indes nicht bei der Übermittlung von Daten innerhalb einer juristischen Personen, als z.B.
1 Taeger/Gabel/Gabel, § 11 BDSG Rz. 30; Gola/Schomerus, § 11 BDSG Rz. 26. 2 Ähnlich auch Gola/Schomerus, § 11 BDSG Rz. 26 bezüglich der „bösgläubigen“ Befolgung rechtswidriger Anweisungen. 3 So im Ergebnis auch Simitis/Petri, § 11 BDSG Rz. 35. 4 Ebenso im Ergebnis Gola/Schomerus, § 11 BDSG Rz. 9.
Plath 395
42
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
an juristisch unselbständige Unternehmenseinheiten, Niederlassungen oder Zweigstellen1. 43 Gesellschaftsrechtliche Über- bzw. Unterordnungsverhältnisse stehen der Vereinbarung einer Auftragsdatenverarbeitung nicht entgegen, solange keine Anhaltspunkte gegeben sind, dass die datenschutzrechtlichen Weisungen missachtet werden2. 44 Die nach Abs. 2 Satz 1 gebotene sorgfältige Auswahl des Auftragnehmers (siehe Rz. 90 ff.) schließt die Vereinbarung einer Auftragsdatenverarbeitung zwischen Unternehmen, die demselben Konzern angehören, ebenfalls nicht aus. Denn die Vorschrift gebietet nicht, dass eine Auswahl unter Wettbewerbsbedingungen oder gar eine Ausschreibung erfolgt. Maßgeblich ist lediglich, dass ein Auftragnehmer ausgewählt wird, der Gewähr dafür bietet, die Anforderungen des § 9 einzuhalten und den vorgegebenen Verarbeitungsauftrag zu erfüllen3. 45 Liegt keine Auftragsdatenverarbeitung vor, sondern eine „Übermittlung“, ist zu prüfen, ob diese durch die gesetzlichen Erlaubnistatbestände des BDSG gedeckt ist. Diese Möglichkeit ist auch im Konzern selbstverständlich nicht gesperrt, wobei sich der Umstand der konzernrechtlichen Verflechtung im Rahmen der Interessenabwägung nach den §§ 28 und 29 u.U. positiv auswirken kann. 2. Cloud Computing 46 Von besonderer Aktualität und praktischer Relevanz ist die Frage der datenschutzrechtlichen Zulässigkeit des Cloud Computings. Eine akkurate Definition dieses Begriffs existiert bis heute nicht4. Im weitesten Sinne ist unter Cloud Computing eine Praxis zu verstehen, im Rahmen derer IT-Leistungen, insbesondere auch die Datenverarbeitung, auf externe Systeme ausgelagert werden. Der Zugriff auf diese „outgesourcten“ Inhalte erfolgt dann über Netzwerke5. Cloud Computing lässt sich maß1 So auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 24. 2 Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des Düsseldorfer Kreises, S. 3; dem folgend Taeger/Gabel/Gabel, § 11 BDSG Rz. 22. 3 Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des Düsseldorfer Kreises, S. 3. 4 So auch Bierekoven, DGRI Jahrbuch 2010, 95, 97; Schuster/Reichl, CR 2010, 38. 5 Bei Public Clouds über das Internet, bei Private Clouds über das Intranet, s.u. Rz. 47; Bierekoven, DGRI Jahrbuch 2010, 95, 98 f.
396 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
geblich in drei Leistungsbereiche unterteilen, nämlich der Bereitstellung (a) von Infrastruktur (Infrastructure as a Service, IaaS), (b) von Entwicklerplattformen (Platform as a Service, PaaS) und (c) von Software (Software as a Service, SaaS)1. Der Unterschied des Cloud Computings zum klassischen Outsourcing besteht in der Vielschichtigkeit der Leistungen, in der Vernetzung von Kapazitäten sowie in der „universellen Nutzbarkeit“ der Dienste2. Die Erbringung der Cloud-Dienste erfolgt flexibel bzw. bedarfsgesteuert und erfordert vielfach den Rückgriff auf Subunternehmer durch den Cloud Provider. Der flüchtige, virtuelle Charakter dieser Praxis soll durch das Bild der „Cloud“, also Wolke, versinnbildlicht werden. Allgemein wird zwischen unternehmens- oder gruppeninternen, ge- 47 schlossenen Private Clouds und öffentlichen, allgemein zugänglichen Public Clouds unterschieden3. Die besondere Attraktivität des Cloud Computings ist v.a. wirtschaftlicher Natur, da durch die Auslagerung die Notwendigkeit der Unterhaltung einer umfassenden eigenen IT-Infrastruktur entfällt und eine bedarfsgerechte Abrechnung der in Anspruch genommenen Leistungen erfolgen kann. Zugleich wirft die Praxis des Cloud Computings eine Vielzahl recht- 48 licher Fragen auf4. Die geltenden, aus dem analogen Zeitalter stammenden Rechtsnormen lassen sich nur schwerlich mit dem virtuellen und ungreifbaren Charakter der „Datenwolken“ vereinbaren. Insbesondere das deutsche Datenschutzrecht mit seinen hohen Anforderungen an Datenschutz und Kontrolle scheint die Inanspruchnahme von CloudDienstleistungen rechtlich bedenklich zu machen. Gleichzeitig herrscht weitestgehend Einigkeit darüber, dass in der Auslagerung von IT-Diensten und in der Zentralisierung von Infrastrukturen die Zukunft liegt5. Solange sich das Recht also diesen neuen Gegebenheiten noch nicht angepasst hat, gilt es, eine Vereinbarkeit dieser Praxis mit den vorhandenen Normen herzustellen6. Die größten Herausforderungen liegen dabei
1 Vgl. Nägele/Jacobs, ZUM 2010, 281, 282; Schuster/Reichl, CR 2010, 38 f.; Gaul/Koehler nennen darüber hinaus auch noch den Leistungsbereich „Communication as a Service (CaaS), BB 2011, 2229. 2 Vgl. auch Bierekoven, DGRI Jahrbuch 2010, 95, 97 f.; Engels, K&R 2011, 548 f.; Schuster/Reichl, CR 2010, 38. 3 Vgl. Bierekoven, DGRI Jahrbuch 2010, 95, 98 f.; Gaul/Koehler, BB 2011, 2229. 4 Vgl. nur Engels, K&R 2011, 548; Heidrich/Wegener, MMR 2010, 803; Niemann/Hennrich, CR 2010, 686. 5 So auch Niemann/Wegener, MMR 2010, 686, 690. 6 Ebenso Niemann/Hennrich, CR 2010, 686.
Plath 397
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
im globalen Charakter des Cloud Computings und in der eingeschränkten Kontroll- und Weisungsmöglichkeit durch den Cloud-Anwender. a) Rechtsnatur des Cloud Computings 49 Die Bewertung der Zulässigkeit des Cloud Computings nach dem BDSG ist zunächst eng mit der Frage verbunden, ob das Cloud Computing datenschutzrechtlich als Übermittlung oder als Auftragsdatenverarbeitung zu qualifizieren ist. In aller Regel werden die Voraussetzungen für eine Übermittlung der Daten an den Cloud-Anbieter i.R.d. Erlaubnistatbestands des § 28 nicht erfüllt sein. Damit ist das Cloud Computing in den meisten Fällen nur im Wege der Auftragsdatenverarbeitung i.S.d. § 11 möglich1. Für eine Qualifikation des Cloud Providers als Auftragnehmer spricht, dass er in der Regel weisungsgebunden mit den personenbezogenen Daten umgeht und nicht selbst „Herr der Daten“ ist2. Dies gilt umso mehr, als nach der hier vertretenen Ansicht auch eine Funktionsübertragung einer Qualifikation als Auftragsdatenverarbeitung nicht grundsätzlich entgegen steht (vgl. Rz. 27 ff.)3. 50 Voraussetzung für eine rechtmäßige Inanspruchnahme von Cloud-Leistungen ist demzufolge der Abschluss eines wirksamen Auftragsdatenverarbeitungsvertrags i.S.d. § 11. Problematisch sind dabei insbesondere drei Punkte: (a) der Auslandsbezug, der häufig beim Cloud Computing besteht, (b) die Einhaltung der Kontroll- und Weisungspflichten des Auftraggebers und (c) die Berechtigung zur Begründung von Unterauftragsverhältnissen gemäß § 11 Abs. 2 Satz 2 Nr. 6. b) Auslandsbezug beim Cloud Computing 51 Problematisch ist zunächst, dass eine Auftragsdatenverarbeitung i.R.d. Privilegierung des § 11 nur möglich ist, wenn der Datenumgang durch den Auftragnehmer im Inland, zumindest jedoch im Geltungsbereich der EG-Datenschutzrichtlinie, also in einem anderen Mitgliedstaat der EU oder einem anderen Vertragsstaat des EWR, stattfindet, vgl. § 3 Abs. 8 (hierzu ausführlich Rz. 12). Im Umkehrschluss würde dies bedeu1 Heidrich/Wegener, MMR 2010, 803, 805; Niemann/Hennrich, CR 2010, 686, 687; Pohle/Ammann, CR 2009, 273, 277; Splittgerber/Rockstroh, BB 2011, 2179, 2181; ausführlich zu der Frage, wann Cloud Computing als Auftragsdatenverarbeitung zu qualifizieren ist Engels, K&R 2011, 548, 549 f. 2 Engels, K&R 2011, 548; Niemann/Hennrich, CR 2010, 686, 687; vgl. auch Gaul/Koehler, BB 2011, 2229, 2231. 3 A.A. Splittgerber/Rockstroh, BB 2011, 2179, 2182.
398 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
ten, dass eine Auftragsdatenverarbeitung in anderen, außereuropäischen Ländern nicht zulässig wäre. Hintergrund dieser Regelung ist, dass nur im Anwendungsbereich der EG-Datenschutzrichtlinie ohne weiteres von einem angemessenen Schutzniveau ausgegangen werden kann, das die Privilegierung der Auftragsdatenverarbeitung rechtfertigt1. Ein Blick in die Praxis zeigt, dass die großen Cloud Provider (Google, 52 Amazon, IBM, Microsoft, Apple und salesforce) ihren Sitz im Ausland, insbesondere in den USA haben. Allerdings ist für die Anwendbarkeit des § 11 nicht der Sitz des Auftragnehmers, sondern der tatsächliche Ort der Datenverarbeitung ausschlaggebend2. Da die meisten Anbieter zumindest auch Rechenzentren im europäischen Inland unterhalten, ist vielfach bereits damit der Anwendungsbereich des § 11 eröffnet, solange die Daten ausschließlich in diesen Rechenzentren verarbeitet werden3. Problematisch bleibt damit nur der Fall, in dem die Auftragsdatenver- 53 arbeitung tatsächlich über Infrastrukturen stattfindet, die nachweislich nicht in der EU bzw. dem EWR belegen sind. Teilweise wird vertreten, dass der Auftragsdatenverarbeiter in diesem Fall entsprechend dem Wortlaut des § 3 Abs. 8 als „Dritter“ einzuordnen sei mit der Folge, dass die Privilegierung des § 11 BDSG nicht greift. Nach dieser Ansicht ist deshalb in der Weitergabe der Daten an diesen „Dritten“ eine Übermittlung i.S.v. § 3 Abs. 4 Nr. 3 zu sehen, die eine Einhaltung der Übermittlungsvoraussetzung erfordert. Sofern sich der „Dritte“ in einem Drittstaat befinde, müssten darüber hinaus auch die Voraussetzungen, die § 4b Abs. 2 für die Übermittlung in Drittländer außerhalb der EU bzw. des EWR aufstellt, eingehalten werden (vgl. hierzu ausführlich § 4b Rz. 15 ff.). Dieser Ansatz ist in der Praxis – und gerade im Hinblick auf das Cloud Computing, das von seiner Internationalität und Flexibilität lebt – wenig praktikabel. Im Hinblick auf den teleologischen Hintergrund der Bedeutung des Verarbeitungsorts (siehe Rz. 14) muss deshalb nach der hier vertretenen Ansicht eine Auftragsdatenverarbeitung im nicht-europäischen Ausland auch dann in analoger Anwendung des § 3 Abs. 8 zulässig sein, wenn die Einhaltung des Schutzniveaus der EG-Datenschutzrichtlinie anderweitig garantiert ist (vgl. § 4b Abs. 2 und 3)4. 1 Engels, K&R 2011, 548; Bierekoven, DGRI Jahrbuch 2010, 95, 101. 2 Taeger/Gabel/Gabel, § 11 BDSG Rz. 25; ebenso Simitis/Dammann, § 3 BDSG Rz. 246; vgl. auch Niemann/Hennrich, CR 2010, 686, 688. 3 Vgl. Niemann/Hennrich, CR 2010, 686, 688; Splittgerber/Rockstroh, BB 2011, 2179, 2180; Becker/Nikolaeva, CR 2012, 170. 4 Ebenso Niemann/Hennrich, CR 2010, 686, 688; Pohle/Ammann, CR 2009, 273, 277; Weber/Voigt, ZD 2011, 74, 77 f.
Plath 399
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
Dies sollte insbesondere dann der Fall sein, wenn eine Zertifizierung nach dem Safe-Harbour-Prinzip oder nach vergleichbaren Grundsätzen vorliegt bzw. die Einhaltung der Standardvertragsklauseln der EU-Kommission vereinbart ist (hierzu ausführlich bereits Rz. 14 sowie § 4b Rz. 31)1. Zu beachten ist, dass einige außereuropäische Drittstaaten (u.a. Argentinien, Kanada und die Schweiz) von der EU-Kommission als „sicher“ eingestuft wurden, sodass eine Datenübermittlung in diese Länder zulässig ist (siehe Rz. 14)2. 54 Zu Problemen bei der Beauftragung US-amerikanischer Cloud Anbieter kann unter Umständen der US Patriot Act führen, wonach Unternehmen gegebenenfalls zur Herausgabe von Daten an die US-Behörden verpflichtet werden können3. Dieses Auskunftsverlangen kann sogar auf ausländische Töchter US-amerikanischer Unternehmen ausgedehnt werden4. Problematisch ist, dass die Übermittlung der in Deutschland verarbeiteten Daten an die amerikanische Muttergesellschaft in der Regel nicht über § 28, §§ 4b, 4c BDSG zu rechtfertigen ist5. In diesem Fall sehen sich die Cloud Anbieter in dem – bislang ungelösten – Dilemma, entweder gegen deutsches bzw. europäisches Datenschutzrecht oder gegen eine Anordnung der US-Behörden zu verstoßen. In der Praxis ist davon auszugehen, dass ein amerikanisches Unternehmen eher bereit sein wird, gegen europäisches Datenschutz- als gegen amerikanisches Terrorschutzrecht zu verstoßen. c) Kontrollpflichten und Weisungsgebundenheit beim Cloud Computing 55 Der virtuelle Charakter des Cloud Computings macht die Einhaltung der Kontroll- und Weisungspflichten durch den Auftraggeber problematisch. Vor Abschluss des Auftragsdatenverarbeitungsvertrags ist der Auftraggeber dazu verpflichtet, den Auftragnehmer sorgfältig auszuwählen (vgl. Rz. 90) und zu kontrollieren, ob ausreichende technische und organisatorische Maßnahmen i.S.d. § 9 zur Gewährleistung der Datensicherheit getroffen wurden (vgl. Rz. 91). Zudem sind auch während der Ver1 Ebenso Bierekoven, DGRI Jahrbuch 2010, 95, 102, 104; Gaul/Koehler, BB 2011, 2229, 2233; Nägele/Jacobs, ZUM 2010, 281, 290; Pohle/Ammann, CR 2009, 273, 277; Splittgerber/Rockstroh, BB 2011, 2179, 2181, 2184. 2 Bierekoven, DGRI Jahrbuch 2010, 95, 102; Pohle/Ammann, CR 2009, 273, 277. 3 Ausführlich zu dieser Problematik Becker/Nikolaeva, CR 2012, 170. 4 Vgl. Becker/Nikolaeva, CR 2012, 170. 172. 5 Ausführlich hierzu Becker/Nikolaeva, CR 2012, 170, 173 f.
400 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
tragslaufzeit regelmäßige Kontrollen durchzuführen. Problematisch ist dabei, dass aufgrund der hohen Standardisierung der Inanspruchnahme von Cloud Diensten sowie der Internationalität der Vertragspartner eine Kontrolle schwierig ist, insbesondere bei Public Cloud Diensten. Nach der hier vertretenen Ansicht ist den Kontrollpflichten des Auftraggebers Genüge getan, wenn er sich hinreichend informiert und das Ergebnis der Prüfung dokumentiert (vgl. Abs. 2 Satz 4 und 5 sowie Rz. 92). Dabei darf sich der Auftraggeber auf Informationen, die der Cloud Anbieter veröffentlicht hat, sowie auf Zertifizierungen, Prüfberichte und Referenzen verlassen1. Je standardisierter die in Anspruch genommene Leistung, umso summarischer bzw. abstrakter können auch die Prüfungen sein. Eine Untersuchung vor Ort ist dagegen nicht erforderlich und im Falle des Cloud Computings auch praxisfern2. In diesem Zusammenhang gilt es zu beachten, dass gerade die Geheimhaltung der genauen Sicherheitsstandards sowie der Belegenheit der Infrastruktur einen großen Beitrag zur Absicherung des Cloud Computings vor externen Eingriffen leistet. Es ist demnach sogar im Interesse des Datenschutzes, eine summarische Prüfung der getroffenen technischen und organisatorischen Maßnahmen als ausreichend anzusehen3. Darüber hinaus muss der Auftragnehmer gemäß Abs. 3 Satz 1 weisungsgebunden operieren. Problematisch ist dabei, dass eine individuelle Anweisung des Cloud Anbieters in der Praxis im Regelfall kaum möglich sein wird. Andererseits ist das Cloud Computing durch ein hohes Maß an Standardisierung gekennzeichnet, sodass allgemeine Anweisungen den Anforderungen des Abs. 3 Satz 1 genügen. Diesen kann sich der Cloud Anbieter bereits bei Abschluss des Auftragsdatenverarbeitungsvertrags formularmäßig unterwerfen4. Maßgeblich ist insoweit, dass die entsprechenden Verträge BDSG-konform ausgestaltet werden. Soweit die standardmäßig bereitgestellten Verträge mancher Cloud Anbieter diesen Anforderungen nicht entsprechen, ist im Interesse beider Parteien anzuraten, die Verträge individuell anzupassen und die notwendigen Anpassungen ggf. im Rahmen einer Ergänzungsvereinbarung vorzunehmen.
1 Ebenso Niemann/Hennrich, CR 2010, 686, 690; Gaul/Koehler, BB 2011, 2229, 2232; kritisch, aber im Ergebnis ebenso Bierekoven, DGRI Jahrbuch 2010, 95, 110; kritisch Schuster/Reichl, CR 2010, 38, 42. 2 Ebenso Gaul/Koehler, BB 2011, 2229, 2232. 3 So auch Niemann/Hennrich, MMR 2010, 686, 690. 4 Ebenso Niemann/Hennrich, MMR 2010, 686, 692; Bierekoven, DGRI Jahrbuch 2010, 95, 106.
Plath 401
56
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
d) Unterauftragsverhältnisse beim Cloud Computing 57 In der Praxis ist es üblich, dass sich ein Cloud Provider mehrerer Subunternehmer zur Erbringung seiner Leistungen bedient1. Um sicherzustellen, dass die Sicherheitsstandards des § 11 auch durch den Unterauftragnehmer eingehalten werden, macht Abs. 2 Satz 2 Nr. 6 die Zulässigkeit der Begründung eines solchen Verhältnisses von einer entsprechenden Zustimmung durch den Auftraggeber abhängig. Diese kann jedoch pauschal und ohne die Benennung konkreter Subunternehmer erteilt werden, sodass auch dieser Anforderung durch eine entsprechend allgemein formulierte Vereinbarung im Auftragsdatenverarbeitungsvertrag genügt werden kann2. Darüber hinaus sollte auch sichergestellt werden, dass die Pflichten und Weisungen aus dem Hauptvertrag deckungsgleich im Verhältnis des Auftragnehmers zum Unterauftragnehmer bestehen (hierzu ausführlich Rz. 106). 58 Problematisch ist die Begründung von Unterauftragsverhältnissen, wenn der Unterauftragnehmer außerhalb der EU bzw. des EWR tätig ist. Ausführlich hierzu s.u. Rz. 107. 3. Banken 59 Im Rahmen der Auftragsdatenverarbeitung bei Banken stellt sich insbesondere die Frage nach der Vereinbarkeit des Outsourcings mit dem Bankgeheimnis. 60 Das Bankgeheimnis wird allgemein als besondere Ausprägung des Rechts auf informationelle Selbstbestimmung, eines Teilbereichs des allgemeinen Persönlichkeitsrechts, verstanden. Es findet somit seine verfassungsrechtliche Grundlage in Art. 2 Abs. 1 i.V.m. 1 Abs. 1 GG3. Zugleich liegt dem Bankgeheimnis eine langjährige Tradition der Geheimhaltung von Bankkundendaten als Voraussetzung für den Aufbau eines Vertrauensverhältnisses zugrunde. Damit wird in ihm auch ein vorkonstitutionelles Gewohnheitsrecht gesehen4. Eine gesetzliche Regelung des Bankgeheimnisses gibt es nicht. Seine Existenz wird jedoch 1 Ausführlich zu den verschiedenen Subunternehmer-Modellen, insbesondere dem Generalunternehmer- und dem Multi-Vendor-Management-Modell Bierekoven, DGRI Jahrbuch 2010, 95, 99 ff. 2 Vgl. Bierekoven, DGRI Jahrbuch 2010, 95, 107. 3 Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 5 f.; Meyer/Steding, BB 2001, 1693. 4 Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 9.
402 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
in § 9 Abs. 1 KWG, § 32 BBankG, § 30a AO, § 12 GWG sowie in § 17 Abs. 2 PachtkreditG vorausgesetzt1. Im Verhältnis zwischen Kunde und Bank wird das Bankgeheimnis rechtsgeschäftlich begründet. Dessen Wahrung ist vor- und nachvertragliche Nebenpflicht i.S.d. § 311 Abs. 2 Nr. 1 BGB2. Das Bankgeheimnis bietet umfassenden Schutz. Es fallen darunter alle 61 Tatsachen und Wertungen privater oder bankgeschäftlicher Art, die nach dem tatsächlichen, zumindest jedoch nach dem mutmaßlichen Willen des Kunden geheim gehalten werden sollen3. Es gibt also keine unwesentlichen Bankdaten, sodass jedes Outsourcing der Verarbeitung entsprechender Daten eine Beeinträchtigung des Bankgeheimnisses bedeutet4. Die Geheimhaltungspflicht gilt gegenüber jedem Dritten5. Darüber hinaus muss das Bankgeheimnis auch bankintern gewahrt werden. Der Kreis derer, die ohne eine Verletzung des Bankgeheimnisses Kenntnis von geschützten Tatsachen und Wertungen erlangen können, beschränkt sich auf Stellen, die mit Tätigkeiten des regelmäßigen Bankbetriebs betraut sind6. Damit können von diesem sog. „innere Bankgeheimnis“ sowohl bankeigene Mitarbeiter als auch organisatorisch Außenstehende, die eine bankgeschäftliche Tätigkeit ausführen, betroffen sein7. Für die Reichweite des inneren Bankgeheimnisses ist grundsätzlich der Wille des Kunden maßgeblich, wobei aber von einem regelmäßigen Einverständnis mit einer für den Bankbetrieb erforderlichen Weitergabe ausgegangen werden kann8. Es stellt sich die Frage, ob eine an sich nach § 11 zulässige Auftrags- 62 datenverarbeitung gegen das Bankgeheimnis verstößt. Von maßgeblicher Bedeutung sind dabei zum einen die Regelungen des Kreditwirtschaftsgesetzes (KWG) und zum anderen der Straftatbestand des § 203 Abs. 2 Satz 1 Nr. 1, 2 StGB. 1 Ausführlich hierzu Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 7 ff.; Meyer/Steding, BB 2001, 1693 f. 2 Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 8; Fisahn, CR 1995, 632, 634. 3 Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 10 ff.; Meyer/Steding, BB 2001, 1693, 1694. 4 Meyer/Steding, BB 2001, 1693, 1694. 5 Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 17; Meyer/Steding, BB 2001, 1693, 1695. 6 Meyer/Steding, BB 2001, 1693, 1695. 7 Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 23 ff. 8 Meyer/Steding, BB 2001, 1693, 1695.
Plath 403
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
a) Vereinbarkeit mit dem KWG 63 Grundsätzlich steht das Bankgeheimnis einer Arbeitsteilung – und damit auch einem Outsourcing – nicht entgegen1. Dies ergibt sich nicht zuletzt auch im Rückschluss aus § 25a Abs. 2 KWG, der eine Auslagerung von Tätigkeiten erlaubt, und lediglich bestimmte aufsichtsrechtliche Voraussetzungen formuliert, die für die Rechtmäßigkeit einer Auslagerungen von Banktätigkeiten eingehalten werden müssen2. 64 Den Anforderungen des § 25a Abs. 2 KWG muss entsprochen werden, wenn eine zumindest langzeitige, nicht zwingend notwendige Auslagerung von Aktivitäten auf ein organisatorisch selbständiges Unternehmen erfolgt3. Eine notwendige Tätigkeitsauslagerung fällt damit im Umkehrschluss nicht in den Regelungsbereich der Norm. Die Auftragsdatenverarbeitung ist in der Regel ein Fall des § 25a Abs. 2 KWG4. Die Kontrollvorgaben dieser Norm zielen darauf ab, dass das Auslagerungsunternehmen den gleichen Sorgfaltsanforderungen genügt, wie das Kreditinstitut selbst5. Dafür ist erforderlich, dass die outsourcende Bank ausreichende Vorkehrungen zur Risikovermeidung trifft und den Auftragnehmer in ihr internes Kontrollsystem einbezieht6. Darüber hinaus darf die Auslagerung weder die Geschäftsorganisation noch die Ausübung der Prüfungs- und Kontrollrechte sowohl der Geschäftsleitung als auch des Bundesaufsichtsamts für Kreditwesen stören. Für die Gewährleistung der Einhaltung dieser Vorgaben ist eine schriftliche Vereinbarung mit dem Auftragnehmer erforderlich7. 65 Mit der Beauftragung des Auftragnehmers wird der Kreis derer erweitert, die dem „inneren Bankgeheimnis“ verpflichtet sind. Das Auslagerungsunternehmen wird vertraglich in den rechtsgeschäftlich begründeten Wirkungsbereich des Bankgeheimnisses zwischen dem Kreditinstitut und dem Kunden einbezogen. Dieser Gedanke ist vergleichbar mit dem, der hinter § 203 Abs. 3 Satz 2 StGB steht.
1 Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 27; Heinrichs, WM 2000, 1561, 1566. 2 So auch Bergmann/Möhrle/Herb, § 11 BDSG Rz. 12a; ausführlich hierzu Witzel, ITRB 2006, 286 ff. 3 Schimansky/Bunte/Lwowski/Bruchner/Krepold, Bankrechts-Handbuch, § 39 Rz. 28; Witzel, ITRB 2006, 286, 287; Heinrichs, WM 2000, 1561, 1563. 4 Heinrichs, WM 2000, 1561, 1564. 5 Witzel, ITRB 2006, 286; Heinrichs, WM 2000, 1561, 1563. 6 Witzel, ITRB 2006, 286, 287 f.; Heinrichs, WM 2000, 1561, 1564. 7 Witzel, ITRB 2006, 286, 287 f.; Heinrichs, WM 2000, 1561, 1564.
404 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
Damit ist eine Auftragsdatenverarbeitung i.S.d. § 11 auch im Hinblick auf das Bankgeheimnis unbedenklich, wenn die Voraussetzungen des § 25a KWG erfüllt werden. Dabei decken sich die aufsichts- und datenschutzrechtlichen Anforderungen in weiten Teilen.
66
b) Vereinbarkeit mit dem StGB Darüber hinaus stellt sich für öffentlich-rechtliche Kreditinstitute die 67 Frage nach der möglichen Strafbarkeit einer Datenweitergabe, die mit der Auftragsdatenverarbeitung einhergeht. Hintergrund hierfür ist § 203 Abs. 2 Satz 1 Nr. 1, 2 StGB. Teilweise wird vertreten, dass Mitarbeiter eines öffentlich-rechtlichen Kreditinstituts Amtsträger i.S.d. § 203 Abs. 2 Satz 1 Nr. 1 StGB, zumindest jedoch für den öffentlichen Dienst besonders Verpflichtete i.S.v. Nr. 2 seien1. Im Rahmen der Auftragsdatenverarbeitung erfolgt auch eine Offenbarung, soweit Bankdaten als Geheimnisse i.S.d. § 203 Abs. 2 StGB angesehen werden können2. Problematisch ist jedoch, dass die Gleichstellungsregel des § 203 Abs. 3 Satz 2 StGB, die den Täterkreis des Absatz 1 auf berufsmäßig tätige Gehilfen ausweitet (vgl. ausführlich Rz. 74), nicht für den Personenkreis des Absatzes 2 gilt3. Zudem greift der für Absatz 2 normierte Tatbestandsausschluss des § 203 Abs. 2 Satz 2 StGB, der eine Unbedenklichkeit der Datenweitergabe an Behörden normiert, im Falle der Auftragsdatenverarbeitung gerade nicht. Tatbestandsausschließend würde sicherlich eine Einwilligung des 68 Betroffenen in die Geheimnisoffenbarung wirken. Eine ausdrückliche Einwilligung wird jedoch in vielen Fällen nicht explizit erteilt. Im Einzelfall wird allerdings zu prüfen sein, ob eine Einwilligung durch Zustimmung in die AGB des Kreditinstituts wirksam erteilt wurde. Hier wird es maßgeblich auf die Frage ankommen, ob eine solche vorformulierte Einwilligungserklärung einer AGB-Kontrolle standhält (hierzu ausführlich § 4a Rz. 39). Darüber hinaus ist grundsätzlich auch eine konkludente Einwilligung möglich, wobei eine stillschweigende Einwilligung nur infrage kommt, wenn die Offenbarung vorhersehbar und selbstverständlich, zumindest jedoch regelmäßig üblich ist (hierzu ausführlich Rz. 73)4. Damit kann in eine Weitergabe von Daten an externe 1 Fischer, § 203 Rz. 24; Taeger/Gabel/Gabel, § 11 Rz. 9; Otto, Wistra 1999, 201, 202. 2 Vgl. hierzu die nachstehende Ausführungen zu BGH v. 27.10.2009 – XI ZR 225/08, NJW 2010, 361, Fn. 40 f. 3 Fischer, § 203 Rz. 19. 4 Lackner/Kühl/Kühl, § 203 StGB Rz. 18.
Plath 405
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
Verrechnungsstellen nicht konkludent eingewilligt werden1. Der Tatbestand des § 203 Abs. 2 Nr. 1, 2 StGB ist damit durch die Auftragsdatenverarbeitung regelmäßig erfüllt. 69 Allerdings ergibt sich aus dem Zusammenspiel mehrerer gesetzgeberischer Entscheidungen, dass auch eine Auftragsdatenverarbeitung bei Banken straflos sein muss. Der Gesetzgeber hat sich durch die Formulierung des § 11 grundsätzlich für die Möglichkeit einer Auftragsdatenverarbeitung ausgesprochen. Zugleich hat er für den Täterkreis des § 203 Abs. 1 StGB die Notwendigkeit einer Tatbestandserweiterung durch den Absatz 3 gesehen. Es ist nicht ersichtlich, warum eine Erweiterung des Kreises der Geheimnisträger bei Kreditinstituten nicht erfolgt ist, zumal die Norm nur öffentlich-rechtliche Institute betrifft, die gegenüber privaten Banken erheblich benachteiligt sein würden. 70 Diese Ungleichbehandlung hat auch der BGH erkannt2. In einem Urteil über die Zulässigkeit der Abtretung von Darlehensforderungen durch ein öffentlich-rechtliches Kreditinstitut hat sich der BGH gegen einen strafrechtlichen Schutz des Bankgeheimnisses ausgesprochen, sodass bereits kein Geheimnis i.S.d. § 203 StGB vorliegt, das offenbart werden könnte3. Da eine analoge Ausweitung des Täterkreises des § 203 Abs. 1 StGB gegen Art. 103 Abs. 2 GG verstoße, müsse die im Rahmen einer Darlehensabtretung erforderliche Weitergabe von Daten aus dem Anwendungsbereich des § 203 Abs. 2 StGB herausgenommen werden4. Die Frage, ob Mitarbeiter öffentlich-rechtlicher Kreditinstitute dem § 203 Abs. 2 Satz 1 Nr. 1, 2 StGB unterfallen, hat der BGH offen gelassen5. Es ist durchaus denkbar, dass diese Rechtsprechung auch auf die strafrechtliche Beurteilung von Auftragsdatenverarbeitung anwendbar ist. 71 Als Lösung dieses Problems wird in der Literatur darüber hinaus eine Konstruktion über den rechtfertigenden Notstand gem. § 34 StGB vertreten6: Das Interesse des Kunden an der Geheimhaltung seiner Daten müsse hinter dem wirtschaftlichen Interesse der Bank an der Möglichkeit eines Outsourcings zurücktreten, soweit das Recht des Kunden auf informationelle Selbstbestimmung gewahrt ist. Hierfür könnten die Vorgaben des § 11 als Vorgabe dienen. 1 BGH v. 10.7.1991 – VIII ZR 296/90, NJW 1991, 2955; BGH v. 20.5.1992 – VIII ZR 240/91. 2 BGH v. 27.10.2009 – XI ZR 225/08, NJW 2010, 361. 3 BGH v. 27.10.2009 – XI ZR 225/08, NJW 2010, 361, 362. 4 BGH v. 27.10.2009 – XI ZR 225/08, NJW 2010, 361, 363. 5 BGH v. 27.10.2009 – XI ZR 225/08, NJW 2010, 361, 362. 6 Otto, Wistra 1999, 201, 204 ff.
406 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
4. Versicherungen und Verrechnungsstellen Für Versicherungen und Verrechnungsstellen stellt sich im Rahmen ei- 72 nes IT-Outsourcings über die datenschutzrechtliche Zulässigkeit hinaus die Frage nach der strafrechtlichen Unbedenklichkeit im Hinblick auf § 203 Abs. 1 Nr. 6 StGB. Diese Norm stellt die unbefugte Offenbarung von Geheimnissen unter Strafe. Das Recht auf informationelle Selbstbestimmung des Einzelnen als dieser Norm zugrundeliegendes Schutzgut von hoher Bedeutung1 führt zu einem weiten Geheimnisbegriff. Damit werden nicht nur sensible Daten wie z.B. über Krankheiten oder Schadensfälle, sondern bereits das Bestehen einer Vertragsbeziehung als Privatgeheimnis geschützt2. Unter Offenbarung ist jede Mitteilung über eine geheime Tatsache zu verstehen, wobei bereits ein Zugänglichmachen, das ohne Weiteres eine Kenntnisnahme des relevanten Datums ermöglicht, ausreichend ist3. Da die Datenverarbeitung meistens zumindest mit der Möglichkeit zur Kenntnisnahme einhergeht, liegt bei der Auftragsdatenverarbeitung i.d.R. eine Offenbarung von Geheimnissen vor4. Unbefugt ist die Offenbarung dann nicht, wenn eine Einwilligung vorliegt. Diese kann – was die strafrechtliche Einwilligung betrifft – formlos und konkludent erfolgen, wobei eine stillschweigende Einwilligung nur infrage kommt, wenn die Offenbarung vorhersehbar und selbstverständlich, zumindest jedoch regelmäßig üblich ist5. So kann in eine Weitergabe von Daten an externe Verrechnungsstellen nicht konkludent eingewilligt werden6. Eine tatbestandsausschließende Einwilligung liegt nach der hier vertretenen Ansicht jedenfalls dann vor, wenn sie den Anforderungen an eine Einwilligung i.S.d. § 4 Abs. 1 genügt. Eine solche Einwilligung wird jedoch in vielen Fällen nicht erteilt.
73
Eine unbefugte Geheimnisoffenbarung ist allerdings dann nicht tat- 74 bestandlich, wenn sie an einen berufsmäßig tätigen Gehilfen i.S.d. § 203 Abs. 3 Satz 2 StGB erfolgt. Darunter fällt, wer den Schweigepflichtigen in seiner von § 203 StGB erfassten Funktion oder Tätigkeit derart unterstützt, dass damit eine Kenntnis von Geheimnissen einhergeht oder un-
1 2 3 4 5 6
Heghmanns/Niehaus, NStZ 2008, 57, 61 m.w.N. Bräutigam, CR 2011, 411, 412; Heghmanns/Niehaus, NStZ 2008, 57. Heghmanns/Niehaus, NStZ 2008, 57. So i.E. auch Simitis/Petri, § 11 BDSG Rz. 44. Lackner/Kühl/Kühl, § 203 StGB Rz. 18. BGH v. 10.7.1991 – VIII ZR 296/90, NJW 1991, 2955; BGH v. 20.5.1992 – VIII ZR 240/91; Bräutigam, CR 2011, 411, 413.
Plath 407
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
problematisch möglich ist1. Folglich stellt sich im Bereich des IT-Outsourcings die Frage, ob ein IT-Dienstleister Gehilfe i.S.d. § 203 Abs. 3 Satz 2 StGB ist2. 75 Das Bejahen eines berufsmäßig tätigen Gehilfen setzt eine effektive Kontrolle desselben durch den Geheimnisträger voraus, die verhindern soll, dass dieser Geheimnisse offenbaren kann3. Teilweise wird vertreten, dass Gehilfe nur ist, wer darüber hinaus organisatorisch in den Betrieb eingebunden ist4. Damit wären externe Dienstleister i.d.R. von § 203 Abs. 3 Satz 2 StGB nicht erfasst. Hierfür gibt der Wortlaut der Norm jedoch keinen Anhaltspunkt her5. Darüber hinaus wäre § 203 Abs. 3 Satz 2 StGB gegenstandslos, wenn eine Betriebszugehörigkeit erforderlich wäre, da organisatorisch Eingebundene bereits direkt von § 203 Abs. 1 Nr. 6 StGB erfasst werden6. Zudem ist der beauftragte Datenverarbeiter eher mit einem Erfüllungsgehilfen i.S.d. § 278 BGB als mit einem Verrichtungsgehilfen i.S.d. § 831 BGB vergleichbar7. Eine organisatorische Einbindung des Erfüllungsgehilfen ist jedoch für dessen Zurechnung gerade nicht erforderlich. Auch der Vergleich mit § 53a StPO, der ein Zeugnisverweigerungsrecht für berufsmäßig tätige Gehilfen normiert und lediglich einen inneren Zusammenhang der Tätigkeit erfordert8, spricht gegen die Notwendigkeit einer betrieblichen Zugehörigkeit9. Die Erforderlichkeit einer organisatorischen Einbindung ist darüber hinaus realitätsfremd. In diese Richtung geht auch die Ansicht des BGH, der das Prinzip der Arbeitsteiligkeit in der Datenverarbeitung anerkannt hat10. 76 Schließlich spricht auch das Verhältnis von § 11 BDSG zu § 203 StGB für eine Anwendbarkeit der Ausnahmevorschrift des § 203 Abs. 3 Satz 2 StGB auf das IT-Outsourcing durch Versicherungen und Verrechnungsstellen. Zwar können die Wertungen des BDSG dem StGB nicht unmit1 2 3 4 5 6 7 8 9 10
Heghmanns/Niehaus, NStZ 2008, 57, 58. So z.B. auch Simitis/Petri, § 11 BDSG Rz. 46. Heghmanns/Niehaus, NStZ 2008, 57, 61. Schönke/Schröder/Lenckner/Eisele, § 203 Rz. 64a; im Ergebnis ebenso SKStGB/Hoyer, § 203 Rz. 48; MüKo/Cierniak, § 203 StGB Rz. 114. Kort, NStZ 2011, 193, 194 f.; Heghmanns/Niehaus, NStZ 2008, 57, 59. Heghmanns/Niehaus, NStZ 2008, 57, 59; Jahn/Palm, AnwBl 2011, 613, 618; Kort, NStZ 2011, 193, 194. Heghmanns/Niehaus, NStZ 2008, 57, 59. OLG Hamm v. 20.1.2009 – 5 Ws 24/09, NStZ 2010, 164. Heghmanns/Niehaus, NStZ 2008, 57, 59; ausführlich hierzu Hoenike/Hülsdunk, MMR 2004, 788, 789 ff. BGH v. 10.2.2010 – VIII ZR 53/09, WM 2010, 669; Kort, NStZ 2011, 193, 194.
408 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
telbar zugrunde gelegt werden, doch muss § 11 bei der Auslegung des § 203 Abs. 3 Satz 2 StGB berücksichtigt werden1. § 11 setzt für die Zulässigkeit der Datenverarbeitung eine strenge Kontrolle der datenverarbeitenden Stelle voraus, um einen Schutz des Rechts auf informationelle Selbstbestimmung zu gewährleisten. Damit stellt er Anforderungen an die Geheimhaltung von Daten, die mit den Kontrollanforderungen des § 203 Abs. 3 Satz 2 StGB vergleichbar sind. Der gleiche Schutzzweck beider Normen rechtfertigt es, an die effektive Kontrolle nach § 203 Abs. 3 Satz 2 StGB die gleichen Maßstäbe zu stellen, wie an die Kontrolle nach § 112. So fällt eine nach BDSG erlaubte Auftragsdatenverarbeitung aus dem Tatbestand des § 203 Abs. 1 Nr. 6 StGB heraus und ist auch in strafrechtlicher Hinsicht zulässig. Im Ergebnis ist damit ein nach § 11 zulässiges Outsourcing durch Ver- 77 sicherungen oder Verrechnungsstellen nicht strafbar nach § 203 Abs. 1 Nr. 6 StGB, soweit der Auftragnehmer als berufsmäßig tätiger Gehilfe des Auftraggebers (§ 203 Abs. 3 Satz 2 StGB) betrachtet werden kann. Dabei wird in der Regel mit der Einhaltung der in § 11 normierten Kontrollpflichten zugleich auch den Anforderungen, die § 203 Abs. 3 Satz 2 StGB an die Kontrolle des Gehilfen stellt, genügt. 5. Berufliche Geheimnisträger Bei Ärzten und Rechtsanwälten besteht in Bezug auf die Regelungen des BDSG die Besonderheit, dass sie bereits berufsrechtlich zur Geheimhaltung verpflichtet sind3. § 43a Abs. 2 BRAO ordnet dies für Rechtsanwälte sogar gesetzlich an.
78
Es stellt sich die Frage, ob aus diesem Umstand ein Konflikt mit dem 79 BDSG entsteht. In der Tat bleiben berufliche Geheimhaltungspflichten gem. § 1 Abs. 3 Satz 2 BDSG von den datenschutzrechtlichen Vorschriften unberührt (vgl. § 1 Rz. 40). Dies heißt jedoch nicht, dass das BDSG auf diese Berufsgruppen überhaupt nicht anwendbar ist. Allerdings müssen die Besonderheiten dieser Geheimhaltungspflichten berücksichtigt werden. Das BDSG und das Berufsgeheimnis stehen somit ergänzend nebeneinander4.
1 Heghmanns/Niehaus, NStZ 2008, 57, 60. 2 Bräutigam, CR 2011, 411, 415 f.; Heghmanns/Niehaus, NStZ 2008, 57, 62; Hoenike/Hülsdunk, MMR 2004, 788, 791 f. 3 Vgl. zum Patientengeheimnis Jandt/Roßnagel/Wilke, NZS 2011, 641 f. 4 Redeker, NJW 2009, 554, 555 f.; Weichert, NJW 2009, 550, 551.
Plath 409
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
80 Im Fall des Outsourcings in Form einer Datenverarbeitung stellt sich darüber hinaus die Frage, inwieweit die Weitergabe von Patienten- bzw. Mandantendaten nach § 203 Abs. 1 Nr. 1, 3 StGB strafbar ist. Von besonderer Relevanz ist dabei die Weitergabe von Daten an externe Verrechnungsstellen. 81 Die Norm des § 203 StGB dient dem strafrechtlichen Schutz des Berufsgeheimnisses. Damit sind nur solche Daten Geheimnisse i.S.d. dieser Norm, die tatsächlich auch dem Berufsgeheimnis unterliegen1. Persönliche Daten von Mandanten bzw. Patienten wie Name und Anschrift, die für die Abrechnung erforderlich sind, stehen jedoch im engen Verhältnis zur beruflichen Tätigkeit des Arztes bzw. Anwalts. Auch die Abrechnung erbrachter Leistungen gehört zum typischen Tätigkeitsfeld dieser Berufe. Da für die korrekte Abrechnung auch die erbrachten Leistungen genannt werden müssen, und gerade diese Angaben sensible Informationen über den Patienten bzw. Mandanten darstellen, fallen abrechnungsrelevante Daten in das Berufsgeheimnis. Ihre Weitergabe an Verrechnungsstellen ist auch eine Offenbarung i.S.d. § 203 Abs. 1 StGB (siehe die Ausführungen zu Versicherungen Rz. 72)2. 82 Die Strafbarkeit einer solchen Auftragsdatenverarbeitung entfällt jedoch, wenn in der Verrechnungsstelle ein berufsmäßig tätiger Gehilfe i.S.d. § 203 Abs. 3 Satz 2 StGB gesehen werden kann (vgl. hierzu die Ausführungen Rz. 74). Nach der hier vertretenen Ansicht ist der Auftragsdatenverarbeiter als ein solcher zu qualifizieren. Angesichts der Tatsache, dass Verrechnungsstellen oft hochspezialisierte Unternehmen sind, deren Geschäft gerade vom vertrauensvollen Umgang mit sensiblen Daten abhängt, muss nicht befürchtet werde, dass durch die Inanspruchnahme ihrer Dienste eine Aushöhlung des Rechts auf informationelle Selbstbestimmung des Patienten bzw. Mandanten erfolgt3. Auf eine innerbetriebliche Einbindung des Gehilfen kommt es dagegen nach der hier vertretenen Ansicht nicht an4. Darüber hinaus sind Praxen und Kanzleien geradezu darauf angewiesen, Teile ihrer Tätigkeit, und insbesondere die Verrechnung, auszulagern, um sich auf ihre Kernkompetenz konzentrieren und im Wettbewerb bestehen zu können5. 1 Jahn/Palm, AnwBl 2011, 613, 615; Rüpke, NJW 2002, 2835, 2836. 2 Bongen/Kremer, NJW 1990, 2911; Kort, NStZ 2011, 193; ebenso zum „Anwaltssekretariat“ Jahn/Palm, AnwBl 2011, 613, 616; ausführlich zur Weitergabe von Daten an privatärztliche Verrechnungsstellen Giesen, NStZ 2012, 122. 3 Hoenike/Hülsdunk, MMR 2004, 788, 789. 4 Ebenso Jahn/Palm, AnwBl 2011, 613, 618. 5 Vgl. auch Jahn/Palm, AnwBl 2011, 613.
410 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
Auch spricht die gesonderte Erwähnung von Verrechnungsstellen in 83 § 203 Abs. 1 Nr. 6 StGB nicht gegen ihre Einordnung als berufsmäßig tätige Gehilfen1. Durch die Gleichstellungsregel des § 203 Abs. 3 Satz 2 StGB wird lediglich die für Anwälte und Ärzte bestehende Schweigepflicht auf die Verrechnungsstellen ausgeweitet. Dagegen will § 203 Abs. 1 Nr. 6 StGB die Geheimnisse schützen, zu deren Geheimhaltung die Verrechnungsstellen ihrerseits beruflich verpflichtet sind. Deren Geheimhaltungspflichten müssen sich mit den Berufsgeheimnissen der Ärzte bzw. der Anwälte nicht unbedingt decken. Den Anforderungen an eine effektive Kontrolle der Verrechnungsstelle 84 als berufsmäßig tätigem Gehilfen wird durch die Einhaltung der Vorgaben des § 11 genügt. Dadurch wird vertraglich eine Schweigepflicht begründet, die durch § 203 Abs. 1 Nr. 1, 3 i.V.m. Abs. 3 Satz 2 StGB strafrechtlich ergänzt wird2. Eine Strafbarkeit nach § 203 Abs. 1 Nr. 1, 3 StGB entfällt darüber hinaus jedenfalls dann, wenn der Betroffene in die Offenbarung des Geheimnisses wirksam eingewilligt hat (siehe die Ausführungen zum gleichen Problem bei Versicherungen Rz. 73)3.
85
6. Beschäftigungsverhältnisse Im Falle der Auftragsdatenverarbeitung von Beschäftigtendaten sind neben den allgemeinen Voraussetzungen des § 11 spezifische arbeitsrechtliche Regelungen zu beachten.
86
Zunächst stellt sich für die verantwortliche Stelle in ihrer Funktion als Arbeitgeberin die Frage, ob die geplante Datenverwendung nach § 32 bzw. nach § 28 zulässig ist. Zu dieser Frage sowie zur Abgrenzung dieser Normen vgl. § 32 Rz. 84.
87
Darüber hinaus stellt sich die Frage, ob – ungeachtet der Regelungen des 88 § 11 – eine der Auftragsdatenverarbeitung nachempfundene Übergabe von Daten an einen Dienstleister auch durch eine Betriebsvereinbarung 1 Hoenike/Hülsdunk, MMR 2004, 788, 789; Jahn/Palm, AnwBl 2011, 613, 618; a.A. Bongen/Kremer, NJW 1990, 2911 f. 2 Hoenike/Hülsdunk, MMR 2004, 788, 791; so im Ergebnis auch Bergmann/ Möhrle/Herb, § 11 BDSG Rz. 28; a.A. Jandt/Roßnagel/Wilke, NZS 2011, 641, 645. 3 Simitis/Petri, § 11 BDSG Rz. 45; Bongen/Kremer, NJW 1990, 2911, 2912; Jandt/ Roßnagel/Wilke, NZS 2011, 641, 645. 4 Vgl. auch Gaul/Koehler, BB 2011, 2229, 2231 f.
Plath 411
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
ermöglicht werden kann. In diesem Fall käme es auf die Einhaltung der Regelungen des § 11 nicht an. Grundsätzlich ist eine Betriebsvereinbarung eine „andere Rechtsvorschrift“ i.S.d. § 4 Abs. 1 BDSG, sodass sie als Erlaubnisnorm per se infrage kommt1. Dabei muss die Betriebsvereinbarung nicht das Schutzniveau des BDSG gewährleisten; es reicht nach der hier vertretenen Ansicht vielmehr aus, dass den allgemeinen Wertungen des BDSG, insbesondere der Verhältnismäßigkeit der Maßnahmen, entsprochen wird, und dass dem Arbeit- bzw. Auftraggeber eine ausreichende Kontrolle des Auftragnehmers möglich ist2. Damit bietet der Abschluss einer Betriebsvereinbarung in den genannten Grenzen eine interessante Möglichkeit, den teilweise starren Anforderungen des § 11 zumindest in einigen Punkten zu entgehen. 89 Wird die Auftragsdatenverarbeitung hingegen auf § 11 gestützt, so müssen u.U. dennoch betriebsverfassungsrechtliche Vorschriften, insbesondere bezüglich der Beteiligung des Betriebsrats, berücksichtigt werden. So werden bei Unternehmen, die über einen Betriebsrat verfügen, i.d.R. Unterrichtungs- und Beratungsrechte des Betriebsrats gemäß § 90 BetrVG bestehen3. Darüber hinaus kann der Betriebsrat auch ein Mitbestimmungsrecht auf Grundlage des § 87 Abs. 1 Nr. 6 BetrVG haben, wenn in der Auftragsdatenverarbeitung eine technische Einrichtung zu sehen ist, die zur Überwachung der Leistung und des Verhaltens des Arbeitsnehmers objektiv geeignet ist. Diskutiert wird dies insbesondere im Falle der Auftragsdatenverarbeitung im Wege des Cloud Computings4. VI. Auswahl des Auftragnehmers (Abs. 2 Satz 1) 90 Der Auftraggeber ist bei der Wahl seines Auftragnehmers grundsätzlich frei5. Er ist allerdings verpflichtet, den Auftragnehmer unter besonderer Berücksichtigung der von diesem getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen (Abs. 2 Satz 1)6.
1 Vgl. auch BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 643, 646; ebenso Gaul/ Koehler, BB 2011, 2229, 2234. 2 Ebenso Gaul/Koehler, BB 2011, 2229, 2234. 3 Vgl. auch Gaul/Koehler, BB 2011, 2229, 2234. 4 So z.B. Gaul/Koehler, BB 2011, 2229, 2235. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 26; Bergmann/Möhrle/ Herb, § 11 BDSG Rz. 30. 6 Gola/Schomerus, § 11 BDSG Rz. 20; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 30.
412 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
Mit den technischen und organisatorischen Maßnahmen sind insbe- 91 sondere die nach § 9 zu treffenden Maßnahmen gemeint1. Soweit mehrere Auftragnehmer diese Standards erfüllen, ist der Auftraggeber nicht verpflichtet, denjenigen Dienstleister auszuwählen, der das höchste Schutzniveau bietet. Erforderlich ist allein, dass die gesetzlichen Anforderungen eingehalten werden2. Um die erforderliche Sorgfalt bei der Auswahl des Auftragnehmers wal- 92 ten lassen zu können, hat sich der Auftraggeber vor Vergabe des Auftrags über die von dem Auftragnehmer getroffenen bzw. zu treffenden technischen und organisatorischen Maßnahmen zu informieren und das Ergebnis der Prüfung zu dokumentieren (vgl. Abs. 2 Satz 4 und 5)3. Geeignete Mittel zur Einholung dieser Informationen können z.B. Zertifizierungen, Prüfberichte oder Referenzen sein. Ebenso kann eine Besichtigung der Betriebsstätte des potentiellen Auftragnehmers Aufschlüsse über dessen Eignung geben, wobei eine solche Vor-Ort-Kontrolle jedoch keinesfalls zwingende Voraussetzung für eine sorgfältige Auswahl ist, soweit sich der Auftraggeber aufgrund sonstiger Informationen ein verlässliches Bild machen kann4. Nicht immer wird ein potentieller Auftragnehmer die Maßnahmen be- 93 reits umgesetzt haben. So wird er z.B. die Investitionen für bestimmte Sicherheitseinrichtungen erst vornehmen, wenn er tatsächlich beauftragt worden ist. Insofern reicht es für die Auswahl des Auftragnehmers aus, dass sich der Aufraggeber die entsprechenden Sicherheitskonzepte vorlegen lässt und deren Umsetzung zum Gegenstand des Vertrages macht, ohne dass die entsprechende Hard- und Software bereits vorhanden sein müsste. Wie aus Abs. 2 Satz 4 folgt, muss diese allerdings spätestens „vor Beginn der Datenverarbeitung“ verfügbar sein. Zu den Einzelheiten der Prüfungspflicht des Auftraggebers siehe nachfolgend Rz. 112 ff. Bei der Auswahl des Auftragsnehmers und der Festlegung der anzuwen- 94 denden Schutzstandards ist nicht zuletzt auch die Art der im Auftrag zu 1 Bergmann/Möhrle/Herb, § 11 BDSG Rz. 30; Simitis/Petri, § 11 BDSG Rz. 56. 2 Anders wohl Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 26, wonach der Auftraggeber dem Anbieter den Vorzug geben „sollte“, der bezüglich der vorhandenen Sicherheitsstandards die beste Kosten/Nutzen-Relation biete. 3 Vgl. Gola/Schomerus, § 11 BDSG Rz. 21a; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 31. 4 Ebenso Gola/Schomerus, § 11 BDSG Rz. 21; kritisch Däubler/Klebe/Wedde/ Weichert/Wedde, § 11 BDSG Rz. 29, wonach „im Regelfall“ eine Analyse vor Ort vorzunehmen sei, sowie Simitis/Petri, § 11 BDSG Rz. 59.
Plath 413
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
verarbeitenden Daten zu berücksichtigen. So wird vertreten, dass bei besonderen Arten von personenbezogenen Daten i.S.d. § 3 Abs. 9 tendenziell strengere Maßstäbe anzulegen seien1. Im Umkehrschluss heißt dies allerdings auch, dass bei lediglich geringer Gefährdungslage keine überhöhten Anforderungen an die Auswahl des Auftragnehmers gestellt werden dürfen. Zu den Besonderheiten i.R.d. Cloud Computings vgl. Rz. 55. VII. Beauftragung des Auftragnehmers (Abs. 2 Satz 2) 95 Der Auftrag ist schriftlich, also unterschrieben oder – was in der Praxis ausscheiden dürfte – mit notariell beurkundetem Handzeichen, zu erteilen (Abs. 2 Satz 2). Eine Auftragserteilung per E-Mail oder der Abschluss über ein Website-Formular genügt den gesetzlichen Anforderungen daher nicht. Auf die Rechtsnatur des Vertrages kommt es dabei nicht an. Es ist also unerheblich, ob er z.B. als Geschäftsbesorgungs- oder Werkvertrag oder etwa im öffentlich-rechtlichen Bereich z.B. als Verwaltungsvereinbarung geschlossen wird, solange die inhaltlichen Anforderungen des Abs. 2 Satz 2 erfüllt sind (dazu sogleich unter Rz. 98 ff.). 96 Umstritten sind die Konsequenzen eines Verstoßes gegen das Schriftformerfordernis. Zum Teil wird vertreten, dass es in diesem Fall an einer wirksamen Auftragsdatenverarbeitung und einem wirksamen Vertrag insgesamt fehle, die Einhaltung des Schriftformerfordernisses also i.S.v. § 126, § 125 Abs. 1 BGB konstitutiv sei2. Nach anderer Ansicht soll das Formerfordernis keine Wirksamkeitsvoraussetzung darstellen, da es nach der gesetzgeberischen Intention lediglich der Beweissicherung dienen solle3. Wenngleich die letztgenannte Ansicht mit Blick auf den zugrundeliegenden Art. 17 Abs. 4 EG-Datenschutzrichtlinie vorzugswürdig erscheint, sollte in der Praxis nicht auf die Einhaltung des Schriftformerfordernisses verzichtet werden, da ein Verstoß gegen dieses Erfordernis u.a. eine Bußgeldpflicht nach § 43 Abs. 1 Nr. 2b auslösen kann. 97 Das Schriftformerfordernis gilt ausschließlich für den Abschluss des Vertrages („Der Auftrag ist schriftlich zu erteilen.“), nicht jedoch für die 1 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 27; teilweise sind strengere Anforderungen bereits spezialgesetzlich angeordnet, z.B. in § 80 SGB X, vgl. Bergmann/Möhrle/Herb, § 11 BDSG Rz. 35. 2 So beispielsweise Gola/Schomerus, § 11 BDSG, Rz. 17; Däubler/Klebe/Wedde/ Weichert/Wedde, § 11 BDSG Rz. 32. 3 So Taeger/Gabel/Gabel, § 11 BDSG Rz. 54.
414 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
Weisungen, die im Rahmen des Vertragsverhältnisses erteilt werden1. Solche Weisungen können daher z.B. auch per E-Mail erteilt werden, was die Handhabung in der Praxis erheblich erleichtert. Weiterhin wird vertreten, dass auch etwaige Unterauftragsverhältnisse nur schriftlich abgeschlossen werden dürften2. Aus dem Wortlaut des § 11 lässt sich dieses Erfordernis allerdings nicht zwingend entnehmen, sodass nach der hier vertretenen Ansicht auch eine Unterbeauftragung in Textform möglich ist, soweit die sonstigen Anforderungen des § 11 eingehalten werden. VIII. Inhalt des Auftragsdatenverarbeitungsvertrages (Abs. 2 Satz 2) Nach Abs. 2 Satz 2 ist auch der Mindestinhalt („insbesondere“) eines Auftragsdatenverarbeitungsvertrages durch das BDSG im Rahmen des sog. „10-Punkte-Kataloges“ gesetzlich vorgegeben3. Für die Praxis sei empfohlen, diesen Katalog Punkt für Punkt abzuarbeiten, um auf diese Weise den Nachweis der Einhaltung dieser Mindestanforderungen führen zu können.
98
1. Gegenstand und Dauer des Auftrags (Nr. 1) Gegenstand und Dauer des Auftrags werden sich regelmäßig aus dem 99 zugrundeliegenden Vertragsverhältnis ergeben, z.B. einem IT-Servicevertrag. Es genügt den Anforderungen des BDSG, wenn insoweit im Rahmen des Auftragsdatenverarbeitungsvertrages auf die Regelungen des Hauptvertrages verwiesen wird4. Vorsicht ist bei diesem Vorgehen insoweit geboten, als man in der Praxis häufig auf eigenständige Kündigungsregelungen im Rahmen von Auftragsdatenverarbeitungsverträgen trifft, die nicht immer mit den Regelungen des Hauptvertrages im Einklang stehen. Eine eigenständige Kündigung des Auftragsdatenverarbeitungsvertrags wird jedoch i.d.R. nicht mit dem BDSG im Einklang stehen, da der Hauptvertrag, soweit er die Verarbeitung personenbezogener Daten betrifft, mit Wegfall des Auftragsdatenverarbeitungsvertrages in den meisten Fällen nicht mehr zu erfüllen sein wird. Insofern ist darauf 1 So z.B. auch Simitis/Walz, § 11 BDSG Rz. 49; Taeger/Gabel/Gabel, § 11 BDSG Rz. 454; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 36b und Simitis/Walz, § 11 BDSG Rz. 49, die allerdings schriftliche Weisungen zum Zwecke des Nachweises und der Revisionssicherheit empfehlen. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 32. 3 Bergmann/Möhrle/Herb, § 11 BDSG Rz. 36a. 4 So auch Gola/Schomerus, § 11 BDSG, Rz. 18.
Plath 415
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
zu achten, einen Gleichlauf der Kündigungs- und Laufzeitregelungen zu vereinbaren. 100 Der Pflicht zu Festlegung der Dauer des Auftrags steht es nicht entgegen, wenn der Vertrag auf unbestimmte Zeit geschlossen wird1. Allerdings ist bei Verträgen dieser Art festzulegen, unter welchen Voraussetzungen der Auftragnehmer auch vor Vertragsbeendigung zur Löschung von Daten verpflichtet ist2. 2. Umfang, Art und Zweck der Verwendung, Art der Daten und Kreis der Betroffenen (Nr. 2) 101 Festzulegen sind zudem der Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung und Nutzung, die Art der Daten und der Kreis der Betroffenen. Ausreichend ist es insoweit, diese in ihren wesentlichen Grundzügen zu beschreiben. So genügt etwa zur Beschreibung der „Art der Daten“ die Verwendung von Begriffen wie „Mitarbeiterdaten“ oder „Kundendaten“3. Nicht erforderlich ist es somit, jedes einzelne Datum konkret zu spezifizieren4. 3. Technische und organisatorische Maßnahmen (Nr. 3) 102 Erforderlich ist zudem eine Festlegung der nach § 9 von dem Auftragnehmer zu treffenden technischen und organisatorischen Maßnahmen. Diese Maßnahmen sind in dem Auftrag konkret zu benennen. Pauschale Verpflichtungen zur Einhaltung der Regelungen des § 9 ohne nähere Konkretisierung genügen diesem Erfordernis nicht5. Wegen der weiteren Einzelheiten wird auf die Kommentierung zu § 9 verwiesen. 4. Berichtigung, Löschung und Sperrung (Nr. 4) 103 Weiterhin sind die Pflichten des Auftragnehmers zur Berichtigung, Löschung und Sperrung von Daten festzulegen. Die entsprechenden Rechte der Betroffenen ergeben sich vor allem aus § 35 BDSG. Der Auftrag1 So auch Bergmann/Möhrle/Herb, § 11 BDSG Rz. 37. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 34. 3 Ähnlich Gola/Schomerus, § 11 BDSG Rz. 18a; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 38. 4 Ähnlich Taeger/Gabel/Gabel, § 11 BDSG Rz. 43, der „gewisse Kategorisierungen und Abstrahierungen“ als zulässig erachtet. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 41; Gola/Schomerus spricht von „einzelfallbezogener“ Festlegung, § 11 BDSG Rz. 18b.
416 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
geber hat sicherzustellen, dass er die entsprechenden Rechte gegenüber dem Auftragnehmer durchsetzen kann1. Ausreichend ist es auch hier, wenn der Auftragsdatenverarbeitungsvertrag auf die Regelung des § 35 BDSG verweist und dem Auftraggeber insoweit das Recht verschafft, von dem Auftragnehmer unter den Voraussetzungen dieser Norm – sowie ggf. auch aus sonstigen Gründen – eine Berichtigung, Löschung oder Sperrung von Daten zu verlangen. 5. Spezifische Pflichten des Auftragnehmers (Nr. 5) Nr. 5 verpflichtet zur Festlegung der nach Abs. 4 bestimmten Pflichten 104 des Auftragnehmers (siehe Rz. 118 ff. unten). Hierzu gehört beispielsweise die Pflicht zur Einhaltung des Datengeheimnisses nach § 5. Auch diese Pflichten sind in dem Auftragsdatenverarbeitungsvertrages explizit aufzuführen, wobei es nach der hier vertretenen Ansicht jedenfalls ausreichen sollte, den Inhalt der entsprechenden gesetzlichen Regelungen zu zitieren. 6. Unterauftragsverhältnisse (Nr. 6) Weiterhin festzulegen ist die Berechtigung zur Begründung von Unter- 105 auftragsverhältnissen. Aus dem Wortlaut der Regelung ergibt sich, dass lediglich die Frage der grundsätzlichen Berechtigung zu regeln ist, nicht aber die Frage, gegenüber welchen konkreten Unternehmen eine Unterbeauftragung erfolgen darf2. Es ist somit z.B. ausreichend, eine Gruppe von berechtigten Unterauftragnehmern zu benennen (z.B. „Konzernunternehmen“, „Auftragnehmer mit Sitz in Deutschland“, etc.). Selbstverständlich ist es ebenso zulässig, jegliche Vergabe von Unterauftragsverhältnissen von der Zustimmung des Auftraggebers abhängig zu machen. a) Deckungsgleiche Pflichten für Unterauftragnehmer Auch bei der Vergabe von Unteraufträgen bleibt der Auftraggeber als verantwortliche Stelle im Außenverhältnis gegenüber den Betroffenen für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwort-
1 Ähnlich Gola/Schomerus, § 11 BDSG Rz. 18c; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 42b. 2 So auch Gola/Schomerus, § 11 BDSG, Rz. 18e; Taeger/Gabel/Gabel, § 11 BDSG Rz. 47; Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 44.
Plath 417
106
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
lich1. Um diesen Pflichten nachkommen zu können, hat der Auftragnehmer seine Unterauftragnehmer zur Einhaltung der Bestimmungen des zwischen Auftraggeber und Auftragnehmer vereinbarten Auftrags zu verpflichten. Aus vertragstechnischer Sicht kann dies durch einen Verweis auf den Hauptvertrag geschehen, um sicherzustellen, dass die Pflichten „deckungsgleich“ durchgereicht werden2. Zu beachten bleibt allerdings, dass die gegenseitigen Rechte und Pflichten stets nur in der Vertragskette begründet werden. Soweit der Unterauftragsvertrag nicht als Vertrag zugunsten Dritter, namentlich des Auftraggebers, ausgestaltet wird, kann der Auftraggeber z.B. Weisungen nur gegenüber seinem Auftragnehmer erteilen, der sodann im Verhältnis zu seinem Unterauftragnehmer sicherzustellen hat, dass auch dieser die Weisungen des Auftraggebers befolgt. Gleiches gilt etwa für die Kontrollrechte des Auftraggebers. Insoweit ist sicherzustellen, dass der Auftraggeber seine Kontrollen direkt auch bei dem Unterauftragnehmer durchführen kann. Der Abschluss eines direkten Vertrages zwischen dem Auftraggeber und dem Unterauftragnehmer ist datenschutzrechtlich nicht erforderlich3. b) Unterauftragnehmer im Ausland 107 Fraglich ist, ob und wie ein Unterauftragnehmer beauftragt werden kann, wenn der Auftragnehmer bzw. der Unterauftragnehmer im Ausland sitzen (hierzu ausführlich § 4b Rz. 12 sowie § 4c Rz. 31). Soweit sich sowohl der Auftragnehmer als auch der Unterauftragnehmer im EU/EWR-Inland befinden, richtet sich die Zulässigkeit eines Unterauftragsverhältnisses nach den allgemeinen Regeln des § 11 Abs. 2 Satz 2 Nr. 6. Problematisch ist jedoch der Fall, in dem sich der Unterauftragnehmer im EU/EWR-Ausland (Drittland) befindet. Dabei muss differenziert werden zwischen (1) Fällen, in denen sich auch der (vorgeschaltete) Auftragnehmer in einem Drittland befindet, und den (2) Fällen, in denen sich nur der (vorgeschaltete) Auftragnehmer im EU/EWR-Inland befindet: (1) Der erste Fall ist in den EU-Standardvertragsklauseln vom 15.5.20104 explizit geregelt. Danach ist die Unterbeauftragung eines 1 2 3 4
So auch Gola/Schomerus, § 11 BDSG Rz. 18e. Gola/Schomerus, § 11 BDSG Rz. 18e. Taeger/Gabel/Gabel, § 11 BDSG Rz. 47. Beschluss der EU-Kommission vom 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates.
418 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
außerhalb der EU bzw. des EWR niedergelassenen Subunternehmers durch einen ebenfalls außerhalb der EU bzw. des EWR niedergelassenen Auftragnehmer unter der Einhaltung der Voraussetzungen der Klausel 11 der EU-Standardvertragsklauseln zulässig1. (2) Fraglich ist jedoch, ob im zweiten Fall, in dem der Auftragnehmer im EU/EWR-Inland sitzt, eine Unterbeauftragung unter den Voraussetzungen der EU-Standardvertragsklauseln ebenfalls zulässig ist. Wäre dies nicht der Fall, so würde die Zulässigkeit einer solchen Unterbeauftragung nur durch eine komplexe Vertragskonstellation zwischen Auftraggeber, Auftragnehmer und Subunternehmer möglich sein, die u.U. der Erteilung einer Genehmigung gemäß § 4c Abs. 2 BDSG bedarf. Aus dem Wortlaut und der Begründung ergibt sich jedoch eindeutig, dass eine (entsprechende) Anwendung der EU-Standardvertragsklauseln ausgeschlossen ist2. Die Artikel-29-Datenschutzgruppe schlägt daher vor, einen Vertrag unter Verwendung der Standardvertragsklauseln direkt zwischen dem Auftraggeber und dem Unterauftragnehmer zu schließen, wobei der eigentliche Auftragnehmer in den Vertrag einbezogen werden sollte, oder sogar den Vertrag mit dem Unterauftragnehmer im Auftrag und im Namen des Auftraggebers schließen könnte3. 7. Kontrollrechte des Auftraggebers (Nr. 7) Das BDSG verlangt darüber hinaus eine Festlegung der Kontrollrechte 108 des Auftraggebers einschließlich der korrespondierenden Duldungs- und Mitwirkungspflichten des Auftragnehmers4. Nicht geregelt ist, in wel1 Vgl. hierzu Lensdorf, CR 2010, 735, 736. 2 Ebenso Lensdorf, CR 2010, 735, 736 f.; vgl. auch die Stellungnahmen 3/2009, WP 161 der Artikel-29-Datenschutzgruppe über den Entwurf einer Entscheidung der EU-Kommission zu Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG sowie WP 176, „FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EG“. 3 Vgl. Stellungnahme WP 176 der Artikel-29-Datenschutzgruppe, „FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EG“; ähnlich auch die Vorschläge des Düsseldorfer Kreises, Beschluss v. 19./20.4.2007; ausführlich hierzu Lensdorf, CR 2010, 735, 738 f. 4 So auch Gola/Schomerus, § 11 BDSG Rz. 18 f.
Plath 419
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
chem Umfang der Auftraggeber Kontrollen durchführen muss bzw. der Auftragnehmer diese dulden muss. Daher wird sich z.B. nicht abstrakt beantworten lassen, ob ein Zutrittsrecht des Auftraggebers vereinbart werden muss1 oder ob es ausreicht, wenn der Auftragnehmer dem Auftraggeber die Einhaltung der Bedingungen des Auftrags in geeigneter Form nachweist. Nach der hier vertretenen Ansicht reicht es aus, Zutrittsrechte auf Fälle zu beschränken, bei denen ein konkreter Verdacht des Vertragsverstoßes nachgewiesen werden kann2. 8. Mitteilungspflichten bei Verstößen (Nr. 8) 109 Der Vertrag hat zudem Regelungen dahingehend zu enthalten, dass der Auftragnehmer dem Auftraggeber etwaige Verstöße durch ihn oder die bei ihm beschäftigen Personen gegen die datenschutzrechtlichen Bestimmungen bzw. die Festlegungen des Auftrags mitzuteilen hat. Nach dem Wortlaut der Norm ist dies nicht zwingend dahingehend zu verstehen, dass stets sämtliche Verstöße mitgeteilt werden müssten (… mitzuteilende Verstöße …“)3. Um negative Konsequenzen zu vermeiden, empfiehlt es sich jedoch zumindest aus Sicht des Auftraggebers, die Mitteilungspflicht auf sämtliche Verstöße zu erstrecken und diese ggf. sogar auf potentielle Verstöße auszudehnen. 9. Weisungsbefugnisse des Auftraggebers (Nr. 9) 110 In dem Auftrag sind zudem auch die konkreten Weisungsbefugnisse des Auftraggebers zu regeln. In der Praxis trifft man diesbezüglich häufig auf Regelungen, unter denen dem Auftraggeber eine pauschale Weisungsbefugnis eingeräumt wird („Der Auftragnehmer hat die datenschutzrechtlichen Weisungen des Auftraggebers zu befolgen.“)4. Allerdings würden derartige Klauseln dem Auftraggeber nahezu unbeschränkte Weisungsrechte gewähren, was in der Regel nicht gewollt ist. Insofern empfiehlt sich eine Beschränkung dahingehend, dass Weisungen nur in1 Dahingehend Gola/Schomerus, § 11 BDSG Rz. 18 f. 2 Ähnlich Taeger/Gabel/Gabel, § 11 BDSG Rz. 48, wonach eigene Prüfungen des Auftraggebers vor Ort nicht zwingend erforderlich sind. 3 So auch Taeger/Gabel/Gabel, § 11 BDSG Rz. 49; nach Däubler/Klebe/Wedde/ Weichert/Wedde, § 11 BDSG Rz. 49 verlangt der Schutzzweck der Norm allerdings eine weite Auslegung mit der Konsequenz, dass auch leichte Verstöße zu melden seien; Gola/Schomerus, § 11 BDSG Rz. 18g sowie Bergmann/Möhrle/Herb, § 11 BDSG Rz. 44b sprechen sich für eine Mitteilungspflicht in Fällen unrechtmäßiger Kenntniserlangung gem. § 42a aus. 4 Vgl. Gola/Schomerus, § 11 BDSG Rz. 18h.
420 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
nerhalb der Grenzen des Auftrags erteilt werden dürfen1. Zudem sind u.a. im Rahmen eines „Change-Request“-Verfahrens Regelungen für den Fall vorzusehen, dass sich die Aufgaben des Auftragnehmers aufgrund der Weisungen des Auftraggebers erweitern, z.B. weil er eine neue Sicherheitssoftware zu beschaffen hat, um den datenschutzrechtlichen Anforderungen zu genügen. In diesen Fällen mag die entsprechende Anpassung der vereinbarten Vergütung sachgerecht erscheinen. 10. Pflichten bei Beendigung des Auftrags (Nr. 10) Zu regeln sind schließlich die Pflichten des Auftragnehmers zur Rückgabe überlassener Datenträger und zur Löschung der bei ihm gespeicherten Daten bei Beendigung des Auftrags. Insoweit ist als Ausnahme zur generellen Löschungspflicht insbesondere auch zu regeln, inwieweit der Auftragnehmer zur weiteren Speicherung von Daten berechtigt ist, um seinen gesetzlichen Aufbewahrungs- und sonstigen Pflichten nachzukommen bzw. um z.B. eine Abrechnung der Servicevergütung gegenüber dem Auftraggeber vornehmen zu können.
111
IX. Kontrolle des Auftragnehmers (Abs. 2 Satz 4) Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen2. Das Ergebnis ist zu dokumentieren (vgl. Abs. 2 Satz 2)3.
112
Hervorzuheben ist, dass die erste Prüfung (erst) vor Beginn der Datenver- 113 arbeitung zu erfolgen hat, also nicht bereits vor oder bei Vertragsschluss. Insoweit ist aber jedenfalls die notwendige Sorgfalt bei der Auswahl des Auftragnehmers anzulegen (vgl. dazu oben Rz. 90). Nach dieser ersten Vorabkontrolle hat der Auftraggeber während der Laufzeit des Auftrags regelmäßig weitere Kontrollen durchzuführen. Eine starre Festlegung der Prüfintervalle hat der Gesetzgeber bewusst abgelehnt4. Daher richten sich diese nach den Umständen des Einzelfalles, also insbesondere der Art und dem Umfang der verarbeiteten Daten5. Eine Vor-Ort Kon-
1 Ähnlich im Ergebnis Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 51. 2 Bergmann/Möhrle/Herb, § 11 BDSG Rz. 48. 3 Gola/Schomerus, § 11 BDSG Rz. 21a. 4 So auch Bergmann/Möhrle/Herb, § 11 BDSG Rz. 48. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 56.
Plath 421
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
trolle ist i.d.R. nicht erforderlich, um den Kontrollanforderungen zu genügen1. 114 Eine schriftliche Dokumentation ist nach dem Wortlaut der Norm nicht erforderlich. Diese kann also auch in Textform erfolgen, wobei sie zu Beweiszwecken eine schriftliche Niederlegung empfiehlt2. X. Durchführung des Auftrags (Abs. 3) 1. Weisungsgebundenheit des Auftragnehmers (Abs. 3 Satz 1) 115 Nach Abs. 3 Satz 1 darf der Auftragnehmer die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen3. Bezüglich der Einzelheiten der Ausgestaltung der Weisungsrechte sei auf die obige Kommentierung unter Rz. 97. 2. Hinweispflicht des Auftragnehmers (Abs. 3 Satz 2) 116 Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen das BDSG oder eine andere datenschutzrechtliche Bestimmung verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen4. Nach zutreffender Ansicht wird durch diese Norm keine Pflicht des Auftragnehmers begründet, sämtliche Weisungen des Auftraggebers auf ihre datenschutzrechtliche Zulässigkeit hin zu prüfen5. Vielmehr greift die Hinweispflicht grundsätzlich erst dann, wenn der Auftragnehmer konkrete Anhaltspunkte dafür hat, dass eine Weisung dem Gesetz zuwiderlaufen könnte6. 117 Nicht geregelt ist, welche Konsequenzen mit dem Hinweis des Auftragnehmers auf eine rechtswidrige Weisung verbunden sind. Aus dem 1 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 58 unter Hinweis auf die Entstehungsgeschichte der Norm; ebenso Gola/Schomerus, § 11 BDSG Rz. 21; Bergmann/Möhrle/Herb empfiehlt dennoch eine Vor-Ort-Kontrolle, § 11 BDSG Rz. 48a. 2 Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 58; Bergmann/ Möhrle/Herb, § 11 BDSG Rz. 48c. 3 Bergmann/Möhrle/Herb, § 11 BDSG Rz. 49; Simitis/Walz, § 11 BDSG Rz. 56. 4 Bergmann/Möhrle/Herb, § 11 BDSG Rz. 51; Simitis/Walz, § 11 BDSG Rz. 64. 5 So zutreffend Taeger/Gabel/Gabel, § 11 BDSG Rz. 57; Däubler/Klebe/Wedde/ Weichert/Wedde, § 11 BDSG Rz. 65; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 51; Simitis/Walz, § 11 BDSG Rz. 62. 6 Ebenso Gola/Schomerus, § 11 BDSG Rz. 25; Simitis/Walz fordert eine erhöhte Wachsamkeit des Auftragnehmers bei sensiblen Daten i.S.d. § 3 Abs. 9, § 11 BDSG Rz. 62.
422 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
Zweck der Norm folgt allerdings, dass der Auftraggeber verpflichtet ist, dem Hinweis nachzugehen und die Rechtmäßigkeit seiner Weisung zu überprüfen. Sollte diese tatsächlich nicht mit dem Gesetz im Einklang stehen, wird er sie in aller Regel schon aus eigenem Interesse zurückziehen und dürfte dazu auch verpflichtet sein1. Ist der Auftraggeber allerdings weiterhin der Ansicht, die Weisung rechtmäßig erteilt zu haben und hält er deshalb an der Weisung fest, steht der Auftragnehmer vor einem Dilemma. Verweigert er die Durchführung, macht er sich im Zweifel gegenüber dem Auftraggeber schadensersatzpflichtig und riskiert weitere Konsequenzen wegen Vertragsbruchs. Befolgt er allerdings die Weisung des Auftraggebers, läuft er Gefahr, gegen datenschutzrechtliche oder ggf. sogar strafrechtliche Bestimmungen zu verstoßen. Es empfiehlt sich daher, im Rahmen der Auftragsdatenverarbeitungsverträge einen Mechanismus aufzunehmen, der die Rechte und Pflichten der Parteien – einschließlich etwaiger Freistellungsverpflichtungen – in solchen Fällen konkretisiert. Ungeachtet dessen sind etwaige dem BDSG zuwiderlaufende Weisungen wegen Verstoßes gegen ein gesetzliches Verbot nach § 134 BGB als nichtig anzusehen, sodass insoweit die Vertragsfreiheit der Parteien endet2. Gleichwohl dürfte im Falle unterschiedlicher Rechtsauffassungen eine Pflicht des Auftragnehmers bestehen, die Weisung zunächst einmal zu befolgen3. Die Haftung für weisungsgemäß durchgeführte Aufträge trägt im Außenverhältnis grundsätzlich der Auftraggeber (Abs. 1 Satz 1)4. 3. Gesetzliche Pflichten des Auftragnehmers (Abs. 4) Die Pflicht zur Einhaltung der datenschutzrechtlichen Bestimmungen trifft grundsätzlich den Auftraggeber (vgl. Abs. 1 Satz 1)5. In Abs. 4 ist geregelt, welche Pflichten abweichend von dem allgemeinen Grundsatz den Auftragnehmer treffen. Konkret sind dies – die Bestimmungen über das Datengeheimnis (§ 5); – die Pflicht zur Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen (§ 9); 1 So auch Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 66. 2 Ebenso Simitis/Walz, § 11 BDSG Rz. 65, der zudem im öffentlichen Bereich mit dem Grundsatz der Gesetzmäßigkeit der Verwaltung argumentiert. 3 Vgl. dazu auch Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 66; zum gleichen Ergebnis kommt auch Bergmann/Möhrle/Herb, § 11 BDSG Rz. 52; a.A. Simitis/Walz, § 11 BDSG Rz. 63. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 67. 5 Bergmann/Möhrle/Herb, § 11 BDSG Rz. 53.
Plath 423
118
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
– die Bußgeldvorschriften des § 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3; – die Strafvorschriften des § 44. 119 Darüber hinaus gelten für nicht-öffentliche Stellen, soweit sie als Dienstleistungsunternehmen geschäftsmäßig personenbezogene Daten im Auftrag erheben, die Regelungen über die Bestellung und die Aufgaben eines Beauftragten für den Datenschutz (§§ 4f, 4g) und die Bestimmungen über die Aufsichtsbehörden (§ 38). 120 Schließlich gelten für öffentliche Stellen sowie für nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist, die Regelungen der §§ 18 (Datenschutz in der Bundesverwaltung) und 24 bis 26 (Bundesbeauftragter für den Datenschutz) bzw. die entsprechenden Vorschriften der Landesdatenschutzgesetze1. XI. Prüfung und Wartung von Datenverarbeitungsanlagen (Abs. 5) 121 Die Regelungen über die Auftragsdatenverarbeitung gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann (Abs. 5). Hintergrund der Regelung ist, dass bei der Wartung von IT-Systemen zwar keine Datenverarbeitung und -nutzung im klassischen Sinne erfolgt2, jedenfalls ist dies i.d.R. nicht der Zweck des Auftrags, aber dennoch die Gefahr besteht, dass der Dienstleister im Rahmen seiner Tätigkeit Kenntnis von personenbezogenen Daten erhält. Mit Blick auf die damit einhergehende Vergleichbarkeit der Gefährdungslage für das Persönlichkeitsrecht des Betroffenen hat sich der Gesetzgeber zur Einführung der Regelung des Abs. 5 entschieden3. 122 Die Regelung des Abs. 5 enthält keine Definition der Tätigkeiten, die in ihren Anwendungsbereich fallen. Allerdings besteht Einigkeit darüber, dass darunter im weitesten Sinne sämtliche Tätigkeiten im Zusammenhang mit der Systembetreuung von Datenverarbeitungsanlagen fallen, also insbesondere die Wartung und Pflege von Hard- und Software ein-
1 So auch Gola/Schomerus, § 11 BDSG Rz. 27. 2 So auch Bergmann/Möhrle/Herb, § 11 BDSG Rz. 64. 3 Vgl. Gola/Schomerus, § 11 BDSG Rz. 14.
424 Plath
Erhebung, Verarbeitung oder Nutzung im Auftrag
§ 11 BDSG
schließlich der Fernwartung1. Ausreichend für die Anwendbarkeit ist darüber hinaus, dass ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann2. Es ist also nicht erforderlich, dass ein solcher Zugriff tatsächlich erfolgt3. Diese Schwelle darf allerdings nicht so niedrig gelegt werden, dass am Ende ein rein theoretisch möglicher Zugriff auf personenbezogene Daten ausreichen würde, um die Anwendbarkeit des Abs. 5 zu begründen4. Werden die Daten z.B. so verschlüsselt, dass ein Rückschluss auf die betroffenen Personen nicht oder nur mit erheblichem Aufwand möglich ist, muss nicht damit gerechnet werden, dass der Auftragnehmer unter Bruch seiner vertraglichen Verpflichtungen versuchen könnte, die Verschlüsselung zu umgehen, zumal eine dem Stand der Technik entsprechende Verschlüsselung als Maßnahme nach Satz 2 Nr. 2 bis 4 der Anlage zu § 9 Satz 1 erfüllt (siehe Satz 3 der Anlage zu § 9 Abs. 1; vgl. hierzu auch § 9 Rz. 57 ff.). Ebenso kommt die Regelung dann nicht zur Anwendung, wenn lediglich ein Zugriff auf Testdaten ohne Personenbezug oder anonyme Daten erfolgt5. Soweit der Anwendungsbereich des Abs. 5 eröffnet ist, geltend die Rege- 123 lungen der Absätze 1 bis 4 entsprechend, d.h., dass mit dem Auftragnehmer ein Auftragsdatenverarbeitungsvertrag abzuschließen ist, der den Vorgaben des § 11 entspricht6. In der Praxis ist die Frage von Bedeutung, ob auch die Reparatur oder War- 124 tung i.R. der gesetzlichen Gewährleistung als eine „Prüfung und Wartung“ i.S. des Abs. 5 anzusehen ist. Dies hätte die – praktisch schwer umzusetzende – Folge, dass der Käufer bei Vertragsschluss, spätestens aber vor Beginn der Gewährleistungsarbeiten den Pflichten nach Abs. 2 nachkommen müsste, und ein Auftragsdatenverarbeitungsvertrag geschlossen werden müsste7. Der Wortlaut des Abs. 5 spricht zunächst dafür, dass sich der Anwendungsbereich der Norm auch auf die Wartung i.R. einer Gewährleistung erstreckt. Teilweise wird vertreten, dass die Einhaltung der Anforderungen des Abs. 5 durch den Abschluss einer Ge-
1 2 3 4 5
Taeger/Gabel/Gabel, § 11 BDSG Rz. 66; Gola/Schomerus, § 11 BDSG Rz. 15. Bergmann/Möhrle/Herb, § 11 BDSG Rz. 65; Simitis/Walz, § 11 BDSG Rz. 85. Taeger/Gabel/Gabel, § 11 BDSG Rz. 67. Enger wohl Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 74. Taeger/Gabel/Gabel, § 11 BDSG Rz. 67; Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 74. 6 Gola/Schomerus, § 11 BDSG Rz. 15a. 7 Ausführlich zu den damit verbundenen Problemen Freise in Taeger (Hrsg.), Digitale Evolution – Herausforderungen für das Informations- und Medienrecht, 161, 175.
Plath 425
BDSG § 11
Allgemeine und gemeinsame Bestimmungen
heimhaltungsverpflichtung nach § 5 analog ersetzt werden könnte1. Problematisch ist dabei jedoch, dass dem Käufer durch die Nichteinhaltung der Anforderungen des Abs. 5 i.V.m. Abs. 2 Satz 2 und 4 ein Bußgeld gemäß § 43 Abs. 1 Nr. 2b droht2. Zu denken wäre darüber hinaus an eine teleologische Reduktion des Abs. 5, da der Käufer durch die Inanspruchnahme seiner Gewährleistungsrechte ein gesetzlich eingeräumtes Recht wahrnimmt, in dessen Ausübung er durch Abs. 5 erheblich gehindert wäre. Problematisch an diesem Ansatz ist allerdings, dass Abs. 5 dem Schutz des Persönlichkeitsrechts der Betroffenen und damit einem hohen Schutzgut dient, dessen Einschränkung durch die allgemeinen Gewährleistungsrechte u.U. schlecht zu rechtfertigen ist. Angesichts der unklaren Rechtslage empfiehlt es sich daher, vor Beginn der Wartungsarbeiten i.R. der Gewährleistungsrechte des Käufers die Voraussetzungen des Abs. 5 einzuhalten und einen Auftragsdatenverarbeitungsvertrag zu schließen. Die Pflicht zum Abschluss eines solchen Vertrages für den Eintritt eines Gewährleistungsfalls könnte in dem Kaufvertrag selbst vereinbart werden, was dann die Parteien davon entbinden würde, gewissermaßen vorsorglich stets direkt im Rahmen des Kaufs die Anforderungen des § 11 umzusetzen. XII. Rechtsfolgen/Sanktionen 125 Ein vorsätzlicher oder fahrlässiger Verstoß gegen die Anforderungen des Abs. 2 Satz 2 an die Erteilung des Auftrags, insbesondere gegen das Schriftformerfordernis, stellt eine Ordnungswidrigkeit dar. Gleiches gilt, wenn sich der Auftraggeber nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt (vgl. § 43 Abs. 1 Nr. 2b)3. 126 Zu beachten ist, dass nicht abschließend geklärt ist, welche Folgen der Verstoß gegen das Schriftformerfordernis für die Wirksamkeit des Vertrags hat (siehe Rz. 96). Darüber hinaus führt ein Verstoß gegen die weiteren Anforderungen des § 11 i.d.R. zur Unzulässigkeit der Datenverarbeitung durch den Auftragnehmer, so etwa, wenn die Maßnahmen des 10-Punkte-Kataloges nicht gesetzeskonform umgesetzt sind4. Diese 1 Vgl. auch Freise in Taeger (Hrsg.), Digitale Evolution – Herausforderungen für das Informations- und Medienrecht, 161, 175. 2 Dieses Problem erkennt auch Freise in Taeger (Hrsg.), Digitale Evolution – Herausforderungen für das Informations- und Medienrecht, 161, 176. 3 Ebenso Gola/Schomerus, § 11 BDSG Rz. 28; Bergmann/Möhrle/Herb, § 11 BDSG Rz. 69. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 33.
426 Plath
Anwendungsbereich
§ 12 BDSG
Rechtsfolge ergibt sich nicht unmittelbar aus § 11, der keine Regelungen zu den Konsequenzen eines Verstoßes enthält. Jedoch ergibt sie sich aus § 4 Abs. 1, wonach Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig sind, soweit eine gesetzliche Erlaubnis vorliegt oder der Betroffene eingewilligt hat. Fehlt es also ein einer gesetzmäßigen Beauftragung des Auftraggebers im Einklang mit § 11, so liegt kein wirksame Auftragsdatenverarbeitung vor mit der Konsequenz, dass sich die Parteien nicht auf die Fiktion des § 3 Abs. 8 berufen können. Der Auftragnehmer bleibt also „Dritter“ und es findet folglich eine „Übermittlung“ von personenbezogenen Daten an den Auftragnehmer statt, die einer gesetzlichen Erlaubnis bzw. der Einwilligung der Betroffenen bedarf. Im Umkehrschluss heißt dies allerdings auch, dass eine missglückte Auftragsdatenverarbeitung nicht automatisch zur Unzulässigkeit der Datenverarbeitung führen muss. Denn wenn es nach dem BDSG, z.B. im Rahmen des § 28, zulässig wäre, die Daten an den Auftragnehmer zu übermitteln und diese von ihm verarbeiten zu lassen, so wird diese gesetzliche Erlaubnis nicht dadurch wieder entzogen, dass die Parteien beabsichtigt hatten, ihre Vertragsbeziehung den Regelungen des § 11 zu unterstellen1.
Zweiter Abschnitt Datenverarbeitung der öffentlichen Stellen Erster Unterabschnitt Rechtsgrundlagen der Datenverarbeitung Anwendungsbereich
12
(1) Die Vorschriften dieses Abschnittes gelten für öffentliche Stellen des Bundes, soweit sie nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. (2) Soweit der Datenschutz nicht durch Landesgesetz geregelt ist, gelten die §§ 12 bis 16, 19 bis 20 auch für die öffentlichen Stellen der Länder, soweit sie
1 So im Ergebnis wohl auch Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 14, allerdings ohne spezifische Auseinandersetzung mit der Frage, ob der missglückte Versuch einer Auftragsdatenverarbeitung den Rückgriff auf die allgemeinen Erlaubnistatbestände sperrt.
Plath/Roggenkamp 427
127
Anwendungsbereich
§ 12 BDSG
Rechtsfolge ergibt sich nicht unmittelbar aus § 11, der keine Regelungen zu den Konsequenzen eines Verstoßes enthält. Jedoch ergibt sie sich aus § 4 Abs. 1, wonach Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig sind, soweit eine gesetzliche Erlaubnis vorliegt oder der Betroffene eingewilligt hat. Fehlt es also ein einer gesetzmäßigen Beauftragung des Auftraggebers im Einklang mit § 11, so liegt kein wirksame Auftragsdatenverarbeitung vor mit der Konsequenz, dass sich die Parteien nicht auf die Fiktion des § 3 Abs. 8 berufen können. Der Auftragnehmer bleibt also „Dritter“ und es findet folglich eine „Übermittlung“ von personenbezogenen Daten an den Auftragnehmer statt, die einer gesetzlichen Erlaubnis bzw. der Einwilligung der Betroffenen bedarf. Im Umkehrschluss heißt dies allerdings auch, dass eine missglückte Auftragsdatenverarbeitung nicht automatisch zur Unzulässigkeit der Datenverarbeitung führen muss. Denn wenn es nach dem BDSG, z.B. im Rahmen des § 28, zulässig wäre, die Daten an den Auftragnehmer zu übermitteln und diese von ihm verarbeiten zu lassen, so wird diese gesetzliche Erlaubnis nicht dadurch wieder entzogen, dass die Parteien beabsichtigt hatten, ihre Vertragsbeziehung den Regelungen des § 11 zu unterstellen1.
Zweiter Abschnitt Datenverarbeitung der öffentlichen Stellen Erster Unterabschnitt Rechtsgrundlagen der Datenverarbeitung Anwendungsbereich
12
(1) Die Vorschriften dieses Abschnittes gelten für öffentliche Stellen des Bundes, soweit sie nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. (2) Soweit der Datenschutz nicht durch Landesgesetz geregelt ist, gelten die §§ 12 bis 16, 19 bis 20 auch für die öffentlichen Stellen der Länder, soweit sie
1 So im Ergebnis wohl auch Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 14, allerdings ohne spezifische Auseinandersetzung mit der Frage, ob der missglückte Versuch einer Auftragsdatenverarbeitung den Rückgriff auf die allgemeinen Erlaubnistatbestände sperrt.
Plath/Roggenkamp 427
127
BDSG § 12
Datenverarbeitung der öffentlichen Stellen
1. Bundesrecht ausführen und nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen oder 2. als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt. (3) Für Landesbeauftragte für den Datenschutz gilt § 23 Abs. 4 entsprechend. (4) Werden personenbezogene Daten für frühere, bestehende oder zukünftige Beschäftigungsverhältnisse erhoben, verarbeitet oder genutzt, gelten § 28 Absatz 2 Nummer 2 und die §§ 32 bis 35 anstelle der §§ 13 bis 16 und 19 bis 20. I. Allgemeines . . . . . . . . . . . . . . .
1
II. Öffentliche Stellen des Bundes und öffentlich-rechtliche Wettbewerbsunternehmen (Abs. 1) . . . . . . . . . . . . . . . . . . .
5
III. Öffentliche Stellen der Länder (Abs. 2) . . . . . . . . . . . . .
9
IV. Zeugnisverweigerungsrecht der LfD (Abs. 3). . . . . . . . . . . . . 10 V. Personaldatenverarbeitung (Abs. 4). . . . . . . . . . . . . . . . . . . . 11
Schrifttum: Bäumler, New Public Management und Persönlichkeitsschutz, CR 1997, 169; Brink/Wolff, Die verfassungsrechtliche Ausstrahlung des Datenschutzes auf den Verwaltungs- und Sozialgerichtsprozess, NVwZ 2011, 134; EngelienSchulz, Zum Umgang mit Personalaktendaten, Personaldaten und Personendaten auf Bundesebene im Zusammenhang mit der Privatisierung, RDV 2004, 112; Engelien-Schulz, Erläuterungen zum teilweise neuen § 12 Abs. 4 Bundesdatenschutzgesetz – Betrachtung eines Regelungsgeflechts, BWV 2003, 27; Fritsche, Datenschutz im öffentlichrechtlichen Bereich, LKV 1991, 81; Klink, Datenschutz in der elektronischen Justiz, Diss. Kassel 2010.
I. Allgemeines 1 Abweichend von der EG-Datenschutzrichtlinie unterscheidet das BDSG zwischen öffentlichen und nicht-öffentlichen Stellen. Die maßgeblichen Datenschutzvorschriften für öffentliche Stellen finden sich im zweiten Abschnitt. Der primäre Anwendungsbereich der spezifischen Datenschutzregelungen für den öffentlichen Bereich wird in Absatz 1 konstatiert. Die Vorschriften gelten für öffentliche Stellen des Bundes. 2 Aus dem Anwendungsbereich werden allerdings öffentlich-rechtliche Wettbewerbsunternehmen herausgenommen. Dieser Ausschluss ist jedoch nicht umfassend. Aus § 24 Abs. 1 i.V.m. § 2 ergibt sich, dass diese der Kontrolle des Bundesbeauftragten für den Datenschutz und Informa-
428 Roggenkamp
§ 12 BDSG
Anwendungsbereich
tionsfreiheit (BfDI) unterliegen. Für sie gilt also der dritte Unterabschnitt des zweiten Abschnitts1. In Absatz 2 wird weitgehend § 1 Abs. 2 paraphrasiert, zudem aber noch auf die konkret anwendbaren Vorschriften des zweiten Abschnitts verwiesen und auch hier werden die öffentlich-rechtlichen Wettbewerbsunternehmen ausgeklammert.
3
Absatz 3 erklärt das Zeugnisverweigerungsrecht des § 23 Abs. 4 für Landesbeauftragte für den Datenschutz für entsprechend anwendbar. In Absatz 4 werden für den Fall der Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Kontext von Beschäftigungsverhältnissen (vgl. § 3 Abs. 11) bestimmte Vorschriften des dritten Abschnitts, der grundsätzlich nur für nicht-öffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen gilt, für anwendbar erklärt.
4
II. Öffentliche Stellen des Bundes und öffentlich-rechtliche Wettbewerbsunternehmen (Abs. 1) In Absatz 1 wird zunächst klargestellt, dass die im zweiten Abschnitt getroffenen Regelungen grundsätzlich nur für öffentliche Stellen des Bundes Geltung beanspruchen. Die öffentlichen Stellen des Bundes sind in § 2, und dort insbesondere in Absatz 1 legaldefiniert2. Im Umkehrschluss folgt aus § 12 auch, dass der zweite Abschnitt für andere Stellen grundsätzlich nicht gilt.
5
Vom Anwendungsbereich ausgenommen sind die öffentlich-rechtlichen Unternehmen, soweit sie am Wettbewerb teilnehmen. Diese stehen regelmäßig mit privatrechtlich organisierten Unternehmen in Konkurrenz. Wettbewerbsverzerrungen durch unterschiedliche datenschutzrechtliche Regelungen sollen vermieden werden3. Für die Annahme, dass ein öffentlich-rechtliches Unternehmen „am Wettbewerb teilnimmt“ soll die abstrakte Möglichkeit einer Konkurrenzsituation ausreichend sein. Ein tatsächlicher Wettbewerb muss nach wohl herrschender Auffassung nicht bestehen4. Es müssen lediglich Leistungen erbracht werden, die auch von privaten Unternehmen angeboten werden (könnten)5. Eine
6
1 Simitis/Dammann, § 12 BDSG Rz. 2. 2 Siehe die Kommentierung zu § 2 BDSG Rz. 5 ff. 3 Gola/Schomerus, § 12 BDSG Rz. 2; Simitis/Dammann, § 12 BDSG Rz. 9; Bergmann/Möhrle/Herb, § 12 BDSG Rz. 8. 4 Gola/Schomerus, § 12 Rz. 2; Bergmann/Möhrle/Herb, § 12 BDSG Rz. 8; Taeger/ Gabel/Heckmann, § 12 BDSG Rz. 15. 5 Gola/Schomerus, § 12 BDSG Rz. 2.
Roggenkamp 429
BDSG § 12
Datenverarbeitung der öffentlichen Stellen
„Teilnahme am Wettbewerb“ kann also auch dann vorliegen, wenn öffentliche Unternehmen faktisch keine Konkurrenz haben1. 7 Wenn die öffentlich-rechtlichen Unternehmen einer Aufgabe nachgehen, die sich als hoheitliche Tätigkeit darstellt, gilt die Ausnahme nicht. Das ist für gemischt-tätige Unternehmen (z.B. die KfW) mit praktischen Problemen verbunden, da die Verarbeitung von Daten je nach Art der Tätigkeit (hoheitlich/nicht-hoheitlich) auf der Grundlage verschiedener Normen zu erfolgen hat, was den administrativen Aufwand erhöht2. 8 Von der Ausnahme des Absatz 1 wird in § 24 Abs. 1 BDSG eine Rückausnahme gemacht. Dort wird klargestellt, dass der BfDI sämtliche öffentlichen Stellen des Bundes, unabhängig von ihrer Teilnahme am Wettbewerb, kontrolliert. Der § 38 findet keine Anwendung3. III. Öffentliche Stellen der Länder (Abs. 2) 9 In Absatz 2 wird klargestellt, dass auch die Regelungen des zweiten Abschnitts des BDSG nachrangig zu den Landesdatenschutzgesetzen sind. Da inzwischen jedes Bundesland über ein eigenes Datenschutzgesetz verfügt, hat die Regelung keine praktische Bedeutung4. § 1 Abs. 2 wird insoweit eingeschränkt, dass auch hier die öffentlich-rechtlichen Wettbewerbsunternehmen ausgeklammert werden, soweit sie am Wettbewerb teilnehmen. Daneben werden die (nur noch theoretisch) anwendbaren Vorschriften des zweiten Abschnitts aufgelistet und damit die speziell auf die Bundesverwaltung und den BfDI bezogenen Regelungen ausgeklammert5. IV. Zeugnisverweigerungsrecht der LfD (Abs. 3) 10 Der § 23 Abs. 4, der den BfDI berechtigt, über Personen, die ihm in seiner Eigenschaft als Bundesbeauftragter Tatsachen anvertraut haben, so1 Bergmann/Möhrle/Herb, § 12 BDSG Rz. 8 – als Beispiel werden von diesen die Bundeswehrkrankenhäuser angeführt. Auch kommunale Verkehrs- oder Versorgungsbetriebe sind erfasst, Gola/Schomerus, § 12 BDSG Rz. 2. 2 Simitis/Simitis, § 27 BDSG Rz. 13 f. 3 Ausdrücklich auch noch einmal der § 27 Abs. 1 Satz 3 BDSG, nach welchem die §§ 18, 21 und 24 bis 26 BDSG gelten. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 12 BDSG Rz. 10; Gola/Schomerus, § 12 BDSG Rz. 5a; Taeger/Gabel/Heckmann, § 12 BDSG Rz. 16; Bergmann/ Möhrle/Herb, § 12 BDSG Rz. 13. 5 Vgl. Gola/Schomerus, § 12 BDSG Rz. 3.
430 Roggenkamp
Anwendungsbereich
§ 12 BDSG
wie über diese Tatsachen selbst das Zeugnis zu verweigern, gilt nach Abs. 3 für Landesdatenschutzbeauftragte (LfD) entsprechend. Da durch Landesgesetzgeber mangels Gesetzgebungskompetenz keine Ausnahmen von den in den Prozessordnungen niedergelegten Zeugnispflichten festgelegt werden können, war eine Regelung durch den Bund erforderlich1. Das Zeugnisverweigerungsrecht gilt nur im Zusammenhang mit der Wahrnehmung von Aufgaben des Datenschutzes2. Da der § 23 Abs. 4 BDSG in seiner Gesamtheit erfasst ist, erstreckt sich das Zeugnisverweigerungsrecht entsprechend § 23 Abs. 4 Satz 2 BDSG auch auf die Mitarbeiter der LfD3. Der LfD entscheidet über die Ausübung des Zeugnisverweigerungsrechts der Mitarbeiter, da keine andere hierzu berufene Instanz ersichtlich ist4. V. Personaldatenverarbeitung (Abs. 4) Absatz 4 ist Ausdruck des Grundgedankens, dass alle Arbeits- und Beschäftigungsverhältnisse unabhängig von der Einstufung des Arbeitgebers als öffentliche oder nicht-öffentliche Stelle in datenschutzrechtlicher Hinsicht gleich behandelt werden sollen5. Dementsprechend werden die hierfür relevanten Vorschriften des dritten Abschnitts, also § 28 Abs. 2 Nr. 2 sowie die §§ 32–35, für unmittelbar anwendbar erklärt, wenn personenbezogene Daten für frühere, bestehende oder zukünftige Beschäftigungsverhältnisse erhoben, verarbeitet oder genutzt werden.
11
Erfasst sind sämtliche (befristeten und unbefristeten, Teilzeit und Vollzeit) Beschäftigtenverhältnisse6 im öffentlichen Dienst, d.h. sowohl Beamte, Richter, Tarifbeschäftigte, Auszubildende, Soldaten, Angestellte und Arbeiter7. Nicht erfasst sind hingegen Bundestagsabgeordnete und Inhaber anderer Wahlämter im Bundestag8. Auf Basis von Werkver-
12
1 Simitis/Dammann, § 12 BDSG Rz. 18; Gola/Schomerus, § 12 BDSG Rz. 6; Bergmann/Möhrle/Herb, § 12 BDSG Rz. 14. 2 Bergmann/Möhrle/Herb, § 12 BDSG Rz. 17. 3 Bergmann/Möhrle/Herb, § 12 BDSG Rz. 15; Gola/Schomerus, § 12 BDSG Rz. 6; Simitis/Dammann, § 12 BDSG Rz. 20. 4 Simitis/Dammann, § 12 BDSG Rz. 20 – Die entsprechende „Maßgabe“ des § 23 Abs. 4 Satz 2 gilt nicht entsprechend, da bezüglich organisatorischer Angelegenheiten der Länder keine Gesetzgebungskompetenz des Bundes besteht. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 12 BDSG Rz. 14. 6 Vgl. auch die Kommentierung zu § 3 Nr. 11 BDSG Rz. 87 ff. 7 Däubler/Klebe/Wedde/Weichert/Wedde, § 12 BDSG Rz. 16; Gola/Schomerus, § 12 BDSG Rz. 7. 8 Taeger/Gabel/Heckmann, § 12 BDSG Rz. 33; Däubler/Klebe/Wedde/Weichert/ Wedde, § 12 BDSG Rz. 17.
Roggenkamp 431
BDSG § 13
Datenverarbeitung der öffentlichen Stellen
trägen Tätige werden ebenfalls nicht erfasst1. Für sie gilt der dritte Abschnitt unmittelbar2. 13 Aus der Nennung der „zukünftigen Beschäftigungsverhältnisse“ folgt, dass auch die Verarbeitung von Bewerberdaten von Absatz 4 erfasst ist. 14 Die Art der Verarbeitung (automatisiert oder nicht-automatisiert) ist unerheblich (vgl. § 32 Abs. 2). Mit Blick auf Personalakten gehen die speziellen Regelungen der §§ 106–115 BBG dem BDSG vor3. 15 Die Datenerhebung, -verarbeitung oder -nutzung muss „für“ Beschäftigungsverhältnisse erfolgen, damit Absatz 4 greift. Das bedeutet, dass Datenerhebung, -verarbeitung oder -nutzung, die anderen Zwecken dient, aber personenbezogene Daten der Beschäftigten betrifft, nach den Regelungen des zweiten Abschnitts erfolgt4. 16 Auf Grund der konkreten Verweisung auf § 28 Abs. 2 sind die speziellen Regelungen zur Verarbeitung besonderer personenbezogener Daten (§ 3 Abs. 9) in § 28 Abs. 6 ausgenommen worden. Gleichzeitig sind die entsprechenden Regelungen im zweiten Abschnitt nicht anwendbar. Die besondere Schutzbedürftigkeit „sensibler Daten“ ist dennoch im Rahmen der Bewertung der Erforderlichkeit nach § 32 Abs. 1 Satz 1 zu berücksichtigen5. Datenerhebung
13
(1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist. (1a) Werden personenbezogene Daten statt beim Betroffenen bei einer nicht-öffentlichen Stelle erhoben, so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. (2) Das Erheben besonderer Arten personenbezogener Daten (§ 3 Abs. 9) ist nur zulässig, soweit
1 2 3 4
Simitis/Dammann, § 12 BDSG Rz. 27. Däubler/Klebe/Wedde/Weichert/Wedde, § 12 BDSG Rz. 17. Gola/Schomerus, § 12 BDSG Rz. 7. Simitis/Dammann, § 12 BDSG Rz. 28; für eine weitere Auslegung Däubler/Klebe/Wedde/Weichert/Wedde, § 12 BDSG Rz. 21. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 12 BDSG Rz. 24.
432 Roggenkamp
§ 13 BDSG
Datenerhebung
1. eine Rechtsvorschrift dies vorsieht oder aus Gründen eines wichtigen öffentlichen Interesses zwingend erfordert, 2. der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, 3. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben, 4. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat, 5. dies zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist, 6. dies zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich ist, 7. dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen, 8. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann oder 9. dies aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist. I. Allgemeines . . . . . . . . . . . . . . .
1
II. Erhebung personenbezogener Daten (Abs. 1) . . . . . . . . . . . . .
2
III. Art und Weise der Erhebung .
9
IV. Erhebung bei nicht-öffentlicher Stelle (Abs. 1a) . . . . . . . 12 V. Einschränkungen bei sensiblen Daten (Abs. 2) . . . . . . . . 13 1. Vorliegen einer Rechtsvorschrift (Abs. 2 Nr. 1) . . . . . 14
2. Vorliegen einer Einwilligung (Abs. 2 Nr. 2) . . . . . . . . . . . . . . . 3. Schutz lebenswichtiger Interessen (Abs. 2 Nr. 3) . . . . . 4. Offenkundig öffentliche Daten (Abs. 2 Nr. 4) . . . . . . . . . 5. Abwehr erheblicher Gefahren (Abs. 2 Nr. 5) . . . . . . . . . . . . . . . 6. Belange des Gemeinwohls (Abs. 2 Nr. 6) . . . . . . . . . . . . . . . 7. Gesundheit (Abs. 2 Nr. 7) . . . . 8. Forschung (Abs. 2 Nr. 8) . . . . . 9. Verteidigung (Abs. 2 Nr. 9) . . .
15 16 18 20 21 22 23 24
Roggenkamp 433
BDSG § 13
Datenverarbeitung der öffentlichen Stellen
Schrifttum: Brenneisen/Bock, Die präventiv-polizeiliche Rasterfahndung im Lichte der aktuellen Rechtsprechung des BVerfG, DuD 2006, 685; Eifert, Informationelle Selbstbestimmung im Internet – Das BVerfG und die Online-Durchsuchungen, NVwZ 2008, 521; Geis, Individualrechte in der sich verändernden europäischen Datenschutzlandschaft, CR 1995, 171; Hornung, Ein neues Grundrecht, CR 2008, 299; Tinnefeld, Persönlichkeitsrecht und Modalitäten der Datenerhebung im Bundesdatenschutzgesetz, NJW 1993, 1117; Zilkens, Datenerhebungen in der öffentlichen Verwaltung – Datenschutzgerechte Befragungen von Bürgern und Bediensteten, ZD 2012, 371.
I. Allgemeines 1 Bereits die Erhebung von personenbezogenen Daten ist eine mit Blick auf das Grundrecht auf informationelle Selbstbestimmung relevante Handlung. Dementsprechend regelt § 13, wann diese Erhebung, die allgemein bereits durch § 4 erfasst ist, durch eine öffentliche Stelle erfolgen darf. Während in Absatz 1 und Absatz 2 die Zulässigkeit der Erhebung geregelt ist, enthält Absatz 1a eine Hinweispflicht für die verantwortliche Stelle. § 13 gilt primär (vgl. im Einzelnen die Kommentierung zu § 12) für öffentliche Stellen des Bundes soweit sie nicht als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. II. Erhebung personenbezogener Daten (Abs. 1) 2 Der § 13 ist eine spezifische Ergänzung des § 4. Er ist Grundlage für die Rechtmäßigkeit des Eingriffs in das Recht auf informationelle Selbstbestimmung des Bürgers durch die Erhebung dessen personenbezogener Daten. Mit „Erheben“ ist auch hier das aktive und willentliche1 „Beschaffen von Daten“ über den Betroffenen gemeint (§ 3 Abs. 3). 3 Der Begriff ist weit zu verstehen. Es ist unerheblich, ob die Daten durch eigenes Tätigwerden (Befragung, Beobachtung) oder durch Dritte im Auftrag beschafft werden2. Ebensowenig spielt es eine Rolle, mit welchen Hilfsmitteln oder über welchem Kommunikationsweg die Daten beschafft werden. Eine tatsächliche Kenntnisnahme ist nicht erforderlich. Ausreichend ist es, wenn Daten mit Willen der verantwortlichen Stelle in ihren Herrschaftsbereich gelangen3. Die tatsächliche Kenntnis-
1 Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 3. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 4; Simitis/Sokol, § 13 BDSG Rz. 11. 3 Simitis/Sokol, § 13 BDSG Rz. 11 – siehe auch die Kommentierung zu § 3 Abs. 3 BDSG Rz. 30.
434 Roggenkamp
Datenerhebung
§ 13 BDSG
nahme von Daten ist, wenn ein entsprechender Vorsatz vorliegt, z.B. im Rahmen einer Beobachtung, als Erhebung anzusehen1. An diesem fehlt es, wenn die öffentliche Stelle personenbezogene Daten ohne Anforderung erhält (z.B. durch einen Antrag oder eine Anzeige) oder sie Zufallsbeobachtungen macht2. Die öffentlichen Stellen dürfen personenbezogene Daten nur für Zwe- 4 cke ihrer eigenen Aufgabenerfüllung erheben. Das bedeutet, dass die öffentliche Stelle für die in Rede stehende Aufgabe3 örtlich (vgl. z.B. § 3 VwVfG) und sachlich zuständig4 sein muss. Selbstverständlich ist, dass die angestrebte Aufgabenerfüllung selbst rechtmäßig sein muss5. Die Erhebung der personenbezogenen Daten muss für die Zweckerrei- 5 chung erforderlich sein. Diese Anforderung steht im Kontext zum Grundsatz der Datenvermeidung und Datensparsamkeit (§ 3a). Es dürfen nur die personenbezogenen Daten erhoben werden, ohne die die öffentliche Stelle ihre Aufgaben nicht, nicht vollständig oder nicht in rechtmäßiger Weise durchführen könnte6. Das bedeutet, dass eine Erhebung nicht zulässig ist, wenn sie für die öffentliche Stelle lediglich dienlich, praktisch, geeignet oder zweckmäßig ist7. Von einer Erforderlichkeit kann indes ausgegangen werden, wenn die Er- 6 hebung dazu führt, dass im Interesse des Betroffenen die Aufgabenerfüllung beschleunigt werden kann; insbesondere, wenn ansonsten die Aufgabenerfüllung nicht in angemessener Zeit möglich ist8. Die Beurteilung der Erforderlichkeit der Erhebung ist ex-ante, also zum 7 Zeitpunkt der Erhebung selbst vorzunehmen. Im Rahmen der regelmäßig notwendigen Sachverhaltserforschung9, beispielsweise zur Vorbereitung einer Ermessensentscheidung, ist somit eine Erhebung nicht deshalb unzulässig, weil sich ex-post herausstellt, dass die gewonnenen Erkenntnisse für die Entscheidung nicht relevant waren. In einem sol1 Simitis/Sokol, § 13 BDSG Rz. 14. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 5; Tinnefeld, NJW 1993, 1117. 3 Die nach Art. 7 EG-Datenschutzrichtlinie im öffentlichen Interesse liegen oder in Ausübung öffentlicher Gewalt erfolgen muss. 4 Aufgabenzuweisungen finden sich bspw. in § 3 BSIG oder § 4 BKAG. 5 Statt aller Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 9. 6 Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 15. 7 Simitis/Sokol, § 13 BDSG BDSG Rz. 26. 8 Taeger/Gabel/Heckmann, § 13 BDSG Rz. 20; Bergmann/Möhrle/Herb, § 13 BDSG Rz. 23. 9 Vgl. §§ 24, 26 VwVfG.
Roggenkamp 435
BDSG § 13
Datenverarbeitung der öffentlichen Stellen
chen Fall sind die nicht benötigten Daten aber umgehend zu löschen (§ 20 Abs. 2 Nr. 2). Die Erhebung muss im konkreten Fall, bezogen auf den individuell Betroffenen erforderlich sein. Das ist nicht der Fall, wenn die Erhebung erst in der Zukunft relevant werden könnte, beziehungsweise die Daten ggf. benötigt werden könnten1. Bereits die „anlasslose“ Erhebung, nicht erst die Speicherung „auf Vorrat“, ist unzulässig2. 8 Erfolgt die Erhebung nicht zum Zweck der Aufgabenerfüllung der öffentlichen Stelle oder ist sie für diese nicht erforderlich, so ist sie unzulässig und gleichzeitig ein ungerechtfertigter (rechtswidriger) Eingriff in das Recht auf informationelle Selbstbestimmung des Betroffenen. Die Daten dürfen weder verarbeitet noch genutzt werden3. III. Art und Weise der Erhebung 9 In engem Zusammenhang mit der Frage, ob eine Datenerhebung für die Aufgabenerfüllung erforderlich ist, steht die Frage nach der Art und Weise der Datenerhebung. Insbesondere im Bereich der präventiven und repressiven Tätigkeit der Polizei und Staatsanwaltschaft ist ein enges Netz an zu beachtenden Vorschriften geschaffen worden, um ein Übermaß an grundrechtsrelevanter staatlicher „Erhebungstätigkeit“ zu verhindern. Dennoch musste das BVerfG wiederholt die zum Schutze der Bürger grundrechtlich gebotenen Grenzen aufzeigen4. 10 Bemerkenswert ist in diesem Zusammenhang insbesondere die Entscheidung zur so genannten „Online-Durchsuchung“5, also der Ermöglichung der heimlichen Durchsuchung eines Computers ohne Kenntnis des Betroffenen. Im Rahmen dieser Entscheidung hat das BVerfG festgestellt, dass das allgemeine Persönlichkeitsrecht auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme6 umfasst. Es schützt den Bürger insbesondere vor 1 Taeger/Gabel/Heckmann, § 13 BDSG Rz. 23. 2 Simitis/Sokol, § 13 Rz. 26; Gola/Schomerus, § 13 BDSG Rz. 4; vgl. st. Rspr. des BVerfG v. 2.3.2010 – 1 BvR 256/08 – Vorratsdatenspeicherung; BVerfGE 65, 1, 46; 100, 313, 360; 115, 320, 350; 118, 168, 187. 3 Simitis/Sokol, § 13 BDSG Rz. 28. 4 Vgl. z.B. BVerfG v. 3.3.2004 – 1 BvR 2378/98 u. 1 BvR 1084/99, CR 2004, 343 – „Großer Lauschangriff“; BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306 – Online-Durchsuchung; BVerfG v. 2.3.2010 – 1 BvR 256/08, CR 2010, 232 – Vorratsdatenspeicherung. 5 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306, hierzu statt vieler Eifert, NVwZ 2008, 521. 6 Hierzu Hornung, CR 2008, 299.
436 Roggenkamp
Datenerhebung
§ 13 BDSG
einem heimlichen Zugriff auf seinen PC, durch den die auf dem System vorhandenen Daten ganz oder zu wesentlichen Teilen ausgespäht werden können1. Ein Eingriff durch eine heimliche Infiltration eines informationstechnischen Systems, ist nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Als „überragend wichtig“ werden die Rechtsgüter Leib, Leben und Freiheit der Person und solche Güter der Allgemeinheit angesehen, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt. Ein Eingriff ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen und es müssen gesetzliche Vorkehrungen getroffen werden, um den Kernbereich privater Lebensgestaltung zu schützen2. In der Praxis hat sich gezeigt, dass mit diesen Vorgaben auch weiterhin lax umgegangen wird. So wurde im Oktober 2011 bekannt, dass trotz Fehlens einer hinreichenden Rechtsgrundlage Rechner verdächtiger Personen mit einem sog. Staatstrojaner infiltriert wurden, um im Rahmen einer „Quellen-Telekommunikationsüberwachung“ VoIP-Gespräche abhören zu können3.
11
IV. Erhebung bei nicht-öffentlicher Stelle (Abs. 1a) Der Grundsatz der Direkterhebung beim Betroffenen (§ 4 Abs. 2 Satz 14) 12 kann auch von öffentlichen Stellen unter den Voraussetzungen des § 4 Abs. 2 Satz 2 ausnahmsweise durchbrochen werden. Werden personenbezogene Daten über einen Dritten bei einer nicht-öffentlichen Stelle (§ 2 Abs. 4) erhoben, ist die öffentliche Stelle nach Abs. 1a verpflichtet, darauf hinzuweisen, ob und wenn ja auf welcher Rechtsgrundlage eine Verpflichtung zur Auskunft besteht. Dahinter steht der Gedanke, dass von nicht-öffentlichen Stellen nicht erwartet werden kann, dass sie über eine entsprechende Rechtskenntnis verfügen5. Besteht keine Verpflichtung zur Auskunft, ist hierauf ebenfalls hinzuweisen. Über den Erhebungszweck ist im Gegensatz zu § 4 Abs. 3 Nr. 2 regelmäßig nicht zu informieren, da dieser typischerweise nur das Rechtsverhältnis zwischen der öffentlichen Stelle und den Betroffenen berührt6. 1 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306 – Rz. 205. 2 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306 – Leitsätze 2 und 3. 3 Hierzu Braun/Roggenkamp, K&R 2011, 681. 4 Hierzu näher die Kommentierung zu § 4 Rz. 6 ff. 5 Simitis/Sokol, § 13 BDSG Rz. 29. 6 Simitis/Sokol, § 13 BDSG Rz. 32; Taeger/Gabel/Heckmann, § 13 BDSG Rz. 35.
Roggenkamp 437
BDSG § 13
Datenverarbeitung der öffentlichen Stellen
V. Einschränkungen bei sensiblen Daten (Abs. 2) 13 In Absatz 2 findet sich eine weitere Einschränkung der Erhebungsmöglichkeiten öffentlicher Stellen. Besondere Arten personenbezogener Daten (§ 3 Abs. 9) – auch als „sensitive“ oder besser „sensible“ Daten1 bezeichnet – dürfen nur erhoben werden, wenn einer der enumerativ aufgelisteten, eng auszulegenden2 und abschließenden3 Ausnahmetatbestände erfüllt ist. 1. Vorliegen einer Rechtsvorschrift (Abs. 2 Nr. 1) 14 Die Erhebung sensibler Daten ist öffentlichen Stellen immer dann gestattet, wenn eine Rechtsvorschrift dies vorsieht oder aus Gründen eines „wichtigen öffentlichen Interesses“ zwingend erfordert. Die in Rede stehende Rechtsvorschrift selbst, muss bei europarechtskonformer Auslegung (Art. 8 Abs. 4 EG-Datenschutzrichtlinie) die Erhebung ebenfalls auf Grund eines wichtigen öffentlichen Interesses fordern. Ob ein öffentliches Interesse „wichtig“ ist, ist Auslegungsfrage. Deutlich wird, dass nicht jedes öffentliche Interesse ausreichend sein kann4. Der Definitionsversuch, dass es sich um ein öffentliches Interesse von solcher Bedeutung und Tragweite handeln müsse, dass ausnahmsweise ein Abweichen von den verbindlichen Vorgaben des gesetzlichen Datenschutzes gerechtfertigt sei5, hilft nur bedingt weiter. Anhaltspunkte bieten die Erwägungsgründe 34 bis 36 der EG-Datenschutzrichtlinie, in welchen beispielsweise das öffentliche Gesundheitswesen und die sozialen Sicherungssysteme benannt sind6. Daraus kann gefolgert werden, dass ein wichtiges öffentliches Interesse (zumindest) all die Einrichtungen und Tätigkeiten des Staates erfasst, die für das Wohl der Allgemeinheit und den Bestand des Staates von nicht unerheblicher Bedeutung sind. Im Falle des Vorliegens einer Rechtsvorschrift, kann – so lange nicht Gegenteiliges offensichtlich ist – davon ausgegangen werden, dass der Gesetzgeber das Vorliegen eines wichtigen öffentlichen Interesses geprüft und bejaht hat7. Im Falle der zweiten Alternative ist im Einzelfall eine 1 So auch die Bezeichnung bei Taeger/Gabel/Heckmann, § 13 BDSG Rz. 36 sowie Bergmann/Möhrle/Herb, § 13 BDSG Rz. 28. 2 Simitis/Sokol, § 13 BDSG Rz. 34. 3 Taeger/Gabel/Heckmann, § 13 BDSG Rz. 36. 4 Simitis/Sokol, § 13 BDSG Rz. 35; Bergmann/Möhrle/Herb, § 13 BDSG Rz. 30. 5 Simitis/Sokol, § 13 BDSG Rz. 35; Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 26. 6 Gola/Schomerus, § 13 BDSG Rz. 14. 7 Gola/Schomerus, § 13 BDSG Rz. 14.
438 Roggenkamp
Datenerhebung
§ 13 BDSG
strenge Erforderlichkeitsprüfung vorzunehmen. Das geforderte „zwingende“ Erfordernis der Erhebung ist nur dann gegeben, wenn praktisch keine Alternative gegeben ist1. 2. Vorliegen einer Einwilligung (Abs. 2 Nr. 2) Eine Erhebung sensibler Daten ist auch dann zulässig, wenn der Betrof- 15 fene eingewilligt2 hat. Die Einwilligung muss sich ausdrücklich auf diese Daten beziehen (§ 4a Abs. 3). Eine konkludente Einwilligung reicht nicht aus3. 3. Schutz lebenswichtiger Interessen (Abs. 2 Nr. 3) Die Erhebung sensibler personenbezogener Daten ist auch zulässig, wenn dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist. Zusätzlich muss der Betroffene aus physischen oder rechtlichen Gründen zur Einwilligungserteilung außerstande sein. Der Begriff der „lebenswichtigen“ Interessen umfasst alle existentiellen Interessen, insbesondere die Rechtsgüter Leib und Leben4.
16
Problematisiert wird in diesem Zusammenhang, inwieweit Beachtung 17 finden muss, dass der Betroffene im Einzelfall erkennbar seine Einwilligung nicht erteilt hätte, wäre er zur Erteilung in der Lage gewesen5. Gola/Schomerus6 und Dammann7 ist darin zuzustimmen, dass ein erkennbarer Wille des Betroffenen bei der Frage der Zulässigkeit der Erhebung zu respektieren und zu berücksichtigen ist. Steht mit hinreichender Sicherheit fest, dass die Erhebung dem Willen des Betroffenen widerspricht, so hat sie zu unterbleiben. Sind für einen objektiven Dritten keine oder keine hinreichenden Anhaltspunkte für einen entgegenstehenden Willen des Betroffenen erkennbar, ist die Erhebung zulässig.
1 Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 26; Gola/Schomerus, § 13 BDSG Rz. 15. 2 Siehe hierzu die Kommentierung des § 4a BDSG. 3 Gola/Schomerus, § 13 BDSG Rz. 16; Bergmann/Möhrle/Herb, § 13 BDSG Rz. 31. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 13 BDSG Rz. 30. 5 Vgl. die Darstellung bei Taeger/Gabel/Heckmann, § 13 Rz. 53 ff. 6 Gola/Schomerus, § 13 BDSG Rz. 17. 7 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 8 Rz. 11; zurückhaltend Simitis/Sokol, § 13 BDSG Rz. 37.
Roggenkamp 439
BDSG § 13
Datenverarbeitung der öffentlichen Stellen
4. Offenkundig öffentliche Daten (Abs. 2 Nr. 4) 18 Öffentliche Daten des Betroffenen sind solche, die jedermann ohne besondere Schwierigkeiten einsehen kann. Sie sind immer dann offenkundig öffentlich, wenn aus der Perspektive des objektiven Betrachters die Veröffentlichung mit dem eindeutigen Willen des Betroffenen erfolgt ist1. Ein „eindeutiger Wille“ ist regelmäßig nicht erkennbar, wenn die sensiblen Daten durch einen Dritten veröffentlicht wurden, z.B. im Rahmen eines Presseartikels, eines Eintrags auf einem Blog oder einer Social Networking Plattform. 19 Veröffentlicht der Betroffene sensible Daten selbst, ist grundsätzlich von einer Offenkundigkeit auszugehen. Dies betrifft insbesondere auch Daten die der Betroffene selbst im Internet (z.B. bei Twitter, in einem Blog oder auf einer Homepage) einstellt und die ohne Weiteres für jeden Nutzer „sichtbar“ sind. Wenn sich der Betroffene dafür entscheidet, den Zugriff durch einen unbestimmten Personenkreis nicht (z.B. durch Passwortschutz) zu unterbinden, kann von einem Veröffentlichungswillen ausgegangen werden2. Ob ein eindeutiger Veröffentlichungswille des Betroffenen angenommen werden kann, wenn die Daten in einem sog. sozialen Netzwerk eingestellt wurden, muss nach hier vertretener Auffassung von der Ausrichtung bzw. dem Zweck des Angebots abhängig gemacht werden. Dient das Netzwerk der beruflichen Kontaktpflege (z.B. Xing, LinkedIn) und dem „Networking“, kann der objektive Betrachter unter Berücksichtigung dieses Zwecks von einem eindeutigen Veröffentlichungswillen ausgehen. Bei Netzwerken, die primär dem Austausch unter „Freunden“ dienen (private soziale Netzwerke – z.B. Facebook), kann ein Veröffentlichungswille nicht ohne weiteres angenommen werden. Das gilt insbesondere, wenn das in Rede stehende Netzwerk die Nutzerdaten in der Grundeinstellung „für jedermann sichtbar“ vorhält und der Nutzer hierauf nicht oder nicht hinreichend deutlich im Registrierungsprozess hingewiesen wird. Auch bei Berücksichtigung der Tatsache, dass die Datenschutzdefizite und -bedingungen bei großen sozialen Netzwerken inzwischen Gegenstand der Erörterung in Abendnachrichten und allgemeinen Tageszeitungen sind, kann nicht davon ausgegangen werden, dass jedermann über die Notwendigkeit der Vornahme entsprechender Änderungen weiß. Im Gegenteil, gerade auf Grund der o.g. Berichterstattung kann nicht davon ausgegangen werden,
1 Vgl. Gola/Schomerus, § 13 Rz. 18. 2 Vgl. LG Köln v. 22.6.2011 – 28 O 819/10.
440 Roggenkamp
§ 13 BDSG
Datenerhebung
dass de facto über private soziale Netzwerke öffentlich zugängliche sensible Daten mit Willen des Betroffenen öffentlich zugänglich sind. 5. Abwehr erheblicher Gefahren (Abs. 2 Nr. 5) Nach Art. 3 Abs. 2 der EG-Datenschutzrichtlinie findet diese keine An- 20 wendung auf die Verarbeitung personenbezogener Daten betreffend die öffentliche Sicherheit. Dementsprechend ist in Nr. 5 die Erhebung sensibler Daten zum Zweck der Gefahrenabwehr zulässig. Es muss allerdings nach dem Wortlaut eine „erhebliche Gefahr“ für die öffentliche Sicherheit vorliegen. Im Gefahrenabwehrrecht wird hierunter gemeinhin eine „Gefahr für ein bedeutsames Rechtsgut wie Bestand des Staates, Leben, Gesundheit, Freiheit, nicht unwesentliche Vermögenswerte sowie andere strafrechtlich geschützte Güter“ verstanden1. Daraus folgt, dass Gefahrenabwehrmaßnahmen zum Schutz der öffentlichen Ordnung nicht von Nr. 5 abgedeckt sind. 6. Belange des Gemeinwohls (Abs. 2 Nr. 6) Die Ausnahmeregelung der Nr. 6, die eine Erhebung sensibler Daten zur 21 Abwehr von Nachteilen für bzw. zur Wahrung von Belangen des Gemeinwohls gestattet, ist mit Blick auf den Wortlaut der weiteste und unbestimmteste der Ausnahmetatbestände2. Der Begriff der „Belange des Gemeinwohls“ ist insofern vergleichbar mit dem unbestimmten Begriff der „öffentlichen Ordnung“ im Gefahrenabwehrrecht. Er wird in anderen Rechtsgebieten mit den „wesentlichen Interessen der Öffentlichkeit“ gleichgesetzt3, die freilich ebenfalls wenig greifbar sind. Ein Definitionsversuch in der datenschutzrechtlichen Literatur4 beschreibt das Gemeinwohl als das „Wohlergehen einer Gemeinschaft, also einer Gruppe von Menschen mit gemeinsamen Lebensumständen und Interessen“, was gleichsam wenig Erhellung verschafft. Fest steht lediglich, dass private Interessen Einzelner, die hinter den durch die öffentliche Sicherheit (Nr. 5) geschützten Rechtsgütern zurückbleiben, nicht umfasst sind. Unter Berücksichtigung des besonderen Schutzbedarfs sensibler Daten, muss es sich um Angelegenheiten handeln, die von „erheblicher“ Bedeutung für eine Vielzahl von Personen sind.
1 2 3 4
Siehe z.B. die Legaldefinition in § 2 Satz 1 Nr. 1c) Nds.SOG. Vgl. Taeger/Gabel/Heckmann, § 13 BDSG Rz. 67. Z.B. MüKo-GmbHG/Limpert, § 62 Rz. 32. Gola/Schomerus, § 13 BDSG Rz. 20.
Roggenkamp 441
BDSG § 13
Datenverarbeitung der öffentlichen Stellen
7. Gesundheit (Abs. 2 Nr. 7) 22 Im Gesundheitsbereich, genauer im Bereich der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten ist die Erhebung sensibler personenbezogener Daten zulässig, wenn sie zur Erfüllung der in den Bereichen verfolgten Zwecke erforderlich ist. Die Verarbeitung der Daten muss durch in diesem Bereich tätiges Personal erfolgen, das einer Geheimhaltungspflicht (vgl. § 203 Abs. 1 Nr. 1 StGB) unterliegt1. Auch Verwaltungen, Abrechnungsstellen und Apotheken sind erfasst2. 8. Forschung (Abs. 2 Nr. 8) 23 Ist die Erhebung sensibler personenbezogener Daten für die Durchführung von Forschungsprojekten erforderlich, kann sie nach Nr. 8 zulässig sein. Es muss sich bei den Forschungsprojekten um wissenschaftliche Vorhaben handeln. Die Zulässigkeit steht unter der Prämisse, dass bei einer Abwägung mit dem wissenschaftlichen Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung nicht erheblich überwiegt3. Außerdem muss der Zweck der Forschung auf andere Weise entweder gar nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden können. 9. Verteidigung (Abs. 2 Nr. 9) 24 Ausweislich Art. 3 Abs. 2 EG-Datenschutzrichtlinie findet diese keine Anwendung auf die Verarbeitung personenbezogener Daten, die für „die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt)“ erfolgt. Dementsprechend ist nach Nr. 9 die Erhebung sensibler personenbezogener Daten zulässig, wenn zwingende Gründe der Verteidigung, der Erfüllung über- oder zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung, der Konfliktverhinderung oder für humanitäre Maßnahmen diese erforderlich machen. 1 Hierzu von Lewinski, MedR 2004, 95. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 13 Rz. 307; Gola/Schomerus, § 13 Rz. 22. 3 Nach Bergmann/Möhrle/Herb, § 13 BDSG Rz. 38 soll ein erhebliches Überwiegen gegenüber dem Betroffeneninteresse anzunehmen sein, wenn „das Forschungsvorhaben erhebliche Auswirkungen auf die Gesundheit oder die soziale Sicherung der Bevölkerung hat“.
442 Roggenkamp
Datenspeicherung, -veränderung und -nutzung
§ 14 BDSG
Datenspeicherung, -veränderung und -nutzung (1) 1Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist und es für die Zwecke erfolgt, für die die Daten erhoben worden sind. 2Ist keine Erhebung vorausgegangen, dürfen die Daten nur für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden sind.
14
(2) Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig, wenn 1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt, 2. der Betroffene eingewilligt hat, 3. offensichtlich ist, dass es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme besteht, dass er in Kenntnis des anderen Zwecks seine Einwilligung verweigern würde, 4. Angaben des Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen, 5. die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Zweckänderung offensichtlich überwiegt, 6. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist, 7. es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist, 8. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist oder 9. es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. (3) 1Eine Verarbeitung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, Roggenkamp 443
BDSG § 14
Datenverarbeitung der öffentlichen Stellen
der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen für die verantwortliche Stelle dient. 2Das gilt auch für die Verarbeitung oder Nutzung zu Ausbildungs- und Prüfungszwecken durch die verantwortliche Stelle, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen. (4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden. (5) 1Das Speichern, Verändern oder Nutzen von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) für andere Zwecke ist nur zulässig, wenn 1. die Voraussetzungen vorliegen, die eine Erhebung nach § 13 Abs. 2 Nr. 1 bis 6 oder 9 zulassen würden oder 2. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das öffentliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. 2Bei der Abwägung nach Satz 1 Nr. 2 ist im Rahmen des öffentlichen Interesses das wissenschaftliche Interesse an dem Forschungsvorhaben besonders zu berücksichtigen. (6) Die Speicherung, Veränderung oder Nutzung von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) zu den in § 13 Abs. 2 Nr. 7 genannten Zwecken richtet sich nach den für die in § 13 Abs. 2 Nr. 7 genannten Personen geltenden Geheimhaltungspflichten. I. Allgemeines . . . . . . . . . . . . . . . II. Speicherung, Veränderung und Nutzung durch öffentliche Stellen (Abs. 1) . . . . . . . . 1. Speicherung, Veränderung und Nutzung . . . . . . . . . . . . . . 2. Erforderlichkeit . . . . . . . . . . . . 3. Zweckbindung. . . . . . . . . . . . . III. Ausnahmen (Abs. 2) . . . . . . . . 1. Rechtsvorschrift (Abs. 2 Nr. 1) . . . . . . . . . . . . . . . . . . . . . 2. Einwilligung des Betroffenen (Abs. 2 Nr. 2) . . . . . . . . . . . . . .
444 Roggenkamp
1
2 2 3 4 7 8 9
3. Offensichtliches Betroffeneninteresse (Abs. 2 Nr. 3) . . . . . . 4. Überprüfung von Angaben bei Verdacht auf Unrichtigkeit (Abs. 2 Nr. 4) . . . . . . . . . . . 5. Allgemein zugängliche Daten (Abs. 2 Nr. 5) . . . . . . . . . . . . . . . 6. Belange des Gemeinwohls (Abs. 2 Nr. 6) . . . . . . . . . . . . . . . 7. Verfolgung und Vollstreckung von Straftaten und Ordnungswidrigkeiten (Abs. 2 Nr. 7) . . .
10
12 13 14
15
Datenspeicherung, -veränderung und -nutzung 8. Abwehr schwerwiegender Beeinträchtigungen Dritter (Abs. 2 Nr. 8) . . . . . . . . . . . . . . 16 9. Wissenschaftliche Forschung (Abs. 2 Nr. 9) . . . . . . . . . . . . . . 18
§ 14 BDSG
V. Zweckänderungsverbot (Abs. 4). . . . . . . . . . . . . . . . . . . . 20 VI. Sensible Daten (Abs. 5) . . . . . . 21 VII. Medizinische Daten (Abs. 6). . 24
IV. Sekundärzwecke (Abs. 3) . . . . 19 Schrifttum: Arbeitsgruppe „Elektronische Verwaltungsakte“, „Anforderungen der Verwaltungsgerichtsbarkeit an die Führung elektronischer Verwaltungsakten“ – eine Orientierungshilfe, Jur-PC 2011, Web-Dok. 66/2011.
I. Allgemeines Durch § 14 BDSG wird die Speicherung, Veränderung und Nutzung personenbezogener Daten durch öffentliche Stellen geregelt. Insbesondere wird die strenge Zweckbindung der Datenverarbeitung im öffentlichen Bereich klargestellt.
1
II. Speicherung, Veränderung und Nutzung durch öffentliche Stellen (Abs. 1) 1. Speicherung, Veränderung und Nutzung Die Begriffe Speicherung, Veränderung und Nutzung sind im ersten Ab- 2 schnitt des BDSG in § 3 näher definiert. Speicherung ist zunächst das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung (§ 3 Abs. 4 Nr. 1 Rz. 35). Da das BDSG für öffentliche Stellen uneingeschränkt und nicht nur für die automatisierte Verarbeitung gilt, ist darüber hinaus auch die Verarbeitung von Daten in Akten erfasst1. Unter einer Datenveränderung ist nach § 3 Abs. 4 Nr. 2 (dort Rz. 36) das inhaltliche Umgestalten gespeicherter personenbezogener Daten zu verstehen. Die ebenfalls unter diese Definition subsumierbare Berichtigung ist nach § 20 Abs. 1 zu beurteilen2. Datennutzung ist jede Verwendung personenbezogener Daten, die nicht Verarbeitung (also Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten) ist (§ 3 Abs. 5 iVm. Abs. 4 Rz. 53).
1 Gola/Schomerus, § 14 BDSG Rz. 2. 2 Gola/Schomerus, § 14 BDSG Rz. 3.
Roggenkamp 445
BDSG § 14
Datenverarbeitung der öffentlichen Stellen
2. Erforderlichkeit 3 Wie auch die Erhebung (§ 13) ist das Speichern, Verändern oder Nutzen personenbezogener Daten nur zulässig, wenn es zur Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich ist. Insofern gelten die gleichen Grundsätze (vgl. zu § 13 Rz. 4 ff.). Die Erforderlichkeit ist bezüglich jeder einzelnen genannten Maßnahme zu prüfen1. Es ist zu fragen, ob es der Speicherung, Veränderung oder Nutzung bedarf, weil sonst eine bestimmte Aufgabe, für die die verantwortliche Stelle zuständig ist2, nicht, nicht vollständig oder nicht in rechtmäßiger Weise erfüllt werden könnte3. Die Erforderlichkeit ist insbesondere im Falle der Speicherung in regelmäßigen Abständen neu zu überprüfen. Ist die Speicherung für die Aufgabenerfüllung nicht mehr erforderlich, so ist die weitere Speicherung unzulässig. Die Daten sind entweder zu löschen (§ 20 Abs. 2 Nr. 2) oder zu sperren (§ 20 Abs. 3). Eine Speicherung auf Vorrat, also weil die gespeicherten Daten in Zukunft theoretisch benötigt werden könnten, ist grundsätzlich unzulässig4. Ausnahmen finden sich in bereichsspezifischen Regelungen, die zu bestimmten Zwecken ein Vorhalten auf Vorrat ermöglichen5. Eine Regelung die eine Speicherung ohne hinreichend konkrete Zweckbindung ermöglicht, ist jedoch unzulässig6. 3. Zweckbindung 4 Der Kern der Regelung des § 14 Abs. 1 ist die Festlegung des Zweckbindungsgrundsatzes7. Die Speicherung, Veränderung oder Nutzung personenbezogener Daten ist grundsätzlich nur zu dem Zweck zulässig, zu dem die Daten erhoben wurden. Die Zweckbestimmung lässt sich aus der verfolgten Aufgabe ableiten und wird regelmäßig enger als diese festzulegen sein. Gleichzeitig ist sie regelmäßig weiter zu ziehen als der konkrete Anlass der einzelnen Maßnahme8. Der Erhebungszweck haftet dem erhobenen personenbezogenen Datum bis zur Zweckerfüllung an, weshalb dieser in der Praxis hinreichend deutlich definiert und doku1 Gola/Schomerus, § 14 BDSG Rz. 5. 2 Die explizite Nennung in § 14 Abs. 1 hat nur deklaratorischen Charakter, vgl. Taeger/Gabel/Heckmann, § 14 Rz. 8. 3 Taeger/Gabel/Heckmann, § 14 Rz. 10. 4 Gola/Schomerus, § 14 Rz. 8. 5 Vgl. z.B. § 29 BPolG. 6 So bereits BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a. – NJW 1984, 419 (422). 7 Gola/Schomerus, § 14 BDSG Rz. 10. 8 Simitis/Dammann, § 14 BDSG Rz. 42.
446 Roggenkamp
Datenspeicherung, -veränderung und -nutzung
§ 14 BDSG
mentiert werden muss1. Aus dem Wortlaut des § 14 Abs. 1, welcher von den „Zwecken“ spricht, folgt bereits, dass mit der Erhebung auch mehrere Zwecke verfolgt werden können. Gleichzeitig kann die Speicherung, Veränderung oder Nutzung auch nur für einen der Erhebungszwecke erfolgen. Aus § 14 Abs. 1 Satz 2 folgt, dass in Fällen, in denen Daten nicht durch die verantwortliche Stelle erhoben wurden, die Zweckfestlegung zum Zeitpunkt der Speicherung erfolgen muss2. Die Änderung oder Nutzung darf in diesem Fall nur für die Zwecke erfolgen, für die die personenbezogenen Daten gespeichert wurden.
5
Bei der Gestaltung von Vorgangsbearbeitungssystemen für die öffent- 6 liche Hand muss der Zweckbindungsgrundsatz durch entsprechende technische Gestaltung berücksichtigt werden. Der Datenumgang muss sich entlang der rechtskonformen Durchführung des jeweiligen Verwaltungsverfahrens ausrichten3. III. Ausnahmen (Abs. 2) In Absatz 2 ist festgelegt, wann eine Datenspeicherung, -veränderung 7 oder -nutzung für andere Zwecke ausnahmsweise zulässig ist. Die Aufzählung ist abschließend4 und eng auszulegen5. Zusätzlich müssen die Voraussetzungen des Absatz 1 vorliegen, d.h. die Speicherung, Veränderung oder Nutzung muss auch in diesem Fall zur Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich sein6. 1. Rechtsvorschrift (Abs. 2 Nr. 1) Eine Zweckänderung bzw. „Zweckentfremdung“ ist zulässig, wenn eine Rechtsvorschrift sie entweder (explizit) vorsieht oder zwingend voraussetzt7. Die verfassungsrechtlich nicht unbedenkliche8 zweite Variante
1 Gola/Schomerus, § 14 BDSG Rz. 10. 2 Vgl. Gola/Schomerus, § 14 BDSG Rz. 11. 3 Laue, Vorgangsbearbeitungssysteme in der öffentlichen Verwaltung, Diss. 2010, S. 329 ff. 4 Taeger/Gabel/Heckmann, § 14 BDSG Rz. 32; Bergmann/Möhrle/Herb, § 14 BDSG Rz. 11. 5 Gola/Schomerus, § 14 BDSG Rz. 12. 6 Däubler/Klebe/Wedde/Weichert/Wedde, § 14 BDSG Rz. 12. 7 Vgl. auch die Kommentierung zu § 4 Abs. 2 Nr. 1 BDSG Rz. 13 ff. 8 Vgl. Simitis/Dammann, § 14 BDSG Rz. 56.
Roggenkamp 447
8
BDSG § 14
Datenverarbeitung der öffentlichen Stellen
ist nur dann erfüllt, wenn die Zweckentfremdung unbedingt für den Normvollzug – insbesondere älterer Vorschriften, die noch nicht den Anforderungen des BVerfG entsprechen – notwendig ist. Wäre beispielsweise auch eine neue Erhebung möglich, ist die Zweckänderung nicht „zwingend“ und daher nicht gestattet1. 2. Einwilligung des Betroffenen (Abs. 2 Nr. 2) 9 Eine Zweckänderung ist auch bei Vorliegen einer entsprechenden Einwilligung des Betroffenen zulässig. Die Einwilligung ist unter den Voraussetzungen des § 4a Abs. 1 einzuholen2. Das ergibt sich bereits aus § 4 Abs. 1. Danach ist jedwede Erhebung, Verarbeitung und Nutzung personenbezogener Daten unter anderem in dem Umfang zulässig, in dem der Betroffene eingewilligt hat (vgl. näher die Kommentierung zu § 4 BDSG). Die Einwilligung muss sich gerade auch auf die Zweckänderung beziehen3. 3. Offensichtliches Betroffeneninteresse (Abs. 2 Nr. 3) 10 Die Einholung einer Einwilligung bezüglich der Zweckänderung ist entbehrlich, wenn diese im konkreten Fall offensichtlich im Interesse des Betroffenen liegt und zusätzlich keinerlei Anhaltspunkte dafür bestehen, dass der Betroffene in Kenntnis des anderen Zwecks die Einwilligung verweigern würde. Ausreichend ist es, wenn die Zweckänderung für den Betroffenen bei Saldierung der Vor- und Nachteile offensichtlich von Vorteil ist, die Vorteile also sicher und eindeutig überwiegen4. Dann ist die Beteiligung des ggf. nur schwer ausfindbar zu machenden Betroffenen nicht notwendig. Offensichtlichkeit ist gegeben, wenn der „durchschnittlich aufmerksame Bedienstete der verantwortlichen Stelle“ dies eindeutig erkennen kann5.
1 Simitis/Dammann, § 14 BDSG Rz. 56; Däubler/Klebe/Wedde/Weichert/Wedde, § 14 BDSG Rz. 13. 2 Gola/Schomerus, § 14 BDSG Rz. 16. 3 Taeger/Gabel/Heckmann, § 14 BDSG Rz. 39; Kühling/Sivridis/Seidel, Datenschutzrecht, S. 175. 4 Kühling/Sivridis/Seidel, Datenschutzrecht, S. 175; enger Gola/Schomerus, § 14 Rz. 17 sowie Däubler/Klebe/Wedde/Weichert/Wedde, § 14 BDSG Rz. 15. 5 Bergmann/Möhrle/Herb, § 14 BDSG Rz. 26; Schaffland/Wiltfang, § 14 BDSG Rz. 25.
448 Roggenkamp
Datenspeicherung, -veränderung und -nutzung
§ 14 BDSG
Die Ausnahme ist nur anzuwenden, wenn der tatsächliche Wille des Betroffene nicht oder nur unter erschwerten Bedingungen in Erfahrung gebracht werden kann1.
11
4. Überprüfung von Angaben bei Verdacht auf Unrichtigkeit (Abs. 2 Nr. 4) Eine Zweckänderung ist zulässig, wenn tatsächliche Anhaltspunkte, al- 12 so ein auf konkreten Tatsachen beruhender Anfangsverdacht2, bei der verantwortlichen Stelle besteht, dass Angaben über den Betroffenen unrichtig sind. Bloße Vermutungen oder gar Mutmaßungen reichen nicht aus. Ein „präventiver Datenabgleich“ mit dem Ziel derartige Tatsachen bzw. Erkenntnisse erst zu gewinnen, ist unzulässig3. Abgeglichen werden dürfen nur die Daten, für die der Verdacht der Unrichtigkeit besteht. Die Überprüfung muss zudem notwendig sein. Ist auch eine Klärung durch Nachfrage beim Betroffenen möglich, ist dies dem Abgleich mit Daten die einem anderen Zweck dienen vorzuziehen4. 5. Allgemein zugängliche Daten (Abs. 2 Nr. 5) Öffentliche Stellen dürfen (vgl. für nicht-öffentliche Stellen § 28 Abs. 1 Nr. 3) bei personenbezogenen Daten, die allgemein zugänglich sind oder die sie veröffentlichen dürften, eine Zweckänderung vornehmen, wenn schutzwürdige Interessen des Betroffenen dem nicht offensichtlich entgegenstehen. Allgemein zugänglich sind personenbezogene Daten immer dann, wenn sie von einem individuell nicht bestimmbaren Personenkreis ohne Weiteres zur Kenntnis genommen werden können oder könnten. Daraus folgt noch nicht, dass öffentliche Stellen aus derartigen Daten umfangreiche Personendatenbanken erstellen dürften. Vielmehr müssen bei jedweder Datenverwendung die Anforderungen des Absatz 1 erfüllt werden, also eine Erforderlichkeit zur Aufgabenerfüllung gegeben sein5. Auch Daten, die die verantwortliche Stelle selbst veröffentlichen dürfte (z.B. Registerdaten), unterliegen bezüglich einer zweckändernden
1 2 3 4 5
Simitis/Dammann, § 14 BDSG Rz. 61. Vgl. für § 152 StPO Meyer-Goßner, StPO, 54. Aufl. 2011, § 152 StPO Rz. 4. Simitis/Dammann, § 14 BDSG Rz. 66. Vgl. Simitis/Dammann, § 14 BDSG Rz. 68. Siehe oben Rz. 3; Simitis/Dammann, § 14 BDSG Rz. 69; Gola/Schomerus, § 14 BDSG Rz. 19.
Roggenkamp 449
13
BDSG § 14
Datenverarbeitung der öffentlichen Stellen
Nutzung der Prämisse der Erforderlichkeit1. Zu beachten ist stets auch das (schutzwürdige) Interesse des Betroffenen am Ausschluss der Zweckänderung. Überwiegt es im Rahmen der vorzunehmenden Abwägung offensichtlich, ist die Zweckänderung unzulässig. Kommt die verantwortliche Stelle zu dem Ergebnis, dass die Zweckänderung zulässig ist, ist dies ein belastender Verwaltungsakt, gegen den der Betroffene mit Widerspruch und Klage vorgehen kann2. 6. Belange des Gemeinwohls (Abs. 2 Nr. 6) 14 Eine Zweckänderung ist zulässig, wenn sie zur Abwehr erheblicher Nachteile für das Gemeinwohl (1. Variante), einer Gefahr für die öffentliche Sicherheit (2. Variante) oder zur Wahrung erheblicher Belange des Gemeinwohls (3. Variante) erfolgt. Die Varianten 1 und 3 nehmen Bezug auf den wenig greifbaren Begriff des „Gemeinwohls“ (siehe hierzu Kommentierung zu § 13 Abs. 2 Nr. 6 Rz. 21). Die Zulässigkeit der Zweckänderung unter diesem Aspekt ist nur mit größter Zurückhaltung zu bejahen3. Der Begriff der öffentlichen Sicherheit ist dem allgemeinen Sicherheitsrecht, insbesondere dem Polizeirecht zuzuordnen. Er umfasst den Schutz zentraler Rechtsgüter wie Leben, Gesundheit, Freiheit, Ehre, Eigentum und Vermögen des Einzelnen sowie die Unversehrtheit der Rechtsordnung und Funktionsfähigkeit der staatlichen Einrichtungen, wobei in der Regel eine Gefährdung der öffentlichen Sicherheit angenommen wird, wenn eine strafbare Verletzung dieser Schutzgüter droht4. Nicht erfasst von Nr. 6 ist die „öffentliche Ordnung“, also die Gesamtheit der ungeschriebenen Regeln, deren Beachtung nach den jeweils herrschenden sozialen und ethischen Anschauungen als unerlässliche Voraussetzung eines geordneten menschlichen Zusammenlebens innerhalb eines bestimmten Gebiets angesehen wird5.
1 Gola/Schomerus, § 14 BDSG Rz. 19. 2 Bergmann/Möhrle/Herb, § 14 BDSG Rz. 28; Gola/Schomerus, § 14 BDSG Rz. 19. 3 Vgl. Taeger/Gabel/Heckmann, § 14 BDSG Rz. 66 – „hoch angelegte Schwelle“. 4 Statt aller BVerfG v. 14.5.1985 – 1 BvR 233/81, 1 BvR 341/81 – BVerfGE 69, 315 (352). 5 BVerfG v. 14.5.1985 – 1 BvR 233/81, 1 BvR 341/81 – BVerfGE 69, 315 (352).
450 Roggenkamp
Datenspeicherung, -veränderung und -nutzung
§ 14 BDSG
7. Verfolgung und Vollstreckung von Straftaten und Ordnungswidrigkeiten (Abs. 2 Nr. 7) Zu Strafverfolgungszwecken sowie zur Verfolgung von Ordnungswidrig- 15 keiten und den daran ggf. anschließenden Maßnahmen (insbesondere Vollstreckung) ist ebenfalls eine Zweckänderung zulässig, wenn die weiteren Voraussetzungen des Abs. 1 vorliegen. In der Praxis handelt es sich im Wesentlichen um eine Befugnisnorm zur Unterrichtung der Strafverfolgungs- und Ordnungsbehörden durch öffentliche Stellen1. Erlangt beispielsweise eine öffentliche Stelle im Rahmen ihrer Aufgabenerfüllung Hinweise auf eine Straftat, so darf sie die damit zusammenhängenden personenbezogenen Daten an die Polizei oder Staatsanwaltschaft weiterleiten. Für die datenschutzrechtlich relevante Tätigkeit von Polizei und Staatsanwaltschaft existieren bereichsspezifische Regelungen (z.B. die Dateiregelungen der §§ 483 ff. StPO). 8. Abwehr schwerwiegender Beeinträchtigungen Dritter (Abs. 2 Nr. 8) Ist die Abwehr einer schwerwiegenden Rechtsbeeinträchtigung einer an- 16 deren (natürlichen oder juristischen2) Person zu besorgen, ist eine zweckändernde Speicherung, Veränderung oder Nutzung zulässig. Als schwerwiegend ist eine Rechtsbeeinträchtigung immer dann einzustufen, wenn entweder hochrangige Rechtsgüter (z.B. Leib, Leben, Freiheit der Person) gefährdet sind oder das Ausmaß der zu erwartenden Beeinträchtigung bzw. des zu erwartenden Schadens sehr hoch ist. Es muss sich bei der abzuwehrenden Beeinträchtigung um eine konkrete Gefährdung handeln. Im konkreten Fall muss die hinreichende Wahrscheinlichkeit bestehen, dass in absehbarer Zeit die Beeinträchtigung eintritt. Die Zweckänderung muss verhältnismäßig sein. Es ist eine Güter- und Interessenabwägung zwischen der drohenden Beeinträchtigung und dem aus der Zweckänderung resultierenden Beeinträchtigung des Rechts auf informationelle Selbstbestimmung des Betroffenen vorzunehmen3. Reine Vermögensinteressen sind nach der wohl herrschenden Meinung nicht geschützt4. Das überzeugt nicht, da auch Beeinträchtigungen von Vermögensinteressen mitunter existentielle Folgen haben können. Da1 Gola/Schomerus, § 14 BDSG Rz. 21. 2 Simitis/Dammann, § 14 BDSG Rz. 83; Gola/Schomerus, § 14 BDSG Rz. 22. 3 Simitis/Dammann, § 14 BDSG Rz. 87; Bergmann/Möhrle/Herb, § 14 BDSG Rz. 31. 4 Simitis/Dammann, § 14 Rz. 84; Gola/Schomerus, § 14 BDSG Rz. 22; Kühling/ Sivridis/Seidel, Datenschutzrecht, S. 177.
Roggenkamp 451
17
BDSG § 14
Datenverarbeitung der öffentlichen Stellen
her können auch diese bei entsprechender Intensität grundsätzlich eine Zweckänderung legitimieren1. 9. Wissenschaftliche Forschung (Abs. 2 Nr. 9) 18 Ist die Zweckänderung zur Durchführung wissenschaftlicher Forschungsvorhaben erforderlich und überwiegt das wissenschaftliche Interesse an der Forschung das Interesse des Betroffenen am Ausschluss der Zweckänderung erheblich, ist sie zulässig. Der Forschungszweck darf auf andere Weise nicht, oder nur mit unverhältnismäßigem Aufwand erreicht werden können2. Zu prüfen ist beispielsweise, ob der Forschungszweck auch auf Basis pseudonymisierter oder anonymisierter Daten erreichbar ist3. IV. Sekundärzwecke (Abs. 3) 19 Das öffentliche Interesse an einer funktionsfähigen Verwaltung, welche rechtmäßig, zweckmäßig und nach dem Prinzip der Kostengerechtigkeit agiert und funktionsfähigen Kontrollmechanismen unterliegt, ist Hintergrund der Regelung des Absatz 34. In diesem wird bestimmt, dass eine Zweckänderung nicht vorliegt, wenn die Verarbeitung oder Nutzung von Daten der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen für die verantwortliche Stelle dient. Wenn ein überwiegendes schutzwürdiges Interesse des Betroffenen nicht entgegensteht, liegt auch keine unzulässige Zweckänderung vor, wenn eine Verarbeitung oder Nutzung zu Ausbildungs- und Prüfungszwecken erfolgt. Es wird fingiert, dass diese Sekundär – bzw. Nebenzwecke vom Hauptzweck der Erhebung bereits mit umfasst sind5. V. Zweckänderungsverbot (Abs. 4) 20 Eine Einschränkung der Möglichkeit der Zweckänderung enthält Absatz 4 (vgl. auch die entsprechende Regelung in § 31). Sind personenbezogene Daten ursprünglich nur zum Zweck der Datenschutzkontrolle, 1 Vgl. Bergmann/Möhrle/Herb, § 14 BDSG Rz. 31, die eine Ausnahme nur bei lediglich einfachen Vermögensinteressen Dritter ablehnen. 2 Kühling/Sivridis/Seidel, Datenschutzrecht, S. 177. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 14 BDSG Rz. 21. 4 Vgl. Gola/Schomerus, § 14 BDSG Rz. 24. 5 Vgl. Bergmann/Möhrle/Herb, § 14 BDSG Rz. 33.
452 Roggenkamp
Datenspeicherung, -veränderung und -nutzung
§ 14 BDSG
der Datensicherung (also z.B. eines Backups oder Zugriffslogdateien) oder zur Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert worden, ist eine Verwendung zu einem anderen Zweck nicht zulässig. VI. Sensible Daten (Abs. 5) Für die zweckändernde Speicherung, Veränderung oder Nutzung sensibler personenbezogener Daten (§ 3 Abs. 9) statuiert Absatz 5, dass besondere Voraussetzungen, die mit den Erhebungsvoraussetzungen nach § 13 Abs. 2 Nr. 1 bis 6 sowie § 13 Abs. 2 Nr. 9 korrespondieren (Abs. 5 Nr. 1), vorliegen müssen. Insofern wird auf die Kommentierung zu § 13 Abs. 2 verwiesen.
21
Zudem ist eine Zweckänderung zur Durchführung wissenschaftlicher Forschung möglich, wenn das öffentliche Interesse das Interesse des Betroffenen am Ausschluss der Zweckänderung erheblich überwiegt. Das wissenschaftliche Interesse ist bei der Abwägung im Rahmen des öffentlichen Interesses „besonders zu berücksichtigen“. Daraus folgt, dass das im Rahmen des Abs. 2 Nr. 9 genannte, rein wissenschaftliche Interesse nicht ausreicht, sondern ein darüber hinausgehendes allgemeines Interesse1 an den Forschungsergebnissen bestehen muss.
22
Auch hier darf der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigen Aufwand erreicht werden können.
23
VII. Medizinische Daten (Abs. 6) Abs. 6 enthält eine datenschutzrechtliche Erlaubnisnorm für die Spei- 24 cherung, Veränderung und Nutzung medizinischer Daten2, also Daten, die den in § 13 Abs. 2 Nr. 7 genannten Zwecken dienen. Da diese Daten durch das Berufsgeheimnis der behandelnden Personen geschützt sind, bedarf es keiner „ausdrücklichen“ Einwilligung (§ 4a Abs. 3) der betroffenen Person3.
1 Z.B. im Medizin- oder Umweltbereich denkbar, vgl. Taeger/Gabel/Heckmann, § 14 BDSG Rz. 120. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 14 BDSG Rz. 33; Gola/Schomerus, § 14 BDSG Rz. 33. 3 Gola/Schomerus, § 14 BDSG Rz. 33.
Roggenkamp 453
BDSG § 15
Datenverarbeitung der öffentlichen Stellen
Datenübermittlung an öffentliche Stellen
15
(1) Die Übermittlung personenbezogener Daten an öffentliche Stellen ist zulässig, wenn 1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder des Dritten, an den die Daten übermittelt werden, liegenden Aufgaben erforderlich ist und 2. die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden.
(2) 1Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. 2Erfolgt die Übermittlung auf Ersuchen des Dritten, an den die Daten übermittelt werden, trägt dieser die Verantwortung. 3In diesem Fall prüft die übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Dritten, an den die Daten übermittelt werden, liegt, es sei denn, dass besonderer Anlass zur Prüfung der Zulässigkeit der Übermittlung besteht. 4§ 10 Abs. 4 bleibt unberührt. (3) 1Der Dritte, an den die Daten übermittelt werden, darf diese für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. 2Eine Verarbeitung oder Nutzung für andere Zwecke ist nur unter den Voraussetzungen des § 14 Abs. 2 zulässig. (4) Für die Übermittlung personenbezogener Daten an Stellen der öffentlich-rechtlichen Religionsgesellschaften gelten die Absätze 1 bis 3 entsprechend, sofern sichergestellt ist, dass bei diesen ausreichende Datenschutzmaßnahmen getroffen werden. (5) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere personenbezogene Daten des Betroffenen oder eines Dritten so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte Interessen des Betroffenen oder eines Dritten an deren Geheimhaltung offensichtlich überwiegen; eine Nutzung dieser Daten ist unzulässig. (6) Absatz 5 gilt entsprechend, wenn personenbezogene Daten innerhalb einer öffentlichen Stelle weitergegeben werden. I. Allgemeines . . . . . . . . . . . . . . . II. Zulässigkeitsvoraussetzungen (Abs. 1) . . . . . . . . . . . . . . . . 1. Öffentliche Stelle als Übermittlungsempfänger . . . . . . . .
454 Roggenkamp
1 5 6
2. Zur Erfüllung eigener Aufgaben (Abs. 1 Nr. 1 1. Alt.) . . . 3. Zur Erfüllung der Übermittlungsempfängeraufgaben (Abs. 1 Nr. 1 2. Alt.) . . . . . . . . .
7
9
Datenübermittlung an öffentliche Stellen
§ 15 BDSG
4. Voraussetzungen, die Nutzung zulassen würden (Abs. 1 Nr. 2) . . . . . . . . . . . . . . 10
V. Öffentlich-rechtliche Religionsgesellschaften als Übermittlungsempfänger (Abs. 4) . 19
III. Datenschutzrechtliche Verantwortlichkeit (Abs. 2) . . . . . 11
VI. Übermittlung überschießender Daten (Abs. 5). . . . . . . . . . . 22
IV. Zweckbindung auf Übermittlungsempfängerseite (Abs. 3) . 16
VII. Interne Weitergabe von Daten (Abs. 6) . . . . . . . . . . . . . . 25
Schrifttum: Gallwass, Zum Verhältnis von staatlichem und kirchlichem Datenschutzrecht, BayVbl 1980, 423; Hennrichs, Datenübermittlung von der Polizei an die Fahrerlaubnisbehörde, NJW 1999, 3152; Schatzschneider, Legitimation und Grenzen staatlich-kirchlicher Kooperation im Meldewesen, NJW 1983, 2554; Schlink, Datenschutz und Amtshilfe, NVwZ 1986, 249; Simitis, NJW 1986, 2795.
I. Allgemeines Die Übermittlung personenbezogener Daten, also entsprechend § 3 Abs. 4 Nr. 3 das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass entweder die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft (z.B. im Rahmen einer elektronischen Akteneinsicht), durch die verantwortliche Stelle an andere öffentliche Stellen ist in § 15 geregelt. Zum Begriff der Übermittlung allgemein siehe die Kommentierung zu § 3 Abs. 4 Nr. 3.
1
Die (strengeren) Regelungen zur Übermittlung an nicht-öffentliche Stellen finden sich in § 16. Hierbei wird zwar nach dem Wortlaut auf die Organisationsform und nicht auf den Verwendungszweck abgestellt. In bestimmten Fällen (hierzu sogleich unter Rz. 6) ist jedoch auch bei öffentlichen Stellen der § 16 heranzuziehen.
2
Zu den datenempfangenden öffentlichen Stellen im Sinne der Vorschrift zählen grundsätzlich alle deutschen öffentlichen Stellen, soweit sie Dritte sind, sowie solche im EU-Ausland1. Bei einer Datenübermittlung ins sonstige Ausland ist der gegenüber §§ 15 und 16 speziellere § 4b zu berücksichtigen2.
3
Um Missverständnisse mit dem weitergehenden Begriff des in § 3 Abs. 8 Satz 1 definierten Empfängers zu vermeiden, wurde der Begriff des
4
1 BT-Drucks. 14/4239, S. 40. 2 Simitis/Dammann, § 15 BDSG Rz. 1.
Roggenkamp 455
BDSG § 15
Datenverarbeitung der öffentlichen Stellen
„Empfängers“ im Rahmen der Novellierung des BDSG im Jahr 2001 durch den des „Dritten, an den die Daten übermittelt werden“ (vgl. z.B. Abs. 1 Nr. 1), ersetzt1. Um eine bessere Lesbarkeit zu ermöglichen wird dieser im Folgenden auch als „Übermittlungsempfänger“ bezeichnet. II. Zulässigkeitsvoraussetzungen (Abs. 1) 5 Eine Übermittlung personenbezogener Daten durch eine öffentliche Stelle an eine öffentliche Stelle ist immer dann zulässig, wenn entweder die Übermittlung zur Aufgabenerfüllung der übermittelnden Stelle oder des Übermittlungsempfängers erforderlich ist. Außerdem müssen die Voraussetzungen vorliegen, nach denen eine Nutzung nach § 14 zulässig wäre. Die übermittelnde öffentliche Stelle muss für die Übermittlung, bzw. der Übermittlungsempfänger muss für die Verarbeitung der übermittelten Daten zuständig sein2. 1. Öffentliche Stelle als Übermittlungsempfänger 6 Nach dem Wortlaut kommt § 15 immer dann zur Anwendung, wenn auf der Übermittlungsempfängerseite eine öffentliche Stelle steht. Unter Heranziehung des hinter § 12 stehenden Rechtsgedankens ist jedoch nicht am Wortlaut zu verhaften und jede öffentliche Stelle i.S.d. § 2 durch die vereinfachten Zulässigkeitsvoraussetzungen zu privilegieren. Ist die öffentliche Stelle „am Markt“ – also im Wettbewerb mit nicht-öffentlichen Stellen – tätig und erfolgt die Datenübermittlung auch nicht ausnahmsweise zur Erfüllung einer dem öffentlichen Unternehmen übertragenen öffentlichen Aufgabe, muss nach der wohl herrschenden Meinung nicht § 15, sondern § 16 analog herangezogen werden3. In diesen Fällen wird freilich in der Regel schon keine „Aufgabe“ vorliegen zu deren Erfüllung die Übermittlung erforderlich ist4. Das im Wettbewerb agierende öffentliche Unternehmen handelt nicht in „Ausübung öffentlicher Gewalt“ (Art. 7 Buchst. e 2. Alt. EG-Datenschutzrichtlinie) und auch nur mittelbar zur Erfüllung einer Aufgabe, die „im öffentlichen Interesse“ (Art. 7 Buchst. e 1. Alt. EG-Datenschutzrichtlinie) liegt.
1 BT-Drucks. 14/4239, S. 40. 2 Gola/Schomerus, § 15 BDSG Rz. 5; Taeger/Gabel/Heckmann, § 15 BDSG Rz. 15. 3 Simitis/Dammann, § 15 BDSG Rz. 5–8 (m.w.N.); Taeger/Gabel/Heckmann, § 15 BDSG Rz. 12. 4 Vgl. aber Simitis/Dammann, § 15 BDSG Rz. 7.
456 Roggenkamp
§ 15 BDSG
Datenübermittlung an öffentliche Stellen
2. Zur Erfüllung eigener Aufgaben (Abs. 1 Nr. 1 1. Alt.) Wie auch das Erheben (§ 13) und das Speichern (§ 14) kann das Übermit- 7 teln von personenbezogenen Daten legitimiert sein, wenn es zur Erfüllung der Aufgaben der übermittelnden öffentlichen Stelle erforderlich ist. Wie dort ist ein strenger Maßstab anzulegen. Sowohl die konkret übermittelten Daten als auch die Übermittlung als solche müssen sich als zwingend notwendig erweisen, weil die Aufgabe sonst nicht oder nur unter unverhältnismäßigem (insbesondere zeitlichem) Aufwand erfüllt werden könnte1. Ist das nicht der Fall, ist die Übermittlung beispielsweise nur „bequemer“, dann ist sie unzulässig. Das z.B. die Auswahl der tatsächlich erforderlichen Daten oder eine Anonymisierung (vgl. § 3a BDSG) Aufwand für die übermittelnde Stelle bedeutet, ist noch keine Rechtfertigung für ein Unterlassen dieses Aufwands2. Der von der Übermittlung Betroffene muss keinesfalls einen vertieften 8 Eingriff in sein Recht auf informationelle Selbstbestimmung hinnehmen, weil es auf Seiten der öffentlichen Stelle Versäumnisse gegeben hat. So muss die Vorhaltung der Möglichkeit der selektiven Entfernung oder Anonymisierung von Einzelinformationen im Rahmen von elektronischen Aktensystemen von der öffentlichen Stelle bereits bei Beschaffung einer entsprechenden Softwareausstattung berücksichtigt werden. Wird eine solche Funktionalität nicht geboten, so kann dies allein noch nicht die Übermittlung nicht erforderlicher Informationen rechtfertigen. Diese sind vielmehr „händisch“ zu entfernen. 3. Zur Erfüllung der Übermittlungsempfängeraufgaben (Abs. 1 Nr. 1 2. Alt.) Auch die Erforderlichkeit der Übermittlung zur Aufgabenerfüllung des Übermittlungsempfängers kann die Datenübermittlung bei Vorliegen der weiteren Voraussetzungen der Nr. 2 legitimieren3. Dabei kommt es nicht auf die Erforderlichkeit der Übermittlung als solcher, sondern auf die Erforderlichkeit der Kenntnis der übermittelten Daten an4. Zu beachten ist auch hier der Direkterhebungsgrundsatz des § 4 Abs. 2. Das heißt, dass vor der Übermittlung durch die anfordernde Stelle zu prüfen ist, ob auch eine Erhebung beim Betroffenen möglich ist. § 15 Abs. 1 Nr. 1 2. Alt kann nicht als Ausnahme zu diesem Grundsatz gelesen wer1 2 3 4
Strenger Simitis/Dammann, § 15 BDSG Rz. 11, „unmöglich“. Vgl. Simitis/Dammann, § 15 BDSG Rz. 12. Taeger/Gabel/Heckmann, § 15 BDSG Rz. 18. Simitis/Dammann, § 15 BDSG Rz. 15.
Roggenkamp 457
9
BDSG § 15
Datenverarbeitung der öffentlichen Stellen
den1. Kann ausnahmsweise von einer Direkterhebung abgesehen werden (vgl. hierzu die Kommentierung zu § 4 Abs. 2) sind die allgemeinen Verpflichtungen (z.B. § 4 Abs. 3) zu berücksichtigen. 4. Voraussetzungen, die Nutzung zulassen würden (Abs. 1 Nr. 2) 10 Unabhängig davon, welche Alternative des Abs. 1 Nr. 1 vorliegt, müssen nach Abs. 1 Nr. 2 zusätzlich die Voraussetzungen vorliegen, nach denen eine Nutzung der zu übermittelnden personenbezogenen Daten zulässig wäre. Die gesamten Zulässigkeitsaspekte des § 14 (vgl. die dortige Kommentierung) sind zu beachten. III. Datenschutzrechtliche Verantwortlichkeit (Abs. 2) 11 Die datenschutzrechtliche Verantwortlichkeit bei einer Übermittlung zwischen öffentlichen Stellen ist zweigeteilt. Grundsätzlich trägt die übermittelnde Stelle die Verantwortung dafür, dass die Übermittlung zulässig ist. Das betrifft sowohl das „Ob“ der Übermittlung als auch die Frage, welche Daten übermittelt werden2. 12 Für den Fall, dass die Übermittlung durch die Übermittlungsempfängerstelle veranlasst („auf Ersuchen des Dritten“) wurde, also in der Regel im Fall der Übermittlung zur Erfüllung der Übermittlungsempfängeraufgaben, trägt die empfangende öffentliche Stelle die datenschutzrechtliche Verantwortung. Die übermittelnde Stelle wird hierdurch jedoch nicht vollständig von der Verantwortlichkeit befreit. Sie hat stets zu prüfen, ob die ersuchende Stelle für die Aufgaben, zu deren Erfüllung die Übermittlung (bzw. die Kenntnis der Daten) angeblich erforderlich ist, zuständig ist und ob sich das Übermittlungsersuchen im Rahmen dieser Aufgaben bewegt. Hier besteht auf Seiten der ersuchenden Stelle die Notwendigkeit, der um Datenübermittlung ersuchten Stelle mitzuteilen, warum (und auf welcher Rechtsgrundlage) die angefragten Daten benötigt werden3. 13 Besteht im konkreten Fall ein „besonderer Anlass zur Prüfung der Zulässigkeit“, bleibt die übermittelnde Stelle – neben dem Übermittlungs-
1 Taeger/Gabel/Heckmann, § 15 BDSG Rz. 18; Gola/Schomerus, § 15 BDSG Rz. 7; Simitis/Dammann, § 15 BDSG Rz. 16. 2 Bergmann/Möhrle/Herb, § 15 BDSG Rz. 18. 3 Kühling/Sivridis/Seidel, Datenschutzrecht, S. 179; Bergmann/Möhrle/Herb, § 15 BDSG Rz. 20.
458 Roggenkamp
Datenübermittlung an öffentliche Stellen
§ 15 BDSG
empfänger1 – vollumfänglich für die Zulässigkeit der Übermittlung verantwortlich. Ein solcher Anlass ist immer dann gegeben, wenn an der Zulässigkeit des Übermittlungsersuchens starke Zweifel bestehen2 oder für die um Übermittlung ersuchte Stelle nicht nachvollziehbar ist, wofür die Daten benötigt werden3. Dass ist beispielsweise dann der Fall, wenn Daten angefordert werden, deren Bedarf sich dem Anforderungsempfänger verschließt (z.B. Anforderung von Gesundheitsdaten durch die Bauaufsichtsbehörde)4. Bei einem automatisierten Abrufverfahren (§ 10 Abs. 4) liegt nach Abs. 2 Satz 4 i.V.m. § 10 Abs. 4 die Verantwortlichkeit beim abrufenden Dritten. Vergleiche hierzu, insbesondere auch zu den Pflichten der übermittelnden Stelle, die Kommentierung zu § 10 Abs. 4.
14
§ 15 wird als Schutzgesetz nach § 823 Abs. 2 BGB eingestuft und kann eine Amtspflicht i.S.d. Art. 34 GG i.V.m. § 839 BGB begründen. Die verantwortliche Stelle ist gleichzeitig haftende Stelle5.
15
IV. Zweckbindung auf Übermittlungsempfängerseite (Abs. 3) Der Zweckbindungsgrundsatz ist auch im Zusammenhang mit der 16 Übermittlung von Daten an eine andere öffentliche Stelle zu beachten. Dementsprechend stellt Abs. 3 klar, dass die Verarbeitung und Nutzung der übermittelten personenbezogenen Daten bei der empfangenden öffentlichen Stelle nur zu dem Zweck zulässig ist, der Grund für die Übermittlung war. Eine Zweckänderung, also Speicherung, Veränderung oder Nutzung zu einem anderen Zweck ist nur unter den Voraussetzung des § 14 Abs. 2 (siehe Rz. 7 ff. dortige Kommentierung) zulässig. Abs. 3 bezieht sich nur auf § 14 Abs. 2, nicht aber auf § 14 Abs. 5. Da- 17 raus folgt, dass eine Zweckänderung durch den Übermittlungsempfänger bei sensiblen Daten (§ 3 Abs. 9) ausgeschlossen ist6. Bei einer „Weiterübermittlung“ an weitere öffentliche Stellen ist Abs. 3 18 immer dann anwendbar, wenn die sog. Zweitempfänger in den Anwen-
1 2 3 4
Simitis/Dammann, § 15 BDSG Rz. 27. Gola/Schomerus, § 15 BDSG Rz. 16. Simitis/Dammann, § 15 BDSG Rz. 27. Däubler/Klebe/Wedde/Weichert/Wedde, § 15 BDSG Rz. 14; Bergmann/Möhrle/ Herb, § 15 BDSG Rz. 23. 5 Gola/Schomerus, § 15 BDSG Rz. 32. 6 Vgl. Pättgen, Medizinische Forschung und Datenschutz, Diss. 2008, S. 154.
Roggenkamp 459
BDSG § 15
Datenverarbeitung der öffentlichen Stellen
dungsbereich des BDSG fallen. Ansonsten leitet sich die Zweckbindung aus dem jeweiligen Landesrecht ab1. V. Öffentlich-rechtliche Religionsgesellschaften als Übermittlungsempfänger (Abs. 4) 19 Zu Gunsten öffentlich-rechtlicher Religionsgesellschaften bestimmt Abs. 4, dass die Absätze 1 bis 3 des § 15 entsprechende Geltung haben. Zu den öffentlich-rechtlichen Religionsgesellschaften zählen alle Religionsgesellschaften, die den Status einer Körperschaft des öffentlichen Rechts nach Art. 140 GG i.V.m. Art. 137 Abs. 2 WRV haben2. Der Status einer Körperschaft des öffentlichen Rechts ist ein Mittel zur Erleichterung und Entfaltung der Religionsfreiheit. Für die korporierten Religionsgemeinschaften begründet er eine bevorzugte Rechtsstellung3. Dementsprechend gehört der § 15 Abs. 4 zum Bündel einfachgesetzlicher Privilegien, die lediglich Religionsgemeinschaften mit diesem Status4 zukommen5. Hat die Religionsgesellschaft „nur“ eine privatrechtliche Organisationsform, richtet sich die Übermittlung nach § 166. 20 Die zu übermittelnden Daten sollen nicht der Religionsgesellschaft als solcher zur Verfügung gestellt werden. Vielmehr ist die Übermittlung lediglich an die Stellen der Religionsgesellschaft zulässig, also an den organisationsrechtlich unselbständigen Teil der Religionsgesellschaft, der, entsprechend § 15 Abs. 1, diese zur Aufgabenerfüllung benötigt7. Von Abs. 4 ist nach der vorherrschenden Auffassung nicht die Weiterleitung an selbständige Einrichtungen wie z.B. einen Verein erfasst. Hier findet vielmehr § 16 Anwendung. Organisationsrechtlich selbständige kirchliche Einrichtungen sind anderen vergleichbaren Einrichtungen z.B. im Gesundheits-, Kultur- oder karitativen Bereich datenschutzrechtlich
1 Däubler/Klebe/Wedde/Weichert/Wedde, § 15 BDSG Rz. 19; Simitis/Dammann, § 15 BDSG Rz. 37. 2 Gola/Schomerus, § 15 BDSG Rz. 20; Däubler/Klebe/Wedde/Weichert/Wedde, § 15 BDSG Rz. 20. 3 BVerfG v. 19.12.2000 – 2 BvR 1500/97, NJW 2001, 429 (432). 4 Die (teilweise ungeschriebenen) Voraussetzungen zur Erlangung dieses Status zeigt BVerfG v. 19.12.2000 – 2 BvR 1500/97, NJW 2001, 429 auf. 5 Hierzu Towfigh, Die rechtliche Verfassung von Religionsgemeinschaften, Diss. 2006, S. 209 f. 6 Simitis/Dammann, § 15 BDSG Rz. 47; Däubler/Klebe/Wedde/Weichert/Wedde, § 15 BDSG Rz. 20. 7 Vgl. Simitis/Dammann, § 15 BDSG Rz. 47, 48.
460 Roggenkamp
Datenübermittlung an öffentliche Stellen
§ 15 BDSG
gleichzustellen. Es besteht in diesem Fall kein Grund für eine Privilegierung1. Die Übermittlung an Stellen öffentlich-rechtlicher Religionsgesellschaf- 21 ten ist nur dann zulässig, wenn sichergestellt ist, dass bei dem Übermittlungsempfänger ausreichende Datenschutzmaßnahmen getroffen werden. Die Religionsgemeinschaft, die in den Genuss der privilegierten Datenübermittlung kommen möchte, muss die rechtlichen und tatsächlichen Voraussetzungen für einen angemessenen Datenschutz schaffen. Es müssen technische und organisatorische Datenschutzvorkehrungen entsprechend § 9 BDSG vorliegen2. Zudem müssen auch (interne) Regelungen vorhanden sein, deren Schutzwirkung derjenigen des BDSG vergleichbar ist3. Der öffentlichen Stelle kommt insofern eine „DatenGarantenstellung“4 zu. Sie muss sich vergewissern, dass die Datenschutzmaßnahmen tatsächlich vorgenommen wurden und von ausreichendem Niveau sind. Auf Beteuerungen oder pauschale Erklärungen darf sie sich nicht verlassen5. VI. Übermittlung überschießender Daten (Abs. 5) Der Absatz 5 adressiert den praktisch häufigen Fall, dass die Übermitt- 22 lung von personenbezogenen Daten aus einem Vorgang bzw. aus einer Akte erfolgt und das Aussortieren oder Anonymisieren von „überschießenden“6 personenbezogenen Daten, also solchen Daten die eigentlich nicht übermittelt werden dürften, weil sie zur Aufgabenerfüllung nicht erforderlich sind, nur mit großem Aufwand oder gar nicht möglich ist. Hierbei kann es sich sowohl um weitere personenbezogene Daten des unmittelbar Betroffenen aber auch um personenbezogene Daten von weiteren Personen handeln. Die Unmöglichkeit der Trennung muss nicht unbedingt an fehlenden personellen Kapazitäten scheitern. Sie kann sich auch de facto daraus ergeben, dass die personenbezogenen Daten, wenn sie „aus dem Kontext gerissen“ werden, ihre Aussagekraft verlieren7. 1 Simitis/Dammann, § 15 BDSG Rz. 49; Gola/Schomerus, § 15 BDSG Rz. 21; jew. m.w.N. auch zur a.A. 2 Taeger/Gabel/Heckmann, § 15 BDSR Rz. 55; für § 6 BDSG a.F. bereits Schatzschneider, NJW 1983, 2554 (2556). 3 Simitis/Dammann, § 15 BDSG Rz. 62; Gola/Schomerus, § 15 BDSG Rz. 25 f. 4 Gallwass, BayVbl. 1980, 423 (425). 5 Simitis/Dammann, § 15 BDSG Rz. 66. 6 So die treffende Bezeichnung von Dammann, Simitis/Dammann, § 15 BDSG Rz. 72. 7 Gola/Schomerus, § 15 BDSG Rz. 27.
Roggenkamp 461
BDSG § 15
Datenverarbeitung der öffentlichen Stellen
Ausnahmsweise ist in diesem Fall nach Abs. 5 eine Übermittlung dieser überschießenden Daten zulässig, wenn und soweit berechtigte Interessen des Betroffenen oder der Dritten Person an der Geheimhaltung der Daten offensichtlich überwiegen. 23 Das berechtigte Interesse an der Geheimhaltung der überschießenden Daten kann jeglicher Art sein und sich entweder aus Begleitumständen oder aus der Art der Daten (z.B. Informationen aus der „Privatsphäre“) ergeben. Auch an Geschäftsgeheimnissen kann ein Geheimhaltungsinteresse i.S.d. Vorschrift bestehen1. Ein offensichtliches Überwiegen des Geheimhaltungsinteresses ist dann gegeben, wenn dieses für jedermann aus dem konkreten Sachverhalt ersichtlich ist2. Im Zweifel ist vor der Übermittlung eine Klärung herbeizuführen oder der erhöhte Aufwand einer Unkenntlichmachung in Kauf zu nehmen3. 24 Eine Nutzung der überschießenden personenbezogenen Daten durch den Übermittlungsempfänger ist explizit untersagt. Auch die weitere Übermittlung an einen Zweitempfänger ist unzulässig, da die Normen, die eine solche gestatten, die Zulässigkeit zur Nutzung direkt (§ 15 Abs. 1 Nr. 2, § 16 Abs. 1 Nr. 1) oder indirekt (§ 16 Abs. 1 Nr. 2 im Rahmen des schutzwürdigen Interesses) voraussetzen4. VII. Interne Weitergabe von Daten (Abs. 6) 25 Nach Abs. 6 gilt die Regelung des Abs. 5 entsprechend, wenn personenbezogene Daten innerhalb einer öffentlichen Stelle weitergegeben werden. Eine solche interne Weitergabe, also eine „Übermittlung“ innerhalb derselben öffentlichen Stelle, ist nicht als Übermittlung i.S.d. BDSG einzustufen. Wenn aber bei einer Übermittlung ausnahmsweise überschießende Daten weitergegeben werden dürfen, dann muss dies bei „nur“ interner Weitergabe – die als Nutzung personenbezogener Daten zu qualifizieren ist – erst recht möglich sein5. Abs. 6 gilt auch für die interne Bekanntgabe durch Bereithalten zur Einsicht6.
1 Gola/Schomerus, § 15 BDSG Rz. 28; Simitis/Dammann, § 15 BDSG Rz. 78. 2 Taeger/Gabel/Heckmann, § 15 BDSG Rz. 72; Simitis/Dammann, § 15 BDSG Rz. 78. 3 Gola/Schomerus, § 15 BDSG Rz. 28. 4 Simitis/Dammann, § 15 BDSG Rz. 82. 5 Simitis/Dammann, § 15 BDSG Rz. 85 unter Heranziehung von BR-Drucks. 379/1/90 v. 11.6.1990. 6 Simitis/Dammann, § 15 BDSG Rz. 86.
462 Roggenkamp
Datenübermittlung an nicht-öffentliche Stellen
§ 16 BDSG
Datenübermittlung an nicht-öffentliche Stellen (1) 1Die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen ist zulässig, wenn 1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden, oder 2. der Dritte, an den die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. 2Das Übermitteln von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist abweichend von Satz 1 Nr. 2 nur zulässig, wenn die Voraussetzungen vorliegen, die eine Nutzung nach § 14 Abs. 5 und 6 zulassen würden oder soweit dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist.
16
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. (3) 1In den Fällen der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. 2Dies gilt nicht, wenn damit zu rechnen ist, dass er davon auf andere Weise Kenntnis erlangt, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde. (4) 1Der Dritte, an den die Daten übermittelt werden, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. 2Die übermittelnde Stelle hat ihn darauf hinzuweisen. 3Eine Verarbeitung oder Nutzung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Absatz 1 zulässig wäre und die übermittelnde Stelle zugestimmt hat. I. Allgemeines . . . . . . . . . . . . . . . II. Zulässigkeitsvoraussetzungen (Abs. 1) . . . . . . . . . . . . . . . . 1. Nicht-öffentliche Stelle als Übermittlungsempfänger . . . . 2. Zur Erfüllung eigener Aufgaben (Abs. 1 Nr. 1) . . . . . . . . . 3. Berechtigtes Interesse des Übermittlungsempfängers (Abs. 1 Nr. 2) . . . . . . . . . . . . . .
1
III. Verantwortlichkeitszuweisung (Abs. 2) . . . . . . . . . . . . 10
2
IV. Unterrichtungspflicht (Abs. 3). . . . . . . . . . . . . . . . . . . . 11
3 4
V. Zweckbindung (Abs. 4) . . . . . . 17 VI. Veröffentlichung von „Beamtendaten“ auf Behördenseite . 20
6
Roggenkamp 463
BDSG § 16
Datenverarbeitung der öffentlichen Stellen
Schrifttum: Brisch/Laue, Verbot der Weitergabe von Patientendaten an private Abrechnungsstellen (Anmerkung zu BSG v. 10.12.2008 – B 6 KA 37/07 R), CR 2009, 465; Guckelberger, Personalisierte Behördenauftritte im Internet, ZBR 2009, 332; Simitis, Von der Amtshilfe zur Informationshilfe, NJW 1986, 2795.
I. Allgemeines 1 Im Gegensatz zu § 15 regelt § 16 die Übermittlung von personenbezogenen Daten durch öffentliche Stellen an nicht-öffentliche Stellen. In Abs. 1 sind die Voraussetzungen für die Zulässigkeit der Übermittlung genannt. Die Verantwortlichkeit für die Übermittlung weist Abs. 2 in jedem Fall der übermittelnden öffentlichen Stelle zu. In Abs. 3 werden der Übermittlung nachgelagerte Unterrichtungspflichten formuliert. Schließlich enthält Abs. 4 Regelungen zur Zweckbindung. II. Zulässigkeitsvoraussetzungen (Abs. 1) 2 Eine öffentliche Stelle darf personenbezogene Daten an nicht-öffentliche Stellen zunächst dann übermitteln, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist und zusätzlich die Voraussetzungen vorliegen, die eine Nutzung nach § 14 zulassen würden (Nr. 1). Alternativ ist eine Übermittlung an eine nicht-öffentliche Stelle zulässig, wenn der Übermittlungsempfänger ein berechtigtes Interesse an der Kenntnisnahme der angefragten Daten glaubhaft machen kann und der Betroffene kein schutzwürdiges Interesse am Ausschluss der Übermittlung hat (Nr. 2). 1. Nicht-öffentliche Stelle als Übermittlungsempfänger 3 Während § 15 die Übermittlung von personenbezogenen Daten zwischen zwei öffentlichen Stellen regelt, ist § 16 immer dann einschlägig, wenn Daten an eine nicht-öffentliche Stelle übermittelt werden. Aber auch wenn Daten an öffentliche Stellen übermittelt werden, gibt es Fälle, in denen § 16 zur Anwendung kommen muss. Das ist immer dann der Fall, wenn die als Übermittlungsempfängerin in Betracht kommende Stelle „am Markt“ tätig ist (vgl. hierzu näher die Kommentierung zu § 15 Rz. 6). 2. Zur Erfüllung eigener Aufgaben (Abs. 1 Nr. 1) 4 Die Übermittlung an eine nicht-öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der Aufgaben der öffentlichen Stelle erforderlich ist. Insofern gilt das zur entsprechenden Zulässigkeitsregel in § 15 Abs. 1 Nr. 1 464 Roggenkamp
Datenübermittlung an nicht-öffentliche Stellen
§ 16 BDSG
Gesagte. Die Erforderlichkeit ist immer dann gegeben, wenn personenbezogene Daten durch die öffentliche Stelle mitgeteilt werden müssen, z.B. wenn ohne deren Kenntnis ein Verwaltungsakt keinen Sinn machen würde. Es kommt jedoch nicht darauf an, ob der Übermittlungsempfänger die zu übermittelnden Daten für die Erfüllung seiner Aufgaben benötigt1. Außerdem muss auch hier der Zweckbindungsgrundsatz beachtet werden, weshalb im Rahmen dieser Zulässigkeitsvariante auch die Voraussetzungen des § 14 vorliegen müssen, nach denen eine Nutzung der zu übermittelnden personenbezogenen Daten zulässig wäre.
5
3. Berechtigtes Interesse des Übermittlungsempfängers (Abs. 1 Nr. 2) Eine Übermittlung ist auch zulässig, wenn der Übermittlungsempfänger 6 ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft machen kann. Berechtigt ist jedes ideelle und wirtschaftliche Interesse, das auf sachlichen Erwägungen beruht und mit der Rechtsordnung im Einklang steht2. Einfache Neugier reicht nicht aus, ein rechtliches Interesse ist hingegen stets als berechtigtes Interesse einzustufen3. Dass ein berechtigtes Interesse besteht, muss glaubhaft gemacht werden. Eine vollumfängliche Beweisführung ist nicht notwendig, aber zulässig. Der die Daten Begehrende muss substantiiert und für die Behörde nachvollziehbar darlegen, wieso er diese benötigt4. Besondere Formvorschriften existieren nicht5, die Glaubhaftmachung kann also auch durch Erläuterung am Telefon oder im Rahmen einer E-Mail (Textform) erfolgen6.
7
Die öffentliche Stelle hat, wenn ein berechtigtes Interesse vorliegt, vor 8 der Übermittlung zu prüfen, ob im konkreten Fall ein Interesse des Betroffenen am Ausschluss der Übermittlung besteht. Das ist insbesondere dann der Fall, wenn der Betroffene der Übermittlung widersprochen 1 Bergmann/Möhrle/Herb, § 16 BDSG Rz. 14; Gola/Schomerus, § 16 BDSG Rz. 7. 2 Gola/Schomerus, § 16 BDSG Rz. 10; Simitis/Dammann, § 16 BDSG Rz. 17; Stelkens/Bonk/Sachs, VwVfG § 29 Rz. 42. 3 Gola/Schomerus, § 16 BDSG Rz. 10. 4 Gola/Schomerus, § 16 BDSG Rz. 10. 5 Taeger/Gabel/Heckmann, § 16 BDSG Rz. 21. 6 Däubler/Klebe/Wedde/Weichert/Wedde, § 16 BDSG Rz. 9 – „einfache Erklärung“ ausreichend.
Roggenkamp 465
BDSG § 16
Datenverarbeitung der öffentlichen Stellen
hat. Der Umfang der Überprüfungspflicht hängt einerseits von der allgemeinen Sensibilität (zum Vorgehen bei sensiblen Daten i.S.d. § 3 Abs. 9 sogleich) der Daten ab, andererseits von den zu erwartenden Folgen für den Betroffenen1. Ist ein Interesse des Betroffenen am Ausschluss der Übermittlung erkennbar, ist abzuwägen, ob dieses Interesse des Betroffenen schutzwürdig ist. Auch das ist eine Frage des konkreten Einzelfalls. Führt die Abwägung, bei der die in § 14 Abs. 2 niedergelegten Wertungen hilfsweise herangezogen werden können, zu dem Ergebnis, dass zumindest nicht ausgeschlossen werden kann, dass der Schutz der Rechtsgüter und Interessen des Betroffenen Vorrang hat, muss die Übermittlung unterbleiben2. 9 Sensible Daten (§ 3 Abs. 9) dürfen übermittelt werden, wenn entweder die Voraussetzungen vorliegen, die eine Nutzung nach § 14 Abs. 5 und 6 zulassen würden (siehe Rz. 22 ff. dort). Daneben ist eine Übermittlung sensibler Daten an nicht-öffentliche Stellen in dem Umfang zulässig, in dem sie zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche der übermittelnden Stelle3 erforderlich ist. Der weit zu interpretierende Begriff der rechtlichen Ansprüche umfasst öffentlich-rechtliche und privatrechtliche Rechtspositionen einschließlich Anwartschaften, jedoch keine reinen Vermögensinteressen4. Der Erforderlichkeitsgrundsatz gebietet die Überprüfung, ob die Übermittlung überhaupt und falls ja in welchem Umfang und welcher Form (z.B. anonymisiert) zulässig ist. III. Verantwortlichkeitszuweisung (Abs. 2) 10 Im Gegensatz zur differenzierten Regelung des § 15 Abs. 2 verbleibt es im Rahmen des § 16 beim datenschutzrechtlichen Grundsatz, dass die Verantwortung für die Zulässigkeit der Übermittlung allein die übermittelnde Stelle trägt.
1 Taeger/Gabel/Heckmann, § 16 BDSG Rz. 24; Bergmann/Möhrle/Herb, § 16 BDSG Rz. 19. 2 Taeger/Gabel/Heckmann, § 16 BDSG Rz. 26; Simitis/Dammann, § 16 BDSG Rz. 24; Däubler/Klebe/Wedde/Weichert/Wedde, § 16 BDSG Rz. 11. 3 Taeger/Gabel/Heckmann, § 16 BDSG Rz. 31; Simitis/Dammann, § 16 BDSG Rz. 34. 4 Simitis/Dammann, § 16 BDSG Rz. 33.
466 Roggenkamp
Datenübermittlung an nicht-öffentliche Stellen
§ 16 BDSG
IV. Unterrichtungspflicht (Abs. 3) Da derjenige, dessen personenbezogene Daten für öffentliche Zwecke er- 11 hoben und gespeichert wurden, in der Regel nicht damit rechnen muss, dass diese an nicht-öffentliche Stellen weitergegeben werden, ist die übermittelnde öffentliche Stelle unter Umständen verpflichtet den Betroffenen entsprechend zu unterrichten1. Die die Verpflichtung auslösenden Umstände sind eng begrenzt. Erfolgt die Übermittlung zur Aufgabenerfüllung (Abs. 1 Nr. 1) besteht keine Pflicht zur Unterrichtung.
12
Obsolet ist eine Unterrichtung, wenn damit zu rechnen ist, dass der 13 Betroffene von der Übermittlung durch die öffentliche Stelle auf andere Weise Kenntnis erlangt. Damit soll überflüssiger Aufwand und „bürokratischer Leerlauf“ vermieden werden2. Aus Sicht der öffentlichen Stelle muss es also hinreichend wahrscheinlich sein, dass eine Kenntnisnahme in engem zeitlichen Zusammenhang3 zu der Übermittlung erfolgen wird. Nicht ausreichend ist die Annahme, dass der Betroffene vom Übermittlungsempfänger angeschrieben oder kontaktiert werden wird. Hieraus kann der Betroffene nicht die Kenntnis erlangen, dass die Daten gerade von der öffentlichen Stelle übermittelt wurden4. Von einer Unterrichtung ist abzusehen, wenn sie die öffentliche Sicherheit gefährden würde. Eine Gefährdungslage nach der Unterrichtung muss hinreichend wahrscheinlich und nicht bloß theoretisch möglich sein. Eine Gefährdung der öffentlichen Ordnung ist nicht ausreichend5.
14
Gleiches gilt, wenn die Unterrichtung dem Wohl des Bundes oder eines Landes in sonstiger Weise Nachteile bereiten würde. Da der „Bestand des Staates und die Funktionsfähigkeit seiner Einrichtungen“ bereits als kollektives Schutzgut von der öffentlichen Sicherheit umfasst ist, ist der praktische Anwendungsbereich dieser Ausnahme unklar.
15
1 Tinnefeld/Ehmann/Gerlin, Datenschutzrecht, S. 531; Däubler/Klebe/Wedde/ Weichert/Wedde, § 16 BDSG Rz. 18; Bergmann/Möhrle/Herb, § 16 BDSG Rz. 28. 2 Simitis/Dammann, § 16 BDSG Rz. 43. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 16 BDSG Rz. 20 fordert eine Kenntnisnahme unmittelbar nach der Übermittlung, Gola/Schomerus hingegen reicht eine Kenntnisnahme „in absehbarer Zeit“ aus. 4 Bergmann/Möhrle/Herb, § 16 BDSG Rz. 29, die darauf hinweisen, dass eine Verpflichtung des Übermittlungsempfängers bei Kontaktaufnahme auf die Herkunft der Daten hinzuweisen ausreichen kann. 5 Bergmann/Möhrle/Herb, § 16 BDSG Rz. 30.
Roggenkamp 467
BDSG § 16
Datenverarbeitung der öffentlichen Stellen
16 Besteht eine Unterrichtungspflicht, ist der Betroffene so konkret wie möglich darüber zu informieren, dass, welche, an wen und zu welchem Zweck seine personenbezogenen Daten übermittelt wurden1. V. Zweckbindung (Abs. 4) 17 Abs. 4 stellt klar, dass der Zweckbindungsgrundsatz für den Übermittlungsempfänger gilt und dieser dementsprechend die übermittelten personenbezogenen Daten grundsätzlich nur für den konkreten Zweck verarbeiten oder nutzen darf, zu dem sie ihm übermittelt wurden. 18 Auf die Zweckbindung ist der Übermittlungsempfänger hinzuweisen. Es ist also zunächst im Kontext der Übermittlung zu konstatieren, zu welchem Zweck die öffentliche Stelle die Daten übermittelt. Außerdem ist dem Übermittlungsempfänger zu verdeutlichen, dass eine zweckfremde Nutzung verboten ist. Zur Verdeutlichung ist ein Hinweis auf die Möglichkeit eines Bußgelds von bis zu dreihunderttausend Euro im Falle eines Verstoßes (§ 43 Abs. 3 i.V.m. Abs. 2 Nr. 5) ratsam, wenn auch nicht zwingend erforderlich. 19 Ausnahmsweise ist eine Zweckänderung im Rahmen der Verarbeitung oder Nutzung zulässig, wenn die Voraussetzungen für eine Übermittlung nach Absatz 1 vorliegen und die übermittelnde Behörde zugestimmt hat, Abs. 4 Satz 3. Die Entscheidung über die Zulässigkeit der Zweckänderung trifft allein die öffentliche Stelle, die alternativ eine (erneute) Übermittlung der für den anderen Zweck benötigten personenbezogenen Daten veranlassen könnte. Durch die Regelung sollen lediglich überflüssige Übermittlungsvorgänge vermieden werden2. VI. Veröffentlichung von „Beamtendaten“ auf Behördenseite 20 Die Namen, Funktionen und dienstliche Erreichbarkeit von Beamten, die mit Außenkontakten betraut sind, dürfen im Interesse einer transparenten, bürgernahen öffentlichen Verwaltung, auch ohne deren Einverständnis im Internet bekannt gegeben werden. Etwas anderes gilt nur dann, wenn einer solchen Bekanntgabe Sicherheitsbedenken (z.B. Gefahr der Anfeindung oder Gefährdung durch Dritte) entgegenstehen3.
1 Simitis/Dammann, § 16 BDSG Rz. 41. 2 Vgl. Simitis/Dammann, § 16 BDSG Rz. 50. 3 BVerwG v. 12.3.2008 – 2 B 131/07, DuD 2008, 696 m. Anm. Jäger, jurisPR-ITR 11/2008 Anm. 4.
468 Roggenkamp
§ 18 BDSG
Durchführung des Datenschutzes in der Bundesverwaltung
17
(weggefallen)
Durchführung des Datenschutzes in der Bundesverwaltung (1) 1Die obersten Bundesbehörden, der Präsident des Bundeseisenbahnvermögens sowie die bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts, über die von der Bundesregierung oder einer obersten Bundesbehörde lediglich die Rechtsaufsicht ausgeübt wird, haben für ihren Geschäftsbereich die Ausführung dieses Gesetzes sowie anderer Rechtsvorschriften über den Datenschutz sicherzustellen. 2Das Gleiche gilt für die Vorstände der aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange diesen ein ausschließliches Recht nach dem Postgesetz zusteht.
18
(2) 1Die öffentlichen Stellen führen ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen. 2Für ihre automatisierten Verarbeitungen haben sie die Angaben nach § 4e sowie die Rechtsgrundlage der Verarbeitung schriftlich festzulegen. 3Bei allgemeinen Verwaltungszwecken dienenden automatisierten Verarbeitungen, bei welchen das Auskunftsrecht des Betroffenen nicht nach § 19 Abs. 3 oder 4 eingeschränkt wird, kann hiervon abgesehen werden. 4Für automatisierte Verarbeitungen, die in gleicher oder ähnlicher Weise mehrfach geführt werden, können die Festlegungen zusammengefasst werden. I. Allgemeines . . . . . . . . . . . . . . .
1
II. Sicherstellung der Ausführung (Abs. 1) . . . . . . . . . . . . . . .
2
III. Konkrete Verpflichtungen (Abs. 2) . . . . . . . . . . . . . . . . . . .
4
1. Verzeichnis eingesetzter Datenverarbeitungsanlagen (Abs. 2 Satz 1) . . . . . . . . . . . . . . 2. Verzeichnis automatisierter Verarbeitungen (Abs. 2 Satz 2)
5 8
Schrifttum: Dammann, Das Dateistatut nach § 18 Abs. 2 BDSG, DuD 1993, 547; Engelien-Schulz, Zum Verfahrensverzeichnis nach § 4e BDSG und seiner Bedeutung für den ordnungsgemäßen Umgang mit personenbezogenen Daten, VR 2011, 119; Engelien-Schulz, Muss man nicht haben, sollte man aber – Zum Ob und Wie eines dienststellenbezogenen Datenschutzkonzepts für öffentliche Stellen des Bundes, VR 2011, 185.
Roggenkamp 469
BDSG § 18
Datenverarbeitung der öffentlichen Stellen
I. Allgemeines 1 Der § 18 stellt klar, dass (Abs. 1) datenschutzrechtliche Regelungen in der Bundesverwaltung einzuhalten sind und dies sicherzustellen ist. Eine für alle öffentlichen Stellen, auf die § 18 anwendbar ist, geltende, die Datenschutzdurchführung flankierende Verpflichtung ist in Abs. 2 niedergelegt. II. Sicherstellung der Ausführung (Abs. 1) 2 In § 18 Abs. 1 wird die Selbstverständlichkeit (vgl. Art. 20 Abs. 3 GG) konstatiert, dass die Ausführung des BDSG und anderer Rechtsvorschriften über den Datenschutz (z.B. TMG, TKG, bereichsspezifische Datenschutzregelungen) in der Bundesverwaltung sicherzustellen ist. Ebenfalls selbstverständlich ist die Aussage, dass die Verpflichtung zur Sicherstellung der Ausführung des Datenschutzrechts1 sich auf die jeweiligen Geschäftsbereiche erstreckt. 3 Nicht (mehr) dem Anwendungsbereich des § 18 unterfallen die Deutsche Postbank AG, die Deutsche Telekom AG und, seit Auslaufen der gesetzlichen Exklusivlizenz bezüglich der Beförderung von Briefsendungen (§ 51 Abs. 1 PostG) zum 31.12.2007, die Deutsche Post AG2. § 18 Abs. 1 Satz 2 ist daher seit dem 1.1.2008 bedeutungslos. III. Konkrete Verpflichtungen (Abs. 2) 4 In Absatz 2 finden sich konkrete erweiternde Verpflichtungen für alle öffentlichen Stellen, auf die § 18 anwendbar ist3. Sie sind neben der allgemeinen Sicherstellung der Ausführung des Datenschutzrechts zu erfüllen sind. 1. Verzeichnis eingesetzter Datenverarbeitungsanlagen (Abs. 2 Satz 1) 5 Nach Abs. 2 Satz 1 ist ein Verzeichnis der eingesetzten Datenverarbeitungsanlagen zu führen. Der Begriff der Datenverarbeitungsanlagen ist weit auszulegen. Erfasst ist jedes technische Gerät, mit welchem personenbezogene Daten verarbeitet werden könnten4. Aus dem eindeuti1 Zu dienststellenbezogenen Datenschutzkonzepten für öffentliche Stellen des Bundes vgl. Engelien-Schulz, VR 2011, 185 ff. 2 Taeger/Gabel/Heckmann, § 18 BDSG Rz. 16. 3 Simitis/Dammann, § 18 BDSG Rz. 15. 4 Simitis/Dammann, § 18 BDSG Rz. 17 f.
470 Roggenkamp
Durchführung des Datenschutzes in der Bundesverwaltung
§ 18 BDSG
gen Wortlaut der Norm folgt, dass es nicht darauf ankommt, ob eine Verarbeitung personenbezogener Daten tatsächlich auch auf diesen Rechnern erfolgt. Umfasst sind sowohl die zentralen Server als auch die einzelnen Arbeitsplatzrechner1. Auch mobile Rechner (Laptop, Notebook, Netbook) sind zu erfassen. Da auch sog. Smartphones (z.B. iPhone, Blackberry, Android) und Tablets (z.B. iPad) grundsätzlich geeignet sind Daten zu verarbeiten, sind diese ebenfalls aufzuführen. Nach einer in der Literatur verbreiteten Auffassung sind auch die im 6 persönlichen Eigentum der Bediensteten stehenden Rechner zu erfassen2. Begründet wird dies mit einer entsprechenden Äußerung des Gesetzgebers in der Begründung zu § 15 Satz 2 des RegE3. Auch verbotswidrig eingesetzte private Rechner seien grundsätzlich aufzunehmen, es sei denn, sie sind aus der öffentlichen Stelle entfernt worden4. In der Praxis würde die konsequente Anwendung dieser Norm dazu führen, dass jeder Bedienstete sofort bei Erwerb eines privaten Rechners, Smartphones, etc. dieses zum Zwecke der Aufnahme im Verzeichnis melden müsste. Da inzwischen die Arbeit im „Home-Office“ auch in öffentlichen Stellen weit verbreitet, häufig sogar notwendig ist, kann es auf die physische Präsenz in der öffentlichen Stelle nicht mehr ankommen. Grundsätzlich müsste auch die (private) Nutzung von webbasierten Diensten (z.B. Webmailprogrammen wie GoogleMail, WebApps wie GoogleDocs, soziale Netzwerke wie Facebook) gemeldet werden, da durch die Bediensteten auf den (Cloud-)Rechnern der Anbieter personenbezogene Daten gespeichert und bearbeitet werden könnten. Sinn und Zweck des Verzeichnisses ist es, die Übersicht zu behalten, 7 wo personenbezogene Daten bearbeitet werden oder bearbeitet werden können5. Diese Übersichtlichkeit geht mit Blick auf die Ubiquität privater „Datenverarbeitungsanlagen“6 bei allzu extensiver Auslegung verloren. Zweckmäßig ist daher allein die Auflistung der Geräte, die entwe-
1 Gola/Schomerus, § 18 BDSG Rz. 5. 2 Gola/Schomerus, § 18 BDSG Rz. 5; Simitis/Dammann, § 18 BDSG Rz. 17; Taeger/Gabel/Heckmann, § 18 BDSG Rz. 22. 3 BT-Drucks. 11/4306, S. 45: „Damit soll sichergestellt werden, daß auch sog. Arbeitsplatzrechner erfaßt werden, und zwar auch dann, wenn sie etwa im Eigentum des Arbeitsplatzinhabers stehen.“ 4 Simitis/Dammann, § 18 BDSG Rz. 17. 5 Simitis/Dammann, § 18 BDSG Rz. 16. 6 Die von der Bundesregierung zum Zeitpunkt der Veröffentlichung des Regierungsentwurfs (April 1989) – also vor Verbreitung des Internets und tragbarer PCs – nicht berücksichtigt werden konnte.
Roggenkamp 471
BDSG § 18
Datenverarbeitung der öffentlichen Stellen
der dauerhaft physisch in der öffentlichen Stelle befindlich sind, oder für die dem Bediensteten die Nutzungserlaubnis zu „dienstlichen Zwecken“ erteilt wurde. Bereits aus den allgemeinen datenschutzrechtlichen Anforderungen an öffentliche Stellen ergibt sich, dass die Bediensteten ausdrücklich darauf hinzuweisen sind, dass eine Verarbeitung personenbezogener Daten auf privaten Geräten1 ohne die vorgenannte Nutzungserlaubnis nicht zulässig ist. 2. Verzeichnis automatisierter Verarbeitungen (Abs. 2 Satz 2) 8 Ausweislich Abs. 2 Satz 2 ist ein Verzeichnis der automatisierten Verarbeitungen mit den Angaben nach § 4e BDSG (siehe auch die dortige Kommentierung) sowie den Rechtsgrundlagen für die Verarbeitung festzulegen (sog. Dateistatut2). Es ist das organisatorische und verfahrensmäßige Mittel um Datenschutzrecht und tatsächliche Datenverarbeitung miteinander in Einklang zu bringen3. Die Festlegung muss sinnvollerweise vor der Implementierung bzw. bereits vor der Anschaffung eines automatisierten Verfahrens zur Verarbeitung personenbezogener Daten erfolgen4. 9 Bei der Festlegung handelt es sich um einen ordnenden, normativ wirkenden Akt der öffentlichen Stelle, der insbesondere die Grenzen der Verarbeitung – insbesondere in personeller Hinsicht (Festlegung von Zugangs- und Zugriffsberechtigungen) – festlegt5. Dem Dateistatut wird der Charakter einer innerdienstlichen Dienstvorschrift oder Anordnung zugesprochen6. 10 Das Verzeichnis, welches dem internen Datenschutzbeauftragten und dem BfDI zur Aufgabenunterstützung dienen soll7, muss in verkörperter Form vorliegen, also nicht rein elektronisch. Auf eine Unterschrift kommt es, trotz des Wortlauts („schriftlich“) nicht an8. In das Verzeich-
1 Zu datenschutzrechtlichen Implikationen des „Bring your own device“-Trends, Conrad/Schneider, ZD 2011, 153. 2 Ausführlich bereits Dammann, DuD 1993, 547 ff. 3 Simitis/Dammann, § 18 BDSG Rz. 25. 4 Vgl. VG Wiesbaden v. 23.5.2005 – 23 LG 485/05 (V), CR 2005, 785, juris Rz. 56. 5 Gola/Schomerus, § 18 BDSG Rz. 7. 6 Simitis/Dammann, § 18 BDSG Rz. 37. 7 Gola/Schomerus, § 18 BDSG Rz. 5. 8 Simitis/Dammann, § 18 BDSG Rz. 28.
472 Roggenkamp
Auskunft an den Betroffenen
§ 19 BDSG
nis sind alle automatisiert geführten Verarbeitungsvorgänge unabhängig vom Zweck1 der Verarbeitung aufzunehmen2. Automatisierten Verarbeitungen die allgemeinen Verwaltungszwecken 11 dienen, also nur den Verwaltungsvollzug erleichtern3, müssen ausweislich Abs. 2 Satz 3 nicht in das Verzeichnis aufgenommen werden, wenn das Auskunftsrecht des Betroffenen nicht nach § 19 Abs. 3 oder 4 eingeschränkt wird. Zur Entlastung der verantwortlichen Stelle müssen sog. Mehrfach-Ver- 12 arbeitungen, also automatisierte Verarbeitungen, die in gleicher oder ähnlicher Weise mehrfach geführt werden, nach Abs. 2 Satz 4 nur einmal aufgeführt werden4.
Zweiter Unterabschitt Rechte des Betroffenen Auskunft an den Betroffenen
19
(1) 1Dem Betroffenen ist auf Antrag Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 2. die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden, und 3. den Zweck der Speicherung. 2In dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnet werden. 3Sind die personenbezogenen Daten weder automatisiert noch in nicht automatisierten Dateien gespeichert, wird die Auskunft nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem vom Betroffenen geltend gemachten Informationsinteresse steht. 4Die verantwortliche Stelle bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßem Ermessen. 1 2 3 4
Aber die Zweckbestimmung aufführend, vgl. § 4e Nr. 4 BDSG. Simitis/Dammann, § 18 BDSG Rz. 31. Taeger/Gabel/Heckmann, § 18 BDSG Rz. 34. Taeger/Gabel/Heckmann, § 18 BDSG Rz. 35; Bergmann/Möhrle/Herb, § 18 BDSG Rz. 41.
Roggenkamp 473
BDSG § 19
Datenverarbeitung der öffentlichen Stellen
(2) Absatz 1 gilt nicht für personenbezogene Daten, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde. (3) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig. (4) Die Auskunftserteilung unterbleibt, soweit 1. die Auskunft die ordnungsgemäße Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben gefährden würde, 2. die Auskunft die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde oder 3. die Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen und deswegen das Interesse des Betroffenen an der Auskunftserteilung zurücktreten muss. (5) 1Die Ablehnung der Auskunftserteilung bedarf einer Begründung nicht, soweit durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. 2In diesem Fall ist der Betroffene darauf hinzuweisen, dass er sich an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wenden kann. (6) 1Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu erteilen, soweit nicht die jeweils zuständige oberste Bundesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. 2Die Mitteilung des Bundesbeauftragten an den Betroffenen darf keine Rückschlüsse auf den Erkenntnisstand der verantwortlichen Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt. (7) Die Auskunft ist unentgeltlich. 474 Roggenkamp
§ 19 BDSG
Auskunft an den Betroffenen I. Allgemeines . . . . . . . . . . . . . . . 1. Rechte des Betroffenen . . . . . . 2. Insbesondere: das Auskunftsrecht . . . . . . . . . . . . . . . . . . . . .
1 1
II. Auskunftsanspruch (Abs. 1) . . 1. Auskunft über die zur Person gespeicherten Daten (Abs. 1 Nr. 1) . . . . . . . . . . . . . . . . . . . . . 2. Herkunft der Daten (Abs. 1 Nr. 1 a.E.) . . . . . . . . . . . . . . . . . 3. Empfänger (Abs. 1 Nr. 2). . . . . 4. Zweck der Speicherung (Abs. 1 Nr. 3) . . . . . . . . . . . . . . 5. Voraussetzungen (Abs. 1 Satz 2 und 3) . . . . . . . . . . . . . . . 6. Verfahren und Form der Auskunftserteilung (Abs. 1 Satz 4). . . . . . . . . . . . . .
5
2
7 9 10 11 12
15
III. Ausnahmen von der Auskunftserteilung (Abs. 2) . . . . . 17
IV. Auskunftsbeschränkung bei Übermittlung an Sicherheitsbehörden (Abs. 3) . . . . . . . . . . . 18 V. Unterbleiben der Auskunftserteilung bei Geheimhaltungsinteresse (Abs. 4). . . . . . . 1. Gefährdung ordnungsgemäßer Aufgabenerfüllung (Nr. 1). 2. Gefährdung der öffentlichen Sicherheit oder Ordnung oder Nachteiligkeit für das Bundes- oder Landeswohl (Nr. 2) . 3. Rechtliche oder faktische Geheimhaltungsbedürftigkeit (Nr. 3). . . . . . . . . . . . . . . . . . . . .
19 20
21
23
VI. Begründung der Verweigerung (Abs. 5) . . . . . . . . . . . . . . . 24 VII. Auskunft an den BfDI (Abs. 6). . . . . . . . . . . . . . . . . . . . 27 VIII. Unentgeltlichkeit (Abs. 7). . . . 29
Schrifttum: Bäumler, Der Auskunftsanspruch des Bürgers gegenüber den Nachrichtendiensten, NVwZ 1988, 199; Polenz, Der Auskunftsanspruch des Steuerpflichtigen gegenüber den Finanzbehörden, NJW 2009, 1921; Knemeyer, Auskunftsanspruch und behördliche Auskunftsverweigerung, JZ 1992, 348; Roewer, Bürgerauskunft durch die Verfassungsschutzbehörden? – Ein Beitrag zu § 13 II BDSG und § 3 I BVerfSchG, NVwZ 1989, 11; Schapper, Rechtsstaatliche Fundierung der Informationsverarbeitung bei Sicherheitsbehörden und Nachrichtendiensten, DRiZ 1987, 221; Schatzschneider, Das Auskunftsverhalten der Verfassungsschutzbehörden, NVwZ 1988, 223; Simitis/Fuckner, Informationelle Selbstbestimmung und „staatliches Geheimhaltungsinteresse“, NJW 1990, 2713; Weichert, Der Datenschutzanspruch auf Negativauskunft, NVwZ 2007, 1004.
I. Allgemeines 1. Rechte des Betroffenen Im zweiten Unterabschnitt des zweiten Abschnitts des BDSG sind die Rechte des Betroffenen und die korrespondierenden Pflichten der öffentlichen Stellen geregelt. Hierbei handelt es sich um das Auskunftsrecht (§ 19), die Verpflichtung zur Benachrichtigung (§ 19a), das Recht des Betroffenen auf Berichtigung, Löschung und Sperrung von Daten sowie das Widerspruchsrecht (§ 20). Außerdem wird in § 21 die Möglichkeit der Anrufung des BfDI geregelt. Roggenkamp 475
1
BDSG § 19
Datenverarbeitung der öffentlichen Stellen
2. Insbesondere: das Auskunftsrecht 2 Eine der wesentlichen Aussagen des Volkszählungsurteils des BVerfG ist der Passus, dass mit „dem Recht auf informationelle Selbstbestimmung […] eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar [wäre], in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß“1. 3 Das in § 19 geregelte Auskunftsrecht soll genau diesen Zustand verhindern helfen, indem dem Betroffenen gegenüber der verantwortlichen Stelle ein umfangreiches, verhältnismäßig einfach geltend zu machendes Kontrollrecht eingeräumt wird. Die durch das Grundrecht auf informationelle Selbstbestimmung zum Schutz der freien Entfaltung der Persönlichkeit gewährleistete Befugnis, grundsätzlich selbst über Preisgabe und Verwendung der personenbezogenen Daten zu bestimmen – also der Schutz vor „unbegrenzter Erhebung, Speicherung, Verwendung und Weitergabe“2 –, kann nur ausgeübt werden, wenn der Betroffene sich in effektiver Art und Weise Klarheit über den Status Quo verschaffen kann. Dementsprechend gilt das Auskunftsrecht zu Recht als eines der grundlegenden Rechte des Betroffenen gegenüber der verantwortlichen Stelle3. 4 Das Interesse des Betroffenen von den ihn betreffenden informationsbezogenen Maßnahmen des Staates Kenntnis zu erlangen, wird grundrechtlich sowohl durch das Grundrecht auf informationelle Selbstbestimmung als auch durch den Anspruch auf effektiven Rechtsschutz (Art. 19 Abs. 4 GG) geschützt4. Zur Gewährleistung eines tatsächlich effektiven Rechtsschutzes gehört es nach dem BVerfG auch, dass der von einem Eingriff in das Grundrecht auf informationelle Selbstbestimmung Betroffene von diesem Eingriff überhaupt Kenntnis erhalten kann. In derartigen Fällen kann auch Art. 19 Abs. 4 GG einen Informationsanspruch begründen5.
1 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a. – Volkszählung, NJW 1984, 419 (422). 2 BVerfG v. 15.12.1983 – 1 BvR 209/83 u.a. – Volkszählung, NJW 1984, 419 (422). 3 Bäumler, NVwZ 1988, 199, 199 – „magna charta des Datenschutzes“; Simitis/ Mallmann, § 19 BDSG Rz. 10; Bergmann/Möhrle/Herb, § 19 BDSG Rz. 4; Gola/ Schomerus, § 19 BDSG Rz. 2 – „an erster Stelle der Betroffenenrechte“. 4 BVerfG v. 10.3.2008 – 1 BvR 2388/03 – Datensammlung über steuerliche Auslandsbeziehungen, NJW 2008, 2099 – Rz. 58. 5 BVerfG v. 10.3.2008 – 1 BvR 2388/03 – Datensammlung über steuerliche Auslandsbeziehungen, NJW 2008, 2099 (2100) – Rz. 67.
476 Roggenkamp
Auskunft an den Betroffenen
§ 19 BDSG
II. Auskunftsanspruch (Abs. 1) Ausweislich Abs. 1 sind dem Betroffenen i.S.d. § 3 Abs. 1 auf Antrag, (1.) 5 über die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, (2.) über die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden, und (3.) über den Zweck der Speicherung Auskunft zu erteilen. Der Auskunftsanspruch ist unabdingbares Recht1. Die Auskunftsertei- 6 lung ist, wie auch die Ablehnung der Auskunftserteilung, als Verwaltungsakt und nicht als Realakt einzustufen2. Das folgt aus § 19 Abs. 5, der explizit von einer „Entscheidung“ spricht, welche einer Ablehnung der Auskunftserteilung (und damit notwendigerweise auch der Gewährung der Auskunft) vorausgeht. Richtige Klageart bei Versagung der Auskunft ist dementsprechend die Verpflichtungsklage3. Im Fall der Untätigkeit der um Auskunft ersuchten Stelle kann Untätigkeitsklage (§ 75 VwGO) erhoben werden4. 1. Auskunft über die zur Person gespeicherten Daten (Abs. 1 Nr. 1) Es besteht ein Recht auf Auskunft bezüglich aller zur Person des Betrof- 7 fenen (noch) gespeicherten Daten. Sowohl die in automatisierten und in nicht-automatisierten als auch die in Akten gespeicherten Daten sind umfasst und zwar unabhängig davon, ob dem Betroffenen die Speicherung bereits bekannt ist oder ob die Daten gesperrt sind5. Sind keine personenbezogenen Daten über den Betroffenen gespeichert, 8 ist eine entsprechende Fehlanzeige grundsätzlich ebenfalls mitzuteilen6, um dem Betroffenen entsprechende Klarheit zu verschaffen, vgl. Art. 12 EG-Datenschutzrichtlinie. Ausnahmsweise kann die Negativauskunft verweigert werden, wenn die Information, ob personenbezogene Daten über eine Person gespeichert werden, selbst die Ausnahmetatbestände des Abs. 4 (hierzu unten Rz. 19 ff.) erfüllen würde7. 1 Bergmann/Möhrle/Herb, § 19 BDSG Rz. 61. 2 A.A. Bergmann/Möhrle/Herb, § 19 BDSG Rz. 47 – nur Ablehnung ist Verwaltungsakt, vgl. aber auch ebda, Rz. 62. 3 Simitis/Mallmann, § 19 Rz. 124; vgl. zum Auskunftsanspruch nach § 15 BVerfSchG BVerwG v. 28.11.2007 – 6 A 2/07, NVwZ 2008, 580 sowie BVerwG v. 24.3.2010 – 6 A 2/09, AfP 2010, 410. 4 Simitis/Mallmann, § 19 BDSG Rz. 124. 5 Gola/Schomerus, § 19 BDSG Rz. 4. 6 Bergmann/Möhrle/Herb, § 19 BDSG Rz. 5. 7 Vgl. Weichert, NVwZ 2007, 1004 (1007).
Roggenkamp 477
BDSG § 19
Datenverarbeitung der öffentlichen Stellen
2. Herkunft der Daten (Abs. 1 Nr. 1 a.E.) 9 Es besteht auch ein Anspruch des Betroffenen zu erfahren, woher die gespeicherten Daten kommen, d.h. bei wem sie erhoben wurden. Nur bei Kenntnis der Herkunft wird er in die Lage versetzt, ggf. weitere Schritte (z.B. Geltendmachung weiterer Ansprüche, Widerlegung falscher Behauptungen) vorzunehmen1. Zur Herkunft der Daten gehört auch die Angabe der Person, die über die personenbezogenen Daten informiert hat2. Die Darlegung eines besonderen Auskunftsinteresses ist auch bezüglich der Herkunft der Daten nicht erforderlich3. 3. Empfänger (Abs. 1 Nr. 2) 10 Die Pflicht zur Auskunftserteilung umfasst auch die Auskunft über die Empfänger (§ 3 Abs. 8) oder Kategorien von Empfängern, an welche die Daten des Betroffenen weitergegeben werden. Aus der Verpflichtung wird gefolgert, dass die Empfänger und Kategorien der Empfänger von der verantwortlichen Stelle gespeichert werden müssen unabhängig davon, ob eine regelmäßige Datenweitergabe (bzw. Übermittlung) stattfindet4. 4. Zweck der Speicherung (Abs. 1 Nr. 3) 11 Damit der Betroffene die Möglichkeit hat zu überprüfen, ob seine Daten rechtmäßig gespeichert werden, ist auch die Kenntnis des Zwecks der Speicherung notwendig. Dementsprechend ist dieser ebenfalls – unter Nennung der Rechtsgrundlage5 – mitzuteilen. 5. Voraussetzungen (Abs. 1 Satz 2 und 3) 12 Voraussetzung für die Auskunftserteilung ist die Antragstellung des Betroffenen bei der verantwortlichen Stelle. Eine bestimmte Form der Antragstellung ist nicht vorgesehen. Ein mündlicher Antrag ist – auch per Telefon – also grundsätzlich ausreichend6. In dem Umfang, in dem dies erforderlich ist, ist zum Schutz des Betroffenen die Authentizität der 1 Simitis/Mallmann, § 19 BDSG Rz. 25; Gola/Schomerus, § 19 BDSG Rz. 5. 2 BVerwG v. 3.9.1991 – 1 C 48/88, NJW 1992, 451 (452). 3 Polenz, NJW 2009, 1921 (1926); BVerwG v. 3.9.1991 – 1 C 48/88, NJW 1992, 451 (452). 4 Gola/Schomerus, § 19 BDSG Rz. 6; Simitis/Mallmann, § 19 BDSG Rz. 26. 5 Bergmann/Möhrle/Herb, § 19 BDSG Rz. 8. 6 Bergmann/Möhrle/Herb, § 19 BDSG Rz. 9.
478 Roggenkamp
Auskunft an den Betroffenen
§ 19 BDSG
Anfrage zu überprüfen. Es muss ausgeschlossen werden können, dass die Auskunft gegenüber einer anderen Person als dem Betroffenen, einem gesetzlichen Vertreter oder einem hinreichend Bevollmächtigten erfolgt1. In letztem Fall ist die Bevollmächtigung zur Auskunftseinholung zweifelsfrei festzustellen, was auch durch Nachfrage beim Betroffenen geschehen kann2. Dem Betroffenen obliegt es nach Abs. 1 Satz 2 grundsätzlich im Antrag 13 die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher zu bezeichnen. Ausreichend ist eine grob umrissene Angabe des Zusammenhangs in dem die Daten stehen, z.B. „meine Gesundheitsdaten“3. Häufig wird sich der Zusammenhang bereits aus dem Zuständigkeitsbereich der konkreten Stelle ergeben, die um Auskunft ersucht wurde. Bei Unklarheiten ist der Auskunftsbegehrende um Konkretisierung zu bitten. Für den Fall, dass die personenbezogenen Daten nicht automatisiert 14 oder in automatisierten Dateien gespeichert sind – das betrifft insbesondere Fälle, in denen lediglich Papierakten geführt werden – muss der Betroffene Angaben machen, die das Auffinden der Daten ermöglichen. Die Einschränkung ist restriktiv zu handhaben. Sie hat den Zweck den Aufwand, der mit dem Auffinden der gewünschten Daten verbunden ist, auf verhältnismäßiges Maß zu reduzieren4. Lassen sich die den Betroffenen betreffenden Akten mit Hilfe vorhandener elektronischer Systeme auch ohne weitere Angaben (z.B. Aktenzeichen) durch Eingabe des Namens auffinden, darf das Auskunftsersuchen nicht pauschal unter Hinweis auf das Fehlen der Angaben zurückgewiesen werden. Die verantwortliche Stelle muss den Betroffenen bei Fehlen konkreter Angaben darauf hinweisen, dass und welche weiteren Informationen sie benötigt, um die gewünschte Auskunft mit verhältnismäßigem Aufwand erteilen zu können. Das im Rahmen der Interessenabwägung gegen den Aufwand abzuwägende Informationsinteresse des Betroffenen ist konkretindividuell mit Blick auf den Verwendungskontext zu bestimmen5. Um die Prüfung der Verhältnismäßigkeit zu ermöglichen, ist, bei fehlender Offenkundigkeit und hohem Auskunftsaufwand, vor der Auskunftsver1 Vgl. Simitis/Mallmann, § 19 BDSG Rz. 32; Taeger/Gabel/Mester, § 19 BDSG Rz. 8. 2 Simitis/Mallmann, § 19 BDSG Rz. 34. 3 Simitis/Mallmann, § 19 BDSG Rz. 37; Bergmann/Möhrle/Herb, § 19 BDSG Rz. 12. 4 Simitis/Mallmann, § 19 BDSG Rz. 47. 5 Simitis/Mallmann, § 19 BDSG Rz. 45 f.
Roggenkamp 479
BDSG § 19
Datenverarbeitung der öffentlichen Stellen
weigerung beim Betroffenen das hinter der Auskunft stehende Interesse zu erfragen1. Eine generelle Verpflichtung zur Darlegung des Interesses besteht auf Seiten des Antragstellers aber nicht. Eine Begründung ist grundsätzlich nicht erforderlich2. 6. Verfahren und Form der Auskunftserteilung (Abs. 1 Satz 4) 15 Grundsätzlich bestimmt die verantwortliche Stelle das Verfahren und die Form der Auskunftserteilung nach pflichtgemäßem Ermessen. Gegenstand der in diesem Zusammenhang stehenden Überlegungen müssen dabei insbesondere auch Aspekte der Datensicherheit (§ 9 BDSG) sein. Eine Übermittlung der gewünschten Informationen per einfacher (unverschlüsselter) E-Mail ist somit ausgeschlossen, wenn nicht ausnahmsweise eine entsprechende Einwilligung des Betroffenen vorliegt3. Die Auskunft muss für den Betroffenen verständlich und nachvollziehbar sein. Nicht selbsterklärende Ausdrücke u.ä. sind zu erläutern4. 16 Die Auskunft hat unverzüglich zu erfolgen. Absolutes Maximum soll eine Frist von zwei Wochen sein5. Eine derart lange Frist ist allerdings nur mit besonderen Umständen, z.B. der besonderen Schwierigkeit der Zusammenstellung der Informationen oder einem hohen Krankenstand zu rechtfertigen6. Aus dem hohen Stellenwert des Auskunftsrechts folgt die Verpflichtung der verantwortlichen Stelle die organisatorisch-notwendigen Vorkehrungen (insbesondere Klärung der Zuständigkeiten) zu treffen, um den Prozess der Auskunftserteilung zeitlich zu optimieren. III. Ausnahmen von der Auskunftserteilung (Abs. 2) 17 Sind die de facto noch gespeicherten personenbezogenen Daten nur noch deshalb gespeichert, weil sie auf Grund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungspflichten nicht gelöscht werden dürfen (1. Alt.) oder weil sie zu Zwecken der Datensicherung (z.B. Sicherungskopien) oder Datenschutzkontrolle (d.h. Daten, die bei ei1 2 3 4 5 6
Taeger/Gabel/Mester, § 19 BDSG Rz. 17. BVerwG v. 3.9.1991 – 1 C 48/88, NJW 1992, 451 (452). Vgl. VG Berlin v. 24.5.2011 – 1 K 133.10, juris. Gola/Schomerus, § 19 BDSG Rz. 15. Däubler/Klebe/Wedde/Weichert/Wedde, § 19 BDSG Rz. 12. Offenbar a.A. Bergmann/Möhrle/Herb, § 19 BDSG Rz. 15c, die eine Frist von zwei Wochen als zu kurz bemessen ansehen und stattdessen vier Wochen als Regel und entsprechend § 75 VwGO drei Monate als absolute Grenze ansehen.
480 Roggenkamp
Auskunft an den Betroffenen
§ 19 BDSG
nem behördlichen Datenschutzbeauftragten oder der Aufsichtsbehörde vorliegen1) vorgehalten werden (2. Alt.), ist ein Absehen von der Auskunftserteilung möglich. Weitere Voraussetzung für eine Versagung des Auskunftsrechts ist es aber, dass eine Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde. Es ist eine Abwägung mit dem Informationsinteresse des Betroffenen vorzunehmen, bevor der Antrag – mit entsprechend substantiierter Begründung2 – abgelehnt wird. IV. Auskunftsbeschränkung bei Übermittlung an Sicherheitsbehörden (Abs. 3) Sind personenbezogene Daten an eine Verfassungsschutzbehörde, den BND, den MAD oder an andere Behörden des BMV übermittelt worden, ist die Tatsache, dass eine entsprechende Übermittlung stattgefunden hat, nicht mitzuteilen, wenn die jeweilige Empfängerbehörde dem nicht zugestimmt hat. Durch diese Auskunftsbeschränkung soll erreicht werden, dass der Betroffene nicht „durch die Hintertür“ von einer Abfrage durch eine der genannten Sicherheitsbehörden erfährt3. Alle sonstigen im Rahmen des Auskunftsanspruchs mitzuteilenden Tatsachen sind von der Beschränkung nicht erfasst.
18
V. Unterbleiben der Auskunftserteilung bei Geheimhaltungsinteresse (Abs. 4) Ausnahmsweise hat die Auskunftserteilung zu unterbleiben, wenn das 19 Interesse des Betroffenen an der Auskunftserteilung bei Vorliegen und nach Abwägung mit einer in den Abs. 4 Nr. 1 bis 3 genannten öffentlichen Geheimhaltungsinteressen zurücktreten muss. Diese Interessenabwägung muss, unter Anlegung eines strengen Maßstabs, im konkreten Einzelfall und unter Berücksichtigung des konkreten Auskunftsinteresses des Betroffenen erfolgen4.
1 Gola/Schomerus, § 19 BDSG Rz. 20. 2 Vgl. Däubler/Klebe/Wedde/Weichert/Wedde, § 19 BDSG Rz. 16. 3 Gola/Schomerus, § 19 BDSG Rz. 22; Däubler/Klebe/Wedde/Weichert/Wedde, § 19 BDSG Rz. 19. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 19 BDSG Rz. 29; das Interesse an der Preisgabe der Identität eines Informanten kann z.B. dann das öffentliche Interesse an der Geheimhaltung überwiegen, wenn der „Informant“ wider besseren Wissens oder leichtfertig unwahre Tatsachen behauptet hat, BVerwG v. 3.9.1991 – 1 C 48/88, NJW 1992, 451 (452 f.).
Roggenkamp 481
BDSG § 19
Datenverarbeitung der öffentlichen Stellen
1. Gefährdung ordnungsgemäßer Aufgabenerfüllung (Nr. 1) 20 Die Sicherung der ordnungsgemäßen Aufgabenerfüllung staatlicher Stellen kann eine Einschränkung des Auskunftsrechts rechtfertigen1. Der erste Ausnahmetatbestand ist dann erfüllt, wenn die Auskunft selbst die ordnungsgemäße Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben gefährden würde. Die (konkrete) Gefährdung muss also unmittelbare Folge der Auskunft selbst sein2. 2. Gefährdung der öffentlichen Sicherheit oder Ordnung oder Nachteiligkeit für das Bundes- oder Landeswohl (Nr. 2) 21 Ein Geheimhaltungsinteresse kann auch dann bestehen, wenn die Auskunft die öffentliche Sicherheit oder Ordnung gefährden würde oder Nachteile für das Wohl des Bundes oder eines Landes die Folge wären. Eine besondere Beschränkung, wie sie z.B. in § 13 Abs. 2 Nr. 6 oder § 14 Nr. 6 mit dem Erfordernis der „erheblichen“ Nachteile und dem Fehlen des Bezugs auf die öffentliche Ordnung3 vorgenommen wurde, hat der Gesetzgeber nicht vorgenommen. Unter Berücksichtigung des hohen Stellenwerts des durch den Auskunftsanspruch geschützten Rechtsguts der informationellen Selbstbestimmung, kann der wohl herrschenden Literaturmeinung4 darin beigepflichtet werden, dass auch hier ein strenger Maßstab anzulegen ist und zumindest eine gewisse Erheblichkeit der Gefährdungen oder Nachteile verlangt werden muss. Diese können aber auch für von der öffentlichen Sicherheit erfasste Rechtsgüter gegeben sein, die nicht der allgemeinen Definition der „erheblichen“ Gefahr5 unterfallen oder die „nur“ für die öffentliche Ordnung bestehen. 22 Nachteile für das Wohl des Bundes oder Landes sind dann anzunehmen, wenn wesentliche Interessen negativ berührt werden (z.B. Störung der inneren Sicherheit, Störung der freundschaftlichen Beziehungen zu anderen Staaten oder internationalen Organisationen). Fiskalische Nach-
1 BVerfG v. 10.3.2008 – 1 BvR 2388/03 – Datensammlung über steuerliche Auslandsbeziehungen, NJW 2008, 2099 – Rz. 77. 2 BVerwG v. 3.9.1991 – 1 C 48/88, NJW 1992, 451 (452); Däubler/Klebe/Wedde/ Weichert/Wedde, § 19 BDSG Rz. 23. 3 Instruktiv zum Begriff Fechner, Jus 2003, 734. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 19 BDSG Rz. 25; Gola/Schomerus, § 19 BDSG Rz. 27; Taeger/Gabel/Mester, § 19 BDSG Rz. 33. 5 Also „eine Gefahr für ein bedeutsames Rechtsgut wie Bestand des Staates, Leben, Gesundheit, Freiheit, nicht unwesentliche Vermögenswerte sowie andere strafrechtlich geschützte Güter“ (vgl. z.B. § 2 Nr. 1c) Nds.SOG).
482 Roggenkamp
Auskunft an den Betroffenen
§ 19 BDSG
teile sind nur dann relevante Nachteile für das Wohl eines Staates, wenn sie durch ihr Gewicht die Funktionsfähigkeit des Bundes oder des Landes oder seine wirtschaftliche Leistungsfähigkeit insgesamt in Frage stellen1. 3. Rechtliche oder faktische Geheimhaltungsbedürftigkeit (Nr. 3) Schließlich kann die Geheimhaltungsbedürftigkeit auch aus den Daten 23 bzw. der Tatsache ihrer Speicherung selbst folgen. Das ist nach Nr. 3 der Fall, wenn dies in einer Rechtsvorschrift festgelegt wurde oder wenn die Geheimhaltungsbedürftigkeit immanent ist, was insbesondere aus überwiegenden berechtigten Interessen eines Dritten folgen kann. In letzterem Fall ist das Auskunftsinteresse gegen das berechtigte Interesse des Dritten (hierzu die Kommentierung zu § 16 Rz. 6, der eine natürliche Person sein muss2, abzuwägen. Überwiegt letzteres, muss die Auskunft unterbleiben. VI. Begründung der Verweigerung (Abs. 5) Grundsätzlich ist die Ablehnung einer Auskunftserteilung, die einen belastenden Verwaltungsakt darstellt3, zu begründen, was schon aus Abs. 5 Satz 1 e contrario folgt4. Dabei sind sowohl die rechtlichen als auch tatsächlichen Gründe, auf die die Entscheidung gestützt wird, mitzuteilen5. Es ist also nicht ausreichend die Auskunft z.B. „unter Hinweis auf § 19 Abs. 4 Nr. 2 BDSG“ zu verweigern oder lediglich den Gesetzestext zu paraphrasieren. Soweit wie möglich sind auch die Tatsachen darzulegen, die zu der ablehnenden Entscheidung geführt haben.
24
Ausnahmsweise kann nach Abs. 5 Satz 1 eine Begründung entfallen, 25 wenn und soweit bereits durch die Mitteilung der Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. In diesen Fällen reicht eine generelle Versagungsbegründung wie z.B. „Über laufende Ermittlungen wird grundsätzlich
1 So zu § 99 VwGO Schoch/Schmidt-Aßmann/Pietzner/Rudisile, VwGO, 21. El. 2011, § 99 VwGO Rz. 16. 2 Taeger/Gabel/Mester, § 19 BDSG Rz. 34. 3 Gola/Schomerus, § 19 BDSG Rz. 31; Bergmann/Möhrle/Herb, § 19 BDSG Rz. 47; siehe auch oben Rz. 6. 4 Bergmann/Möhrle/Herb, § 19 BDSG Rz. 47. 5 Gola/Schomerus, § 19 BDSG Rz. 31.
Roggenkamp 483
BDSG § 19
Datenverarbeitung der öffentlichen Stellen
keine Auskunft erteilt“ aus1 und ist auch geboten, um Rückschlüsse des Betroffenen auf gespeicherte Daten zu verhindern2. 26 Nach Abs. 5 Satz 2 ist der Betroffene bei Verweigerung der Auskunft nach Abs. 5 Satz 1 darauf hinzuweisen, dass er sich an den BfDI wenden kann. Das gilt über den Wortlaut des Abs. 5 Satz 2 hinaus auch für Fälle, in denen die Auskunftsverweigerung keiner Begründung bedarf3. VII. Auskunft an den BfDI (Abs. 6) 27 Wird die Auskunft verweigert, kann der Betroffene nach Abs. 6 verlangen, dass die Auskunft dem BfDI erteilt wird. Die Möglichkeit der Einschaltung des BfDI kann zwar keinen vollwertigen Ausgleich für die Erschwerung der Wahrung des aus dem Recht auf informationelle Selbstbestimmung folgenden Rechts auf Auskunft geben. Sie bedeutet aber eine Minderung der aus der Verweigerung der Auskunft folgenden Belastung des Betroffenen4. Bevor die öffentliche Stelle die Auskunft dem BfDI gegenüber erteilt, muss sie jedoch über die jeweils zuständige oberste Bundesbehörde eine Freigabe im Einzelfall einholen. Diese ist zu versagen, wenn im konkreten Fall die Auskunft an den BfDI die Sicherheit des Bundes oder eines Landes gefährden würde. Denkbare Fälle sind bei dieser engen Einschränkung rar, die Nichtfreigabe dürfte der krasse Ausnahmefall sein5. Der BfDI überprüft die Angelegenheit und wirkt bei einem Verstoß darauf hin, dass Abhilfe geschaffen wird6. Über die Möglichkeit der Diskussion mit der verantwortlichen Stelle geht die Befugnis nicht hinaus. Bleibt diese bei ihrer Auffassung, ist dies zu respektieren7. 28 Eine Einschaltung des BfDI soll nicht die Ausforschung ermöglichen8. Das Ergebnis der Überprüfung ist dem Betroffenen daher so mitzuteilen, dass der Sinn und Zweck der Auskunftsverweigerung nicht ad absur-
1 Gola/Schomerus, § 19 BDSG Rz. 32. 2 Gola/Schomerus, § 19 BDSG Rz. 31 f.; Taeger/Gabel/Mester, § 19 BDSG Rz. 35. 3 Bergmann/Möhrle/Herb, § 19 BDSG Rz. 50. 4 So für den Fall des § 15 Abs. 4 Satz 3 und 4 BVerfSchG das OVG Münster v. 17.6.1994 – 21 A 3434/93, NWVBl 1994, 470. 5 So auch Gola/Schomerus, § 19 BDSG Rz. 33. 6 Taeger/Gabel/Mester, § 19 BDSG Rz. 38. 7 Gola/Schomerus, § 19 BDSG Rz. 33. 8 Vgl. BT-Drucks. 11/4306, S. 46.
484 Roggenkamp
Benachrichtigung
§ 19a BDSG
dum geführt wird und der Betroffene durch den BfDI Rückschlüsse auf die bei der verantwortlichen Stelle gespeicherten Daten ziehen kann. VIII. Unentgeltlichkeit (Abs. 7) Die Auskunft hat unentgeltlich zu erfolgen. Das bedeutet, dass auch 29 Porto- oder Kopierkosten von der verantwortlichen Stelle getragen werden müssen1. Ist die verantwortliche Stelle für den Betroffenen leicht erreichbar, so kann Akteneinsicht angeboten werden, um Kosten und Aufwand für die verantwortliche Stelle gering zu halten2. Da Sinn und Zweck der Norm die Erleichterung der Rechtswahrung für den Betroffenen ist3, besteht diese Möglichkeit nur, wenn hieraus für den Betroffenen kein nennenswerter Zeit- und Kostenaufwand resultiert. Benachrichtigung (1) 1Werden Daten ohne Kenntnis des Betroffenen erhoben, so ist er von der Speicherung, der Identität der verantwortlichen Stelle sowie über die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung zu unterrichten. 2Der Betroffene ist auch über die Empfänger oder Kategorien von Empfängern von Daten zu unterrichten, soweit er nicht mit der Übermittlung an diese rechnen muss. 3Sofern eine Übermittlung vorgesehen ist, hat die Unterrichtung spätestens bei der ersten Übermittlung zu erfolgen.
19a
(2) 1Eine Pflicht zur Benachrichtigung besteht nicht, wenn 1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat, 2. die Unterrichtung des Betroffenen einen unverhältnismäßigen Aufwand erfordert oder 3. die Speicherung oder Übermittlung der personenbezogenen Daten durch Gesetz ausdrücklich vorgesehen ist. 2Die verantwortliche Stelle legt schriftlich fest, unter welchen Voraussetzungen von einer Benachrichtigung nach Nummer 2 oder 3 abgesehen wird. (3) § 19 Abs. 2 bis 4 gilt entsprechend. 1 Bergmann/Möhrle/Herb, § 19 BDSG Rz. 60. 2 Vgl. Taeger/Gabel/Mester, § 19 BDSG Rz. 39; Bergmann/Möhrle/Herb, § 19 BDSG Rz. 60 und Rz. 15a. 3 BT-Drucks. 11/4306, S. 47.
Roggenkamp 485
BDSG § 19a
Datenverarbeitung der öffentlichen Stellen
I. Allgemeines . . . . . . . . . . . . . . .
1
II. Benachrichtigungspflicht (Abs. 1) . . . . . . . . . . . . . . . . . . .
2
III. Ausnahmen (Abs. 2, 3) . . . . . .
6
Schrifttum: Siehe § 19 BDSG.
I. Allgemeines 1 Die in § 19a niedergelegte Informations- und Benachrichtigungspflicht bei Datenerhebung ohne Kenntnis des Betroffenen flankiert § 4 Abs. 3 (siehe auch dort Rz. 23 ff.) für Fälle, in denen Daten ausnahmsweise nicht offen oder nicht beim Betroffenen selbst erhoben werden, er also von der Datenerhebung nichts weiß oder nichts erfährt1. Mit § 19a wird Art. 11 EG-Datenschutzrichtlinie umgesetzt. Es handelt sich um eine Ergänzung des Auskunftsrechts des Betroffenen. Das Grundrecht auf informationelle Selbstbestimmung, beziehungsweise dessen Ausübung ist nur möglich, wenn der Betroffene weiß, dass, von wem und welche Daten über ihn erhoben wurden. Ohne diese Kenntnis ist es nicht möglich, die sog. Betroffenenrechte (also Auskunft, Datenberichtigung, Datenlöschung etc.) auszuüben2. II. Benachrichtigungspflicht (Abs. 1) 2 Durch die Benachrichtigung soll der Betroffene, dessen Daten ohne seine Kenntnis erhoben wurden, in die Lage versetzt werden, seinen Auskunftsanspruch geltend zu machen3. Die Pflicht wird nicht wie bei § 4 Abs. 3 bereits durch die Erhebung, sondern erst durch die Speicherung ausgelöst4. Findet keine Speicherung statt, besteht auch keine Benachrichtigungsverpflichtung5. 3 Der Wortlaut des Abs. 1 Satz 1 stellt (im Gegensatz zu § 33 Abs. 1 Satz 1) nicht auf eine erstmalige Erhebung oder Speicherung ab. Daraus
1 Bergmann/Möhrle/Herb, § 19a BDSG Rz. 4; zur Benachrichtigungspflicht bei Videoüberwachung siehe die Kommentierung zu § 6b Rz. 29. 2 Vgl. Gola/Schomerus, § 19a BDSG Rz. 1; Simitis/Mallmann, § 19a BDSG Rz. 3. 3 Simitis/Mallmann, § 19a BDSG Rz. 10. 4 Gola/Schomerus, § 19a BDSG Rz. 3; Bergmann/Möhrle/Herb, § 19a BDSG Rz. 6. 5 Simitis/Mallmann, § 19a BDSG Rz. 11; Bergmann/Möhrle/Herb, § 19a BDSG Rz. 6.
486 Roggenkamp
Benachrichtigung
§ 19a BDSG
wird gefolgert, dass zumindest dann, wenn die Speicherung weiterer Daten nicht in engem sachlichen Zusammenhang mit der Speicherung von Daten, über die bereits informiert wurde, steht, eine neue Benachrichtigung zu erfolgen hat1. Die Benachrichtigung hat, auch wenn – außer für den Fall der ersten Übermittlung nach Abs. 1 Satz 3 – kein Zeitpunkt angegeben ist, unverzüglich nach Speicherung zu erfolgen, um dem Interesse des Betroffenen in ausreichendem Umfang Rechnung zu tragen2.
4
Die Benachrichtigungspflicht bezieht sich inhaltlich zunächst von der 5 Speicherung zu unterrichten sowie über die Identität der verantwortlichen Stelle. Erforderlich ist die Mitteilung des Namens und der vollen Anschrift, nicht lediglich eine Postfachadresse3. Außerdem ist der Betroffene über die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung zu informieren (Abs. 1 Satz 1 a.E.). Eine Unterrichtung über die Empfänger bzw. Kategorien von Empfängern von Daten muss nach Abs. 1 Satz 2 immer dann erfolgen, wenn der Betroffene nicht mit einer Übermittlung an diese rechnen muss. Das bedeutet, dass alle Empfänger angegeben werden müssen, die dem Betroffenen nicht als Empfänger bekannt sind oder bekannt sein müssten4. Hier ist zu Gunsten des Betroffenen eine restriktive Handhabung geboten. Im Zweifel hat eine Unterrichtung zu erfolgen. III. Ausnahmen (Abs. 2, 3) Eine Benachrichtigungsverpflichtung besteht nicht, wenn einer der drei in Abs. 2 genannten, eng und im Zweifel zu Gunsten des Betroffenen auszulegenden5, Ausnahmegründe vorliegt.
6
Dementsprechend kann nach Nr. 1 von einer Benachrichtigung abgesehen werden, wenn der Betroffene bereits auf anderem Wege Kenntnis von der Speicherung oder Übermittlung erlangt hat. In diesem Fall wird die Benachrichtigung selbst sinnlos, weil der Betroffene ja bereits die Möglichkeit hat, seine Rechte geltend zu machen. Da im Streitfall die
7
1 Simitis/Mallmann, § 19a BDSG Rz. 12; Taeger/Gabel/Mester, § 19a BDSG Rz. 8. 2 Gola/Schomerus, § 19a BDSG Rz. 4. 3 Bergmann/Möhrle/Herb, § 19a BDSG Rz. 9. 4 Gola/Schomerus, § 19a BDSG Rz. 5. 5 Bergmann/Möhrle/Herb, § 19a BDSG Rz. 14.
Roggenkamp 487
BDSG § 20
Datenverarbeitung der öffentlichen Stellen
Kenntnis nachgewiesen werden muss, ist eine Benachrichtigung im Zweifel sinnvoll1. 8 Erfordert die Benachrichtigung einen unverhältnismäßigen Aufwand, ist sie nach Nr. 2 ebenfalls entbehrlich. Hier ist im konkreten Einzelfall der Aufwand gegen das Informationsinteresse abzuwägen. Im Fall eines Absehens von einer Benachrichtigung als Ergebnis des Abwägungsprozesses, ist dies für Dritte nachvollziehbar und substantiiert zu dokumentieren (Abs. 2 Satz 2). Da die Dokumentationspflicht die Vorgabe des Art. 11 Abs. 2 EG-Datenschutzrichtlinie umsetzt, nach welcher „geeignete Garantien“ verlangt werden, ist der behördliche Datenschutzbeauftragte bei der Dokumentationserstellung zu beteiligen2. 9 Ist die Speicherung oder Übermittlung der Daten des Betroffenen durch ein Gesetz ausdrücklich vorgesehen, kann eine Benachrichtigung ausweislich Nr. 3 ebenfalls unterbleiben. Hier wird davon ausgegangen, dass der Betroffene die gesetzliche Regelung kennt (bzw. kennen kann) und dementsprechend weiß (bzw. wissen kann), dass eine Speicherung oder Übermittlung im Rahmen des Möglichen ist3. Auch hier hat eine für Dritte nachvollziehbare Dokumentation zu erfolgen, wenn von einer Benachrichtung abgesehen wird. 10 Nach Abs. 3 gilt § 19 Abs. 2 bis 4 entsprechend. Das bedeutet, dass eine Benachrichtigung auch dann unterbleiben kann, wenn eine Auskunft nach den dort genannten Voraussetzungen unterbleiben müsste oder verweigert werden könnte (siehe Rz. 17 ff. dort). Berichtigung, Löschung und Sperrung von Daten; Widerspruchsrecht (1) 1Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. 2Wird festgestellt, dass personenbezogene Daten, die weder automatisiert verarbeitet noch in nicht automatisierten Dateien gespeichert sind, unrichtig sind, oder wird ihre Richtigkeit von dem Betroffenen bestritten, so ist dies in geeigneter Weise festzuhalten.
20
(2) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind zu löschen, wenn
1 Bergmann/Möhrle/Herb, § 19a BDSG Rz. 15. 2 Vgl. Bergmann/Möhrle/Herb, § 19a BDSG Rz. 18. 3 Gola/Schomerus, § 19a BDSG Rz. 9; Bergmann/Möhrle/Herb, § 19a BDSG Rz. 16.
488 Roggenkamp
Berichtigung, Löschung und Sperrung; Widerspruchsrecht
§ 20 BDSG
1. ihre Speicherung unzulässig ist oder 2. ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist. (3) An die Stelle einer Löschung tritt eine Sperrung, soweit 1. einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, 2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder 3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist. (4) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. (5) 1Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. 2Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet. (6) Personenbezogene Daten, die weder automatisiert verarbeitet noch in einer nicht automatisierten Datei gespeichert sind, sind zu sperren, wenn die Behörde im Einzelfall feststellt, dass ohne die Sperrung schutzwürdige Interessen des Betroffenen beeinträchtigt würden und die Daten für die Aufgabenerfüllung der Behörde nicht mehr erforderlich sind. (7) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn 1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist und 2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.
Roggenkamp 489
BDSG § 20
Datenverarbeitung der öffentlichen Stellen
(8) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen. (9) § 2 Abs. 1 bis 6, 8 und 9 des Bundesarchivgesetzes ist anzuwenden. I. Allgemeines . . . . . . . . . . . . . . .
1
II. Berichtigungspflicht (Abs. 1) .
2
III. Löschungspflicht (Abs. 2) . . . .
7
IV. Sperrung (Abs. 3) . . . . . . . . . . . 11
VIII. Übermittlung/Nutzung gesperrter Daten (Abs. 7). . . . . . . 24 IX. Nachbenachrichtigungspflicht (Abs. 8) . . . . . . . . . . . . . 30
V. Non-liquet-Fälle (Abs. 4) . . . . 15
X. Angebot an das Bundesarchiv (Abs. 9). . . . . . . . . . . . . . . . . . . . 33
VI. Widerspruchsrecht (Abs. 5) . . 16
XI. Rechtsstreitigkeiten . . . . . . . . 34
VII. Sperrung in Akten (Abs. 6) . . . 21 Schrifttum: Arbeitsgruppe „Elektronische Verwaltungsakte“, „Anforderungen der Verwaltungsgerichtsbarkeit an die Führung elektronischer Verwaltungsakten“ – eine Orientierungshilfe, Jur-PC 2011, Web-Dok. 66/2011; Kilian, Medizinische Forschung und Datenschutzrecht – Stand und Entwicklung in der Bundesrepublik Deutschland und in der Europäischen Union, NJW 1998, 787; Nolte, Zum Recht auf Vergessen im Internet, ZRP 2011, 236; Riegel, Entfernung und Vernichtung von Vermerken aus der Ausländerakte, NJW 1984, 2194; Weichert, Der Datenschutzanspruch auf Negativauskunft, NVwZ 2007, 1004.
I. Allgemeines 1 Flankierend zum Auskunftsanspruch regelt § 20 die weiteren fundamentalen Rechte des Betroffenen, nämlich die Berichtigung unrichtiger personenbezogener Daten (Abs. 1), die Löschung (Abs. 2) und Sperrung (Abs. 3) von personenbezogenen Daten sowie das Widerspruchsrecht (Abs. 5). II. Berichtigungspflicht (Abs. 1) 2 In § 20 Abs. 1 Satz 1 ist die Berichtigung unrichtiger personenbezogener Daten geregelt. Aus Art. 2 Abs. 1 GG resultiert nach Auffassung des BVerwG ein „Anspruch des Betroffenen darauf, dass die über ihn gespeicherten Daten richtig und vollständig sind“. Aus diesem folge ein Anspruch auf Berichtigung unrichtiger bzw. unrichtig gewordener Da490 Roggenkamp
Berichtigung, Löschung und Sperrung; Widerspruchsrecht
§ 20 BDSG
ten, mit der eine entsprechende Amtspflicht der speichernden Stelle korrespondiere1. Im Ergebnis handelt es sich bei § 20 Abs. 1 also weniger um eine Anspruchsgrundlage denn um eine von Amts wegen, also ohne Zutun des Betroffenen zu beachtende Berichtigungsverpflichtung öffentlicher Stellen, die aus jedweder Unrichtigkeit personenbezogener Daten resultiert. Insbesondere muss der Betroffene keinen „Antrag“ auf Berichtigung stellen. Erlangt die Behörde – z.B. durch einen entsprechenden Hinweis des Betroffenen – Kenntnis von der Unrichtigkeit, ist sie zur Korrektur verpflichtet2. Bei Untätigkeit der zur Vornahme der Berichtigung verpflichteten Stelle kann ggf. Leistungsklage erhoben werden3. Unrichtig sind personenbezogene Daten immer dann, wenn die aus ih- 3 nen ablesbaren Aussagen über die persönlichen oder sachlichen Verhältnisse des Betroffenen nicht im Einklang mit der Realität stehen4. Auch unvollständige Angaben können „unrichtig“ sein, wenn durch die Unvollständigkeit ein unzutreffender Eindruck entsteht5. Es ist irrelevant, wie die Unrichtigkeit zu Stande gekommen ist (z.B. fehlerhafte Dateneingabe, Falschinformationen) und ob es sich um „wesentliche“ Aussagen handelt6. Die Unrichtigkeit ist allerdings im Erhebungskontext zu betrachten. Wurden die Daten (z.B. im Rahmen einer statistischen Erhebung) gesammelt, um den Zustand zu einem gewissen Zeitpunkt zu ermitteln, so kommt es auf die Richtigkeit zu diesem Zeitpunkt, nicht aber auf ggf. zwischenzeitlich veränderte Verhältnisse an7. Die Beweislast für die Richtigkeit der gespeicherten Daten liegt im Streitfall grundsätzlich bei der verantwortlichen Stelle8. In bestimmten Fällen, namentlich dann, wenn nur der Betroffene Zugriff auf die Daten hat, muss dieser die Unrichtigkeit substantiiert darlegen. Die richtigen Daten sind nur bei einer entsprechenden Verpflichtung zu nennen9. 1 BVerwG v. 4.3.2004 – 1 WB 32/03, NVwZ 2004, 626 (627). 2 Taeger/Gabel/Mester, § 20 BDSG Rz. 9. 3 Schafflandt/Wiltfang, § 20 BDSG Rz. 12; Taeger/Gabel/Mester, § 20 BDSG Rz. 9. 4 BVerwG v. 4.3.2004 – 1 WB 32/03, NVwZ 2004, 626 (627); Taeger/Gabel/Mester, § 20 BDSG Rz. 6; Bergmann/Möhrle/Herb, § 20 BDSG Rz. 14. 5 Bergmann/Möhrle/Herb, § 20 BDSG Rz. 14. 6 BVerwG v. 4.3.2004 – 1 WB 32/03, NVwZ 2004, 626 (627); Taeger/Gabel/Mester, § 20 BDSG Rz. 6. 7 Vgl. Taeger/Gabel/Mester, BDSG, § 20 Rz. 6 f. 8 Bergmann/Möhrle/Herb, § 20 BDSG Rz. 18. 9 Taeger/Gabel/Mester, § 20 BDSG Rz. 11; Bergmann/Möhrle/Herb, § 20 BDSG Rz. 20.
Roggenkamp 491
4
BDSG § 20
Datenverarbeitung der öffentlichen Stellen
5 Naturgemäß können nur Tatsachen berichtigt werden. Nur diese sind – im Gegensatz zu Meinungen und Werturteilen – dem Beweis zugänglich1. Wenn dem Werturteil jedoch offenkundig unzutreffende Tatsachen zu Grunde liegen, kommt eine Berichtigung in Betracht2. 6 Sind die unrichtigen Daten in papiernen Akten enthalten, gebietet der Grundsatz der Aktenvollständigkeit3 und Aktenklarheit, dass die nachträgliche Korrektur erkennbar ist4. Dementsprechend bestimmt Abs. 1 Satz 2, dass die Unrichtigkeit oder das Bestreiten der Richtigkeit durch den Betroffenen „in geeigneter Weise“ festzuhalten ist. Regelmäßig wird ein entsprechender Aktenvermerk hierzu ausreichend sein. Im Falle einer führenden elektronischen Aktenführung5, also de facto einer „Speicherung in nicht automatisierten Dateien“, muss Abs. 1 Satz 2 entsprechend gelten. Jedwede Korrektur muss für Dritte nachvollziehbar bleiben6. III. Löschungspflicht (Abs. 2) 7 Bei der in Absatz 2 enthaltenen Löschungsverpflichtung handelt es sich um klarstellende Ausprägungen allgemeiner datenschutzrechtlicher Grundsätze, wie dem Gebot der Datensparsamkeit und Erforderlichkeit7. 8 So zeigt Abs. 2 Nr. 1 die logische Konsequenz einer unzulässigen Speicherung personenbezogener Daten auf: die Löschung (zum Begriff vgl. die Kommentierung zu § 3 Abs. 4 Nr. 5 BDSG Rz. 52) der rechtswidrig gespeicherten Daten. Ein gesonderter Antrag auf Löschung durch den Betroffenen ist nicht erforderlich, da die öffentliche Stelle rechtswidrig gespeicherte Daten von Amts wegen zu löschen hat. Bei Weigerung durch die öffentliche Stelle ist eine Leistungsklage durch den Betroffenen möglich8.
1 Vgl. Däubler/Klebe/Wedde/Weichert/Wedde, § 20 BDSG Rz. 6. 2 Bergmann/Möhrle/Herb, § 20 BDSG Rz. 15; Gola/Schomerus, § 20 BDSG Rz. 4–5. 3 Vgl. hierzu BVerfG v. 6.6.1983 – 2 BvR 244, 310/83, NJW 1983, 2135. 4 Gola/Schomerus, § 20 BDSG Rz. 7–8. 5 Nicht elektronische Hilfs- oder Duplo-Akten. 6 Hierzu, sowie zu weiteren Anforderungen an elektronische Verwaltungsakten, AG „Elektronische Verwaltungsakte“, JurPC Web-Dok. 66/2011, Abs. 21 ff. 7 Gola/Schomerus, § 20 BDSG Rz. 10: „lediglich deklaratorischer Charakter“. 8 Taeger/Gabel/Mester, § 20 BDSG Rz. 16; Schaffland/Wiltfang, § 20 BDSG Rz. 29.
492 Roggenkamp
Berichtigung, Löschung und Sperrung; Widerspruchsrecht
§ 20 BDSG
Die Regelung in Abs. 2 Nr. 2, nach welcher eine Löschung personenbe- 9 zogener Daten zu erfolgen hat, wenn ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist, ist überflüssig, da eine fortgesetzte Speicherung in diesem Fall schon als unzulässig i.S.d. Nr. 1 einzustufen wäre. Sie stellt bestenfalls klar, dass eine zulässige Speicherung personenbezogener Daten auch nachträglich unzulässig werden kann. Da eine nachträglich eintretende Unzulässigkeit einer Speicherung von personenbezogenen Daten auf vielfältige Weise eintreten kann (z.B. durch Widerruf einer nur durch Einwilligung des Betroffenen gedeckten Speicherung1), ist die Existenz des Abs. 1 Nr. 2 missverständlich. Es entsteht der Eindruck, dass es sich um den einzigen Fall der nachträglich eintretenden Unzulässigkeit der Speicherung handelt, der zu einer Löschpflicht führt. Das ist nicht der Fall. Die Löschungspflicht ist nicht absolut. Gegebenenfalls ist sie in eine 10 Sperrungverpflichtung (Abs. 3) umzudeuten2. Im Falle einer Archivwürdigkeit der Daten (Abs. 9, Rz. 33 unten) besteht ebenfalls keine Löschungspflicht. IV. Sperrung (Abs. 3) Bei Vorliegen einer der in Abs. 3 Nr. 1–3 aufgezählten Tatbestände wird 11 die Löschung durch eine Sperrung i.S.d. § 3 Abs. 4 Nr. 4, also ein Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken (hierzu die Kommentierung zu § 3 Abs. 4 Nr. 4 BDSG Rz. 48), substituiert. Die Regelung gilt nur für personenbezogene Daten in automatisierten oder in nicht-automatisierten Dateien3. Für Akten (sowohl papierne als auch führende elektronische Akten) gilt die Regelung des Abs. 64. Eine Sperrung kann geboten sein, wenn der Löschung Aufbewahrungsfristen entgegenstehen (Abs. 3 Nr. 1). Es muss sich hierbei um gesetzliche, satzungsmäßig oder vertragliche festgelegte Aufbewahrungsfristen handeln. Ein Aufbewahrungsbedürfnis „zur Sicherheit“ ist nicht ausreichend.
1 Vgl. Gola/Schomerus, § 20 BDSG Rz. 11. 2 Vgl. Taeger/Gabel/Mester, § 20 BDSG Rz. 19. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 20 BDSG Rz. 13; Gola/Schomerus, § 20 BDSG Rz. 13. 4 Taeger/Gabel/Mester, § 20 BDSG Rz. 20; Gola/Schomerus, § 20 BDSG Rz. 13.
Roggenkamp 493
12
BDSG § 20
Datenverarbeitung der öffentlichen Stellen
13 Vor der Löschung ist zu prüfen, ob eine Sperrung zu Gunsten des Betroffenen, insbesondere wenn dieser die Daten noch benötigen könnte, der Löschung vorzuziehen ist. Besteht die Möglichkeit, dass beispielsweise die Beweissituation des Betroffenen verschlechtert werden könnte, wenn die Daten gelöscht werden, sind sie nach Abs. 3 Nr. 2 lediglich zu sperren1. 14 Auf Grund der Art der Speicherung kann es nicht oder nur mit unverhältnismäßigem Aufwand möglich sein personenbezogene Daten zu löschen. Auch in diesem Fall kann nach Abs. 3 Nr. 3 ausnahmsweise eine Sperrung ausreichen. Praktische Fälle sind in Zeiten günstiger Datenträgerpreise nicht mehr ersichtlich2. V. Non-liquet-Fälle (Abs. 4) 15 Eine Sperrverpflichtung besteht auch, wenn die Richtigkeit personenbezogener Daten im Streit ist und sich weder die Richtigkeit noch die Unrichtigkeit der Daten festgestellt werden kann (Abs. 4). Der Betroffene hat im Falle des Bestreitens der Richtigkeit keine Verpflichtung den Beweis über die Unrichtigkeit zu erbringen. Die öffentliche Stelle ist beweisbelastet und zwar auch dann, wenn der Betroffene es unterlässt, nach § 26 Abs. 2 Satz 1 VwVfG bei der von Amts wegen gebotenen Ermittlung des tatsächlichen Sachverhaltes (§ 24 Abs. 1 VwVfG)3 mitzuwirken4. VI. Widerspruchsrecht (Abs. 5) 16 Ein dem § 35 Abs. 5 BDSG entsprechendes und auf Art. 14 Buchst. a EGDatenschutzrichtlinie basierendes Widerspruchsrecht des Betroffenen (siehe auch die Kommentierung bei § 35 Abs. 5 BDSG Rz. 47 ff.) besteht auch gegenüber öffentlichen Stellen. Der Betroffene kann bezüglich rechtmäßig erhobener Dateien einer automatisierten Verarbeitung oder einer Verarbeitung in nicht automatisierten Dateien widersprechen. 17 Wird ein entsprechender Widerspruch gegenüber der verantwortlichen Stelle erhoben, muss diese prüfen, ob ein schutzwürdiges Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interes-
1 2 3 4
Gola/Schomerus, § 20 BDSG Rz. 16. Däubler/Klebe/Wedde/Weichert/Wedde, § 20 BDSG Rz. 17. Gola/Schomerus, § 20 BDSG Rz. 19. Taeger/Gabel/Mester, § 20 BDSG Rz. 25.
494 Roggenkamp
Berichtigung, Löschung und Sperrung; Widerspruchsrecht
§ 20 BDSG
se der verantwortlichen Stelle an dieser Form der Erhebung, Verarbeitung oder Nutzung überwiegt. Der formfrei mögliche1 Widerspruch des Betroffenen sollte, damit diese Abwägung vorgenommen werden kann, hinsichtlich der „besonderen persönlichen Situation“ (Abs. 5 Satz 1) des Betroffenen hinreichend substantiiert sein. Eine Begründung ist indes nicht Voraussetzung2. Ist der Behörde die „besondere persönliche Situation“ nicht bekannt und diese auch nicht (z.B. aus der Sensibilität der Daten) erkennbar, muss sie den Betroffenen um Darlegung bitten. Der Begriff der besonderen persönlichen Situation ist weit zu verstehen 18 und umfasst beispielsweise eine besondere politische oder gesellschaftliche Stellung des Betroffenen oder eine erhöhte Sensibilität der in Rede stehenden Daten3. Nach Abs. 5 Satz 2 besteht kein Widerspruchsrecht, wenn die Erhebung, Verarbeitung oder Nutzung durch Rechtsvorschrift vorgeschrieben ist. Die Vorschrift muss die Behörde nicht nur ermächtigen sondern verpflichten4. Bei der Ablehnung ist auf die Rechtsvorschrift hinzuweisen5.
19
Die Entscheidung über den Widerspruch ist ein Verwaltungsakt i.S.d. 20 § 35 Satz 1 VwVfG, der mit Widerspruch und Anfechtungsklage angegriffen werden kann6. Zudem besteht daneben7 die Möglichkeit der Anrufung des BfDI nach § 21 BDSG8 (siehe die dortige Kommentierung). Ergibt die Abwägung ein überwiegendes Interesse des Betroffenen, dürfen die Daten weder erhoben noch (weiter) verarbeitet oder genutzt werden. Bereits erhobene Daten sind zu löschen oder zu sperren9. VII. Sperrung in Akten (Abs. 6) Personenbezogene Daten, die sich in Akten befinden, werden in der Regel weder gelöscht noch gesperrt. Abs. 6 trägt dem Umstand Rechnung, dass auch durch das Vorhalten personenbezogener Daten in Akten Inte1 Taeger/Gabel/Mester, § 20 BDSG Rz. 27; Bergmann/Möhrle/Herb, BDSG, § 20 Rz. 84. 2 Bergmann/Möhrle/Herb, BDSG, § 20 Rz. 84. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 20 BDSG Rz. 24. 4 Taeger/Gabel/Mester, § 20 BDSG Rz. 31. 5 Bergmann/Möhrle/Herb, BDSG, § 20 Rz. 86; Gola/Schomerus, § 20 BDSG Rz. 23. 6 Gola/Schomerus, § 20 BDSG Rz. 24. 7 Vgl. Gola/Schomerus, § 21 BDSG Rz. 1. 8 Taeger/Gabel/Mester, § 20 BDSG Rz. 32. 9 Taeger/Gabel/Mester, § 20 BDSG Rz. 30.
Roggenkamp 495
21
BDSG § 20
Datenverarbeitung der öffentlichen Stellen
ressen des Betroffenen beeinträchtigt werden können. Dementsprechend sind personenbezogene Daten durch entsprechende Kennzeichnung1 zu sperren, wenn die Daten nicht mehr zur Aufgabenerfüllung der verantwortlichen Stelle benötigt werden und im Einzelfall schutzwürdige Interessen des Betroffenen beeinträchtigt werden könnten. 22 Im Falle des Haltens führender elektronischer Akten ist eine Sperrung personenbezogener Daten immer bereits dann geboten, wenn der jeweilige Verwaltungsvorgang abgeschlossen ist beziehungsweise nicht mehr benötigt wird. Dies folgt aus der erhöhten Gefährdungssituation auf Grund der automatisierten Verarbeitung der Aktendaten. 23 Ein Vernichtungs- oder Entfernungsanspruch kann im Einzelfall gleichwohl gegeben sein, wenn die Akten (oder Bestandteile der Akten) rechtswidrig angelegt oder geführt werden2. VIII. Übermittlung/Nutzung gesperrter Daten (Abs. 7) 24 In Einzelfällen kann es notwendig sein, gesperrte Daten i.S.d. § 3 Abs. 4 Nr. 3 BDSG zu nutzen oder i.S.d. § 3 Abs. 5 zu übermitteln. Abs. 7 stellt klar, dass dies grundsätzlich nur zulässig ist, wenn der Betroffene zuvor seine Einwilligung (§ 4a BDSG) erteilt hat. 25 Ausnahmsweise ist eine Einwilligung nach Abs. 7 Nr. 1 entbehrlich, wenn die Übermittlung oder Nutzung aus im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist. Beispielhaft, aber nicht abschließend, wird die Übermittlung oder Nutzung zu wissenschaftlichen Zwecken und zur Behebung einer bestehenden Beweisnot genannt. 26 Der Begriff „wissenschaftliche Zwecke“ ist der Interpretation zugänglich. Umfasst sind sowohl Zwecke der wissenschaftlichen Forschung und Lehre. Die Übermittlung oder Nutzung muss jedoch, dies ist zwingend zu prüfen und zu dokumentieren, unerlässlich sein. Der Zweck dürfte ohne Kenntnis der Daten nicht erreichbar sein3. 27 Eine Beweisnot besteht, wenn aufklärungsbedürftige Tatsachen nicht anders als durch Vorlage der gesperrten personenbezogenen Daten be-
1 Durch Hinweis auf dem das Datum enthaltenen Aktenblatt und Aktendeckel, Gola/Schomerus, § 20 BDSG Rz. 28. 2 VG Frankfurt v. 27.1.1988 – V/2 E 2147/86 (n.rkr.), NJW 1988, 1613. 3 Gola/Schomerus, § 20 BDSG Rz. 31.
496 Roggenkamp
Berichtigung, Löschung und Sperrung; Widerspruchsrecht
§ 20 BDSG
wiesen werden können1. Es muss sich hierbei nicht zwingend um Beweisschwierigkeiten im Rahmen eines Prozesses handeln2. Vielmehr ist auf das Bedürfnis, das Interesse des Dritten an der Tatsachenaufklärung im Einzelfall abzustellen, welches das Interesse des Betroffenen überwiegen muss. Die Ausnahme der Unerlässlichkeit aus „sonstigen im überwiegenden 28 Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen“ ist restriktiv zu handhaben. Das Interesse der verantwortlichen Stelle oder des Dritten muss, damit die Ausnahme nicht zum Regelfall wird, deutlich überwiegen. Das Kriterium der Unerlässlichkeit erfordert, dass es keine Alternative gibt3. Weitere Voraussetzung der Übermittlung oder Nutzung ist nach Abs. 7 29 Nr. 2, dass die in Rede stehenden personenbezogenen Daten übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären. Zur Sicherstellung der Einhaltung des Gebots der Zweckbindung müssen die Voraussetzungen der hierfür einschlägigen allgemeinen Vorschriften (§§ 14 ff. – siehe Kommentierung dort) vorliegen4. IX. Nachbenachrichtigungspflicht (Abs. 8) Die verantwortliche Stelle ist nach Abs. 8 grundsätzlich verpflichtet, 30 andere Stellen, die die betroffenen Daten erhalten haben, von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie von Sperrungen und Löschungen in Kenntnis zu setzen (sog. Nachbenachrichtigungspflicht5 vgl. auch die Kommentierung zum inhaltsgleichen § 35 Abs. 7 BDSG). Das gilt nicht, wenn der damit einhergehende Aufwand unverhältnismäßig ist, was z.B. bei simplen, leicht erkennbaren Tippfehlern gegeben sein kann6. Eine Nachbenachrichtigung ist ebenfalls nicht vorzunehmen, wenn der Nachbenachrichtigung ein schutzwürdiges Interesse des Betroffenen entgegensteht. Das ist der Fall, wenn der Betroffene durch die neuen Daten ungünstiger gestellt würde7. 1 Vgl. OVG Münster v. 30.6.1987 – 18 A 1152/85, NJW 1988, 90, 91; Gola/Schomerus, § 20 BDSG Rz. 32; Simitis/Mallmann, § 20 BDSG Rz. 73. 2 Vgl. OVG Münster v. 30.6.1987 – 18 A 1152/85 – NJW 1988, 90 (91). 3 Vgl. Gola/Schomerus, § 20 BDSG Rz. 33. 4 Taeger/Gabel/Mester, § 20 BDSG Rz. 41; Gola/Schomerus, § 20 BDSG Rz. 34. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 20 BDSG Rz. 28. 6 Gola/Schomerus, § 20 BDSG Rz. 38. 7 Taeger/Gabel/Mester, § 20 BDSG Rz. 44.
Roggenkamp 497
31
BDSG § 21
Datenverarbeitung der öffentlichen Stellen
32 Eine Nachbenachrichtigungspflicht besteht ebenfalls nicht, wenn die Daten auf Grund Abs. 2 Nr. 2 gelöscht oder nach Abs. 3, 2 Nr. 2 gesperrt wurden. Das Daten zur Aufgabenerfüllung der verantwortlichen Stelle nicht mehr notwendig sind, betrifft regelmäßig nur die jeweils zuständige Stelle und ist von dieser eigenständig zu beurteilen1. X. Angebot an das Bundesarchiv (Abs. 9) 33 Abs. 9 stellt klar, dass § 20 BDSG keinen Vorrang vor dem BArchG hat. Nach § 2 Abs. 1 BArchG sind alle Unterlagen, die zur Erfüllung öffentlicher Aufgaben nicht mehr benötigt werden, dem Bundesarchiv oder ggf. dem zuständigen Landesarchiv zur Übernahme anzubieten und, wenn es sich um Unterlagen von bleibendem Wert i.S.d. § 3 BArchG handelt, als Archivgut des Bundes zu übergeben. Erst im Falle der Ablehnung dürfen die Daten gelöscht werden. XI. Rechtsstreitigkeiten 34 Bei Streit über die Verpflichtung zur Berichtigung, Sperrung oder Löschung oder über den Widerspruch kann der Betroffene den Verwaltungsrechtsweg beschreiten. Wird eine Löschung begehrt, kann im Rahmen des § 123 VwGO eine Sperrung in Betracht kommen2. 35 Ein Schadensersatzanspruch ist sowohl nach §§ 7, 8 BDSG3 (siehe auch die dortige Kommentierung) als auch nach Art. 34 GG i.V.m. § 839 BGB denkbar4. Anrufung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
21
1Jedermann
kann sich an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wenden, wenn er der Ansicht ist, bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch öffentliche Stellen des Bundes in seinen Rechten verletzt worden zu sein. 2Für die Erhebung, Verarbeitung oder 1 Taeger/Gabel/Mester, § 20 BDSG Rz. 42. 2 Gola/Schomerus, § 20 BDSG Rz. 40; Bergmann/Möhrle/Herb, § 20 BDSG Rz. 115. 3 Taeger/Gabel/Mester, § 20 BDSG Rz. 46. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 20 BDSG Rz. 30; Bergmann/Möhrle/ Herb, § 20 BDSG Rz. 114.
498 Roggenkamp/Hullen
§ 21 BDSG
Anrufung des Bundesbeauftragten
Nutzung von personenbezogenen Daten durch Gerichte des Bundes gilt dies nur, soweit diese in Verwaltungsangelegenheiten tätig werden. I. Einführung . . . . . . . . . . . . . . . .
1
IV. Materielle Voraussetzungen . .
5
II. Jedermann-Recht. . . . . . . . . . .
2
V. Bearbeitung der Anrufung . . . .
9
III. Formelle Voraussetzungen . . .
3
Schrifttum: Arlt/Piendl, Zukünftige Organisation und Rechtsstellung der Datenschutzkontrolle in Deutschland, CR 1998, 713; Bäumler, Wahrung der Grundrechte durch den Datenschutzbeauftragten, RDV 1996, 163; Brühann/Zerdick, Umsetzung der EG-Datenschutzrichtlinie, CR 1996, 429; Engelien-Schulz, Umgang mit Eingaben von Behördenangehörigen, DSB 2009 Nr. 6, 10; Giesen, Rechtsstellung, Aufgaben und Befugnisse der Datenschutzkontrollstellen, RDV 1998, 15; Giesen, Rechtsstellung, Aufgaben und Befugnisse der Datenschutzkontrollstellen nach Art. 28 der EG-Datenschutzrichtlinie, DuD 1997, 529; Herb, Die Struktur der Datenschutzkontrollstellen in der Bundesrepublik, ZUM 2004, 530; Höckenbrink, Finanzkontrolle, Datenschutz und die Unabhängigkeit der Rechnungshöfe, DÖV 1991, 50; v. Lewinski, Tätigkeitsberichte im Datenschutz, RDV 2004, 163; Müller, Das datenschutzpolitische Mandat des BfD, RDV 2004, 211; Paeffgen, Amtsträgerbegriff und die Unabhängigkeit des Datenschutzbeauftragten, JZ 1997, 178; Tinnefeld, Bundesbeauftragter für den Datenschutz, DuD 2003, 439; Weber, EG-Datenschutzrichtlinie, CR 1995, 297; Weichert, Widerspruchsrecht gegen Datenschutzkontrollen, CR 1994, 174.
I. Einführung Die Norm statuiert das Recht des Betroffenen zur Anrufung des BfDI bei 1 Datenschutz-Konflikten mit öffentlichen Stellen des Bundes. Das Anrufungsrecht soll eine kompetente, unabhängige und unbürokratische Konfliktlösung für den Betroffenen gewährleisten1. Hierdurch soll einerseits das Vertrauen des Bürgers in den Datenschutz durch öffentliche Stellen gefördert, andererseits dem BfDI die Möglichkeit gegeben werden, wichtige Informationen zur Amtsausübung aus erster Hand, nämlich von den Betroffenen selbst, erhalten zu können2. Das Anrufungsrecht entspricht dem Petitionsrecht nach Art. 17 GG und steht selbständig neben der Möglichkeit, im Falle der Rechtsverletzung gerichtlichen Schutz in Anspruch nehmen zu können3. Das Anrufungsrecht ist ebenfalls in Art. 28 Abs. 4 EG-Datenschutzrichtlinie verankert.
1 So auch Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 58. 2 Siehe auch Tager/Gabel/Grittmann, § 21 BDSG Rz. 1. 3 Siehe Däubler/Klebe/Wedde/Weichert/Weichert, § 21 BDSG Rz. 1; Gola/Schomerus, § 21 BDSG Rz. 1.
Hullen 499
BDSG § 21
Datenverarbeitung der öffentlichen Stellen
II. Jedermann-Recht 2 Das Recht auf Anrufung des BfDI steht jeder natürlichen Person zu, unabhängig von Staatsangehörigkeit, Wohnsitz, Alter oder dem Vorliegen anderer persönlicher Voraussetzungen, zu. Da das Anrufungsrecht als Betroffenenrecht ausgestaltet ist, muss derjenige, der sich im Rahmen des § 21 an den BfDI wenden will, eine eigene Rechtsverletzung vortragen können. Dies hindert Dritte nicht daran, fremde Rechtsverletzungen zu monieren, jedoch sind diese nicht Betroffene i.S.d. Satz 1. In Fällen der Drittanrufung findet kein Anrufungsverfahren nach § 21, welches sich als Verwaltungsverfahren nach dem VwVfG des Bundes richtet, statt. Vielmehr steht es im Ermessen des BfDI, über eine angemessene Bearbeitung der Drittanrufung zu entscheiden1. Angehörige öffentlicher Stellen können den BfDI auch im Falle von Beschwerden über den eigenen Dienstherren anrufen, ohne den Dienstweg einhalten zu müssen2. III. Formelle Voraussetzungen 3 § 21 schreibt keine formellen Voraussetzungen der Anrufung des BfDI vor. Eine solche kann daher ohne Einhaltung von Form- oder Fristerfordernissen und daher schriftlich, in elektronischer Form oder auch mündlich erfolgen3. Anonymen Hinweisen muss der BfDI jedoch nicht nachgehen. 4 Der Betroffene muss den Sachverhalt, der die Rechtsverletzung begründet, darlegen. An die Sachverhaltsschilderung dürfen jedoch keine zu hohen Anforderungen gestellt werden4. Eine Benennung der vermeintlich verletzten Rechtsnormen, die der Betroffene bemängelt, ist nicht notwendig. In Zweifelsfällen muss der Betroffene zwecks Sachverhaltsklärung zur Substantiierung seines Vorbringens aufgefordert werden5. IV. Materielle Voraussetzungen 5 Der Betroffene muss der Auffassung sein, dass er bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch eine öf1 2 3 4
So Bergmann/Möhrle/Herb, § 21 BDSG Rz. 6. Däubler/Klebe/Wedde/Weichert/Weichert, § 21 BDSG Rz. 3. Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 62. Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 62; Simitis/Dammann, § 21 Rz. 12. 5 So Taeger/Gabel/Grittmann, § 21 Rz. 8.
500 Hullen
Anrufung des Bundesbeauftragten
§ 21 BDSG
fentliche Stelle des Bundes in seinen Rechten verletzt wurde. Eine tatsächliche Rechtsverletzung, die durch den BfDI ja gerade erst geklärt werden soll, muss nicht vorliegen. Eine vermeintliche Rechtsverletzung ist ausreichend, um das Anrufungsrecht nach § 21 auszulösen1. Der Betroffene muss vorbringen, dass er „bei der Erhebung, Verarbeitung 6 oder Nutzung seiner personenbezogenen Daten“ in seinen Rechten verletzt wurde. Er kann dabei geltend machen, in einem beliebigen Recht, welches die Zulässigkeit der Datenverarbeitung in seinem Interesse begrenzt oder ihm Kontroll- und Einwirkungsmöglichkeiten gewährt, beeinträchtigt zu sein2. Dies können sowohl Rechte des Betroffenen, bspw. auf Auskunft, Information, Berichtigung, Löschung oder Schadenersatz, als auch datenschutzrechtliche Verfahrensregeln wie die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten sowie technisch-organisatorische Vorgaben sein, soweit der Betroffene hierdurch in seinem Allgemeinen Persönlichkeitsrecht verletzt sein könnte3. Es ist ausreichend, dass eine konkrete Rechtsverletzung unmittelbar zu befürchten ist. Der Betroffene kann sich bereits bei drohender Rechtsverletzung an den BfDI wenden, da ihm ein Abwarten, bis die Rechtsverletzung tatsächlich eingetreten ist, nicht zuzumuten ist4. Die (vermeintliche) Rechtsverletzung muss durch eine öffentliche Stelle 7 des Bundes begangen worden sein, da sich die Zuständigkeit des BfDI lediglich auf solche erstreckt. Nach Satz 2 gilt eine eingeschränkte Zuständigkeit bei der Datenverarbeitung durch Gerichte, soweit diese nicht in (Justiz-)Verwaltungsangelegenheiten tätig werden (siehe auch § 24 Rz. 12). Die Zuständigkeit des BfDI endet folglich dort, wo die Rechtssprechungstätigkeit der Gerichte beginnt5. Bei Unzuständigkeit des BfDI ist die Anrufung zu verwerfen, worüber der Anrufende zu informieren ist. Bei (mutmaßlichem) Einverständnis des Anrufenden kann sein Anliegen an die bspw. nach den Landesdatenschutzgesetzen zuständigen Stellen weitergeleitet werden, worüber dieser ebenfalls informiert werden sollte6.
1 2 3 4
Gola/Schomerus, § 21 BDSG Rz. 5. Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 61. Ähnlich Däubler/Klebe/Wedde/Weichert/Weichert, § 21 BDSG Rz. 4. Simitis/Dammann, § 21 BDSG Rz. 9; Taeger/Gabel/Grittmann, § 21 BDSG Rz. 6. 5 Taeger/Gabel/Grittmann, § 21 BDSG Rz. 7. 6 Simitis/Dammann, § 21 BDSG Rz. 11.
Hullen 501
8
BDSG § 21
Datenverarbeitung der öffentlichen Stellen
V. Bearbeitung der Anrufung 9 Den Grundsätzen des Petitionsrechts zufolge, ist der BfDI verpflichtet, Anrufungen entgegenzunehmen und zu bearbeiten1. Im Rahmen seiner Kontrollbefugnisse hat er dabei den der Beschwerde zugrunde liegenden Sachverhalt zu ermitteln, rechtlich zu bewerten und ggf. auf Abhilfe zu drängen. Der Betroffene ist vom Ergebnis zu unterrichten. Die Unterrichtung des Betroffenen stellt jedoch kein Verwaltungsakt i.S.v. § 35 Satz 1 VwVfG dar, da es zumindest an einer hoheitlichen Maßnahme, die auf unmittelbare Rechtswirkung nach außen gerichtet ist, mangelt2. 10 Ein Anspruch des Betroffenen auf Einleitung einer bestimmten Maßnahme, wie bspw. den Ausspruch einer förmlichen Beanstandung durch den BfDI, besteht jedoch nicht3. Rechtsmissbräuchliche Anrufungen muss der BfDI hingegen nicht bearbeiten4, insbesondere wenn diese aufgrund bewusst falscher Tatsachendarstellung oder in beleidigender Absicht erfolgen5. 11 Der Betroffenen hat das Recht auf eine vertrauliche Behandlung der Anrufung6. Ihm steht weiterhin ein Anspruch auf Auskunft über die Verwendung seiner personenbezogenen Daten durch den BfDI gemäß § 19 zu7. Die nun wohl h.M. ist darüber hinaus der Auffassung, dass dem Betroffenen zudem ein eigenes Akteneinsichtsrecht zusteht8.
1 Gola/Schomerus, § 21 BDSG Rz. 6 mit Verweis auf BVerwG v. 1.9.1976 – VII B 101/75, NJW 1977, 118 (118). 2 Taeger/Gabel/Grittmann, § 21 BDSG Rz. 12. 3 Vgl. OVG Münster v. 2.6.1993 – 25 A 2307/91, NVwZ-RR 1994, 25, zu § 25 Abs. 1 DSG NRW. 4 Taeger/Gabel/Grittmann, § 21 BDSG Rz. 10. 5 Gola/Schomerus, § 21 BDSG Rz. 6. 6 Däubler/Klebe/Wedde/Weichert/Weichert, § 21 BDSG Rz. 8. 7 Däubler/Klebe/Wedde/Weichert/Weichert, § 21 BDSG Rz. 9. 8 Einen Anspruch bejahen Däubler/Klebe/Wedde/Weichert/Weichert, § 21 BDSG Rz. 9 und nunmehr wohl auch Gola/Schomerus, § 21 BDSG Rz. 6; Taeger/Gabel/Grittmann, § 21 BDSG Rz. 11, bejahen zumindest einen entsprechenden Anspruch auf pflichtgemäße Ermessensentscheidung über die Akteneinsicht; ablehnend hingegen VGH München v. 10.3.1988 – 5 C 86.03492, NJW 1989, 2643, 2643, zu § 29 Abs. 1 VwVfG Bay.
502 Hullen
Wahl des Bundesbeauftragten
§ 22 BDSG
Dritter Unterabschnitt Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Wahl des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (1) 1Der Deutsche Bundestag wählt auf Vorschlag der Bundesregierung den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. 2Der Bundesbeauftragte muss bei seiner Wahl das 35. Lebensjahr vollendet haben. 3Der Gewählte ist vom Bundespräsidenten zu ernennen.
22
(2) 1Der Bundesbeauftragte leistet vor dem Bundesminister des Innern folgenden Eid: „Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe.“ 2Der Eid kann auch ohne religiöse Beteuerung geleistet werden. (3) 1Die Amtszeit des Bundesbeauftragten beträgt fünf Jahre. 2Einmalige Wiederwahl ist zulässig. (4) 1Der Bundesbeauftragte steht nach Maßgabe dieses Gesetzes zum Bund in einem öffentlich-rechtlichen Amtsverhältnis. 2Er ist in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. 3Er untersteht der Rechtsaufsicht der Bundesregierung. (5) 1Der Bundesbeauftragte wird beim Bundesministerium des Innern eingerichtet. 2Er untersteht der Dienstaufsicht des Bundesministeriums des Innern. 3Dem Bundesbeauftragten ist die für die Erfüllung seiner Aufgaben notwendige Personal- und Sachausstattung zur Verfügung zu stellen; sie ist im Einzelplan des Bundesministeriums des Innern in einem eigenen Kapitel auszuweisen. 4Die Stellen sind im Einvernehmen mit dem Bundesbeauftragten zu besetzen. 5Die Mitarbeiter können, falls sie mit der beabsichtigten Maßnahme nicht einverstanden sind, nur im Einvernehmen mit ihm versetzt, abgeordnet oder umgesetzt werden. (6) 1Ist der Bundesbeauftragte vorübergehend an der Ausübung seines Amtes verhindert, kann der Bundesminister des Innern einen Vertreter Hullen 503
BDSG § 22
Datenverarbeitung der öffentlichen Stellen
mit der Wahrnehmung der Geschäfte beauftragen. 2Der Bundesbeauftragte soll dazu gehört werden. IV. Amtsstellung (Abs. 4) . . . . . . .
8
I. Einführung . . . . . . . . . . . . . . . .
1
II. Wahl, Ernennung und Eid (Abs. 1 und 2) . . . . . . . . . . . . . .
4
V. Organisation und Ausstattung (Abs. 5) . . . . . . . . . . . . . . . 13
III. Amtszeit (Abs. 3) . . . . . . . . . . .
7
VI. Vertretung (Abs. 6) . . . . . . . . . . 15
Schrifttum: Siehe § 21.
I. Einführung 1 Dem Amt des unabhängigen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) kommt eine herausragende Rolle beim effektiven Schutz des Rechts auf informationelle Selbstbestimmung zu1. Der dritte Unterabschnitt des BDSG (§§ 22–26) enthält Regelungen über Wahl, Stellung, Befugnisse und Aufgaben des BfDI. Lediglich das Petitionsrecht (Anrufung des BfDI) wurde als Recht des Betroffenen in § 21 normiert (siehe dort Rz. 2). 2 § 22 legt Wahlmodalitäten, Amtszeit und -verhältnis sowie Organisation, Ausstattung und Vertretung des BfDI fest. Darüber hinaus wird in Abs. 2 Satz 2 die Unabhängigkeit des Amtes des BfDI festgeschrieben. Das Erfordernis einer unabhängigen Kontrolle des Datenschutzes ist auch in Art. 8 Abs. 3 der EU-Grundrechtecharta sowie in § 28 Abs. 1 EG-Datenschutzrichtlinie verankert. Vor dem Hintergrund der europarechtlichen Vorgaben, die eine Tätigkeit der Kontrollstellen in „völliger Unabhängigkeit“ vorsehen (siehe unten Rz. 9), werden bundesrechtliche Regelungen, insbesondere hinsichtlich der Rechts- und Dienstaufsicht durch die Bundesregierung bzw. das Bundesministerium des Innern (BMI), zum Teil als unanwendbar angesehen2. 3 Der erste Regierungsentwurf des BDSG aus dem Jahr 1973 sah die Schaffung einer unabhängigen Kontrollinstanz überhaupt nicht vor. Die Überprüfung von Datenschutzverstößen durch die Gerichte, flankiert durch ein System der Selbstkontrolle, wurde als ausreichend angesehen3. Eine unabhängige Überwachung der Einhaltung des Datenschutzes wurde 1 BVerfG v. 15.12.1983 – 1 BvR 209, 269, 362, 420, 440, 484/83, NJW 1984, 419 – Volkszählung. 2 Siehe Simitis/Dammann, § 22 BDSG Rz. 20 und 23 sowie § 23 BDSG Rz. 1. 3 BT-Drucks. 7/1027, S. 18.
504 Hullen
Wahl des Bundesbeauftragten
§ 22 BDSG
dann jedoch im Rahmen des weiteren Gesetzgebungsverfahrens vom Parlament eingefordert. Der BfDI wird seit 1990 durch den Bundestag gewählt, wodurch das Amt abermals politisch und demokratisch gestärkt wurde. II. Wahl, Ernennung und Eid (Abs. 1 und 2) Die Bundesregierung schlägt einen aus ihrer Sicht für das Amt geeig- 4 neten Kandidaten vor. Die Wahl des BfDI erfolgt mit absoluter Mehrheit des Bundestages. Durch das Vorschlagsrecht wird sichergestellt, dass keine Person zum Bundesbeauftragten gewählt wird, die nicht das Vertrauen der Bundesregierung genießt1. Abs. 1 Satz 1 weicht dabei vom Grundsatz des einfachen Mehrheitsbeschlusses (Art. 42 Abs. 2 Satz 1 GG) ab, um einen breiteren parlamentarischen Konsens über den Amtsträger zu erzielen und dessen demokratische Legitimation zu erhöhen2. Subjektive Voraussetzung für die Wahl ist die Vollendung des 35. Le- 5 bensjahres (Abs. 1 Satz 2). Weitere Voraussetzungen, wie etwa die Befähigung zum Richteramt oder andere Qualifikationen sieht das Gesetz nicht vor3. Aufgrund der hohen Bandbreite der Aufgaben des BfDI wäre eine solche Festschreibung auch nicht zweckmäßig. Die Fähigkeit zur Bekleidung öffentlicher Ämter muss jedoch vorhanden sein4. Die Ernennung, der lediglich formelle Bedeutung zukommt, erfolgt gem. Abs. 1 Satz 3 durch den Bundespräsidenten. Der Amtseid (Abs. 2), dessen Formel dem Eid des Bundespräsidenten (Art. 56 GG) entspricht, wird vom BMI abgenommen5.
6
III. Amtszeit (Abs. 3) Nach fünfjähriger Amtszeit kann der BfDI einmal wiedergewählt werden. Hierdurch soll eine einseitige Interessenwahrnehmung im Rahmen 1 Kritisch hierzu Däubler/Klebe/Wedde/Weichert/Weichert, § 22 BDSG Rz. 2. 2 Vgl. Gola/Schomerus, § 22 BDSG Rz. 3. Mit dem Quorum der absoluten Mehrheit werden ebenfalls der Bundesbeauftragte für die Stasi-Unterlagen sowie der Wehrbeauftrage gewählt. 3 Anders z.B. § 26 Abs. 1 Satz 1 LDSG BW. 4 Taeger/Gabel/Grittmann, § 22 BDSG Rz. 5; Simitis/Dammann, § 22 BDSG Rz. 9. 5 Dammann schlägt aufgrund der ressortübergreifenden Bedeutung die Übertragung der Abnahme auf den Bundestags- oder Bundespräsidenten vor, siehe Simitis/Dammann, § 22 BDSG Rz. 11.
Hullen 505
7
BDSG § 22
Datenverarbeitung der öffentlichen Stellen
der Amtsausübung und die Gefahr einer etwaigen „Betriebsblindheit“ unterbunden werden1. Die maximale Amtszeit von zehn Jahren stellt dennoch die Kontinuität der Arbeit des BfDI sicher. Auch hier folgte der Gesetzgeber dem für den Bundespräsidenten festgeschriebenen Grundsatz. Im Gegensatz zu der in Art. 54 Abs. 2 GG gewählten Formulierung „anschließende Wiederwahl“ spricht Satz 2 jedoch dafür, dass sich die maximale Amtszeit von zehn Jahren nicht auf zwei aufeinanderfolgende Amtsperioden erstrecken muss, sondern auch von der Amtszeit einer anderen Person unterbrochen sein kann2. Die Amtszeit des BfDI ist weder an die Legislaturperiode noch an die Amtszeit der Bundesregierung geknüpft, wodurch die Unabhängigkeit und die parteipolitische Neutralität des Amtes gestärkt werden3. IV. Amtsstellung (Abs. 4) 8 Der BfDI nimmt eine rechtliche Sonderstellung ein. Er steht in einem öffentlich-rechtlichen Amtsverhältnis eigener Art4 (Satz 1) und ist weder Beamter auf Zeit, noch Angestellter im öffentlichen Dienst. Der BfDI wird jedoch als Beamter in haftungsrechtlicher Hinsicht behandelt. Er unterfällt somit der Amtshaftung nach Art. 34 GG i.V.m. § 839 BGB. Er ist zudem Amtsträger i.S.d. § 11 Abs. 1 Nr. 2 Buchst. b StGB und folglich mögliches Tatsubjekt strafrechtlicher Amtsdelikte wie bspw. die der §§ 203 Abs. 2 StGB und 353b StGB. 9 Gemäß Abs. 4 Satz 2 ist der BfDI unabhängig in der Ausübung seines Amtes. Dies gilt insbesondere den Stellen gegenüber, die der Kontrolle des BfDI unterliegen5, da eine effektive und unvoreingenommene Aufgabenerfüllung ansonsten nicht möglich wäre und das Vertrauen in die Integrität des Amtsinhabers leiden würde. In der Praxis bedeutet dies, dass der BfDI keiner Fachaufsicht unterliegt und auch ansonsten weisungsfrei im Rahmen des geltenden Rechts handeln kann6.
1 Gola/Schomerus, § 22 BDSG Rz. 7. 2 Taeger/Gabel/Grittmann, § 22 BDSG Rz. 7; Schaffland/Wiltfang, § 22 BDSG Rz. 4. Weitergehend Dammann, der auch nach zehnjähriger Amtszeit eine Wiederwahl für möglich hält, sofern zuvor mindestens eine Amtsperiode pausiert wurde, siehe Simitis/Dammann, § 22 BDSG Rz. 9. 3 Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 39. 4 Paeffgen, JZ 1997, 184. 5 Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 78. 6 Taeger/Gabel/Grittmann, § 22 BDSG Rz. 9.
506 Hullen
Wahl des Bundesbeauftragten
§ 22 BDSG
Die Unabhängigkeit einer Kontrollstelle für den Datenschutz wird durch die EU-Grundrechtecharta (Art. 8 Abs. 3) und die EG-Datenschutzrichtlinie festgeschrieben, die zeitlich nach § 22 in Kraft traten. § 28 Abs. 1 Unterabs. 2 fordert dabei eine „völlige Unabhängigkeit“ bei der Wahrnehmung der Aufgaben (siehe bereits oben Rz. 9)1.
10
Die in Abs. 4 Satz 3 festgeschriebene Rechtsaufsicht durch die Bundes- 11 regierung ist vor dem Hintergrund eines Urteils des EuGH zur Vereinbarkeit der gesetzlichen Regelungen über die Datenschutzaufsicht über den nicht-öffentlichen Bereich in Deutschland nicht mit Art. 28 Abs. 1 EG-Datenschutzrichtlinie vereinbar und somit europarechtswidrig2. Die dort festgeschriebene völlige Unabhängigkeit verbiete eine staatliche Aufsicht jeglicher Art, die es grundsätzlich ermögliche, auf Entscheidungen der unabhängigen Datenschutzkontrolle mittelbar oder unmittelbar Einfluss zu nehmen, diese aufzuheben oder zu ersetzen. Auch wenn eine staatliche Kontrolle nur zu Zwecken der Sicherstellung der Einhaltung der geltenden rechtlichen Bestimmungen vorgesehen ist, weckt die Möglichkeit der Einflussnahme u.U. gewisse Begehrlichkeiten (bspw. hinsichtlich des Zugriffs auf Daten zu Zwecken der staatlichen Strafverfolgung)3. Die sich hieraus ergebende abstrakte Gefahr einer Einflussnahme reiche aus, um die Unabhängigkeit der Datenschutzkontrolle durch den bloßen Verdacht der Abhängigkeit und einen möglichen „vorauseilenden Gehorsam“ zu beeinträchtigen. § 28 EG-Datenschutzrichtlinie gilt ebenfalls für die Datenschutzkontrolle im öffentlichen Bereich4. Nach den Ausführungen des EuGH zum Begriff der Unabhängigkeit ist daher auch von einer Unanwendbarkeit der Aufsichtsregelung des Abs. 4 Satz 3 auszugehen5. Dies schließt jedoch eine gerichtliche Kontrolle der Maßnahmen des BfDI ebenso wenig aus wie dessen Rechenschaftspflicht gegenüber dem Bundestag. 1 Dies gilt auch für den Europäischen Datenschutzbeauftragten, siehe Art. 44 Abs. 1 und 2 der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr. 2 EuGH v. 9.3.2010 – C-518/07, NJW 2010, 1265. 3 EuGH v. 9.3.2010 – C-518/07, NJW 2010, 1265 (1266), Rz. 30 ff. 4 EuGH v. 9.3.2010 – C-518/07, NJW 2010, 1265 (1267), Rz. 36. 5 Däubler/Klebe/Wedde/Weichert/Weichert, § 22 BDSG Rz. 4; Gola/Schomerus, § 22 BDSG Rz. 11; so auch Taeger/Gabel/Grittmann, § 22 BDSG Rz. 10, die jedoch eine eng begrenzte und unter größter Zurückhaltung ausgeübte Rechtsaufsicht für möglich halten.
Hullen 507
12
BDSG § 22
Datenverarbeitung der öffentlichen Stellen
V. Organisation und Ausstattung (Abs. 5) 13 Der BfDI ist der Dienstaufsicht des Bundesministeriums des Innern unterworfen. Dies ist vor dem Hintergrund der „völligen Unabhängigkeit“ der Kontrollstelle (§ 28 Abs. 1 EG-Datenschutzrichtlinie) und der diesbezüglichen Rechtsprechung des EuGH1 (oben Rz. 11) problematisch, da der BfDI die Stelle, die die Dienstaufsicht ausübt, auch in datenschutzrechtlicher Hinsicht kontrollieren muss2. Auch wenn im Rahmen der Dienstaufsicht lediglich Fragen eines geregelten Geschäftsablaufs adressiert und inhaltliche oder rechtliche Weisungen nicht erfolgen können, ist eine zumindest mittelbare Einflussnahme auf die Person des BfDI über eine rigide Aufsichtsführung nicht auszuschließen3. 14 Der BfDI ist auch im Übrigen organisatorisch bei dem Bundesministerium des Innern angekoppelt. Dem BfDI ist das zur Erfüllung seiner Aufgaben notwendige Personal sowie die Sachmittel im erforderlichen Umfang zur Verfügung zu stellen. Die hierfür notwendigen Mittel müssen im Einzelplan des Bundesinnenministeriums in einem eigenen Kapitel ausgewiesen werden (Satz 3), um eine bestimmungsgemäße Mittelverwendung sicherzustellen. Auch hier ist fraglich, ob die organisatorische Anbindung an das BMI mit den Vorgaben des § 28 Abs. 1 EG-Datenschutzrichtlinie zur völligen Unabhängigkeit der Kontrollstelle vereinbar ist4. Dies gilt auch hinsichtlich der Maßgabe des Satzes 4, nach dem personelle Entscheidungen des BfDI nur im Einvernehmen mit dem BMI zu treffen sind5. VI. Vertretung (Abs. 6) 15 Abs. 6 enthält eine Vertretungsregelung für den Fall der vorübergehenden Unmöglichkeit der Amtsausübung des BfDI. Im Falle der dauerhaften Dienstunfähigkeit oder der Entlassung (siehe § 23 Rz. 3) ist vorzeitig ein neuer Amtsinhaber zu wählen. Die Auswahl des Vertreters trifft der Bundesminister des Innern (Satz 1). Da der BfDI hierzu lediglich gehört werden soll (Satz 2), nicht jedoch selbst bestimmen kann, wer ihn während der vorübergehenden Dienstunfähigkeit vertritt, steht auch diese
1 EuGH v. 9.3.2010 – C-518/07, NJW 2010, 1265. 2 Taeger/Gabel/Grittmann, § 22 BDSG Rz. 11. 3 Simitis/Dammann, § 22 BDSG Rz. 23, der die Regelung für unanwendbar hält. 4 Vgl. nur Gola/Schomerus, § 22 BDSG Rz. 12. 5 Däubler/Klebe/Wedde/Weichert/Weichert, § 22 BDSG Rz. 5.
508 Hullen
Rechtsstellung des Bundesbeauftragten
§ 23 BDSG
Regelung im Widerspruch zur in Art. 28 Abs. 1 EG-Datenschutzrichtlinie geforderten völligen Unabhängigkeit der Kontrollstelle1. Rechtsstellung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (1) 1Das Amtsverhältnis des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beginnt mit der Aushändigung der Ernennungsurkunde. 2Es endet 1. mit Ablauf der Amtszeit, 2. mit der Entlassung. 3Der Bundespräsident entlässt den Bundesbeauftragten, wenn dieser es verlangt oder auf Vorschlag der Bundesregierung, wenn Gründe vorliegen, die bei einem Richter auf Lebenszeit die Entlassung aus dem Dienst rechtfertigen. 4Im Fall der Beendigung des Amtsverhältnisses erhält der Bundesbeauftragte eine vom Bundespräsidenten vollzogene Urkunde. 5Eine Entlassung wird mit der Aushändigung der Urkunde wirksam. 6Auf Ersuchen des Bundesministers des Innern ist der Bundesbeauftragte verpflichtet, die Geschäfte bis zur Ernennung seines Nachfolgers weiterzuführen.
23
(2) 1Der Bundesbeauftragte darf neben seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf ausüben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. 2Er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben. (3) 1Der Bundesbeauftragte hat dem Bundesministerium des Innern Mitteilung über Geschenke zu machen, die er in Bezug auf sein Amt erhält. 2Das Bundesministerium des Innern entscheidet über die Verwendung der Geschenke. (4) 1Der Bundesbeauftragte ist berechtigt, über Personen, die ihm in seiner Eigenschaft als Bundesbeauftragter Tatsachen anvertraut haben, sowie über diese Tatsachen selbst das Zeugnis zu verweigern. 2Dies gilt auch für die Mitarbeiter des Bundesbeauftragten mit der Maßgabe, dass über die Ausübung dieses Rechts der Bundesbeauftragte entscheidet. 3Soweit das Zeugnisverweigerungsrecht des Bundesbeauftragten reicht, 1 Taeger/Gabel/Grittmann, § 22 BDSG Rz. 13; wohl auch Gola/Schomerus § 22 BDSG Rz. 13, die die Vereinbarkeit der Regelung mit europarechtlichen Vorgaben zumindest bezweifeln.
Hullen 509
BDSG § 23
Datenverarbeitung der öffentlichen Stellen
darf die Vorlegung oder Auslieferung von Akten oder anderen Schriftstücken von ihm nicht gefordert werden. (5) 1Der Bundesbeauftragte ist, auch nach Beendigung seines Amtsverhältnisses, verpflichtet, über die ihm amtlich bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. 2Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. 3Der Bundesbeauftragte darf, auch wenn er nicht mehr im Amt ist, über solche Angelegenheiten ohne Genehmigung des Bundesministeriums des Innern weder vor Gericht noch außergerichtlich aussagen oder Erklärungen abgeben. 4Unberührt bleibt die gesetzlich begründete Pflicht, Straftaten anzuzeigen und bei Gefährdung der freiheitlichen demokratischen Grundordnung für deren Erhaltung einzutreten. 5Für den Bundesbeauftragten und seine Mitarbeiter gelten die §§ 93, 97, 105 Abs. 1, § 111 Abs. 5 in Verbindung mit § 105 Abs. 1 sowie § 116 Abs. 1 der Abgabenordnung nicht. 6Satz 5 findet keine Anwendung, soweit die Finanzbehörden die Kenntnis für die Durchführung eines Verfahrens wegen einer Steuerstraftat sowie eines damit zusammenhängenden Steuerverfahrens benötigen, an deren Verfolgung ein zwingendes öffentliches Interesse besteht, oder soweit es sich um vorsätzlich falsche Angaben des Auskunftspflichtigen oder der für ihn tätigen Personen handelt. 7Stellt der Bundesbeauftragte einen Datenschutzverstoß fest, ist er befugt, diesen anzuzeigen und den Betroffenen hierüber zu informieren. (6) 1Die Genehmigung, als Zeuge auszusagen, soll nur versagt werden, wenn die Aussage dem Wohle des Bundes oder eines deutschen Landes Nachteile bereiten oder die Erfüllung öffentlicher Aufgaben ernstlich gefährden oder erheblich erschweren würde. 2Die Genehmigung, ein Gutachten zu erstatten, kann versagt werden, wenn die Erstattung den dienstlichen Interessen Nachteile bereiten würde. 3§ 28 des Bundesverfassungsgerichtsgesetzes bleibt unberührt. (7) 1Der Bundesbeauftragte erhält vom Beginn des Kalendermonats an, in dem das Amtsverhältnis beginnt, bis zum Schluss des Kalendermonats, in dem das Amtsverhältnis endet, im Fall des Absatzes 1 Satz 6 bis zum Ende des Monats, in dem die Geschäftsführung endet, Amtsbezüge in Höhe der einem Bundesbeamten der Besoldungsgruppe B 9 zustehenden Besoldung. 2Das Bundesreisekostengesetz und das Bundesumzugskostengesetz sind entsprechend anzuwenden. 3Im Übrigen sind § 12 Abs. 6 sowie die §§ 13 bis 20 und 21a Abs. 5 des Bundesministergesetzes mit den Maßgaben anzuwenden, dass an die Stelle der vierjährigen Amtszeit in § 15 Abs. 1 des Bundesministergesetzes eine Amtszeit 510 Hullen
Rechtsstellung des Bundesbeauftragten
§ 23 BDSG
von fünf Jahren und an die Stelle der Besoldungsgruppe B 11 in § 21a Abs. 5 des Bundesministergesetzes die Besoldungsgruppe B 9 tritt. 4Abweichend von Satz 3 in Verbindung mit den §§ 15 bis 17 und 21a Abs. 5 des Bundesministergesetzes berechnet sich das Ruhegehalt des Bundesbeauftragten unter Hinzurechnung der Amtszeit als ruhegehaltsfähige Dienstzeit in entsprechender Anwendung des Beamtenversorgungsgesetzes, wenn dies günstiger ist und der Bundesbeauftragte sich unmittelbar vor seiner Wahl zum Bundesbeauftragten als Beamter oder Richter mindestens in dem letzten gewöhnlich vor Erreichen der Besoldungsgruppe B 9 zu durchlaufenden Amt befunden hat. (8) Absatz 5 Satz 5 bis 7 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind. I. Einführung . . . . . . . . . . . . . . . . II. Amtsverhältnis (Abs. 1–3 und 7) . . . . . . . . . . . . . . . . . . . . 1. Beginn und Beendigung des Amtsverhältnisses (Abs. 1). . . 2. Inkompatibilität (Abs. 2) . . . . 3. Geschenke (Abs. 3) . . . . . . . . .
1
4. Amtsbezüge (Abs. 7) . . . . . . . .
8
3
III. Zeugnisverweigerungsrecht (Abs. 4). . . . . . . . . . . . . . . . . . . .
9
3 5 7
IV. Verschwiegenheitspflicht (Abs. 5 und 6) . . . . . . . . . . . . . . 12
Schrifttum: Siehe § 21.
I. Einführung § 23 regelt eine Vielzahl unterschiedlicher Belange, die sich auf das Amtsverhältnis des BfDI beziehen, nämlich Beginn und Beendigung (Abs. 1) sowie Inkompatibilität des Amtes (Abs 2), die Annahme von Geschenken (Abs. 3) und Besoldung (Abs. 7) des BfDI. Darüber hinaus wird das Zeugnisverweigerungsrecht (Abs. 4) bzw. die Verschwiegenheitspflicht (Abs. 5 und 6) des BfDI statuiert. In ihrer Systematik ist die Norm unübersichtlich, eine klarere Trennung der verschiedenen Regelungsbereiche durch den Gesetzgeber wäre zu begrüßen gewesen1.
1
Der BfDI ist weder Beamter im staatsrechtlichen Sinne, noch Angestellter im öffentlichen Dienst. Da er in einem Amtsverhältnis sui generis zum Bund steht2, wurden eigene, den Dienst betreffende Regelungen in
2
1 So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 23 BDSG Rz. 1. 2 Siehe Zöller, Der Datenschutzbeauftragte im Verfassungssystem, S. 33.
Hullen 511
BDSG § 23
Datenverarbeitung der öffentlichen Stellen
das BDSG aufgenommen1. Diese orientieren sich an den Regelungen für andere öffentliche Amtsträger, insbesondere an denen, die die Mitglieder der Bundesregierung betreffen (vgl. z.B. §§ 5–7 BMinG). § 23 erfüllt dabei die Vorgaben aus Art. 28 Abs. 7 (Berufsgeheimnis) und Abs. 3, Spiegelstrich 3 (Anzeigerecht) EG-Datenschutzrichtlinie. II. Amtsverhältnis (Abs. 1–3 und 7) 1. Beginn und Beendigung des Amtsverhältnisses (Abs. 1) 3 Das Amtsverhältnis des BfDI beginnt nach dessen Wahl (siehe § 22 Rz. 4) mit Aushändigung der Ernennungsurkunde durch den Bundespräsidenten (siehe § 22 Rz. 5). Zur Gewährleistung der Unabhängigkeit der Stellung des BfDI endet dessen Amtsverhältnis – außer durch Ablauf der Amtszeit (Satz 2 Nr. 1) und auf eigenes Verlangen (Abs. 1 Satz 3 Var. 1) – nur, wenn er entlassen wird. Dies ist nur dann möglich, wenn Gründe vorliegen, die bei einem Richter auf Lebenszeit eine Entlassung nach §§ 21, 24 DRiG rechtfertigen würden (Satz 3 Var. 2). Hierbei kommen jedoch nur die Entlassungsgründe in Betracht, die auf das Amt des BfDI entsprechend anwendbar sind2. Es bedarf, anders als im Falle der Entlassung eines Richters (vgl. § 21 Abs. 3 DRiG), keines rechtskräftigen Gerichtsurteils, ein mit einfacher Mehrheit gefasster Entschluss der Bundesregierung ist zur Einleitung der Entlassung ausreichend3. Der BfDI kann seinerseits das Amt ohne Angaben von Gründen jederzeit niederlegen, indem er seine Entlassung selbst verlangt4. 4 Zur vorübergehenden Weiterführung der Geschäfte bis zur Neubesetzung des Amtes kann der ehemalige Amtsinhaber auch nach Beendigung des Amtsverhältnisses durch den Bundesminister des Innern verpflichtet werden. Dies kann jedoch nur in besonderen Ausnahmefällen, in denen die Behördenleitung nicht durch einen anderen Behördenmitarbeiter kommissarisch übernommen werden kann und für einen begrenzten Zeitraum erfolgen, in dem die Weiterführung der Geschäfte durch den ehemaligen Amtsinhaber unabdingbar ist5.
1 2 3 4 5
Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 40. Gola/Schomerus, § 23 BDSG Rz. 2. Bergmann/Möhrle/Herb, § 23 BDSG Rz. 4. Siehe Däubler/Klebe/Wedde/Weichert/Weichert, § 23 BDSG Rz. 1. Ähnlich Gola/Schomerus, § 23 BDSG Rz. 2; Simitis/Dammann hält die Regelung wegen Unvereinbarkeit mit europäischem Recht für unanwendbar § 23 BDSG Rz. 1.
512 Hullen
Rechtsstellung des Bundesbeauftragten
§ 23 BDSG
2. Inkompatibilität (Abs. 2) Dem BfDI ist zur Gewährleistung der Unabhängigkeit des Amtes eine anderweitige Berufsausübung verboten. Er darf neben seinem Amt als Bundesbeauftragter kein anderes besoldetes Amt, kein Gewerbe und keinen sonstigen Beruf ausüben. Weiterhin sind ihm Leitungs- und Aufsichtsfunktionen in Erwerbsunternehmen sowie Regierungs- bzw. gesetzgeberische Tätigkeit auf Bundes- und Landesebene untersagt. Etwaige in Abs. 2 Satz 1 genannten Tätigkeiten sind spätestens mit der Ernennung zum BfDI zu beenden1. Auch die entgeltliche Erstellung von Gutachten beeinträchtigt die Unabhängigkeit des Amtes und ist daher untersagt. Unentgeltliche wissenschaftliche Tätigkeiten wie Lehraufträge, Vorträge, Publikationen und Gutachten sind hingegen nicht verboten, sondern gehören zur typischen Amtsausübung des BfDI2.
5
Die Erstattung unentgeltlicher (gerichtlicher und außergerichtlicher) 6 Gutachten kann gem. Abs. 6 Satz 2 vom Bundesministerium des Innern versagt werden, wenn die Aufgabenerfüllung des BfDI hierdurch nachteilig betroffen werden würde3. Die Gutachtenerstattung auf Anforderung von Bundestag oder Bundesregierung nach § 26 Abs. 2 Satz 1 ist von der Versagungsmöglichkeit nicht betroffen, da es sich hierbei um eine Kernaufgabe des BfDI handelt und das Informationsrecht dieser Verfassungsorgane nicht eingeschränkt werden darf4. 3. Geschenke (Abs. 3) Über die Annahme von Geschenken hat der BfDI das BMI zu unterrichten (Satz 1). Selbiges entscheidet dann über die weitere Verwendung (Satz 2)5. Auch hierdurch soll die Unabhängigkeit des Amtes gewahrt bleiben und schon der bloße Anschein etwaiger Abhängigkeiten vermieden werden6. Die Unterrichtungspflicht gilt nicht bei geringwertigen Geschenken, die eine gewisse Relevanzgrenze nicht überschreiten7.
1 Taeger/Gabel/Grittmann, § 23 BDSG Rz. 4. 2 Gola/Schomerus, § 23 BDSG Rz. 3; kritisch hingegen Zöller, Der Datenschutzbeauftragte im Verfassungssystem, S. 31. 3 Kritisch hierzu Simitis/Dammann, § 23 BDSG Rz. 1, der die Regelung wegen Verstoßes gegen europäisches Recht für unanwendbar hält. 4 In diesem Sinne auch Bergmann/Möhrle/Herb, § 23 BDSG Rz. 31; Gola/Schomerus, § 23 BDSG Rz. 17. 5 Kritisch Simitis/Dammann, § 22 BDSG Rz. 23. 6 So auch Gola/Schomerus, § 23 BDSG Rz. 4. 7 Vgl. Schaffland/Wiltfang, § 23 BDSG Rz. 6.
Hullen 513
7
BDSG § 23
Datenverarbeitung der öffentlichen Stellen
4. Amtsbezüge (Abs. 7) 8 Die Besoldung des BfDI wird in Abs. 7 festgeschrieben. Sie ist an die beamtenrechtlichen Maßgaben und die Regelungen für die Mitglieder der Bundesregierung nach den BMinG angelehnt. Aufgrund der gesetzlichen Formulierung erhält der BfDI jedoch keine Ministerialzulage1. III. Zeugnisverweigerungsrecht (Abs. 4) 9 Die Möglichkeit der Zeugnisverweigerung (Abs. 4 Satz 1) stärkt das Recht des Betroffenen auf Anrufung des BfDI (§ 21) sowie das Recht aller übrigen Personen, sich in Belangen des Datenschutzes an den Bundesbeauftragten zu wenden2. Die hierfür notwendige Vertrauensbasis kann nur bestehen, wenn der BfDI auch in einem gerichtlichen Verfahren nicht verpflichtet ist, über Personen auszusagen zu müssen, die sich an ihn als Amtsträger gewandt haben3 und die ihm in diesem Zusammenhang bekannt gewordenen Tatsachen preiszugeben. Aus diesem Grund bedarf es neben der Pflicht zur Verschwiegenheit (Abs. 5) auch des Rechts, nicht als Zeuge zu Aussagen zu müssen. Es ergänzt die allgemeinen Zeugnisverweigerungsrechte der §§ 52 f. StPO, § 383 f. ZPO für die Belange der Amtsausübung des BfDI. 10 Das Zeugnisverweigerungsrecht erstreckt sich auch auf die Behördenmitarbeiter (Abs. 4 Satz 2). In diesen Fällen bleibt es jedoch dem BfDI vorbehalten, über Ausübung und Umfang der Zeugnisverweigerung zu entscheiden. 11 Das Zeugnisverweigerungsrecht liefe größtenteils Leer, wenn in einem Verfahren statt einer Aussage die Vorlegung von Akten oder anderen Schriftstücken gefordert werden könnte, was durch Satz 3 unterbunden wird. Die Begriffe Akten und Schriftstücke sind dabei weit zu verstehen. Umfasst sind hierdurch z.B. auch E-Mails und sonstige Aufzeichnungen, die weder in Schriftform vorliegen, noch bereits zur Akte verfügt wurden. Auch eine Beschlagnahme dieser Unterlagen ist ausgeschlossen4.
1 2 3 4
Kritisch zu Besoldungsfragen Simitis/Dammann, § 23 BDSG Rz. 38. BT-Drucks. 11/4306, S. 47. Siehe hierzu Simitis/Dammann, § 23 BDSG Rz. 15. BT-Drucks. 11/4306, S. 47.
514 Hullen
Rechtsstellung des Bundesbeauftragten
§ 23 BDSG
IV. Verschwiegenheitspflicht (Abs. 5 und 6) Der BfDI ist zur Verschwiegenheit über die ihm amtlich bekannt gewordenen Angelegenheiten verpflichtet. Die Verschwiegenheitspflicht gilt dabei auch über die Beendigung des Amtverhältnisses hinaus fort. (Satz 1). Offenkundige Tatsachen oder Mitteilungen im dienstlichen Verkehr und solche mit geringer Bedeutung unterliegen nicht der Verschwiegenheitspflicht (Abs. 5 Satz 2). Nur mit Genehmigung des BMI darf er über Angelegenheiten i.S.d. Satz 1 aussagen oder diesbezügliche Erklärungen abgeben (Abs. 5 Satz 3). Das Erfordernis gilt auch über Ende des Amtsverhältnisses hinaus.
12
Gem. Abs. 6 Satz 1 darf die Genehmigung der Aussage nur verweigert 13 werden, wenn diese Bund oder Ländern Nachteile bereiten, die Erfüllung öffentlicher Aufgaben ernstlich gefährden oder erheblich erschweren würde. Der vagen Formulierung nach kommt dem BMI dabei ein großer Beurteilungsspielraum zu. Jedoch ist auch der Datenschutz eine öffentliche Aufgabe, die bei der Erfüllung anderer hoheitlicher Angelegenheiten zu berücksichtigen ist. Daher kann nicht jede Beeinträchtigung öffentlicher Aufgaben zum Anlass der Verwehrung einer Aussagegenehmigung genommen werden1. Gemäß Abs. 6 Satz 3 kann eine Genehmigung zur Aussage vor dem BVerfG nur versagt werden, wenn es das Wohl des Bundes oder eines Landes erfordert, wobei das BVerfG die Verweigerung der Aussagegenehmigung für unbegründet erklären kann (vgl. § 28 Abs. 2 Satz 2 BVerfGG). Durch die Verschwiegenheitspflicht wird das Recht zur Anzeige einer 14 Straftat nach § 44 und Stellung eines Strafantrags nicht eingeschränkt (Abs. 5 Satz 7). Entsprechende Pflichten ergeben sich aus dem Amtseid des BfDI (§ 22 Abs. 2) und § 138 StGB. Auf die Erteilung einer Aussagegenehmigung kommt es in diesen Fällen nicht an2. Mitteilungs- und Vorlagepflichten der Abgabenordnung werden durch Satz 5 eingeschränkt, um auch gegenüber den Finanzbehörden im Rahmen der Ermittlung der Steuerpflicht die Verschwiegenheitspflicht aufrecht zu erhalten. Eine Ausnahme hiervon besteht lediglich im Zusammenhang mit Steuerstraftaten und vorsätzlich falschen Angaben des Steuerpflichtigen (Abs. 5 Satz 6). Die Regelungen des Satz 5 und 6 sowie die Anzeigebefugnis (Abs. 5 Satz 7) gelten gem. Abs. 8 auch für die öf-
1 So auch Gola/Schomerus, § 23 BDSG Rz. 16. 2 Simitis/Dammann, § 23 BDSG Rz. 30.
Hullen 515
15
BDSG § 24
Datenverarbeitung der öffentlichen Stellen
fentlichen Stellen, die für die Kontrolle des Datenschutzes auf Landesebene zuständig sind. Kontrolle durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
24
(1) Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kontrolliert bei den öffentlichen Stellen des Bundes die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz.
(2) 1Die Kontrolle des Bundesbeauftragten erstreckt sich auch auf 1. von öffentlichen Stellen des Bundes erlangte personenbezogene Daten über den Inhalt und die näheren Umstände des Brief-, Post- und Fernmeldeverkehrs, und 2. personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. 2Das Grundrecht des Brief-, Post- und Fernmeldegeheimnisses des Artikels 10 des Grundgesetzes wird insoweit eingeschränkt. 3Personenbezogene Daten, die der Kontrolle durch die Kommission nach § 15 des Artikel 10-Gesetzes unterliegen, unterliegen nicht der Kontrolle durch den Bundesbeauftragten, es sei denn, die Kommission ersucht den Bundesbeauftragten, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten. 4Der Kontrolle durch den Bundesbeauftragten unterliegen auch nicht personenbezogene Daten in Akten über die Sicherheitsüberprüfung, wenn der Betroffene der Kontrolle der auf ihn bezogenen Daten im Einzelfall gegenüber dem Bundesbeauftragten widerspricht. (3) Die Bundesgerichte unterliegen der Kontrolle des Bundesbeauftragten nur, soweit sie in Verwaltungsangelegenheiten tätig werden. (4) 1Die öffentlichen Stellen des Bundes sind verpflichtet, den Bundesbeauftragten und seine Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. 2Ihnen ist dabei insbesondere 1. Auskunft zu ihren Fragen sowie Einsicht in alle Unterlagen, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme, zu gewähren, die im Zusammenhang mit der Kontrolle nach Absatz 1 stehen, 2. jederzeit Zutritt in alle Diensträume zu gewähren. 516 Hullen
Kontrolle durch den Bundesbeauftragten
§ 24 BDSG
3Die
in § 6 Abs. 2 und § 19 Abs. 3 genannten Behörden gewähren die Unterstützung nur dem Bundesbeauftragten selbst und den von ihm schriftlich besonders Beauftragten. 4Satz 2 gilt für diese Behörden nicht, soweit die oberste Bundesbehörde im Einzelfall feststellt, dass die Auskunft oder Einsicht die Sicherheit des Bundes oder eines Landes gefährden würde. (5) 1Der Bundesbeauftragte teilt das Ergebnis seiner Kontrolle der öffentlichen Stelle mit. 2Damit kann er Vorschläge zur Verbesserung des Datenschutzes, insbesondere zur Beseitigung von festgestellten Mängeln bei der Verarbeitung oder Nutzung personenbezogener Daten, verbinden. 3§ 25 bleibt unberührt. (6) Absatz 2 gilt entsprechend für die öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind. I. Einführung . . . . . . . . . . . . . . . .
1
II. Kontrollaufgaben (Abs. 1) . . . . 1. Aufgabe. . . . . . . . . . . . . . . . . . . 2. Kontrollumfang . . . . . . . . . . . .
2 2 3
III. Kontrolle sensibler Bereiche (Abs. 2) . . . . . . . . . . . . . . . . . . . 1. Berufs- und besondere Amtsgeheimnisse (Abs. 2 Satz 1–3)
6 7
2. Widerspruchsrecht bei Akten über die Sicherheitsüberprüfung (Abs. 2 Satz 4). . . . . . . . . . 10 IV. Kontrolle der Gerichte (Abs. 3). . . . . . . . . . . . . . . . . . . . 12 V. Unterstützung (Abs. 4) . . . . . . 13 VI. Mitteilungspflicht (Abs. 5) . . . 16
Schrifttum: Siehe § 21.
I. Einführung Die Norm regelt eines der wichtigsten Aufgabengebiete des BfDI, näm- 1 lich die Kontrolle öffentlicher Stellen des Bundes in Bezug auf die Einhaltung datenschutzrechtlicher Vorgaben (Abs. 1). Ausdrücklich erstrecken sich die Kontrollbefugnisse auch auf personenbezogene Daten, die besonderen Geheimhaltungspflichten im Bereich des Brief-, Post- und Fernmeldeverkehrs oder einem sonstigen Berufs- oder Amtsgeheimnis unterfallen. Einschränkungen bestehen jedoch bei Daten, die in den Zuständigkeitsbereich der G10-Kommission fallen (Abs. 2) sowie bei Bundesgerichten, die der Kontrolle nur unterfallen, soweit sie in Angelegenheiten der Justizverwaltung tätig werden (Abs. 3). Des Weiteren werden Mitwirkungspflichten der zu kontrollierenden Stelle (Abs. 4) und die Mitteilung des Kontrollergebnisses durch den BfDI festgelegt. § 24 setzt
Hullen 517
BDSG § 24
Datenverarbeitung der öffentlichen Stellen
zusammen mit den anderen Normen des dritten Unterabschnitts Vorgaben aus Art. 28 EG-Datenschutzrichtlinie in deutsches Recht um1. II. Kontrollaufgaben (Abs. 1) 1. Aufgabe 2 Die nachträgliche Kontrolle der Einhaltung datenschutzrechtlicher Vorgaben durch öffentliche Stellen des Bundes ist eine der originären Tätigkeiten des BfDI, die trotz nachträglich hinzugekommener gesetzlicher Aufgaben im präventiven Bereich noch immer einen hohen Stellenwert einnimmt2. Der BfDI ist zur Kontrolle verpflichtet, jedoch steht die Art und Weise der konkrete Ausübung (bspw. durch Befragungen oder Besuche) in seinem Ermessen3. Dies gilt insbesondere für die Auswahl der zu kontrollierenden Stellen, die konkrete Ausgestaltung und den Zeitpunkt der Durchführung der Kontrollen4. Es kommen sowohl anlasslose, turnusgemäß oder unregelmäßig durchgeführte, als auch anlassbezogene Kontrollen in Betracht. 2. Kontrollumfang 3 Der Kontrolle unterfallen öffentliche Stellen des Bundes i.S.v. § 2 (siehe dort Rz. 5)5. Umfasst werden daher auch Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder nach § 2 Abs. 3. Auch nicht-öffentliche Stellen können in den Kontrollbereich des BfDI fallen, wenn diese im Auftrag des Bundes handeln (siehe § 11 Abs. 4 Nr. 1 Buchst. b). Der Kontrolle unterfallen daher umfassend alle Stellen des Bundes sowie die Verfassungsorgane Bundestag, Bundesrat, Bundespräsident und die Bundesregierung6. Die Bundesgerichte werden nur kontrolliert, soweit personenbezogene Daten in Justizverwaltungsangelegenheiten anfallen (siehe hierzu unten Rz. 12). 4 Kontrollgegenstand ist die vollumfängliche Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz7. Neben den 1 Zum Anpassungsbedarf der Norm bei Umsetzung der EG-Datenschutzrichtlinie siehe Gola/Schomerus, § 24 BDSG Rz. 1. 2 Vgl. Däubler/Klebe/Wedde/Weichert/Weichert, § 24 BDSG Rz. 1. 3 Däubler/Klebe/Wedde/Weichert/Weichert, § 24 BDSG Rz. 4. 4 Vgl. Taeger/Gabel/Grittmann, § 24 BDSG Rz. 3. 5 Simitis/Dammann, § 24 BDSG Rz. 5. 6 Gola/Schomerus, § 24 BDSG Rz. 2. 7 So auch Bergmann/Möhrle/Herb, § 24 BDSG Rz. 7; Taeger/Gabel/Grittmann, § 24 BDSG Rz. 7.
518 Hullen
Kontrolle durch den Bundesbeauftragten
§ 24 BDSG
allgemeinen datenschutzrechtlichen Vorschriften von Bund und Ländern und den bereichsspezifischen Normen gehören hierzu alle Vorschriften, die den Einzelnen i.S.v. § 1 Abs. 1 vor der Beeinträchtigung seines Persönlichkeitsrechts durch den Umgang mit personenbezogenen Daten schützen1. Hierunter fallen neben Vorgaben aus formellen und materiellen Gesetzen auch Verwaltungsvorschriften und Dienstanweisungen. Einzelweisungen unterliegen jedoch nicht der Kontrolle des BfDI, da es sich hierbei nicht um Vorschriften i.S. einer allgemeinen Vorgabe in Bezug auf den Umgang mit personenbezogenen Daten handelt2. Inhaltlich sind neben Vorschriften über die Zulässigkeit der Erhebung 5 und Verwendung sowie über die Rechte des Betroffenen (einschließlich der Grundrechte) auch Regelungen umfasst, die Verfahren, Organisation oder Technik (bspw. Aspekte der Datensicherheit) betreffen3. Bei der Beurteilung der Frage, ob die datenschutzrechtlichen Vorschriften eingehalten werden, ist ein etwaiger der zu kontrollierenden Stelle eingeräumter Beurteilungsspielraum, bspw. im Rahmen der Ermessensausübung, zu berücksichtigen4. III. Kontrolle sensibler Bereiche (Abs. 2) Abs. 2 regelt die Kontrollbefugnisse des BfDI von personenbezogenen 6 Daten in sensiblen Bereichen. Dies sind vornehmlich solche, die im Zusammenhang mit dem Brief-, Post- und Fernmeldeverkehr stehen (Nr. 1) sowie personenbezogene Daten, die unter ein Berufs- oder besonderen Amtsgeheimnis fallen (Nr. 2). Ob sich die Kontrollbefugnisse des BfDI auch auf die genannten sensiblen Bereiche beziehen, war vor der Klarstellung durch den Gesetzgeber, insbesondere im Zusammenhang mit Daten, die dem Steuergeheimnis unterfallen, umstritten5. 1. Berufs- und besondere Amtsgeheimnisse (Abs. 2 Satz 1–3) Gem. Abs. 2 Satz 1 Nr. 2 erstreckt sich die Kontrolle des BfDI auch auf 7 die personenbezogenen Daten einer öffentlichen Stelle des Bundes, die einem Berufs- oder besonderen Amtsgeheimnis unterfallen. Ausdrück1 Siehe auch Simitis/Dammann, § 24 BDSG Rz. 9. 2 Simitis/Dammann, § 24 BDSG Rz. 9. 3 Siehe Däubler/Klebe/Wedde/Weichert/Weichert, § 24 BDSG Rz. 3; Gola/Schomerus, § 24 BDSG Rz. 3. 4 Ausführlich Simitis/Dammann, § 24 BDSG Rz. 12; Taeger/Gabel/Grittmann, § 24 BDSG Rz. 11. 5 Siehe hierzu Gola/Schomerus, § 24 BDSG Rz. 6.
Hullen 519
BDSG § 24
Datenverarbeitung der öffentlichen Stellen
lich wird hierbei das Steuergeheimnis hervorgehoben, umfasst sind jedoch personenbezogene Daten jeglicher Berufs- oder besonderer Amtsgeheimnisse. Hierzu zählen bspw. das Arztgeheimnis und die Berufsgeheimnisse von Rechtsanwälten und Notaren sowie die Verschwiegenheitspflichten weiterer in § 203 Abs. 1 StGB genannter Personen1. Als weitere besondere Amtsgeheimnisse sind u.a. das Statistikgeheimnis (§ 16 BStatG) und das Sozialgeheimnis (§ 35 SGB I) zu nennen. 8 Auch personenbezogene Daten, die dem Brief-, Post- oder Fernmeldegeheimnis des Art. 10 GG unterliegen, fallen in den Kontrollbereich des BfDI. Diese Kompetenzerweiterung erfolgte zum einen in Hinblick auf die Einordnung der Nachfolgeunternehmen der Deutschen Bundespost als öffentliche Stellen (§ 2 Abs. 1 Satz 2). Zum anderen unterliegen öffentliche Stellen, die nicht nur in das Recht auf informationelle Selbstbestimmung, sondern auch in andere Grundrechte des Betroffenen, hier in das Recht aus Art. 10 Abs. 1 GG, eingreifen, einem besonderen Kontrollbedürfnis. Die Befugnisse des BfDI erstrecken sich dabei auch auf Konstellationen, in denen das Brief-, Post- oder Fernmeldegeheimnis noch nicht gebrochen ist. Somit sind auch Datenschutzkontrollen möglich, bei denen der BfDI zwangsläufig Kenntnis von geschützten Kommunikationsinhalten nehmen muss, um seine Aufgaben effektiv wahrnehmen zu können2. 9 Nicht der Kontrolle des BfDI unterfallen personenbezogene Daten, die der Kontrolle durch die Kommission i.S.d. § 15 Artikel 10-Gesetz („Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses“) unterfallen. Eine Datenschutzkontrolle ist insofern bereits durch die unabhängige, weisungsungebundene G 10-Kommission3 gewährleistet. Die Kommission kann dem BfDI jedoch Gelegenheit zur Stellungnahme in Fragen des Datenschutzes geben, siehe § 15 Abs. 5 Satz 4 Artikel 10-Gesetz. Der BfDI darf in diesem Fall jedoch ausschließlich der Kommission Bericht erstatten4. 2. Widerspruchsrecht bei Akten über die Sicherheitsüberprüfung (Abs. 2 Satz 4) 10 Eingeschränkt wird die Kontrollbefugnis des BfDI hinsichtlich personenbezogener Daten, die sich in Akten über die Sicherheitsüberprü1 2 3 4
Taeger/Gabel/Grittmann, § 24 BDSG Rz. 14. Siehe ausführlich Simitis/Dammann, § 24 Rz. 20. Taeger/Gabel/Grittmann, § 24 BDSG Rz. 16. Gola/Schomerus, § 24 BDSG Rz. 9; Simitis/Dammann, § 24 BDSG Rz. 22.
520 Hullen
Kontrolle durch den Bundesbeauftragten
§ 24 BDSG
fung nach dem Sicherheitsüberprüfungsgesetzes (SÜG) befinden. Sie betreffen die Überprüfung einer Person, die mit sicherheitsempfindlichen Tätigkeiten, die in der Regel Zugang zu vertraulichen Verschlusssachen beinhalten (§ 1 Abs. 2), betraut wird. Der Betroffene kann in den Fällen des Satzes 4 einer Kontrolle der ihn betreffenden personenbezogenen Daten widersprechen. Die Ausnahmeregelung rechtfertigt sich aus dem Inhalt der Überprüfungsakten der jeweiligen Person. Diese enthalten u.U. Stellungnahmen über die persönliche Integrität des Betroffenen und können ein umfassendes Persönlichkeitsprofil über den Betroffenen eröffnen1. Bei einem Widerspruch, der dem BfDI gegenüber erklärt werden muss2, überwiegt daher das Geheimhaltungsinteresse des Betroffenen das öffentliche Interesse an einer Kontrolle durch den BfDI3. Nach Abs. 6 ist die Regelung des Abs. 2 entsprechend anwendbar für öffentliche Stellen, die in den Ländern für die Kontrolle der Einhaltung des Datenschutzes zuständig sind4.
11
IV. Kontrolle der Gerichte (Abs. 3) Eine weitere Ausnahme von den umfangreichen Kontrollbefugnissen 12 des BfDI ist in Abs. 3 für den Bereich der Judikative festgeschrieben. Die Ausnahme ist auf die in Art. 97 GG festgeschriebene richterliche Unabhängigkeit zurückzuführen5. Der Kontrolle unterfällt hingegen der gesamte Bereich der Justizverwaltungsangelegenheiten, d.h. die Eigenverwaltung der Gerichte (wie z.B. im Bereich der Personalverwaltung oder Mittelbeschaffung, Justizverwaltungsakte nach § 23 EGGVG). Dies gilt auch für Tätigkeiten der Geschäftsstellen, von Rechtspflegern und der Registerführung6. Alle Daten, die in Bezug zu Rechtsfindung und Rechtsspruch sowie zu den diesbezüglichen Vorbereitungs- und Durchführung stehen, gehören zum Kernbereich der richterlichen Unabhängigkeit und entziehen sich der Kontrolle durch den BfDI7.
1 So auch Bergmann/Möhrle/Herb, § 24 BDSG Rz. 20; Simitis/Dammann, § 24 BDSG Rz. 25. 2 Siehe hierzu auch Weichert, CR 1994, 180. 3 So auch Gola/Schomerus, § 24 BDSG Rz. 10. 4 Siehe hierzu Taeger/Gabel/Grittmann, § 24 BDSG Rz. 25. 5 Ausführlich Gola/Schomerus, § 24 BDSG Rz. 11. 6 Däubler/Klebe/Wedde/Weichert/Weichert, § 24 Rz. 8. 7 Gola/Schomerus, § 24 BDSG Rz. 11.
Hullen 521
BDSG § 24
Datenverarbeitung der öffentlichen Stellen
V. Unterstützung (Abs. 4) 13 Zur effektiven Wahrnehmung seiner Kontrollaufgaben ist der BfDI auf die Unterstützung der zu kontrollierenden Stelle angewiesen. Um im Bedarfsfall relevante Informationen auch bei fehlendem Mitwirkungswillen erhalten zu können, verpflichtet Abs. 4 die Stellen insbesondere, Unterlagen offenzulegen und dem BfDI Zutritt zu allen Diensträumen zu gewähren (Satz 2). Die Pflichten des Abs. 4 bestehen auch gegenüber Mitarbeitern und Beauftragten des BfDI1. 14 Die Pflicht beschränkt sich hierbei nicht nur auf die Überlassung von Unterlagen. Vielmehr hat die zu leistende Unterstützung aktiv und umfassend zu erfolgen. Dies gilt insbesondere vor dem Hintergrund, dass Daten nicht ohne weitere Hilfe (z.B. papierbasiert in Akten) einsehbar, sondern in mitunter hochkomplexen technischen Systemen gespeichert sind, die sich ohne entsprechende Mitwirkung nicht kontrollieren lassen2. Satz 2 führt daher nur die wichtigsten Unterstützungshandlungen beispielhaft auf. Die Unterstützung hat vollumfänglich und ohne schuldhaftes Zögern zu erfolgen3. Unregelmäßigkeiten bei der Pflichterfüllung durch die zu kontrollierende Stelle können nach § 25 beanstandet werden. 15 Eine Einschränkung der Unterstützung enthalten Satz 3 und 4 für den Fall der Kontrolle von Sicherheitsbehörden. Hier ist die Kontrolle ausschließlich vom BfDI persönlich oder von schriftlich Beauftragten durchzuführen. Im Einzelfall können selbst dem BfDI und den Beauftragten i.S.v. Satz 3 Auskünfte verwehrt werden, wenn hierdurch die Sicherheit des Bundes oder eines Landes gefährdet ist. Eine Versagung wird jedoch nur ausnahmsweise in Extremfällen denkbar sein4, da der BfDI bzw. dessen Mitarbeiter den gleichen Geheimhaltungsvorschriften unterworfen sind, wie die Mitarbeiter der Sicherheitsbehörde selbst5. VI. Mitteilungspflicht (Abs. 5) 16 Die Kontrollergebnisse sind der kontrollierten Stelle mitzuteilen (Satz 1). Die Mitteilung enthält nicht nur etwaig festgestellte Daten-
1 2 3 4 5
Siehe Simitis/Dammann, § 24 BDSG Rz. 38. Simitis/Dammann, § 24 BDSG Rz. 32. Däubler/Klebe/Wedde/Weichert/Weichert, § 24 BDSG Rz. 12. Siehe Simitis/Dammann, § 24 BDSG Rz. 39. So Däubler/Klebe/Wedde/Weichert/Weichert, § 24 Rz. 13.
522 Hullen
Beanstandungen durch den Bundesbeauftragten
§ 25 BDSG
schutzdefizite. Sie soll zudem auch Vorschläge zu deren Beseitigung sowie allgemeine Hinweise zur Anhebung des Datenschutzniveaus umfassen (Satz 2). Ziel der Mitteilung ist die Steigerung der Sensibilität gegenüber Belangen des Datenschutzes und eine konstruktive Kritik, die zu zu einer Verbesserung des Status Quo führt1. Der BfDI wird dabei vom gesetzgeberischen Leitbild als „Partner der öffentlichen Verwaltung“2 verstanden, der (auch) eine beratende Funktion übernimmt. Satz 3 stellt jedoch klar, dass es dem BfDI unbenommen bleibt, neben der Mitteilung nach Abs. 5 auch eine Beanstandung i.S.v. § 25 (siehe dort Rz. 2) auszusprechen. Beanstandungen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (1) 1Stellt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten fest, so beanstandet er dies 1. bei der Bundesverwaltung gegenüber der zuständigen obersten Bundesbehörde, 2. beim Bundeseisenbahnvermögen gegenüber dem Präsidenten, 3. bei den aus dem Sondervermögen Deutsche Bundespost durch Gesetz hervorgegangenen Unternehmen, solange ihnen ein ausschließliches Recht nach dem Postgesetz zusteht, gegenüber deren Vorständen, 4. bei den bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie bei Vereinigungen solcher Körperschaften, Anstalten und Stiftungen gegenüber dem Vorstand oder dem sonst vertretungsberechtigten Organ und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf. 2In den Fällen von Satz 1 Nr. 4 unterrichtet der Bundesbeauftragte gleichzeitig die zuständige Aufsichtsbehörde.
25
(2) Der Bundesbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt.
1 Däubler/Klebe/Wedde/Weichert/Weichert, § 24 Rz. 14. 2 Taeger/Gabel/Grittmann, § 24 BDSG Rz. 24.
Hullen 523
BDSG § 25
Datenverarbeitung der öffentlichen Stellen
(3) 1Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandung des Bundesbeauftragten getroffen worden sind. 2Die in Absatz 1 Satz 1 Nr. 4 genannten Stellen leiten der zuständigen Aufsichtsbehörde gleichzeitig eine Abschrift ihrer Stellungnahme an den Bundesbeauftragten zu. I. Einführung . . . . . . . . . . . . . . . . II. 1. 2. 3. 4.
Verfahren (Abs. 1) . . . . . . . . . . Voraussetzungen . . . . . . . . . . . Ermessen . . . . . . . . . . . . . . . . . Adressaten . . . . . . . . . . . . . . . . Form und Inhalt. . . . . . . . . . . .
1
5. Wirkung . . . . . . . . . . . . . . . . . .
2 2 3 4 5
III. Beanstandungsverzicht (Abs. 2). . . . . . . . . . . . . . . . . . . .
8
IV. Stellungnahme (Abs. 3) . . . . . .
9
6
V. Streitigkeiten . . . . . . . . . . . . . . 11
Schrifttum: Siehe § 21.
I. Einführung 1 Der BfDI hat die Befugnis, datenschutzwidriges Verhalten und sonstige Mängel des Datenschutzes formell zu beanstanden und eine Stellungnahme hierüber zu verlangen, wodurch der betroffenen Stelle zugleich ein entsprechender Missstand mitgeteilt wird. Sie ist neben den weiteren Handlungsmöglichkeiten des BfDI1, insbesondere der Unterbreitung von Verbesserungsvorschlägen (§ 24 Abs. 5 Satz 2) sowie der Empfehlung und Beratung (§ 26 Abs. 3), ein wichtiges Mittel zur Gewährleistung der Einhaltung des Datenschutzes2. Weisungsbefugnisse oder Möglichkeiten zur Verbesserung datenschutzkritischer Abläufe durch eigenes Eingreifen stehen dem BfDI hingegen nicht zu3. Die Beanstandung entfaltet keine unmittelbare Rechtswirkung4 und kann somit auch nicht als Verwaltungsakt angesehen werden5. Die Möglichkeit der Beanstandung eines rechtswidrigen oder mangelhaften Datenschutzes entspricht den europarechtlichen Vorgaben des § 28 Abs. 3 EG-Datenschutzrichtlinie, der „wirksame Einwirkungsbefugnisse“ für die den Datenschutz kontrollierenden Stellen fordert6.
1 Eine Übersicht zu den Aufgaben des BfDI findet sich bei Simitis/Dammann, § 24 BDSG Rz. 4. 2 Taeger/Gabel/Grittmann, § 25 BDSG Rz. 1. 3 Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 57; Schaffland/Wiltfang, § 25 BDSG Rz. 1. 4 Simitis/Dammann, § 25 BDSG Rz. 2. 5 Vgl. BVerwG v. 5.2.1992 – 7 B 15/92, CR 1993, 242. 6 Siehe hierzu Weber, CR 1995, 298.
524 Hullen
Beanstandungen durch den Bundesbeauftragten
§ 25 BDSG
II. Verfahren (Abs. 1) 1. Voraussetzungen Voraussetzung einer Beanstandung durch den BfDI ist die Feststellung 2 eines Verstoßes gegen eine Vorschrift des Datenschutzes1. Ein weiterer Beanstandungsgrund sind sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten. Gleiches gilt für Mängel bei der Datenerhebung, die lediglich aufgrund eines Redaktionsversehens nicht als Anlass einer Beschwerde in Abs. 1 Satz 1 aufgeführt sind2. Unter sonstigen Mängeln sind solche Zustände und Abläufe zu verstehen, die zwar nicht eindeutig rechtswidrig, aber trotzdem verbesserungsbedürftig in Hinblick auf ein hohes Datenschutzniveau und den Schutz des allgemeinen Persönlichkeitsrechts der Betroffenen sind. Hierbei ist unerheblich, ob der Verstoß bzw. Mangel vorsätzlich oder fahrlässig herbeigeführt wurde oder ein Verschulden nicht festzustellen ist3. Rechtsverletzungen und Mängel, die keine Datenschutzrelevanz aufweisen, wie z.B. ineffiziente Arbeitsabläufe, können hingegen nicht vom BfDI beanstandet werden4. 2. Ermessen Nach Feststellung eines Datenschutzverstoßes oder -mangels ist der BfDI berechtigt und verpflichtet, Maßnahmen zur Beseitigung des Defizits zu veranlassen. Die Ausnahmeregelung des Abs. 2 schafft jedoch einen breiten Ermessensspielraum5, innerhalb dessen von einer förmlichen Beanstandung, die vom Adressaten oftmals als schwerwiegende Maßnahme empfunden wird6, abgesehen werden kann. Dies wird insbesondere dann sinnvoll sein, wenn die betroffene Stelle bereits Maßnahmen zur Beseitigung des Mangels getroffen hat oder ein fruchtbarer Dialog im Rahmen einer Empfehlung bzw. Beratung durch BfDI schneller und effektiver zur Verbesserung des Datenschutzes führt als eine for-
1 Roßnagel/Heil, Handbuch Datenschutzrecht, Teil 5.1 Rz. 56. 2 So auch die Beschlussempfehlung des Innenausschusses, BT-Drucks. 11/7235, S. 102; Gola/Schomerus, § 25 BDSG Rz. 2; Taeger/Gabel/Grittmann, § 25 BDSG Rz. 3. 3 Däubler/Klebe/Wedde/Weichert/Weichert, § 25 BDSG Rz. 2. 4 Taeger/Gabel/Grittmann, § 25 BDSG Rz. 3; Simitis/Dammann, § 25 BDSG Rz. 4. 5 Däubler/Klebe/Wedde/Weichert/Weichert, § 25 BDSG Rz. 2. 6 Simitis/Dammann, § 25 BDSG Rz. 7.
Hullen 525
3
BDSG § 25
Datenverarbeitung der öffentlichen Stellen
melle Beanstandung. Obwohl eine Beanstandung nicht immer als erster Schritt zur Veranlassung der Beseitigung eines Datenschutzmangels erforderlich ist, sieht das Gesetz kein abgestuftes System von Maßnahmen vor. Der BfDI ist prinzipiell nicht verpflichtet, vor einer formellen Beanstandung sein übriges Handlungsinstrumentarium auszuschöpfen. Vielmehr kann er sogleich nach der Feststellung eines Datenschutzmangels von seinem Recht aus Abs. 1 Gebrauch machen1. Dies wird insbesondere bei schwerwiegenden Mängeln oder fehlender Kooperationsbereitschaft der verantwortlichen Stelle angezeigt sein. 3. Adressaten 4 Die Beanstandung datenschutzrelevanter Mängel erfolgt gegenüber der jeweils zuständigen weisungsberechtigten Stelle, da nur diese, z.B. durch Ausübung der Fach- oder Rechtsaufsicht, für Abhilfe sorgen kann2. Bei Beanstandungen von Datenschutzverstößen oder -mängeln in der Bundesverwaltung (Satz 1 Nr. 1) sind die obersten Bundesbehörden, in den meisten Fällen also die jeweiligen Bundesministerien, Adressaten der Beanstandung des BfDI. In den übrigen Fällen des Satzes 1 sind dies die obersten weisungsberechtigten Organe der in Nr. 2 bis 4 aufgezählten Stellen3. Bei Beanstandungen gegenüber bundesunmittelbaren Körperschaften, Anstalten oder Stiftungen (Satz 1 Nr. 4) ist gemäß Satz 2 zusätzlich die zuständige Aufsichtsbehörde zu unterrichten, die ebenfalls Gelegenheit zur Prüfung der Beanstandung und zur Einleitung von Maßnahmen zur Abhilfe des Mangels erhalten soll. 4. Form und Inhalt 5 Die Beanstandung ist an sich formfrei, da § 25 insofern keine Regelung enthält. Zweckmäßigerweise wird eine solche jedoch – ggf. nach einer vorab erfolgten mündlichen Beanstandung – in Textform erfolgen. Sie enthält die Darstellung der Sachlage, auf der der Datenschutzverstoß oder der sonstige Mangel beruht, sowie die rechtliche Einschätzung des beanstandeten Vorgangs oder einer Erläuterung, worin der sonstige Mangel (siehe Rz. 2) gesehen wird. Zudem fordert der BfDI zur Abgabe einer 1 So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 25 BDSG Rz. 2; Simitis/ Dammann, § 25 BDSG Rz. 8; a.A. Gola/Schomerus, § 25 BDSG Rz. 6, die die Beanstandung als „ultima ratio“ bezeichnen; ausdrücklich auch Roßnagel/ Heil, Handbuch Datenschutzrecht, Kap. 5.1 Rz. 56. 2 Vgl. Gola/Schomerus, § 25 BDSG Rz. 4. 3 Ausführlich Bergmann/Möhrle/Herb, § 25 BDSG Rz. 9.
526 Hullen
Beanstandungen durch den Bundesbeauftragten
§ 25 BDSG
Stellungnahme (siehe Rz. 6, 9) innerhalb einer von ihm bestimmten Frist auf. 5. Wirkung Die Beanstandung löst die Pflicht zur Abgabe einer Stellungnahme des 6 Beanstandungsadressaten aus. Eine unmittelbar durchsetzbare Abhilfepflicht folgt aus der Beanstandung jedoch nicht. Ihr kommt auch keine aufschiebende Wirkung zu1. Die betroffene Stelle ist also nicht daran gehindert, das beanstandete Verhalten beizubehalten oder zu wiederholen. Der Adressat der Beanstandung ist jedoch im Rahmen des Grundsatzes des Vorrangs des Gesetzes (Art. 20 Abs. 3 GG) zur Herstellung eines rechtmäßigen Zustandes verpflichtet2. Da auch die Pflicht zur Stellungnahme nicht durch den BfDI erzwingbar ist3, handelt es sich bei der Beanstandung um eine reine Meinungsäußerung im Sinne einer formellen Rüge4. Dem BfDI bleibt als wirksames Mittel5 jedoch die konkrete Benennung der Mängel in den Tätigkeitsbericht (§ 26 Abs. 1), der aufgrund seiner hohen Beachtung in Bundestag und Öffentlichkeit zumindest einen entsprechenden Rechtfertigungsdruck bewirkt. Eine Pflicht zur Unterrichtung der Betroffenen über die beanstandeten 7 Mängel sieht das Gesetz nicht vor. Dem BfDI steht bei der Unterrichtung des Betroffenen ein Ermessen zu6. Grundsätzlich ist jedoch von einer Unterrichtungspflicht auszugehen, wenn keine überwiegenden Interessen der betroffenen Stellen das Informationsinteresse überwiegen. Von einem besonders hohen Interesse des Betroffenen an einer Unterrichtung ist regelmäßig dann auszugehen, wenn sein Hinweis an den BfDI zu der Beanstandung geführt hat (vgl. § 21 Rz. 2), er Schadenersatzansprüche geltend machen oder Strafantrag stellen kann. Eine Unterrichtung ist insbesondere dann geboten, wenn der Betroffene auf anderem Wege keine Informationen über die beanstandeten Mängel, die
1 Simitis/Dammann, § 25 BDSG Rz. 11. 2 So auch Roßnagel/Heil, Handbuch Datenschutzrecht, Kap. 5.1 Rz. 57. 3 Siehe Schaffland/Wiltfang, § 25 BDSG Rz. 6; Simitis/Dammann, § 25 BDSG Rz. 21. 4 So Bergmann/Möhrle/Herb, § 25 BDSG Rz. 26. 5 So Taeger/Gabel/Grittmann, § 25 BDSG Rz. 16. 6 Simitis/Dammann, § 25 BDSG Rz. 18 mit Verweis auf die Parallelnormen in Landesdatenschutzgesetzen, die einen solchen Ermessensspielraum ausdrücklich einräumen.
Hullen 527
BDSG § 25
Datenverarbeitung der öffentlichen Stellen
einen rechtswidrigen Eingriff sein Persönlichkeitsrecht bewirken, einholen kann1. III. Beanstandungsverzicht (Abs. 2) 8 Im Übrigen nennt die Ausnahmeregelung des Abs. 2 beispielhaft zwei Fälle, in denen von einer Beanstandung absehen oder auf eine Stellungnahme verzichtet werden kann. Darüber hinaus steht es im Ermessen des BfDI, ob er auf eine Beanstandung verzichtet. Ein Verzicht wird jedoch nur dann in Betracht kommen, wenn die Gewährleistung des Datenschutzes auf andere Weise sichergestellt ist2. Dies kann z.B. dann der Fall sein, wenn sich die verantwortliche Stelle von sich aus an den BfDI mit der Bitte um Beratung wendet oder wenn Maßnahmen zur Beseitigung des Mangels bereits getroffen sind, auch wenn dieser noch nicht vollkommen beseitigt ist3. IV. Stellungnahme (Abs. 3) 9 Die Stellungnahme wird von dem Adressaten der Beanstandung (siehe Rz. 4) unter Mitwirkung der betroffenen Stelle innerhalb der vom BfDI gesetzten Frist abgegeben4. Sie muss erkennen lassen, in welchem Umfang der beanstandete Mangel anerkannt bzw. warum die Beanstandung als gegenstandslos betrachtet wird. Hierbei sind sowohl tatsächliche als auch rechtliche Umstände aufzuführen, die der Bewertung der Beanstandung zugrunde liegen5. Die Stellungnahme enthält weiterhin Aussagen über geplante bzw. eingeleitete Gegenmaßnahmen (Satz 1) und bereits beseitigte Mängel, falls sich die betroffene Stelle der Beanstandung anschließt. Die in Abs. 1 Satz 1 Nr. 4 genannten Stellen leiten eine Abschrift der Stellungnahme der zuständigen Aufsichtsbehörde zu, damit diese ggf. im Rahmen der Rechtsaufsicht eingreifen und so die bestehenden Datenschutzdefizite beseitigen kann. 10 Im Falle einer ablehnenden Stellungnahme und ausbleibender Abhilfe verbleibt dem BfDI, die Bundesregierung über die Missstände zu infor-
1 2 3 4
Zutreffend Taeger/Gabel/Grittmann, § 25 BDSG Rz. 6. Taeger/Gabel/Grittmann, § 25 BDSG Rz. 11. Vgl. Simitis/Dammann, § 25 BDSG Rz. 7. Siehe Bergmann/Möhrle/Herb, § 25 BDSG Rz. 27; Taeger/Gabel/Grittmann, § 25 BDSG Rz. 13. 5 Gola/Schomerus, § 25 BDSG Rz. 7.
528 Hullen
Weitere Aufgaben des Bundesbeauftragten
§ 26 BDSG
mieren (§ 26 Abs. 3) und den Bundestag, insbesondere im Rahmen seiner Tätigkeitsberichte1, zu unterrichten (§ 26 Abs. 1). V. Streitigkeiten Streitigkeiten im Zusammenhang mit einer Beanstandung fallen in die Zuständigkeit der Verwaltungsgerichte2. Da die Beanstandung keinen Regelungscharakter aufweist und eine sonstige Rechtsbeeinträchtigung regelmäßig nicht in Betracht kommt, mangelt es jedoch an einer entsprechenden Klagebefugnis3. Dies gilt auch für ein Vorgehen gegen die Aufforderung zur fristgerechten Stellungnahme (Abs. 1 Satz 1). Da die Stellungnahme nicht durch den BfDI erzwungen werden kann (siehe Rz. 6), fehlt es auch hier am notwendigen Rechtsschutzbedürfnis. Klagen des BfDI auf Abgabe einer Stellungnahme oder auf Durchführung einer Maßnahme zur Wiederherstellung bzw. Stärkung des Datenschutzes sind unzulässig, da die Verfahrensregelungen des BDSG insoweit abschließend sind und ein Vorgehen im Klageweg gerade nicht vorsehen4. Weitere Aufgaben des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (1) 1Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erstattet dem Deutschen Bundestag alle zwei Jahre einen Tätigkeitsbericht. 2Er unterrichtet den Deutschen Bundestag und die Öffentlichkeit über wesentliche Entwicklungen des Datenschutzes.
26
(2) 1Auf Anforderung des Deutschen Bundestages oder der Bundesregierung hat der Bundesbeauftragte Gutachten zu erstellen und Berichte zu erstatten. 2Auf Ersuchen des Deutschen Bundestages, des Petitionsausschusses, des Innenausschusses oder der Bundesregierung geht der Bundesbeauftragte ferner Hinweisen auf Angelegenheiten und Vorgänge des Datenschutzes bei den öffentlichen Stellen des Bundes nach. 3Der Bundesbeauftragte kann sich jederzeit an den Deutschen Bundestag wenden. (3) 1Der Bundesbeauftragte kann der Bundesregierung und den in § 12 Abs. 1 genannten Stellen des Bundes Empfehlungen zur Verbesserung 1 Zur derzeit aktuellen Übersicht über Beanstandungen nach § 25 BDSG siehe z.B. BfDI, 23. Tätigkeitsbericht, S. 161 (Anlage 3). 2 Simitis/Dammann, § 25 BDSG Rz. 19. 3 Siehe BVerwG v. 5.2.1992 – 7 B 15/92, CR 1993, 242. 4 Siehe Simitis/Dammann, § 25 BDSG Rz. 21.
Hullen 529
11
BDSG § 26
Datenverarbeitung der öffentlichen Stellen
des Datenschutzes geben und sie in Fragen des Datenschutzes beraten. 2Die in § 25 Abs. 1 Nr. 1 bis 4 genannten Stellen sind durch den Bundesbeauftragten zu unterrichten, wenn die Empfehlung oder Beratung sie nicht unmittelbar betrifft. (4) 1Der Bundesbeauftragte wirkt auf die Zusammenarbeit mit den öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind, sowie mit den Aufsichtsbehörden nach § 38 hin. 2§ 38 Abs. 1 Satz 4 und 5 gilt entsprechend. I. Einführung . . . . . . . . . . . . . . . .
1
II. Tätigkeitsbericht und Unterrichtung (Abs. 1) . . . . . . . . . . .
3
III. Gutachten, Berichterstattung, Untersuchungen (Abs. 2) . . . . . . . . . . . . . . . . . . .
6
IV. Empfehlungen und Beratung (Abs. 3). . . . . . . . . . . . . . . . . . . .
9
V. Zusammenarbeit der Datenschutzstellen (Abs. 4) . . . . . . . 13
Schrifttum: Siehe § 21.
I. Einführung 1 Neben der Bearbeitung von Eingaben (§ 21), der Kontrolle des Datenschutzes öffentlicher Stellen des Bundes (§ 24) und der Möglichkeit der förmlichen Beanstandung von Datenschutzdefiziten (§ 25) statuiert § 26 weitere wesentliche Aufgaben des BfDI, nämlich die Erstattung des Tätigkeitsberichts (Abs. 1) sowie von Gutachten und Berichten (Abs. 2) und die Beratung öffentlicher Stellen des Bundes in Fragen des Datenschutzes (Abs. 3). Abs. 4 regelt die Koordinierung der Tätigkeit des BfDI mit den übrigen für den Datenschutz zuständigen Stellen des öffentlichen und nicht-öffentlichen Bereichs. 2 Insbesondere Begutachtung und Beratung durch den BfDI sind Teil eines präventiven Datenschutzes, der über Gefahren, problematische Entwicklungen und eine entsprechende datenschutzgerechte Ausgestaltung von Abläufen und Verfahren aufklärt, bevor es zu einem Verstoß gegen Datenschutzregelungen kommt. Gleiches gilt für die Erstellung des Tätigkeitsberichts, der jedoch nur teilweise dem präventiven Wirken des BfDI zuzuordnen ist, da hier bereits begangene Datenschutzverstöße und Beanstandungen i.S.d. § 25 benannt werden. § 26 setzt dabei die Anforderungen von Art. 28 Abs. 5 (Berichterstattung) und Abs. 6 (Zusam-
530 Hullen
Weitere Aufgaben des Bundesbeauftragten
§ 26 BDSG
menarbeit der Kontrollstellen) EG-Datenschutzrichtlinie in nationales Recht um. II. Tätigkeitsbericht und Unterrichtung (Abs. 1) Der BfDI ist berechtigt und verpflichtet, dem Bundestag einen Tätig- 3 keitsbericht zu übermitteln, der jedoch gleichermaßen der Information von Öffentlichkeit, weiteren politisch Beteiligten, Betroffenen und verantwortlichen Stellen (auch des nicht-öffentlichen Bereichs) dient1. Durch das BDSG 2001 wurde der Berichtszeitraum auf zwei Jahre ausgedehnt, da sich in der Parlamentspraxis herausstellte, dass über die zwei letzten, bis dahin jährlich vom BfDI vorgelegten Tätigkeitsberichte zusammen beraten wurde2. Der Tätigkeitsbericht wird sowohl als Bundestags-Drucksache als auch auf den Internetseiten des BfDI3 veröffentlicht. Die Bundesregierung und der Innenausschuss des Bundestages nehmen regelmäßig zu den wesentlichen Punkten des Tätigkeitsberichts Stellung, letzterer erteilt zudem entsprechende Beschlussempfehlungen für das weitere parlamentarische Vorgehen4. Auch außerhalb des Tätigkeitsberichts kann sich der BfDI jederzeit an den Bundestag wenden (Abs. 2 Satz 3). Ein eigenes Rederecht steht ihm nicht zu, jedoch kommt es regelmäßig zu Äußerungen in den zuständigen Ausschüssen des Parlaments5. Im Rahmen des Tätigkeitsberichts ist der BfDI in der inhaltlichen Ge- 4 staltung und Schwerpunktsetzung frei. Insbesondere ist er dabei nicht auf den Datenschutz im nicht-öffentlichen Bereich beschränkt6. Dies ging aus Abs. 1 Satz 2 der bis zum 22.5.2001 gültigen Gesetzesfassung ausdrücklich hervor, der die Darstellung der Entwicklung des Datenschutzes im nicht-öffentlichen Bereich ausdrücklich erwähnte. Die aktuelle Formulierung soll klarstellen, dass der BfDI auch außerhalb des Tätigkeitsberichts Parlament und Öffentlichkeit über Belange des Datenschutzes informieren kann7. Eine inhaltliche Einschränkung auf Themen des nicht-öffentlichen Bereichs ist hiermit nicht verbunden8. 1 So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 26 BDSG Rz. 2. 2 Bergmann/Möhrle/Herb, § 26 BDSG Rz. 4; kritische hierzu Däubler/Klebe/ Wedde/Weichert/Weichert, § 16 BDSG Rz. 3; zustimmend Gola/Schomerus, § 26 BDSG Rz. 3. 3 Abrufbar unter www.bfdi.bund.de. 4 Roßnagel/Heil, Handbuch Datenschutzrecht, Kap. 5.1 Rz. 65. 5 Gola/Schomerus, § 26 BDSG Rz. 6. 6 So u.a. auch Taeger/Gabel/Grittmann, § 26 BDSG Rz. 4. 7 Siehe BT-Drucks. 14/4329, S. 42. 8 So auch Simitis/Dammann, § 26 BDSG Rz. 5.
Hullen 531
BDSG § 26
Datenverarbeitung der öffentlichen Stellen
5 Vielmehr dient der Tätigkeitsbericht einer umfassenden Beschreibung der datenschutzrelevanten Entwicklungen im Berichtszeitraum, der Darstellung von Trends und aktuellen sowie zu erwartenden Problemen und der Präsentation der Ergebnisse seiner Arbeit sowie der aus seiner Sicht zu treffenden Folgemaßnahmen. So enthält der Tätigkeitsbericht regelmäßig u.a. einen Überblick zur Lage des Datenschutzes und zur Entwicklung des Datenschutzrechts sowie Ausführungen zum technologischen Datenschutz, zu Datenschutzfragen des Internets, der Inneren Sicherheit, der Verwaltung, des Rechtswesens, des Internets, des TK-Sektors, der Wirtschaft, des Gesundheits- und Verkehrswesen sowie zu Fragen des Mitarbeiterdatenschutzes, der internationalen Entwicklung des Datenschutzes und Dienststelleninternes. Die jeweilige Auswahl der im Einzelfall behandelten Themen wird dabei insbesondere von der technischen Entwicklung als auch von der Schwerpunktsetzung des jeweiligen Amtsträgers abhängen. III. Gutachten, Berichterstattung, Untersuchungen (Abs. 2) 6 Auf Verlangen des Bundestages oder der Bundesregierung erstellt der BfDI Gutachten und Berichte zu datenschutzrelevanten Sachverhalten und Rechtsfragen (Abs. 2 Satz 1). Hierdurch kann dessen Sachkunde und unabhängige Meinung bei der Steuerung und Kontrolle der Verwaltung sowie im Rahmen der Gesetzgebung berücksichtigt werden1. Ausschließlich Bundestag und Bundesregierung sind berechtigt, ein Gutachten oder einen Bericht anzufordern2. Hierfür bedarf es eines förmlichen Beschlusses, der mit einfacher Mehrheit gefasst werden kann. In der Praxis spielt dieses Vorgehen jedoch eine untergeordnete Rolle, zum einen, da der BfDI im großen Umfang proaktiv informatorisch tätig ist, zum anderen, da eine Empfehlung oder Beratung i.S.v. Abs. 3 (siehe Rz. 9) zumeist gleich effektiv, aber formal weniger aufwändig ist3. 7 Auf Veranlassung des Bundestages, des Petitionsausschusses, des Innenausschusses oder der Bundesregierung untersucht der BfDI Angelegenheiten und Vorgänge des Datenschutzes bei den öffentlichen Stellen des Bundes (Abs. 2 Satz 2). Besonders bedeutsam ist die Möglichkeit eines Kontrollauftrags durch den Innenausschuss, der federführend für allgemeine Angelegenheiten des Datenschutzes und andere datenschutz1 Roßnagel/Heil, Handbuch Datenschutzrecht, Kap. 5.1 Rz. 70. 2 Bergmann/Möhrle/Herb, § 26 BDSG Rz. 10; Gola/Schomerus, § 26 BDSG Rz. 4. 3 So Gola/Schomerus, § 26 BDSG Rz. 4.
532 Hullen
Weitere Aufgaben des Bundesbeauftragten
§ 26 BDSG
relevante Aufgaben wie die der inneren Sicherheit oder der Bundesverwaltung tätig ist. Die Zusammenarbeit mit dem Petitionsausschuss sichert nicht nur die Möglichkeit der Unterrichtung durch eine von der Bundesverwaltung unabhängige Instanz, sie stellt zugleich eine Informationsquelle des BfDI über an das Parlament gerichtete Bitten und Beschwerden der Bevölkerung dar1. Der BfDI kann sich jederzeit an den Bundestag wenden, was die 8 Wichtigkeit seiner Aufgabenerfüllung noch einmal unterstreicht2. Ein eigenes Rederecht im Plenum oder die Möglichkeit, Themen auf die Tagesordnung setzen zu können, wird ihm durch Satz 3 jedoch nicht eingeräumt3. IV. Empfehlungen und Beratung (Abs. 3) Empfehlungen und Beratung (Abs. 3 Satz 1) sind ein wichtiges Mittel 9 des BfDI zur Verbesserung des Datenschutzes bei den öffentlichen Stellen des Bundes. Durch die Zurverfügungstellung seines rechtlichen, technischen und organisatorischen Sachverstands wirkt der BfDI präventiv auf die Einhaltung des Datenschutzes hin, wobei eine beratende Tätigkeit auch bei bereits eingetretenen Datenschutzmängeln – ggf. auch nach Ausspruch einer Beanstandung (§ 25) – nicht ausgeschlossen ist. Zwischen öffentlich kritisierender und beratender Aufgabe besteht ein Spannungsverhältnis, wobei der BfDI zur Schaffung einer die Zusammenarbeit aller Beteiligten fördernden Vertrauensbasis regelmäßig zuerst das mildere Mittel der Beratung wählen wird4. Adressaten der Beratungstätigkeit sind sowohl die Bundesregierung, die verantwortlichen Stellen, als auch deren Aufsichtsbehörden und sonstige öffentliche Stellen i.S.d. § 12 Abs. 1. Auswahl, Umfang und Form der konkreten Beratungstätigkeit stehen dabei im Ermessen des BfDI5.
10
Eine formelles Beteiligungsverfahren, nach dem die Meinung des BfDI – 11 bspw. im Rahmen von Gesetzgebungsvorhaben – zwingend einzuholen wäre, besteht jedoch nicht (zur Zusammenarbeit mit den Bundesministerien vgl. jedoch § 21 GGO). Eine Pflicht zur Unterrichtung des BfDI 1 2 3 4 5
Simitis/Dammann, § 26 BDSG Rz. 16. Taeger/Gabel/Grittmann, § 26 BDSG Rz. 5. Däubler/Klebe/Wedde/Weichert/Weichert, § 26 BDSG Rz. 6. Simitis/Dammann, § 26 BDSG Rz. 18. Däubler/Klebe/Wedde/Weichert/Weichert, § 26 Rz. 7 f.; Taeger/Gabel/Grittmann, § 26 BDSG Rz. 6.
Hullen 533
BDSG § 26
Datenverarbeitung der öffentlichen Stellen
besteht neben der generellen Pflicht der öffentlichen Stellen zur Unterstützung des BfDI (§ 24 Abs. 1 Satz 1) nur bei Einrichtung automatisierter Abrufverfahren durch öffentliche Stellen (§ 10 Abs. 3)1. 12 Gemäß Abs. 3 Satz 2 ist bei Beratungstätigkeiten im nachgeordneten Bereich einer obersten Bundesbehörde oder einer sonstigen in § 25 Abs. 1 Satz 1 genannten obersten Dienstbehörde diese über die Beratung zu informieren. Hierdurch soll sichergestellt werden, dass auch auf dieser Ebene ein Austausch mit dem BfDI erfolgen und durch Wahrnehmung der Aufsichts- und Leitungspflichten ein datenschutzkonformer Zustand hergestellt werden kann. In welcher Form und in welchem Umfand die Unterrichtung erfolgt, steht im Ermessen des BfDI2. V. Zusammenarbeit der Datenschutzstellen (Abs. 4) 13 Dem BfDI kommt eine Koordinierungsfunktion im Sinne einer effektiven Zusammenarbeit mit den Landesdatenschutzbeauftragen und den Aufsichtsbehörden i.S.d. § 38 zu (Abs. 4 Satz 1). Hierdurch soll ein einheitlicher Datenschutz im öffentlichen und nicht-öffentlichen Bereich, sowohl auf Bundes-, als auch auf Landesebene als auch ein kontinuierlicher Erfahrungsaustausch gewährleistet werden3. 14 Die Zusammenarbeit von Bundes- und Landesbeauftragten erfolgt in der „Konferenz der Datenschutzbeauftragten des Bundes und der Länder“ (DSB-Konferenz), die seit 1978 zweimal jährlich unter wechselndem Vorsitz eines Datenschutzbeauftragten tagt. Die Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich kommen im sog. Düsseldorfer Kreis zusammen, der ebenfalls zwei Mal im Jahr tagt. Beide Gremien, die bei themenübergreifenden Fragestellungen auch gemeinsam beraten, sind in Arbeitskreise unterteilt und veröffentlichen ihre Ergebnisse in rechtlich nicht bindenden4 Entschließungen bzw. Beschlüssen, die u.a. auf den Internetseiten des BfDI veröffentlicht werden5. Auf europäischer Ebene arbeitet der BfDI mit den Kontrollstellen anderer europäischer Mitgliedsstaaten in der Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten zusammen (Artikel-29-Datenschutzgruppe, vgl. Art. 29 EU-DSRL), die regelmäßig Stel1 Ausführlich Simitis/Dammann, § 26 BDSG Rz. 21. 2 Taeger/Gabel/Grittmann, § 26 BDSG Rz. 7. 3 Siehe BT-Drucks. 7/1027, S. 20 und ausführlich Simitis/Dammann, § 26 BDSG Rz. 20. 4 Simitis/Dammann, § 26 BDSG Rz. 25. 5 Abrufbar unter www.bfdi.bund.de.
534 Hullen
Anwendungsbereich
§ 27 BDSG
lungnahmen zu Themen des Datenschutzes mit gesamteuropäischen Bezug herausgibt. Durch den Verweis in Abs. 4 Satz 2 auf § 38 Abs. 1 Satz 4 und 5 wird klargestellt, dass im Rahmen der Zusammenarbeit der Kontrollstellen personenbezogene Daten übermittelt werden können1 und Amtshilfe, auch innerhalb der Europäischen Union, geleistet wird.
Dritter Abschnitt Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen Erster Unterabschnitt Rechtsgrundlagen der Datenverarbeitung Anwendungsbereich (1) 1Die Vorschriften dieses Abschnittes finden Anwendung, soweit personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen verarbeitet, genutzt oder dafür erhoben werden oder die Daten in oder aus nicht automatisierten Dateien verarbeitet, genutzt oder dafür erhoben werden durch 1. nicht-öffentliche Stellen, 2. a) öffentliche Stellen des Bundes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, b) öffentliche Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist. 2Dies gilt nicht, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. 3In den Fällen der Nummer 2 Buchstabe a gelten anstelle des § 38 die §§ 18, 21 und 24 bis 26.
27
(2) Die Vorschriften dieses Abschnittes gelten nicht für die Verarbeitung und Nutzung personenbezogener Daten außerhalb von nicht automatisierten Dateien, soweit es sich nicht um personenbezogene Daten han-
1 Simitis/Dammann, § 26 BDSG Rz. 23.
Hullen/Plath 535
15
Anwendungsbereich
§ 27 BDSG
lungnahmen zu Themen des Datenschutzes mit gesamteuropäischen Bezug herausgibt. Durch den Verweis in Abs. 4 Satz 2 auf § 38 Abs. 1 Satz 4 und 5 wird klargestellt, dass im Rahmen der Zusammenarbeit der Kontrollstellen personenbezogene Daten übermittelt werden können1 und Amtshilfe, auch innerhalb der Europäischen Union, geleistet wird.
Dritter Abschnitt Datenverarbeitung nicht-öffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen Erster Unterabschnitt Rechtsgrundlagen der Datenverarbeitung Anwendungsbereich (1) 1Die Vorschriften dieses Abschnittes finden Anwendung, soweit personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen verarbeitet, genutzt oder dafür erhoben werden oder die Daten in oder aus nicht automatisierten Dateien verarbeitet, genutzt oder dafür erhoben werden durch 1. nicht-öffentliche Stellen, 2. a) öffentliche Stellen des Bundes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, b) öffentliche Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist. 2Dies gilt nicht, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. 3In den Fällen der Nummer 2 Buchstabe a gelten anstelle des § 38 die §§ 18, 21 und 24 bis 26.
27
(2) Die Vorschriften dieses Abschnittes gelten nicht für die Verarbeitung und Nutzung personenbezogener Daten außerhalb von nicht automatisierten Dateien, soweit es sich nicht um personenbezogene Daten han-
1 Simitis/Dammann, § 26 BDSG Rz. 23.
Hullen/Plath 535
15
BDSG § 27
Datenverarbeitung nicht-öffentlicher Stellen
delt, die offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind. I. Einführung . . . . . . . . . . . . . . . . II. Automatisierte oder dateigebundene Datenverwendung (Abs. 1 Satz 1, Abs. 2) . . 1. Automatisierte Datenverwendung . . . . . . . . . . . . . . . . . . 2. Dateigebundene Datenverwendung . . . . . . . . . . . . . . . III. Erweiterung des Anwendungsbereichs (Abs. 2) . . . . . .
1
3 5 7
IV. Adressatenkreis (Abs. 1 Satz 1) . . . . . . . . . . . . . . . . . . . . 1. Nicht-öffentliche Stellen (Abs. 1 Satz 1 Nr. 1) . . . . . . . . . 2. Öffentlich-rechtliche Wettbewerbsunternehmen (Abs. 1 Satz 1 Nr. 2) . . . . . . . . . . . . . . . 3. Ausnahme bei persönlicher oder familiärer Tätigkeit . . . . .
17 18
19 22
8
Schrifttum: Caspar, Geoinformationen und Datenschutz am Beispiel des Internetdienstes Google Street View, DÖV 2009, 965; Forgó/Krügel/Müllenbach, Zur datenschutz- und persönlichkeitsrechtlichen Zulässigkeit von Google Street View, CR 2010, 616; Zilkens, Datenschutz im nicht-öffentlichen (privaten) Bereich des kommunalen Umfelds, VR 2010, 253.
I. Einführung 1 § 27 normiert den Anwendungsbereich des gesamten Dritten Abschnitts des BDSG (§§ 27–38a), der die Datenverarbeitung durch nicht-öffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen regelt. Danach kommen die Vorschriften des Dritten Abschnitts immer dann zur Anwendung, wenn (i) Daten unter Einsatz von Datenverarbeitungsanlagen verwendet werden oder Daten in oder aus nicht automatisierten Dateien verwendet werden, (ii) die Daten durch nicht-öffentliche Stellen oder durch öffentlich-rechtliche Wettbewerbsunternehmen verwendet werden und (iii) die Datenverwendung nicht ausschließlich für familiäre oder persönliche Tätigkeiten erfolgt. Diese Voraussetzungen müssen kumulativ erfüllt sein. 2 § 27 wiederholt in weiten Teilen die Regelungen des § 1 Abs. 2, der den Geltungsbereich des BDSG bestimmt. Damit stellt sich die Frage nach dem tatsächlichen Aussagegehalt des § 27. Bezüglich der Voraussetzungen der automatisierten bzw. dateigebundenen Datenverarbeitung (Abs. 1 Satz 1) sowie des Ausschlusses familiärer und persönlicher Tätigkeiten (Abs. 2 Satz 2) ist § 27 im Verhältnis zu § 1 Abs. 2 tatsächlich redundant. Liegen diese Voraussetzungen nämlich nicht vor, so ist das BDSG gar nicht erst anwendbar, so dass sich die Frage nach der Geltung des Dritten Abschnitts überhaupt nicht stellt. Dementsprechend be536 Plath
Anwendungsbereich
§ 27 BDSG
steht der Aussagewert des § 27 maßgeblich in der Abgrenzung zwischen den Regelungen des Zweiten Abschnitts (§§ 12–26), der die Datenverwendung durch öffentliche Stellen regelt, und denen des Dritten Abschnitts (§§ 27–38a), der die Datenverwendung durch nicht-öffentliche Stellen regelt. II. Automatisierte oder dateigebundene Datenverwendung (Abs. 1 Satz 1, Abs. 2) Voraussetzung für die Anwendbarkeit des Dritten Abschnitts ist zunächst, dass die Erhebung, Verarbeitung oder Nutzung der Daten entweder automatisiert oder dateigebunden erfolgt.
3
Abs. 1 Satz 1 wiederholt diesbezüglich die Anforderungen, die das Ge- 4 setz in § 1 Abs. 2 Nr. 3 für die Anwendbarkeit des BDSG auf nicht-öffentliche Stellen normiert hat. Eine eigenständige Bedeutung kommt diesen Regelungen also nicht zu. 1. Automatisierte Datenverwendung Eine automatisierte Datenverwendung setzt nach der Legaldefinition 5 des § 3 Abs. 2 Satz 1 den Einsatz von Datenverarbeitungsanlagen, z.B. Computern, voraus1. Der Wortlaut des Abs. 1 Satz 1 unterscheidet zwischen den Verwendungs- 6 formen des Verarbeitens und Nutzens und der des Erhebens: während die ersten beiden Vorgänge tatsächlich unter Einsatz von Datenverarbeitungsanlagen erfolgen müssen, ist es ausreichend, wenn die Erhebung selbst nicht automatisiert, aber im Hinblick auf eine automatisierte Weiterverwendung der Daten erfolgt. Damit wird beispielsweise auch eine manuelle Datenerhebung vom BDSG erfasst, wenn die spätere Verarbeitung mit Hilfe einer Datenverarbeitungsanlage erfolgen soll. Als Faustformel gilt, dass der Dritte Abschnitt immer dann zur Anwendung kommen kann, wenn Daten mithilfe von Computern, elektronischen Datenträgern oder elektronischen Speichermedien verwendet werden2.
1 Vgl. auch die Kommentierung in § 3 Rz. 24. 2 Ebenso Bergmann/Möhrle/Herb, § 27 BDSG Rz. 14; zu der Frage, ob auch in der Ablichtung von Hausfassaden durch Google Street View eine „automatisierte Datenverarbeitung“ i.S.d. § 3 Abs. 2 Satz 1, § 27 BDSG zu sehen ist Forgó/Krügel/Müllenbach, CR 2010, 616, 618 sowie Caspar, DÖV 2009, 965 (966).
Plath 537
BDSG § 27
Datenverarbeitung nicht-öffentlicher Stellen
2. Dateigebundene Datenverwendung 7 Erfolgt die Datenverwendung nicht automatisiert, so müssen die Daten dateigebunden verwendet werden. Voraussetzung ist also zumindest ein mittelbarer Dateibezug, d.h. dass die Daten wenigstens in oder aus nicht automatisierten Dateien verwendet werden müssen1. Gemäß der Legaldefinition des § 3 Abs. 2 Satz 2 ist eine (nicht automatisierte) Datei „jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann“. Ein Beispiel für nicht automatisierte Dateien sind demnach insbesondere Karteikartensammlungen2. Der Anwendungsbereich dieser Norm ist in der Praxis relativ gering. III. Erweiterung des Anwendungsbereichs (Abs. 2) 8 Abs. 2 bestätigt im Umkehrschluss zunächst den in Abs. 1 Satz 1 normierten Grundsatz, dass die verarbeiteten oder genutzten Daten – soweit keine Datenverarbeitungsanlage zum Einsatz kommt – einen zumindest mittelbaren Dateibezug aufweisen müssen. Von diesem Grundsatz sieht Abs. 2 jedoch sogleich eine Ausnahme für den Fall vor, dass die verarbeiteten oder genutzten Daten zwar keinen Dateibezug vorweisen, jedoch offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind. Nach Abs. 2 gelten die Vorschriften des Dritten Abschnitts also auch für die Verarbeitung von Daten, die unmittelbar aus einer automatisierten Verarbeitung entnommen wurden. 9 Mit Blick auf die Regelung des Abs. 1 stellt sich damit allerdings die Frage, wie die Regelung des Abs. 2 im Hinblick auf ihr Verhältnis zur Grundregel des Abs. 1 bzw. des § 1 Abs. 2 Nr. 3 zu verstehen ist. Ein erster Ansatz wäre, § 1 als „Tor“ zum BDSG zu verstehen. Alle Vorgänge, welche die Kriterien dieser Regelung – die Abs. 1 Satz 1 und 2 wiederholt – nicht erfüllen, fallen gar nicht in den Anwendungsbereich des BDSG. Damit wäre der Anwendungsbereich des BDSG jedoch auch für diejenigen Vorgänge verschlossen, die durch Abs. 2 gerade dem Dritten Abschnitt zugeordnet werden sollen: Das BDSG findet nach dieser Auslegung – im Umkehrschluss aus § 1 Abs. 2 Nr. 3 – keine Anwendung auf die Verarbeitung von Daten, die unmittelbar aus einer automatisierten Verarbeitung entnommen wurden, so dass sich bei dieser Auslegung gar 1 Vgl. Däubler/Klebe/Wedde/Weichert/Wedde, § 27 BDSG Rz. 18. 2 Bergmann/Möhrle/Herb, § 27 BDSG Rz. 14; ausführlich zum Begriff der nichtautomatisierten Dateien siehe § 3 Rz. 25 ff.
538 Plath
Anwendungsbereich
§ 27 BDSG
nicht erst die Frage stellt, ob solche Vorgänge einer gesetzlichen Erlaubnis nach dem Dritten Abschnitt bedürfen. Bei diesem Verständnis von § 1 und Abs. 2 würde Abs. 2 jedoch in seiner Bedeutung leer laufen. Um der Norm eine eigenständige Bedeutung – und nicht zuletzt auch ei- 10 ne Daseinsberechtigung – zukommen zu lassen, liegt es daher nahe, Abs. 2 tatsächlich als Erweiterung des Anwendungsbereichs des BDSG anzusehen, soweit der Dritte Abschnitt betroffen ist. Es wäre jedoch absolut systemwidrig, an dieser Stelle eine Erweiterung des Anwendungsbereichs eines Gesetzes – wenn auch begrenzt auf den Dritten Abschnitt – zu verorten. Die Regelung des Abs. 2 hätte demzufolge in § 1 Abs. 2 Nr. 3 erfolgen müssen, der gerade definiert, welche Formen des Datenumgangs durch nicht-öffentliche Stellen in den Anwendungsbereich des BDSG gelangen. Damit bleibt als einzig sinnvolle Alternative für das Verständnis des Abs. 2, diese Norm als Auslegungsregelung anzusehen. Abs. 2 verdeutlicht demnach, dass auch die Verwendung von Daten, die unmittelbar aus einer automatisierten Verarbeitung entnommen wurden, auch als automatisierte bzw. dateigebundene Datenverarbeitung i.S.v. § 1 Abs. 2 Nr. 3 anzusehen ist.
11
Die Regelung soll Umgehungsmöglichkeiten vorbeugen, die dadurch 12 entstehen, dass eine nicht automatisierte bzw. dateiungebundene Datenverwendung durchgeführt wird, um eine Anwendbarkeit des Dritten Abschnitts zu verhindern. Damit fällt beispielsweise eine Praxis, bei der Daten vor ihrer Verwendung einzeln aus einer elektronischen Datei entnommen, kopiert oder ausgedruckt und in eine Akte übernommen werden, aufgrund der Regelung des Abs. 2 ebenfalls in den Anwendungsbereich des Dritten Abschnitts1. Stammen Daten offensichtlich aus einer elektronischen Verarbeitung, so sind auf die weitere Verwendung (nur) dieser Daten die Regelungen des Dritten Abschnitts anwendbar (vgl. Abs. 2 2. Halbs.).
13
Umstritten ist allerdings, wann eine Datenentnahme „offensichtlich“ 14 ist. Aufgrund dieses unbestimmten Rechtsbegriffs kommt es auf eine Auslegung des Einzelfalls an. Als Maßstab für die Offensichtlichkeit wird vertreten, dass die Datenentnahme aus einer automatisierten Datenverarbeitung für den aufmerksamen objektiven Betrachter ohne wei-
1 So i.E. Gola/Schomerus, § 27 BDSG Rz. 15.
Plath 539
BDSG § 27
Datenverarbeitung nicht-öffentlicher Stellen
teres erkennbar sein muss1. Darüber hinaus sind Indizien für eine „offensichtliche“ Entnahme beispielsweise ein unnatürliches Verhältnis von Datenmenge und Verarbeitungszeitraum oder eine Aufbereitungsmethode, die dafür spricht, dass Datenverarbeitungsanlagen zum Einsatz gekommen sind. Ebenso kann sich die Offensichtlichkeit aus dem graphischen bzw. optischen Erscheinungsbild der verwendeten Daten ergeben, z.B. wenn eindeutig Computerausdrucke oder -kopien verwendet werden2. Schließlich ist die elektronische Verarbeitung auch dann offensichtlich, wenn die verantwortliche Stelle die Herkunft der Daten und ihre Verarbeitungsweise kennen muss. So wird eine verantwortliche Stelle, die Daten bei der Schufa anfordert, davon ausgehen müssen, dass diese Daten einer automatischen Verarbeitung entstammen3. 15 Teilweise wird mit Hinweis auf die Umgehungsschutzfunktion der Norm die Ansicht vertreten, dass Abs. 2 restriktiv auszulegen sei. Noch weitergehend wird vertreten, dass nur die Verwendung solcher Daten in den Anwendungsbereich des Dritten Abschnitts fallen soll, die der automatisierten Verarbeitung unmittelbar durch die verantwortliche Stelle selbst, und nicht etwa durch Dritte, entnommen wurden4. Für eine restriktive Ansicht spricht in der Tat, dass die verantwortliche Stelle die Herkunft von Daten, die ihr zuvor von einem Dritten übermittelt wurden, nicht immer nachvollziehen kann. Soweit es nicht aufgrund der oben genannten Indizien eindeutig ist, dass die Daten aus einer automatisierten Verarbeitung entnommen wurden, kann die verantwortliche Stelle diese Daten nutzen, ohne auf die Erlaubnistatbestände des Dritten Abschnitts angewiesen zu sein. Damit kommt Abs. 2 immer dann zur Anwendung, wenn die verantwortliche Stelle die Herkunft der Daten kennt, weil sie sie z.B. selbst aus eigenen automatisierten Dateien entnommen hat oder auf eigene Initiative von einer Stelle, die bekanntermaßen Daten automatisiert verarbeitet, abgerufen hat5. Allerdings wäre eine Beschränkung des Anwendungsbereichs des Abs. 2 auf die Entnahme von Daten durch die verantwortliche Stelle selbst wiederum zu weitreichend, da in diesen Fällen ebendiese Entnahme nicht nur „offensichtlich“, sondern positiv bekannt ist. 1 Schaffland/Wiltfang, § 27 BDSG Rz. 51; Bergmann/Möhrle/Herb, § 27 BDSG Rz. 18; Simitis/Simitis, § 27 BDSG Rz. 32. 2 Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 27 BDSG Rz. 21. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 27 BDSG Rz. 21; Taeger/Gabel/ Buchner, § 17 BDSG Rz. 16; Simitis/Simitis, § 27 BDSG Rz. 34. 4 Schaffland/Wiltfang, § 27 BDSG Rz. 51; Gola/Schomerus, § 27 BDSG Rz. 16; Bergmann/Möhrle/Herb, § 27 BDSG Rz. 20. 5 Ebenso Gola/Schomerus, § 27 BDSG Rz. 16.
540 Plath
Anwendungsbereich
§ 27 BDSG
Gegen die restriktive Auslegung des Abs. 2 wird indes eingewandt, dass 16 die Norm primär dem Schutz der informationellen Selbstbestimmung des Betroffenen diene und demzufolge eher eine weite als eine restriktive Auslegung angebracht sei1. Dieser Auffassung ist jedoch zu widersprechen: Zutreffend ist, dass das gesamte BDSG – und damit auch § 27 – dem Schutz der informationellen Selbstbestimmung dient. Abs. 2 ist damit zwar vor dem Hintergrund dieses Schutzes zu sehen, bleibt jedoch in erster Linie eine Ausnahmevorschrift zu Abs. 1 und ist demzufolge restriktiv auszulegen. Da in der Praxis die automatisierte Verarbeitung inzwischen den absoluten Regelfall darstellt, sind die Auswirkungen dieses Meinungsstreits allerdings von begrenzter Bedeutung. IV. Adressatenkreis (Abs. 1 Satz 1) Auf eine automatisierte oder dateigebundene Datenverwendung ist der Dritte Abschnitt des BDSG nur dann anwendbar, wenn sie durch eine nicht-öffentliche Stelle oder ein öffentlich-rechtliches Wettbewerbsunternehmen erfolgt. Ist dies nicht der Fall, so richtet sich die Zulässigkeit des Datenumgangs – soweit der Anwendungsbereich des BDSG nach § 1 überhaupt eröffnet ist – nach den Regelungen des Zweiten Abschnitts (§§ 12–26).
17
1. Nicht-öffentliche Stellen (Abs. 1 Satz 1 Nr. 1) Der Begriff der nicht-öffentlichen Stelle ist in § 2 Abs. 4 legaldefiniert 18 und umfasst grundsätzlich alle natürlichen (z.B. Ärzte, Anwälte, Handwerker, Therapeuten usw.) und juristischen Personen (z.B. Stiftungen), Gesellschaften (z.B. GmbHs, AGs, KGs) und andere Personenvereinigungen (z.B. Vereine) des privaten Rechts2. Konzerne, die aus einzelnen Unternehmen bestehen, gelten nicht als einheitliche verantwortliche Stelle, das BDSG kennt insofern keinen sog. „Konzernprivileg“. Ebenso wenig werden einzelne Abteilungen, unselbständige Zweigstellen oder der Betriebsrat als eigenständige verantwortliche Stelle betrachtet3. Zu beachten ist schließlich, dass nicht-öffentliche Stellen, die hoheitliche Aufgaben wahrnehmen (sog. Beliehene), gemäß § 2 Abs. 4 Satz 2 als öffentliche Stellen gelten und dementsprechend – zumindest soweit sich hoheitlich handeln – nicht in den Anwendungsbereich des Dritten Ab1 So z.B. Däubler/Klebe/Wedde/Weichert/Wedde, § 27 BDSG Rz. 22; Taeger/Gabel/Buchner, § 27 BDSG Rz. 17; Simitis/Simitis, § 27 BDSG Rz. 31. 2 Ausführlich hierzu § 2 Rz. 15. 3 Schaffland/Wiltfang, § 27 BDSG Rz. 23; Simitis/Simitis, § 27 BDSG Rz. 5.
Plath 541
BDSG § 27
Datenverarbeitung nicht-öffentlicher Stellen
schnitts fallen1. Dagegen gelten Unternehmen auch dann als nicht-öffentliche Stellen, wenn die öffentliche Hand die Mehrheit der Gesellschaftsanteile besitzt2. 2. Öffentlich-rechtliche Wettbewerbsunternehmen (Abs. 1 Satz 1 Nr. 2) 19 Den nicht-öffentlichen Stellen gleichgestellt sind auch öffentliche Stellen, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen3. Durch diese Angleichung soll verhindert werden, dass der Wettbewerb zugunsten öffentlich-rechtlicher Unternehmen verzerrt wird. Voraussetzung für eine Anwendbarkeit des Dritten Abschnitts ist demnach, dass die nicht-öffentliche Stelle im Wettbewerb tätig wird, also Leistungen anbietet, die auch von anderen (privaten) Stellen angeboten werden können, und keine Monopolstellung einnimmt. Die Rechtsform des öffentlich-rechtlichen Unternehmens und der Unternehmensgegenstand sind unerheblich4. Erforderlich ist eine gewisse Regelmäßigkeit der Teilnahme am Wettbewerb5. Dabei ist es unerheblich, ob die Stelle mit Gewinnerzielungsabsicht tätig wird6. Beschränkt sich die Tätigkeit als Wettbewerbsunternehmen auf bestimmte Tätigkeitsbereiche einer verantwortlichen Stelle, so ist der Dritte Abschnitt auch nur auf die Datenverwendung innerhalb dieser Bereiche anwendbar7. 20 Abs. 1 Satz 1 Nr. 2 unterscheidet zwischen (i) öffentlichen Stellen des Bundes (Nr. 2a) und (ii) öffentlichen Stellen der Länder (Nr. 2b). Soweit öffentliche Stellen des Bundes am Wettbewerb teilnehmen, richtet sich die Zulässigkeit des Datenumgangs nach dem Dritten Abschnitt des BDSG. Dagegen fallen öffentliche Stellen der Länder nur dann unter den Anwendungsbereich des Dritten Abschnitts, wenn kein Landesdatenschutzgesetz besteht und die verantwortliche Stelle Bundesrecht ausführt. Da jedoch inzwischen alle Länder Datenschutzgesetze haben, kommt dem BDSG bezüglich öffentlicher Stellen der Länder lediglich eine rein theoretische Auffangfunktion zu. Allerdings verweisen viele 1 Vgl. Gola/Schomerus, § 27 BDSG Rz. 6; Schaffland/Wiltfang, § 27 BDSG Rz. 15. 2 Schaffland/Wiltfang, § 28 BDSG Rz. 10. 3 Ausführlich zum Datenschutz im privaten Bereich des kommunalen Umfelds Zilkens, VR 2010, 253, 254. 4 Simitis/Simitis, § 27 BDSG Rz. 37. 5 Bergmann/Möhrle/Herb, § 27 BDSG Rz. 12; a.A. Simitis/Simitis, § 27 BDSG Rz. 40, wonach die bloße Teilnahme am Wettbewerb ausreichen soll. 6 Gola/Schomerus, § 27 BDSG Rz. 7. 7 Bergmann/Möhrle/Herb, § 27 BDSG Rz. 12.
542 Plath
Anwendungsbereich
§ 27 BDSG
Landesdatenschutzgesetze auf die Regelungen des BDSG, so dass die Vorschriften des Dritten Abschnitts zumindest mittelbar zu Anwendung kommen1. Zu beachten ist, dass gemäß Abs. 1 Satz 3 die Datenschutzkontrolle in 21 öffentlich-rechtlichen Wettbewerbsunternehmen nicht durch die Aufsichtsbehörden gemäß § 38, sondern durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) nach Maßgabe der §§ 18, 21 und §§ 24 bis 26 durchgeführt werden soll2. 3. Ausnahme bei persönlicher oder familiärer Tätigkeit Grundsätzlich ist der Zweck einer Datenverwendung im Rahmen des 22 § 27 unerheblich. Eine Ausnahme macht das Gesetz jedoch dahingehend, dass ein Datenumgang, der ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt, nach Abs. 1 Satz 2 nicht in den Anwendungsbereich des Dritten Abschnitts fällt. Diese Negativausnahme gilt nur für die Tätigkeiten natürlicher Personen. Auch hier wiederholt das Gesetz die allgemeine Regelung des § 1 Abs. 2 Nr. 3, 2. Halbs., so dass bezüglich der Einzelheiten auf die dortige Kommentierung (§ 1 Rz. 30 ff.) verwiesen werden kann. Wann eine Tätigkeit dem privaten bzw. familiären Bereich zuzuordnen 23 ist, richtet sich nach der Verkehrsanschauung. Ausschlaggebend ist dabei nicht der Umfang, sondern lediglich der Zweck der Datenverwendung. Der Wortlaut der Norm, der eine „ausschließliche“ familiäre oder persönliche Tätigkeit fordert, spricht dabei grundsätzlich für eine enge Auslegung. Allerdings ist eine scharfe Trennung in einer Zeit, in der inzwischen fast jeder einen privaten Computer, ein Handy oder ein ähnliches Gerät besitzt und durch deren Nutzung Daten automatisiert verwendet, kaum noch möglich. Nach der hier vertretenen Ansicht muss deshalb der Schwerpunkt einer Datenverwendung eindeutig außerhalb des familiären oder privaten Bereichs liegen, um zu einer Anwendbarkeit des BDSG zu gelangen. Allein die Tatsache, dass z.B. auf dem privaten PC vereinzelt dienstliche Dateien gespeichert sind, führt dementsprechend nicht dazu, dass die Datenverwendung ihren persönlichen Charakter verliert3. 1 Ausführlich hierzu Bergmann/Möhrle/Herb, § 27 BDSG Rz. 13. 2 Kritisch hierzu Simitis/Simitis, § 28 BDSG Rz. 10. 3 So auch Gola/Schomerus, § 27 BDSG Rz. 11; a.A. Bergmann/Möhrle/Herb, § 27 BDSG Rz. 7; Taeger/Gabel/Buchner, § 27 BDSG Rz. 19; Simitis/Simitis, § 27 BDSG Rz. 48.
Plath 543
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
Datenerhebung und -speicherung für eigene Geschäftszwecke (1) 1Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig, 1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist, 2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder 3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt. 2Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen.
28
(2) Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig 1. unter den Voraussetzungen des Absatzes 1 Satz 1 Nummer 2 oder Nummer 3, 2. soweit es erforderlich ist, a) zur Wahrung berechtigter Interessen eines Dritten oder b) zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat, oder 3. wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. (3) 1Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung ist zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die verantwortliche Stelle nach Absatz 3a verfährt. 2Darü544 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
ber hinaus ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken, und die Verarbeitung oder Nutzung erforderlich ist 1. für Zwecke der Werbung für eigene Angebote der verantwortlichen Stelle, die diese Daten mit Ausnahme der Angaben zur Gruppenzugehörigkeit beim Betroffenen nach Absatz 1 Satz 1 Nummer 1 oder aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben hat, 2. für Zwecke der Werbung im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift oder 3. für Zwecke der Werbung für Spenden, die nach § 10b Absatz 1 und § 34g des Einkommensteuergesetzes steuerbegünstigt sind. 3Für Zwecke nach Satz 2 Nummer 1 darf die verantwortliche Stelle zu den dort genannten Daten weitere Daten hinzuspeichern. 4Zusammengefasste personenbezogene Daten nach Satz 2 dürfen auch dann für Zwecke der Werbung übermittelt werden, wenn die Übermittlung nach Maßgabe des § 34 Absatz 1a Satz 1 gespeichert wird; in diesem Fall muss die Stelle, die die Daten erstmalig erhoben hat, aus der Werbung eindeutig hervorgehen. 5Unabhängig vom Vorliegen der Voraussetzungen des Satzes 2 dürfen personenbezogene Daten für Zwecke der Werbung für fremde Angebote genutzt werden, wenn für den Betroffenen bei der Ansprache zum Zwecke der Werbung die für die Nutzung der Daten verantwortliche Stelle eindeutig erkennbar ist. 6Eine Verarbeitung oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig, soweit schutzwürdige Interessen des Betroffenen nicht entgegenstehen. 7Nach den Sätzen 1, 2 und 4 übermittelte Daten dürfen nur für den Zweck verarbeitet oder genutzt werden, für den sie übermittelt worden sind. (3a) 1Wird die Einwilligung nach § 4a Absatz 1 Satz 3 in anderer Form als der Schriftform erteilt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen, es sei denn, dass die Einwilligung elektronisch erklärt wird und die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. 2Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie in drucktechnisch deutlicher Gestaltung besonders hervorzuheben. Plath 545
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
(3b) 1Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. 2Eine unter solchen Umständen erteilte Einwilligung ist unwirksam. (4) 1Widerspricht der Betroffene bei der verantwortlichen Stelle der Verarbeitung oder Nutzung seiner Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung, ist eine Verarbeitung oder Nutzung für diese Zwecke unzulässig. 2Der Betroffene ist bei der Ansprache zum Zweck der Werbung oder der Markt- oder Meinungsforschung und in den Fällen des Absatzes 1 Satz 1 Nummer 1 auch bei Begründung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses über die verantwortliche Stelle sowie über das Widerspruchsrecht nach Satz 1 zu unterrichten; soweit der Ansprechende personenbezogene Daten des Betroffenen nutzt, die bei einer ihm nicht bekannten Stelle gespeichert sind, hat er auch sicherzustellen, dass der Betroffene Kenntnis über die Herkunft der Daten erhalten kann. 3Widerspricht der Betroffene bei dem Dritten, dem die Daten im Rahmen der Zwecke nach Absatz 3 übermittelt worden sind, der Verarbeitung oder Nutzung für Zwecke der Werbung oder der Markt- oder Meinungsforschung, hat dieser die Daten für diese Zwecke zu sperren. 4In den Fällen des Absatzes 1 Satz 1 Nummer 1 darf für den Widerspruch keine strengere Form verlangt werden als für die Begründung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses. (5) 1Der Dritte, dem die Daten übermittelt worden sind, darf diese nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. 2Eine Verarbeitung oder Nutzung für andere Zwecke ist nicht-öffentlichen Stellen nur unter den Voraussetzungen der Absätze 2 und 3 und öffentlichen Stellen nur unter den Voraussetzungen des § 14 Abs. 2 erlaubt. 3Die übermittelnde Stelle hat ihn darauf hinzuweisen. (6) Das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) für eigene Geschäftszwecke ist zulässig, soweit nicht der Betroffene nach Maßgabe des § 4a Abs. 3 eingewilligt hat, wenn 1. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben,
546 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
2. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat, 3. dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt, oder 4. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung und Nutzung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. (7) 1Das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9) ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. 2Die Verarbeitung und Nutzung von Daten zu den in Satz 1 genannten Zwecken richtet sich nach den für die in Satz 1 genannten Personen geltenden Geheimhaltungspflichten. 3Werden zu einem in Satz 1 genannten Zweck Daten über die Gesundheit von Personen durch Angehörige eines anderen als in § 203 Abs. 1 und 3 des Strafgesetzbuchs genannten Berufes, dessen Ausübung die Feststellung, Heilung oder Linderung von Krankheiten oder die Herstellung oder den Vertrieb von Hilfsmitteln mit sich bringt, erhoben, verarbeitet oder genutzt, ist dies nur unter den Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre. (8) 1Für einen anderen Zweck dürfen die besonderen Arten personenbezogener Daten (§ 3 Abs. 9) nur unter den Voraussetzungen des Absatzes 6 Nr. 1 bis 4 oder des Absatzes 7 Satz 1 übermittelt oder genutzt werden. 2Eine Übermittlung oder Nutzung ist auch zulässig, wenn dies zur Abwehr von erheblichen Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist. (9) 1Organisationen, die politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtet sind und keinen Erwerbszweck verfolgen, dürfen besondere Arten personenbezogener Daten (§ 3 Abs. 9) erheben, verarbeiten oder nutzen, soweit dies für die Tätigkeit der Organisation erfor-
Plath 547
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
derlich ist. 2Dies gilt nur für personenbezogene Daten ihrer Mitglieder oder von Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakte mit ihr unterhalten. 3Die Übermittlung dieser personenbezogenen Daten an Personen oder Stellen außerhalb der Organisation ist nur unter den Voraussetzungen des § 4a Abs. 3 zulässig. 4Absatz 2 Nummer 2 Buchstabe b gilt entsprechend. I. Einführung . . . . . . . . . . . . . . . . 1. Anwendungsbereich . . . . . . . . 2. Verhältnis zur Einwilligung . . II. Datenverwendung zur Erfüllung eigener Geschäftszwecke (Abs. 1) . . . . . . . . . . . . . . . . 1. Eigener Geschäftszweck. . . . . 2. Begründung, Durchführung, Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Verhältnisses (Abs. 1 Satz 1 Nr. 1) . . . a) Rechtsgeschäftliches bzw. rechtsgeschäftsähnliches Schuldverhältnis. . . . . . . . . b) Erforderlichkeit. . . . . . . . . . c) Fallgruppen . . . . . . . . . . . . . aa) Kaufverträge . . . . . . . . . bb) Bank- und Kreditverträge . . . . . . . . . . . . . cc) Versicherungsverträge . dd) Arbeitsverträge . . . . . . . ee) Mietverträge . . . . . . . . . ff) Behandlungsverträge (Arzt, Krankenhaus). . . gg) Mitgliedschaften/ Mitgesellschafter . . . . . 3. Wahrung berechtigter Interessen (Abs. 1 Satz 1 Nr. 2) . . . a) Berechtigte Interessen der verantwortlichen Stelle . . . b) Erforderlichkeit. . . . . . . . . . c) Schutzwürdige Interessen des Betroffenen . . . . . . . . . . d) Abwägung . . . . . . . . . . . . . . e) Fallgruppen . . . . . . . . . . . . . aa) Strategische Datenanalyse (Data Warehouse, Data Mining, Kundenprofile) . . . . . . . . . . . . . .
548 Plath
1 6 8
10 12
15
16 19 29 30 34 38 39 40 41 43 46 47 50 51 53 55
55
bb) Warnung und Aufklärung. . . . . . . . . . . . . . cc) Bonitätsprüfung . . . . . . dd) Auskunfteien . . . . . . . . ee) Beweissicherung . . . . . . ff) Outsourcing . . . . . . . . . gg) Due Diligence . . . . . . . . hh) Unternehmensverkäufe . . . . . . . . . . . . . ii) Konzerninteressen . . . . jj) Versicherungen . . . . . . . 4. Allgemein zugängliche Daten (Abs. 1 Satz 1 Nr. 3) . . . . . . . . . a) Begriff der allgemein zugänglichen Daten . . . . . . . . b) Befugnis zur Veröffentlichung . . . . . . . . . . . . . . . . . c) Interessenabwägung . . . . . . 5. Zweckbestimmung (Abs. 1 Satz 2) . . . . . . . . . . . . . . . . . . . . III. Datenverwendung zu anderen Zwecken (Abs. 2) . . . . . . . . . . . 1. Wahrung eigener Interessen/ allgemein zugängliche Daten (Abs. 2 Nr. 1) . . . . . . . . . . . . . . . 2. Wahrung berechtigter Interessen Dritter (Abs. 2 Nr. 2a) . . . . 3. Gefahrenabwehr (Abs. 2 Nr. 2b) . . . . . . . . . . . . . . . . . . . . 4. Wissenschaftliche Forschung (Abs. 2 Nr. 3) . . . . . . . . . . . . . . . IV. Datenverwendung zu Zwecken der Werbung und des Adresshandels (Abs. 3). . . . . . . 1. Begriff der Werbung und des Adresshandels . . . . . . . . . . . . . 2. Einwilligung (Abs. 3 Satz 1) . . 3. Listenprivileg (Abs. 3 Satz 2) .
58 61 62 64 65 66 67 73 74 75 76 80 82 88 91
93 95 97 98
99 102 109 113
Datenerhebung und -speicherung für eigene Geschäftszwecke
4. 5.
6.
7. 8.
a) Listendaten und sonst zusammengefasste Daten . . . b) Angehörigkeit zu einer Personengruppe. . . . . . . . . . c) Umfang der Listendaten . . d) Werbung durch die verantwortliche Stelle (Abs. 3 Satz 2) . . . . . . . . . . . . . . . . . . aa) Eigenwerbung (Abs. 3 Satz 2 Nr. 1) . . . . . . . . . bb) Geschäftswerbung (Abs. 3 Satz 2 Nr. 2) . . . cc) Spendenwerbung (Abs. 3 Satz 2 Nr. 3) . . . dd) Erforderlichkeit . . . . . . Hinzuspeicherung von Daten (Abs. 3 Satz 3). . . . . . . . . . . . . . Übermittlung zu Werbezwecken (Abs. 3 Satz 4) . . . . . a) Listendaten . . . . . . . . . . . . . b) Werbezweck . . . . . . . . . . . . c) Speicherungspflicht . . . . . . d) Transparenzgebot . . . . . . . . e) Praktische Ausgestaltung . Werbung für fremde Angebote (Abs. 3 Satz 5) . . . . . . . . . . . a) Anwendungsvoraussetzungen. . . . . . . . . . . . . . . b) Transparenzgebot . . . . . . . . c) Letter-Shop-Verfahren . . . . Interessenabwägung (Abs. 3 Satz 6) . . . . . . . . . . . . . . . . . . . . Zweckbindung (Abs. 3 Satz 7) . . . . . . . . . . . . . . . . . . . .
V. Anforderungen an die Einwilligung (Abs. 3a). . . . . . . . . . 1. Schriftliche Bestätigung (Abs. 3a Satz 1 Halbs. 1) . . . . . 2. Protokollierung (Abs. 3a Satz 1 Halbs. 2) . . . . . . . . . . . . 3. Drucktechnische Hervorhebung bei gebündelten Erklärungen (Abs. 3a Satz 2) . . . . . .
§ 28 BDSG
VI. Kopplungsverbot (Abs. 3b) . . . 170 114 115 119
120 121 125 126 127 128 133 134 135 137 139 142 143 144 146 148 149 153 154 158
VII. Widerspruchsrecht (Abs. 4) . . . 1. Adressaten des Widerspruchs (Abs. 4 Satz 1, 3) . . . . . . . . . . . . a) Verantwortliche Stelle als Adressat . . . . . . . . . . . . . . . . b) Dritter als Adressat . . . . . . . 2. Unterrichtung und Belehrung (Abs. 4 Satz 2) . . . . . . . . . . . . . . 3. Form und Frist des Widerspruchs (Abs. 4 Satz 4) . . . . . . . 4. Rechtsfolgen des Widerspruchs . . . . . . . . . . . . . . . . . . .
175 179 180 184 186 193 200
VIII. Zweckbindung bei Drittübermittlungen (Abs. 5) . . . . . . . . . 204 IX. Besondere Arten personenbezogener Daten (Abs. 6–9) . . . . . 1. Allgemeine Zulässigkeitsvoraussetzungen (Abs. 6). . . . . a) Schutz lebenswichtiger Interessen (Abs. 6 Nr. 1) . . . . . b) Offenkundig öffentliche Daten (Abs. 6 Nr. 2). . . . . . . c) Geltendmachung rechtlicher Ansprüche (Abs. 6 Nr. 3) . . . . . . . . . . . . . . . . . . . d) Wissenschaftliche Forschung (Abs. 6 Nr. 4) . . . . . . 2. Datenverwendung zu gesundheitlichen Zwecken (Abs. 7) . . 3. Zweckänderung bei der Verwendung sensibler Daten (Abs. 8). . . . . . . . . . . . . . . . . . . . 4. Datenverwendung durch Organisationen ohne Erwerbszweck (Abs. 9) . . . . . . . .
207 209 210 211
212 213 214
217
219
X. Rechtsfolgen/Sanktionen . . . . 222
162
166
Schrifttum: Büllesbach, Datenschutz bei Data Warehouses und Data Mining, CR 2000, 11; Drewes, Dialogmarketing nach dem neuen Listenprivileg, CR 2010, 759; Bergles/Eul, Warndateien für international agierende Banken – vereinbar mit
Plath 549
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
Datenschutz und Bankgeheimnis?, BKR 2003, 273; Göpfert/Meyer, Datenschutz bei Unternehmenskauf: Due Diligence und Betriebsübergang, NZA 2011, 486; Hanloser, Die BDSG-Novelle II: Neuregelungen zum Kunden- und Arbeitnehmerdatenschutz, MMR 2009, 594; Huppertz/Ohrmann, Wettbewerbsvorteil durch Datenschutzverletzungen?, CR 2011, 449; Kamlah/Hoke, Das SCHUFAVerfahren im Lichte der jüngeren obergerichtlichen Rechtsprechung, RDV 2007, 242; Kamlah/Hoke, Datenschutz und UWG – Unterlassungsansprüche bei Datenschutzverstößen, RDV 2008, 226; Lixfeld, § 28 Abs. 3a S. 1 1. Alt. BDSG – Schriftform oder Textform? Eine rechtsmethodische Untersuchung, RDV 2010, 163; Lüttge, Unternehmensumwandlung und Datenschutz, NJW 2000, 2463; Pfeifer, Neue Regeln für die Datennutzung zu Werbezwecken – Die Reform des BDSG, MMR 2010, 524; Plath, Hardware, Software und IT-Verträge in der M&A Transaktion, CR 2007, 345; Plath/Frey, Online-Marketing nach der BDSG-Novelle, CR 2009, 613; Plath/Frey, Direktmarketing nach der BDSG-Novelle: Grenzen erkennen, Spielräume optimal nutzen, BB 2009, 1762; Riesenhuber, Die Einwilligung des Arbeitnehmers im Datenschutzrecht, RdA 2011, 257; Roßnagel/Jandt, Rechtskonformes Direktmarketing – Gestaltungsanforderungen und neue Strategien für Unternehmen, MMR 2011, 86; Rudolph, E-Mails als Marketinginstrument im Rahmen neuer Geschäftskontakte, CR 2010, 257; Salvenmoser/Hauschka, Korruption, Datenschutz und Compliance, NJW 2010, 331; Schaffland, Datenschutz und Bankgeheimnis bei Fusion – (k)ein Thema?, NJW 2002, 1539; Schulz, Die (Un-)Zulässigkeit von Datenübertragungen innerhalb verbundener Unternehmen, BB 2011, 2552; Weichert, Datenschutz als Verbraucherschutz, DuD 2001, 264; Wronka, Reglementierung des Adresshandels im novellierten BDSG, RDV 2010, 159.
I. Einführung 1 Das BDSG unterstellt die Erhebung, Verarbeitung und Nutzung personenbezogener Daten einem Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1). Die Datenverwendung ist damit nur dann gestattet, wenn entweder der Betroffene eingewilligt hat oder eine gesetzliche Erlaubnisnorm eingreift. Die Regelungen der §§ 28, 29 sind die für die Praxis bedeutendsten Erlaubnisnormen in diesem Sinne. 2 § 28 regelt den Fall der Datenverwendung für eigene Zwecke und lässt sich in drei Tatbestandskomplexe aufteilen: (i) Abs. 1 regelt die Datenverwendung zur Erfüllung eigener Geschäftszwecke; (ii) Abs. 2 regelt die Datenverwendung zu bestimmten anderen Zwecken, die jedoch nicht fremde Geschäftszwecke i.S.d. § 29 sind; (iii) Abs. 3 regelt schließlich die Datenverwendung zu Zwecken der Werbung oder des Adresshandels. 3 Darüber hinaus normieren die Abs. 3a–4 besondere Anforderungen an die Einwilligung in die Datenverwendung zu Werbezwecken und an den Widerspruch dagegen. In Abs. 5 ist der Grundsatz der Zweckbindung ge550 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
regelt. Schließlich enthalten die Abs. 6–9 besondere Voraussetzungen für den Umgang mit sensiblen Daten. Die Regelung des § 28 beruht auf dem Grundgedanken, dass die Daten- 4 verwendung nicht Haupttätigkeit bzw. Geschäftszweck der verantwortlichen Stelle, sondern vielmehr Nebenprodukt der eigentlichen geschäftlichen Tätigkeit ist1. Die geschäftsmäßige Datenverwendung zu fremden Geschäftszwecken regeln dagegen die §§ 29 und 30, wobei die Abgrenzung hier im Einzelfall schwierig sein kann2. § 28 in der aktuellen Form ist am 1.9.2009 in Kraft getreten. Dabei sind die Übergangsfristen gemäß § 47 zu beachten3.
5
1. Anwendungsbereich Die Norm umfasst – entgegen dem Wortlaut der Überschrift, in der nur 6 von Datenerhebung und -speicherung die Rede ist – die Phasen der Erhebung, Speicherung, Veränderung, Übermittlung und Nutzung4. Nicht umfasst sind jedoch die Sperrung und Löschung von Daten, die in § 35 speziell geregelt sind. § 28 richtet sich an alle Stellen i.S.d. § 27 (nicht-öffentliche Stellen bzw. öffentliche Stellen des Bundes und der Länder, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen)5 und ist damit das Gegenstück zu den §§ 13–16, welche die Datenverwendung durch öffentliche Stellen regeln. Seit der umfassenden BDSG-Novelle II vom 14.8.2009 ist auch die Datenverwendung im Rahmen von Beschäftigungsverhältnissen vom Regelungsbereich des § 28 ausgenommen und nun in § 32 geregelt. Vorrangige Bestimmungen gelten zudem auch für die Übermittlung von Daten an Auskunfteien (§ 28b), die Bildung von Scorewerten (§ 28a) und die Datenverwendung für Zwecke der Marktund Meinungsforschung (§ 30a). § 28 greift jedoch subsidiär, wenn ein bestimmter Tatbestand nicht von diesen spezielleren Regelungen erfasst wird.
1 2 3 4
Vgl. Schaffland/Wiltfang, § 28 BDSG Rz. 3 f. Zur Abgrenzung s.u. Rz. 14. Siehe die Kommentierung zu § 47. So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 27; Gola/Schomerus, § 28 BDSG Rz. 2; Däubler/Klebe/Wedde/Weichert/Weichert, § 28 BDSG Rz. 2. 5 Taeger/Gabel/Taeger, § 28 BDSG Rz. 21 ff.
Plath 551
7
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
2. Verhältnis zur Einwilligung 8 Die Einwilligung nach § 4a und die Erlaubnisnorm des § 28 stehen grundsätzlich nebeneinander. Damit kann ein Vorgang sowohl aufgrund einer Einwilligung als auch auf der Grundlage eines Erlaubnistatbestands zulässig sein. Hat ein Betroffener von seinem Selbstbestimmungsrecht Gebrauch gemacht und in die Datenverwendung wirksam eingewilligt, kommt es auf die Rechtmäßigkeit der Datenverwendung nach den Voraussetzungen einer Erlaubnisnorm nicht mehr an. 9 Umstritten ist jedoch, ob bei Widerruf einer erteilten Einwilligung oder der Verweigerung der Erteilung einer Einwilligung die Datenverwendung dennoch auf eine – an sich anwendbare – Erlaubnisnorm gestützt werden kann. Dafür spricht, dass nach § 4 die Einwilligung und die gesetzliche Erlaubnis in einem „Entweder-oder“-Verhältnis zueinanderstehen. Auch bei Wegfall einer Einwilligung bleibt es objektiv bei einer Zulässigkeit des Datenumgangs nach § 28. Die gegenteilige Meinung würde die Anwendbarkeit des § 28 von dem zusätzlichen Erfordernis des Fehlens eines entgegenstehenden Willens des Betroffenen abhängig machen, was dem Charakter der Norm als objektiver Erlaubnistatbestand entgegensteht, und im übrigen auch nicht vom Wortlaut der Norm gedeckt ist1. Angesichts dieser Unsicherheit wird dennoch teilweise davon abgeraten, in der Praxis bei eindeutig zulässigen Datenverwendungen eine zusätzliche Einwilligung einzuholen, da es im Falle ihres Widerrufs „vertrauensstörend“ wirken könnte, wenn der Datenumgang gleichwohl (mit Verweis auf die Erlaubnisnorm) fortgeführt wird2. Es handelt sich hierbei jedoch um eine unternehmenspolitische Entscheidung, die von Fall zu Fall sorgfältig abgewogen werden muss. Auf die Wirksamkeit der Datenverwendung hat diese Entscheidung nach der hier vertretenen Ansicht keine Auswirkung. Soweit sich die verantwortliche Stelle für die Einholung einer Einwilligung entscheidet, mag es in bestimmten Konstellationen zur Vermeidung eines „Vertrauensverlustes“ ratsam sein, auf die „Vorsorglichkeit“ der Einwilligung hinzuweisen und ggf. bereits deutlich zu machen, dass die Verwendung der Daten alternativ auch auf die Erlaubnisnorm des § 28 gestützt werden könnte.
1 So im Ergebnis auch Schaffland/Wiltfang, § 28 BDSG Rz. 2; Riesenhuber, RdA 2011, 257 (261); a.A. Simitis/Simitis, § 28 BDSG Rz. 20 mit der Begründung, dass sich die verantwortliche Stelle ihr eigenes Verhalten anrechnen lassen und auf die Inanspruchnahme des Erlaubnistatbestands verzichten muss. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 20.
552 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
II. Datenverwendung zur Erfüllung eigener Geschäftszwecke (Abs. 1) Nach Abs. 1 ist die Datenverwendung zur Erfüllung eigener Geschäftszwecke in drei Fällen zulässig:
10
(i) die Datenverwendung erfolgt zum Zweck der Durchführung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Verhältnisses (Nr. 1); (ii) die Datenverwendung dient berechtigten Interessen der verantwortlichen Stelle, die gegenüber Interessen des Betroffenen vorrangig sind (Nr. 2); (iii) es werden allgemein zugängliche Daten bzw. Daten, die die verantwortliche Stelle veröffentlichen darf, verwendet, soweit keine schutzwürdigen Interessen des Betroffenen offensichtlich gegen die Verwendung sprechen (Nr. 3). Grundsätzlich sind diese drei Erlaubnistatbestände gleichrangig, jedoch 11 nicht nebeneinander anwendbar, so dass die verantwortliche Stelle die Datenverwendung jeweils nur auf eine der drei Varianten stützen kann1. Dreh- und Angelpunkt der Erlaubnisnorm ist dabei stets der typische, eigene Geschäftszweck der verantwortlichen Stelle, dessen Verfolgung sich im Regelfall im Abschluss von rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnissen, also insbesondere Verträgen, widerspiegelt2. Aus diesem Grund ist stets vorrangig zu prüfen, ob eine Datenverwendung im Zusammenhang mit einem konkreten Schuldverhältnis steht. In den Erlaubnistatbeständen des Abs. 1 Satz 1 Nr. 2 und 3 ist dagegen lediglich eine Auffangklausel zu Nr. 1 für den Fall zu sehen, dass die Datenerhebung nicht für ein konkretes rechtsgeschäftliches Verhältnis erfolgt, trotzdem jedoch im Zusammenhang mit dem typischen geschäftlichen Tätigkeitsbereich der verantwortlichen Stelle steht3. Eine Datenverwendung, die zwar in den Anwendungsbereich des Abs. 1 Satz 1 Nr. 1 fällt, danach jedoch nicht erlaubt ist, kann nicht nach Nr. 2 oder Nr. 3 zulässig sein4. Die Sperrwirkung von Nr. 1 greift jedoch ausschließlich im Rahmen der Durchführung des konkreten Schuldverhältnisses. 1 Simitis/Simitis, § 28 BDSG Rz. 53 f.; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 14. 2 Vgl. Taeger/Gabel/Taeger, § 28 Rz. 31. 3 Simitis/Simitis, § 28 BDSG Rz. 54; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 14. 4 Gola/Schomerus, § 28 BDSG Rz. 9; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 14; so im Ergebnis auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 227.
Plath 553
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
1. Eigener Geschäftszweck 12 Allen drei Fallvarianten ist gemein, dass die Datenverwendung zu „eigenen Geschäftszwecken“ erfolgen muss. Der Begriff unterscheidet sich inhaltlich nicht von dem der „eigenen Zwecke“ i.S.v. § 28 a.F.1. 13 Fraglich ist jedoch, wann von einem „eigenen (Geschäfts-)Zweck“ gesprochen werden kann. Das Gesetz liefert diesbezüglich keinen Anhaltspunkt. Es wird also im Einzelfall zu bestimmen sein, welcher Zweck von der verantwortlichen Stelle verfolgt wird. Hierbei kann beispielsweise auf Gesellschaftsverträge, Satzungen, Geschäftsordnungen u.ä. zurückgegriffen werden2. Da diese jedoch von der verantwortlichen Stelle bzw. deren Gesellschaftern selbst redigiert werden, besteht in gewissem Maße die Möglichkeit, auf die Bestimmung des „eigenen Zwecks“ Einfluss zu nehmen. 14 Problematisch sind die Fälle, in denen die Verwendung sowohl zu eigenen als auch zu fremden Zwecken erfolgt. Dies kann beispielsweise Marktforschungsinstitute, Auskunfteien und Rechenzentren betreffen, die sowohl für Dritte als auch für sich selbst Daten verwenden. Wie in diesen Konstellationen die Zweckbestimmung erfolgen soll, ist umstritten. Nach der hier vertretenen Ansicht ist nach dem Schwerpunkt der Datenverwendung zu fragen3. Damit richtet sich ein Datenumgang, der meist zu eigenen Zwecken und nur gelegentlich zu fremden geschäftlichen Zwecken erfolgt, nach § 28. Nach Ansicht der Vertreter der Gegenmeinung müsste jeder Datenumgang einzeln betrachtet werden und je nach konkretem Zweck nach § 28 oder § 29 behandelt werden4. Dagegen spricht jedoch, dass eine vereinzelte Beurteilung aller Datenvorgänge zu einem unübersichtlichen Geflecht unterschiedlicher Anforderungen an den Umgang mit ein und denselben Daten führen würde, was nicht im Interesse der Rechtssicherheit der Beteiligten wäre.
1 Taeger/Gabel/Taeger, § 28 BDSG Rz. 30; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 10. 2 Ebenso Simitis/Simitis, § 28 BDSG Rz. 23; Schaffland/Wiltfang, § 28 BDSG Rz. 6, 12. 3 Ebenso Schaffland/Wiltfang, § 28 BDSG Rz. 9 in Anlehnung an BayOLG, DuD 1981, 209. 4 Simitis/Simitis, § 28 BDSG Rz. 25; Taeger/Gabel/Taeger, § 28 BDSG Rz. 34 ff.; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 12.
554 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
2. Begründung, Durchführung, Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Verhältnisses (Abs. 1 Satz 1 Nr. 1) Der Erlaubnistatbestand des Abs. 1 Satz 1 Nr. 1 ermöglicht die Datenver- 15 wendung für den Fall, dass der geschäftliche Zweck in der Durchführung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Verhältnisses liegt. Damit trägt das Gesetz dem Umstand Rechnung, dass der Umgang mit personenbezogenen Daten für eine Geschäftsabwicklung und damit für die Erfüllung rechtlicher Pflichten unerlässlich ist und ggf. auch im Interesse des Betroffenen sein kann1. Gleichzeitig darf die Datenverwendung nur ein „Mittel zum (Geschäfts-)Zweck“2 bzw. Hilfsmittel im Zusammenhang mit einem Rechtsgeschäft sein, nicht jedoch Hauptzweck der Tätigkeit, da ansonsten § 29 einschlägig wäre3. a) Rechtsgeschäftliches bzw. rechtsgeschäftsähnliches Schuldverhältnis Mit der BDSG-Novelle II4 wurde die ehemalige Formulierung „Ver- 16 tragsverhältnis“ bzw. „vertragsähnliches Verhältnis“ durch die Formulierung „rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis“ ersetzt. Dies erfolgte mit dem Ziel einer Angleichung an die Terminologie des allgemeinen Schuldrechts, insbesondere des § 311 BGB5. Das Erfordernis einer rechtsgeschäftlichen Beziehung unterscheidet § 28 von § 29, der eine solche gerade nicht verlangt6. Unter rechtsgeschäftlichen Schuldverhältnissen sind vor allem Vertragsverhältnisse aller Art zu verstehen7.
17
Rechtsgeschäftsähnliche Schuldverhältnisse entstehen durch Gesetz und zeichnen sich dadurch aus, dass die Parteien einander zu Rücksichtnahme und Vertrauen verpflichtet sind8. Typischer Anwendungsfall sind insbesondere die Vertragsverhandlung und -anbahnung sowie ähnliche geschäftliche Kontakte i.S.d. § 311 Abs. 2 BGB, insbesondere das nach-
18
1 So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 33, 48. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 31. 3 Taeger/Gabel/Taeger, § 28 BDSG Rz. 31; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 10. 4 BDSG-Novelle II vom 14.8.2009. 5 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 19; Taeger/Gabel/Taeger, § 28 BDSG Rz. 33, Fn. 27; Gola/Schomerus, § 28 BDSG Rz. 12. 6 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 11. 7 Taeger/Gabel/Taeger, § 28 BDSG Rz. 40, Bergmann/Möhrle/Herb, § 28 Rz. 21; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 19; Schaffland/Wiltfang, § 28 BDSG Rz. 17. 8 Gola/Schomerus, § 28 BDSG Rz. 13.
Plath 555
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
vertragliche Vertrauensverhältnis1. Angesichts der Tatsache, dass mit der Anpassung des Wortlauts an das BGB keine Veränderung des Anwendungsbereichs einhergehen sollte, fallen auch die nach § 28 a.F. mit umfassten „vertragsähnlichen Vertrauensverhältnisse“ wie beispielweise Mitgliedschaften in Vereinen, Parteien oder Organisationen, Geschäftsführungen ohne Auftrag, Gefälligkeitsverhältnisse, Preisausschreiben oder nichtige Vertragsverhältnisse in den Anwendungsbereich der Norm2. Schließlich soll auch durch das Einholen einer Einwilligung in die Datenverwendung zu Werbezwecken ein (vorvertragliches) rechtsgeschäftsähnliches Schuldverhältnis begründet werden, welches beispielsweise die Speicherung einer erteilten Einwilligung rechtfertigt3. b) Erforderlichkeit 19 Liegt ein Schuldverhältnis im Sinne des Abs. 1 Satz 1 Nr. 1 vor, so muss die Datenverwendung zur Begründung, Durchführung oder Beendigung dieses Schuldverhältnisses objektiv erforderlich sein, damit der Erlaubnistatbestand zur Anwendung kommen kann. Ist dies der Fall, ist eine weitere Interessenabwägung entbehrlich4. Maßstab ist dabei grundsätzlich die Zweckbestimmung des konkreten Schuldverhältnisses im Einzelfall. 20 Wann genau von einer Erforderlichkeit des Datenumgangs gesprochen werden kann, geht aus dem Gesetz nicht eindeutig hervor. Der Begriff der „Erforderlichkeit“ ist in dem BDSG nicht weiter definiert. Auch eine Abgrenzung zu der vor dem 1.9.2009 geltenden Fassung, in der noch darauf abgestellt worden war, ob die Verwendung der Daten der Zweckbestimmung des Vertragsverhältnisses „dient“, ist wenig ergiebig. Denn es wird davon ausgegangen, dass auch die ehemalige Formulierung des § 28 a.F. bereits damals im Sinne einer „Erforderlichkeit“ auszulegen war und eine Änderung der Rechtslage mit der Neufassung nicht bezweckt worden ist5. 1 Bergmann/Möhrle/Herb, § 28 Rz. 20; Taeger/Gabel/Taeger, § 28 Rz. 44, Gola/ Schomerus, § 28 BDSG Rz. 13. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 45; vgl. zu § 28 a.F. Simitis/Simitis, § 28 BDSG Rz. 125 ff.; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 23; Gola/Schomerus, § 28 BDSG Rz. 13. 3 So z.B. LG Hamburg v. 23.12.2008 – 312 O 362/08, VUR 2009, 279. 4 Taeger/Gabel/Taeger, § 28 BDSG Rz. 47; enger dagegen Gola/Schomerus, der für die Fälle, in denen sich die Erforderlichkeit nicht eindeutig aus dem Vertragszweck ergibt, eine Interessenabwägung ergänzend für notwendig hält, § 28 BDSG Rz. 17. 5 Gola/Schomerus, § 28 BDSG Rz. 14; Taeger/Gabel/Taeger, § 28 BDSG Rz. 49.
556 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
Generell wird angenommen, wenn auch mit unterschiedlichen Nuan- 21 cierungen, dass dem Grundsatz der Erforderlichkeit (nur) dann genüge getan wird, wenn die aus dem Rechtsverhältnis folgenden Rechte und Pflichten nur bei Verwendung der jeweiligen Daten geltend gemacht bzw. erfüllt werden können1. Wenngleich über den vorstehenden Grundsatz in der juristischen Litera- 22 tur weitgehend Konsens bestehen dürfte, stellt sich die weitere Frage der praktischen Umsetzung. Dabei mag nachfolgende Unterscheidung hilfreich sein, um die verschiedenen Fallkonstellationen und Auslegungsvarianten voneinander abzugrenzen. Eindeutig ist, dass die Erforderlichkeit jedenfalls immer dann vorliegt, 23 wenn die Erreichung des Geschäftszwecks ohne die angestrebte Datenverwendung absolut unmöglich ist. So ist es z.B. unmöglich, einen Kunden mit Ware zu beliefern, wenn die verantwortliche Stelle nicht auch die Adressdaten des Betroffenen kennt und diese für die Zwecke der Belieferung verwenden darf. Gleiches gilt selbstverständlich, soweit die verantwortliche Stelle rechtlich dazu verpflichtet ist, bestimmte Daten zu verwenden, z.B. im Rahmen gesetzlicher Archivierungspflichten. Eine solche absolute Unmöglichkeit wird jedoch nicht in jeder Konstel- 24 lation gegeben sein. Schaltet beispielsweise ein Versandhandelsunternehmern einen Logistikdienstleister ein und übermittelt diesem die Adressdaten des Kunden, um die Belieferung des Kunden durchführen zu können, so müsste ein solcher Vorgang an dem Maßstab der absoluten Unmöglichkeit scheitern. Denn als milderes Mittel stünde es dem Versandhandelsunternehmen theoretisch frei, eine eigene Versandflotte aufzubauen und die Belieferung selbst durchzuführen. Ein derart strenger Maßstab würde jedoch weder den Interessen der verantwortlichen Stelle noch den Interessen der Betroffenen gerecht werden, die letztlich die daraus resultierenden erhöhten Kosten zu tragen hätten. Vor diesem Hintergrund muss eine Datenverwendung auch dann als erforderlich angesehen werden, wenn die Erreichung des Geschäftszwecks andernfalls relativ unmöglich wäre. Dies ist insbesondere dann der Fall, wenn die Alternative zum konkreten Datenumgang wirtschaftlich nicht durchführbar oder aus sonstigen Gründen für die verantwortliche Stelle unzumutbar ist2.
1 Ähnlich Gola/Schomerus, § 28 BDSG Rz. 15; Taeger/Gabel/Taeger, § 28 BDSG Rz. 47 („nur bei ihrer Kenntnis … erfüllt werden können“). 2 So auch Gola/Schomerus, § 28 BDSG Rz. 15.
Plath 557
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
25 Fraglich ist schließlich, ob eine Datenverwendung auch dann als erforderlich anzusehen ist, wenn sie zwar nicht unumgänglich ist, jedoch für die Erreichung des Geschäftszwecks als förderlich angesehen werden kann. Sicherlich zu weitgehend, da vom Wortlaut der Norm nicht mehr gedeckt, wäre die Auslegung, dass jede Maßnahme zulässig ist, die im weitesten Sinne der Durchführung des Rechtsverhältnisses förderlich ist. Der Maßstab des reinen „nice to have“ ist damit nicht ausreichend, um dem Grundsatz der Erforderlichkeit zu genügen. Ist die Verwendung der Daten hingegen insoweit sinnvoll bzw. förderlich, als damit weitere Kosten vermieden werden, die Prozesse beschleunigt werden oder in sonstiger Form Effizienzgewinne erzielt werden, so dürfte das Kriterium der Erforderlichkeit einer solchen Maßnahme i.d.R. zu bejahen sein. Insbesondere gilt dies, wenn zwar ein milderes Mittel zur Verfügung steht, also das Rechtsgeschäft auch ohne die konkrete Verwendung der Daten durchgeführt werden könnte, die Wahl eines solchen Mittels jedoch mit Nachteilen für die verantwortliche Stelle und/oder die Betroffenen verbunden wäre. Gerade wenn die Verwendung der Daten auch im Interesse des Betroffenen geschieht, beispielsweise um einen besseren Service oder eine schnellere Abwicklung zu ermöglichen, wäre es nicht einzusehen, weshalb eine solche Maßnahme an dem Erforderlichkeitsgrundsatz scheitern sollte1. 26 Teilweise wird die Erforderlichkeit einer Datenverwendung dann abgelehnt, wenn diese auch auf der Grundlage von anonymisierten oder pseudonymisierten Daten erfolgen kann2. Dies kann allerdings nur dann gelten, wenn das verfolgte Ziel auf diese Weise mit gleicher Sicherheit erreicht werden kann. 27 Die Erlaubnisnorm des Abs. 1 Satz 1 Nr. 1 ermöglicht nicht nur die Verwendung von Daten über den Vertragspartner der verantwortlichen Stelle, sondern auch die Verwendung von Daten Dritter, wenn deren Verwendung zur Durchführung des Vertrages erforderlich ist3. Dies ist beispielsweise bei Verträgen zugunsten Dritter, bei Arbeitsverträgen, im Rahmen von Überweisungen und im Zusammenhang mit der Auszahlung von Versicherungssummen der Fall4. Darüber hinaus können auch 1 Restriktiver dagegen Taeger/Gabel/Taeger, § 28 BDSG Rz. 50 ff. 2 So z.B. Taeger/Gabel/Taeger, § 28 BDSG Rz. 59; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 235. 3 Ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 41; Simitis/Simitis, § 28 BDSG Rz. 62 ff.; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 20, 46; a.A. dagegen Bergmann/Möhrle/Herb, § 28 Rz. 22. 4 Vgl. auch Gola/Schomerus, § 28 BDSG Rz. 18.
558 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
Anwälte und Ärzte auf Daten über Gegenparteien oder Familienmitglieder angewiesen sein1. Ändert sich der Vertragspartner des Betroffenen und mithin auch die verantwortliche Stelle, so darf die vorherige verantwortliche Stelle nur diejenigen Daten übermitteln, die für die Vertragsfortführung erforderlich sind2. Darüber hinaus dürfen ansonsten lediglich anonymisierte Daten oder reine Strukturdaten übermittelt werden3. Erfolgt der Wechsel des Vertragspartners infolge eines Betriebsübergangs (§ 613a BGB), so findet bezüglich der Beschäftigtendaten § 32 anstelle von § 28 Anwendung4. Über die Erforderlichkeit hinaus müssen auch stets die Vorgaben zur Datenvermeidung und -sparsamkeit des § 3a beachtet werden.
28
c) Fallgruppen Wie bereits dargestellt, lässt sich nur schwer eine pauschale Antwort 29 auf die Frage geben, welche Daten im Rahmen eines Schuldverhältnisses in welchem Umfang verwendet werden dürfen. Dies hängt von der Gestaltung des Schuldverhältnisses im Einzelfall, vom Parteiwillen und den äußeren Umständen ab. Die folgenden Fallgruppen stellen damit keine abschließende Aufzählung aller erlaubten Datenverwendungen dar, sondern zeigen typische Konstellationen auf und sollen als Leitfaden dienen: aa) Kaufverträge Gerade bei Kaufverträgen richtet sich die Erforderlichkeit eines Daten- 30 umgangs in hohem Maße nach dem konkreten Einzelfall. So wird bei Bargeschäften des täglichen Lebens in der Regel keine Datenverwendung notwendig sein. Dagegen ist eine Speicherung der sog. „Basisdaten“ (Name, Anschrift, Kontodaten usw.) bei bargeldlosen Geschäften (z.B. bei Käufen im Wege des Lastschriftverfahrens oder bei Zahlungen per Kreditkarte) zumindest bis zur Vertragsabwicklung und während der Gewährleistungszeit zulässig5. Zusätzlich kann unter Umständen das Speichern von Daten über den Familienstand, die Einkommens- bzw. Vermögensverhältnisse, Sicherheiten, Zahlungseingänge, Mahnungen und 1 2 3 4 5
Simitis/Simitis, § 28 BDSG Rz. 62, 65. Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 22. Simitis/Simitis, § 28 BDSG Rz. 67. Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 22. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 129; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 40.
Plath 559
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
Rechnungen nach Abs. 1 Satz 1 Nr. 1 gerechtfertigt sein1. Das Speichern des Geburtstags, zumindest des Geburtsjahrs, ist zur Verifizierung der Geschäftsfähigkeit bzw. eines Mindestalters2 oder zur Unterscheidung mehrerer gleichnamiger Kunden3 zulässig. Ebenso ist grundsätzlich die Verwendung von Kundendaten zu Zwecken der späteren Qualitätskontrolle bzw. Kundenbetreuung zulässig4. Bei finanzierten Kaufverträgen oder Ratenkaufverträgen ist darüber hinaus auch das Speichern von Bonitätsdaten des Käufers zulässig, z.B. wenn dies einer Entscheidung über den Vertragsschluss dient5. 31 Die Übermittlung von Daten ist dann zulässig, wenn der Vertrag gerade darauf gerichtet ist, dass auch Dritte in den Einwirkungskreis einbezogen werden. Dies kann beispielsweise bei Lieferungsketten oder Buchungen der Fall sein, also immer dann, wenn mehrere Beteiligte zur Durchführung des Vertrages eingeschaltet werden müssen6. Problematisch ist die Übermittlung von Bonitätsdaten. Dient sie dem konkreten Vertragszweck, wird sie nach Abs. 1 Satz 1 Nr. 1 zulässig sein. Eine pauschale Übermittlung von Daten über die Kreditwürdigkeit an Auskunfteien wie die SCHUFA ist jedoch vom konkreten Vertragszweck nicht mehr gedeckt, so dass eine Zulässigkeit sich nicht bereits aus Abs. 1 Satz 1 Nr. 1 ergibt7. Hier ist jedoch Abs. 1 Satz 1 Nr. 2 bzw. die in ihrem Anwendungsbereich vorrangige Regelung des § 28a zu beachten (vgl. § 28a Rz. 11 ff.). Die Übermittlung von Daten zu Werbe- oder Adresshandelszwecken ist ebenfalls nicht nach Abs. 1 Satz 1 Nr. 1, sondern nur unter den Voraussetzungen des Abs. 3 zulässig (s.u. Rz. 99 ff.). 32 Nr. 1 erlaubt nicht die systematische Durchsuchung und Auswertung der aus den Vertragsverhältnissen stammenden Daten zur Herstellung
1 Ebenso Schaffland/Wiltfang, § 28 BDSG Rz. 21; Simitis/Simitis, § 28 BDSG Rz. 60. 2 Ebenso Schaffland/Wiltfang, § 28 BDSG Rz. 20; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 42. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 129a; a.A. Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 42, der eine Unterscheidung anhand der Anschrift für ausreichend erachtet. 4 OLG Düsseldorf v. 19.5.2010 – I-15 U 11/09, 15 U 11/09. 5 Ebenso Schaffland/Wiltfang, § 28 BDSG Rz. 21; Simitis/Simitis, § 28 BDSG Rz. 72. 6 Ebenso Schaffland/Wiltfang, § 28 BDSG Rz. 56 ff.; a.A. Bergmann/Möhrle/ Herb, § 28 BDSG Rz. 130, wonach eine Übermittlung von Daten nur mit Einwilligung des Betroffenen zulässig ist. 7 Simitis/Simitis, § 28 BDSG Rz. 73.
560 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
von Kundenprofilen oder zur Untersuchung des Konsumverhaltens. Dieses sog. „Data Mining“ ist in der Regel nicht vom Vertragszweck umfasst1. Über den konkreten Vertragszweck hinaus kann sich die Zulässigkeit dieser Vorgehensweise jedoch nach Nr. 2 oder Nr. 3 ergeben, zumal der Kunde u.U. sogar ein Interesse daran haben kann, zielgerichtete Angebote zu erhalten2. Eine Speicherung von Daten auf Vorrat ist ebenso wenig nach Abs. 1 Satz 1 Nr. 1 zulässig3. Werden mehrere Verträge zwischen denselben Parteien geschlossen, so ist eine Verwendung der Daten aus dem einen Schuldverhältnis im Rahmen des anderen Schuldverhältnisses nicht nach Abs. 1 Satz 1 Nr. 1 zulässig. Denkbar ist jedoch auch hier eine Zulässigkeit nach Abs. 1 Satz 1 Nr. 2 (s.u. Rz. 46).
33
bb) Bank- und Kreditverträge Jedenfalls zulässig ist bei Bank- und Kreditverträgen das Speichern von 34 Daten über die Bonität des Kreditnehmers und über Sicherheiten sowie von Daten über eventuelle Bürgen. Problematisch ist jedoch, dass fast jedem Datum ein potentieller Aussagewert über die Kreditwürdigkeit des Betroffenen innewohnt. Der Anwendungsbereich des Abs. 1 Satz 1 Nr. 1 muss deshalb auf solche Daten beschränkt werden, die eine Aussage über die Kreditwürdigkeit im Rahmen des konkreten Vertragsverhältnisses treffen4. Bei der Ermittlung der Kreditwürdigkeit mithilfe eines Scoring-Verfahrens ist § 28b zu beachten. Bonitätsdaten, die im Rahmen der Vertragsanbahnung verwendet wurden, unterliegen in besonderem Maße der Vertraulichkeit, so dass sie bei Scheitern der Verhandlungen umgehend gelöscht werden müssen und nicht übermittelt werden dürfen, soweit nicht gesetzliche Aufbewahrungspflichten bestehen5.
35
Innerhalb des Vertragsverhältnisses ist die Übermittlung von Bonitäts- 36 daten zulässig, soweit diese Übermittlung für dessen Durchführung erforderlich ist. So dürfen z.B. Daten über die wirtschaftlichen Verhält-
1 Gola/Schomerus, § 28 BDSG Rz. 11; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 129b, 131; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 43. 2 Vgl. hierzu auch Rz. 55 ff. 3 Simitis/Simitis, § 28 BDSG Rz. 70. 4 Simitis/Simitis, § 28 BDSG Rz. 72; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 35. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 34.
Plath 561
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
nisse sowie über das Geschäfts- und Zahlungsverhalten eines Kunden im Rahmen einer Bankauskunft an anfragende Dritte übermittelt werden, da dies unter Umständen auch im Interesse des Betroffenen sein kann1. Dagegen ist die Übermittlung von Daten an Auskunfteien wie die SCHUFA in der Regel nicht vom Vertragszweck umfasst und daher nicht nach Abs. 1 Satz 1 Nr. 1 zulässig. Denkbar ist jedoch eine Zulässigkeit nach Abs. 1 Satz 1 Nr. 2, da Kreditinstitute ein gewichtiges Interesse an einem funktionierenden Auskunfteien-System haben2. Zudem ist an dieser Stelle die Regelung des § 28a zu beachten, wenn Daten über Forderungen an Auskunfteien übermittelt werden. 37 Im Rahmen von Verträgen mit Kreditinstituten müssen über das BDSG hinaus noch die spezialgesetzlichen Vorgaben des Wertpapierhandelsgesetzes (WpHG) und des Kreditwesengesetzes (KWG) bezüglich der Übermittlung etwaiger Daten beachtet werden3. cc) Versicherungsverträge 38 Auch im Rahmen von Versicherungsverträgen ist nur die Verwendung solcher Daten zulässig, die für den konkreten Vertrag von Bedeutung sind. So sind beispielsweise Daten über den gesundheitlichen Zustand des Betroffenen im Rahmen von Lebens- und Krankenversicherungen, jedoch nicht unbedingt im Rahmen von Hausratsversicherungen von Interesse4. Dabei müssen jedoch die Auskunftspflichten des Versicherungsnehmers nach §§ 19, 31 VVG beachtet werden5. Eine Übermittlung der Daten an einen Rückversicherer ist nicht in jedem Fall durch den Vertragszweck gedeckt. Allerdings ergibt sich auch hier eine Zulässigkeit nach Abs. 1 Satz 1 Nr. 26.
1 Simitis/Simitis, § 28 BDSG Rz. 74; vgl. auch Gola/Schomerus, § 28 BDSG Rz. 19; Däubler/Klebe/Wedde/Weichert/Wedde lehnt dies für Girokonten ab, die nur auf Guthabenbasis geführt werden, § 28 BDSG Rz. 35. 2 S.u. Rz. 62 f.; ebenso Simitis/Simitis, § 28 BDSG Rz. 75. 3 Vgl. hierzu ausführlich Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 37 ff. 4 Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 46; Simitis/Simitis, § 28 BDSG Rz. 76. 5 Simitis/Simitis, § 28 BDSG Rz. 76. 6 S.u. Rz. 74; ebenso Simitis/Simitis, § 28 BDSG Rz. 78; vgl. auch die Mustererklärung „Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung“ des Düsseldorfer Kreises, Beschluss v. 17.1.2012.
562 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
dd) Arbeitsverträge Seit der BDSG-Novelle II ist die Datenverwendung i.R.v. Arbeitsverträ- 39 gen in § 32 speziell geregelt. Allerdings gilt diese Norm nur für die Datenverwendung im Rahmen des konkreten Beschäftigungsverhältnisses. Für Daten, die über das konkrete Beschäftigungsverhältnis hinaus anfallen, gilt dagegen § 281. Beispiele hierfür sind die Möglichkeit eines Arbeitnehmers zum Einkauf zu Vorzugspreisen, das Einrichten eines Privatkontos beim arbeitgebenden Kreditinstitut, ebenso wie der Abschluss privater Versicherungs- oder Behandlungsverträge2. Der Grund hierfür ist, dass der diesbezügliche Datenumgang gerade nicht im konkreten Arbeitsverhältnis, sondern in einem getrennt zu behandelnden Vertrag zwischen den Parteien erfolgt. Es bleibt also bei dem Grundsatz, dass für die Bewertung der Zulässigkeit eines Datenumgangs immer das Schuldverhältnis im Einzelfall maßgeblich ist. Dementsprechend ist, ebenso wie bei anderen Vertragsverhältnissen auch, die Verwendung von Daten aus dem einen Schuldverhältnis im Rahmen des anderen Schuldverhältnisses nicht per se nach Abs. 1 Satz 1 Nr. 1 zulässig. ee) Mietverträge Zulässig ist im Rahmen von Mietverträgen das Speichern aller Daten, 40 die zur eindeutigen Identifizierung des Mieters notwendig sind, sowie von Daten über dessen Bonität3. Gleiches gilt für Angaben über Familienverhältnisse (zumindest die Anzahl der Familienmitglieder) und Haustierhaltung4. Die Übermittlung von Daten an eine Immobilienverwaltung oder einen Hausmeister ist vom Vertragszweck umfasst und damit nach Abs. 1 Satz 1 Nr. 1 zulässig5. Alle Daten müssen nach Beendigung des Mietverhältnisses gelöscht werden, soweit keine gesetzlichen Aufbewahrungspflichten bestehen. Im Falle des wiederholten Mietens von Gegenständen (Bücher, Videos, Autos) dürfen Daten über die einzelnen Mietvorgänge nicht dauerhaft gespeichert werden6.
1 Eingehend zum Verhältnis zwischen § 32 und § 28 siehe die Kommentierung zu § 32 Rz. 8 ff.; vgl. auch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 24. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 24. 3 Bergmann/Möhrle/Herb, § 28 Rz. 149. 4 Bergmann/Möhrle/Herb, § 28 Rz. 149; a.A. Gola/Schomerus, § 28 BDSG Rz. 17. 5 Bergmann/Möhrle/Herb, § 28 Rz. 152. 6 Bergmann/Möhrle/Herb, § 28 Rz. 156.
Plath 563
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
ff) Behandlungsverträge (Arzt, Krankenhaus) 41 Bereits das Bestehen eines Behandlungsvertrags stellt ein personenbezogenes Datum dar. Darüber hinaus sind die Daten, die im Rahmen von Arzt- oder Krankhausverträgen anfallen, in der Regel als sensible Daten besonderer Art i.S.d. § 3 Abs. 9 zu qualifizieren1. Beim Umgang mit solchen Daten (z.B. Befunddaten) müssen deshalb insbesondere Abs. 6 und 7 beachtet werden. 42 Nach Abs. 1 Satz 1 Nr. 1 ist nur die Speicherung der Daten zulässig, die für die Durchführung des jeweiligen Behandlungsvertrags notwendig sind2. Die Übermittlung von Daten, beispielsweise an Verrechnungsstellen oder Versicherungen, ist dagegen nur mit Einwilligung des Patienten zulässig, da in der Regel das Interesse des Betroffenen an der Geheimhaltung seiner Gesundheitsdaten gegenüber dem Interesse der verantwortlichen Stelle an einer Auslagerung des Abrechnungsprozesses überwiegen wird. Ausnahmsweise ist eine Übermittlung auf Grundlage des Abs. 1 Satz 1 Nr. 1 jedoch möglich, wenn sie anonymisiert erfolgt, so dass ein Rückschluss auf die Identität des Betroffenen nicht möglich ist3. Zu beachten ist darüber hinaus, dass sich eine Übermittlungsbefugnis auch aus spezialgesetzlichen Regelungen, insbesondere §§ 295 ff. SGB V, ergeben kann4. gg) Mitgliedschaften/Mitgesellschafter 43 Maßstab für die Zulässigkeit einer Datenverwendung in Vereinen oder Parteien ist der in der Satzung festgelegte Vereinszweck5. Je nach Satzung kann die Veröffentlichung und Übermittlung von Daten i.R.v. Mitgliederlisten zulässig sein. Gleiches gilt für die Veröffentlichung in Vereinszeitungen und anderen Mitteilungsforen wie „Schwarzen Brettern“. So ist beispielsweise die Veröffentlichung von Turniersiegern in Sportvereinen regelmäßig vom Vertragszweck umfasst6. Unter bestimmten
1 Ausführlich zu den Besonderheiten Bergmann/Möhrle/Herb, § 28 BDSG Rz. 136 ff. 2 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 85 und 137; Däubler/Klebe/Wedde/ Weichert/Wedde, § 28 BDSG Rz. 30. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 85 f.; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 30. 4 Kilian/Heussen/Polenz, Computerrecht, Teil 13 IV Rz. 20. 5 Gola/Schomerus, § 28 BDSG Rz. 22. 6 Ähnlich Gola/Schomerus, § 28 BDSG Rz. 22.
564 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
Umständen kann das Interesse der betroffenen Stelle an der Verwendung der Mitgliedsdaten eines Betroffenen auch nach der Beendigung seiner Mitgliedschaft fortbestehen1. Ebenso soll nach Abs. 1 Satz 1 Nr. 1 der Treuhandkommanditist eines geschlossenen Immobilienfonds berechtigt sein, den Gesellschaftern bzw. Treugebern die Kontaktdaten der anderen Gesellschafter bzw. Treugeber zu übermitteln, wenn die Kenntnis dieser Daten erforderlich ist, um ein nach dem Gesellschaftsvertrag erforderliches Quorum zur Wahrnehmung bestimmter Gesellschaftsrechte zu erreichen2.
44
Schließlich ist anerkannt, dass eine Gewerkschaft ein berechtigtes Inte- 45 resse an der Nutzung der betrieblichen E-Mail-Adressen ihrer Mitglieder hat, da die Kommunikation mit den Gewerkschaftsmitgliedern der Erfüllung des eigenen Geschäftszwecks dient3. 3. Wahrung berechtigter Interessen (Abs. 1 Satz 1 Nr. 2) Nach Abs. 1 Satz 1 Nr. 2 ist die Datenverwendung zur Wahrung berechtigter Interessen der verantwortlichen Stelle erlaubt, wenn kein Grund zur Annahme besteht, dass überwiegende Interessen des Betroffenen der Verarbeitung oder Nutzung entgegenstehen. Die Vorschrift ist ein Auffangtatbestand zu Abs. 1 Satz 1 Nr. 1 für den Fall, dass kein rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis besteht bzw. die Datenverwendung nicht im konkreten Zusammenhang mit der Begründung, Durchführung oder Beendigung des Schuldverhältnisses steht4.
46
a) Berechtigte Interessen der verantwortlichen Stelle Das berechtigte Interesse der verantwortlichen Stelle muss bei vernünf- 47 tiger Erwägung durch die Sachlage gerechtfertigt sein, tatsächlich bestehen und kann rechtlicher, wirtschaftlicher, ideeller oder sonstiger Natur
1 LG Düsseldorf v. 21.1.2011 – 2a O 189/10 bzgl. der Fortsetzung der Speicherung von Zuchtdaten durch einen Hundezüchterverein zu Zwecken der Eintragung in Zuchtbücher. 2 LG Frankfurt a.M. v. 8.5.2009 – 2-21 O 78/08. 3 BAG v. 20.1.2009 – 1 AZR 515/08, NJW 2009, 1990, 1996. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 47; Taeger/Gabel/Taeger, § 28 BDSG Rz. 54; eingehend zum Verhältnis der Erlaubnistatbestände des Abs. 1 zueinander siehe oben Rz. 11.
Plath 565
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
sein1. Es besteht jedenfalls dann, wenn die verantwortliche Stelle ohne die Datenverwendung einen erheblichen Nachteil hätte2. Grundsätzlich kann jedes Interesse berechtigt sein, das von der Rechtsordnung gebilligt ist3. 48 Es muss jedoch ein eigenes Interesse der verantwortlichen Stelle sein; Interessen Dritter oder öffentliche Belange können im Rahmen des Abs. 1 Satz 1 Nr. 2 grundsätzlich nicht geltend gemacht werden4. Ausnahmsweise können allerdings auch fremde Interessen als eigene Interessen geltend gemacht werden, wenn die verantwortliche Stelle gerade mit der Wahrung fremder Interessen betraut ist. Dies kann beispielsweise bei Anwälten, Steuerberatern und Wirtschaftsprüfern der Fall sein5. Ebenso können unter Umständen Konzerninteressen als eigene Interessen eines Konzernunternehmens betrachtet werden6. Schließlich kann sich z.B. auch der Verbreiter eines Beitrags auf die Meinungsäußerungsfreiheit des Verfassers berufen, wenn gerade in der Verbreitung dieses Beitrags der eigene Geschäftszweck der verantwortlichen Stelle zu sehen ist7. 49 Die Frage, ob überhaupt ein berechtigtes Interesse gegeben ist, muss objektiv beantwortet werden und hängt nicht von dem Ergebnis einer Interessenabwägung ab8. Eine Abwägung erfolgt erst an späterer Stelle zwischen dem zuvor festgestellten berechtigten Interesse der verantwortlichen Stelle und dem schutzwürdigen Interesse des Betroffenen. Insoweit unterscheidet sich dieser Erlaubnistatbestand von dem Grundtatbestand des Abs. 1 Satz 1 Nr. 1, der keine Interessenabwägung erfordert.
1 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 48; Gola/Schomerus, § 28 BDSG Rz. 24; Taeger/Gabel/Taeger, § 28 BDSG Rz. 55; Simitis/Simitis, § 28 BDSG Rz. 102, 103; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 230 mit Verweis auf BGH v. 22.5.1984, NJW 1986, 1886 (1887); Schaffland/Wiltfang, § 28 BDSG Rz. 85. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 48. 3 Gola/Schomerus, § 28 BDSG Rz. 24. 4 Simitis/Simitis, § 28 BDSG Rz. 105. 5 Simitis/Simitis, § 28 BDSG Rz. 106. 6 Schaffland/Wiltfang, § 28 BDSG Rz. 85. 7 So zuletzt OLG Hamburg v. 2.8.2011 – 7 U 134/10, ZD 2011, 138, 140 bezüglich eines Beitrags in einem Internetforum. 8 Taeger/Gabel/Taeger, § 28 BDSG Rz. 55.
566 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
b) Erforderlichkeit Das Merkmal der Erforderlichkeit wird genauso ausgelegt wie im Rah- 50 men von Abs. 1 Satz 1 Nr. 11. Die Datenverwendung ist jedenfalls dann erforderlich, wenn sie zur Erreichung des beabsichtigten Ziels unerlässlich ist2. Die Erforderlichkeit kann jedoch darüber hinaus auch dann bejaht werden, wenn für die Datenverwendung keine zumutbare Alternative besteht3, oder sie für die verantwortliche Stelle zweckmäßig ist4. Dies kann beispielsweise der Fall sein, wenn die Zielerreichung auf andere Weise nur mit einem größeren Kostenaufwand verbunden wäre5. Eine absolute Notwendigkeit der beabsichtigten Datenverwendung muss nicht gegeben sein6. c) Schutzwürdige Interessen des Betroffenen Die Interessen der verantwortlichen Stelle sind mit den entgegenste- 51 henden Interessen des Betroffenen abzuwägen. Die Berücksichtigung schutzwürdiger Interessen des Betroffenen im Rahmen einer Abwägung soll dem Zweck des Gesetzes, die informationelle Selbstbestimmung des Einzelnen zu bewahren, genüge tun7. Damit ist jedenfalls das Persönlichkeitsrecht ein schutzwürdiges Interesse des Betroffenen8. Rein wirtschaftliche oder berufliche Interessen, die in keiner Beziehung zur Privatsphäre des Einzelnen stehen, werden vom BDSG und damit von Abs. 1 Satz 1 Nr. 2 nicht geschützt und kommen somit nicht als schutzwürdige Interessen des Betroffenen in Betracht9.
1 In dieser Hinsicht hat die BDSG-Novelle II für Klarheit gesorgt. S. auch die diesbezüglichen Ausführungen oben, Rz. 19 ff.; Schaffland/Wiltfang, § 28 BDSG Rz. 85. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 48. 3 Ebenso Gola/Schomerus, § 28 BDSG Rz. 25, 15; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 48; Simitis/Simitis, § 28 BDSG Rz. 108; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 235. 4 So auch Schaffland/Wiltfang, § 28 BDSG Rz. 85, 110. 5 Schaffland/Wiltfang, § 28 BDSG Rz. 110 m.w.N. 6 So auch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 48, Gola/Schomerus, § 28 BDSG Rz. 25, 15. 7 Vgl. Schaffland/Wiltfang, § 28 BDSG Rz. 86. 8 Gola/Schomerus, § 28 BDSG Rz. 26; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 236; vgl. die Aufzählung in Schaffland/Wiltfang, § 28 BDSG Rz. 87. 9 So im Ergebnis auch Schaffland/Wiltfang, § 28 BDSG Rz. 87; a.A. Gola/Schomerus, § 28 BDSG Rz. 26.
Plath 567
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
52 Ebenso wie die Interessen der verantwortlichen Stelle müssen auch die schutzwürdigen Interessen des Betroffenen tatsächlich bestehen1. Sie sind dann zu berücksichtigen, wenn es für ihr Bestehen konkrete Anhaltspunkte gibt, also insbesondere, wenn sie offensichtlich sind oder auf der Hand liegen2. Allein die Tatsache, dass schutzwürdige Interessen des Betroffenen bestehen, steht einer Datenverwendung nach Abs. 1 Satz 1 Nr. 2 nicht entgegen. Die Interessen des Betroffenen müssen vielmehr gewichtiger sein als die Interessen der verantwortlichen Stelle3. Ob dies der Fall ist, muss im Rahmen einer Abwägung ermittelt werden. d) Abwägung 53 Die verantwortliche Stelle ist nicht dazu verpflichtet, eine ausführliche Interessenabwägung im Einzelfall durchzuführen4. Eine summarische, am typischen Sachverhalt orientierte Abwägung ist ausreichend5. Andernfalls würde die Datenverwendung in der Regel mit einem derartigen Aufwand einhergehen, dass sie sich für die verantwortliche Stelle nicht mehr lohnt, so dass der Erlaubnistatbestand des Abs. 1 Satz 1 Nr. 2 de facto kaum jemals zur Anwendung kommen würde. 54 Maßstab der Abwägung ist der Verhältnismäßigkeitsgrundsatz6. Die Datenverwendung muss also geeignet, erforderlich und angemessen sein, wobei die Geeignetheit und Erforderlichkeit bereits vorab zu prüfen sind (siehe oben Rz. 50), so dass an dieser Stelle lediglich noch die Angemessenheit im Wege der Interessenabwägung zu ermitteln ist. Je sensibler die betroffenen Daten sind, desto gewichtiger muss das berechtigte Interesse der verantwortlichen Stelle sein7. Ein strengerer Maßstab wird ebenfalls dann anzusetzen sein, wenn erkennbar die Interessen Minder-
1 I.E. ebenso Gola/Schomerus, § 28 BDSG Rz. 28. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 52; Gola/Schomerus, § 28 BDSG Rz. 28; im Ergebnis ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 61. 3 Schaffland/Wiltfang, § 28 BDSG Rz. 86. 4 A.A. Taeger/Gabel/Taeger, § 28 BDSG Rz. 62. 5 Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 52; Gola/Schomerus, § 28 BDSG Rz. 28; Simitis/Simitis, § 28 BDSG Rz. 129; Schaffland/ Wiltfang, § 28 BDSG Rz. 89, 128, s. auch die Übersicht Rz. 107a; strenger dagegen Taeger/Gabel/Taeger, § 28 BDSG Rz. 61, der eine Einzelfallprüfung erfordert. 6 BGH v. 17.12.1985 – VI ZR 244/84, NJW 1986, 2505 (2505). 7 Simitis/Simitis, § 28 BDSG Rz. 127.
568 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
jähriger betroffen sind1. Die Interessenabwägung kann grundsätzlich auch und selbst dann zugunsten der verantwortlichen Stelle ausfallen, wenn der Betroffene der Datenverarbeitung widersprochen hat2. e) Fallgruppen aa) Strategische Datenanalyse (Data Warehouse, Data Mining, Kundenprofile) Unternehmen haben ein nachvollziehbares Interesse an einer strategi- 55 schen Datenanalyse, da sie die Voraussetzung u.a. für eine Optimierung des Leistungsangebots, für eine gezielte und damit effektive Werbung und für die Verbesserung des eigenen Managements ist3. Der Begriff „Data Warehouse“ bezeichnet in diesem Zusammenhang Datenbanken, in denen die verantwortliche Stelle Daten zusammenfasst und organisiert, die aus ihrer geschäftlichen Tätigkeit stammen4. Diese Datenbanken können im Wege des sog. „Data Minings“ systematisch untersucht und analysiert werden mit dem Ziel, bestimmte Muster oder Gruppierungen zu erkennen5. Data Warehousing und Data Mining sind datenschutzrechtlich unbedenklich, wenn dabei ausschließlich anonymisierte (§ 3 Abs. 6) oder irreversibel pseudonymisierte (§ 3 Abs. 6a) Daten verwendet werden, da es sich hierbei gar nicht erst um personenbezogene Daten i.S.d. § 3 Abs. 1 handelt6. Ist dies nicht der Fall, muss das wirtschaftliche und organisatorische Interesse der verantwortlichen Stelle an der strategischen Nutzung solcher Datensammlungen mit den schutzwürdigen Interessen des Betroffenen abgewogen werden. Teilweise wird vertreten, dass in dieser Praxis eine Massendatenverarbeitung zu sehen sei, von der ein erhöhtes Risiko für die Daten der Betroffenen ausgehen soll7. Dem ist nicht zuzustimmen, jedenfalls soweit aufgrund dieses Risikos dem Data Warehousing bzw. Data Mining eine generelle Absage erteilt werden soll. Die Schutzbedürftigkeit des einzelnen Be1 So ähnlich Bergmann/Möhrle/Herb, § 28 BDSG Rz. 243, 251. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 53; so grundsätzlich auch Simitis/Simitis, § 28 BDSG Rz. 109, 143, allerdings mit der Forderung nach einem strengeren Prüfungsmaßstab; vgl. auch OLG Düsseldorf v. 19.5.2010 – I-15 U 11/09, 15 U 11/09. 3 So auch Büllesbach, CR 2000, 11 (14); a.A. Taeger/Gabel/Taeger, § 28 BSDG Rz. 57. 4 Schaffland/Wiltfang, § 28 BDSG Rz. 132a; Büllesbach, CR 2000, 11 (12). 5 Vgl. Büllesbach, CR 2000, 11, 12. 6 Vgl. Taeger/Gabel/Buchner, § 3 BDSG Rz. 47; Büllesbach, CR 2000, 11 (13). 7 Baeriswil, RDV 2000, 6; Jacob/Jost, DuD 2003, 621 (623).
Plath 569
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
troffenen kann nicht davon abhängen, in welchem quantitativen Umfang die Datenverwendung erfolgt1. Erfolgt die Verwendung in Data Warehouses und durch Data Mining ausschließlich zum Zweck der Marktanalyse und des strategischen Managements, so ist der Personenbezug, auch wenn er noch besteht, nicht ausschlaggebend. Konkret geht es der verantwortlichen Stelle nämlich nicht um den einzelnen Kunden, sondern um das Erkennen von Mustern2. In diesen Fällen überwiegt in der Regel das Interesse der verantwortlichen Stelle. 56 Etwas anders muss diese Praxis bewertet werden, wenn sie in der Erstellung von konkreten Kundenprofilen mündet. Der Personenbezug ist dann von Bedeutung. Der Ausgang der Interessenabwägung hängt maßgeblich vom Ziel der Datenverwendung ab. Werden beispielsweise Kundenprofile erstellt, anhand derer Kreditkartenunternehmen unübliche Zahlungsverhalten und damit mögliche Missbräuche feststellen können, so wird dem ausgeprägten Interesse der verantwortlichen Stelle, sich vor schädlichem Verhalten zu schützen, eine nur geringe Schutzbedürftigkeit des Betroffenen entgegenzusetzen sein. Dafür spricht auch, dass dieser regelmäßig ein Eigeninteresse daran haben wird, dass ungewöhnliche Vorgänge überprüft werden. Ähnlich ist die Erstellung von Kundenprofilen zur Überprüfung der Bonität oder des Zahlungsverhaltens zu bewerten: Auch hier überwiegt in der Regel das Interesse der verantwortlichen Stelle, kein unnötiges wirtschaftliches Risiko einzugehen. Die Erstellung von Kundenprofilen ausschließlich zu Werbezwecken richtet sich dagegen nicht nach Abs. 1 Satz 1 Nr. 2, sondern nach Abs. 3 (Rz. 99 ff.). 57 Schließlich wird der Zulässigkeit einer systematischen Datenanalyse regelmäßig entgegengehalten, dass es ihr an einer ausreichenden Zweckbindung gem. Abs. 1 Satz 2 fehle3. Selbstverständlich kann nicht vorab jeder einzelne Analysevorgang als Verwendungszweck aufgezählt werden. Maßgeblich ist jedoch lediglich der „Endzweck“ einer jeweiligen Datenverwendung4. Der Hinweis bei erstmaliger Erhebung oder Speicherung, dass Daten zu Zwecken der Profilerstellung oder Marktanalyse verwendet werden, genügt damit den Anforderungen des Abs. 1 Satz 2.
1 So auch Bull, NJW 2006, 1617 (1620). 2 Ebenso Bull, NJW 2006, 1617 (1621); ähnlich im Bezug auf das Erkennen von Wirtschaftskriminalität auch Salvenmoser/Hauschka, NJW 2010, 331 (333). 3 So Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 50; Simitis/Simitis, § 28 BDSG Rz. 112; Taeger/Gabel/Taeger, § 28 BDSG Rz. 57. 4 Ebenso Bull, NJW 2006, 1617 (1621).
570 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
bb) Warnung und Aufklärung Es besteht ein herausragendes Interesse der Wirtschaft an der Verwen- 58 dung von Daten zu Zwecken des Risikomanagements und zur Bekämpfung von Korruption und Wirtschaftskriminalität1. Darunter fallen beispielsweise Maßnahmen wie die Einrichtung von unternehmens- oder konzerninternen Warndateien zur Vorbeugung von Geldwäsche und Betrug2. Demgegenüber kann die Schutzwürdigkeit des Betroffenen in aller Regel nicht überwiegen3. Ebenso nach Abs. 1 Satz 1 Nr. 2 zulässig ist die Übermittlung entsprechender Daten an Branchenwarndienste, z.B. im Bank-, Versicherungs- oder Spielbankgeschäft4. Die verantwortlichen Stellen haben ein gemeinsames Interesse an der Bekämpfung bereichsspezifischer Risiken. Die Überprüfung und Bekämpfung von Straftaten im Arbeitsverhältnis richtet sich dagegen seit der BDSG-Novelle II nach § 32 Abs. 1 Satz 1 und 25. Kreditinstitute sind zur Einrichtung eines entsprechenden Sicherheitssystems sogar qua Gesetz verpflichtet; die Datenverwendung zu diesen Zwecken richtet sich nach §§ 25a, 25c KWG6. In eine ähnliche Richtung geht die Argumentation, wonach ein berech- 59 tigtes Interesse der verantwortlichen Stelle auch in der Aufklärung oder Warnung der Öffentlichkeit liegen kann. Gerade dann, wenn der eigene Geschäftszweck der verantwortlichen Stelle darin besteht, eine Plattform für warnende oder aufklärende Meinungsäußerungen zu bieten, überwiegt regelmäßig ihr Interesse an der Verwendung personenbezogener Daten gegenüber den Interessen des Betroffenen. Dies hat das OLG Hamburg mit Blick auf den Betreiber eines Internetforums entschieden, dem das Gericht ein eigenes Interesse an der Verbreitung der Warnung eines Plattformnutzers vor bestimmten Nahrungsergänzungsmitteln zugebilligt hat7. 1 Ausführlich hierzu Salvenmoser/Hauschka, NJW 2010, 331 (333). 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 60; Schaffland/Wiltfang, § 28 BDSG Rz. 90, allerdings mit hohen Sorgfaltsanforderungen. 3 Ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 65; Simitis/Simitis, § 28 BDSG Rz. 135; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 252; Bergles/Eul, BKR 2003, 273; a.A. dagegen Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 50. 4 Ebenso Simitis/Simitis, § 28 BDSG Rz. 119; ähnlich im Ergebnis Schaffland/ Wiltfang, § 28 BDSG Rz. 90, 110 (117). 5 S. auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 67; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 50; Salvenmoser/Hauschka, NJW 2010, 331 (333). 6 Vgl. Taeger/Gabel/Taeger, § 28 BDSG Rz. 60; Salvenmoser/Hauschka, NJW 2010, 331 (332). 7 OLG Hamburg v. 2.8.2011 – 7 U 134/10, ZD 2011, 138 (140).
Plath 571
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
60 Ähnlich gelagert sind die Fälle der Datenverwendung zu Zwecken eines Produktrückrufs. Das Interesse der verantwortlichen Stelle, Daten für eine Rückrufaktion zu verwenden, wird regelmäßig gegenüber den Interessen des Betroffenen überwiegen, zumal solche Aktionen auch zu dessen eigener Sicherheit erfolgen1. Ein Beispiel hierfür ist die Übermittlung von Autokäuferdaten durch den Händler an den Hersteller2. cc) Bonitätsprüfung 61 Ähnlich wie die Frage der Korruptionsbekämpfung bzw. der allgemeinen Compliance (s.o. Rz. 58 ff.) ist die Problematik der Bonitätsprüfung zu bewerten. Grundsätzlich besteht ein Interesse der verantwortlichen Stelle an der Überprüfung der Bonität eines Kunden, insbesondere dann, wenn sie vorleistungspflichtig ist3. Im Rahmen der Interessenabwägung ist insbesondere zu berücksichtigen, ob sog. „weiche“ Merkmale (Einschätzungen, Angaben über Mahnungen, Lohnabzüge, Kreditkündigungen)4 oder „harte“ Merkmale (Zwangsvollstreckung, Insolvenz) verwendet werden. Der Grund hierfür ist, dass „weiche“ Merkmale einen erheblichen Interpretationsspielraum eröffnen, der sich unter Umständen zulasten des Betroffenen auswirken kann. Je „weicher“ die Merkmale, desto sorgfältiger muss die Interessenabwägung erfolgen5. Dagegen kann bei „harten“ Negativmerkmalen grundsätzlich von einem Vorrang der berechtigten Interessen der verantwortlichen Stelle ausgegangen werden6.
1 Taeger/Gabel/Taeger, § 28 BDSG Rz. 66; Simitis/Simitis, § 28 BDSG Rz. 113, 122. 2 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 252. 3 BGH v. 23.1.2003, NJW 2003, 1237 (1240); vgl. auch Kamlah/Hoke, RDV 2007, 242 (243); ebenso Bergmann/Möhrle/Herb, § 28 BDSG Rz. 231; Schaffland/ Wiltfang, § 28 BDSG Rz. 107; im Ergebnis auch Simitis/Simitis, § 28 BDSG Rz. 118; Weichert, DuD 2001, 264 (266). 4 Zum „weichen“ Merkmal der Kontoauflösung wegen Kontoüberziehung OLG München v. 22.6.2010 – 5 U 2020/10, MMR 2011, 209 (210). 5 Simitis/Simitis, § 28 BDSG Rz. 137; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 241 m.w.N.; für eine absolute Unzulässigkeit der Übermittlung von „unklaren Negativmerkmalen“ Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 54. 6 Ebenso Simitis/Simitis, § 28 BDSG Rz. 137; OLG Frankfurt a.M. v. 13.7.2010 – 19 W 33/10, NJOZ 2010, 2376 (2377).
572 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
dd) Auskunfteien Soweit Daten über Forderungen an Auskunfteien übermittelt werden, richtet sich diese Verwendung nach § 28a1. Demnach bleibt für eine Anwendbarkeit des Abs. 1 Satz 1 Nr. 2 nur Raum, wenn andere Daten als Daten über Forderungen übermittelt werden. Darüber hinaus ist § 28a auch dann nicht anwendbar, wenn es sich beim Empfänger nicht um eine Auskunftei i.S.d. § 28a handelt, oder wenn keine Übermittlung, sondern eine Verarbeitung bzw. Nutzung der Daten stattfindet (vgl. hierzu § 28a Rz. 5).
62
Im Rahmen der Interessenabwägung wird hier jedoch darauf zu achten 63 sein, ob es sich bei dem infrage stehenden Datum um ein „weiches“ oder „hartes“ Negativmerkmal handelt (näher hierzu siehe bereits Rz. 61). Unterliegen die betroffenen Daten dem Bankgeheimnis, so ist zu beachten, dass an die Wahrung des Bankgeheimnisses die gleichen Anforderungen gestellt werden wie an die Erforderlichkeit nach Abs. 1 Satz 1 Nr. 2. Damit ist eine Verletzung des Bankgeheimnisses in aller Regel dann ausgeschlossen, wenn der jeweilige Vorgang datenschutzrechtlich gerechtfertigt ist2. ee) Beweissicherung Ein berechtigtes Interesse der verantwortlichen Stelle besteht auch in 64 der Verwendung von Daten zu Nach- oder Beweiszwecken. So soll beispielsweise ein Unternehmen ein berechtigtes Interesse an der Aufbewahrung erteilter Einwilligungen in Werbeanrufe auch nach deren Widerruf haben, um zu einem späteren Zeitpunkt die Einhaltung der gesetzlichen Einwilligungsvorschriften nachweisen zu können3. ff) Outsourcing Angesichts der zunehmenden Bedeutung und Komplexität von IT-Syste- 65 men besteht ein berechtigtes wirtschaftliches und organisatorisches Interesse der verantwortlichen Stellen an einem Outsourcing dieses Be-
1 Vgl. § 28a Rz. 1, 3 zur Bewertung der Übermittlung von Daten an die SCHUFA nach § 28 a.F. OLG Koblenz v. 23.9.2009 – 2 U 423/09, OLG Koblenz v. 3.11.2009 – 2 U 423/09, LG Dortmund v. 15.5.2009 – 8 O 400/08 sowie LG Dortmund v. 30.9.2009 – 2 O 23/09. 2 Vgl. OLG Thüringen v. 18.5.2004 – U 862/03; ebenso Schaffland/Wiltfang, § 29 Rz. 31; Kamlah/Hoke, RDV 2007, 242 (243). 3 LG Hamburg v. 23.12.2008 – 312 O 362/08, VuR 2009, 279.
Plath 573
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
reichs und damit an der Übermittlung der für die Funktionswahrnehmung erforderlichen Daten1. Gleiches gilt für die Auslagerung ganzer Geschäftsprozesse. Soweit dabei nur die notwendigen Daten übermittelt und konkrete Verwendungsbeschränkungen des Dienstleisters vereinbart werden, muss das Interesse des Betroffenen hinter dem Ausgliederungsinteresse der verantwortlichen Stelle zurücktreten. In der Praxis wird im Rahmen des Outsourcings zwar regelmäßig eine Auftragsdatenverarbeitung gemäß § 11 vereinbart. Zwingend ist dies jedoch nicht, da ein Outsourcing unter den vorstehend dargestellten Voraussetzungen grundsätzlich auch auf § 28 gestützt werden kann. Zu beachten ist dabei, dass bei einem Outsourcing im Rahmen einer Auftragsdatenverarbeitung der Übermittler weiterhin verantwortliche Stelle bleibt, so dass es auf die Frage des Rechts zur Übermittlung nach § 28 nicht ankommt, sondern allein auf die Einhaltung der Voraussetzungen des § 11. Dies ist zweifellos einer der Gründe, weshalb in der Praxis regelmäßig der „sicherere“ Weg über die Auftragsdatenverarbeitung eingeschlagen wird, die nicht von einer Interessenabwägung abhängt. gg) Due Diligence 66 Im Rahmen einer Due Diligence-Prüfung, z.B. im Rahmen von Unternehmenstransaktionen kann es ebenfalls zu einer Verwendung personenbezogener Daten kommen. Auch hier gilt der Grundsatz, dass der Umgang mit anonymisierten oder pseudonymisierten Daten zu bevorzugen ist2. Ist dies jedoch nicht möglich – z.B. weil es auf die Identität des Betroffenen ankommt – oder mit einem unverhältnismäßigen Aufwand verbunden, so kann eine Datenverwendung im Rahmen von Due Diligence auf Abs. 1 Satz 1 Nr. 2 gestützt werden, soweit sie im konkreten Fall erforderlich ist3. Das Interesse der verantwortlichen Stelle, eine Prüfung durch den potentiellen Käufer des Unternehmens zu ermöglichen, ist in der Regel höher zu bewerten als das Interesse des Betroffenen. Davon ist auch die Übermittlung von Daten an die Stelle erfasst, die mit der Due Diligence-Prüfung beauftragt ist, z.B. Rechtsanwälte oder Wirtschaftsprüfer4. Die Verwendung von Arbeitnehmerdaten für ei-
1 Simitis/Simitis, § 28 BDSG Rz. 101. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 51; im Ergebnis ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 59, 68; vgl. auch Göpfert/Meyer, NZA 2011, 486 (489). 3 Taeger/Gabel/Taeger, § 28 BDSG Rz. 68; Göpfert/Meyer, NZA 2011, 486 (488). 4 Taeger/Gabel/Taeger, § 28 BDSG Rz. 68.
574 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
ne Due Diligence-Prüfung innerhalb eines Arbeitsverhältnisses richtet sich nicht nach § 32, sondern ebenfalls nach Abs. 1 Satz 1 Nr. 21. hh) Unternehmensverkäufe Im Rahmen der datenschutzrechtlichen Beurteilung einer Unterneh- 67 menstransaktion muss zwischen dem „Share Deal“ und dem „Asset Deal“ unterschieden werden. Beim Share Deal ist lediglich die gesellschaftsrechtliche Beteiligung Gegenstand des Unternehmenskaufvertrages, so dass die Identität des Unternehmens von der Transaktion unberührt bleibt2. Dementsprechend erfolgt auch keine Übermittlung an einen Dritten i.S.d. § 3 Abs. 8 Satz 3, so dass der Anwendungsbereich des § 28 nicht eröffnet ist, da das Verbot des § 4 Abs. 1 nicht zum Tragen kommt. Anders ist die Situation beim Asset Deal. Hier werden die einzelnen Wirtschaftsgüter, zu denen auch Daten gehören können, im Wege der Einzelrechtsnachfolge übertragen3. Dementsprechend erfolgt auch ein Wechsel der verantwortlichen Stelle; es findet eine Übermittlung der Daten i.S.d. § 3 Abs. 4 Satz 2 Nr. 3 statt. Diese Verwendung erfolgt grundsätzlich im berechtigten Interesse der ursprünglich verantwortlichen Stelle, ihre Assets im Rahmen der Transaktion zu veräußern. Teilweise wird eine Datenübermittlung im Rahmen von Unterneh- 68 mensverkäufen ohne Einwilligung jedoch als unzulässig abgelehnt4. Diese Ansicht stützt sich darauf, dass dem Betroffenen der Vertragspartner nicht aufoktroyiert werden könne5. Dies ist grundsätzlich zutreffend, doch wirkt sich dieser Umstand nicht auf das Ergebnis der Interessenabwägung i.R.d. Abs. 1 Satz 1 Nr. 2 aus. Das maßgebliche Interesse des Betroffenen liegt insoweit eben nicht in der Verhinderung der Übermittlung seiner personenbezogenen Daten, sondern in der freien Wahl des Vertragspartners. Diesem Interesse wird durch den Umstand genügte getan, dass eine gesonderte Übertragung der Vertragsbeziehung nur mit Zustimmung des Betroffenen erfolgen kann. Die Übermittlung der personenbezogenen Daten ist dagegen nach Abs. 1 Satz 1 Nr. 2 zulässig6. Beim einfachen Verkauf von Kundenlisten und Adressdaten zu Werbe-
1 Siehe dazu § 32 Rz. 9, 146, a.A. Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 51. 2 Vgl. Göpfert/Meyer, NZA 2011, 486 (490); Plath, CR 2007, 345 (346). 3 Vgl. Plath, CR 2007, 345. 4 Simitis/Simitis, § 28 BDSG Rz. 68 m.w.N. 5 Simitis/Simitis, § 28 BDSG Rz. 68. 6 Ebenso Schaffland, NJW 2002, 1539, 1541.
Plath 575
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
zwecken außerhalb einer Transaktion ist dagegen Abs. 3 einschlägig. Dient die Unternehmenstransaktion dem vornehmlichen oder gar alleinigen Zweck, die erworbenen Daten für Werbezwecke zu verwenden, so ist zur Ermittlung der anwendbaren Norm eine Abgrenzung im Einzelfall erforderlich, wobei auf den Schwerpunkt der bezweckten Nutzung abzustellen ist. 69 Strittig ist, ob im Fall einer Unternehmensumwandlung eine Übermittlung von Daten erfolgt. Dies ist aufgrund der Gesamtrechtsnachfolge gem. § 20 UmwG abzulehnen, da das neu entstandene Unternehmen nicht Dritter i.S.d. § 3 Abs. 8 Satz 3 ist1. Der Anwendungsbereich des Abs. 1 Satz 1 Nr. 2 ist damit gar nicht erst eröffnet. 70 Einen Sonderfall zu den oben dargestellten Unternehmensverkäufen bildet der Verkauf von Kanzleien bzw. Praxen (z.B. bei Anwälten, Steuerberatern oder Ärzten). Auch hier kommt es in der Regel zur Übermittlung der Mandanten- bzw. Patientenkarteien. Diese Datenverwendung erfolgt zwar ebenfalls im berechtigten Interesse der verantwortlichen Stelle, doch ist hier problematisch, dass es sich bei den infrage stehenden Daten in der Regel um sehr sensible Daten handelt. 71 Patientendaten sind „besondere Arten personenbezogener Daten“ i.S.d. § 3 Abs. 9. Ihre Verwendung richtet sich ausschließlich nach Abs. 6–8, so dass eine Zulässigkeit nach Abs. 1 Satz 1 Nr. 2 ausgeschlossen ist2. Der Verkauf von Arztpraxen ohne Einwilligung in die Übermittlung der Patientendaten ist wegen eines Verstoßes gegen ein gesetzliches Verbot (Art. 2 Abs. 1 GG, § 203 StGB) gem. § 134 BGB nichtig3. 72 Mandantendaten sind dagegen keine „besonderen Daten“ i.S.d. § 3 Abs. 9, so dass ihre Übermittlung grundsätzlich nach Abs. 1 Satz 1 Nr. 2 zu bewerten ist. Aufgrund ihrer besonderen Sensibilität wird hier jedoch regelmäßig die Interessenabwägung zugunsten des Betroffenen ausfallen, so dass das Einholen einer Einwilligung zu empfehlen ist4. Dies gilt insbesondere angesichts der Tatsache, dass die Geheimhaltung solcher 1 Ebenso Simitis/Simitis, § 28 BDSG Rz. 66; Lüttge, NJW 2000, 2463 (2465); vgl. auch Innenministerium Baden-Württemberg, Hinweise zum Datenschutz für die private Wirtschaft Nr. 38 v. 18.1.2000; a.A. Taeger/Gabel/Taeger, § 28 BDSG Rz. 69 ff. 2 Simitis/Simitis, § 28 BDSG Rz. 132. 3 BGH v. 11.12.1991, NJW 1992, 737; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 54; Schaffland/Wiltfang, § 28 BDSG Rz. 92b. 4 Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 49; Simitis/Simitis, § 28 BDSG Rz. 134.
576 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
Daten eine Berufspflicht nach § 43a Abs. 2 BRAO ist, und dass das Mandatsgeheimnis von den Bestimmungen des BDSG unberührt bleibt (vgl. ausführlich hierzu § 1 Rz. 40). ii) Konzerninteressen Umstritten ist, ob das Interesse der verantwortlichen Stelle am wirt- 73 schaftlichen Wohlergehen des (Gesamt-)Konzerns gegenüber den berechtigten Interessen des Betroffenen überwiegen kann1. Dafür spricht zunächst, dass die wirtschaftliche Situation eines konzernverbundenen Unternehmens regelmäßig eng mit der wirtschaftlichen Situation des Konzerns selbst verbunden ist, und somit das Vorliegen eines berechtigten, wirtschaftlichen Interesses der verantwortlichen Stelle grundsätzlich zu bejahen ist. Allerdings ist zu berücksichtigen, dass das BDSG kein Konzernprivileg vorsieht. Dieser grundsätzlichen Ausrichtung würde es zuwiderlaufen, wenn eine konzerninterne Datenübermittlung durch die verantwortliche Stelle mit der Wahrnehmung von Konzerninteressen gemäß Abs. 1 Satz 1 Nr. 2 gerechtfertigt werden könnte. Demnach ist davon auszugehen, dass im Regelfall die schutzwürdigen Interessen des Betroffenen gegenüber dem wirtschaftlichen Interesse der verantwortlichen Stelle am Wohlergehen des Konzerns überwiegen werden, solange die Rechtfertigung der Übermittlung allein aus der Konzernverbundenheit hergeleitet werden soll2. Ungeachtet dessen bleibt eine Übermittlung an konzernverbundene Unternehmen nach den allgemeinen Abwägungsgrundsätzen, die auch für die Übermittlung an konzernferne Dritte gelten, stets möglich, z.B. also wenn eine Konzerngesellschaft von der verantwortlichen Stelle zur Wahrung von deren Interessen, etwa einer Bonitätsprüfung, eingeschaltet wird. jj) Versicherungen Umstritten ist, ob die Übermittlung von Daten von Versicherungsnehmern durch den Versicherer an den Rückversicherer nach Abs. 1 Satz 1 Nr. 2 zulässig ist3. Das berechtigte Interesse der verantwortlichen Stelle
1 Zur Zulässigkeit der Übermittlung innerhalb einer Gesellschaft LG Hamburg v. 9.3.2009 – 415 O 141/08. 2 Ebenso Schulz, BB 2011, 2552 (2554). 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 252; Simitis/Simitis, § 28 BDSG Rz. 116; vgl. auch die Mustererklärung „Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung“ des Düsseldorfer Kreises, Beschluss v. 17.1.2012.
Plath 577
74
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
soll nach einer Ansicht entfallen, wenn der Datenempfänger die Möglichkeit hat, sich die notwendigen Daten durch staatliche Stellen übermitteln zu lassen1. Dem muss entgegengehalten werden, dass es für den Betroffenen keinen Unterschied macht, ob der Hersteller bzw. Rückversicherer durch eine öffentliche oder nicht-öffentliche Stelle Zugriff auf seine Daten erhält, zumal er in der Regel ein Interesse an der Durchführung von Rückrufaktionen bzw. an der Rückversicherung seines Versicherers hat. Für den Datenempfänger bedeutet der Umweg über staatliche Stellen jedoch einen erheblichen Mehraufwand, der in keinem Verhältnis zur Beeinträchtigung des Betroffenen steht. 4. Allgemein zugängliche Daten (Abs. 1 Satz 1 Nr. 3) 75 Nach Abs. 1 Satz 1 Nr. 3 ist die Verwendung personenbezogener Daten auch dann zulässig, wenn diese Daten entweder allgemein zugänglich sind (1. Variante), oder die verantwortliche Stelle diese Daten veröffentlichen dürfte (2. Variante), wenn und soweit kein schutzwürdiges Betroffeneninteresse offensichtlich überwiegt. Die Datenverwendung muss dabei zur Erfüllung des eigenen Geschäftszwecks erfolgen und darf demnach nicht der Geschäftszweck selbst sein2. a) Begriff der allgemein zugänglichen Daten 76 Mit der Zulässigkeit der Nutzung allgemein zugänglicher Daten wird dem Grundrecht auf Informationsfreiheit entsprochen3. Demnach sind „allgemein zugängliche“ Daten solche, die aus „allgemein zugänglichen Quellen“ i.S.d. Art. 5 Abs. 1 Satz 1 GG entnommen werden können4. Eine Quelle ist nach der Definition des BVerfG allgemein zugänglich, wenn sie „technisch geeignet und bestimmt ist, der Allgemeinheit Informationen zu verschaffen“5. Darunter fallen zum Beispiel: – Alle frei erwerbbaren, veröffentlichten Printmedien wie Telefonbücher, Zeitungen und Zeitschriften, Bücher, Kataloge, Flyer, Verzeich-
1 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 49; Simitis/Simitis, § 28 BDSG Rz. 122. 2 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 260. 3 Gola/Schomerus, § 28 BDSG Rz. 32 m.w.N.; kritisch und für eine restriktive Auslegung Simitis/Simitis, § 28 BDSG Rz. 146. 4 So noch der Wortlaut der a.F., der aus redaktionellen Gründen abgeändert wurde; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 57; Bergmann/ Möhrle/Herb, § 28 BDSG Rz. 261. 5 BVerfGE 27, 71 (83); BVerfGE 33, 52 (65); BVerfGE 103, 44 (60).
578 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
nisse, Nachschlagewerke usw.1, nicht jedoch interne Rundschreiben, Mitgliederlisten und Newsletter2; – öffentlich zugängliche Fernseh- und Radiosendungen sowie entsprechende Aufzeichnungen, z.B. CDs, DVDs, Videos, CD-Roms, MP3s, Podcasts3; – alle allgemein, z.B. über Suchmaschinen zugänglichen Internetinhalte, insbesondere auch Daten aus sozialen Netzwerken, soweit sie allgemein sichtbar sind4, ebenso wie ihre Zusammentragung durch Dienste wie yasni oder 123people5, öffentlich zugängliche Gebäudefotos, etwa über „Google Street-View“, soweit sie personenbeziehbar sind6, nicht jedoch Daten aus geschlossenen Intranets; – öffentlich zugängliche Anschläge, Plakate, Annoncen, Werbungen, inklusive der Veröffentlichungen auf allgemein zugänglichen „Schwarzen Brettern“7; – öffentliche Veranstaltungen, Konzerte, Ausstellungen, Aufführungen, Kundgebungen, Vorträge, Messen8; – öffentlich einsehbare Register wie das Vereinsregister, das Register der Aufsichtsbehörden, das Handelsregister, das Schiffsregister, das familienrechtliche Güterrechtsregister, das Partnerschaftsregister, das Wählerverzeichnis, in begrenztem Umfang das Einwohnermelderegister9. Problematisch ist jedoch die Frage, ob auch solche Register, bei denen die Einsichtnahme ein berechtigtes Interesse Voraussetzung erfordert 1 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 58; Bergmann/Möhrle/ Herb, § 28 BDSG Rz. 262; Schaffland/Wiltfang, § 28 BDSG Rz. 134. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 94; Schaffland/Wiltfang, § 28 BDSG Rz. 135, Simitis/Simitis, § 28 BDSG Rz. 152. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 262; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 58; Taeger/Gabel/Taeger, § 28 BDSG Rz. 81; Schaffland/ Wiltfang, § 28 BDSG Rz. 134. 4 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 262, 263; Taeger/Gabel/Taeger, § 28 BDSG Rz. 82; Gola/Schomerus, § 28 BDSG Rz. 33a; a.A. Däubler/Klebe/Wedde/ Weichert/Wedde, § 28 BDSG Rz. 58, wenn eine Veröffentlichung durch den Betroffenen nicht explizit gewollt ist. 5 Taeger/Gabel/Taeger, § 28 BDSG Rz. 82. 6 Taeger/Gabel/Taeger, § 28 BDSG Rz. 83; a.A. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 269. 7 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 262; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 58; Taeger/Gabel/Taeger, § 28 BDSG Rz. 81; Schaffland/ Wiltfang, § 28 BDSG Rz. 134. 8 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 262; Taeger/Gabel/Taeger, § 28 BDSG Rz. 81; Gola/Schomerus, § 28 BDSG Rz. 32. 9 Vgl. Taeger/Gabel/Taeger, § 28 BDSG Rz. 93.
Plath 579
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
(z.B. das Grundbuch, das Verkehrszentralregister, das Bundeszentralregister, das Personenstandsregister, das Fahrzeugregister, das Gewerbezentralregister sowie das Schuldnerverzeichnis und SCHUFA-Listen), als allgemein zugängliche Quellen angesehen werden können. Grundsätzlich ist dies nicht der Fall, da durch das Erfordernis eines berechtigten Interesses eine Zugangsschranke besteht1. Ist jedoch ein berechtigtes Interesse gegeben, so können auch solche Quellen ausnahmsweise als allgemein zugänglich anzusehen sein. Ein berechtigtes Interesse soll dabei bereits dann vorliegen, wenn die Daten zur Erörterung eines Themas von öffentlichem Interesse verwendet werden sollen2; – öffentliche Bekanntmachungen, beispielsweise über Insolvenzverfahren3, Baufreigaben4, Autokennzeichen. 77 Die Daten müssen im Zeitpunkt der Verwendung allgemein zugänglich sein5. Unerheblich ist, wie lange sie bereits zugänglich waren, und ob sie später gelöscht wurden. Auch flüchtige Daten, z.B. aus einer öffentlich gesprochenen Rede, sind öffentlich zugängliche Daten i.S.d. Abs. 1 Satz 1 Nr. 36. Unerheblich ist, ob die verwendeten Daten tatsächlich aus öffentlich zugänglichen Quellen entnommen wurden. Es kommt lediglich darauf an, dass der Verwender diese Möglichkeit gehabt hätte. So ist beispielsweise die Verwendung von Daten, die der verantwortlichen Stelle von einem Dritten übermittelt wurden, zulässig, wenn die verantwortliche Stelle die Daten auch aus öffentlich zugänglichen Quellen hätte entnehmen können7. Ebenso wenig von Bedeutung ist die Art der Entnahme der Daten aus der allgemein zugänglichen Quelle. Sie können demnach kopiert, heruntergeladen, abgeschrieben oder auf sonstige Wei-
1 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 261, 264; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 58; Taeger/Gabel/Taeger, § 28 BDSG Rz. 84, 91; Schaffland/Wiltfang, § 28 BDSG Rz. 135; Gola/Schomerus, § 28 BDSG Rz. 32; Simitis/Simitis, § 28 BDSG Rz. 153. 2 So z.B. OLG Hamburg v. 2.8.2011 – 7 U 123/10, ZD 2011, 138 (140) bezüglich der Verwendung von Daten aus dem (irischen) Handelsregister zu Zwecken der Verbraucheraufklärung in einem Forumsbeitrag. 3 Ausführlich hierzu Taeger/Gabel/Taeger, § 28 BDSG Rz. 85; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 262. 4 A.A. Simitis/Simitis, § 28 BDSG Rz. 152. 5 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 266. 6 Taeger/Gabel/Taeger, § 28 BDSG Rz. 81. 7 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 59, Schaffland/Wiltfang, § 28 BDSG Rz. 136.
580 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
se abgerufen worden sein1. Schließlich ist es auch unerheblich, ob die Quelle inländischer oder ausländischer Herkunft ist2. Keine Auswirkung auf die allgemeine Zugänglichkeit von Daten hat ein 78 eventuell bestehender spezialgesetzlicher, beispielsweise urheberrechtlicher Schutz der Daten3. Dagegen sind Daten, die nur unter einschränkenden Voraussetzungen zugänglich sind, grundsätzlich keine allgemein zugänglichen Daten i.S.d. Abs. 1 Satz 1 Nr. 3. Dies gilt zum Beispiel für Auskünfte nach dem Informationsfreiheitsgesetz (IFG) sowie nach dem Umweltinformationsgesetz (UIG)4. Eine Ausnahme von diesem Grundsatz ist jedoch denkbar, wenn die Zugangsvoraussetzungen erfüllt sind und die Verwendung der Daten im öffentlichen Interesse erfolgt5. Keine Auswirkung auf die allgemeine Zugänglichkeit hat zudem die Tatsache, dass der Zugang nur gegen Entgelt oder Gebühr gewährt wird6. Strittig ist, in welchem Umfang eine Datenverwendung nach Abs. 1 Satz 1 Nr. 3 zulässig ist. Teilweise wird vertreten, dass dieser Erlaubnistatbestand nur zur Verwendung vereinzelter Daten berechtigt7. Für diese Restriktion gibt es jedoch keinen Anhaltspunkt im Gesetz. Vielmehr ist von „Daten“ in der Mehrzahl die Rede. Lediglich der Zweckbindungsgrundsatz aus Abs. 1 Satz 2 muss bei einer umfänglichen Datenverwendung beachtet werden.
79
b) Befugnis zur Veröffentlichung Den allgemein zugänglichen Daten gleichgestellt sind solche Daten, die zwar (noch) nicht allgemein zugänglich sind, zu deren Veröffentlichung die verantwortliche Stelle jedoch berechtigt ist. Es kann nämlich keinen Unterschied machen, ob die Veröffentlichung bereits erfolgt ist, oder ob sie durch die verantwortliche Stelle zulässigerweise herbeigeführt werden könnte8. Die ursprüngliche Herkunft der Daten ist dabei unerheblich9. Die Berechtigung kann sowohl vertraglicher als auch gesetzlicher (z.B. § 103 UrhG, § 12 Abs. 3 UWG) Natur sein10. 1 2 3 4 5 6 7 8 9 10
Simitis/Simitis, § 28 BDSG Rz. 160. So z.B. OLG Hamburg v. 2.8.2011, 7 U 134/10, ZD 2011, 138 (140). Taeger/Gabel/Taeger, § 28 BDSG Rz. 83. Taeger/Gabel/Taeger, § 28 BDSG Rz. 95 ff. So z.B. OLG Hamburg v. 2.8.2011 – 7 U 134/10, ZD 2011, 138 (140). Taeger/Gabel/Taeger, § 28 BDSG Rz. 99. So z.B. Simitis/Simitis, § 28 BDSG Rz. 161. Vgl. Simitis/Simitis, § 28 BDSG Rz. 157. Simitis/Simitis, § 28 BDSG Rz. 159. Taeger/Gabel/Taeger, § 28 BDSG Rz. 101.
Plath 581
80
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
81 Der eher geringe Anwendungsbereich des Abs. 1 Satz 1 Nr. 3, 2. Variante umfasst beispielsweise die Verwendung durch Verlage oder Fachinformationsdienste von Daten über die publizistische oder wissenschaftliche Vergangenheit ihrer Autoren1. Ebenso kann die Verwendung von Daten, die im Rahmen eines Nachschlagewerks noch veröffentlicht werden sollen, aber bereits übermittelt wurden, in den Anwendungsbereich der Norm fallen2. c) Interessenabwägung 82 Auch im Rahmen des Abs. 1 Satz 1 Nr. 3 muss eine Abwägung mit den schutzwürdigen Interessen der Betroffenen erfolgen. Die Datenverwendung ist nur dann ausgeschlossen, wenn die Betroffeneninteressen gegenüber den Interessen der verantwortlichen Stelle offensichtlich überwiegen. Die Offensichtlichkeit ist gegeben, wenn die Interessensverletzung für den objektiven, unvoreingenommenen Beobachter ohne Weiteres auf der Hand liegt3. Dabei ist die Schutzbedürftigkeit des Betroffenen bei Daten, die jedermann zugänglich sind, grundsätzlich gering zu bewerten. Eine ausführliche Auseinandersetzung und Einzelfallprüfung ist damit nicht erforderlich4. 83 Für eine Schutzbedürftigkeit des Betroffenen kann beispielsweise der Umstand sprechen, dass er erkennbar die allgemeine Zugänglichkeit ausschließen will, beispielsweise durch einen Sperrvermerk5. Fraglich ist, ob dies auch bei Daten aus geschlossenen Netzwerken, soweit diese überhaupt öffentlich zugänglich sind (s.o. Rz. 76), der Fall ist. Eine überwiegende Schutzwürdigkeit ist wohl dann abzulehnen, wenn jedermann ohne Weiteres die Möglichkeit hat, Mitglied des Netzwerks zu werden, um damit auf die Daten zuzugreifen. In diesen Fällen ist es für den Betroffenen erkennbar, dass seine Daten praktisch für jeden, also öffentlich zugänglich sind6.
1 Gola/Schomerus, § 28 BDSG Rz. 33; Simitis/Simitis, § 28 BDSG Rz. 157; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 60. 2 Simitis/Simitis, § 28 BDSG Rz. 158. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 278; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 61. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 61, Gola/Schomerus, § 28 BDSG Rz. 31. 5 Taeger/Gabel/Taeger, § 28 BDSG Rz. 94, 98. 6 A.A. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 268.
582 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
Von einer überwiegenden Schutzwürdigkeit des Betroffenen ist dagegen in der Regel jedenfalls dann auszugehen, wenn dieser der Verwendung seiner veröffentlichten Daten widersprochen hat1.
84
Unter Umständen können sich auch Veränderungen bzw. der Zeitablauf 85 auf das Ergebnis der Interessenabwägung auswirken. So verletzt beispielsweise die Verwendung von Daten, die einer Löschungsfrist unterliegen, nach Ablauf dieser Frist in der Regel die schutzwürdigen Interessen des Betroffenen2. Gleiches gilt für Straftaten, „Jugendsünden“ und andere Daten, die sich auf Ereignisse der entfernten Vergangenheit beziehen3. Die Möglichkeit einer Weiterentwicklung des Betroffenen bzw. die „Gnade des Vergessens“4 ist ein offensichtlich schutzwürdiges Interesse5. Gleiches gilt für Daten aus Archiven bzw. solche, die nur über sog. Way-back-machines aufgerufen werden können6. Ihre Verwendung ohne Datum bzw. Hinweis auf die erfolgte Löschung bzw. Veränderung verletzt schutzwürdige Betroffeneninteressen. Zulässig ist jedoch der Hinweis auf die vormalige Existenz solcher gelöschten Daten7. Eine Ausnahme ist allerdings in den Fällen denkbar, in denen ein aktueller Bezug besteht oder wenn ein öffentliches Interesse an der Vergangenheit des Betroffenen besteht8. Umstritten ist die Frage, ob die Zusammenstellung und Veröffent- 86 lichung von allgemein zugänglichen Daten auf Bewertungsportalen, beispielsweise zur Bewertung von Lehrkräften, gegen die schutzwürdigen Interessen der Betroffenen verstößt. Problematisch ist dabei, dass durch die Zusammenstellung den Nutzern die Möglichkeit eröffnet wird, eine Bewertung vorzunehmen, die ihrerseits unter Umständen in die Interessen der Betroffenen eingreift. Diese beiden Vorgänge müssen jedoch getrennt betrachtet werden. Die Verwendung der Daten als solche ist nach Abs. 1 Satz 1 Nr. 3 zulässig, wenn sich die verantwortliche Stelle aus allgemein zugänglichen Daten bedient. Die Rechtmäßigkeit der anschließend erfolgenden Bewertung ist eine Frage des allgemeinen Persönlich-
1 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 61; im Ergebnis ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 106. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 87. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 280. 4 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 267. 5 Taeger/Gabel/Taeger, § 28 BDSG Rz. 103. 6 Taeger/Gabel/Taeger, § 28 BDSG Rz. 103 f. 7 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 270. 8 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 267.
Plath 583
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
keitsrechts, die über das Datenschutzrecht hinausgeht1. Die Einräumung der Bewertungsmöglichkeit führt demnach für sich genommen nicht zu einer Verletzung der schutzwürdigen Betroffeneninteressen2. 87 Die verantwortliche Stelle trägt das Risiko einer fehlerhaften Abwägung sowie die Beweislast bezüglich der öffentlichen Zugänglichkeit der verwendeten Daten3. Es empfiehlt sich daher, die Quelle zumindest intern zu vermerken. 5. Zweckbestimmung (Abs. 1 Satz 2) 88 Das Erfordernis der Zweckbestimmung nach Abs. 1 Satz 2 bezieht sich auf alle drei Erlaubnistatbestände des Abs. 1 Satz 1. Sinn und Zweck dieses Erfordernisses ist es, eine vorsorgliche Datenerhebung bzw. eine Vorratsdatensammlung zu verhindern. Erforderlich ist deshalb, dass die verantwortliche Stelle bei der Datenerhebung, spätestens jedoch vor Beginn der Speicherung, den Zweck der Datenverwendung im Rahmen ihrer geschäftlichen Tätigkeit festlegt4. Abs. 1 Satz 2 normiert lediglich die Pflicht zur Zweckbestimmung. Die Bindung an diesen Zweck ergibt sich erst aus dem Umkehrschluss der Abs. 2, 3, 5 oder 8, welche die Anforderungen an eine Verwendung zu anderen als den festgelegten Zwecken normieren5. 89 Dabei stellt sich insbesondere die Frage, wann eine Zweckbestimmung „konkret“ i.S.d. Abs. 1 Satz 2 ist. Der Hinweis, die Datenverwendung erfolge „zum eigenen Geschäftszweck“, wird wohl für sich genommen nicht ausreichen, da dieser Umstand bereits allgemeine Voraussetzung für die Erlaubnistatbestände des Abs. 1 ist. Andernfalls wäre Abs. 1 Satz 2 obsolet6. Andererseits würde eine Aufzählung jedes einzelnen denkbaren Verwendungsfalls einen unverhältnismäßigen Aufwand darstellen. Die Erlaubnistatbestände des Abs. 1 machen deutlich, dass eine Datenverwendung im wirtschaftlichen Wettbewerb unumgänglich ist. Eine zu enge Auslegung des Zweckbestimmungserfordernisses würde diesem In-
1 Diesbezüglich sind die Grundsätze zu beachten, die der BGH in der Spickmich.de-Entscheidung entwickelt hat, BGHZ 181, 328. 2 So im Ergebnis auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 105. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 271. 4 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 282; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 63. 5 So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 109. 6 Ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 108.
584 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
teresse, das der Gesetzgeber ausdrücklich anerkannt hat, zuwiderlaufen. Damit reicht es aus, wenn die verantwortliche Stelle den typischen Sachverhalt der Datenverwendung generalisiert darstellt (z.B. „Durchführung des mit dem Kunden geschlossenen Kaufvertrages“). Zudem ist nach dem Wortlaut des Abs. 1 Satz 2 auch die Bestimmung einer Vielzahl von Zwecken zulässig. Es empfiehlt sich demnach, die Zweckbestimmung möglichst weitläufig zu verfassen, um einen späteren Umweg über die Zweckänderungsvorschriften zu vermeiden. Die Zweckbestimmung ist auch für alle nachfolgenden Verwendungen der einmal erhobenen Daten bindend1. Die Zweckbestimmung kann sich grundsätzlich auch aus den Begleit- 90 umständen der Datenverwendung ergeben, ohne dass etwa ein „Register“ geführt werden müsste. Das Gesetz verpflichtet insbesondere nicht dazu, die Zweckbestimmung in Schriftform vorzunehmen. Aus Gründen der Beweissicherung empfiehlt sich jedoch eine schriftliche Niederlegung der Zwecke2. Die Zweckbestimmung hat keine Publizitätswirkung, sondern dient lediglich dem Nachweis der Zulässigkeit einer Datenverwendung. Eine interne Dokumentation des festgelegten Zwecks ist damit in jedem Fall ausreichend. III. Datenverwendung zu anderen Zwecken (Abs. 2) Abs. 2 normiert eine Durchbrechung des Zweckbindungsgrundsatzes3. Eine Änderung des gemäß Abs. 1 Satz 2 festgelegten Zwecks (z.B. Vertragserfüllung) ist in fünf Fällen zulässig: (i) Zur Wahrung eigener berechtigter Interessen (Abs. 2 Nr. 1, 1. Variante i.V.m. Abs. 1 Satz 1 Nr. 2), (ii) im Fall der Verwendung allgemein zugänglicher Daten (Abs. 2 Nr. 1, 2. Variante i.V.m. Abs. 1 Satz 1 Nr. 3), (iii) zur Wahrung berechtigter Interessen Dritter (Abs. 2 Nr. 2 Buchst. a), (iv) zur Gefahrenabwehr (Abs. 2 Nr. 2 Buchst. b) sowie (v) zu Forschungszwecken (Abs. 2 Nr. 3). Diese Aufzählung ist abschließend4.
1 Simitis/Simitis, § 28 BDSG Rz. 40. 2 Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 64; Bergmann/ Möhrle/Herb, § 28 BDSG Rz. 282; a.A. Gola/Schomerus, der aus den Anforderungen zur datenschutzgerechten Organisation eine Pflicht zur Einhaltung der Schriftform ableitet, § 28 Rz. 35. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 69. 4 So auch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 69; Taeger/Gabel/Taeger, § 28 BDSG Rz. 117.
Plath 585
91
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
92 Die Möglichkeit einer Zweckänderung beschränkt sich auf die Vorgänge des Übermittelns und des Nutzens1; die Erhebung und die Speicherung ist i.R.d. § 28 nur unter den Voraussetzungen des Abs. 1 zulässig. Eine Änderung ist sowohl zu Zwecken zulässig, die zum Zeitpunkt der Festlegung schon existierten, aber nicht berücksichtigt wurden, als auch zu gänzlich neuen, unvorhergesehenen Zwecken. 1. Wahrung eigener Interessen/allgemein zugängliche Daten (Abs. 2 Nr. 1) 93 Bezüglich der Zweckänderung zur Wahrung eigener berechtigter Interessen bzw. im Rahmen der Verwendung allgemein zugänglicher Daten (Abs. 2 Nr. 1) kann auf die Ausführungen zu Abs. 1 Nr. 2 und 3 verwiesen werden (s.o. Rz. 51 ff. bzw. 82). Dies gilt insbesondere für die erforderliche Interessenabwägung. Dabei muss auch der geänderte Zweck im Zusammenhang mit dem eigenen Geschäftszweck stehen2. Letztlich soll Abs. 2 Nr. 1 die verantwortliche Stelle lediglich dazu zwingen, auch bei einer Verwendung über den festgelegten Zweck hinaus eine Interessenabwägung vorzunehmen3. 94 Ein für die Praxis relevanter Anwendungsfall des Abs. 2 Nr. 1, 1. Variante ist die Änderung des Zwecks zur Datennutzung mit dem Ziel der Kunderückgewinnung. Die Zulässigkeit dieses Vorgehens war zuletzt Gegenstand eines Urteils des OLG Köln4. Dort stand die Praxis eines Stromanbieters auf dem Prüfstand, der ehemalige Kunden ca. ein Jahr nach ihrem Wechsel zu einem anderen Anbieter unter Verwendung der i.R.d. Vertragsverhältnisses gespeicherten Daten zu Zwecken der Rückgewinnung angeschrieben hatte. Dabei hat es das OLG Köln grundsätzlich für zulässig erachtet, die im Rahmen des Vertragsverhältnisses gespeicherten Daten „Name“, „Anschrift“ sowie den Hinweis „ehemaliger Kunde“ zu Zwecken der Rückgewinnung zu verwenden, obwohl damit eine Änderung des ursprünglichen Verwendungszwecks (Vertragsdurchführung) einher ging. Die Verwendung dieser Daten sei zur Erreichung des Zwecks der Kundenrückgewinnung auch erforderlich, da diese Daten die Voraussetzung für ein gezieltes Anschreiben ausschließlich ehemaliger Kunden seien5. Nicht erforderlich und damit unzulässig sei
1 2 3 4 5
Taeger/Gabel/Taeger, § 28 BDSG Rz. 113. Taeger/Gabel/Taeger, § 28 BDSG Rz. 120. So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 124. OLG Köln v. 19.11.2010 – 6 U 73/19, NJW 2010, 90. So auch OLG Köln v. 19.11.2010 – 6 U 73/19, NJW 2010, 90 (91).
586 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
hingegen eine Verwendung der Information, zu welchem Konkurrenzanbieter der Kunde gewechselt ist. Die Nutzung dieses Datums diene nicht dem primären Ziel der Kundenrückgewinnung, sondern lediglich einer besonders wirksamen Ausgestaltung der (Ab-)Werbung1. 2. Wahrung berechtigter Interessen Dritter (Abs. 2 Nr. 2a) Eine Durchbrechung des gemäß Abs. 1 Satz 2 festgelegten Zwecks ist zu- 95 dem zur Wahrung berechtigter Interessen Dritter zulässig. Ein solches berechtigtes Interesse eines Dritten kann sowohl wirtschaftlicher als auch rechtlicher oder ideeller Natur sein. Auch dieses Interesse muss mit den schutzwürdigen Interessen des Betroffenen abgewogen werden, wobei Letztere umso eher überwiegen, je sensibler die verwendeten Daten sind. Zulässig ist beispielsweise die Erweiterung des Zwecks auf die Übermittlung der Kundendatei eines Unternehmers an seinen Rechtsnachfolger, auf die Übermittlung einer Änderung von Reisedaten/-routen durch ein Reisebüro bzw. Transportunternehmen an eine dem Reisenden nahestehende Person sowie auf die Verwendung der Daten eines Ehegatten beispielsweise durch den Verkäufer einer Ware im Rahmen eines Geschäfts zur Deckung des Lebensbedarfs i.S.d. § 1357 BGB2. Ein berechtigtes Interesse kann u.U. auch im konzerninternen Informationsaustausch zu sehen sein, beispielsweise im Falle der Übermittlung von internen Telefon- und Adresslisten oder zur Koordinierung von Lieferungen3. Auch die Geltendmachung zivilrechtlicher (Auskunfts-)Ansprüche (z.B. § 101a UrhG) kann ein berechtigtes Interesse Dritter sein4. Ebenfalls nach Abs. 2 Nr. 2a zulässig ist eine Änderung des festgelegten Zwecks zur Übermittlung von Negativdaten an eine Auskunftei, soweit hier nicht sogar von einem eigenen Interesse der verantwortlichen Stelle ausgegangen werden kann5. Kein berechtigtes Interesse hat hingegen ein Kreditkarteninstitut an einer über den Abrechnungsvorgang hinausgehenden Auswertung von Zahlungsdaten6, soweit dies nicht mit dem 1 OLG Köln v. 19.11.2010 – 6 U 73/19, NJW 2010, 90 (91). 2 Vgl. Gola/Schomerus, § 28 BDSG Rz. 37; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 287; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 74; Taeger/Gabel/Taeger, § 28 BDSG Rz. 131; Simitis/Simitis, § 28 BDSG Rz. 176. 3 Ebenso Simitis/Simitis, § 28 BDSG Rz. 177, 178. 4 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 293; a.A. dagegen Taeger/Gabel/Taeger, § 28 BDSG Rz. 133; zum Interesse der Durchsetzung etwaiger Ansprüche gegen einen Lebensversicherer durch die Erben des Versicherten LG Saarbrücken v. 27.4.2009 – 12 O 292/08, ZEV 2009, 398 (400). 5 So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 130. 6 Enger noch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 74.
Plath 587
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
Ziel einer Bonitätsprüfung bzw. der Absicherung vor Betrugsfällen erfolgt. 96 Zu beachten ist, dass gemäß Abs. 5 der empfangende Dritte die Daten nur zu den Zwecken verwenden darf, zu denen sie ihm übermittelt wurden. Gemäß Abs. 5 Satz 2 ist jedoch auch der Empfänger unter den Voraussetzungen der Abs. 2 und 3 zur Zweckänderung berechtigt (s.u. Rz. 205. 3. Gefahrenabwehr (Abs. 2 Nr. 2b) 97 Die Erweiterung des Zwecks auf die Übermittlung und Nutzung von Daten zur Gefahrenabwehr nach Abs. 2 Nr. 2b ist nur zulässig, wenn zumindest konkrete Anhaltspunkte für das Vorliegen einer Gefahr oder einer Straftat vorliegen; ein Gefahrenverdacht oder die Verfolgung von Ordnungswidrigkeiten ist als Zweck nicht ausreichend1. Diese Norm ist subsidiär zu spezialgesetzlichen Regelungen, beispielsweise der StPO oder der AO2. Sie rechtfertigt nur die Erweiterung des Zwecks auf die Übermittlung von Daten an die Polizei oder Staatsanwaltschaft, nicht jedoch die Erhebung durch diese. Ebenso wenig lässt sich aus Abs. 2 Nr. 2b eine Übermittlungspflicht ableiten3. Die angeordnete Interessenabwägung wird regelmäßig zugunsten der verantwortlichen Stelle ausfallen, da der Betroffene kein schutzwürdiges Interesse an der Abwendung einer Strafverfolgung hat4. Im Beschäftigungsverhältnis ist der Vorrang des § 32 zu beachten. 4. Wissenschaftliche Forschung (Abs. 2 Nr. 3) 98 Die Durchbrechung der Zweckbindung ist nach Abs. 2 Nr. 3 sowohl zu Zwecken der eigenen Forschung als auch zur Forschung durch dritte Stellen zulässig5. Ausreichend ist ein Interesse wissenschaftlicher Art. Das Vorliegen eines zusätzlichen wirtschaftlichen oder rechtlichen Inte1 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 296; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 79; Taeger/Gabel/Taeger, § 28 BDSG Rz. 143, 144. 2 Gola/Schomerus, § 28 BDSG Rz. 38; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 77. 3 Taeger/Gabel/Taeger, § 28 BDSG Rz. 145. 4 Taeger/Gabel/Taeger, § 28 BDSG Rz. 146; vgl. auch FG Düsseldorf v. 1.6.2011 – 4 K 3063/10 Z, wonach der vom Hauptzollamt geforderte Namensabgleich bei Bewerbern in sicherheitsrelevanten Bereichen mit den Namenslisten der Verordnungen Nr. 2580/2001/EG und Nr. 881/2002/EG über Maßnahmen zur Bekämpfung des Terrorismus zulässig ist. 5 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 298.
588 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
resses wird nicht vorausgesetzt, schadet aber auch nicht. Auch dieses Interesse muss gegenüber dem schutzwürdigen Interesse des Betroffenen überwiegen. Schließlich muss der Forschungszweck nicht oder nur mit unverhältnismäßigem Aufwand auf eine andere Weise bzw. ohne die infrage stehende Datenverwendung zu erreichen sein. Als realistischer Maßstab wird vertreten, dass ein Aufwand dann als unverhältnismäßig gilt, wenn er mehr als 10 % der Gesamtkosten des Forschungsprojekts ausmacht1. Unter welchen Voraussetzungen („ob“) Daten zu Forschungszwecken genutzt werden dürfen, ist darüber hinaus in Abs. 6 Nr. 4 kodifiziert. Dagegen ist der Vorgang der Datenverwendung zu Forschungszwecken („wie“) in § 40 geregelt. IV. Datenverwendung zu Zwecken der Werbung und des Adresshandels (Abs. 3) Abs. 3 normiert, unter welchen Voraussetzung Daten zu Zwecken der Werbung bzw. des Adresshandels verwendet werden dürfen. Die Norm regelt das Verarbeiten und Nutzen von Daten zu diesen Zwecken; das Erheben von Daten zu Werbezwecken ist vom Anwendungsbereich des Abs. 3 ausgenommen und nur unter den Voraussetzungen des Abs. 1 zulässig.
99
Teilweise wird vertreten, dass Abs. 3 bezüglich der Verarbeitung und 100 Nutzung von Daten zu Zwecken der Werbung oder des Adresshandels nicht abschließend sei, in Ausnahmefällen also ein Rückgriff auf die Erlaubnistatbestände des Abs. 1 Satz 1, insbesondere Nr. 2, zulässig sei2. Nach h.M. entspricht eine derartige Auslegung jedoch nicht dem Willen des Gesetzgebers, der darin lag, die Verwendung von Daten zu Werbezwecken strengeren Regeln zum Schutz des Betroffenen zu unterwerfen3. Abs. 3 ist eine sehr umfassende, teilweise auch verworrene Norm. Im Überblick regelt sie folgende Tatbestände: – Satz 1 regelt, dass die Verarbeitung und Nutzung von Daten zu Zwecken der Werbung und des Adresshandels grundsätzlich nur mit Einwilligung zulässig ist.
1 So auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 308. 2 So z.B. Drewes, CR 2010, 759 (761). 3 Vgl. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 327; Gola/Schomerus, § 28 BDSG Rz. 42; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 96.
Plath 589
101
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
– Satz 2 regelt als Ausnahme zu dem Einwilligungserfordernis, dass ohne Einwilligung (lediglich) die Verarbeitung und Nutzung von Listendaten zulässig ist. Es handelt sich hierbei nicht um das ursprüngliche, umstrittene Listenprivileg des Abs. 3 Satz 1 Nr. 3 a.F., das nach Aussage des Gesetzgebers gestrichen wurde, sondern um ein neues Listenprivileg, das auf bestimmte Anwendungsfälle beschränkt wird. Danach ist die Nutzung von Listendaten ohne Einwilligung nur zur Werbung für eigene Zwecke (Nr. 1), zur beruflichen Werbung (Nr. 2) sowie zur Spendenwerbung (Nr. 3) zulässig. – Satz 3 regelt, dass im Falle der Nutzung von Listendaten zur Werbung für eigene Zwecke (Abs. 3 Satz. 1 Nr. 1) diese Listendaten mit weiteren Daten angereichert werden dürfen; – Satz 4 regelt die Zulässigkeit der Übermittlung von Listendaten an Dritte zu Zwecken der Werbung; – Satz 5 regelt die Voraussetzungen, unter denen die verantwortliche Stelle Werbung für fremde Zwecke machen darf; – Satz 6 regelt das Erfordernis einer Interessenabwägung für die Fälle der Eigenwerbung sowie der Übermittlung an Dritte zu Werbezwecken; – Satz 7 regelt, dass übermittelte Daten nur zu den Zwecken verwendet werden dürfen, zu denen sie übermittelt wurden (Zweckbindung). 1. Begriff der Werbung und des Adresshandels 102 Das BDSG definiert die Begriffe „Werbung“ und „Adresshandel“ nicht. Eine Definition der Werbung ist jedoch in Art. 2a) der RL 2006/114/EG über irreführende und vergleichende Werbung1 zu finden. Danach ist Werbung „jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern“. Dabei stellt sich die Frage, ob diese wettbewerbsrechtliche Definition zur Auslegung des Abs. 3 herangezogen werden kann. Dies ist jedenfalls dann der Fall, wenn man in § 28 entgegen der hier vertretenen Ansicht eine Marktverhaltensregelung i.S.d. § 4 Nr. 11 UWG sieht2. Doch auch dann, wenn man eine 1 Richtlinie 2006/114/EG der Europäischen Parlaments und des Rates v. 12.12.2006 über irreführende und vergleichende Werbung. 2 So beispielsweise Hefermehl/Köhler/Bornkamm/Köhler, § 4.11 UWG Rz. 42; a.A. OLG München v. 12.1.2012 – 29 U 3926/11, CR 2012, 269; s. oben § 1 Rz. 15 f.
590 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
wettbewerbsschützende Funktion des BDSG ablehnt, ist es im Sinne der Einheitlichkeit der Rechtsordnung, dass sich die Auslegung des Begriffs „Werbung“ im Rahmen des Wettbewerbsrechts und im Rahmen des Datenschutzrechts an denselben Maßstäben orientiert. Im Zentrum der Richtliniendefinition steht das Ziel des Warenabsatzes 103 bzw. der Leistungserbringung. Damit kann nur dann von einer „Werbung“ gesprochen werden, wenn eine Ansprache von Personen erfolgt, die darauf gerichtet ist, diese zur Abnahme einer Ware oder zur Inanspruchnahme einer Leistung zu veranlassen. Dies ist regelmäßig dann der Fall, wenn die verantwortliche Stelle ihre Waren oder Dienstleistung anpreist oder den Betroffenen zur (meist finanziellen) Unterstützung auffordert1. Unerheblich ist dann, in welcher Form die Ansprache vorgenommen wird und ob sie direkt oder indirekt, bewusst oder unbewusst bzw. gezielt oder zufällig erfolgt2. Aus der Regelung zur beruflichen Werbung des Abs. 3 Satz 2 Nr. 2 ergibt sich, dass auch die Ansprache von Unternehmen und juristischen Personen unter den Begriff der Werbung fallen kann. Voraussetzung für die Anwendbarkeit des BDSG ist dabei jedoch, dass es zur Verwendung personenbezogener Daten kommt (s.o. § 3 Rz. 3 ff.). Keine Werbung liegt dagegen vor, wenn die verantwortliche Stelle ledig- 104 lich ihre Beziehung zum Kunden ohne konkrete Absatzabsicht pflegen möchte. Damit sind Anschreiben und selbst durchgeführte Anrufe zur Erkundigung über die Kundenzufriedenheit3 oder zur Entschuldigung für einen Fehler in der Regel keine Werbungen i.S.d. Abs. 3. Gleiches gilt für solche Ansprachen, die das Ziel verfolgen, den Betroffenen grundsätzlich und losgelöst von einer konkreten Absatzintention als Kunden zu erhalten. Ebenso liegt unter Umständen keine Werbung vor, wenn die verantwortliche Stelle einen ehemaligen Kunden zurückgewinnen will, ohne dass die Ansprache mit einer direkten Absatzabsicht für konkrete Leistungen oder Produkte verbunden ist. Ausgenommen vom Anwendungsbereich des Abs. 3 ist darüber hinaus die nicht geschäftsmäßige, aber zu eigenen Zwecken erfolgende Marktoder Meinungsforschung, soweit und solange sie nicht mit dem Ziel 1 Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 89; Bergmann/ Möhrle/Herb, § 28 BDSG Rz. 322. 2 Ebenso Bergmann/Möhrle/Herb, § 28 BDSG Rz. 322. 3 A.A. unter wettbewerbsrechtlichen Aspekten bei Anrufen, die im Auftrag eines Unternehmens durch Marktforschungsinstitute durchgeführt werden OLG Köln v. 12.12.2008 – 6 U 41/08, MMR 2009, 267 sowie OLG Köln v. 30.3.2012 – 6 U 191/11, GRUR-Prax 2012, 266 m. Anm. Bohne.
Plath 591
105
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
betrieben wird, Kunden zu gewinnen1. Die Zulässigkeit dieser Praxis richtet sich nach Abs. 1 Nr. 2 bzw. Abs. 2 Nr. 3. Für die geschäftsmäßige Markt- und Meinungsforschung gilt dagegen die Spezialregelung des § 30a. 106 Unter „Adresshandel“ i.S.d. Abs. 3 ist jede Vermarktung von Dateien zu verstehen, die diejenigen Daten enthalten, die für die Kontaktaufnahme mit einer Person benötigt werden. Typischerweise sind davon der Vorund Nachname, die (private oder berufliche) postalische Adresse sowie u.U. weitere ergänzende Hinweise umfasst2. Nach dem Sinn und Zweck der Norm fällt darüber hinaus auch der Handel mit Telefonnummern und E-Mail-Adressen sowie weiteren Daten über die betreffende Person unter den Begriff des Adresshandels, auch wenn der Wortlaut eine andere Auslegung suggeriert3. Unerheblich ist, ob die Daten verkauft, vermietet oder in sonstiger Form überlassen werden4. 107 Fraglich ist jedoch, ob der Adresshandel einen Unterfall der Werbung oder vielmehr eine eigenständige Verwendungsform darstellt. Praktisch relevant ist diese Frage vor allem deshalb, weil der Adresshandel lediglich in Satz 1 von Abs. 3 erwähnt wird, wohingegen in den verbleibenden Regelungen des Abs. 3 nur noch allein auf die Werbung Bezug genommen wird. Die Einordnung als gesonderte Verwendungsform hätte zur Folge, dass der Adresshandel stets nur mit Einwilligung der Betroffenen zulässig wäre, da sich die weiteren Erlaubnistatbestände für den Umgang mit Listendaten gemäß Abs. 3 Satz 2 nicht ausdrücklich auf den Adresshandel beziehen. Nach der hier vertretenen Meinung ist der Adresshandel i.S.d. Abs. 3 jedoch jedenfalls dann ein Unterfall der Werbung, soweit er zu Werbezwecken erfolgt. Werden also z.B. Adressdaten vermarket, um dem Erwerber der Daten die Werbeansprache potenzieller Kunden zu ermöglichen, kann eine solche Maßnahme auf die Erlaubnistatbestände des Abs. 3 gestützt werden, soweit deren Voraussetzungen erfüllt sind. Gestützt wird die hier vertretene Auslegung durch die Regelung des Abs. 3 Satz 4, der ausdrücklich die Übermittlung zusammengefasster personenbezogener Daten zu Werbezwecken gestattet. Somit kann der Begriff der „Werbung“ nicht auf die eigentliche Werbeansprache beschränkt sein, sondern muss auch die vorausgehende
1 So auch Gola/Schomerus, § 28 BDSG Rz. 43. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 89. 3 S. auch Kommentierung zu § 29 Rz. 20; ebenso Bergmann/Möhrle/Herb, § 29 BDSG Rz. 26. 4 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 323.
592 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
Übermittlung von solchen Daten, mithin den Adresshandel, mit umfassen. Die Regelungen des Abs. 3 sind nur in den Fällen einschlägig, in denen 108 der Adresshandel lediglich neben der eigentlichen geschäftlichen Tätigkeit betrieben wird, er darf also nicht der Geschäftszweck der verantwortlichen Stelle sein. Der geschäftsmäßige Adresshandel fällt unter § 29 Abs. 1, wobei dieser wiederum in Satz 2 die Anwendbarkeit der Regelungen des § 28 Abs. 3 bis 3b anordnet. 2. Einwilligung (Abs. 3 Satz 1) Gemäß Abs. 3 Satz 1 ist die Datenverwendung zu Zwecken der Werbung 109 oder des Adresshandels grundsätzlich nur mit Einwilligung des Betroffenen zulässig1. Damit hat sich der Gesetzgeber für eine sog. „Opt-in“-Lösung entschieden. In Ausnahme zu diesem Grundsatz ist für die Fälle des Abs. 3 Satz 2 bis 5 (Verwendung von Listendaten sowie „transparente Werbung“) ein „Opt-out“-Verfahren angeordnet, so dass die Verwendung von Listendaten sowie die Werbung für fremde Zwecke unter den Voraussetzungen dieser Normen solange zulässig ist, wie der Betroffene ihr nicht widersprochen hat 2.
110
Zu beachten ist, dass der Gesetzgeber in Abs. 3b ein sog. Kopplungsverbot eingeführt hat, wonach es der verantwortlichen Stelle unter bestimmten Voraussetzungen untersagt ist, den Abschluss eines Vertrags von der Abgabe einer Einwilligung in die Datenverwendung abhängig zu machen (s.u. Rz. 170 ff.).
111
Grundsätzlich trifft die verantwortliche Stelle die Darlegungs- und Beweislast bezüglich des Vorliegens einer Einwilligung3. Sie ist jedoch nicht dazu verpflichtet, die Herkunft ihrer mit Einwilligung erhobenen
112
1 Pfeifer, MMR 2010, 524 (525); a.A. Drewes, CR 2010, 759 (760), wonach Abs. 3 Satz 1 eine rein deklaratorische Funktion zukommt; Vgl. hierzu auch die Stellungnahme der Artikel-29-Datenschutzgruppe zur „EASA/IAB Best Practice Recommendation on Online Behavioural Advertising“ v. 8.12.2011. 2 Vgl. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 314; Roßnagel/Jandt, MMR 2011, 86 (89). 3 Vgl. OLG Bamberg v. 12.5.2005 – 1 U 143/04, MMR 2006, 481; ebenso zur Beweislast bezüglich wettbewerbsrechtlicher Werbeeinwilligungen BGH v. 10.2.2011 – I ZR 164/09, MMR 2011, 662; OLG Hamburg v. 29.7.2009 – 5 U 43/08 sowie 5 U 226/08, VuR 2010, 104 (105); LG Bonn v. 10.1.2012 – 11 O 49/11, MMR 2012, 319.
Plath 593
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
Daten zu kennzeichnen1. Ausführlicher zur Einwilligung in die Datenverwendung zu Werbezwecken vgl. Rz. 154 ff. 3. Listenprivileg (Abs. 3 Satz 2) 113 Als Ausnahme zum grundsätzlichen Einwilligungserfordernis des Abs. 3 Satz 1 ist unter den Voraussetzungen von Abs. 3 Satz 2–4 eine Verarbeitung und Nutzung von Listendaten bzw. von sonst zusammengefassten Daten auch ohne Einwilligung des Betroffenen zulässig, wenn sie zu Werbezwecken erfolgt2. Soweit der Adresshandel mit der hier vertretenen Ansicht einen Unterfall der Werbung darstellt (s.o. Rz. 107), gilt dieses Listenprivileg auch für den Adresshandel zu Werbezwecken, sofern er nicht geschäftsmäßig erfolgt. a) Listendaten und sonst zusammengefasste Daten 114 Die als „neues Listenprivileg“ bezeichnete Regelung des Abs. 3 Satz 2 weitet die Möglichkeit der Datenverarbeitung und -nutzung zu Zwecken der Werbung bzw. des Adresshandels auf sog. Listendaten aus. Die in Abs. 3 Satz 2 genannten Daten bzw. Merkmale müssen listenmäßig oder auf andere Weise zusammengefasst sein. Eine listenmäßige Zusammenfassung liegt vor, wenn Daten über mehr als eine Person nach einem bestimmten Merkmal geordnet fortlaufend in einer Zusammenstellung gebündelt wurden3. Sind die Daten nicht nach einem Merkmal fortlaufend geordnet, sondern ohne logischen Zusammenhang lediglich miteinander verbunden, so handelt es sich um „sonst zusammengefasste Daten“, für die das Listenprivileg ebenfalls greift. Beispiele hierfür sind zusammengeheftete Einzelblätter, Karteien oder versandfertig beschriftete Umschläge, Etiketten und andere Drucksachen4. Unerheblich ist, mit welcher Technik diese Zusammenstellungen entstanden sind, ob sie auf einem digitalen Medium gleich welcher Art gespeichert wurden, oder ob sie als Ausdruck vorliegen5. Voraussetzung ist allerdings stets, dass der Anwendungsbereich des Dritten Abschnitts des BDSG überhaupt eröffnet ist (vgl. dazu § 27 Rz. 3 ff.). Im Folgenden werden Lis-
1 So auch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 93. 2 Wronka, RDV 2010, 159, 160, sieht in dieser Einschränkung eine Benachteiligung des Adresshandels. Dazu s.o. Rz. 107. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 97. 4 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 343. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 97.
594 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
tendaten und sonst zusammengefasste Daten einheitlich als „Listendaten“ bezeichnet. b) Angehörigkeit zu einer Personengruppe Das Merkmal der Angehörigkeit zu einer Personengruppe bezeichnet 115 die Gemeinsamkeit, die alle auf der Liste erfassten Personen miteinander verbindet (z.B. das Geschlecht, der Wohnort etc.). Erst dieses gemeinsame Merkmal macht aus einer aussagelosen Aufzählung eine für den Verwender interessante und zu Werbezwecken nutzbare Liste1. Dabei ist eine Aufzählung umso aussagekräftiger, je genauer die Personenzugehörigkeit ist. Umstritten ist deshalb, ob sich die Gruppenzugehörigkeit aus mehreren 116 Merkmalen zusammensetzen darf (z.B. „golfspielende Sportwagenfahrer“ als eigene Personengruppe, statt der zwei gesonderten Personengruppe „Golfspieler“ und „Sportwagenfahrer“). Es wird dabei befürchtet, dass eine derartige Ausweitung der Gruppenzugehörigkeit zu einer Aushöhlung des Betroffenenschutzes führen würde, so dass das Merkmal eng auszulegen sei2. Nach Ansicht des OLG Köln könne aus der im Zuge der BDSGNovelle II neu eingeführten Verwendung des Plurals in Satz 2 Nr. 1 („Angaben“) keineswegs gefolgert werden, dass nunmehr – entgegen der bisherigen Rechtslage – Personengruppen über mehr als ein Merkmal definiert werden dürften3. Der Begriff „Angaben“ beschreibe nicht die Personengruppe, sondern beziehe sich vielmehr auf die beiden Möglichkeiten der Zugehörigkeit, nämliche diese bejahend oder verneinend4. Diese Wortlautauslegung ist nachvollziehbar, indes keinesfalls zwingend. Denn es ist der Gesetzesbegründung keineswegs zu entnehmen, dass sich der Begriff der „Angaben“ nicht auch auf die Beschreibung der Personengruppe beziehen kann. Zudem setzt der Begriff der „Personengruppe“ nicht zwingend voraus, dass diese Gruppe nur durch ein einziges Merkmal beschrieben werden darf. Nach der hier vertretenen Ansicht muss daher die Verwendung von mehr als einem Merkmal zur Festlegung der Personengruppe möglich sein5. Diesem Ergebnis steht auch der Schutzzweck der Norm nicht entgegen. Denn dem befürchteten Ausufern der
1 2 3 4 5
Bergmann/Möhrle/Herb, § 28 BDSG Rz. 346. So z.B. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 346. OLG Köln v. 19.11.2010 – 6 U 73/10, CR 2011, 680 (682). OLG Köln v. 19.11.2010 – 6 U 73/10, CR 2011, 680 (682). So auch Eckhardt, Anm. zu OLG Köln v. 19.11.2010 – 6 U 73/10, CR 2011, 682 (684).
Plath 595
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
Verwendung von Listendaten steht die Regelung des Abs. 3 Satz 6 entgegen, die eine Interessenabwägung verlangt1. 117 Bei dieser Abwägung ist insbesondere zu berücksichtigen, welchen Aussagewert die zur Gruppenbestimmung verwendeten Daten haben. Diskutiert wird in diesem Zusammenhang z.B., ob die Angabe der Datenquelle überhaupt als Gruppenmerkmal gewertet werden kann. Hier muss differenziert werden, ob dieses Merkmal überhaupt einen Informationswert enthält2. Bedeutungslos ist beispielsweise die Tatsache, dass die Listendaten von einem Adresshändler stammen3. Gleiches gilt aber auch für die Angabe, dass Daten von einem großen Universal-Versandhandel stammen, da inzwischen ein Großteil der Bevölkerung mindestens einmal bei einem Versandhandel bestellt hat, und dort fast jedes Produkt erworben werden kann. Die Gruppenzugehörigkeit ist in diesen Fällen erst durch die Angabe eines zusätzlichen Merkmals, beispielsweise der erworbenen Ware, gegeben. Dagegen wird bei spezialisierten Versandhändlern, die beispielsweise nur Spielzeug vertreiben, bereits in der Angabe der Quelle ein Gruppenmerkmal zu sehen sein, welches in die Abwägung einzufließen hat4. Zu beachten ist, dass die Angabe der in Abs. 3 Satz 2 genannten Merkmale, also der Listendaten selbst, kein Gruppenmerkmal darstellt, auch wenn sich daraus eine Gemeinsamkeit mit Informationswert ablesen lässt, wenn also beispielsweise aus der Adresse ein Rückschluss auf die finanziellen Verhältnisse des Betroffenen gezogen werden kann. Dies führt darüber hinaus auch dazu, dass jede spezifizierende Zuordnung zu einer Personengruppe durch Merkmale, die sich bereits aus der zulässigen Nennung der Listendaten ergeben, unbedenklich ist5. 118 Damit ist die Zusammenfassung einer Liste z.B. unter dem Merkmal „Weibliche Sportartikelkäuferinnen des Versandhandels XY über 30 aus Norddeutschland“ zulässig, weil die Merkmale „weiblich“, „über 30“ und „aus Norddeutschland“ sich bereits aus den Daten „Name“, „Geburtsjahr“ und „Anschrift“ ergeben, das Merkmal „Versandhandel“ in der Regel keine Aussagekraft besitzt, und somit nur das Merkmal „Sportartikelkäuferin“ als (einziges) zusätzliches Gruppenmerkmal bezeichnet werden kann. 1 So auch Eckhardt, Anm. zu OLG Köln v. 19.11.2010 – 6 U 73/10, CR 2011, 682 (684). 2 So im Ergebnis auch Gola/Schomerus, § 28 BDSG Rz. 51; Plath/Frey, CR 2009, 613 (615). 3 Plath/Frey, CR 2009, 613 (615). 4 Ebenso Gola/Schomerus, § 28 BDSG Rz. 51. 5 Ebenso Schaffland/Wiltfang, § 28 BDSG Rz. 148.
596 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
c) Umfang der Listendaten Neben der soeben dargestellten Zugehörigkeit zu einer Personengruppe dürfen nur die in Abs. 3 Satz 2 aufgezählten Merkmale in der Liste oder sonstigen Zusammenfassung genannt werden. Dies sind: – die Berufsbezeichnung (z.B. Bäcker, Lehrer, Anwalt), Branchenbezeichnung (z.B. Versicherungsbranche, Medienbranche, Hotelbranche) oder Geschäftsbezeichnung („Hotel zum Rathaus“, „Schreinerei Meyer“); – der Name und, soweit vorhanden, der Titel („Direktor“, „Prokurist“, beamtenrechtliche Dienstbezeichnungen, Adelstitel) oder akademische Grad (Prof., Dr., Dipl.-Ing., M.A.); – die Anschrift (privat oder beruflich)1, nicht jedoch die Rufnummer2, auch wenn Abs. 3 Satz 2 Nr. 1 allgemein zugängliche Rufnummernverzeichnisse als zulässige Erhebungsquelle anführt (s.u. Rz. 123). Fraglich ist, ob auch die E-Mail-Adresse eine „Anschrift“ i.S.d. Abs. 3 Satz 2 ist. Der grundsätzlich als abschließend aufgefasste Wortlaut des Abs. 3 Satz 2 spricht zunächst gegen eine derartige Auslegung3. Mangels abschließender Klärung dieser Frage ist jedoch auch eine Auslegung des Listenmerkmals „Anschrift“ dahin gehend denkbar, dass darunter alle Daten zu verstehen sind, die das Anschreiben des Betroffenen ermöglichen. Folgt man diesem Ansatz, so wäre auch die E-Mail-Adresse eine Anschrift i.S.d. BDSG, zumal inzwischen ein Großteil der Korrespondenz über den elektronischen Weg erfolgt4. Zu beachten ist, dass die Verwendung von E-Mail-Adressen unter Umständen in den Anwendungsbereich des TMG fällt, ein Rückgriff auf das Listenprivileg des Abs. 3 Satz 2 damit gar nicht erst notwendig bzw. möglich ist5; – das Geburtsjahr, nicht jedoch der Geburtstag und -monat6.
1 Simitis/Simitis, § 28 BDSG Rz. 234. 2 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 348 mit Verweis darauf, dass teilweise in der Nennung der Rufnummernverzeichnisse in Abs. 3 Satz 2 Nr. 1 ein Wertungswiderspruch zu sehen ist. 3 Vgl. Däubler/Klebe/Wedde/Weichert/Wedde mit dem eindeutigen Hinweis, die Auflistung sei abschließend, § 28 BDSG Rz. 99. 4 Zu beachten ist, dass dies nicht i.R.d. § 7 UWG gelten kann, der die E-MailAdresse ausdrücklich nicht als Unterfall der Anschrift ansieht. 5 Ausführlich hierzu Plath/Frey, CR 2009, 613 (614 f.). 6 So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 190.
Plath 597
119
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
d) Werbung durch die verantwortliche Stelle (Abs. 3 Satz 2) 120 Die Verarbeitung und Nutzung von Listendaten bzw. sonst zusammengefassten Daten ist grundsätzlich nur zur Werbung durch die verantwortliche Stelle in einem der in Abs. 3 Satz 2 aufgezählten Fälle zulässig. aa) Eigenwerbung (Abs. 3 Satz 2 Nr. 1) 121 Gemäß Abs. 3 Satz 2 Nr. 1 darf die verantwortliche Stelle Listendaten für Zwecke der Werbung für eigene Angebote (Eigenwerbung) verwenden. Die Norm ist damit lex specialis für den Fall der Werbung zu den allgemeinen Verwendungsvoraussetzungen des Abs. 1, wonach eine Datenverwendung grundsätzlich nur zur Verfolgung des eigenen Geschäftszwecks zulässig ist. Dieser Umstand spiegelt sich in der Voraussetzung des Abs. 3 Satz 2 Nr. 1 wider, wonach die verwendeten Daten im Rahmen des rechtsgeschäftlichen bzw. rechtsgeschäftsähnlichen Schuldverhältnisses gemäß Abs. 1 Satz 1 Nr. 1 rechtmäßig erhoben worden sein müssen, zumindest jedoch aus allgemein zugänglichen Verzeichnissen stammen müssen. Beide Erhebungsformen sind für sich genommen ausreichend, können jedoch auch gemischt werden1. Damit wird deutlich, dass die verantwortliche Stelle sowohl Daten von Bestands- als auch von Neukunden zu Werbezwecken verwenden darf2. 122 Die Erhebung von Daten im Rahmen eines Gewinnspiels ist als Erhebung im Rahmen eines Schuldverhältnisses anzusehen, soweit es sich dabei um eine Auslobung (§ 657 BGB), ein Preisausschreiben (§ 661 BGB) oder eine Gewinnzusage (§ 661a BGB) handelt3. Voraussetzung hierfür ist jedoch, dass die Datenerhebung auch tatsächlich mit der Durchführung des Rechtsgeschäfts in Verbindung steht. Daten, die im Rahmen einer separaten Einwilligung anlässlich eines Gewinnspiels erhoben werden, sind nicht i.S.d. Abs. 3 Satz 2 Nr. 1 zur Durchführung des Rechtsgeschäfts erhoben worden4. 123 Der Begriff der „allgemein zugänglichen Verzeichnisse“ ist enger zu verstehen als der Begriff der „allgemein zugänglichen Quellen“ i.S.d. Abs. 1 Satz 1 Nr. 3. Er ist, wie der Wortlaut es bereits verdeutlicht, auf „Verzeichnisse“, also auf übersichtliche, strukturierte Anordnungen von 1 2 3 4
Bergmann/Möhrle/Herb, § 28 BDSG Rz. 357. Ebenso Pfeifer, MMR 2010, 524 (526). So auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 359. KG v. 26.8.2010 – 23 U 34/10, NJW 2011, 466.
598 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
Informationen, z.B. Mitgliederlisten, beschränkt1. Unerheblich ist, ob die Verzeichnisse freiwillig oder verpflichtend sind2. Zu beachten ist, dass ausdrücklich auch Daten aus Rufnummernverzeichnissen zu Werbezwecken verwendet werden dürfen, obwohl die Rufnummer kein Listendatum i.S.d. Abs. 3 Satz 2 ist. Dieser Widerspruch kann nur so verstanden werden, dass nur die Verwendung derjenigen Daten aus Rufnummernverzeichnissen zulässig ist, die auch Listendaten sind. So dürfen beispielsweise Name und Anschrift einer Person aus dem Telefonbuch entnommen werden. Die verantwortliche Stelle ist nicht zur Kennzeichnung der Herkunft der Daten verpflichtet3. Nicht nach Abs. 3 Satz 2 Nr. 1 zulässig ist die Werbung für fremde 124 Zwecke oder die Weitergabe der Listendaten an Dritte4. Fraglich ist, ob auch Konzerninteressen „eigene Zwecke“ i.S.d. Abs. 3 Satz 2 Nr. 1 sind. Grundsätzlich existiert im BDSG kein Konzernprivileg; Konzernunternehmen werden als selbständige verantwortliche Stellen behandelt5. Eine Ausnahme von diesem Grundsatz ist jedoch in den Fällen denkbar, in denen mehrere Rechtsträger aus organisatorischen, steuerlichen oder sonstigen Gründen eigenständig sind, in ihrer Gesamtheit durch den Betroffenen aber als eine Einheit wahrgenommen werden. Dies ist beispielsweise der Fall, wenn neben dem Kernunternehmen, das sich dem eigentlichen Geschäftszweck widmet, eine Vertriebsgesellschaft besteht, deren Geschäftszweck in der Unterstützung des Kernunternehmens zu sehen ist. Für den Betroffenen wird es regelmäßig unerheblich sein, ob er seinen Vertrag beispielsweise mit der V-Vertriebs-KG oder mit der V-Online-KG geschlossen hat, wenn beide zusammen nach außen hin als „V“ auftreten. Aufgrund dieser Auxiliarfunktion ist in der Werbung für eigene Zwecke der Vertriebsgesellschaft zugleich eine Werbung für die Zwecke des Kernunternehmens zu sehen, die sich die Vertriebsgesellschaft zu eigen gemacht hat. Eine derartige Werbung ist damit nach der hier vertretenen Ansicht eine „Werbung für eigene Angebote“ und demnach nach Abs. 3 Satz 2 Nr. 1 zulässig6. Zu beachten ist, dass dies keine Frage der Übermittlung von Daten, sondern lediglich der Auslegung des Merkmals „eigene Zwecke“ ist. 1 2 3 4 5
Ebenso Bergmann/Möhrle/Herb, § 28 BDSG Rz. 360. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 361. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 362. Dies ergibt sich nicht zuletzt auch aus Abs. 3 Satz 4, s.u. Rz. 133. Vgl. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 355; ausführlich hierzu Schulz, BB 2011, 2552 (2553 ff.). 6 Enger dagegen Bergmann/Möhrle/Herb, § 28 BDSG Rz. 355, die eine Zulässigkeit lediglich nach Abs. 3 Satz 4 in Betracht ziehen.
Plath 599
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
bb) Geschäftswerbung (Abs. 3 Satz 2 Nr. 2) 125 Nach Abs. 3 Satz 2 Nr. 2 ist die Verwendung von Listendaten auch zu Zwecken der Werbung in Bezug auf die berufliche Tätigkeit des Betroffenen durch Versendung an dessen Geschäftsadresse zulässig. Die Werbung darf an den Betroffenen persönlich adressiert oder sonst personifiziert sein1. Die verantwortliche Stelle ist dabei nicht auf Eigenwerbung beschränkt. Nicht vom Erlaubnistatbestand umfasst ist das Versenden von berufsbezogener Werbung an die private Anschrift des Betroffenen, es sei denn, dass diese mit der Geschäftsadresse übereinstimmt2. Teilweise wird jedoch vertreten, dass in diesem Fall der geschäftliche Charakter der Werbung deutlich werden muss, die verantwortliche Stelle also nicht nur Name und Anschrift, sondern darüber hinaus auch die Geschäftsbezeichnung angeben muss3. Für diese Ansicht gibt es allerdings keine Anhaltspunkte im Wortlaut der Norm. Unerheblich ist, ob der Betroffene Verbraucher oder Unternehmer i.S.d. §§ 13, 14 BGB ist. Eine Listendatenverwendung zu Werbezwecken ist auch dann nach Abs. 3 Satz 2 Nr. 2 zulässig, wenn der Betroffene nicht selbst Unternehmer ist, sondern die Werbung in seiner Funktion als Angestellter eines Unternehmens erhält4. cc) Spendenwerbung (Abs. 3 Satz 2 Nr. 3) 126 Gemäß Abs. 3 Satz 2 Nr. 3 ist zudem die Verwendung von Listendaten auch zu Zwecken der Spendenwerbung zulässig. Voraussetzung ist, dass die verantwortliche Stelle eine steuerbegünstigte Einrichtung ist. Dieses ist gemäß § 10b EStG bei steuerbefreiten Körperschaften, Personenvereinigungen oder Vermögensmassen, die gemeinnützige, kirchliche oder karitative Zwecke i.S.d. §§ 52 bis 54 AO verfolgen, sowie gemäß 34g EstG bei politischen Parteien bzw. unabhängigen Wählervereinigungen der Fall. Der Erlaubnistatbestand greift jedoch nur, wenn die Werbung zur Spende aufruft, nicht jedoch, wenn sie beispielsweise für eine Mitgliedschaft in der Organisation wirbt5.
1 2 3 4 5
Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 104. Ebenso Drewes, CR 2010, 759 (761). Bergmann/Möhrle/Herb, § 28 BDSG Rz. 366. So auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 368. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 372.
600 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
dd) Erforderlichkeit Die Datenverwendung muss für die dargestellten Werbezwecke erforder- 127 lich sein. Zur Auslegung des Merkmals der Erforderlichkeit sei auf Rz. 19 ff. verwiesen. Grundsätzlich ist eine Datenverwendung erforderlich, soweit das Ziel nicht oder nur mit einem unverhältnismäßigen Aufwand auf andere Weise erreicht werden kann. Von der Erforderlichkeit kann dabei ausgegangen werden, wenn die sonstigen Voraussetzungen der Datenverwendung erfüllt sind, denn grundsätzlich ist eine zielgerichtete Werbung nur unter Verwendung personenbezogener Daten möglich. Allein im Einzelfall kann es aufgrund besonderer Umstände zu einer abweichenden Beurteilung kommen, wobei diese Abwägung umso eher zugunsten des Betroffenen ausfallen wird, je sensibler die verwendeten Daten sind1. Teilweise wird vertreten, dass eine an Minderjährige gerichtete Werbung, die mit dem Ziel eines Vertragsschlusses erfolgt, nicht erforderlich sei, da ein wirksamer Vertragsschluss ohne Zustimmung der Eltern nicht möglich sei2. Dagegen spricht jedoch, dass die Werbung an Minderjährige wettbewerbsrechtlich i.S.d. § 4 Nr. 2 UWG unbedenklich ist, soweit sie die Unerfahrenheit von Kindern und Jugendlichen nicht ausnutzt3. Eine derartig restriktive Auslegung des Merkmals der Erforderlichkeit i.R.d. Abs. 3 Satz 2 würde damit zu einer Verkürzung des durch den Gesetzgeber für zulässig erklärten Werbespielraums führen. Unter Umständen müssen die Interessen von Minderjährigen jedoch i.R.d. Abwägung, Abs. 3 Satz 6, berücksichtigt werden (s.u. Rz. 151). 4. Hinzuspeicherung von Daten (Abs. 3 Satz 3) Abs. 3 Satz 3 ist die wohl unverständlichste Norm des insgesamt miss- 128 glückten § 28. Je nach Lesart und Auslegung kann diese Regelung gegenstandslos und mithin überflüssig sein oder das Regel-Ausnahme-Gefüge des Abs. 3 Satz 1 und 2 völlig aushöhlen. Nach dem Wortlaut ist davon auszugehen, dass sich Abs. 3 Satz 3 ausschließlich auf Abs. 3 Satz 2 Nr. 1 bezieht, so dass das Hinzuspeichern von Daten nur für den Zweck der Eigenwerbung zulässig ist, nicht jedoch für Zwecke der Berufs- oder Spendenwerbung (Abs. 3 Satz 2 Nr. 2, 3)4. Darüber hinaus soll nach dem 1 Plath/Frey, CR 2009, 613 (616). 2 So z.B. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 351. 3 So zuletzt BGH v. 17.7.2008 – I ZR 160/05, GRUR 2009, 71 – Sammelaktion für Schokoriegel. 4 Für eine analoge Anwendung auf die Berufswerbung gemäß Abs. 3 Satz 2 Nr. 2 jedoch Drewes, CR 2010, 759 (762); zur Zulässigkeit der Hinzuspeicherung
Plath 601
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
Willen des Gesetzgebers Abs. 3 Satz 3 keine eigenständige Erhebungsoder Übermittlungsbefugnis sein1. Die Rechtsprechung hat dies zwischenzeitlich bestätigt2. Daraus folgt laut der Gesetzesbegründung, dass „die verantwortliche Stelle die Daten gestützt auf eine andere Befugnis rechtmäßig erhoben, z.B. nach Absatz 1 Satz 1 Nummer 3, oder rechtmäßig übermittelt bekommen haben muss“3. Sinn und Zweck der Regelung soll sein, dass die verantwortliche Stelle durch die hinzu gespeicherten Daten die Betroffenen besser erfassen, unterteilen und selektieren kann, um dadurch gezielter werben zu können4. 129 Zunächst stellt sich die Frage, welche Arten von Daten durch die verantwortliche Stelle hinzugespeichert werden dürfen. Denkbar ist insoweit eine Begrenzung dieser Möglichkeit auf Listendaten. Damit könnte die verantwortliche Stelle zu den Listendaten, die sie bereits gespeichert hat, ausschließlich die restlichen, bislang noch ungespeicherten Listendaten hinzufügen5. Dies wäre beispielsweise der Fall, wenn die verantwortliche Stelle zum bereits vorhandenen Listenmerkmal „Name“ noch das neue Listenmerkmal „Anschrift“ hinzufügen würde. Gegen diese Auslegung spricht allerdings zum einen der Wortlaut des Abs. 3 Satz 3, der das Hinzuspeichern weiterer Daten zu den (genannten) Listendaten erlaubt. Zum anderen steht dem auch der Wille des Gesetzgebers entgegen, die Möglichkeiten der verantwortlichen Stelle, Daten zu Werbezwecken zu verwenden, zu erweitern6. Es wäre also denkbar, dass die verantwortliche Stelle alle Arten von Daten, also sowohl Listen- als auch sonstige Daten, hinzuspeichern dürfte. Dagegen spricht jedoch, dass eine Gleichstellung der Listendaten mit sonstigen Daten dem Wortlaut des Abs. 3 Satz 2 Nr. 1 widersprechen würde, wonach Listendaten, die zu Zwecken der Eigenwerbung genutzt werden sollen, nur direkt beim Betroffenen oder aus allgemein zugänglichen Verzeichnisses erhoben werden dürfen. Demnach muss Abs. 3 Satz 3 dahingehend ausgelegt werden, dass die hinzugespeicherten Daten jede Form von Daten sein dürfen, jedoch mit Ausnahme von Listendaten.
1 2 3 4 5 6
der Information, zu welchem Anbieter ein ehemaliger Kunde gewechselt ist LG Augsburg v. 19.8.2011 – 3 HK O 2827/11. BT-Drucks. 16/12011, S. 32. OLG Köln v. 19.11.2010 – 6 U 73/10, CR 2011, 680 (682). BT-Drucks. 16/12011, S. 32. Vgl. BT-Drucks. 16/12011, S. 32; Hanloser, MMR 2009, 594, 595. So z.B. Roßnagel/Jandt, MMR 2011, 86 (89). Siehe BT-Drucks. 16/12011, S. 32.
602 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
Dann stellt sich jedoch die weitere Frage, ob die verantwortliche Stelle 130 diese Daten auch dann hinzuspeichern darf, wenn sie zu deren Verwendung zu Werbezwecken nicht ermächtigt ist. Dies würde nämlich zu einer vollkommenen Aushöhlung des Erlaubnistatbestands des Abs. 3 Satz 2 Nr. 1 führen. In der Tat sieht die Logik des Abs. 3 vor, dass Daten grundsätzlich nur zu Werbezwecken verwendet werden dürfen, wenn der Betroffene in die Verwendung eingewilligt hat. Andernfalls hat sich die verantwortliche Stelle auf die Verwendung bestimmter Daten, nämlich der Listendaten, zu beschränken. Dürfte die verantwortliche Stelle nun jedes beliebige weitere Datum zu den Listendaten frei hinzufügen, so wäre sie in der Verwendung von Daten zu Zwecken der Eigenwerbung keiner Beschränkung mehr unterworfen. In diesem Fall ist es jedoch erstaunlich, dass der Verwendungszweck der Eigenwerbung nicht von vorneherein aus dem Regel-Ausnahme-Gefüge des Abs. 3 herausgenommen wurde. Dieses auf den ersten Blick überraschende Ergebnis wäre zu verhindern, wenn eine Einschränkung des Abs. 3 Satz 3 dahingehend erfolgen würde, dass nur solche Daten hinzugespeichert werden dürfen, zu deren Verwendung zu Werbezwecken die verantwortliche Stelle, beispielsweise aufgrund einer Einwilligung, ohnehin befugt ist. Diese Auslegung entspricht jedoch nicht dem eindeutigen Willen des Gesetzgebers. Vielmehr wollte dieser die Möglichkeit zur beliebigen Ausweitung von Datensätzen schaffen, um den verantwortlichen Stellen weitergehende Werbebefugnisse einzuräumen1. Damit ist als Ergebnis festzuhalten, dass die verantwortliche Stelle die Listendaten des Betroffenen um eine beliebige Anzahl zusätzlicher Daten ergänzen darf, solange und soweit sie diese rechtmäßig erhoben hat oder ihr diese rechtmäßig übermittelt wurden. Dies gilt unabhängig davon, ob die verantwortliche Stelle ursprünglich zur Verwendung der Daten zu Werbezwecken befugt war. Aus dem Umstand, dass Abs. 3 Satz 3 keine eigenständige Erhebungsbefugnis sein soll, ergibt sich, dass die verantwortliche Stelle die hinzugespeicherten Daten bereits zuvor rechtmäßig erhoben haben muss. Die Beschränkung des Abs. 3 Satz 2 Nr. 1 auf die Erhebung direkt beim Betroffenen oder aus allgemein zugänglichen Verzeichnissen greift nach der hier vertretenen Ansicht damit nicht. Die verantwortliche Stelle kann die Daten demnach entweder beim Betroffenen selbst oder auf sonst nach Abs. 1 zulässige Weise erhoben haben. Vom Erlaubnistatbestand umfasst ist auch die Verwendung von Daten, die der verantwort-
1 So auch Simitis/Simitis, § 28 BDSG Rz. 240.
Plath 603
131
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
lichen Stelle auf rechtmäßige Weise durch einen Dritten übermittelt wurden1. 132 Zuletzt gibt auch der Begriff „hinzuspeichern“ Rätsel auf. Er ist nämlich – über Abs. 3 Satz 3 hinaus – dem BDSG ansonsten fremd. Es ist darin deshalb weder eine besondere Form des Speicherns, noch eine sonst eigenständige Nutzungsart zu sehen. Vielmehr wollte der Gesetzgeber damit ausdrücken, dass die zusätzlichen Daten den vorhandenen Datensätzen beigefügt und in den Durchsuchungs- und Auswertungsprozess einbezogen werden und einer Werbemaßnahme zugrunde gelegt werden dürfen2. 5. Übermittlung zu Werbezwecken (Abs. 3 Satz 4) 133 Abs. 3 Satz 4 steht in seiner Unverständlichkeit dem ebenso misslungenen Abs. 3 Satz 3 in nichts nach. Eindeutig ist lediglich, dass die Norm unter bestimmten Umständen die Übermittlung von Daten zu Werbezwecken für zulässig erklärt. Es besteht dabei weitestgehend Einigkeit darüber, dass diese Norm zu einer Aufweichung der Voraussetzungen für die an sich nach Abs. 3 eingeschränkte Datenverwendung zu Werbezwecken führt3. Nach Abs. 3 Satz 2 dürfen Listendaten grundsätzlich nur durch die verantwortliche Stelle selbst zu Werbezwecken genutzt werden, und zwar für eigene Werbezwecke oder für Zwecke der beruflichen bzw. Spendenwerbung, Abs. 3 Satz 2 Nr. 1- 3. Die für diese Zwecke nutzbaren Daten dürfen nur unter den Voraussetzungen des Abs. 3 Satz 4 an Dritte übermittelt werden, die diese wiederum selbst zu Werbezwecken nutzen dürfen. Ein und dasselbe Datum darf demnach nicht nur durch die ursprünglich verantwortliche Stelle, sondern darüber hinaus auch nach dessen Übermittlung durch die neue verantwortliche Stelle, also den Datenempfänger, verwendet werden, so dass die Möglichkeit der Datenverwendung zu Werbezwecken tatsächlich durch Abs. 3 Satz 4 erweitert wird. Der Regelungsgehalt des Abs. 3 Satz 4 umfasst mithin sowohl eine Übermittlungsbefugnis für die übermittelnde Stelle als auch eine Nutzungsbefugnis für die empfangende Stelle4. 1 A.A. allerdings OLG Köln v. 19.11.2010 – 6 U 73/10, CR 2011, 680 (682), wenn auch mit missverständlicher Formulierung, wonach das „Hinzuspeichern“ Listendaten nur dann betreffen könne, wenn diese öffentlichen Verzeichnissen entnommen worden seien. 2 Ebenso Bergmann/Möhrle/Herb, § 28 BDSG Rz. 387. 3 Vgl. Simitis/Simitis, § 28 BDSG Rz. 243; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 111. 4 Ausführlich hierzu Pfeifer, MMR 2010, 524 (526).
604 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
a) Listendaten Abs. 3 Satz 4 erfordert als Voraussetzung für eine wirksame Übermitt- 134 lung zu Werbezwecken zunächst, dass die übermittelten Daten „personenbezogene Daten nach Satz 2“, also Listendaten sind. Der Ursprung der Daten ist dabei unerheblich. Diese Daten müssen als Liste oder sonst zusammengefasst sein, vgl. Abs. 3 Satz 21. Die Übermittlung nur einzelner personenbezogener Daten über nur eine Person ist damit nicht zulässig, da es hier an der listenmäßigen Zusammenfassung fehlt. b) Werbezweck Die Datenübermittlung muss zu Werbezwecken erfolgen, wobei unklar 135 ist, welche konkreten Zwecke hiervon umfasst werden. Jedenfalls dürften darunter alle Werbezwecke fallen, die § 28 legitimiert. Dies sind zunächst einmal die Zwecke der Abs. 3 Satz 2 Nr. 1 bis 3, also die Eigenwerbung, die berufliche Werbung sowie die Spendenwerbung2. Aus Abs. 3 Satz 5, der die sog. Beipack- oder Empfehlungswerbung regelt, ergibt sich zudem, dass auch die Werbung für fremde Zwecke zulässig sein muss3. Daraus ergibt sich jedoch ein Widerspruch zur Regelung des Abs. 3 136 Satz 2 Nr. 1, der die Voraussetzungen der Eigenwerbung normiert: Mit der Übermittlung von Daten wird ihr Empfänger selbst zur verantwortlichen Stelle. Damit richtet sich die Zulässigkeit einer Verwendung zuvor übermittelter Daten zu Zwecken der Eigenwerbung durch den Empfänger ebenfalls nach Abs. 3 Satz 2 Nr. 1. Danach dürfen jedoch nur solche Listendaten zu eigenen Werbezwecken verwendet werden, die direkt beim Betroffenen erhoben oder aus allgemein zugänglichen Verzeichnissen entnommen wurden (s.o. Rz. 121). Diese Voraussetzung ist bei übermittelten Daten jedoch gerade nicht erfüllt, so dass die Verwendung zu Werbezwecken von Daten, die der verantwortlichen Stelle übermittelt wurden, nach dem Wortlaut des Abs. 3 Satz 2 Nr. 1 nicht zulässig wäre. Dieser Umstand führt zu dem absurden Ergebnis, dass die ursprünglich verantwortliche Stelle Listendaten nach Abs. 3 Satz 4 zu Werbezwecken übermitteln darf, der Empfänger ebendiese Daten jedoch nicht nutzen darf. Damit wäre jedoch die Möglichkeit einer Übermittlung von Daten zu Zwecken der Eigenwerbung durch den Empfänger
1 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 380. 2 So wohl auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 199. 3 S. auch Plath/Frey, CR 2009, 613 (616).
Plath 605
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
vollkommen sinnentleert. Nach der hier vertretenen Ansicht muss deshalb in Abs. 3 Satz 4 eine Durchbrechung der Voraussetzungen für die Eigenwerbung nach Abs. 3 Satz 2 Nr. 1 hineingelesen werden, mit der Folge, dass der Empfänger die ihm übermittelten Daten auch tatsächlich nutzen darf, und es auf die Herkunft der Daten in Abweichung zu Abs. 3 Satz 2 Nr. 1 nicht mehr ankommt. Die hierdurch entstehende Ausweitung des Erlaubnistatbestands des Abs. 3 wird durch das in Abs. 3 Satz 4 beinhaltete Speicherungs- und Transparenzgebot aufgefangen. c) Speicherungspflicht 137 Konstitutive Voraussetzung für eine Zulässigkeit der Übermittlung und Nutzung nach Abs. 3 Satz 4 ist darüber hinaus, dass die Übermittlung nach Maßgabe des § 34 Abs. 1a Satz 1 gespeichert wird. Danach muss die übermittelnde Stelle die Tatsache der Übermittlung, die Herkunft der Daten und die Empfänger für die Dauer von zwei Jahren nach der Übermittlung speichern. Konkrete Anforderungen an die Art der Speicherung stellt das Gesetz nicht. Die verantwortliche Stelle muss lediglich in der Lage sein, während der genannten zwei Jahre dem Betroffenen auf dessen Verlangen Auskunft über die Herkunft der übermittelten Daten und die Empfänger zu geben. Unklar ist, ob auch der Empfänger zur Speicherung der Übermittlung verpflichtet ist. In der Tat trifft ihn gemäß § 34 Abs. 1a Satz 2 dieselbe Pflicht wie den Übermittler, wobei Abs. 3 Satz 4 jedoch gerade nicht auf diese Norm verweist. Angesichts der Tatsache, dass sich der gesamte § 34 Abs. 1a explizit auf den Erlaubnistatbestand des Abs. 3 Satz 4 bezieht, muss allerdings auch von einer entsprechenden Speicherungspflicht des Empfängers ausgegangen werden. Der fehlende Verweis auf § 34 Abs. 1a Satz 2 ist damit offenbar ein Redaktionsversehen. 138 Sinn und Zweck der Speicherungspflicht ist, dass der Betroffene sich über den Umgang mit seinen personenbezogenen Daten informieren kann und ggf. sein Widerspruchsrecht aus Abs. 4 in Anspruch nehmen kann1. Die Speicherungspflicht gilt unabhängig von der Werbeform (z.B. Anschreiben, Haustürwerbung, telefonische Werbung)2.
1 So auch Simitis/Simitis, § 28 BDSG Rz. 243. 2 So Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 113; Simitis/Simitis, § 28 BDSG Rz. 243.
606 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
d) Transparenzgebot Abs. 3 Satz 4, 2. Halbs. normiert ein Transparenzgebot, wonach bei einer 139 Verwendung zuvor übermittelter Daten zu Werbezwecken die ersterhebende Stelle eindeutig aus der Werbung hervorgehen muss. Auch dieses Gebot gilt unabhängig von der Form der Werbung (z.B. Anschreiben, Haustürwerbung, telefonische Werbung)1. Hierdurch soll es dem Betroffenen ermöglicht werden, einer unerwünschten Datenübermittlung auf den Grund zu gehen und diese für die Zukunft im Wege des Widerspruchs nach Abs. 4 bereits an der Wurzel zu verhindern2. Anders als im Rahmen von Abs. 3 Satz 5, der die sog. Beipackwerbung re- 140 gelt, muss die ersterhebende Stelle nicht nur erkennbar sein, sondern aus der Werbung eindeutig hervorgehen. Damit reicht es nicht aus, wenn diese Stelle lediglich identifizierbar ist, z.B. anhand eines Kennzeichens. Dagegen genügt die Nennung der genauen Bezeichnung, also Name bzw. Firma der verantwortlichen Stelle den Anforderungen des Abs. 3 Satz 4, 2. Halbs3. Die Angabe einer ladungsfähigen Adresse ist nach dem Wortlaut der Norm nicht erforderlich4. Dafür spricht auch, dass mit Kenntnis der Bezeichnung die Anschrift problemlos herausgefunden werden kann. Zudem wird eine über den Namen hinausgehende Angabepflicht in den meisten Fällen vom Gesetzgeber explizit normiert5. Im Falle mehrerer aufeinanderfolgender Übermittlungen einer Datenzu- 141 sammenfassung stellt sich die Frage, ob alle Glieder der Übermittlungskette aus der Werbung hervorgehen müssen. Dagegen spricht jedoch nicht nur der Wortlaut der Norm, sondern auch ihr Sinn und Zweck, dem Widerspruchsrecht des Betroffenen zur Durchsetzung zu verhelfen: Kennt der Betroffene den Ursprung der Übermittlung, so kann er bei der ersterhebenden Stelle von seinem Auskunftsanspruch Gebrauch machen und damit nach und nach die gesamte Kette nachvollziehen. e) Praktische Ausgestaltung Keine Aussage trifft Abs. 3 Satz 4, 2. Halbs. bezüglich der konkreten An- 142 forderungen an die Ausgestaltung der Hinweispflicht. Aus dem Wortlaut 1 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 113; Simitis/Simitis, § 28 BDSG Rz. 243. 2 So im Ergebnis auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 199. 3 Ebenso Drewes, CR 2010, 759 (762 f.). 4 A.A. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 378. 5 Vgl. nur die dahingehende Regelung zur Impressumspflicht, § 5 Abs. 1 Nr. 1 TMG.
Plath 607
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
geht lediglich hervor, dass die Stelle, die die Daten als Erste erhoben hat, aus der Werbung hervorzugehen hat. Folgt man streng dem Wortlaut, so würde dies bedeuten, dass die Angabe der ersterhebenden Stelle der Werbung selbst anhaften muss, und somit jede Werbung einzeln mit der Herkunftsangabe zu bedrucken ist, was in der Praxis mit einem ganz erheblichen und nicht zu vertretenen Aufwand verbunden wäre. Naheliegender ist deshalb eine Auslegung des Abs. 3 Satz 4, 2. Halbs. dahingehend, dass die Angabe mit der Werbung lediglich im Zusammenhang stehen muss. Ausreichend ist damit ein Hinweis auf einer Beilage oder in einem Anschreiben. Die Angabe muss dabei zwar selbstverständlich sichtbar sein, aber nicht in sonstiger Weise, z.B. durch Fettdruck oder Unterstreichung, deutlich hervorgehoben werden, da Abs. 3 Satz 4 keine Warn- oder Belehrungs-, sondern nur eine Informationsfunktion hat. Fraglich ist zudem, ob ein Hinweis auf dem Umschlag bzw. dem Etikett der Werbung ausreichend ist. Angesichts der Tatsache, dass die Verpackung einer Werbung in der Regel unbeachtet weggeworfen wird, scheint diese Praxis zumindest fragwürdig. Für ihre Zulässigkeit spricht allerdings, dass auch eine unerwünschte Werbung mit dem dazugehörigen Anschreiben in vielen Fällen unbesehen entsorgt wird. Die Angabe der ersterhebenden Stelle kann darüber hinaus auch im Zusammenhang mit dem ohnehin verpflichtenden Hinweis auf das Widerspruchsrecht gemäß Abs. 4 verbunden werden. 6. Werbung für fremde Angebote (Abs. 3 Satz 5) 143 Abs. 3 Satz 5 erlaubt der verantwortlichen Stelle, Daten auch zu Zwecken der Werbung für fremde Angebote zu nutzen. Der häufigste (und wohl auch intendierte)1 Anwendungsfall dieser Norm ist die sog. „Beipack-“ oder „Empfehlungswerbung“, bei der ein Unternehmen seiner eigenen Werbung die Werbung eines Drittunternehmens – oftmals gegen eine finanzielle Beteiligung an den Versandkosten – beilegt oder die Produkte eines Dritten seinen Kunden, z.B. in Rahmen eines Empfehlungsschreibens, empfiehlt2. Ein klassisches Beispiel für diese Praxis der Beipackwerbung ist das Beifügen von Flyern eines Drittanbieters zu dem eigenen Katalogversand. Die Werbung für fremde Zwecke muss jedoch nicht zwingend in Kombination mit eigener Werbung erfolgen, sondern kann auch isoliert erfolgen oder z.B. in Kombination mit der Zusendung bestellter Waren. In diesem letztgenannten Fall ist allerdings schon fraglich, ob überhaupt eine Datenverwendung zur Werbezwecken vorliegt, 1 BT-Drucks. 16/13657, S. 19; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 391. 2 BT-Drucks. 16/13657, S. 19.
608 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
da die Daten des Betroffenen primär zum Zweck der Warenzustellung, und eben nicht in erster Linie zur Werbeansprache verwendet werden. a) Anwendungsvoraussetzungen Die Erlaubnisnorm beschränkt sich ausdrücklich auf die Verwendungs- 144 form der Nutzung und stellt demnach keine Erhebungs- oder Übermittlungs-, sondern lediglich eine Nutzungsbefugnis dar1. Damit hat sich die verantwortliche Stelle auf die Verwendung solcher Daten zu beschränken, die sie bereits rechtmäßig erhoben hat2. Zudem darf sie die Daten nicht an den Fremdwerbenden übermitteln, sondern muss die Nutzung (beispielsweise die Versendung der Werbung) selbst oder durch einen im Wege der Auftragsdatenverarbeitung (§ 11) beauftragten Dienstleister (z.B. Lettershops, siehe unten Rz. 148) vornehmen3. Fraglich ist, wie die Formulierung „unabhängig vom Vorliegen der Vo- 145 raussetzungen des Satzes 2“ zu verstehen ist. Es erscheint nämlich zunächst paradox, dass die verantwortliche Stelle weitreichendere Befugnisse haben soll, wenn sie für fremde Zwecke wirbt, als wenn sie Eigenwerbung durchführt und an die Voraussetzungen des Abs. 3 Satz 2 gebunden ist. Der eindeutige Wortlaut lässt indes nach der hier vertretenen Ansicht nur den Rückschluss zu, dass der gesamte Satz 2, der eine Beschränkung auf Listendaten normiert, bei der Fremdwerbung nicht berücksichtigt werden muss. Damit ist die Nutzung aller erhobenen personenbezogenen Daten für fremde Werbezwecke zulässig, unabhängig davon, ob es sich um Listendaten handelt und ob die Daten als Liste oder in sonstiger Form zusammengefasst sind4. Durch dieses erstaunliche Ergebnis ergeben sich für die Praxis jedoch interessante, wenn auch fragwürdige Gestaltungsspielräume, insbesondere innerhalb von Konzernen. So könnten sich mehrere Unternehmen darauf verständigen, in Zukunft jeweils Werbung für das andere (Konzern-)Unternehmen zu machen, um hierfür weitreichendere Daten, insbesondere zu den Kon-
1 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 398; a.A. bezüglich des Befugnischarakters ohne Begründung Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 114, der die Abs. 3 Satz 5 lediglich für eine Durchführungsnorm hält. 2 So auch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 114; Taeger/ Gabel/Taeger, § 28 BDSG Rz. 202. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 398. 4 So auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 396; Rudolph, CR 2010, 257 (261); Drewes, CR 2010, 759 (764); a.A. wohl Simitis/Simitis, § 28 BDSG Rz. 244.
Plath 609
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
sumgewohnheiten der Betroffenen, nutzen zu können, die über die inhaltlich beschränkten Listendaten hinaus gehen. b) Transparenzgebot 146 Darüber hinaus hat der Gesetzgeber die Schutzwürdigkeit des Betroffenen dadurch berücksichtigt, dass er ein Transparenzgebot normiert hat. Danach muss „bei der Ansprache zum Zwecke der Werbung die für die Nutzung der Daten verantwortliche Stelle eindeutig erkennbar“ sein. Verantwortliche Stelle ist der Verwender der Daten, nicht jedoch der Dritte, dessen Produkte z.B. im Wege der Beipack- bzw. Empfehlungswerbung beworben werden, denn eine eigenständige Verwendung der Daten durch den Dritten findet bei dieser Werbeform nicht statt. Ziel dieser Aufklärungspflicht ist die Information des Betroffenen darüber, wer für die Verwendung seiner Daten datenschutzrechtlich verantwortlich ist, und an wen demzufolge ein eventueller Widerspruch nach Abs. 4 zu richten ist1. Es stellt sich jedoch die Frage, wie die Angabe zu erfolgen hat, damit die verantwortliche Stelle „eindeutig erkennbar ist.“ Nach der Gesetzesbegründung ist dies der Fall, wenn „der Betroffene die verantwortliche Stelle ohne Zweifel und mit seinen Kenntnissen und Möglichkeiten identifizieren kann. Eine Erkennbarkeit ‚bei der Ansprache‘ ist nicht gegeben, wenn der Betroffene anhand eines Kennzeichens oder einer Nummer lediglich die Möglichkeit erhält, durch weiteres Tätigwerden die Stelle zu identifizieren. Einer eindeutigen Erkennbarkeit bei der Ansprache genügt nur eine Bezeichnung im Klartext“2. Die verantwortliche Stelle ist mit anderen Worten nur dann erkennbar, wenn sie ohne Weiteres und unmittelbar zu identifizieren ist. Erforderlich ist damit jedenfalls die Angabe der genauen Bezeichnung (Name, Firma) der verantwortlichen Stelle. Teilweise wird vertreten, dass darüber hinaus auch eine ladungsfähige Adresse angegeben werden muss3. Hierfür gibt es jedoch keinen Anhaltspunkt im Wortlaut der Norm, zumal mit Kenntnis der Bezeichnung das Herausfinden der weiteren Angaben unschwer möglich ist. Darüber hinaus sind Anforderungen an die Angabe geringer als im Rahmen des Satz 4, wonach die verantwortliche Stelle sogar „eindeutig hervorgehen“ muss (s.o. Rz. 140).
1 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 115; Gola/Schomerus, § 28 BDSG Rz. 64. 2 BT-Drucks. 16/13657, S. 19. 3 So z.B. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 394.
610 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
Die Angabe der verantwortlichen Stelle kann zusammen mit dem ohnehin verpflichtenden Hinweis zum Widerspruchsrecht gemäß Abs. 4 erfolgen, ersetzt diesen jedoch nicht1.
147
c) Letter-Shop-Verfahren In der Praxis ist die Werbung im Wege des sog. Letter-Shop-Verfahrens 148 sehr verbreitet. Dabei versendet ein Dienstleister, nämlich der LetterShop, Werbemittel seiner Auftraggeber (z.B. Versandhäuser), die ihm von diesen bereitgestellt wurden. Die Versendung erfolgt unter Verwendung von personenbezogenen Daten, die der Letter-Shop entweder von dem Werbetreibenden selbst, oder aber von dritter Stelle, z.B. von Verlagen oder Adresshändlern, erhalten hat. Zwischen dem „Datenlieferanten“ und dem Letter-Shop wird ein Auftragsdatenverarbeitungsvertrag gemäß § 11 geschlossen, so dass der Letter-Shop nicht als verantwortliche Stelle i.S.d. § 28 angesehen werden kann2. Bei der Verwendung von Daten eines Dritten wird auf diesem Wege sichergestellt, dass der Werbetreibende keinen Zugriff auf die Daten des Dritten erhält. Damit kommt diese Konstruktion ohne Datenübermittlung aus3. Dennoch kann die werbende Stelle die personenbezogenen Daten des Betroffenen erfahren, nämlich dann, wenn dieser auf die Werbung reagiert. Damit ist das Letter-Shop-Verfahren zur Kundenneugewinnung sehr attraktiv. In dieser Kenntniserlangung durch den Werbetreibenden könnte jedoch eine unzulässige Datenübermittlung gesehen werden. Doch auch wenn dieses Verfahren letztlich zu dem Ergebnis führt, dass der Werbetreibende die Daten des Betroffenen erhält, so kann es dennoch nicht mit einer direkten Datenübermittlung von der verantwortlichen Stelle an den Werbenden verglichen werden. Der Vorgang der Datenweitergabe erfolgt in mehreren Schritten und vor allem nicht direkt durch den Adressinhaber. Vielmehr ist im Rahmen des Letter-Shop-Verfahrens der Betroffene selbst in die Datenweitergabe eingeschaltet, sie erfolgt auf dessen Initiative, nämlich dadurch, dass der Betroffene selbst auf die Werbung reagiert. Auf dieses Verhalten hat der Adressinhaber keinen Einfluss. Demnach liegt keine Datenübermittlung vom Adressinhaber, sondern vielmehr vom Betroffenen (mit Einwilligung) an den Werbenden vor, so dass das 1 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 395. 2 S. die diesbezügliche Kommentierung, § 11 Rz. 33; vgl. Gola/Schomerus, § 11 BDSG Rz. 7, 11; im Ergebnis ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 11 BDSG Rz. 12, unter der Prämisse, dass der Letter-Shop keine eigenständige Verfügungsbefugnis hat, und demnach keine Funktionsübertragung erfolgt. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 401.
Plath 611
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
Letter-Shop-Verfahren aufgrund der Regelung des Abs. 3 Satz 5 auch im Hinblick auf § 28 unbedenklich ist1. 7. Interessenabwägung (Abs. 3 Satz 6) 149 Gemäß Abs. 3 Satz 6 ist eine Datenverarbeitung oder -nutzung nach Maßgabe der Sätze 2–4 nur zulässig, wenn ihr keine schutzwürdigen Interessen des Betroffenen entgegenstehen. Der Gesetzgeber verlangt damit eine Interessenabwägung, bei der insbesondere die Art bzw. Sensibilität der Daten, der intendierte Zweck sowie die Zugehörigkeit des Betroffenen zu einer besonders schutzwürdigen Personengruppe von Bedeutung sein können. 150 Besondere Vorsicht ist demnach beispielsweise dann zu üben, wenn Daten verwendet werden, die einen Rückschluss auf Krankheiten oder Behinderungen, Straftaten bzw. Ordnungswidrigkeiten oder die wirtschaftlichen Verhältnisse des Betroffenen zulassen. Hier stellt sich die Frage, wie aussagekräftig Adressen sind2. So lässt beispielsweise die Anschrift eines Krankenhauses oder einer JVA den Schluss zu, dass der Betroffene krank bzw. inhaftiert ist3. Dieser Umstand wird zwar in der Abwägung Berücksichtigung finden müssen, doch ist in ihm kein absoluter Ausschlussgrund zu sehen. Vielmehr wird die Zulässigkeit einer solchen Datenverwendung von weiteren Faktoren beeinflusst werden. 151 Insbesondere der Werbezweck kann sich auf die Schutzwürdigkeit des Betroffenen auswirken. So wird beispielsweise Werbung für Möbel oder Lebensmittel in der Regel weniger sensibel sein als Werbung für Suchtheilungsanstalten oder Erotikartikel. Schließlich ist auch die Zugehörigkeit des Betroffenen zu einer bestimmten Personengruppe im Rahmen der Abwägung zu berücksichtigen. So sind zum Beispiel die Interessen Minderjähriger als besonders schutzwürdig einzuschätzen. Darüber hinaus gilt das bezüglich der Abwägungskriterien zu Abs. 1 Satz 1 Nr. 2 und 3 sowie Abs. 2 Nr. 2 Gesagte (s.o. Rz. 53 f., 82 ff., 95 f.). 152 Umstritten ist, ob sich das Gebot der Interessenabwägung nach Abs. 3 Satz 6 nur auf die Sätze 2–4 (Verwendung von Listendaten zu eigenen Werbezwecken) bezieht, oder ob eine Interessenabwägung vielmehr auch 1 Ebenso Gola/Schomerus, § 28 BDSG Rz. 58; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 401; Plath/Frey, BB 2009, 1762 (1764). 2 Vgl. Simitis/Simitis, § 28 BDSG Rz. 245. 3 Vgl. grundsätzlich zur besonderen Schutzbedürftigkeit von Adressen von Justizvollzugsanstalten AG Bremen v. 27.5.2011 – 10 C 221/11.
612 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
bei einer Verwendung i.S.d. anderen Erlaubnistatbestände des Abs. 3 zu erfolgen hat. So stellt sich zunächst die Frage, ob Satz 6 auch auf Satz 1 (Datenverwendung auf Grundlage einer Einwilligung) anwendbar ist. Da die Wirksamkeit einer Einwilligung jedoch nie von einer weiteren Interessenabwägung abhängig sein kann, ist eine Anwendbarkeit des Satz 6 auf Satz 1 ausgeschlossen1. Fraglich ist allerdings, ob Satz 6 auch auf die Nutzung nach Satz 5 (Fremdwerbung) anzuwenden ist. Teilweise wird vertreten, dass das Erfordernis einer Interessenabwägung Ausfluss des Grundrechts auf informationelle Selbstbestimmung sei und es demnach allgemeine Voraussetzung für eine zulässige Datenverwendung sei, so dass in der fehlenden Erwähnung von Satz 5 ein Redaktionsversehen zu sehen sei2. Dem muss jedoch entgegengehalten werden, dass das Gesetz, und insbesondere § 28 (z.B. in Abs. 1 Satz 1 Nr. 2 und 3 sowie in Abs. 2 Nr. 2), vielerorts eine Berücksichtigung der Betroffeneninteressen ausdrücklich anordnet, so dass nicht von einem allgemeingültigen datenschutzrechtlichen Grundsatz der Interessenabwägung ausgegangen werden kann. Darüber hinaus gibt es keine Anhaltspunkte für ein dahingehendes Redaktionsversehen des Gesetzgebers3. Demzufolge ist die Rechtmäßigkeit einer Datennutzung zu fremden Werbezwecken nicht vom Ergebnis einer Interessenabwägung nach Satz 6 abhängig. 8. Zweckbindung (Abs. 3 Satz 7) Eine Datenübermittlung nach Maßgabe von Abs. 3 Satz 1 (Einwilligung), Satz 2 (Verwendung von Listendaten für eigene Werbung) und Satz 4 (Übermittlung zu Werbezwecken) unterliegt gemäß Abs. 3 Satz 7 einer Zweckbindung. Der Empfänger darf demnach die Daten nur zu den Zwecken verwenden, zu denen die Übermittlung erfolgte. Dieser Zweck ist vor der Übermittlung festzulegen und dem Empfänger mitzuteilen4. Darüber hinaus gilt das zu Abs. 1 Satz 2 Gesagte (s.o. Rz. 88 ff.).
153
V. Anforderungen an die Einwilligung (Abs. 3a) Eine Datenverwendung zu Zwecken der Werbung oder des Adresshandels ist gemäß Abs. 3 Satz 1 grundsätzlich nur mit Einwilligung des Be1 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 406. 2 So z.B. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 406 m.w.N. 3 So im Ergebnis auch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 116; Taeger/Gabel/Taeger, § 28 BDSG Rz. 203; Simitis/Simitis, § 28 BDSG Rz. 245. 4 Taeger/Gabel/Taeger, § 28 BDSG Rz. 204.
Plath 613
154
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
troffenen erlaubt1. Die Voraussetzungen für eine wirksame Einwilligung sind generell in § 4a geregelt2. Für die Einwilligung in eine Datenverwendung zu Zwecken der Werbung und des Adresshandels hat der Gesetzgeber jedoch in Abs. 3a eine Spezialregelung getroffen. Zwar ergibt sich die Beschränkung des Anwendungsbereichs auf die Fälle des Abs. 3 (Nutzung nur für Werbe- und Adresshandelszwecke) nicht aus dem Wortlaut des Abs. 3a, doch wird dies aufgrund der systematischen Stellung der Norm allgemein angenommen3. 155 Es drängt sich die Frage auf, in welchem Verhältnis die Regelung des Abs. 3a zum Grundtatbestand des § 4a steht. In Ausnahme zum grundsätzlichen Schriftformerfordernis des § 4a Abs. 1 Satz 3 normiert Abs. 3a Voraussetzungen, unter denen eine Einwilligung auch ohne Einhaltung des Formerfordernisses wirksam abgegeben werden kann. Problematisch ist jedoch, dass eine solche Ausnahme auch in § 4a Abs. 1 Satz 3 vorgesehen ist. Danach kann auf die Schriftform verzichtet werden, wenn „wegen besonderer Umstände eine andere Form angemessen ist“. 156 Das Verhältnis des Abs. 3a zu § 4a Abs. 1 Satz 3 lässt sich auf zwei Arten deuten: – Denkbar ist zum einen, dass Abs. 3a zusätzlich zu § 4a Abs. 1 Satz 3 eingreift4. Für den Fall, dass die Schriftform gemäß § 4a Abs. 1 Satz 3 wegen besonderer Umstände entbehrlich ist, müssen bei einer intendierten Verwendung zu Werbezwecken darüber hinaus auch die Anforderungen des Abs. 3a (schriftliche Bestätigung bzw. Protokollierung) berücksichtigt werden. Diese Interpretation entspräche also einem Rechtsfolgenverweis. – Ebenso vorstellbar ist zum anderen eine Interpretation des Abs. 3a dahingehend, dass er einen gegenüber § 4a Abs. 1 Satz 3 abgeschlossenen und eigenständigen Ausnahmetatbestand darstellt5. Der Verweis auf die Grundnorm würde in diesem Fall lediglich verdeutlichen, 1 Vgl. hierzu auch die Stellungnahme der Artikel-29-Datenschutzgruppe zur „EASA/IAB Best Practice Recommendation on Online Behavioural Advertising“ v. 8.12.2011. 2 Zu den Voraussetzungen im Einzelnen vgl. Kommentierung zu § 4a Rz. 2, 23 ff. 3 So auch Gola/Schomerus, § 28 BDSG Rz. 45; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 119; im Ergebnis ebenso Drewes, CR 2010, 759 (764). 4 So wohl Taeger/Gabel/Taeger, § 28 BDSG Rz. 166; Gola/Schomerus, § 28 BDSG Rz. 44; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 414. 5 So z.B. Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 119; Simitis/Simitis, § 28 BDSG Rz. 219.
614 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
dass grundsätzlich vom Formerfordernis auszugehen ist, seine Einhaltung jedoch unter den Voraussetzungen des Abs. 3a entbehrlich ist. Diese Auslegung käme einem Rechtsgrundverweis gleich. Der Gesetzeswortlaut gibt keinen Hinweis auf die richtige Interpretati- 157 on: Die Formulierung „nach § 4a Absatz 1 Satz 3“ kann sich sowohl auf das vorangestellte Wort „Einwilligung“ als auch auf die nachgestellte Formulierung „in anderer Form als der Schriftform“ beziehen. Für eine Auslegung als eigenständigen Ausnahmetatbestand spricht, dass es nicht ersichtlich ist, warum gerade die Einwilligung in eine Datenverwendung zu Werbezwecken an strengere Anforderungen geknüpft werden soll, während bei anderen Verwendungsformen nur § 4a berücksichtigt werden muss1. Die Gesetzesbegründung macht jedoch deutlich, dass der Gesetzgeber die Anforderungen an die Entbehrlichkeit der Schriftform zum Schutz des Betroffenen verschärfen wollte, und dass Abs. 3a dahingehend ausgelegt werden muss, dass er zusätzlich zu den Erfordernissen des § 4a Abs. 1 Satz 3 greift. Nach dem Willen des Gesetzgebers „unterliegt die Einwilligung der allgemeinen Form des § 4a Abs. 1 Satz 3 des Bundesdatenschutzgesetzes, d.h., die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soweit eine andere Form angemessen ist, geht es um ein Abweichen von der Erklärungsform“2. Diese eindeutige Formulierung lässt keinen anderen Schluss zu. Dies bedeutet für die Praxis, dass die Bestätigung oder Protokollierung einer nicht-schriftlich erteilten Einwilligung für sich genommen noch nicht zwangsläufig zu ihrer Wirksamkeit führt. Vielmehr muss sich die verantwortliche Stelle im Vorfeld vergewissern, dass die Schriftform nach Maßgabe des § 4a Abs. 1 Satz 3 entbehrlich ist3. 1. Schriftliche Bestätigung (Abs. 3a Satz 1 Halbs. 1) Ist die Einhaltung der Schriftform einer Einwilligung nach Maßgabe des § 4a Abs. 1 Satz 3 entbehrlich, so ist gemäß Abs. 3a Satz 1 Halbs. 1 Voraussetzung für eine wirksame Einwilligung in eine Datenverwendung zu Werbezwecken, dass die Einwilligung von der verantwortlichen Stelle schriftlich bestätigt wird. Vom Anwendungsbereich dieser Norm sind grundsätzlich alle nicht-schriftlichen Formen der Einwilligung (insbesondere mündlich erklärte Einwilligungen) umfasst. Fraglich ist allerdings, ob auch elektronische Einwilligungen bereits allein durch ihre 1 Ebenso Gola/Schomerus, § 28 BDSG Rz. 45. 2 BT-Drucks. 16/12011, S. 33. 3 Vgl. zu den Anforderungen an die Schriftform der Einwilligung § 4a Rz. 12 ff.
Plath 615
158
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
schriftliche Bestätigung formwirksam werden. Denn der 2. Halbs. von Abs. 3a Satz normiert besondere Protokollierungsanforderungen als Voraussetzung für die Wirksamkeit elektronisch abgegebener Einwilligungen. Es stellt sich damit die Frage, ob Abs. 3a Satz 1 Halbs. 2 bezüglich Einwilligungen in elektronischer Form Sperrwirkung entfaltet und somit stets eine zusätzliche Protokollierung erforderlich ist. Der Wortlaut des Halbs. 2 ist diesbezüglich nicht eindeutig. Allerdings stellt die Protokollierungsmöglichkeit nach Halbs. 2 eine Erleichterung im Vergleich zur schriftlichen Bestätigung gemäß Halbs. 1 dar. Wenn der Gesetzgeber also diese „einfache“ Wirksamkeitsvoraussetzung für ausreichend erachtet hat, so muss eine nach Halbs. 1 schriftlich bestätigte elektronische Einwilligung erst recht wirksam sein1. Demzufolge ist Abs. 3a Satz 1 Halbs. 1 auf alle nicht-schriftlichen Formen inklusive der elektronischen Form anwendbar2. Die verantwortliche Stelle hat damit die Wahl, ob sie eine in elektronischer Form abgegebene Einwilligung nach Abs. 3a Satz 1 schriftlich bestätigt, oder ob sie die Einwilligung i.S.v. Abs. 3 Satz 2 protokolliert. 159 Nach der Gesetzesbegründung soll Sinn und Zweck der Bestätigungspflicht sein, dass der Betroffene kontrollieren kann, ob die verantwortliche Stelle seine Einwilligung, insbesondere ihre Reichweite oder eventuelle Beschränkungen, korrekt dokumentiert hat3. Darüber hinaus sollen auch die zusätzlichen Informations- und Warnfunktionen der Schriftform ersetzt werden4. Dementsprechend muss die schriftliche Bestätigung den Inhalt der Einwilligung wiedergeben und all die Angaben beinhalten, die zum Nachweis, zur Information und zur Warnung des Betroffenen notwendig sind5. So muss die verantwortliche Stelle bestätigen, welche Daten in welchem Umfang verwendet werden dürfen. Darüber hinaus muss auch der genaue Verwendungszweck festgehalten werden, insbesondere, ob die Verwendung zur eigenen oder fremden Werbung erfolgen soll und ob bzw. an wen die Daten übermittelt werden dürfen6. Eine genaue Dokumentation der Umstände der Einwilligung 1 So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 172; Simitis/Simitis, § 28 BDSG Rz. 222. 2 So im Ergebnis auch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 121. 3 Vgl. BT-Drucks. 16/12011, S. 33. 4 BT-Drucks. 16/12011, S. 33. 5 So auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 419; Däubler/Klebe/Wedde/ Weichert/Wedde, § 28 BDSG Rz. 126. 6 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 419; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 125.
616 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
im Rahmen der Bestätigung liegt nicht zuletzt auch im Interesse der verantwortlichen Stelle, die im Streitfall die Pflicht hat, eine wirksame Einwilligung nachzuweisen1. Unklar ist, zu welchem Zeitpunkt die Bestätigung zu erfolgen hat. Der Wortlaut des Gesetzes enthält hierüber keine Angabe. Aus dem Sinn und Zweck der Bestätigungspflicht, dem Betroffenen eine Kontrollmöglichkeit über die Verwendung seiner Daten einzuräumen, ergibt sich jedoch, dass die Bestätigung zumindest im nahen zeitlichen Zusammenhang mit der ersten Werbemaßnahme erfolgen sollte. Nach der hier vertretenen Ansicht muss die Bestätigung damit innerhalb von zwei Wochen nach Eingang der Einwilligung, spätestens zeitgleich mit der ersten Werbemaßnahme, schriftlich bestätigt werden2.
160
Umstritten ist schließlich, in welcher Form die Bestätigung erteilt wer- 161 den muss3. Nach dem Wortlaut des Abs. 3a Satz 1 Halbs. 1 ist die verantwortliche Stelle dazu verpflichtet, die Einwilligung „schriftlich zu bestätigen“. Es stellt sich also die Frage, ob mit dieser Formulierung die strenge Schriftform (§ 126 BGB) gefordert wird, oder ob eine Bestätigung in elektronischer (§ 126a BGB) oder Textform (§ 126b) ausreichend ist. In der Praxis würde ein strenges Schriftformerfordernis zu erheblichen – nicht zuletzt auch finanziellen – Nachteilen führen4. Der Wortlaut des Abs. 3a Satz 1 Halbs. 1 ähnelt zunächst der Formulierung des § 126 BGB, der auf die „schriftliche Form“ Bezug nimmt. Zugleich scheint es auf den ersten Blick nur konsequent, wenn zumindest in der Bestätigung das strenge Schriftformerfordernis des § 4a Abs. 1 Satz 3 eingehalten wird5. Dennoch muss Abs. 3a Satz 1 Halbs. 1 so verstanden werden, dass auch eine Bestätigung in elektronischer oder Textform ausreichend sein muss6. Der Grund hierfür ist, dass die Bestätigung nach Abs. 3a Satz 1 Halbs. 1 nicht die eigentliche Einwilligung ersetzt, da diese vorab vom Betroffenen erteilt werden muss. Eines Übereilungsschutzes, wie er durch die Einhaltung der Schriftform gewährleistet werden soll, bedarf es nach Erklärung der Einwilligung nicht mehr. Vielmehr hat die Bestätigungspflicht, wie oben dargestellt, eine Kontroll- und Informati1 Simitis/Simitis, § 28 BDSG Rz. 221. 2 So im Ergebnis auch Simitis/Simitis, § 28 BDSG Rz. 221; Pfeifer, MMR 2010, 524 (525). 3 Ausführlich hierzu Lixfeld, RDV 2010, 163. 4 Vgl. Lixfeld, RDV 2010, 163. 5 So Taeger/Gabel/Taeger, § 28 BDSG Rz. 167, der dieses Ergebnis jedoch stark kritisiert; i.E. ebenso und kritisch Lixfeld, RDV 2010, 166. 6 Ebenso Plath/Frey, BB 2009, 1762, 1766; Rudolph, CR 2010, 257 (261).
Plath 617
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
onsfunktion, der Genüge getan wird, sobald der Betroffene eine Nachricht in elektronischer oder Textform erhält1. Darüber hinaus würde eine Schriftformverpflichtung den Betroffenen nicht schützen, sondern vielmehr unter Umständen sogar zu einer Verwendung zusätzlicher Daten und somit zu einem erweiterten Eingriff in den Schutzbereich der informationellen Selbstbestimmung führen. Denn die verantwortliche Stelle müsste, um beispielsweise eine Einwilligung in die Verwendung einer E-Mail Adresse schriftlich zu bestätigen, zusätzlich die Anschriftsdaten des Betroffenen erheben, obwohl sie an diesen Daten ggf. gar nicht interessiert ist. Schließlich würde die Verpflichtung zur Einhaltung der Schriftform zu einem erheblichen logistischen und finanziellen Aufwand führen, der nicht zu rechtfertigen ist2. Damit würde es für die verantwortliche Stelle kostengünstiger und einfacher sein, eine Datenverwendung durch die Erlaubnistatbestände des Abs. 3 zu legitimieren, als eine Einwilligung des Betroffenen einzuholen, was nicht i.S.d. Betroffenenschutzes ist, der am ehesten durch die Einholung einer Einwilligung gewährleistet wird. Demnach kann nach der hier vertretenen Ansicht die Bestätigung sowohl in Schriftform als auch in elektronischer oder Textform erfolgen3. 2. Protokollierung (Abs. 3a Satz 1 Halbs. 2) 162 In Abs. 3a Satz 1 Halbs. 2 hat der Gesetzgeber die Anforderungen an die Wirksamkeit elektronisch (z.B. per E-Mail oder SMS) abgegebener Einwilligungen herabgesenkt. Die Pflicht zur schriftlichen Bestätigung entfällt, wenn die verantwortliche Stelle die Einwilligung protokolliert und dem Betroffenen die Möglichkeit einräumt, die Einwilligung jederzeit abzurufen und zu widerrufen. Damit sollte eine Angleichung an die Regelungen des § 94 TKG und des § 13 Abs. 2 TMG erfolgen, die ähnliche Anforderungen an elektronisch erteilte Einwilligungen stellen4. 163 Die verantwortliche Stelle muss insbesondere protokollieren, dass, wann (Tag und Uhrzeit) und wie (E-Mail, Klick-Bestätigung, SMS) der
1 So auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 420; Taeger/Gabel/Taeger, § 28 BDSG Rz. 169. 2 Ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 168. 3 Ebenso Bergmann/Möhrle/Herb, § 28 BDSG Rz. 420; zum selben Ergebnis kommt Lixfeld, RDV 2010, 163. 4 BT-Drucks. 16/12011, S. 33; Taeger/Gabel/Taeger, § 28 BDSG Rz. 170; Simitis/ Simitis, § 28 BDSG Rz. 222; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 127; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 422.
618 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
Betroffene eingewilligt hat. Darüber hinaus muss auch der Inhalt der Einwilligung, also Zweck und Umfang der Datenverwendung, im Protokoll festgehalten werden1. Eine genaue Protokollierung des Einwilligungsinhalts empfiehlt sich nicht zuletzt auch im Hinblick auf die Beweispflicht der verantwortlichen Stelle. Die verantwortliche Stelle muss darüber hinaus sicherstellen, dass der 164 Betroffene jederzeit den Inhalt der Einwilligung, insbesondere ihren Umfang und Zweck, abrufen kann. Dem Betroffenen müssen die Informationen angegeben werden, die er für einen wirksamen Widerruf der Einwilligung braucht. Dabei muss zum einen darauf geachtet werden, dass der Einwilligungsinhalt ausschließlich vom Betroffenen eingesehen werden kann. In der Regel wird dies mittels eines Logins (Benutzername und Passwort) gewährleistet2. Zugleich darf die Abrufmöglichkeit aber nicht dazu führen, dass die verantwortliche Stelle zusätzliche Daten verwendet. So muss beispielsweise dafür gesorgt werden, dass ein Abruf der Einwilligung auch dann möglich ist, wenn der Betroffene kein eigenes Online-Konto bei der verantwortlichen Stelle unterhält. Ein Ausweg wäre zum Beispiel die Einräumung der Möglichkeit, sich den Inhalt der Einwilligung per E-Mail zusenden zu lassen3. In der Praxis empfiehlt sich deshalb – nicht zuletzt auch im Hinblick auf die Ausgestaltung der Einwilligungserklärung als Double opt-in (s. ausf. § 4a Rz. 56 ff.) – die Versendung einer automatischen E-Mail an den Betroffenen, welche entweder den Text der Einwilligungserklärung oder einen Link, über den die Erklärung abgerufen werden kann, beinhaltet. Mit dieser Herangehensweise wäre zum einen den Anforderungen an die jederzeitige Abrufbarkeit genüge getan. Zum anderen entfiele auch die Notwendigkeit einer Protokollierung der Einwilligungserteilung, da nach der hier vertretenen Ansicht eine E-Mail-Bestätigung als schriftliche Bestätigung ausreicht (s.o. Rz. 161). Mit Versendung der E-Mail ist der Pflicht zur Abrufermöglichung ausreichend genüge getan, da der Betroffene sich durch diese E-Mail jederzeit über die abgegebene Einwilligung informieren kann. Ungeachtet dessen steht es der verantwortlichen Stelle frei, die Wirksamkeit der Einwilligung nicht durch eine Protokollierung nach Halbs. 2,
1 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 423; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 128. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 171; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 130; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 423. 3 Taeger/Gabel/Taeger, § 28 BDSG Rz. 171.
Plath 619
165
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
sondern im Wege der schriftlichen Bestätigung nach Halbs. 1 herbeizuführen1. 3. Drucktechnische Hervorhebung bei gebündelten Erklärungen (Abs. 3a Satz 2) 166 Schließlich stellt Abs. 3a spezielle Anforderungen an die Wirksamkeit einer Einwilligung in die Datenverwendung zu Werbezwecken, die zusammen mit anderen Erklärungen und schriftlich abgegeben wurde. Eine solche Einwilligung ist nur wirksam, wenn der Betroffene durch drucktechnische Hervorhebung auf die Erteilung der Einwilligung aufmerksam gemacht wird. Da der Wortlaut von „schriftlichen“ Einwilligungen spricht, muss dies sowohl für gedruckte als auch für elektronische Texte gleichermaßen gelten2. Mit diesem, i.R.d. BDSG-Novelle II eingeführten Erfordernis wollte der Gesetzgeber den Grundsätzen, die der BGH im Payback-Urteil3 entwickelt hat, Rechnung tragen. 167 Abs. 3a Satz 2 präzisiert die Regelung des § 4a Abs. 1 Satz 4, in der lediglich eine „besondere Hervorhebung“ angeordnet wird, und geht dieser Generalnorm bei Einwilligungen in die Datenverwendung zu Werbezwecken als Spezialnorm vor4. Damit ist, anders als im Rahmen des § 4a Abs. 1 Satz 4, eine andere als eine drucktechnische Hervorhebung nicht ausreichend5. 168 Eine drucktechnische Hervorhebung kann insbesondere durch besondere typographische Gestaltungen wie Fettdruck, Unterstreichung, Umrandung, Farbe, Veränderung der Schriftgröße oder durch Verwendung eines anderen Schrifttyps erfolgen, also auf jede Art und Weise, die dazu führt, dass der Betroffene auf die Einwilligungserklärung aufmerksam gemacht wird6. Anders als noch im Gesetzesentwurf vorgesehen7 ist es nicht erforderlich, dass der Betroffene durch ein gesondertes Tun, beispielsweise durch Ankreuzen oder durch eine eigenständige Unter1 S.o. Rz. 158; Taeger/Gabel/Taeger, § 28 BDSG Rz. 172; Simitis/Simitis, § 28 BDSG Rz. 222. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 174; vgl. auch die ähnliche Problematik bzgl. des Begriffs „schriftlich“ im Zusammenhang mit der Form der Bestätigung nach Abs. 3a Satz 1, Rz. 161. 3 BGH v. 16.7.2008 – VII ZR 348/06, CR 2008, 720 – Payback. 4 Ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 133. 5 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 425. 6 BT-Drucks. 16/12011, S. 33; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 133; Taeger/Gabel/Taeger, § 28 BDSG Rz. 174. 7 BT-Drucks. 16/12011, S. 33.
620 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
schrift, seinen zweifelsfreien Erklärungswillen kundtut1. Damit gilt auch weiterhin die zu § 4a ergangene Payback-Entscheidung des BGH, wonach die datenschutzrechtliche Einwilligung nicht zwingend als sog. gesondertes „Opt-in“ gestaltet werden muss2. Dabei muss jedoch beachtet werden, dass eine wettbewerbsrechtliche Einwilligung in bestimmte Werbemaßnahmen nach § 7 UWG gesondert, also als „Opt-in“, erfolgen muss. Vgl. hierzu auch die ausführliche Kommentierung in § 4a Rz. 55. Aus Abs. 3a Satz 2 ergibt sich nicht zuletzt auch, dass eine Aufforderung 169 zur Einwilligung in die Datenverwendung in die allgemeinen Geschäftsbedingungen (AGB) der verantwortlichen Stelle eingebettet werden kann, soweit die Einwilligungserklärung drucktechnisch hervorgehoben wurde. Bezüglich der genauen Anforderungen sowie der Frage, inwiefern solche Einwilligungen der AGB-Kontrolle i.S.d. §§ 305 ff. BGB unterliegen, kann auf die Kommentierung zu § 4a verwiesen werden (s. § 4a Rz. 39). VI. Kopplungsverbot (Abs. 3b) Abs. 3b normiert ein sog. Kopplungsverbot. Dadurch soll verhindert wer- 170 den, dass der Betroffene faktisch zur Abgabe einer Einwilligung in die Datenverwendung zu Zwecken der Werbung oder des Adresshandels gezwungen wird, indem ihm bei einer entsprechenden Weigerung ein Vertragsschluss nicht oder nur mit erheblichen Nachteilen möglich ist. Einwilligungen, die unter Verstoß gegen das Kopplungsverbot erteilt wurden, sind gemäß Abs. 3b Satz 2 ex tunc unwirksam3. Die Verwendung von Daten zu Zwecken der Werbung oder des Adresshandels ist dann rechtswidrig, und bereits erhobene oder übermittelte Daten müssen gelöscht werden4. Letztlich konkretisiert Abs. 3b lediglich das in § 4a Abs. 1 Satz 1 normierte allgemeine Erfordernis der Freiwilligkeit von Einwilligungen5. Abs. 3b ist eine Parallelregelung zu § 95 Abs. 5 TKG, der ein Verbot der Kopplung von TK-Diensteangeboten und Einwilligungen normiert (siehe dazu die Kommentierung zu § 95 TKG Rz. 14)6. 1 Ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 175; Pfeifer, MMR 2010, 524 (525); a.A. Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 133. 2 BGH v. 16.7.2008 – VII ZR 348/06, CR 2008, 720 (722) – Payback. 3 Taeger/Gabel/Taeger, § 28 BDSG Rz. 184. 4 Taeger/Gabel/Taeger, § 28 BDSG Rz. 185. 5 Simitis/Simitis, § 28 Rz. 223; Pfeifer, MMR 2010 524 (526). 6 Zur Zulässigkeit der Kopplung von Telemediendiensten (§ 12 Abs. 3 TMG a.F.) mit der Einwilligung in die Verwendung von Daten zu Zwecken der Geolokalisation des Nutzers OVG Münster v. 3.12.2009 – 13 B 775/09, MMR 2010, 350 (351).
Plath 621
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
171 Entgegen dem restriktiven Wortlaut von Abs. 3b muss aufgrund des Zwecks der Norm, den Betroffenen in seiner freien Willensentscheidung zu schützen, angenommen werden, dass das Kopplungsverbot nicht nur für den Abschluss eines Vertrages, sondern auch für dessen Änderung oder Kündigung gilt1. Darüber hinaus ist die Norm auf alle Einwilligungen nach Abs. 3 Satz 1 i.V.m. Abs. 3a, unabhängig von ihrer Form, anwendbar2. 172 Das Kopplungsverbot gilt gemäß Abs. 3b Satz 1 a.E. nur, „wenn dem Betroffenen ein Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist“. Damit stellt sich die Frage, wann ein für den Betroffenen zumutbarer Zugang zu einer gleichwertigen Leistung gegeben ist. Der Fokus dieser Anforderung liegt eindeutig auf der infrage stehenden Leistung, nicht auf der Identität des Leistenden. Damit kommt es nicht darauf an, ob der Betroffene die Möglichkeit hat, mit dem konkreten Erbringer einen Vertrag ohne Abgabe einer Einwilligung zu schließen, sondern lediglich, ob mit Blick auf den gesamten Markt der Zugang zu einer vergleichbaren Leistung zumutbar möglich ist3. Damit wird deutlich, dass diese Voraussetzung umso eher erfüllt ist, je allgemeiner und ortsunabhängiger der Leistungsgegenstand ist. Abs. 3b wirkt demzufolge dem Missbrauch einer Marktmacht oder gar Monopolstellung entgegen4. Zugleich heißt dies jedoch auch, dass in der Praxis werbetreibende Unternehmen den Markt in Hinblick auf Ausweichmöglichkeiten für den Betroffenen untersuchen sollten5. 173 Fraglich ist, wann ein alternativer Leistungszugang als unzumutbar anzusehen ist. Teilweise wird vertreten, dass dies bereits der Fall sein soll, sobald er mit einem höheren Kosten- oder Zeitaufwand, schlechteren Konditionen oder minderwertigen Leistungen verbunden ist6. Nach der hier vertretenen Ansicht ist dieser Maßstab jedoch zu streng. Dies folgt daraus, dass das Gesetz lediglich von einer „Gleichwertigkeit“ der Leis1 Ebenso Bergmann/Möhrle/Herb, § 28 BDSG Rz. 428. 2 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 429. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 430; im Ergebnis ebenso Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 135; zur Parallelregelung im TKG Spindler/Schuster/Eckhardt, Recht der elektronischen Medien, § 95 TKG Rz. 26. Siehe auch die Kommentierung zu § 95 TKG, Rz. 14. 4 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 136. 5 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 135. 6 So z.B. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 431; Däubler/Klebe/Wedde/ Weichert/Wedde, § 28 BDSG Rz. 135; Taeger/Gabel/Taeger, § 28 BDSG Rz. 183.
622 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
tungen spricht, ihre Identität also gerade nicht gefordert ist. Das Kopplungsverbot kann und soll nicht dazu führen, dass eine vollkommene Preisangleichung des Angebots erfolgt. Vielmehr muss es zulässig sein, dass ein Unternehmen die Kopplung von Vertragsschluss und Einwilligung durch die Gewährung eines attraktiveren Angebots, z.B. in Form eines geringeren Preises, kompensiert1. Wann die Grenze zur Unzumutbarkeit konkret überschritten ist, hängt vom Einzelfall ab. Es muss dabei die Frage gestellt werden, ob das Alternativangebot so extrem ist, dass seine Tolerierung von niemandem erwartet werden kann. Dies wird erst bei einem ganz erheblichen Preisunterschied, z.B. von 100 %, oder einem extremen Mehraufwand der Fall sein. Zulässig ist es dagegen, den Betroffenen durch einen positiven An- 174 reiz in Form einer Zusatzleistung zur Abgabe einer Einwilligung bewegen zu wollen2. Das Paradebeispiel für diese Praxis sind Bonusoder Treue(punkt)systeme. In der Tat ist in diesem Fall die Abgabe der Einwilligung nicht mit der Abwendung eines Nachteils, sondern mit der Gewährung eines Vorteils verbunden. Der Betroffene wird hierdurch nicht in seiner freien Willensentscheidung beeinträchtigt. Er entscheidet sich vielmehr bewusst für die Verwendung seiner Daten zu Werbezwecken, um in den Genuss der versprochenen Leistung zu kommen. VII. Widerspruchsrecht (Abs. 4) Abs. 4 regelt, unter welchen Voraussetzungen und mit welchen Folgen 175 der Betroffene einer nach § 28 zulässigen Verarbeitung oder Nutzung seiner Daten zu Zwecken der Werbung bzw. der Markt- oder Meinungsforschung3 widersprechen kann. Damit wird dem Betroffenen ein zusätzliches Recht gewährt, das diesem eine weitere Möglichkeit eröffnet, sich gegen die ungewollte Verwendung seiner Daten zu wehren. Dieses Recht steht neben den ihm gemäß § 6 Abs. 1 ohnehin zustehenden Auskunfts-, Berichtigungs- und Löschungsrechten. Hintergrund dieser Erweiterung der Betroffenenrechte ist die erhöhte Schutzwürdigkeit der Betroffenen im Bereich der Werbung. Die verantwortlichen Stellen verwenden Daten, die sie rechtmäßig erhoben haben, zum zusätzlichen Zweck der Werbung oder des Adresshandels. Vor dieser – gesetzlich 1 Ebenso Spindler/Schuster/Eckhardt, Recht der elektronischen Medien, § 95 TKG Rz. 27. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 91. 3 Die Zulässigkeit solcher Praktiken richtet sich nach § 30a, vgl. die diesbezügliche Kommentierung.
Plath 623
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
erlaubten (s.o. Rz. 99) – faktischen Zweckerweiterung soll der Betroffene durch erweiterte Rechte geschützt werden1. 176 Das Widerspruchsrecht kann gegen jede Form der Verarbeitung oder Nutzung von Daten zu Werbezwecken erfolgen. Auf die konkrete Form der Werbung (z.B. Postsendung, Anruf, E-Mail, SMS, persönliche Ansprache, aber auch Sponsoring), die Identität des Werbenden (Unternehmen, gemeinnützige Vereine, Parteien, religiöse Gruppierungen) oder den Zweck der Werbung (Produktwerbung, Imagewerbung) kommt es nicht an2. Voraussetzung ist jedoch, dass die Werbung der Hauptzweck der Datenverwendung ist. Nach der hier vertretenen Ansicht fällt damit die Verbindung von Werbung mit einer anderweitigen Korrespondenz, z.B. durch die Beilage von Werbung zu bestellter Ware, Rechnungen oder Kontoauszügen, nicht in den Anwendungsbereich des Abs. 43. 177 Der Betroffene kann auch einer Datenverwendung zu Zwecken der Markt- und Meinungsforschung widersprechen unabhängig davon, ob die Ansprache durch die verantwortliche Stelle selbst oder durch ein im Wege der Auftragsdatenverarbeitung (§ 11) beauftragtes Unternehmen oder Institut erfolgt. Gemäß § 30a Abs. 5 ist Abs. 4 auch auf die geschäftsmäßige Markt- und Meinungsforschung, im Rahmen derer ein repräsentativer Teil der Bevölkerung auf Initiative eines Marktforschungsinstituts befragt wird, anwendbar4. 178 Das Widerspruchsrecht des Betroffenen kann – ebenso wenig wie die Rechte aus § 6 Abs. 1 – weder abbedungen noch eingeschränkt werden5. Umstritten ist, ob diese Vorschrift eine verbraucherschützende Norm i.S.d. § 2 Unterlassungsklagegesetz (UKlaG) ist6. Nach der hier vertretenen Ansicht7 kommt § 28 – und somit auch Abs. 4 – jedoch keine ver-
1 Ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 207. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 144; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 461. 3 So auch Bergmann/Möhrle/Herb, § 28 BDSG Rz. 463, die jedoch zwischen Eigen- und Fremdwerbung differenzieren wollen; a.A. dagegen Taeger/Gabel/Taeger, § 28 BDSG Rz. 208 sowie Simitis/Simitis, § 28 BDSG Rz. 250. 4 Simitis/Simitis, § 28 BDSG Rz. 251. 5 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 446; Taeger/Gabel/Taeger, § 28 BDSG Rz. 207; Simitis/Simitis, § 28 BDSG Rz. 252. 6 So z.B. Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 141; Huppertz/ Ohrmann, CR 2011, 449 (454); ausführlich zur diesbezüglichen Rechtsprechung Kamlah/Hoke, RDV 2008, 226 (228 ff.). 7 S.o. Rz. 102, § 1 Rz. 15 f. m.w.N.
624 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
braucherschützende Funktion zu, so dass eine Anwendbarkeit des UKlaG abzulehnen ist (siehe dazu die Kommentierung zu § 1 Rz. 15 ff.)1. 1. Adressaten des Widerspruchs (Abs. 4 Satz 1, 3) Der Widerspruch des Betroffenen kann alternativ oder kumulativ an zwei Adressatenkreise gerichtet werden, namentlich an die verantwortliche Stelle oder an Dritte, die Daten im Wege der Übermittlung erhalten haben:
179
a) Verantwortliche Stelle als Adressat Adressat des Widerspruchs ist grundsätzlich die für die Verarbeitung 180 oder Nutzung verantwortliche Stelle. Bei größeren Betrieben kann der Widerspruch auch an eine Niederlassung oder Betriebsstätte gerichtet werden2. Umstritten ist, gegen wen der Widerspruch im Fall einer Auftragsda- 181 tenverarbeitung (§ 11) geltend gemacht werden muss. Grundsätzlich ist der Wortlaut des Satz 1 dahingehend eindeutig, dass der Widerspruch an die verantwortliche Stelle gerichtet werden muss. Dies ist gemäß § 11 Abs. 1 Satz 1 der Auftraggeber. Allerdings wird vermehrt vertreten, dass der Gedanke des § 11 Abs. 1 Satz 2, der u.a. normiert, dass die Auskunfts-, Berichtigungs- und Löschungsrechte des Betroffenen aus § 6 Abs. 1 auch gegen den Beauftragten geltend gemacht werden können, aufgrund der teleologischen Nähe auch auf das Widerspruchsrecht gemäß Abs. 4 angewandt werden muss. Damit soll ein Widerspruch nicht bereits deshalb unwirksam sein, weil er sich an den Auftragsdatenverarbeiter richtet. Vielmehr habe dieser den Widerspruch an seinen Auftraggeber, also an die eigentlich verantwortliche Stelle, weiterzuleiten. Den Auftraggeber soll dabei die Pflicht treffen, für eine entsprechende Weiterleitung (vertraglich) zu sorgen3. Dagegen spricht zunächst, dass der Wortlaut sowohl des Abs. 4 Satz 1 als auch des § 11 Abs. 1 Satz 2 eindeutig nur auf die verantwortliche 1 Vgl. auch OLG Düsseldorf v. 20.2.2004 – I U 149/03, RDV 2004, 222; OLG Hamburg v. 25.11.2004 – 5 U 22/04, MMR 2005, 617; Kamlah/Hoke, RDV 2008, 226 (228 ff.). 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 145; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 449; Taeger/Gabel/Taeger, § 28 BDSG Rz. 211. 3 So z.B. Simitis/Simitis, § 28 BDSG Rz. 268; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 450.
Plath 625
182
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
Stelle Bezug nimmt. Darüber hinaus greift auch das Argument dieser Ansicht zu kurz, wonach eine Ermittlung der verantwortlichen Stelle in vielen Fällen nur schwer möglich sei. Dies folgt schon daraus, dass Abs. 4 Satz 2 eine Verpflichtung zur Unterrichtung des Betroffenen über die verantwortliche Stelle normiert1. Schließlich ist auch keine absolute Vergleichbarkeit dieser Betroffenenrechte gegeben, denn zumindest der Berichtigungs- und der Löschungsanspruch richten sich gegen den fehlerhaften oder unzulässigen Umgang mit Daten, wohingegen Abs. 4 ein Widerspruchsrecht auch bei rechtmäßigen Datenverwendungen einräumt2. Damit besteht keine Schutzbedürftigkeit des Betroffenen, die eine derart extensive Auslegung des eindeutigen Wortlauts zu rechtfertigen vermag, so dass im Ergebnis der Widerspruch gegen den Auftraggeber geltend zu machen ist. 183 Auch bei Übermittlungsketten gilt der Grundsatz, dass der Widerspruch grundsätzlich an die verantwortliche Stelle gerichtet werden muss. Dabei stellt sich jedoch die Frage, ob diese Stelle zur Weiterleitung des Widerspruchs an weitere Kettenglieder verpflichtet ist. Hierfür bietet das Gesetz keinen Anhaltspunkt. Damit muss ein Betroffener, der sich effektiv gegen eine Verwendung seiner Daten zu Werbezwecken wehren will, nach § 34 Auskunft über die Herkunft bzw. Empfänger seiner Daten verlangen und gegenüber jeder einzelnen verantwortlichen Stelle seinen Widerspruch erklären. b) Dritter als Adressat 184 Darüber hinaus kann der Widerspruch auch an Dritte gerichtet werden, die Daten nach Maßgabe des § 28 Abs. 3 im Wege der Übermittlung erhalten haben. Gemeint sind damit also insbesondere Empfänger, die Daten aufgrund einer Einwilligung gemäß Abs. 3 Satz 1, oder Listendaten unter den Voraussetzungen des Abs. 3 Satz 2 und Satz 4 zum Zweck der Werbung erhalten haben. Damit gewährt der Gesetzgeber dem Betroffenen einen zweiten, zusätzlichen Widerspruchsadressaten. Der Betroffene kann – ebenso wie im Rahmen des Abs. 4 Satz 1 – sowohl der Verarbeitung als auch der Nutzung der personenbezogenen Daten widersprechen. Keine Anwendung findet Abs. 3 Satz 4 auf Daten, die der Dritte nicht nach Maßgabe des Abs. 3, sondern beispielsweise unter den Voraussetzungen des Abs. 1, der die Datenverwendung zur Erfüllung eigener Geschäftszwecke regelt, erhalten hat. Da in diesen Fällen der Dritte jedoch 1 S. hierzu die ausführliche Kommentierung unter Rz. 186. 2 Vgl. Simitis/Simitis, § 28 BDSG Rz. 248.
626 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
zugleich selbst verantwortliche Stelle wird, hat der Betroffene die Möglichkeit, einen Widerspruch gegen diesen Empfänger auf Abs. 4 Satz 1 zu stützen. Fraglich ist, ob auch öffentliche Stellen „Dritte“ i.S.d Abs. 4 Satz 3 sein 185 können. Dagegen spricht zunächst, dass § 28 im Dritten Abschnitt des BDSG eingeordnet ist, der nur für nicht-öffentliche Stellen gilt. Allerdings trifft der Wortlaut des Abs. 4 keine diesbezügliche Unterscheidung. Auch öffentliche Stellen sind „Dritte“ in Bezug auf nicht-öffentliche verantwortliche Stellen. Darüber hinaus soll durch das Widerspruchsrecht in Abs. 4 das Recht auf informationelle Selbstbestimmung des Betroffenen weiter gestärkt werden. Dieses kann u.U. auch durch eine Verwendung durch öffentliche Stellen bedroht werden. Es ist demnach i.S.d. Normzwecks, dass auch öffentliche Stellen Adressaten eines Widerspruchs nach Abs. 4 Satz 3 sein können1. 2. Unterrichtung und Belehrung (Abs. 4 Satz 2) Gemäß Abs. 4 Satz 2 ist die verantwortliche Stelle dazu verpflichtet, 186 den Betroffenen bereits bei der Ansprache zum Zweck der Werbung bzw. bei der Begründung eines Schuldverhältnisses nach Abs. 1 Satz 1 über ihre Identität sowie über das Bestehen des Widerspruchsrechts zu benachrichtigen. Darüber hinaus muss die verantwortliche Stelle sicherstellen, dass der Betroffene Kenntnis über die Herkunft der verwendeten Daten erlangen kann, falls der Ansprechende die Daten nicht selbst gespeichert hat. Hiermit soll gewährleistet werden, dass der Betroffene schon vor der ersten Datennutzung zu Werbe- bzw. Markt- und Meinungsforschungszwecken alle Informationen bekommt, die er zur sofortigen Geltendmachung seines Widerspruchsrechts benötigt. Unklar ist, ob die Benachrichtigung auch bei allen nachfolgenden An- 187 sprachen zu erfolgen hat. Dafür spricht zum einen der Wortlaut des Abs. 4 Satz 2, wonach die Unterrichtung „auch“ bei Begründung des Schuldverhältnisses vorgenommen werden muss. Zum anderen entspricht es auch dem der Norm zugrundeliegenden Sinn und Zweck des Betroffenenschutzes, dass dieser bei jeder erneuten Ansprache über das Bestehen und den Adressaten des Widerspruchsrechts in Kenntnis gesetzt wird2. Darüber hinaus ist es wohl auch im Sinne der verantwort1 Ebenso Simitis/Simitis, § 28 BDSG Rz. 274. 2 So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 209; Gola/Schomerus, § 28 BDSG Rz. 66; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 481; Däubler/Klebe/Wedde/ Weichert/Wedde, § 28 BDSG Rz. 153.
Plath 627
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
lichen Stelle, routinemäßig die Belehrung vorzunehmen, um nicht zwischen bereits informierten und noch nicht informierten Adressaten unterscheiden zu müssen. 188 Keine Angaben macht das Gesetz zur Form der Belehrung. Insbesondere ist, anders als für die Einwilligungserteilung nach § 4a Abs. 1 Satz 4 bzw. Abs. 3a Satz 2, keine besondere Hervorhebung der Belehrung notwendig. Nach der hier vertretenen Ansicht ist es ausreichend, wenn die Belehrung dergestalt erfolgt, dass der Betroffene, der sich über seine Rechte informieren will, diese ohne weiteres finden und lesen kann. Sie muss damit bei einer Platzierung in den AGB oder anderem „Kleingedruckten“, z.B. durch eine Überschrift, erkennbar gemacht werden. Aus Beweissicherungsgründen empfiehlt sich grundsätzlich die Einhaltung jedenfalls der Textform. 189 Inhaltlich muss die Belehrung über die Identität der verantwortlichen Stelle aufklären. Erforderlich, aber auch ausreichend ist die Angabe der Firmenbezeichnung1. Darüber hinaus muss der Betroffene über sein Widerspruchsrecht belehrt werden. Dabei ist die verantwortliche Stelle in der Formulierung der Belehrung frei, sie muss weder den Wortlaut des Gesetzes noch die juristischen Fachtermini wiedergeben. Ausreichend ist es damit, den Betroffenen darauf aufmerksam zu machen, dass er sich an die verantwortliche Stelle wenden kann, sollte er keine Werbung mehr wünschen. 190 Nutzt die verantwortliche Stelle Daten, die sie nicht selbst gespeichert hat, so verpflichtet Abs. 4 Satz 2 Halbs. 2 diese, dem Betroffenen die Möglichkeit zu eröffnen, über die Herkunft der Daten Kenntnis zu erlangen. Von besonderer Bedeutung ist diese Regelung im Falle der Nutzung fremder Datenbestände, insbesondere im Rahmen des sog. „Listbrokings“ und des „Letter-Shop-Verfahrens“2. Die verantwortliche Stelle ist damit nicht dazu verpflichtet, die Herkunft der Daten anzugeben, muss jedoch sicherstellen, dass der Betroffene die Datenquelle unproblematisch im Wege der Nachfrage in Erfahrung bringen kann. In der Praxis stellt sich regelmäßig die Frage, wie dieser Pflicht nachgekommen werden kann. Am sichersten ist die Angabe einer (kostenlosen!) Telefonnummer, über die sich der Betroffene über die Herkunft seiner Daten informieren kann. Denkbar ist auch die Einrichtung eines
1 Strenger Bergmann/Möhrle/Herb, § 28 BDSG Rz. 472, der auch die Angabe der Adresse fordert. 2 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 474.
628 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
E-Mailservices. Voraussetzung für die Gewährleistung des Rechts zur Kenntniserlangung ist ein entsprechendes Monitoring, das eine Information des Betroffenen nach Maßgabe des Abs. 4 Satz 2 Halbs. 2 ermöglichen kann. Doch auch im Rahmen der Vertragsgestaltung mit der dritten Stelle, die die Daten ursprünglich gespeichert hat, muss sichergestellt werden, dass die verantwortliche Stelle zur Auskunft über die Identität der „Quelle“ – insbesondere im Hinblick auf eventuelle Geschäftsgeheimnisse – berechtigt ist. Im Falle einer Auftragsdatenverarbeitung (§ 11) muss die verantwortliche Stelle dafür sorgen, dass der Auftragnehmer die Belehrung und Unterrichtung nach Abs. 4 Satz 2 durchführt.
191
Kommt die verantwortliche Stelle ihrer Pflicht zu Belehrung nicht nach, 192 so führt dies nicht dazu, dass die Werbemaßnahme unzulässig wird; ihre Zulässigkeit richtet sich allein nach Abs. 3. Allerdings ist ein Verstoß gegen die Unterrichtungspflicht gemäß § 43 Abs. 1 Nr. 3 bußgeldbewährt (vgl. auch Rz. 224). 3. Form und Frist des Widerspruchs (Abs. 4 Satz 4) Der Widerspruch bedarf keiner Begründung und unterliegt keinem ge- 193 setzlichen Formerfordernis. Er kann damit grundsätzlich schriftlich, mündlich oder in Textform, ausdrücklich oder konkludent erfolgen, soweit der Widerspruchswille – zumindest im Wege der Auslegung – erkennbar ist. Fraglich ist, ob auch eine vertragliche Vereinbarung über die einzuhaltende Form des Widerspruchs zulässig ist. Hierzu nimmt die Regelung des Abs. 4 Satz 4 Stellung, wonach der Widerspruch gegen eine Datenverwendung im Rahmen der Begründung, Durchführung oder Beendigung eines Schuldverhältnisses gemäß Abs. 1 Satz 1 Nr. 1 keiner strengeren Form unterworfen werden darf, als für die Begründung des Schuldverhältnisses vereinbart. Im Umkehrschluss muss die Regelung so verstanden werden, dass eine vertragliche Formvereinbarung grundsätzlich zulässig sein muss. Allerdings wollte der Gesetzgeber ausweislich der Gesetzesbegründung mit dieser Regelung die Rechte des Betroffenen stärken1. Tatsächlich führt diese Regelung jedoch eher zu einer Rechteschwächung, da der Betroffene darauf achten muss, bei seinem Widerspruch die richtige Form einzuhalten. Dieses widersprüchliche Ergebnis ist jedoch angesichts des eindeutigen Wortlauts des Abs. 4 Satz 4
1 BT-Drucks. 16/12011, S. 33.
Plath 629
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
hinzunehmen. Damit darf die verantwortliche Stelle verlangen, dass i.R.d. Widerspruchs jedenfalls die Form des der Verarbeitung zugrunde liegenden Schuldverhältnisses einzuhalten ist1. 194 Der Widerspruch muss gegenüber der verantwortlichen Stelle bzw. dem Dritten erklärt werden. Ausreichend ist, wenn die Erklärung gegenüber einem Mitarbeiter, einem Erfüllungsgehilfen oder einem Auftragnehmer erfolgt2. Damit genügt jedoch das Anbringen eines „Werbung unerwünscht“-Aufklebers an den Briefkasten nicht, um der Werbemaßnahme – zumindest datenschutzrechtlich – zu widersprechen. Dagegen muss die Rücksendung einer Werbung unter dem Vermerk „Annahme verweigert“ als Widerspruch angesehen werden, da der Betroffene damit seinen Widerspruch dem Adressaten zukommen lässt3. 195 Fraglich ist, ob eine Eintragung in eine sog. „Robinson-Liste“, einer Schutzliste von Personen, die keine Werbung empfangen wollen, als Widerspruch i.S.d. Abs. 4 angesehen werden kann. Dagegen spricht zunächst, dass diese Listen nicht bindend sind. Vielmehr treten Unternehmen solchen Initiativen auf freiwilliger Basis bei und unterwerfen sich ihnen im Rahmen einer Selbstverpflichtung4. Eine allgemeine datenschutzrechtliche Außenwirkung kann diesen Listen nicht zugesprochen werden5. Darüber hinaus ist die Eintragung in eine solche Liste nicht als Erklärung gegenüber der verantwortlichen Stelle zu werten, so dass die Voraussetzungen für einen wirksamen Widerspruch i.S.d. Abs. 4 nicht gegeben sind6. Teilweise wird jedoch vertreten, dass ein Eintrag in eine Robinson-Liste im Rahmen der Prüfung eventuell entgegenstehender schutzwürdiger Interessen des Betroffenen zu berücksichtigen sei7. 196 Dem Betroffenen steht es frei, die Reichweite seines Widerspruchs selbst zu bestimmen. Er kann ihn somit auf bestimmte Daten oder auf bestimmte Verwendungsformen beschränken8.
1 So auch Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 154. 2 Gola/Schomerus, § 28 BDSG Rz. 61. 3 Gola/Schomerus, § 28 BDSG Rz. 61; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 453; Simitis/Simitis, § 28 BDSG Rz. 264. 4 So auch Taeger/Gabel/Taeger, § 28 BDSG Rz. 213. 5 Zu beachten ist jedoch, dass u.U. eine wettbewerbsrechtliche Verpflichtung zur Konsultierung und Berücksichtigung dieser Listen besteht. 6 So im Ergebnis auch Gola/Schomerus, § 28 BDSG Rz. 62; Bergmann/Möhrle/ Herb, § 28 BDSG Rz. 454; Simitis/Simitis, § 28 BDSG Rz. 259. 7 Gola/Schomerus, § 28 BDSG Rz. 62. 8 Simitis/Simitis, § 28 BDSG Rz. 262.
630 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
Eine Frist für die Einlegung des Widerspruchs besteht nicht1. Fraglich 197 ist jedoch, innerhalb welcher Frist der Widerspruch beachtet werden muss. Grundsätzlich wirkt er ex nunc. Allerdings muss der verantwortlichen Stelle ein gewisser Zeitraum eingeräumt werden, um technisch und organisatorisch eine (weitere) Datenverwendung zu verhindern. Ihr kann es beispielsweise nicht zugemutet werden, den Zugang von bereits auf den Weg gebrachter postalischer Werbung zu verhindern. Ebenso muss der verantwortlichen Stelle die Möglichkeit eingeräumt werden, den Widerspruch im System zu implementieren. Grundsätzlich ist es ausreichend, wenn die verantwortliche Stelle un- 198 verzüglich (§ 121 Abs. 1 Satz 1 BGB), also ohne schuldhaftes Zögern, auf den Widerspruch reagiert2. Die genaue Zeitspanne hängt vom Einzelfall, insbesondere der konkreten Werbemaßnahme ab, und kann einige Tage bis hin zu einem Monat3 umfassen. Erfolgt innerhalb dieses Zeitraums eine nicht in zumutbarer Weise zu verhindernde Übermittlung oder Nutzung dieser Daten, so sind nach weitverbreiteter Ansicht die Empfänger, die die Daten für weitere Werbezwecke verwenden wollen, über den Widerspruch zu informieren4. Umstritten ist, ob die verantwortliche Stelle auf jeden Widerspruch einzeln reagieren muss, oder ob das „Sammeln“ mehrerer Widersprüche zulässig ist, um diese gebündelt zu einem späteren Zeitpunkt, beispielsweise im Rahmen einer regelmäßigen Datenwartung, zu bearbeiten. Die Frage lässt sich nicht pauschal beantworten. Grundsätzlich würde es, gerade bei großen Unternehmen, zu einer unverhältnismäßigen zeitlichen und wirtschaftlichen Belastung der verantwortlichen Stelle führen, wenn diese sofort jeden einzelnen Widerspruch vermerken müsste. Andererseits wäre die Grenze der „Unverzüglichkeit“ jedenfalls dann überschritten, wenn die Bearbeitung nur alle 3 bis 6 Monate erfolgen würde5. Vertretbar wäre im Ergebnis die gebündelte Bearbeitung von Widersprüchen innerhalb eines Monats. Die Geltendmachung sowie die Bearbeitung des Widerspruchs müssen kostenlos erfolgen. Eine Kostenpflichtigkeit des Widerspruchs würde dem Schutzzweck der Norm, den Betroffenen mit einem zusätzlichen Recht auszustatten, widersprechen. 1 Simitis/Simitis, § 28 BDSG Rz. 261; Rudolph, CR 2010, 257 (261). 2 So auch im Ergebnis Simitis/Simitis, § 28 BDSG Rz. 275; Bergmann/Möhrle/ Herb, § 28 BDSG Rz. 470. 3 Vgl. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 470. 4 Simitis/Simitis, § 28 BDSG Rz. 279; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 470. 5 So aber Gola/Schomerus, § 28 BDSG Rz. 68.
Plath 631
199
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
4. Rechtsfolgen des Widerspruchs 200 Hat der Betroffene der Verarbeitung oder Nutzung seiner Daten durch die verantwortliche Stelle widersprochen, so wird nach Abs. 4 Satz 1 eine entsprechende Datenverarbeitung oder -nutzung zu Zwecken der Werbung bzw. der Meinungsforschung unzulässig. Damit ist sogar die Speicherung dieser und zusätzlicher Daten als Verarbeitungsvorgang gemäß § 3 Abs. 4 Nr. 1 zu Werbezwecken rechtswidrig. 201 Umstritten ist, ob die verantwortliche Stelle als Folge des Widerspruchs nicht nur zur Sperrung der Daten, sondern sogar zur Löschung der Daten verpflichtet ist. Gestützt wird diese Ansicht auf die Regelung des § 35 Abs. 2 Nr. 1, der bestimmt, dass personenbezogene Daten zu löschen sind, wenn ihre Speicherung unzulässig ist. Grundsätzlich muss hier zwischen den Widerspruchsadressaten unterschieden werden. Rechtsfolge eines Widerspruchs gegen die verantwortliche Stelle ist die Unzulässigkeit der Verarbeitung und Nutzung der Daten. Da die Speicherung gemäß § 3 Abs. 4 eine Form der Verarbeitung ist, führt der Widerspruch auch zu ihrer Unzulässigkeit. Der Widerspruch entzieht der Speicherung die Rechtsgrundlage, womit die Voraussetzungen des § 35 Abs. 2 Nr. 1 erfüllt sind1. Eine Einschränkung muss allerdings für die Fälle gemacht werden, in denen die verantwortliche Stelle zu einer Verwendung der Daten zu anderen Zwecken als denen der Werbung bzw. der Markt- und Meinungsforschung berechtigt ist. In diesen Fällen legitimiert die Zulässigkeit der anderweitigen Verwendung die Speicherung der betroffenen Daten2. Unklar ist jedoch, wie diese Unterscheidung technisch umgesetzt werden soll. Als Lösung wird in der Literatur die Einrichtung von Sperrungen oder Sperrdateien diskutiert, die verhindern sollen, dass auf diese gespeicherten Daten im Rahmen von Werbemaßnahmen zugegriffen werden kann3. Durch diese Einrichtungen soll deutlich werden, dass die Speicherung nicht „zu Zwecken“ der Werbung erfolgt. 202 Richtet sich der Widerspruch gegen einen Dritten gemäß Abs. 4 Satz 3, so ist die Anwendbarkeit des § 35 Abs. 2 Nr. 1 problematischer. In der Tat ist der Wortlaut des Abs. 4 Satz 3 dahin gehend eindeutig, dass in-
1 So auch Simitis/Simitis, § 28 BDSG Rz. 281; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 147. 2 Ebenso Bergmann/Möhrle/Herb, § 28 BDSG Rz. 466; Taeger/Gabel/Taeger, § 28 BDSG Rz. 216. 3 So z.B. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 467; Simitis/Simitis, § 28 BDSG Rz. 278.
632 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
folge eines Widerspruchs lediglich die Sperrung der betroffenen Daten zu Zwecken der Werbung bzw. der Markt- und Meinungsforschung zu erfolgen hat. Richtet sich der Widerspruch allerdings explizit gegen die Speicherung der Daten, so muss wohl von einer Anwendbarkeit des § 35 Abs. 2 Nr. 1 ausgegangen werden. Zu den Rechtsfolgen eines Verstoßes gegen die Regelungen des Abs. 4 s.u. Rz. 222 ff.
203
VIII. Zweckbindung bei Drittübermittlungen (Abs. 5) Werden Daten an einen Dritten übermittelt, so ist der Empfänger gemäß 204 Abs. 5 Satz 1 bei der Verwendung dieser Daten an die Zwecke gebunden, zu denen die Übermittlung stattgefunden hat. Damit wird der in Abs. 1 Satz 2 für die verantwortliche Stelle normierte Grundsatz der Zweckbindung auf den Datenempfänger ausgeweitet. Der Begriff „Dritte“ muss i.S.d. Legaldefinition des § 3 Abs. Satz 2 ausgelegt werden. Demnach können sowohl nicht-öffentliche als auch öffentliche Stellen „Dritte“ sein1. Dies verdeutlicht auch Abs. 5 Satz 2, der ausdrücklich auf den für öffentliche Stellen geltenden § 14 Bezug nimmt. Abs. 5 Satz 1 tritt als lex generalis hinter der Regelung des Abs. 3 Satz 7, der die Zweckbindung bei Übermittlungen zu Werbezwecken regelt, zurück, wenn die Übermittlung nach Maßgabe des Abs. 3 Satz 1, 2 und 4 erfolgt. Ansonsten gilt Abs. 5 Satz 1 für alle Datenübermittlungen, die unter den Voraussetzungen des § 28 zulässig sind. Die Missachtung der Zweckbindung ist gemäß § 43 Abs. 1 Nr. 4 bußgeldbewährt. Diese grundsätzliche Bindung an den Übermittlungszweck wird durch 205 Satz 2 gelockert. Danach steht es dem Datenempfänger frei, für nicht-öffentliche Stellen unter Einhaltung der Voraussetzungen der Abs. 2 und 3, die die Verwendung von Daten zu anderen, insbesondere Werbezwecken, regeln, bzw. den Voraussetzungen des § 14 für öffentliche Stellen die Daten zu anderen Zwecken zu nutzen. In der Literatur wird stark kritisiert, dass mit dieser Regelung der Zweckbindungsgrundsatz nicht nur gelockert, sondern faktisch aufgehoben werde2. In der Tat werden dem Datenempfänger damit die gleichen Möglichkeiten eingeräumt wie der verantwortlichen Stelle. Nach der herrschenden Meinung muss deshalb eine restriktive Auslegung des Abs. 5 Satz 2 erfolgen, wobei fraglich 1 Ebenso Simitis/Simitis, § 28 BDSG Rz. 285; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 494. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 218; Simitis/Simitis, § 28 BDSG Rz. 289.
Plath 633
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
ist, wie diese zu erfolgen hat1. Vielfach wird vertreten, dass die fehlende Kenntnis des Betroffenen von der Datenübermittlung im Rahmen der angeordneten Interessenabwägungen berücksichtigt werden müsse2. Zu beachten ist, dass für die Zweckbindung im Rahmen der Übermittlung zu Werbezwecken nach Abs. 3 Satz 7 keine Zweckerweiterung möglich ist. 206 Nach Abs. 5 Satz 2 hat die verantwortliche Stelle den Empfänger der Daten sowohl auf die grundsätzlich bestehende Zweckbindung als auch auf die Ausnahmemöglichkeiten des Satz 2 hinzuweisen3. IX. Besondere Arten personenbezogener Daten (Abs. 6–9) 207 Die Absätze 6 bis 9 regeln den Umgang mit besonders sensiblen Daten. Diese „besonderen Arten personenbezogener Daten“ werden in § 3 Abs. 9 als „Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben“ definiert. Ihre gesonderte Behandlung ist auf Art. 8 EG-Datenschutzrichtlinie zurückzuführen, der ein grundsätzliches Verbot der Verwendung solcher sensiblen Daten vorsieht. Es gelten dabei lediglich gewisse Ausnahmen, die in Umsetzung der europäischen Vorgaben in den Absätzen 6 bis 9 für die Datenverwendung zu eigenen Zwecken durch nicht-öffentliche Stellen geregelt wurden. 208 Trotz der Einführung des § 32, der die Datenverwendung i.R.v. Beschäftigungsverhältnissen regelt, sind Abs. 6 bis 9 auch auf Arbeitsverhältnisse anzuwenden4. 1. Allgemeine Zulässigkeitsvoraussetzungen (Abs. 6) 209 Nach Abs. 6 ist die Erhebung, Verarbeitung und Nutzung von „besonderen personenbezogenen Daten“ i.S.d. § 3 Abs. 9 zu eigenen Geschäfts-
1 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 497; Simitis/Simitis, § 28 BDSG Rz. 290; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 162. 2 So Bergmann/Möhrle/Herb, § 28 BDSG Rz. 497; Simitis/Simitis, § 28 BDSG Rz. 290; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 162. 3 Taeger/Gabel/Taeger, § 28 BDSG Rz. 218; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 161. 4 BT-Drucks. 16/13657, S. 21; ausführlich zu den Besonderheiten aufgrund des Allgemeinen Gleichbehandlungsgesetzes (AGG) Gola/Schomerus, § 28 BDSG Rz. 76.
634 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
zwecken ausnahmsweise zulässig, wenn der Betroffene in die Verwendung ausdrücklich eingewilligt hat, oder wenn einer der vier Ausnahmetatbestände der Nr. 1 bis 4 erfüllt ist. a) Schutz lebenswichtiger Interessen (Abs. 6 Nr. 1) Die Verwendung sensibler Daten ist nach Abs. 6 Nr. 1 zulässig, wenn 210 sie zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten notwendig ist. Darunter fallen alle existenziellen Interessen und Bedürfnisse des Betroffenen, insbesondere der Schutz von Leib und Leben. Voraussetzung ist jedoch, dass der Betroffene aus physischen (z.B. Ohnmacht, mangelnde Einsichtsfähigkeit, Unerreichbarkeit, Rausch) oder rechtlichen (z.B. Geschäftsunfähigkeit, Minderjährigkeit) Gründen nicht selbst einwilligen kann. Diese Ausnahme betrifft also Fälle, in denen davon ausgegangen werden kann, dass der Betroffene eingewilligt hätte, wenn er dazu in der Lage gewesen wäre1. Zu beachten ist, dass im Falle einer gesetzlichen Vertretung zunächst die Einwilligung des Vertreters einzuholen ist2. Allerdings soll sich die verantwortliche Stelle über die Verweigerung einer solchen Einwilligung hinwegsetzen können, wenn der Vertreter dadurch lebenswichtige Interessen des Betroffenen verletzt und die verantwortliche Stelle nach eigener Prüfung zu dem Ergebnis kommt, dass die Voraussetzungen von Abs. 6 Nr. 1 erfüllt sind3. Als lebenswichtige Interessen werden neben der Unversehrtheit von Leib und Leben auch die personelle und religiöse Identität angesehen4. b) Offenkundig öffentliche Daten (Abs. 6 Nr. 2) Eine Einwilligung in die Verwendung sensibler Daten ist gemäß Abs. 6 211 Nr. 2 auch dann entbehrlich, wenn der Betroffene die verwendeten Daten offenkundig veröffentlicht hat. Die Veröffentlichung der Daten muss also auf eine freie Willensentscheidung des Betroffenen zurückzuführen sein, da der Betroffene dann als nicht schutzwürdig angesehen
1 Ebenso Taeger/Gabel/Taeger, § 28 BDSG Rz. 222; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 170. 2 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 170, Bergmann/Möhrle/Herb, § 28 BDSG Rz. 512. 3 Z.B. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 512; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 1; Simitis/Simitis, § 28 BDSG Rz. 301. 4 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 513; Taeger/Gabel/Taeger, § 28 BDSG Rz. 223.
Plath 635
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
werden kann1. Dies ist bei Pressemeldungen Dritter über den Betroffenen oder anderen durch Dritte erfolgten Veröffentlichungen im Zweifel nicht der Fall2. Dagegen wird regelmäßig in der Annahme eines öffentlichen Amtes, in der eigenständigen Veröffentlichung von Texten und Bildern oder in der Aufnahme in erkennbar öffentlich zugängliche Listen, Internetseiten (v.a. soziale Netzwerke), Foren, Manifeste, Verzeichnisse usw. eine offenkundige Veröffentlichung zu sehen sein3. c) Geltendmachung rechtlicher Ansprüche (Abs. 6 Nr. 3) 212 Nach Abs. 6 Nr. 3 ist die Verwendung sensibler Daten ohne Einwilligung zulässig, wenn sie zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche i.S.d. § 194 Abs. 1 BGB erforderlich ist und kein Grund zur Annahme besteht, dass schutzwürdige Interessen des Betroffenen überwiegen. Da rechtliche Ansprüche sowohl privater als auch öffentlich-rechtlicher Natur sein können, können sich auch öffentliche Stellen auf Abs. 6 Nr. 3 berufen4. Der Ausnahmetatbestand ist trotz seines unklaren Wortlauts nicht auf gerichtliche Situationen beschränkt, sondern umfasst auch die außer- oder vorprozessuale Durchsetzung von Ansprüchen5. Die Erforderlichkeit sowie das Überwiegen der schutzwürdigen Betroffeneninteressen muss im Rahmen einer Interessenabwägung geprüft werden. d) Wissenschaftliche Forschung (Abs. 6 Nr. 4) 213 Besondere Arten personenbezogener Daten dürfen schließlich nach Abs. 6 Nr. 4 auch dann ohne Einwilligung verwendet werden, wenn dies zur Durchführung einer eigenen wissenschaftlichen Forschung erforderlich ist, wobei das wissenschaftliche Interesse der verantwortlichen Stelle gegenüber den schutzwürdigen Interessen des Betroffenen erheblich überwiegen muss und der Zweck der Forschung auf andere Weise 1 Gola/Schomerus, § 28 BDSG Rz. 77; Taeger/Gabel/Taeger, § 28 BDSG Rz. 224; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 171; Simitis/Simitis, § 28 BDSG Rz. 303. 2 Gola/Schomerus, § 28 BDSG Rz. 77; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 173; Simitis/Simitis, § 28 BDSG Rz. 302. 3 Simitis/Simitis, § 28 BDSG Rz. 303; Taeger/Gabel/Taeger, § 28 BDSG Rz. 224 f.; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 515 f. 4 Simitis/Simitis, § 28 BDSG Rz. 305; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 517. 5 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 519; Taeger/Gabel/Taeger, § 28 BDSG Rz. 227.
636 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
nicht oder nur mit erheblichem Aufwand erreicht werden kann. Auch hier muss also eine ausgiebige Interessenabwägung vorgenommen werden. Abs. 6 Nr. 4 ist lex specialis zu Abs. 2 Nr. 3, der die Verwendung anderer als sensibler Daten zu Forschungszwecken regelt. 2. Datenverwendung zu gesundheitlichen Zwecken (Abs. 7) Über die Grundregelung des Abs. 6 hinaus ist unter den Voraussetzungen 214 des Abs. 7 die Erhebung sensibler Daten zu Zwecken des Gesundheitswesens zulässig. Namentlich fallen darunter die Gesundheitsvorsorge, die medizinische Diagnostik, die Gesundheitsversorgung, die medizinische Behandlung sowie die Verwaltung von Gesundheitsdiensten1. Der Anwendungsbereich der Norm ist grundsätzlich für alle Typen von sensiblen Daten eröffnet, wird sich im Regelfall jedoch auf Gesundheitsdaten beschränken2. Die unter diesen Voraussetzungen erhobenen Daten dürfen ferner nur 215 von Personen verarbeitet werden, die der ärztlichen Schweigepflicht unterliegen. Damit muss auch das medizinische Verwaltungspersonal den ärztlichen Geheimhaltungspflichten, insbesondere § 203 Abs. 1 Nr. 1 StGB, unterworfen werden3. Die Verarbeitung sensibler Daten darf ferner gemäß Abs. 7 Satz 2 nur zu Zwecken vorgenommen werden, die von der ärztlichen Schweigepflicht umfasst werden. Satz 3 erweitert die Zweckbindung des Satz 2 sowie die Schweigepflicht des § 203 Abs. 1 und 3 StGB auf weitere Berufsgruppen, die im Gesundheitsbereich unterstützend tätig sind. Dies sind zum einen Berufe, die bei der Heilung oder Linderung von Krankheiten behilflich sind, insbesondere medizinische Therapeuten, Heilpraktiker, Krankengymnasten u.ä., sowie Berufe, die an der Herstellung und dem Vertrieb von Hilfsmitteln beteiligt sind, z.B. Pharmazeuten, orthopädische und zahntechnische Werkstätten, Arznei- und Naturheilmittelhersteller sowie Optiker. Auch Angehörige dieser Berufe dürfen medizinische Daten nur unter den Voraussetzungen verarbeiten, unter denen auch Personen, die der Schweigepflicht nach § 203 Abs. 1 und 3 StGB unterworfen sind, eine Verarbeitung vornehmen dürften.
1 Zum länderübergreifenden eHealth-Versorgungsdienst epSOS (European Patients Smart Open Services) vgl. die ausführliche Stellungnahme der Artikel29-Datenschutzgruppe v. 25.1.2012. 2 Simitis/Simitis, § 28 BDSG Rz. 314. 3 Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 180; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 528.
Plath 637
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
216 Keine Anwendung findet Abs. 7 auf die Erhebung und Verarbeitung von Daten durch Unfall- und Krankenversicherungen1. Insbesondere bedarf die Übermittlung von Daten an privatärztliche Verrechnungsstellen der Einwilligung des Betroffenen2. Zu beachten ist, dass im Falle der Verwendung von Daten zur medizinischen Versorgung in vielen Fällen bereichsspezifische Regelungen vorgehen3. 3. Zweckänderung bei der Verwendung sensibler Daten (Abs. 8) 217 Unausgesprochen liegt der Regelung des Abs. 8 der Gedanke zugrunde, dass auch bei der Verwendung „besonderer personenbezogener Daten“ der Grundsatz der Zweckbindung gilt4. In Ausnahme zu diesem Grundsatz regelt Abs. 8, dass die Übermittlung und Nutzung sensibler Daten zu „anderen“ Zwecken nur unter den Voraussetzungen des Abs. 6 und 7 zulässig sein soll. Unklar ist zunächst, welche Zwecke „andere Zwecke“ sein können. Darüber hinaus gleicht die Regelung des Abs. 8 einem Zirkelschluss, denn sie verweist in Ausnahme zu den Regelungen des Abs. 6 und 7 auf ebendiese Normen und ihre Voraussetzungen. Die Norm kann angesichts dessen nur so verstanden werden, dass eine Zweckerweiterung nach Abs. 8 Satz 1 zulässig sein soll, wenn neben dem ursprünglichen Zweck ein weiterer Zweck vorliegt, der eine Datenverwendung unter den Voraussetzungen des Abs. 6 oder 7 legitimiert. 218 Darüber hinaus erlaubt Abs. 8 Satz 2 eine Datenverwendung zu einem anderen als dem ursprünglichen Zweck, wenn die Verwendung zur Abwehr erheblicher Gefahren oder zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist. Aufgrund der Erheblichkeitsschwelle ist diese Regelung strenger als die des Abs. 2 Nr. 2b, der eine Zweckänderung zur Abwehr jeder Art von Gefahren oder Straftaten erlaubt. Der Verdacht einer Gefahr oder Straftat reicht auch hier nicht aus, es müssen zumindest konkrete Anhaltspunkte vorliegen5. 4. Datenverwendung durch Organisationen ohne Erwerbszweck (Abs. 9) 219 Abs. 9 privilegiert die Erhebung, Verarbeitung und Nutzung von sensiblen Daten durch politisch, philosophisch, religiös oder gewerkschaft1 Taeger/Gabel/Taeger, § 28 BDSG Rz. 230; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 527; Simitis/Simitis, § 28 BDSG Rz. 317. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 231. 3 Simitis/Simitis, § 28 BDSG Rz. 313. 4 Gola/Schomerus, § 28 BDSG Rz. 81; Taeger/Gabel/Taeger, § 28 BDSG Rz. 232. 5 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 534.
638 Plath
Datenerhebung und -speicherung für eigene Geschäftszwecke
§ 28 BDSG
lich1 ausgerichtete Organisationen, sofern sie keinen Erwerbszweck verfolgen. Diese Aufzählung ist abschließend2. Auf die Rechtsform oder den Aufbau der Organisation kommt es nicht an3. Organisationen, die einen Erwerbszweck verfolgen, können sich bei der Verwendung sensibler Daten auch dann nicht auf Abs. 9 berufen, wenn sie einen der oben genannten Zwecke verfolgen oder einer entsprechenden Organisation nahestehen4. Daher fallen beispielsweise kirchliche oder politische Verlage aus dem Anwendungsbereich der Norm raus, eine Datenverwendung ist dann nur unter den allgemeinen Voraussetzungen des § 28 möglich5. Der Ausnahmetatbestand ist gemäß Abs. 9 Satz 2 auf die Verwendung 220 der sensiblen Daten von Mitgliedern oder solcher Personen beschränkt, die regelmäßig Kontakt mit der Organisation haben, da nur in diesen Fällen von einer eingeschränkten Schutzbedürftigkeit der Betroffenen ausgegangen werden kann. Nahestehende Personen sind beispielsweise ernsthafte Interessenten, Spender, Förderer, u.U. auch nahe Familienmitglieder6. Darüber hinaus muss die Datenverwendung für die Tätigkeit der Organisation erforderlich sein, die Daten müssen also in Beziehung zur Aufgabe der Organisation stehen7. Die Übermittlung von sensiblen Daten ist grundsätzlich als Form der Verarbeitung von der Regelung des Abs. 9 umfasst. Allerdings bestimmt Abs. 9 Satz 3, dass die Übermittlung von sensiblen Daten an Empfänger, die außerhalb der Organisation stehen, gemäß § 4a Abs. 3 nur mit Einwilligung des Betroffenen zulässig ist. Als Rückausnahme regelt Abs. 9
1 Vgl. die diesbezüglichen Beispiele bei Bergmann/Möhrle/Herb, § 28 BDSG Rz. 541 ff. 2 Taeger/Gabel/Taeger, § 28 BDSG Rz. 235; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 539; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 186; Simitis/ Simitis, § 28 BDSG Rz. 328. 3 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 538; Simitis/Simitis, § 28 BDSG Rz. 332. 4 Simitis/Simitis, § 28 BDSG Rz. 331. 5 Taeger/Gabel/Taeger, § 28 BDSG Rz. 234; Bergmann/Möhrle/Herb, § 28 BDSG Rz. 545; Gola/Schomerus, § 28 BDSG Rz. 82; Däubler/Klebe/Wedde/Weichert/ Wedde, § 28 BDSG Rz. 187. 6 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 548; strenger dagegen Däubler/Klebe/ Wedde/Weichert/Wedde, § 28 BDSG Rz. 189; Simitis/Simitis, § 28 BDSG Rz. 334. 7 Bergmann/Möhrle/Herb, § 28 BDSG Rz. 540; Taeger/Gabel/Taeger, § 28 BDSG Rz. 235; Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 188; Simitis/ Simitis, § 28 BDSG Rz. 333.
Plath 639
221
BDSG § 28
Datenverarbeitung nicht-öffentlicher Stellen
Satz 4, dass eine Einwilligung entbehrlich ist, wenn die Übermittlung gemäß Abs. 2 Nr. 2b zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist (s.o. Rz. 97). Dabei vertritt die h.M. in der Literatur die Ansicht, dass im Sinne einer verfassungskonformen Auslegung und mit Verweis auf die diesbezügliche Einschränkung in Abs. 8 Satz 2 auch i.R.d. Abs. 9 Satz 4 eine Beschränkung des Ausnahmetatbestands auf erhebliche Gefahren bzw. Straftaten zu erfolgen hat1. X. Rechtsfolgen/Sanktionen 222 Eine Datenverwendung, die nicht durch einen der Erlaubnistatbestände des § 28 und auch sonst durch keine Einwilligung oder bereichsspezifische Erlaubnisnorm gedeckt ist, ist unzulässig. 223 Bei Zuwiderhandlungen kann die verantwortliche Stelle auf Unterlassung und Beseitigung gemäß § 823 Abs. 1 i.V.m. § 1004 BGB in Anspruch genommen werden. Möglich sind auch die Geltendmachung von Schadensersatzansprüchen aus § 7 BDSG, § 823 Abs. 1 BGB sowie § 823 Abs. 2 BGB i.V.m. § 28 als Schutzgesetz. Der Betroffene kann zudem bei schwerwiegenden Verletzungen seines Rechts auf informationelle Selbstbestimmung Anspruch auf Zahlung von Schmerzensgeld haben. 224 Darüber hinaus ist ein Verstoß gegen § 28 unter den Voraussetzungen des § 43, insbesondere § 43 Abs. 1 Nr. 3, 3a und 4 sowie Abs. 2 Nr. 5, 5a und 5b, als Ordnungswidrigkeit bußgeldbewährt. Bei vorsätzlichen Verstößen, die gegen Entgelt oder in Bereicherungs- oder Schädigungsabsicht erfolgen, droht zudem eine Strafbarkeit gemäß § 44. 225 Schließlich berechtigt ein Verstoß gegen § 28 auch zu einem Einschreiten der Aufsichtsbehörde gemäß § 38. 226 Da nach der hier vertretenen, jedoch umstrittenen Ansicht § 28 keine verbraucherschützende Funktion hat, kommt eine Inanspruchnahme aus dem Unterlassungsklagegesetz (UKlaG) oder dem UWG nicht in Betracht (s.o. Rz. 102).
1 So z.B. Taeger/Gabel/Taeger, § 28 BDSG Rz. 236; Simitis/Simitis, § 28 BDSG Rz. 337; a.A. Bergmann/Möhrle/Herb, § 28 BDSG Rz. 551 sowie Däubler/Klebe/Wedde/Weichert/Wedde, § 28 BDSG Rz. 191, die sich lediglich für eine enge Auslegung der Norm aussprechen.
640 Plath
Datenübermittlung an Auskunfteien
§ 28a BDSG
Ebenso wenig stellt § 28 ein Verbotsgesetz i.S.d. § 134 BGB dar. Damit 227 ist ein Rechtsgeschäft, das unter Verstoß gegen § 28 zustande gekommen ist, nicht bereits deshalb nichtig. Nach Auffassung des BGH würde die gegenteilige Ansicht zum einen die Verkehrsfähigkeit von Geldforderungen aushebeln, und zum anderen verkennen, dass dem Schutzzweck des § 28 durch die im BDSG vorgesehenen Sanktionierungen ausreichend genügt wird1. Datenübermittlung an Auskunfteien (1) 1Die Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien ist nur zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist, die Übermittlung zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten erforderlich ist und 1. die Forderung durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden ist oder ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt, 2. die Forderung nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden ist, 3. der Betroffene die Forderung ausdrücklich anerkannt hat, 4. a) der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist, b) zwischen der ersten Mahnung und der Übermittlung mindestens vier Wochen liegen, c) die verantwortliche Stelle den Betroffenen rechtzeitig vor der Übermittlung der Angaben, jedoch frühestens bei der ersten Mahnung über die bevorstehende Übermittlung unterrichtet hat und d) der Betroffene die Forderung nicht bestritten hat oder 5. das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet hat. 2Satz 1 gilt entsprechend, wenn die verantwortliche Stelle selbst die Daten nach § 29 verwendet.
28a
1 BGH v. 27.2.2007 – XI ZR 195/05, NJW 2007, 2106 (2108) sowie OLG Brandenburg v. 19.2.2010 – 4 U 194/08.
Plath/Kamlah 641
BDSG § 28a
Datenverarbeitung nicht-öffentlicher Stellen
(2) 1Zur zukünftigen Übermittlung nach § 29 Abs. 2 dürfen Kreditinstitute personenbezogene Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses betreffend ein Bankgeschäft nach § 1 Abs. 1 Satz 2 Nr. 2, 8 oder Nr. 9 des Kreditwesengesetzes an Auskunfteien übermitteln, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei an der Kenntnis der Daten offensichtlich überwiegt. 2Der Betroffene ist vor Abschluss des Vertrages hierüber zu unterrichten. 3Satz 1 gilt nicht für Giroverträge, die die Einrichtung eines Kontos ohne Überziehungsmöglichkeit zum Gegenstand haben. 4Zur zukünftigen Übermittlung nach § 29 Abs. 2 ist die Übermittlung von Daten über Verhaltensweisen des Betroffenen, die im Rahmen eines vorvertraglichen Vertrauensverhältnisses der Herstellung von Markttransparenz dienen, an Auskunfteien auch mit Einwilligung des Betroffenen unzulässig. (3) 1Nachträgliche Änderungen der einer Übermittlung nach Absatz 1 oder Absatz 2 zugrunde liegenden Tatsachen hat die verantwortliche Stelle der Auskunftei innerhalb von einem Monat nach Kenntniserlangung mitzuteilen, solange die ursprünglich übermittelten Daten bei der Auskunftei gespeichert sind. 2Die Auskunftei hat die übermittelnde Stelle über die Löschung der ursprünglich übermittelten Daten zu unterrichten. I. Einführung . . . . . . . . . . . . . . . .
1
II. Anwendungsbereich . . . . . . . .
2
III. Erlaubnistatbestände . . . . . . . 1. Erlaubnistatbestände für die Übermittlung (Abs. 1) . . . . . . . a) Daten über eine Forderung b) Nicht erbrachte Leistung trotz Fälligkeit . . . . . . . . . . c) Notwendigkeit einer Interessenabwägung? . . . . . . . . d) Die Regelbeispiele im Einzelnen. . . . . . . . . . . . . . . aa) Übermittlung aufgrund eines Urteils oder eines Titels (Abs. 1 Satz 1 Nr. 1) . . . bb) Übermittlung aufgrund Feststellung im Insolvenzverfahren (Abs. 1 Satz 1 Nr. 2) . . .
11
642 Kamlah
12 13 18 20 22
22
23
cc) Übermittlung aufgrund eines Anerkenntnisses (Abs. 1 Satz 1 Nr. 3) . . . dd) Übermittlung aufgrund vorheriger Mahnungen (Abs. 1 Satz 1 Nr. 4) . . . ee) Übermittlung aufgrund einer Kündigung (Abs. 1 Satz 1 Nr. 5) . . . e) Verantwortliche Stelle betreibt geschäftsmäßige Datenverarbeitung (Abs. 1 Satz 2) . . . . . . . . . . . . . . . . . . 2. Datenübermittlung durch Kreditinstitute (Abs. 2 Sätze 1 und 3) . . . . . . . . . . . . . . a) Erlaubnistatbestand (Abs. 2 Satz 1). . . . . . . . . . . . b) Girokontoverträge ohne Überziehungsmöglichkeit (Abs. 2 Satz 3). . . . . . . . . . . .
24
26
37
41
44 44
56
Datenübermittlung an Auskunfteien c) Unterrichtungspflicht ggü. Betroffenen (Abs. 2 Satz 2) . 57 d) Übermittlungsverbot für Kreditinstitute (Abs. 2 Satz 4) . . . . . . . . . . . . . . . . . . 59
§ 28a BDSG 3. Nachberichtspflicht (Abs. 3) . . 67 IV. Verhältnis zu anderen Normen . . . . . . . . . . . . . . . . . . . 80 V. Rechtsfolgen bei Verstoß . . . . 81
Schrifttum: Siehe § 6a; ferner Gounalakis/Klein, Zulässigkeit von personenbezogenen Bewertungsplattformen, NJW 2010, 566; Gurlit, Verfassungsrechtliche Rahmenbedingungen des Datenschutzes, NJW 2010, 1035; Hanten/Görke/Ketessidis, Outsourcing im Finanzsektor, 2011; Härting, „Prangerwirkung“ und „Zeitfaktor“, CR, 2009, 21; Iraschko-Luscher/Kiekenbeck, Internetbewertungen von Dienstleistern – praktisch oder kritisch?, ZD 2012, 261; Hofmann, Die Pflicht zur Bewertung der Kreditwürdigkeit, NJW 2010, 1782; Hornung, Erweiterung der SCHUFAKlausel möglich?, CR 2007, 753; Kamlah/Hoke, Das SCHUFA-Verfahren im Lichte jüngerer obergerichtlicher Rechtsprechung, RDV 2007, 242; Kamp/Weichert, Scoringsysteme zur Beurteilung der Kreditwürdigkeit – Chancen und Risiken für Verbraucher, Unabhängiges Landeszentrum für Datenschutz SchleswigHolstein, 2005; Kilian, Subventionstransparenz und Datenschutz, NJW 2011, 1325; Korczak, Verantwortungsvolle Kreditvergabe, Gutachten im Auftrag des Bundesministeriums für Verbraucherschutz, Ernährung und Landwirtschaft, München 2005; Liedke, Die Einwilligung im Datenschutzrecht, Edewecht 2012; Lützen, „Schriftlich“ und „Schriftform“ – der unbekannte Unterschied, NJW 2012, 1627; Lixfeld, § 28 Abs. 3a, Satz 1 1. Alt. BDSG – Schriftform oder Textform? Eine rechtsmethodische Untersuchung, RDV 2010, 163; Moos, Die Entwicklung des Datenschutzrechts im Jahre 2010, K&R 2011, 145; Moos, Die Entwicklung des Datenschutzrechts im Jahr 2011, K&R 2012, 151; Roßnagel, Die Novellen zum Datenschutzrecht, NJW 2009, 2716; Wienen, Prangerwirkung von Onlineveröffentlichungen, ITRB 2012, 160.
I. Einführung Nach der im Jahr 2001 abgeschlossenen Umsetzung der EG-Datenschutz- 1 richtlinie (95/46/EG) in deutsches Recht wandte sich der Gesetzgeber bereichsspezifischen Themen zu. So wurden von Bundesministerien insbesondere Studien zum Thema Auskunfteien1 und Scoring2 in Auftrag 1 Bericht des Bundesministeriums des Innern zum Datenschutz bei Auskunfteien, Innenausschuss Adrs. 16(4)124; zur Bedeutung von Auskunfteien im Rahmen der Kreditvergabe auch EuGH v. 23.11.2006 – Rs. C 238/05, WM 2007, 157; nach BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204 ist die Erteilung von zutreffenden Bonitätsauskünften für das Funktionieren der Wirtschaft von erheblicher Bedeutung; von einer Pflicht zur Bewertung der Kreditwürdigkeit spricht Hofmann, NJW 2010, 1782. 2 Kamp/Weichert, Scoringsysteme zur Beurteilung der Kreditwürdigkeit – Chancen und Risiken für Verbraucher, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 2005; Korczak, Verantwortungsvolle Kreditvergabe,
Kamlah 643
BDSG § 28a
Datenverarbeitung nicht-öffentlicher Stellen
gegeben. I.E. sah sich der Gesetzgeber veranlasst, einzelne Aspekte der Auskunfteitätigkeit speziell zu regeln. Parallel hierzu führte eine Reihe von Datenschutzpannen und -skandalen der Jahre 2007 bis 2009 zu einer weiteren Überarbeitung des BDSG. Durch das Gesetz zur Änderung des BDSG vom 29.7.2009 (sog. Novelle I) wurde mit Wirkung zum 1.4.2010 mit § 28a eine Sondervorschrift für Datenübermittlungen an Auskunfteien in das BDSG aufgenommen1. Ziel des Gesetzesgebers war es, Art. 7f EG-Datenschutzrichtlinie zu konkretisieren2 und für mehr Rechtssicherheit zu sorgen3. Da die Übermittlungsvoraussetzungen an Auskunfteien ihre Entsprechung in der Vorschrift zur geschäftsmäßigen (Weiter-)Verarbeitung finden müssen, wurde gleichzeitig § 29 Abs. 1 um eine entsprechende Speichererlaubnis für Auskunfteien ergänzt4. Durch die Festlegung der Voraussetzungen, nach denen die Daten an die Auskunfteien übermittelt werden dürfen, ist gleichzeitig der von den Auskunfteien verarbeitete Datenkranz vorbestimmt. II. Anwendungsbereich 2 Die Norm steht im dritten Abschnitt des BDSG, dessen Anwendungsbereich über § 27 definiert wird. Damit gilt die Norm für alle nicht-öffentlichen Stellen sowie diejenigen öffentlichen Stellen des Bundes, die am Wettbewerb teilnehmen (vgl. § 27). Öffentliche Stellen der Länder, die am Wettbewerb teilnehmen (z.B. Sparkassen und – soweit auf sie zutreffend – Landesbanken) müssen § 28a anwenden, wenn die für sie anwendbaren Landesdatenschutzgesetze auf das BDSG verweisen. Dies gilt aber nur, wenn es sich um eine dynamische Verweisung handelt5.
1 2
3 4 5
Gutachten im Auftrag des Bundesministeriums für Verbraucherschutz, Ernährung und Landwirtschaft, München 2005. BGBl. I, S. 2254. BT-Drucks. 16/10529, S. 11; s. aber nunmehr zu den Anforderungen an eine richtlinienkonforme nationale Gesetzgebung EuGH v. 24.11.2011 in den verbundenen Rechtssachen C-468/10 und C-469/10 (Verarbeitung personenbezogener Daten), CR, 2012, S. 29 ff.; hierzu mit Blick auf die 2010 in Kraft getretenen Neuregelungen zu Auskunfteien Moos, Die Entwicklung des Datenschutzrechts im Jahr 2011, 151 (151 f.). BT-Drucks. 16/10529, S. 1; zu den verfassungsrechtlichen Rahmenbedingungen des Datenschutzes, Gurlit, NJW 2010, 1035. BT-Drucks. 16/10529, S. 11. § 2 Abs. 4 LDSG BW, Art. 3 BayDSG, § 2 Abs. 2 DSG NW, § 2 Abs. 2 u. 3 LDSG RP, § 2 Abs. 2 SDSG, § 3 Abs. 2 DSG LSA, § 3 Abs. 2 LDSG SH, § 26 ThürDSG.
644 Kamlah
Datenübermittlung an Auskunfteien
§ 28a BDSG
Wird statisch auf das BDSG in einer bestimmten Fassung verwiesen1, so kann für die entsprechenden Wettbewerbsunternehmen § 28a nicht angewendet werden; sie sind somit bis zur Anpassung der Verweisungen privilegiert2. Die Vorschrift des § 28a geht dem § 28 als Sondervorschrift vor, denn § 28a regelt die Rechtmäßigkeitsvoraussetzungen abschließend3. Fehlen jedoch die tatbestandlichen Voraussetzungen des § 28a wie insbesondere die Forderungsbezogenheit, dann ist der Anwendungsbereich des § 28 oder auch des § 32 – sofern beispielsweise zwischen dem Betroffenen und der verantwortlichen Stelle neben dem Kreditverhältnis zugleich auch ein Beschäftigungsverhältnis besteht – weiter eröffnet. Dagegen ist eine Anwendung des § 29 nicht denkbar. Diese Vorschrift regelt die Übermittlung durch die Auskunfteien und nicht die hier geregelte Übermittlung an Auskunfteien.
3
Nicht dagegen ausgeschlossen ist die Übermittlung auf Basis einer Einwilligung nach § 4a, denn die Zulässigkeitsvarianten nach § 4 stehen gleichwertig nebeneinander. Da Einwilligungen vielfach Bestandteil von AGB darstellen (s. hierzu § 4a)4, dürfte die gesetzgeberische Wertung des § 28a AGB-rechtlich dazu führen, dass die Beschränkungen des § 28a nicht wesentlich über eine im Rahmen von AGBs erteilte Einwilligung „aufgebohrt“ werden können.
4
Da § 28a Abs. 1 Satz 1 nur die Übermittlung (§ 3 Abs. 4 Nr. 3) reglemen- 5 tiert, gelten für die übrigen Phasen der Datenerhebung bzw. -verarbeitung und Nutzung die allgemeinen Regelungen (insbesondere § 28). Ohne die Meldung von Daten können jedoch Auskunfteien nicht tätig werden, so dass § 28a einen zentralen Aspekt ihrer Tätigkeit regelt. Außerdem handelt es sich bei Auskunfteien i.d.R. nicht um Auftragsdatenverarbeiter i.S.d. § 11, an die Daten ohne eine „Übermittlung“ im datenschutzrechtlichen Sinne weitergegeben werden können, weil sie nicht als Dritte gelten (§ 3 Abs. 8 Satz 3). Auftragsdatenverarbeitung ist grundsätzlich nur dann anzunehmen sind, wenn sich die Auskunftei ihrerseits eines Dienstleisters bedient oder (ggf. nach erfolgter Übermittlung) Archivfunktionen für die Datenempfänger übernimmt. 1 § 2 DSG MV Abs. 5, § 2 NDSG Abs. 3 oder § 2 SächsDSG Abs. 3. 2 Bergmann/Möhrle/Herb, § 28a BDSG Rz. 3. 3 Vgl. Simitis/Ehmann, § 28a BDSG Rz. 3, der allerdings die Spezialität nur in Bezug auf § 28 Abs. 1 Satz 1 BDSG annimmt. 4 Zu Einwilligungserklärungen bei Gewinnspielen KG Berlin v. 26.8.2010 – 23 U 34/10, K&R 2011, 270 f.; eingehend Liedke, S. 20.
Kamlah 645
BDSG § 28a
Datenverarbeitung nicht-öffentlicher Stellen
6 Da das BDSG dem Schutz natürlicher Personen dient (§ 3 Abs. 1), ist die Anwendung des § 28a dann zweifelhaft, wenn beispielsweise Zahlungserfahrungen zu Unternehmen übermittelt werden. Diese Daten sind nur dann personenbezogen und somit vom Anwendungsbereich des § 28a erfasst, wenn sie direkt auf eine natürliche Person bezogen werden können (Einzelunternehmer, Kleingewerbetreibende, Selbständige, eingetragene Kaufleute; vgl. § 3) oder als Information einer juristischen Person auf eine natürliche Person „durchschlagen“1. 7 § 28a regelt die Datenübermittlung an Auskunfteien, ohne den Begriff im Gesetzestext oder der Begründung zu definieren. Die Gesetzesbegründung lehnt sich an Ehmann2 an: „Unter einer Auskunftei ist grundsätzlich ein Unternehmen zu verstehen, das unabhängig vom Vorliegen einer konkreten Anfrage geschäftsmäßig bonitätsrelevante Daten über Unternehmen oder Privatpersonen sammelt, um sie bei Bedarf seinen Geschäftspartnern für die Beurteilung der Kreditwürdigkeit des Betroffenen gegen Entgelt zugänglich zu machen“3. Geschäftspartner in diesem Sinne sind mangels „Konzernprivileg“ bei konzerninternen Auskunfteien dementsprechend die angeschlossenen Konzerngesellschaften. 8 Sowohl die Auskunfteidefinition der Gesetzesbegründung als auch die des neuen, durch die sog. Novelle III4 eingefügten § 29 Abs. 6 stellen „grundsätzlich“ nur darauf ab, dass die gespeicherten Daten zum Zwecke der Kreditwürdigkeitsprüfung dienen. Um welche Daten es sich dabei handeln kann, bleibt jeweils offen. Während die Auskunfteidefinition der Gesetzesbegründung noch von bonitätsrelevanten Daten spricht, formuliert § 29 Abs. 6 ganz allgemein nur als Voraussetzung, dass personenbezogene Daten zur Bewertung der Kreditwürdigkeit genutzt werden dürfen. Damit ist es denkbar, dass es bonitätsrelevante Daten geben kann, die nicht forderungsbezogen sind. Das wiederum bedeutet, dass datenverarbeitende Stellen, die nicht forderungsbezogene Daten verarbeiten, als Auskunfteien zu qualifizieren sind, solange diese Daten nur bonitätsrelevant sind. Von Auskunfteien wiederum abzugrenzen sind Warndateien und Hinweissysteme, denen keine forderungsbezoge1 S. BGH v. 24.6.2003 – VI ZR 3/03 (kreditrelevante Daten der natürlichen Person in Wirtschaftsauskunft), NJW 2003, 2904 und VG Wiesbaden v. 7.12.2007 – 6 E 928/07 (Hessische Zirkusdatei), NVwZ-RR 2008, 617; s. auch BGH v. 17.12.1985 – VI ZR 244/84 (kreditrelevante Daten des Unternehmens in Auskunft über Person), NJW 1985, 2505. 2 Ehmann in Simitis, 6. Aufl. 2006, § 29 Rz. 71 ff. 3 BT-Drucks. 16/10529, S. 9. 4 BGBl. I 2009, S. 2355 (2384).
646 Kamlah
Datenübermittlung an Auskunfteien
§ 28a BDSG
nen Daten zum Zwecke der Kreditwürdigkeitsprüfung zugrunde liegen1. Es sind aber auch Mischformen denkbar. So werden bei sog. Vermieterschutzportalen einerseits Forderungsdaten und andererseits Angaben zum Mieterverhalten verarbeitet2. Der Anwendungsbereich des § 29 geht allerdings über den des Begriffs der Auskunftei hinaus. Beispielsweise wurde die Zulässigkeit der Datenspeicherung und -übermittlung bei Bewertungsportalen nach dem für Auskunfteien geltenden § 29 Abs. 1 geprüft3. Aber auch die Anbringung eines GPS-Senders an einem Fremd-Kfz zur Erstellung eines Bewegungsprofiles wird nach § 29 geprüft4. Eine Auskunftei im vorstehenden Sinne liegt auch dann vor, wenn sie nur konzernintern tätig wird. Ein „Konzernprivileg“ existiert insoweit nicht.
9
Der Gesetzgeber erkennt mit der Regelung mittelbar an, dass es ein be- 10 rechtigtes Interesse an Bonitätsprüfungen gibt5. „Nur“ die Einmeldevoraussetzungen sollen geschärft werden. Gleichwohl bleiben Einzelheiten des Verhältnisses der Normen untereinander sowie der Abs. 1–3 innerhalb des § 28a zueinander unklar.
1 S. auch Däubler/Klebe/Wedde/Weichert/Weichert, § 28a BDSG Rz. 1. 2 https://www.demda.de/produkt-demda-mietercheck.php, gesehen am 17.7.2012. 3 BGH v. 23.6.2009 – IV ZR 196/08, NJW 2009, 2888 – spick-mich.de; hierzu Gounalakis/Klein, NJW 2010, 566; s. auch „Auskunftei“ über Justizprüfung, 17. TB 2005 des LfD NRW; eingehend OLG Frankfurt a.M. v. 8.3.2012 – 16 U 125/11, CR 2012, 399; für eine Anwendung des § 30a BDSG offenbar IraschkoLuscher/Kiekenbeck, ZD 2012, 261; die Anwendung des BDSG bei Bewertungsportalen ablehnend Härting, CR 2009, 21 (26); zur Löschung negativer eBay-Bewertung bei Bereithaltung entsprechender Schutzmechanismen OLG Düsseldorf v. 11.3.2011 – I-15 W 14/11, MMR 2011, 457; zur Zulässigkeit einer Online-Schuldtitelbörse LG Köln – v. 17.3.2010 – 28 O 612/09, MMR 2010, 369; zur Zulässigkeit ungeschwärzter Urteilsveröffentlichung (Abmahnanwalt) OLG Hamburg v. 16.2.2010 – 7 U 88/09, ITRB 2010, 154; anders bei ärztlichen Untersuchungsbefunden VGH Baden-Württemberg v. 27.7.2010 – 1 S 501/10, RDV 2011, 35; zur Zulässigkeit der Veröffentlichung von Schriftsätzen LG Berlin v. 17.9.2009 – 27 O 530/09, ITRB 2010, 58; zur Zulässigkeit täteridentifizierender Dossiers in Internetportalen BGH v. 9.2.2010 – VI ZR 243/08, CR 2010, 480; zur Unzulässigkeit von unterschiedslosen Online-Veröffentlichungen von EU-Agrarsubventionsempfängern EuGH v. 9.11.2010 – Rs C-92/09, Rs. C-93/09, CR 2011, 271; hierzu eingehend Kilian, NJW 2011, 1325. 4 LG Lüneburg v. 28.3.2011 – 26 Qs 45/11, NJW 2011, 2225. 5 Gola/Schomerus, § 28a BDSG Rz. 5.
Kamlah 647
BDSG § 28a
Datenverarbeitung nicht-öffentlicher Stellen
III. Erlaubnistatbestände 11 Geregelt wird in § 28a, unter welchen Voraussetzungen personenbezogene Daten über Schuldner an Auskunfteien übermittelt (§ 28a Abs. 1 Satz 1)1 oder durch die verantwortliche Stelle selbst verwendet (§ 28a Abs. 1 Satz 2) werden dürfen. Kreditinstitute dürfen zusätzliche personenbezogene Daten an Auskunfteien übermitteln (§ 28a Abs. 2). In allen Fällen nach Abs. 1 und 2 besteht eine Nachberichtspflicht bei Veränderungen (§ 28a Abs. 3). 1. Erlaubnistatbestände für die Übermittlung (Abs. 1) 12 Abs. 1 Satz 1 enthält für die Übermittlung von Informationen über Leistungsstörungen abschließend2 fünf verschiedene Erlaubnistatbestände (Nr. 1 bis 5). a) Daten über eine Forderung 13 Bei den übermittelten personenbezogenen Daten muss es sich um Angaben über eine Forderung handeln. Der Begriff der Forderung ist schuldrechtlich zu verstehen (s. § 241 BGB). 14 Der Rechtsgrund der Forderung ist unerheblich. In Betracht kommen damit schuldrechtliche wie deliktische Ansprüche. Selbst Forderungen aus einem öffentlich-rechtlichen Schuldverhältnis fallen darunter, sofern nicht ggf. bereichsspezifische Datenschutzregelungen hierfür bestehen. Denn § 28a Abs. 1 unterscheidet nicht nach Art oder Dauer des Schuldverhältnisses. Damit ist die Übermittlung von Forderungen an Auskunfteien aus allen Schuldverhältnissen möglich, nicht nur aus Kreditverhältnissen, sondern z.B. auch aus Mietverhältnissen oder nicht gezahlten Prämien. 15 Geregelt wird die Zulässigkeit der Übermittlung von Daten, die im Zusammenhang mit einer Forderung stehen („über eine Forderung“). Forderungsdaten sind damit auch Zahlungsverhaltensdaten (z.B. die Aussage „zahlt unpünktlich“, „langsamer Zahler“3 oder „macht Skontoabzüge“), aber auch z.B. Rücklastschriften. Im Einzelfall kann jedoch bei Zahlungserfahrungsdaten die Abgrenzung schwierig sein, ob diese als „negativ“ (rückständige Forderung nach Abs. 1), „positiv“ (Begründung, Durchfüh1 S. auch die Rechtsprechungsübersicht bei Kamlah/Hoke, RDV 2007, 242. 2 Däubler/Klebe/Wedde/Weichert/Weichert, § 28a BDSG Rz. 4. 3 BGHZ 8, 142.
648 Kamlah
Datenübermittlung an Auskunfteien
§ 28a BDSG
rung oder – vertragsgemäße – Beendigung nach Abs. 2) oder „neutral“ (Personenstammdaten) und demnach „nur“ nach § 28 zu beurteilen sind. Dies gilt insbesondere in den Fällen, in denen die Zahlungsverhaltensdaten in einem wie auch immer gearteten Index zusammengefasst werden1. Nicht forderungsbezogene Daten sind beispielsweise sog. Seriositätsmerkmale (z.B. Betrugsverdacht oder Missbrauch)2 oder allgemeine Verhaltensdaten (z.B. Nichtbeachtung der Hausordnung im Rahmen einer Mieterwarndatei, „Hochretournierer“ im Versandhandel)3. Die Beispiele zeigen die Abgrenzungsschwierigkeiten auf, die durch die gesetzlich nicht definierten Tatbestandsvoraussetzungen „Auskunft“ und „Daten über eine Forderung“ aufgeworfen werden (z.B. bei Information über eine fristlose Kündigung ohne unmittelbaren Forderungsbezug). I.E. ergeben sich hieraus Gestaltungsspielräume, denn die Übermittlung dieser nicht forderungsbezogenen Angaben richtet sich wie bisher nach den Voraussetzungen des § 28, insbesondere nach dessen Abs. 2 Nr. 2.
16
Grundsätzlich unerheblich ist, welche Höhe die offene Forderung hat. Gerade wenn der Anschein besteht, es können vergleichsweise geringe Forderungen nicht beglichen werden, begründet dies ein Informationsinteresse4.
17
b) Nicht erbrachte Leistung trotz Fälligkeit Weitere Voraussetzung ist, dass die geschuldete Leistung trotz Fälligkeit 18 nicht erbracht wurde. Der Begriff der Fälligkeit orientiert sich an dem des allgemeinen Zivilrechts und bezeichnet damit den Zeitpunkt, ab dem die Leistung verlangt werden kann. Zu beachten ist bei Forderungen, deren Höhe durch Gestaltungsurteil zu bestimmen ist, dass hier die Fälligkeit erst nach Rechtskraft des Urteils eintritt5. Das Nichterbringen der Leistung setzt nicht voraus, dass dieses durch ein Erlöschen des Schuldverhältnisses gerechtfertigt ist6. So ist eine et1 Taeger, BB 2007, 785. 2 S. zu den Anforderungen an Verdachtsmitteilungen (AVAD) OLG Hamburg v. 6.5.2009 – 5 U 155/08, VersR 2010, 1375; zur Zulässigkeit und Grenzen der Verdachtsberichtserstattung, Wienen, ITRB 2012, 160. 3 OLG Hamburg v. 25.11.2004 – 5 U 22/04, MMR, 2005, 617. 4 So bereits OLG Saarbrücken v. 12.9.2001 – 1 U 62/01, DB 2002, 526; nunmehr auch BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204. 5 Palandt/Grüneberg, § 286 BGB Rz. 14 zu m.w.N. 6 Simitis/Ehmann, § 28a BDSG Rz. 20 f.
Kamlah 649
19
BDSG § 28a
Datenverarbeitung nicht-öffentlicher Stellen
waige Aufrechnungslage nicht beim Tatbestandsmerkmal der Nichterbringung der Leistung zu berücksichtigen, sondern bei dem Interesse der übermittelnden Stelle1. c) Notwendigkeit einer Interessenabwägung? 20 Nach der Systematik der §§ 28 und 29 war eine Übermittlung von Daten an Auskunfteien vor Einführung des § 28a nur nach erfolgter Interessenabwägung zulässig. Da die Anforderungen an die Zulässigkeit dieser Datenverarbeitungen und -nutzungen (im Zusammenhang mit Auskunfteien) unterschiedlich beurteilt wurden, soll § 28a jetzt Rechtssicherheit schaffen2. Die nach der bisherigen Rechtslage zusätzlich notwendige Interessenabwägung wurde vom Gesetzgeber aus Gründen der Rechtsklarheit durch die Prüfung der Voraussetzungen der Nr. 1 bis 5 in Abs. 1 Satz 1 ersetzt3. 21 Konkret bedeutet das, dass nur die Interessen der verantwortlichen Stelle bzw. die eines Dritten gegeben sein müssen. Die Würdigung der Interessen des Betroffenen ist durch den Gesetzgeber in Form der Regelbeispiele erfolgt. Eine über die – abschließenden4 – Regelbeispiele hinausgehende „zusätzliche Interessenabwägung“ war dagegen – entgegen dem insoweit etwas irreführenden Wortlaut – nicht gewollt, da dies dem gesetzgeberischen Ziel der Rechtssicherheit zuwider liefe5. Abzustellen ist hier vielmehr auf das seit langem gerichtlich anerkannte berechtigte Interesse der Kreditwirtschaft an einem funktionsfähigen Informationssystem zum Schutz vor Forderungsausfällen oder auch betrügerischen Handlungen6. Diese Auslegung dürfte auch der Rechtsprechung des Europäischen Gerichtshofs entsprechen, nach der durch nationales Recht die Interessenwägung nach Art. 7f EG-Datenschutzrichtlinie nicht „zusätzlich“ eingeschränkt werden darf7.
1 BT-Drucks. 16/10529, S. 14. 2 BT-Drucks. 16/10529, S. 14. 3 BT-Drucks. 16/10529, S. 14; Däubler/Klebe/Wedde/Weichert/Weichert, § 28a BDSG Rz. 4. 4 Simitis/Ehmann, § 28a BDSG Rz. 28. 5 Simitis/Ehmann, § 28a BDSG Rz. 24; Gola/Schomerus, § 28a BDSG Rz. 6; so auch ausdrücklich OLG Frankfurt a.M. v. 13.3.2011 – 19 U 291/10, ZD 2011, 35. 6 BGH v. 19.11.1985 – III ZR 213/83, NJW 1984, 1889. 7 EuGH v. 24.11.2011 – C-468/10, C-469/10 (Verarbeitung personenbezogener Daten), CR 2012, 29.
650 Kamlah
Datenübermittlung an Auskunfteien
§ 28a BDSG
d) Die Regelbeispiele im Einzelnen aa) Übermittlung aufgrund eines Urteils oder eines Titels (Abs. 1 Satz 1 Nr. 1) Nach Abs. 1 Satz 1 Nr. 1 ist Voraussetzung für die Übermittlung von 22 Angaben über eine Forderung, dass die Forderung durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden ist1. Es müssen keine Zivilrechtsurteile sein, sondern es reicht jedes andere Urteil aus allen Gerichtsbarkeiten. Ferner können Schuldtitel nach § 794 ZPO übermittelt werden wie Vollstreckungsbescheide, Kostenfestsetzungsbeschlüsse oder notarielle Urkunden, in denen der Schuldner sich der sofortigen Zwangsvollstreckung unterwirft. Dieser Katalog spricht dafür, dass auch in den Fällen des § 709 ZPO übermittelt werden darf2. Schuldtitel3, die dort nicht genannt werden, wie z.B. Schuldtitel nach der Bundesrechtsanwaltsordnung (BRAO) über rückständige Kammerbeiträge (§ 84 BRAO) oder auch Verwaltungsakte (wie Gebührenbescheide), fallen dagegen nicht unter diese Zulässigkeitsvariante. Eine zusätzliche Interessenabwägung oder weitere Mahnung wie in § 28a Abs. 1 Satz 1 Nr. 4 sind hier ausweislich der Gesetzesbegründung entbehrlich4. Allerdings muss dem Betroffenen die Gelegenheit bleiben, die Forderung nach Titulierung zu begleichen. In Anlehnung an § 807 Abs. 1 Nr. 4 ZPO sollte daher eine Übermittlung erst nach zwei Wochen erfolgen5. bb) Übermittlung aufgrund Feststellung im Insolvenzverfahren (Abs. 1 Satz 1 Nr. 2) Eine im Insolvenzverfahren in die Tabelle eingetragene Forderung ist 23 kein Schuldtitel i.S.d. Nr. 1, wirkt jedoch nach § 178 Abs. 3 InsO wie ein rechtskräftiges Urteil. Deshalb kommt nicht Nr. 1 zum Tragen, sondern Nr. 2. Auch hier haben die Betroffeneninteressen ohne eine weitere Mahnung oder Zahlungsaufforderung zurückzutreten, zumal die Insol1 S. hierzu bereits OLG Frankfurt a.M. v. 13.7.2010 – 19 W 33/10, MMR 2010, 792. 2 So auch mit ausführlicher Begründung Simitis/Ehmann, § 28a BDSG Rz. 34 ff.; wohl auch Däubler/Klebe/Wedde/Weichert/Weichert, § 28a BDSG Rz. 5; a.A. Helfrich, S. 144 ff. 3 Zur Zulässigkeit einer Online-Schuldtitelbörse LG Köln v. 17.3.2010 – 28 O 612/09, MMR 2010, 369. 4 BT-Drucks. 16/10529, S. 14. 5 Für eine Woche plädiert Däubler/Klebe/Wedde/Weichert/Weichert, § 28a BDSG Rz. 5.
Kamlah 651
BDSG § 28a
Datenverarbeitung nicht-öffentlicher Stellen
venzeröffnung ohnehin schon nach § 30 InsO öffentlich bekanntzumachen ist und diese Information dann von der Auskunftei nach § 29 Abs. 1 Satz 1 Nr. 2 unmittelbar aus dem öffentlichen Register erhoben werden kann1. cc) Übermittlung aufgrund eines Anerkenntnisses (Abs. 1 Satz 1 Nr. 3) 24 Nach Abs. 1 Satz 1 Nr. 3 kann eine Übermittlung erfolgen, wenn der Betroffene die Forderung ausdrücklich anerkannt hat, er sie aber trotzdem nicht begleicht. Dies gilt beispielsweise, wenn ein Schuldner die Forderung akzeptiert, aber wegen seiner finanziellen Lage um Zahlungsaufschub bittet. Nicht darunter fallen Konstellationen, in denen der Schuldner die Forderung zwar anerkannt hat, sie aber nicht begleicht, weil er z.B. gegen sie aufrechnen kann2. Denn wenn der Schuldner Einwände oder Einreden geltend machen kann, fehlt das berechtigte Interesse des Gläubigers3. Umgekehrt stellt der Zahlungsausgleich für sich allein kein Anerkenntnis in diesem Sinne dar, da ja geleistet wurde. 25 Die Forderung muss vom Betroffenen ausdrücklich, also nicht nur stillschweigend oder konkludent anerkannt worden sein. Eine (Teil-)Zahlung ist kein Anerkenntnis i.S.v. Nr. 3, da sonst Nr. 4 leer laufen könnte4. dd) Übermittlung aufgrund vorheriger Mahnungen (Abs. 1 Satz 1 Nr. 4) 26 Eine weitere Zulässigkeitsvariante ist in Nr. 4 normiert, wonach auch Forderungen übermittelt werden dürfen, die weder tituliert noch vom Betroffenen anerkannt wurden. Solche Forderungsdaten werden in der Literatur und Rechtsprechung häufig als „weiche Negativdaten“ bezeichnet5. 27 Die Voraussetzung unter Nr. 4 sollen sicherstellen, dass der Betroffene vor der Meldung der Forderung an eine Auskunftei ausreichende Gelegenheit erhält, die Forderung zu begleichen oder das Bestehen der For-
1 Eine Verpflichtung zur Informationsbeschaffung besteht für den an einen Insolvenzschuldner leistenden Gläubiger indes nicht, BGH v. 15.4.2010 – IX ZR 62/09, MMR 2010, 634 (www.insolvenzbekanntmachungen.de). 2 BT-Drucks. 16/10529, S. 14. 3 BT-Drucks. 16/10529, S. 14; Däubler/Klebe/Wedde/Weichert/Weichert, § 28a BDSG Rz. 6. 4 Vgl. auch Simitis/Ehmann, § 28a BDSG Rz. 40. 5 S. Simitis/Ehmann, § 29 BDSG Rz. 175.
652 Kamlah
Datenübermittlung an Auskunfteien
§ 28a BDSG
derung zu bestreiten1. Gerade für diese Forderungsdaten sollte mit der Neuregelung Rechtssicherheit geschaffen werden. Daher formuliert Nr. 4 detailliert Voraussetzungen, bei deren kumulativen Vorliegen eine Übermittlung zulässig ist. Buchst. a knüpft unmittelbar an die Fälligkeitsvoraussetzung des Ein- 28 gangssatzes an und fordert, dass der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist. Sofern der Schuldner nach der ersten Mahnung die Forderung ausdrücklich anerkennt, aber zum Ausdruck bringt, nicht zahlen zu können, kommt eine Übermittlung aufgrund Abs. 1 Nr. 3 in Betracht. Unerheblich ist, ob in der Mahnung der richtige Betrag ausgewiesen ist2. Die Schriftform ist gesetzlich definiert in § 126 BGB, wobei zweifelhaft ist, ob hier tatsächlich die gesetzliche Schriftform gemeint ist. Vielmehr liegt vor dem Hintergrund des Schutzzwecks der Norm nahe, dass nur mündlich erteilte Mahnungen nicht ausreichen sollten. Anderenfalls würden die Mahnungen einer Unterschrift bedürfen und könnten nur durch die elektronische Form (§ 126a BGB) mit elektronischer Signatur ersetzt werden. Es sind aber keine Gründe ersichtlich, warum eine Mahnung ohne Unterschrift oder eine Mahnung in Textform (§ 126b BGB) nicht ausreichend sein sollten. Auch an anderen Stellen verwendet das Gesetz den Begriff „schriftlich“, ohne dass ein Verweis auf § 126 BGB gemeint sein kann (z.B. § 11 Abs. 2)3. Es kommt darauf, dass sich der Gläubiger zweimal einer Forderung berühmt und diese zur Zahlung anmahnt. Für die Formlosigkeit der Mahnung in diesem Sinne spricht auch, dass nach Buchst. c die Mahnung mit der (formlosen) Unterrichtung verbunden werden kann. „Schriftlich“ ist daher nicht i.S.v. „Schriftform“ zu verstehen4. Nach Buchst. b müssen zwischen der ersten Mahnung und der Übermittlung mindestens vier Wochen liegen. Die zweite Mahnung sollte jedoch nicht unmittelbar vor der Übermittlung erfolgen, um sie nicht zur reinen „Förmelei“ verkommen zu lassen. Es sollte deshalb die in einer 1 BT-Drucks. 16/10529, S. 14; kritisch Simitis/Ehmann, § 28a BDSG Rz. 58. 2 LG Düsseldorf v. 30.3.2012 – 8 O 354/11. 3 Dort vertritt Taeger/Gabel/Gabel, § 11 BDSG Rz. 54 zurecht, dass nach das Schriftformerfordernis im Lichte von Art. 17 der EG-Datenschutzrichtlinie auszulegen ist. 4 Eingehend zu Unterscheidung Lützen, NJW 2012, 1627, s. auch BAG v. 15.12.2011 – 7 ABR 40/10; im Ergebnis mit ebenso einschränkender Auslegung bei § 28 Abs. 3a Lixfeld, der allerdings zunächst von der Identität von Schriftform und Schriftlichkeit ausgeht.
Kamlah 653
29
BDSG § 28a
Datenverarbeitung nicht-öffentlicher Stellen
zweiten Mahnung ggf. gesetzte Nachfrist abgewartet werden, damit sich der Betroffene nicht aus Unachtsamkeit oder Unkenntnis der Forderung1 einer Übermittlung von Forderungsdaten ausgesetzt sieht, die letztlich keinen sicheren Rückschluss auf die Zahlungsunwilligkeit oder -unfähigkeit zulassen. 30 Eine weitere Voraussetzung ist die in Buchst. c enthaltene Verpflichtung, den Betroffenen rechtzeitig vor der Übermittlung, jedoch frühestens mit der ersten Mahnung, über die bevorstehende Übermittlung zu unterrichten. Erfolgt die Unterrichtung mit der ersten Mahnung, ist eine wiederholte Unterrichtung mit der zweiten Mahnung nicht mehr erforderlich. Die Unterrichtung kann aber auch erst in der zweiten Mahnung erfolgen, sofern sichergestellt ist, dass dem Betroffenen ausreichend Zeit bleibt vor der Übermittlung zu reagieren2. 31 An die Unterrichtung sind keine formellen oder inhaltlichen Anforderungen gestellt. Es ist nur über die bevorstehende Übermittlung als solche zu unterrichten, nicht aber über die Auskunftei, deren Zweck und weitere potentielle Empfänger der Daten, etc. Allerdings sollte die betreffende Auskunftei, an die übermittelt werden soll, so bezeichnet werden, dass der Betroffene dort seine Verfahrensrechte insbesondere sein Auskunftsrecht nach § 34 geltend machen kann3. 32 Da die Unterrichtung in aller Regel mit der Mahnung verbunden wird und zugleich den Betroffenen die Gelegenheit geben soll, die Forderung zu begleichen oder zu bestreiten4 kann die Mahnung leicht als widerrechtliche Drohung verstanden werden5. Dies sollte vermieden werden, indem auf die Einhaltung der rechtlichen Bedingungen zulässiger Übermittlungen hingewiesen wird – insbesondere, dass nur eine Übermittlung bezüglich unbestrittener Forderungen erfolgt. Eine unzulässige Drohung kann dagegen vorliegen, wenn eine Unterrichtung erfolgt, der (vermeintliche) Forderungsinhaber aber gar nicht bereit und in der Lage ist, die Forderung auch tatsächlich zu melden, weil er beispielsweise gar nicht zu den Kunden der Auskunftei zählt6. Die Unterrichtungspflichten nach § 4 Abs. 3 bleiben von Nr. 4 unberührt7. 1 2 3 4 5
BT-Drucks. 16/10529, S. 14. Vgl. auch Gola/Schomerus, § 28a BDSG Rz. 9. So auch Simitis/Ehmann, § 28a BDSG Rz. 61 f. BT-Drucks. 16/10529, S. 14. So bereits LG Rottweil v. 2.11.1994 – 3 O 553/94; AG Leipzig v. 13.1.2010 – 118 C 10105/09, MMR 2010, 723. 6 S. insbesondere Simitis/Ehmann, § 28a BDSG Rz. 15 ff. 7 BT-Drucks. 16/10529, S. 14.
654 Kamlah
Datenübermittlung an Auskunfteien
§ 28a BDSG
Schließlich ist nach Buchst. d Voraussetzung, dass der Betroffene die 33 Forderung nicht vor der Übermittlung bestritten „hat“, die Forderung also bis zum Zeitpunkt der Übermittlung unbestritten geblieben ist. Ein nachträgliches Bestreiten nach erfolgter Übermittlung und Speicherung bei der Auskunftei führt dagegen nicht zur Unzulässigkeit der ursprünglichen Übermittlung. Schuldrechtliche Einwendungen oder Einreden sind mithin grundsätzlich verspätet, also nachträglich lediglich vorgetragen werden kann, es hätten die Übermittlungsvoraussetzungen nach § 28a Abs. 1 Nr. 4 nicht vorgelegen, was durch die verantwortliche Stelle dann auch überprüft werden muss. Die Differenzierung ist vor dem Hintergrund der Unterrichtungspflicht auch konsequent, da durch die kumulativ zu erfüllenden Übermittlungsvoraussetzungen in Nr. 4 der Betroffene ausreichend geschützt wird. Auch führt das Kriterium nicht zu einer grundsätzlichen Bestreitensobliegenheit, die dem Zivilrecht fremd ist1. Vielmehr ist diesbezüglich der Zusammenhang mit der Unterrichtungspflicht zu sehen, die allerdings faktisch dann doch den Sinn hat, auf (vermeintlich) bestehende Forderungen aufmerksam zu machen, um sich gegen unberechtigte Forderungen zu wehren. Das Bestreiten einer Forderung hat substantiiert zu erfolgen, denn von der bisherigen, sich in der Praxis herausgebildeten rechtlichen Beurteilung, dass ein treuwidriges Bestreiten einer Forderung durch den Betroffenen einer Übermittlung an eine Auskunftei nicht entgegensteht, soll nicht abgewichen werden2. Auch wenn der Gläubiger das (substantiierte) Bestreiten für unbegründet hält, darf eine Übermittlung nicht erfolgen, solange die Forderung nicht gerichtlich festgestellt wurde, es sei denn das Bestreiten erfolgte offensichtlich rechtsmissbräuchlich3.
34
Wenn der Betroffene trotz zweifacher Mahnung und ausdrücklichem 35 Hinweis auf die bevorstehende Übermittlung die Forderung weder begleicht noch bestreitet, kann der Gläubiger davon ausgehen, dass der Betroffenen entweder nicht willens oder nicht in der Lage ist, die bestehende Forderung auszugleichen (Zahlungsunwilligkeit oder -unfähigkeit). Mit den Regelungen zu Abs. 1 Satz 1 Nr. 4 schafft der Gesetzgeber trotz 36 Kritik im Gesetzgebungsverfahren bewusst neben den zivilrechtlichen Verzugsvoraussetzungen (§§ 286 ff. BGB) eine zweite Ebene von daten1 S. hierzu Helfrich, S. 154. 2 BT-Drucks. 16/10529, S. 14. 3 OLG Frankfurt a.M. v. 15.11.2004 – 23 U 155/03, MDR 2005, 881; ähnlich OLG Koblenz, v. 23.9.2009 – 2 U 423/09, MMR 2010, 277.
Kamlah 655
BDSG § 28a
Datenverarbeitung nicht-öffentlicher Stellen
schutzrechtlichen Verzugsvoraussetzungen für eine Meldung des Verzugs an eine Auskunftei. Seiner Ansicht nach ist (alleiniges) Ziel der Verzugsregeln, dass dem Gläubiger kein finanzieller Nachteil durch eine nicht fristgerechte Zahlung entsteht1. Der Verzug allein sei aber kein Indiz für die Zahlungsunwilligkeit oder -unfähigkeit des Schuldners2. Es bleibt abzuwarten, ob sich die Vorschrift als verfehlt herausstellt, weil der „einfache“ Verzug quasi „geheim“ bleibt (und damit unter Umständen sogar sozialadäquat wird). Die übrigen am Geschäftsverkehr teilnehmenden potenziellen Gläubiger werden über ggf. mehrfach vorliegende Verzugsfälle eines Betroffenen über die Auskunfteien unter Umständen nicht mehr zuverlässig informiert. Dem ggü. hat der Gesetzgeber die grundsätzliche Zulässigkeit der Übermittlung sog. „weicher“ Forderungsdaten anerkannt und jedenfalls insoweit für mehr Rechtssicherheit gesorgt. ee) Übermittlung aufgrund einer Kündigung (Abs. 1 Satz 1 Nr. 5) 37 Nach Abs. 1 Satz 1 Nr. 5 sind Übermittlungen auch zulässig, wenn das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet (wobei im Gegensatz zu Nr. 4 das Kriterium der Rechtzeitigkeit hier nicht gegeben ist) hat. Solche Fälle finden sich z.B. im Mietrecht (§§ 543, 569 Abs. 3 BGB) sowie in Anlehnung an § 490 BGB in den AGB der Banken in Ziff. 19 Abs. 3 oder in den AGB der Sparkassen in Nr. 26 Abs. 2. 38 Da Nr. 5 nur von einem „Vertragsverhältnis“ spricht, ist die Norm auch nur dafür und nicht auf sonstige rechtsgeschäftliche oder rechtsgeschäftsähnliche Schuldverhältnisse (vgl. § 28 Abs. 1 Satz 1 Nr. 1) anwendbar. 39 Nr. 5 erfasst die Fälle, in denen objektiv die Voraussetzungen einer Kündigung vorliegen3. Eine tatsächliche Kündigung muss nach dem Wortlaut der Norm nicht erfolgt sein („kann“). Das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung der Forderungsdaten tritt hinter das berechtigte Interesse der Unternehmen an der Übermittlung zurück. Denn in diesen Fällen liegt bereits eine erhebli-
1 BT-Drucks. 16/10529, S. 14. 2 BT-Drucks. 16/10529, S. 14. 3 BT-Drucks. 16/10529, S. 14.
656 Kamlah
Datenübermittlung an Auskunfteien
§ 28a BDSG
che Vertragsstörung im Verantwortungsbereich des Betroffenen vor, der er trotz der vorgeschriebenen Unterrichtung nicht abgeholfen hat1. Nr. 5 setzt eine Möglichkeit zur fristlosen Kündigung voraus. Übermittlungen im Anschluss an eine ordentliche Kündigung oder Gesamtfälligstellung (§ 498 BGB) sind daher nur unter Beachtung der Voraussetzungen nach den Nr. 1 bis 4 möglich, soweit nicht zugleich eine außerordentliche Kündigung möglich gewesen wäre.
40
e) Verantwortliche Stelle betreibt geschäftsmäßige Datenverarbeitung (Abs. 1 Satz 2) Nach § 28a Abs. 1 Satz 2 gilt Satz 1 entsprechend, wenn die verantwortliche Stelle selbst die Daten nach § 29 verwendet, also selbst geschäftsmäßig Daten zum Zwecke der Übermittlung speichert.
41
Diese Vorschrift folgt einem Änderungsantrag aus dem Innenausschuss. Es soll sich hier um eine „Klarstellung“ handeln2. Diese Klarstellung ist aber insoweit entbehrlich und eher irreführend, da geschäftsmäßige Datenverarbeiter über § 29 Abs. 1 Nr. 3 und Abs. 2 an die Voraussetzungen des § 28a Abs. 1 und 2 gebunden sind. Sollte die verantwortliche Stelle die Daten beispielsweise als konzerninterne Auskunftei vorhalten, würde für diese ebenso § 29 gelten, nachdem ihr die Daten von der Konzerngesellschaft nach § 28a übermittelt wurden.
42
Der Begriff der „Verwendung“ in Satz 2 ist unklar, da er im BDSG entgegen ursprünglichen Planungen nicht definiert wurde (s. allerdings § 45). Nach Sinn und Zweck fallen indessen unter den Begriff „Verwendung“ alle Arten der Verarbeitung und Nutzung (§ 3 Abs. 4 und Abs. 5) im Anschluss an eine nach § 28a erfolgte Übermittlung3.
43
2. Datenübermittlung durch Kreditinstitute (Abs. 2 Sätze 1 und 3) a) Erlaubnistatbestand (Abs. 2 Satz 1) Abs. 2 Satz 1 ist ein spezieller gesetzlicher Erlaubnistatbestand, der zum 44 einen nur Kreditinstitute und zum anderen nur bestimmte Bankgeschäfte betrifft4. Hintergrund der gesetzlichen Regelung ist, dass Kreditinstitute die Datenübermittlungen bislang auf eine Einwilligung nach § 4a 1 2 3 4
BT-Drucks. 16/10529, S. 14. BT-Drucks. 16/13219, S. 8. So auch Simitis/Ehmann, § 28a BDSG Rz. 6. Vgl. BT-Drucks. 16/10529, S. 14/15.
Kamlah 657
BDSG § 28a
Datenverarbeitung nicht-öffentlicher Stellen
stützten und vereinzelt Zweifel an der Freiwilligkeit und damit an der Wirksamkeit einer solchen Einwilligung (dazu § 4a) bestanden. An die Stelle der Einwilligungserklärung soll deshalb der neue Erlaubnistatbestand in Abs. 2 treten, um mehr Rechtssicherheit zu schaffen1. Das Bankgeheimnis bleibt daneben aber anwendbar2. 45 Während Abs. 1 detailliert und abschließend die Zulässigkeitsvoraussetzungen zur Übermittlung forderungsbezogener Daten (sog. „Negativdaten“) regelt, formuliert Abs. 2 Satz 1 einen speziellen Erlaubnistatbestand für Kreditinstitute für bestimmte Übermittlungen personenbezogener Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertrages (sog. „Positivdaten“ im Rahmen bestimmter Bankgeschäfte, wobei Satz 3 bestimmte Giroverträge, konkret Girokonten ohne Überziehungsmöglichkeit (sog. Guthabenkonten) wieder ausnimmt. 46 Der Begriff des Kreditinstitutes wird in § 1 Abs. 1 Satz 1 KWG (Kreditwesengesetz) und der des Bankgeschäfts in § 1 Abs. 1 Satz 2 KWG bestimmt. Allerdings verweist das BDSG nur auf bestimmte Bankgeschäfte, nämlich die Kredit-, Garantie- und Girogeschäfte nach § 1 Abs. 1 Satz 2 Nr. 2, 8 und 9 KWG. Mit dem Verweis auf § 1 Abs. 1 Satz 2 Nr. 9 KWG wollte der Gesetzgeber auch das Girogeschäft vom Anwendungsbereich der Vorschrift erfasst sehen3. Allerdings war bereits vorher das Girogeschäft in das Zahlungsdiensteaufsichtsgesetz (ZAG) verlagert worden4. Dass vom Gesetzgeber jedoch Giroverträge gemeint waren, ergibt sich aber bereits aus § 28a Abs. 2 Satz 3. 47 Nach Abs. 2 Satz 1 dürfen Angaben über die Begründung, ordnungsgemäße Durchführung und Beendigung eines derartigen Vertragsverhältnisses auch ohne Einwilligung an Auskunfteien übermittelt werden. Die Formulierung ist erkennbar der derzeit aktuellen SCHUFA-Klausel nachgebildet. Übermittelt werden dürfen nach Satz 1 grundsätzlich alle das Vertragsverhältnis beschreibende Daten (Angaben über Begründung, ordnungsgemäße Durchführung und Beendigung des Vertrags), nicht jedoch inhaltliche Daten aus dem Vertrag (z.B. Einkommensangaben des Betroffenen)5. Das schließt eine Übermittlung dieser Daten auf Basis 1 2 3 4 5
BT-Drucks. 16/10529, S. 15. Eingehend Hanten/Görke/Ketessidis/Bühr, S. 191. BT-Drucks. 16/10529, S. 15. Bergmann/Möhrle/Herb, § 28a BDSG Rz. 44a ff. BT-Drucks. 16/10529, S. 15; Simitis/Ehmann, § 28a BDSG Rz. 86 ff. zu Abgrenzungsschwierigkeiten.
658 Kamlah
Datenübermittlung an Auskunfteien
§ 28a BDSG
einer Einwilligung jedoch nicht aus. Abs. 2 Satz 1 betrifft nur die Übermittlung der dort genannten Daten durch das Kreditinstitut. Andere, darüber hinaus gehende Daten dürfen übermittelt werden, wenn eine Einwilligung nach § 4a vorliegt1. Daten über die Begründung eines Vertrags sind nicht nur die Daten über den erfolgten Vertragsschluss (z.B. Einräumung eines Kredites), sondern auch die über die vorausgehende Antragsstellung.
48
Daten über die ordnungsgemäße Durchführung sind Daten über die ver- 49 tragsgemäße Abwicklung von Krediten (z.B. Bedienung oder Tilgung von Krediten) oder auch positive Zahlungsverhaltensdaten (z.B. zahlt pünktlich). Da Abs. 2 Satz 1 entgegen Abs. 1 Satz 1 nicht auf forderungsbezogene Daten begrenzt ist, ist über diese Vorschrift auch die Übermittlung allgemeiner – positiver – Verhaltensdaten möglich. § 28 geht hier im Anwendungsbereich des § 28a Abs 2 also voll auf. Tritt eine Störung im Vertragsverhältnis ein, richtet sich die Zulässigkeit der Übermittlung jedoch nach § 28, wobei bei forderungsbezogenen Daten die Einschränkungen nach § 28a Abs. 1 zu beachten sind. Anfragen nach dem Stand eines Insolvenzverfahrens sind zulässig, da sie ein deutliches Weniger gegenüber einer Übermittlung darstellen2. Zu den Daten über die Beendigung zählen nur die vertragsgemäße Been- 50 digung oder der vollständige Zahlungsausgleich. Das Kriterium der Ordnungsmäßigkeit bezieht sich nicht nur auf die Durchführung, sondern auch auf die Beendigung. Daten über eine (fristlose) Kündigung sind nach Maßgabe von § 28a Abs. 1 übermittelbar. In allen Fällen des Abs. 2 Satz 1 ist die Übermittlung nur zulässig, wenn das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung das Interesse der Auskunftei an der Kenntnis der Daten nicht offensichtlich überwiegt. Diese Formulierung lehnt sich z.B. an § 28 Abs. 1 Satz 1 Nr. 3 oder § 29 Abs. 1 Satz 1 Nr. 2 an und geht damit davon aus, dass die entsprechenden Übermittlungen nur ganz ausnahmsweise unzulässig sind (vgl. auch die dortigen Kommentierungen)3.
51
Aus dem Erfordernis des „offensichtlichen“ Überwiegens ergibt sich, 52 dass die Übermittlungen nur in Ausnahmefällen unzulässig sein dürften. Das kann z.B. der Fall sein, wenn eine offensichtlich bedrohte Person vermeiden möchte, dass im Rahmen einer Kontoeröffnung ihre ak1 BT-Drucks. 16/10529, S. 15. 2 AG Essen v. 22.2.2011 – 12 C 312/10. 3 So auch Simitis/Ehmann, § 28a BDSG Rz. 98 ff.
Kamlah 659
BDSG § 28a
Datenverarbeitung nicht-öffentlicher Stellen
tuellen Adressdaten in den Datenbestand einer Auskunftei eingemeldet und von dort wiederum Dritten, z.B. der ihr drohenden Person, beauskunftet werden können1. Bei sensiblen Daten (dazu gehören z.B. die besonderen Daten nach § 3 Abs. 9 oder Daten über Minderjährige) wird eine Abwägung im Zweifel zugunsten des Betroffenen ausfallen. Naturgemäß dürfen auch nur Daten übermittelt werden, die zum Zeitpunkt der Übermittlung von der verantwortlichen Stelle noch gespeichert werden dürfen2. 53 Entgegen dem Regelungskonzept des Abs. 1 enthält Abs. 2 keine abschließende Regelung über die Zulässigkeit der Übermittlung bestimmter „Positivdaten“, sondern zählt nur bestimmte Bankgeschäfte auf. Das bedeutet jedoch nicht, dass für diese Geschäfte die spezielle Ermächtigungsgrundlage des Abs. 2 Satz 1 ausschließlich gilt. Die Übermittlung von Positivdaten aus Bankgeschäften i.S.d. Abs. 2 wie aber auch aus übrigen Geschäften richtet sich demnach weiterhin nach den allgemeinen Regeln. Das bedeutet, dass die Zulässigkeitsvarianten des § 4 nach wie vor gleichrangig nebeneinander stehen. Die Übermittlung von Bankgeschäften nach Abs. 2 kann demnach weiter auf eine Einwilligung gestützt werden. Umgekehrt bleibt für Geschäfte außerhalb des Anwendungsbereiches des Abs. 2 § 28 weiterhin anwendbar. 54 Aus der speziellen Ermächtigungsgrundlage für bestimmte Bankgeschäfte ist mithin nicht der Umkehrschluss zu ziehen, dass die Übermittlung von Positivdaten aus sonstigen Geschäften ausschließlich mit Einwilligung möglich ist3. Konsequent formuliert daher die Gesetzesbegründung, dass die Möglichkeit bei anderen verantwortlichen Stellen als Kreditinstituten auf Basis einer Einwilligung Daten zu übermitteln, unberührt bleibt. Verantwortliche Stellen, die keine Kreditinstitute sind, können mithin das Vertragsverhältnis beschreibende Daten (Angaben über Begründung, ordnungsgemäße Durchführung und Beendigung des Vertrages) bei Vorliegen einer Einwilligung übermitteln, müssen das aber nicht4. Vielmehr bleibt die Einwilligung fakultativ und steht gleichrangig neben den gesetzlichen Zulässigkeitstatbeständen. Ein Zwang zur Einwilligung für die nicht in Abs. 2 ausdrücklich genannten Geschäfte würde dagegen das gesetzgeberische Ziel konterkarieren, „zwanghafte“ Einwilligungen gerade zu verhindern. Vielmehr sollte durch Schaffung eines 1 BT-Drucks. 16/10529, S. 15. 2 BT-Drucks. 16/10529, S. 15. 3 A.A. Simitis/Ehmann, § 28a BDSG Rz. 79; Däubler/Klebe/Wedde/Weichert/ Weichert, § 28a BDSG Rz. 11 und 14. 4 BT-Drucks. 16/10529, S. 15.
660 Kamlah
Datenübermittlung an Auskunfteien
§ 28a BDSG
gesetzlichen Zulässigkeitstatbestandes für bestimmte Bankgeschäfte gerade hierfür ein Ausweg eröffnet werden. Ob allerdings die Kreditwirtschaft auf eine Einwilligung des Kunden tat- 55 sächlich verzichten kann, ist zweifelhaft, da in aller Regel immer noch eine Befreiung vom Bankgeheimnis erforderlich sein dürfte1. Diese dann mit Elementen einer datenschutzrechtlichen Einwilligung zu versehen, ist über §§ 4 und 4a BDSG möglich und kann nur für die Sonderfälle nach Satz 4 nicht ausgeschlossen werden. Auch die sogn. SCHUFAKlausel hat in erster Linie die Funktion, vom Bankgeheimnis zu befreien2. An dem Erfordernis der Freiwilligkeit solcher Einwilligungen ändert sich dabei nichts. Insoweit ist nach wie vor § 4a zu beachten. b) Girokontoverträge ohne Überziehungsmöglichkeit (Abs. 2 Satz 3) Nach Satz 3 gilt der gesetzliche Erlaubnistatbestand nicht für solche Giroverträge, die die Einrichtung eines Kontos ohne Überziehungsmöglichkeit zum Gegenstand haben. In diesen Fällen, in denen der Betroffene nur ein Guthabenkonto unterhält, soll das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung grundsätzlich das berechtigte Interesse der verantwortlichen Stelle oder eines Dritten an der Kenntnis dieser Daten überwiegen3. Auch hier bleibt aber die Möglichkeit einer wirksamen (also insbesondere freiwilligen) Einwilligung nach § 4a unberührt. Bei Pfändungsschutzkonten (P-Konten) gelten seit dem 1.7.2010 die Regelungen nach § 850k Abs. 8 ZPO, wonach eine Übermittlung an Auskunfteien ohne Einwilligung zulässig ist.
56
c) Unterrichtungspflicht ggü. Betroffenen (Abs. 2 Satz 2) Nach Abs. 2 Satz 2 ist der Betroffene vor Abschluss des Vertrages durch die verantwortliche Stelle von der beabsichtigen Übermittlung zu unterrichten. Damit soll dem Betroffenen die Möglichkeit gegeben werden, vom Abschluss des Vertrages abzusehen4. Daher muss die Unterrichtung zu einem Zeitpunkt erfolgen, in dem der Betroffene noch tatsächliche in der Lage ist, vom Vertrag Abstand zu nehmen.
1 2 3 4
S. hierzu Kamlah, MMR 1999, 395 (397) zur Funktion der SCHUFA-Klausel. S. hierzu ausführlich Hornung, CR 2007, 753 ff. Kritisch Simitis/Ehmann, § 28a BDSG Rz. 93. BT-Drucks. 16/10529, S. 15.
Kamlah 661
57
BDSG § 28a
Datenverarbeitung nicht-öffentlicher Stellen
58 Die Unterrichtungspflicht nach § 4 Abs. 3 bleibt von Abs. 2 Satz 2 unberührt1. Beides kann miteinander verbunden werden, wenn dies für den Betroffenen hinreichend transparent ist. Entgegen der in § 4 Abs. 3 geregelten Pflicht ist die Unterrichtungspflicht in § 28a aufgrund der Vorortung dort wohl aber zulässigkeitsbegründend. d) Übermittlungsverbot für Kreditinstitute (Abs. 2 Satz 4) 59 Abs. 2 Satz 4 enthält ein Übermittlungsverbot, das auch nicht durch eine Einwilligung des Betroffenen umgangen werden kann. Flankierend ist § 29 Abs. 1 Nr. 3 erlassen worden, wonach die Aufnahme von nach Abs. 2 Satz 4 erfassten Daten in den Auskunftsdatenbestand unzulässig ist2. 60 Nach Abs. 2 Satz 4 ist eine Übermittlung von Daten über Verhaltensweisen des Betroffenen, die im Rahmen eines vorvertraglichen Vertrauensverhältnisses der Herstellung von Markttransparenz dienen, an Auskunfteien zum Zwecke der zukünftigen Übermittlung nach § 29 Abs. 2 auch mit Einwilligung des Betroffenen unzulässig. Gemeint sind die Fälle, in denen sich ein Betroffener lediglich nach Kreditkonditionen erkundigt, ohne einen konkreten Kreditantrag zu stellen (sog. Konditionenanfrage). Diese Tatsache soll nicht der Auskunftei zum Zwecke der Weiterübermittlung gemeldet werden dürfen. 61 Mit der Regelung hat der Gesetzgeber die Zulässigkeit von Bonitätsanfragen auch bei reiner Nachfrage von Kreditkonditionen ausdrücklich anerkannt. Der Gesetzgeber will nur verhindern, dass die Nachfrage nach Kreditkonditionen bei verschiedenen Banken bei Auskunfteien eingemeldet und von diesen negativ bei der sog. Scorewertberechnung berücksichtigt wird3. Die Regelung berührt damit nicht die Zulässigkeit der eigentlichen Anfrage und der damit verbundenen Übermittlung der Anfragedaten selbst, da nur die Übermittlung zum Zwecke der Weiterübermittlung durch die Auskunftei unzulässig sein soll4. Die Übermittlung zu diesem Zwecke ist auch schon wegen § 29 Abs. 2 zum Nachweis des berechtigten Interesses erforderlich. 62 Wird dagegen eine konkrete Kreditanfrage gestellt, so darf dies an die Auskunftei übermittelt und diese Tatsache nach Kreditgewährung oder 1 2 3 4
BT-Drucks. 16/10529, S. 15. BT-Drucks. 16/10529, S. 16. BT-Drucks. 16/10529, S. 15. BT-Drucks. 16/10529, S. 15.
662 Kamlah
Datenübermittlung an Auskunfteien
§ 28a BDSG
Ablehnung insoweit auch zum Auskunftsdatenbestand des Betroffenen gespeichert und verwertet werden. Im Einzelfall kann zweifelhaft sein, ob eine sog. Konditionenanfrage 63 vorliegt oder ob die Anfrage des Betroffenen schon direkt auf den Vertragsabschluss gerichtet ist. Direkt auf den Vertragsabschluss gerichtet ist eine Anfrage auch dann noch nicht, wenn die Kreditinstitute Konditionen nur nach Stellung eines vollständigen Antrags errechnet, sondern erst dann, wenn der Betroffene die Konditionen akzeptiert und seinem Antrag zugrunde legt1 und der so gestellte Antrag nur noch von dem Kreditinstitut angenommen werden muss. Im Übrigen kann die Abgrenzung von einer sogn. Konditionenanfrage zu einer Kreditanfrage danach erfolgen, ob zivilrechtlich vom Betroffenen ein Antrag auf Vertragsschluss gestellt worden ist. Wegen der unterschiedlichen Weiterverarbeitbarkeit im Datenbestand haben die Auskunfteien unterschiedliche Anfragegründe zur Verfügung zu stellen, damit die anfragenden Kreditgeber den Anfragegrund nach Konditionenabfrage oder Antrag auf Vertragsschluss differenzieren können.
64
Wegen des ausdrücklichen Verbotes einer Einwilligung und dem damit 65 gesetzlich angeordneten Ausschlusses des informationellen Selbstbestimmungsrechtes begegnet jedoch die Vorschrift verfassungs- und europarechtlichen Bedenken2. Mit dem Übermittlungsverbot korrespondiert das in § 29 Abs. 1 Satz 1 Nr. 3 niedergelegte Nutzungsverbot.
66
3. Nachberichtspflicht (Abs. 3) Abs. 3 wurde erst spät im Gesetzgebungsverfahren eingefügt und regelt 67 entsprechend einem Vorschlag des Bundesrates gesetzliche Nachberichtspflichten, die gewährleisten sollen, dass Datenbestände der Auskunfteien aktuell und richtig sind3. Zum einen muss die verantwortliche Stelle der Auskunftei nachträgliche Änderungen zu einmal übermittelten Daten mitteilen (Abs. 3 Satz 1), zum anderen muss aber auch die Auskunf1 BT-Drucks. 16/10529, S. 15. 2 So auch Simitis/Ehmann, § 28a BDSG Rz. 97; zum Verhältnis von europarechtlichen zu nationalen Datenschutzvorschriften EuGH v. 24.11.2011 in den verbundenen Rechtssachen C-468/10 und C-469/10 (Verarbeitung personenbezogener Daten), CR 2012, 29 ff. 3 BT-Drucks. 16/13219, S. 19.
Kamlah 663
BDSG § 28a
Datenverarbeitung nicht-öffentlicher Stellen
tei eine etwa erfolgte Löschung der übermittelnden Stelle mitteilen (Abs. 3 Satz 2), um zu verhindern, dass Nachberichtigungen zu bereits gelöschten Daten erfolgen. 68 Nach der Rechtsprechung besteht ohnehin die Pflicht, Kreditinformationssysteme so zu gestalten, dass diese ein vollständiges und aktuelles Bild der Kreditwürdigkeit bieten1. Um diese Organisationspflicht zu erfüllen, hatten einige Auskunfteien schon vor der Novelle entsprechende vertragliche Verpflichtungen mit den Teilnehmern des Kreditinformationssystems vereinbart. Der Gesetzgeber meinte jedoch, die Erfahrungen hätten gezeigt, dass die verantwortlichen Stellen ihren vertraglich übernommenen Nachberichtspflichten vielfach nicht ordnungsgemäß nachgekommen seien. So hätten z.B. die Kreditinstitute kein eigenes Interesse an der Nachmeldung von Tatsachen, die geeignet seien, den Scorewert positiv zu beeinflussen, weil der betroffene Kunde damit auch für die Konkurrenz attraktiver würde2. 69 Durch die Aufnahme der Nachberichtspflicht als gesetzliche (und nicht mehr nur vertragliche) Verpflichtung besteht nunmehr wegen § 38 die Möglichkeit, dass die Aufsichtsbehörden bei Verstößen tätig werden, was ausweislich der Gesetzesbegründung auch Motiv für diese Regelung war3. 70 Unter die in Abs. 3 Satz 1 genannten Tatsachen, deren Änderung mitzuteilen ist, fallen aufgrund des ausdrücklichen Verweises sowohl die nach Abs. 1 wie nach Abs. 2 genannten Tatsachen4, also sowohl Positivwie Negativinformationen5. 71 Zu den nach Abs. 1 mitzuteilenden Änderungen und Berichtigungen gehört z.B. die Erledigung einer offenen Forderung. Die übermittelnde Stelle darf dabei aber auch die Art und Weise der Zahlung mitteilen. Ebenfalls von der Mitteilungspflicht umfasst sind Änderungen des Schuldsaldos.
1 BGH v. 19.9.1985 – III ZR 213/83, NJW 1984, 1889. 2 BT-Drucks. 16/13219, S. 19, ob die vertraglichen Verpflichtungen tatsächlich aus denen in der Gesetzesbegründung beschriebenen Motiven nicht greifen, muss indessen bezweifelt werden, da dies eine detaillierte Kenntnis von der Funktionsweise der bei den Auskunfteien eingesetzten Scoringverfahren voraussetzen würde. Diese werden aber durch die Auskunfteien in aller Regel als Betriebs- und Geschäftsgeheimnis behandelt. 3 BT-Drucks. 16/13219, S. 19. 4 Simitis/Ehmann, § 28a BDSG Rz. 9 spricht von einer „Nachverwendungspflicht“ für eigene Datenbanken. 5 BT-Drucks. 16/13219, S. 19.
664 Kamlah
Datenübermittlung an Auskunfteien
§ 28a BDSG
Auch bei den nach Abs. 2 übermittelten Daten kann sich ein Berichtigungsbedarf ergeben, so z.B. wenn ein Darlehen vorzeitig zurückgezahlt wird oder der Betroffene umzieht1.
72
Aus den in der Gesetzesbegründung gewählten Beispielen lässt sich ab- 73 leiten, dass nicht jede Änderung der Saldenhöhe die Nachberichtspflicht auslöst. So ist es im Bereich von Negativdaten denkbar, dass sich offene Rückstände allein wegen der aufgelaufenen Verzugszinsen täglich, wenn auch geringfügig, ändern. Eine fortlaufende Unterrichtung auch über kleinste Veränderungen ist weder im Interesse des Betroffenen, noch der Auskunftei und würde auch dem Grundsatz der Datensparsamkeit und Datenvermeidung nach § 3a widersprechen. Hier wird eine gewisse Wesentlichkeit zu fordern sein, die sich an der Höhe der Forderungsveränderungen orientiert. Im Bereich der Positivdaten ist ausweislich der Gesetzesbegründung die vorzeitige Erledigung nachzuberichten. Damit erscheint es ausreichend, wenn sich die reguläre Tilgung aus der Auskunft der Auskunftei ableiten lässt, so dass reguläre Tilgungen (auch sog. Ballonraten) nicht jedes Mal zusätzlich durch die verantwortliche Stelle übermittelt werden müssen. Kreditaufstockungen oder Prolongationen wären zur Wahrung der berechtigten Interessen des Betroffenen auch nur nachzuberichten, wenn diese wesentlich sind (etwa 500 Euro bzw. drei Monate). Einzelheiten bleiben zweifelhaft. So ist beispielsweise noch ungeklärt, ob das Versterben eines Schuldners nachzuberichtigen ist. So unterliegen Verstorbene zwar nicht (mehr) dem BDSG, nachzuberichtigen sind aber nach Abs. 3 Satz 1 „Tatsachen“ und damit auch des Versterbens des Schuldners.
74
Unklar ist die Behandlung von Fällen, in denen die offene und der Aus- 75 kunftei übermittelte Forderung abgetreten wird. Im Falle der bloßen Inkassozession wird die Forderung ggf. über das Inkassounternehmen durch den ursprünglichen Gläubiger korrekt und aktuell zu halten sein. Im Fall des Forderungsverkaufs (Vollzession) wäre allenfalls eine vertragliche Übertragung auf den Forderungskäufer (Factoringunternehmen) denkbar. Sofern der ursprüngliche Gläubiger nicht mehr am Auskunfteiverfahren teilnehmen möchte, stellt sich die Frage, ob die gesetzliche Nachberichtspflicht dazu führen kann, dass Auskunfteiverträge praktisch „nachwirken“.
1 BT-Drucks. 16/13219, S. 19.
Kamlah 665
BDSG § 28a
Datenverarbeitung nicht-öffentlicher Stellen
76 Die Nachberichtspflicht nach Abs. 3 Satz 1 besteht innerhalb von einem Monat nach Kenntniserlangung. Damit soll sichergestellt werden, dass die Aktualisierung schnell in den Datenbestand der Auskunftei übernommen wird. Diese Frist ermöglicht es, dass monatlich Bestandsaktualisierungen, ggf. im Wege der Stapelverarbeitung vorgenommen werden können. 77 Nach Abs. 3 Satz 2 hat die Auskunftei eine Unterrichtungspflicht. Sie hat die übermittelnde Stelle über die Löschung der ursprünglich übermittelten Daten zu unterrichten. Eine Frist hat der Gesetzgeber nicht vorgesehen, doch dürfte wie bei Satz 1 die Monatsfrist angemessen sein. 78 Die Nachberichtspflicht kann nur solange bestehen, wie die ursprünglich übermittelten Daten bei der Auskunftei gespeichert sind1. Die Unterrichtungspflicht nach Satz 2 soll sicherstellen, dass die berichtspflichtige Stelle Kenntnis darüber hat, ob die zeitlichen Voraussetzungen der Nachberichtspflicht noch vorliegen2. Damit soll sichergestellt werden, dass nicht bereits von der Auskunftei gelöschte Daten seitens der übermittelnden Stelle als Korrekturen gemeldet werden und so die Forderungsdaten bei der Auskunftei wieder aufleben. Dies kann beispielsweise dann erforderlich werden, wenn die Auskunftei im Anschluss an eine Beschwerde des Betroffenen Daten löscht, ohne dass die übermittelnde Stelle vorher hierüber Kenntnis hatte. 79 Aus dem Sinn und Zweck der Vorschrift, Korrekturen zu schon gelöschten Einträgen zu verhindern, kann abgeleitet werden, dass eine Löschungsmitteilung der Auskunftei an die ursprünglich übermittelnde Stelle dann nicht besteht, wenn die ursprünglich übermittelnde Stelle bereits Kenntnis von der Löschung durch die Auskunftei hatte oder im Rahmen der (letztmaligen) Übermittlung deutlich gemacht hat, dass sie keine weiteren Korrekturen mehr vornehmen wird, weil sie das Vertragsverhältnis zur Auskunftei beendet hat. Dementsprechend muss eine von der übermittelten Stelle veranlasste Löschung durch die Auskunftei auch nicht „quittiert“ werden3. IV. Verhältnis zu anderen Normen 80 Bei den Datenübermittlungen an Auskunfteien spielt insbesondere das Verhältnis von Datenschutz und Bankgeheimnis eine zentrale Rolle. 1 Gola/Schomerus, § 28a BDSG Rz. 4 und 19. 2 BT-Drucks. 16/13219, S. 19. 3 Simitis/Ehmann, § 28a BDSG Rz. 8 und 107 f.
666 Kamlah
Datenübermittlung an Auskunfteien
§ 28a BDSG
Auch wenn die Kreditwirtschaft trotz der Ermächtigungsgrundlage nach § 28a Abs. 2 zur Befreiung des Bankgeheimnisses an der Einwilligungslösung festhalten möchte, hat die Rechtsprechung immer wieder die Datenübermittlung von Daten über offene Forderungen an Auskunfteien auch bei Fehlen einer Einwilligung für zulässig erachtet1. Hintergrund für diese Rechtsprechung ist der Gedanke des rechtsmissbräuchlichen Verhaltens: hat sich ein Bankkunde vertragswidrig gegenüber dem Kreditinstitut verhalten, handelt der Bankkunde rechtsmissbräuchlich, wenn er von dem Kreditinstitut verlangt, dass dieses trotz dieses Verhaltens keine Daten an die Auskunftei weitergibt2. Daher kann selbst bei Einsatz aber Unwirksamkeit einer Einwilligung die Datenübermittlung aufgrund einer Interessenabwägung zulässig sein3. V. Rechtsfolgen bei Verstoß Ein Verstoß gegen die Vorschriften des § 28a kann sowohl zivilrecht- 81 liche Folgen (wie einen Schadensersatzanspruch nach § 7) oder verwaltungsrechtliche Folgen (wie ein Eingreifen der Aufsichtsbehörde nach § 38) auslösen. Eine nach § 28a unzulässige Datenübermittlung kann eine Ordnungswidrigkeit (insbesondere nach § 43 Abs. 2 Nr. 1 oder Nr. 4) sein, oder bei Hinzutreten weiterer Umstände eine Straftat nach § 44 darstellen. Der Verstoß gegen Abs. 2 Satz 2 ist deshalb nicht bußgeldbewehrt, da die auf die unterlassene Unterrichtung folgende rechtswidrige Übermittlung sanktioniert ist.
82
Ein Verstoß gegen die Nachberichtspflichten ist nur im Fall des Abs. 3 83 Satz 1 eine Ordnungswidrigkeit (§ 43 Abs. 1 Nr. 4a). Die fehlende Unterrichtung durch eine Auskunftei nach Abs. 2 Satz 2 löst kein Ordnungswidrigkeitenverfahren aus. Wegen der Bußgeldbewehrung für Abs. 3 Satz 1 wird die Praxis vermutlich unabhängig von der Wesentlichkeit der Veränderung monatliche Aktualisierungsläufe vornehmen, falls sich in der Aufsichtspraxis nicht etwaige Wesentlichkeitsgrenzen herausbilden.
1 Diese zusammenfassend Kamlah/Hoke, RDV 2007, 242 (243 f.); s. auch Freise, ITRB 2012, 54 im Anschluss an KG Berlin v. 23.8.2011 – 4 W 43/11. 2 LG Düsseldorf v. 26.10.2010 – 7 O 469/09, MMR 2011, 415. 3 OLG Frankfurt a.M. v. 13.7.2010 – 19 W 33/10, ITRB 2010, 425 (zusammengefasst von Hornung); MMR 2010, 792; s. auch Moos, K&R, 2011, 145 (152).
Kamlah 667
BDSG § 28b
Datenverarbeitung nicht-öffentlicher Stellen
Scoring
28b
Zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn 1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind, 2. im Fall der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen für eine Übermittlung der genutzten Daten nach § 29 und in allen anderen Fällen die Voraussetzungen einer zulässigen Nutzung der Daten nach § 28 vorliegen, 3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden, 4. im Fall der Nutzung von Anschriftendaten der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren. I. Einführung . . . . . . . . . . . . . . . .
1
II. Anwendungsbereich . . . . . . . . 4 1. Begriff . . . . . . . . . . . . . . . . . . . . 6 2. Entscheidung im Rahmen eines Vertragsverhältnisses . . . . 8 3. Vertragsverhältnis mit dem Betroffenen . . . . . . . . . . . . . . . . 14 4. Prognose zukünftigen Verhaltens . . . . . . . . . . . . . . . . 15 III. Zulässigkeitsvoraussetzungen . . . . . . . . . . . . . . . . . 20 1. Wissenschaftlichkeit des Verfahrens (2. Halbs. Nr. 1) . . . . . 21
2. Zulässigkeit der verarbeiteten und genutzten Daten (2. Halbs. Nr. 2) . . . . . . . . . . . . 24 3. Anschriftendaten (2. Halbs. Nr. 3 und 4) . . . . . . . . . . . . . . . . 31 IV. Normadressat . . . . . . . . . . . . . . 40 V. Verhältnis zu anderen Normen . . . . . . . . . . . . . . . . . . . 41 VI. Rechtsfolgen/Sanktionen . . . . 43
Schrifttum: S. §§ 6a, 28a und § 34; ferner Heinson/Schmidt, IT-gestützte Compliance-Systeme und Datenschutzrecht, CR, 2010, 540; Kahler, Unisextarife im Versicherungswesen – Grundrechtsprüfung durch den EuGH, NJW 2011, 894.
668 Kamlah
Scoring
§ 28b BDSG
I. Einführung Die Vorschrift wurde durch das Gesetz zur Änderung des Bundesdaten- 1 schutzgesetzes vom 29.7.2009 (sog. Novelle I) mit Wirkung zum 1.4.2010 in das BDSG mit aufgenommen1. Neben der Absicht, mehr Rechtssicherheit bei Auskunfteien zu schaffen2, ging es dem Gesetzgeber insbesondere darum, das sog. Kreditscoring zu regeln3, welches von den Datenschutzaufsichtsbehörden in deren Tätigkeitsberichten immer wieder kritisch begleitet wurde und Gegenstand mehrerer Studien war (s. zur Entstehungsgeschichte auch § 28a)4. Mit der Schaffung des § 28b hat der Gesetzgeber die Zulässigkeit von Scoringverfahren5 grundsätzlich anerkannt6. Das Gesetz definiert den Begriff des Wahrscheinlichkeitswerts nicht näher. Aus der Überschrift des § 28b und der Gesetzesbegründung wird jedoch deutlich, dass Scorewerte bzw. Scoreverfahren aller Art, unabhängig von ihrer Bezeichnung als Ratingverfahren, Indizes o.ä., gemeint sind7.
2
Die Einsatzgebiete von Scoreverfahren sind vielfältig. Allerdings fallen nicht alle unter den Anwendungsbereich der Norm.
3
II. Anwendungsbereich Durch seine Stellung im Gesetz gilt § 28b nur für den nicht-öffentlichen Bereich (s. hierzu § 28a). In Anknüpfung an § 27 sind dagegen rein manuelle und nicht dateigebundene Verfahren nicht vom § 28b erfasst8. Ob man diese Verfahren dann „Scoring“ nennen kann, ist insoweit unerheblich, da diese Verfahren sich nicht an § 28b messen müssen und somit zulässig bleiben9. Da § 28b gleichzeitig Anknüpfungsnorm für die 1 2 3 4 5 6 7 8 9
BGBl. I, S. 2254. S. die BT-Drucks. 16/13219, 16/10581 und 16/10529. BT-Drucks. 16/10529, S. 1. Zusammenfassend aus seiner Sicht Däubler/Klebe/Wedde/Weichert/Weichert, § 28b BDSG Rz. 1. Eingehend zur Bonitätsbeurteilung mittels DV-gestützter Verfahren, Braunfelds/Richter, CR 1996, 775. So auch in Simitis/Ehmann, § 28b BDSG Rz. 11. Zu „Wahrscheinlichkeitsaussagen“ auch Däubler/Klebe/Wedde/Weichert/ Weichert, § 3 BDSG Rz. 18. Gola/Schomerus, § 28b BDSG Rz. 5. Vgl. auch Simitis/Ehmann, § 28b BDSG Rz. 54 ff.; Gürtler/Kriese, RDV 2010, 47 (49).
Kamlah 669
4
BDSG § 28b
Datenverarbeitung nicht-öffentlicher Stellen
neu geschaffenen Auskunftsansprüche des § 34 Abs. 2 bis 4 ist, entfaltet der Anwendungsbereich des § 28b auch bei der Reichweite der Transparenz praktische Relevanz. 5 Der Definition des Anwendungsbereichs kommt entscheidende Bedeutung zu. Dabei ist § 28b so gefasst, dass er nicht alle Scoreverfahren regelt, sondern nur die, welche die tatbestandlichen Voraussetzungen des § 28b Halbs. 1 erfüllen. Nur wenn diese Voraussetzungen erfüllt sind, greifen die Zulässigkeitsanforderungen der Nummern 1 bis 4 in § 28b Halbs. 2. Für alle anderen Scoreverfahren gelten die Nummern 1 bis 4 des § 28b Halbs. 2 nicht. 1. Begriff 6 § 28b ist überschrieben mit „Scoring“, ohne den Begriff an irgendeiner Stelle ins Deutsche zu übersetzen oder ihn im Gesetz selbst zu definieren. Die Gesetzesbegründung spricht vielmehr von „Scoreverfahren“. Danach handelt es sich bei Scoreverfahren um mathematisch-statistische Verfahren, mit denen die Wahrscheinlichkeit, mit der eine bestimmte Person ein bestimmtes Verhalten zeigen wird, berechnet werden kann1. Das Gesetz selbst wiederum spricht im Folgenden dann von „Wahrscheinlichkeitswerten“. Dabei handelt es sich nach der Definition der Gesetzesbegründung um Werte, die auf Basis eben dieser Scoreverfahren berechnet werden2. Davon zu trennen sind Bestandteile von Wahrscheinlichkeitswerten. Diese sind aber wegen der nach § 34 Abs. 2 Satz 3 Nr. 2 bestehenden grundsätzlichen Transparenzpflicht wohl auch an § 28b zu messen. Anders verhält es sich dagegen bei sog. Zwischenrechnungen, die für sich genommen gerade keinen (abgeschlossenen) Wahrscheinlichkeits(teil)wert, sondern nur ein Zwischenergebnis darstellen, welches lediglich als Variable oder Datenart in den (Gesamt) wahrscheinlichkeitswert eingeht und deswegen für sich genommen aus dem Anwendungsbereich des § 28b und dementsprechend auch dem des § 34 herausfällt. Eng verknüpft mit dem Begriff des „Wahrscheinlichkeitswertes“ ist seine Eignung, eine Prognose über ein zukünftiges Verhalten des Betroffenen abzugeben. Dieses ist aber bei reinen vergangenheitsbezogenen Schätzverfahren – auch wenn sie auf dokumentierten Erfahrungssätzen (z.B. Punkteliste in einer Exceltabelle) beruhen – ebenfalls nicht der Fall (zu Schätzdaten s. auch § 35 Abs. 1, Satz 2). 1 BT-Drucks. 16/10529, S. 1. 2 Eingehend zur Begrifflichkeit Simitis/Ehmann, § 28b BDSG Rz. 20 ff., zu Scoreverfahren aus fachlicher Sicht ders. a.a.O. Rz. 27 ff.
670 Kamlah
Scoring
§ 28b BDSG
Wie solche Wahrscheinlichkeitswerte ausgedrückt werden, ist unerheb- 7 lich. Entscheidend ist der Charakter als Wahrscheinlichkeitswert. Daher können auch sog. Bonitätsindizes Wahrscheinlichkeitswerte darstellen. Bonitätsindizes wiederum sind keine Tatsachenbehauptungen, sondern Werturteile. Beruhen Bonitätsindizes auf wahren Tatsachen, sind diese in aller Regel nicht zu beanstanden1. 2. Entscheidung im Rahmen eines Vertragsverhältnisses Die strengen Voraussetzungen des § 28b gelten nur in den Fällen, in denen das Scoring unmittelbar zu einer Entscheidung über die Begründung, Durchführung oder Beendigung eines konkreten Vertragsverhältnisses mit dem Betroffenen (s.a. die Formulierung des § 28a Abs. 2 Satz 1) führen soll und es auch nur genau zu diesem Zwecke erfolgt.
8
Das bedeutet, dass Scoreverfahren bzw. Scorewerte, die nicht im Rah- 9 men von Entscheidungen über die Begründung, Durchführung oder Beendigung eines konkreten Vertragsverhältnisses mit dem Betroffenen verwendet werden, nicht unter den Anwendungsbereich des § 28b fallen. Dies ist beispielsweise bei Scoringverfahren im Rahmen der Werbung denkbar, da diese nicht unmittelbar im Zusammenhang mit der Begründung, Durchführung oder Beendigung eines konkreten Vertragsverhältnisses im Zusammenhang stehen, sondern dem eigentlich Angebot zum unmittelbaren Abschluss eines Vertrages vorgelagert sind2. Dies gilt entsprechend für alle Fallgestaltungen, bei denen aufgrund der ermittelten Scorewerte nicht unmittelbar über einen Vertrag entschieden wird, wie beispielsweise auch bei (Vor-)Auswahlentscheidungen im Bereich der Mitarbeitergewinnung (s. auch § 6a)3. Dementsprechend findet § 28b nicht nur dann keine Anwendung, wenn der Betroffene auf Basis von Scoreverfahren in bestimmter Weise beworben wird, sondern auch dann nicht, wenn ihm im Anschluss an ein Scoring ein Angebot oder eine Vertragsverlängerung (zu geänderten – ggf. verbesserten – Konditionen) unterbreitet wurde4, denn in diesen Fällen hängt ja die Entscheidung über die Begründung des Vertragsverhältnisses nicht vom Scoreanwender, sondern vom Betroffenen ab. So ist der Anwendungs-
1 BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204. 2 Simitis/Ehmann, § 28b BDSG Rz. 45; Gola/Schomerus, § 28b BDSG Rz. 8 auch für den Fall der Pflege bestehender Kundenbeziehungen. 3 Vgl. Gola/Schomerus, § 28b BDSG Rz. 7. 4 A.A. Däubler/Klebe/Wedde/Weichert/Weichert, § 28b BDSG Rz. 2; offenbar auch Gola/Schomerus, § 28b BDSG Rz. 9.
Kamlah 671
BDSG § 28b
Datenverarbeitung nicht-öffentlicher Stellen
bereich des § 28b erst recht nicht eröffnet, wenn (erst) gar kein Vertragsverhältnis begründet werden soll1. 10 Vom Anwendungsbereich der Vorschrift werden auch Scoreverfahren erfasst, die zum Zwecke der Entscheidung über die Durchführung eines Vertragsverhältnisses erhoben oder verwendet werden. Die wichtigsten Fallgruppen hierfür sind das Scoring zum Zwecke der Erhöhung einer Kreditlinie oder der (weiteren) Hereinnahme von Sicherheiten. 11 Entsprechendes gilt, wenn sich aufgrund eines während der Laufzeit des Vertrages durchgeführten Scorings die Konditionen ändern. Erfasst werden aber möglicherweise auch scoregestützte Entscheidungen während der Laufzeit des Vertrages, wie z.B. die Ermittlung des Grades eines bestimmten Service Levels, mit dem der Betroffene bedient wird, wie dies durch entsprechende Verfahren z.B. in Call-Centern der Fall sein kann. Reine Potenzialanalysen im Rahmen des Beschäftigtenverhältnisses dürften zumindest dann, wenn ihnen keine Entscheidung folgt, dagegen nicht unter den Anwendungsbereich des § 28b fallen2. 12 Maßnahmen zum Zwecke der Rechtsverfolgung fallen auch dann nicht unter den Anwendungsbereich des § 28b, wenn dessen Erfolgsaussichten mittels Scoreverfahren vorher geprüft werden. Dementsprechend ist die Ermittlung der Beitreibungswahrscheinlichkeit (durch ein Inkassounternehmen) kein Anwendungsfall des § 28b, sofern damit nicht gleichzeitig beispielsweise eine Vertragskündigung einhergeht3. Bei der Ermittlung von Beitreibungswahrscheinlichkeiten geht es auch nicht um eine Ermittlung oder Steuerung gegenseitiger Leistungspflichten im Rahmen der Durchführung eines Vertrages, da der Schuldner ja bereits ausgefallen ist und nur die Erfolgsaussichten von Inkassomaßnahmen ermittelt werden sollen. 13 Die Verwendung von Scores i.S.d. Vorschrift im Falle der Beendigung ist beispielsweise denkbar, wenn aufgrund einer sich verschlechternden Vermögenslage (was durch einen entsprechenden Score zum Ausdruck gebracht wird) ggf. fristlos gekündigt werden soll (s. hierzu § 28a).
1 Vgl. Simitis/Ehmann, § 28b BDSG Rz. 44. 2 Gola/Schomerus, § 28b BDSG Rz. 7. 3 Im Zusammenhang mit Inkasso-Scores verkennen Gola/Schomerus, § 28b BDSG Rz. 10, dass diese in aller Regel nicht dazu dienen, eine Entscheidung über die Vertragsbeendigung zu begründen.
672 Kamlah
Scoring
§ 28b BDSG
3. Vertragsverhältnis mit dem Betroffenen Unter den Anwendungsbereich fallen nur Scoreverfahren im Bezug auf 14 den einzelnen Betroffenen, d.h. das Vertragsverhältnis, um dessen Begründung, Durchführung oder Beendigung es geht, muss sich auf den Betroffenen beziehen. Damit sind tatbestandlich beispielsweise auch solche Scoreverfahren vom Anwendungsbereich des § 28b ausgenommen, die der Bewertung eines Forderungsportfolios oder der gegen den Betroffenen selbst bestehenden Forderung im Rahmen eines Forderungskaufs dienen, da es hier nicht um den Vertrag mit dem Betroffenen, sondern um einen zwischen Forderungskäufer und -verkäufer geht. 4. Prognose zukünftigen Verhaltens Der Wahrscheinlichkeitswert muss sich auf ein bestimmtes zukünfti- 15 ges Verhalten des Betroffenen beziehen. Dagegen fallen retrospektive Leistungs- und Verhaltensanalysen nicht unter § 28b1. Nach der Gesetzesbegründung setzt die Norm ein selbstbestimmtes Handeln des Betroffenen voraus, so dass Ereignisse, die auf höhere Gewalt oder Fremdeinwirkung beruhen, ausscheiden sollen (z.B. Blitzschlag, Diebstahl oder Erkrankung). Deswegen sollen die – scoringgestützten – Verfahren zur Tarifierung etwa von Lebens- oder Krankenversicherungen oder Versicherungen gegen Kfz-Diebstahl kein Scoring i.S.d. § 28b darstellen2. Die vom Gesetzgeber in der Begründung vorgenommene Abgrenzung 16 führt jedoch zu Auslegungsschwierigkeiten und Wertungswidersprüchen, da beispielsweise auch die Zahlungsunfähigkeit nicht immer selbstbestimmt ist, etwa weil dem Betroffenen wegen unverschuldeter Erkrankung oder Arbeitslosigkeit nur noch verminderte oder gar keine Einnahmen mehr zur Verfügung stehen. Wegen der durch die Gesetzesbegründung ausdrücklich erfolgten Privilegierung von Tarifierungsverfahren sind gleichwohl offenbar auch solche Verfahren vom Anwendungsbereich des § 28b ausgenommen, in denen die (durch Scoreverfahren ermittelte) Bonität des Betroffenen zumindest Teilbestandteil der Tarifierung ist. Geldwäsche- und Betrugspräventionssysteme sind nach dem Willen des 17 Gesetzgebers – auch wenn sie zur Erkennung von Verhaltensmustern oder Plausibilitäten auf Scoreverfahren beruhen – ebenfalls vom Anwen1 Gola/Schomerus, § 28b BDSG Rz. 6. 2 S. BT-Drucks. 16/10529, S. 16; Däubler/Klebe/Wedde/Weichert/Weichert, § 28 BDSG Rz. 4.
Kamlah 673
BDSG § 28b
Datenverarbeitung nicht-öffentlicher Stellen
dungsbereich des § 28b ausgenommen, da ausweislich der Gesetzesbegründung die Regelungen des KWG, insbesondere die über die Ausgestaltung der internen Risikomessverfahren unberührt bleiben1. 18 Im Bereich des Arbeitnehmerdatenschutzes stellt sich die Frage, ob scoringgestützte Auswahlentscheidungen unter den Anwendungsbereich des § 28b fallen, weil diese nicht die Prognose eines zukünftigen Verhaltens im Blick haben (zur Frage, ob eine Auswahlentscheidung in unmittelbarem Zusammenhang mit der Begründung eines Vertragsverhältnisses steht, s.o. Rz. 9). Gegen die Anwendbarkeit des § 28b spricht, dass bei Auswahlentscheidungen die aufgrund des in der Vergangenheit erfolgten Verhaltens erworbenen Kenntnisse und Fähigkeiten evaluiert werden sollen und weniger ein zukünftiges Verhalten prognostiziert werden soll2. 19 Schließlich muss der Wahrscheinlichkeitswert für die genannten Zwecke erhoben oder verwendet werden. Während sich der Begriff der Erhebung aus § 3 Abs. 3 ergibt, ist der Begriff der Verwendung nicht definiert. Es ist jedoch davon auszugehen, dass damit der Oberbegriff zur Nutzung, Speicherung, Verarbeitung oder Übermittlung zu verstehen ist3. III. Zulässigkeitsvoraussetzungen 20 Nach § 28b darf zum Zwecke der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn die in Nr. 1 bis 4 genannten Voraussetzungen kumulativ erfüllt sind. 1. Wissenschaftlichkeit des Verfahrens (2. Halbs. Nr. 1) 21 Nach § 28b Nr. 1 müssen die zur Berechnung des Wahrscheinlichkeitswertes genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für 1 S. BT-Drucks. 16/10529, S. 16; vgl. auch Simitis/Ehmann, § 28b BDSG Rz. 41 ff., der ebenfalls zum Ergebnis kommt, dass nicht alle Aktivitäten von § 28b erfasst sind; Gürtler/Kriese, RDV 2010, 47 (48 und 50); a.A. undifferenziert Däubler/Klebe/Wedde/Weichert/Weichert, § 28b BDSG Rz. 3; zu IT-gestützten Compliance-Systemen, Heinson/Schmidt, CR 2010, 540 (zu Fraud Detection, S. 542 f.). 2 A.A. offenbar Simitis/Ehmann, § 28b BDSG Rz. 7. 3 Helfrich, S. 181 unter Bezug auf BT.-Drucks. 16/10529, 16.
674 Kamlah
Scoring
§ 28b BDSG
die Berechnung der Wahrscheinlichkeit eines bestimmten Verhaltens erheblich sein1. Die Anforderung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens soll der Qualitätssicherung von Scoringverfahren dienen. Erfasst werden von dieser Regelung alle bei Durchführung von Scoringverfahren verwendeten Daten2. Welches wissenschaftliche Verfahren zugrunde gelegt wurde, ist unerheblich3. Für die Berechnung des Wahrscheinlichkeitswertes müssen die ver- 22 wendeten Daten unter Zugrundelegung des Verfahrens nachweisbar erheblich sein. Für die Berechtigung zur Nutzung bestimmter Daten (teilweise auch Parameter genannt) kommt es ausschließlich auf deren mathematisch-statistisch ermittelte Erheblichkeit an. Es soll vermieden werden, dass vermeintlich subjektiv motivierte oder gar willkürlich ausgewählte Daten bei der Berechnung von Scorewerten eine Rolle spielen. Entscheidend ist am Ende, ob der wissenschaftliche Nachweis der Erheblichkeit gelingt. Aus dem Kriterium der Nachweisbarkeit ist eine Pflicht abzuleiten, die 23 im Scoreverfahren verwendeten Daten regelmäßig einer Überprüfung zu unterziehen, um ggf. das entsprechende Prüfungsergebnis der Aufsichtsbehörde vorlegen zu können, damit auch sie die Erheblichkeit und die Wissenschaftlichkeit nachvollziehen kann4. So werden teilweise die statistischen Landesämter herangezogen, um mit deren Expertise die Qualität der seitens der verantwortlichen Stelle vorgelegten Gutachten zu überprüfen5. 2. Zulässigkeit der verarbeiteten und genutzten Daten (2. Halbs. Nr. 2) Zusätzlich (die Nr. 1 bis 4 in § 28b sind kumulativ zu erfüllen) müssen nach Nr. 2 im Falle der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen für eine Übermittlung der genutzten Daten nach § 29 und in allen anderen Fällen die einer zulässigen Nutzung der Daten nach § 28 vorliegen. 1 2 3 4
S. hierzu auch die ähnliche Formulierung in § 10 KWG Abs. 1 Satz 3 und 5. S. BT-Drucks. 16/10529, S. 16. Gürtler/Kriese, RDV 2010, 47 S. 48. S. BT-Drucks. 16/10529, S. 16; Gola/Schomerus, § 28b BDSG Rz. 11 weisen zurecht darauf hin, dass die der Aufsichtsbehörde ggf. überlassenen Unterlagen mit Blick auf die Informationsfreiheitsgesetze als Betriebs- und Geschäftsgeheimnisse zu kennzeichnen sind. 5 Zum Scoring-Verfahren der SCHUFA, S. 17. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht-öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, Lt.-Drucks. 16/3650, S. 11.
Kamlah 675
24
BDSG § 28b
Datenverarbeitung nicht-öffentlicher Stellen
25 Mit seinem Verweis auf die §§ 28 und 29 will § 28b Nr. 2 klarstellen, dass im Rahmen der Scoreberechnung keine Daten verwendet werden, die nicht nach den gesetzlichen Bestimmungen hätten übermittelt bzw. genutzt werden dürfen1. Auffällig ist, dass in § 28b nicht auf § 32 verwiesen wird. Dies mag an den sich zeitlich überschneidenden BDSGNovellen und der relativ späten Integration des § 32 in die BDSG-Novelle II2 liegen, kann aber auch bedeuten, dass im Anwendungsbereich des § 28b (außerhalb des § 28b bleiben dagegen Anwendungsbereiche denkbar, s.o. Rz. 9 und 18) kein Mitarbeiterscoring stattfinden soll3. Zu beachten ist allerdings, dass ausweislich der Gesetzesmaterialen das sog. Kreditscoring ganz im Fokus der Schaffung des § 28b stand. 26 Mit dem Bezug auf die §§ 28 und 29 ist ferner klargestellt, dass Wahrscheinlichkeitswerte auch auf Basis von Daten ermittelt werden können, die allgemein zugänglichen Quellen und damit auch dem Internet entstammen. Allerdings sind insbesondere bei den aus dem Internet entnommenen Daten besondere Sorgfaltpflichten zu beachten4. 27 Hinsichtlich sog. AGG-Daten bestehen jenseits des § 3 Abs. 9 grundsätzlich keine gesonderten Beschränkungen. Dies gilt insbesondere dort, wo gerade wegen der erforderlichen und zulässigen Bonitätsprüfung das beabsichtigte Geschäft nicht ohne Ansehen der Person und zu vergleichbaren Bedingungen erfolgt und deswegen gerade kein Massengeschäft i.S.v. § 19 Abs. 1 Nr. 1 AGG ist5. 28 Eine Befugnis kann jedenfalls die wirksame Einwilligung des Betroffenen sein6, da § 28b nicht „nur“ auf die §§ 28 und 29 verweist. Ein Ausschluss der Einwilligung würde überdies verfassungs- und europarechtlichen Bedenken unterliegen (vgl. schon zu § 28a Abs. 2). Die Einwilligung kann beispielsweise dann praktische Bedeutung erhalten, wenn der Betroffene durch Eigenangaben die Datenbasis zur Berechnung des Scorewertes beeinflussen will, diese Daten aber nicht nach §§ 28 bzw. 29 hätten übermittelt bzw. genutzt werden dürfen (etwa zusätzliche Kategorien von 1 Undeutlich bei seiner Beschreibung des Verhältnisses von § 28b zu § 29 Helfrich, S. 197 ff. 2 BGBl. I, S. 2814. 3 In diesem Sinne Simitis/Ehmann, § 28b BDSG Rz. 2 ff. 4 Einzelheiten s. Helfrich, S. 205 ff., 212 ff. 5 Enger Helfrich, S. 130 ff., 209, 253, der verkennt, dass jedweder Kreditvertrag eine individuelle Risikoprüfung erforderlich macht; das Urteil des EuGH v. 1.3.2011 – Rs. C 236/09 (Unisextarife) bespricht Kahler, NJW 2011, 894. 6 S. hierzu auch Däubler/Klebe/Wedde/Weichert/Weichert, § 28b BDSG Rz. 10, der offensichtlich eine Einwilligung auch nicht völlig ausschließt.
676 Kamlah
Scoring
§ 28b BDSG
Positivdaten, wie Einkommens- oder Vermögensverhältnisse etc, hierzu auch § 28a). Bei der Auslegung, welche Daten nach den §§ 28 und 29 in diesem Rahmen verarbeitet und genutzt werden können, ist bei der durchzuführenden Interessenabwägung zu berücksichtigen, dass der Gesetzgeber die Nutzung von Anschriftendaten ausdrücklich zugelassen hat (§ 28b Nr. 3 und 4). So wird man an die Übermittlungs- und Nutzungsbefugnis objektiver, direkt auf einem Verhalten des Betroffenen beruhender Daten keine höheren Anforderung stellen können als bei der Nutzung von Anschriftendaten. Ferner sind nicht nur im Anwendungsbereich des § 10 KWG die dort in 29 Abs. 1 Satz 6 getroffenen Wertungen hinsichtlich der Frage zu berücksichtigen, welche Datenkategorien bei der Ermittlung von Wahrscheinlichkeitswerten zugrunde gelegt werden können1. Nach § 10 KWG Abs. 1 Satz 7 können diese Daten auch von Dritten erhoben werden. Wenn eine Auskunftei die Berechnung des Wahrscheinlichkeitswertes 30 durchführt, dann ist sie auch für die Berechnung und das Ergebnis datenschutzrechtlich die verantwortliche Stelle. Das ist jedoch nicht der Fall, wenn die Berechnung von Wahrscheinlichkeitswerten von der Auskunftei lediglich im Auftrag erfolgt. In diesen Fällen ähnelt die Tätigkeit der Auskunftei eher derjenigen eines IT-Dienstleisters, der weisungsgebunden die vom Auftraggeber entwickelten oder ausgewählten Scoreverfahren oder von diesen vorgegebenen Formeln verwendet. Wenn ausschließlich Daten des Auftraggebers zugrunde gelegt werden, erfolgt keine Datenübermittlung zwischen Auskunftei und Auftraggeber. Bei in der Praxis häufig vorkommenden Mischformen, d.h. bei Zugrundelegung von Daten sowohl der Auskunftei als auch der entscheidenden Stelle, ist dagegen für die seitens der Auskunftei beigesteuerten Daten § 29 anwendbar. Durch den Verweis auf § 29 in § 28b Nr. 2 sind auch die neuen Vorschriften des § 28a miteinbezogen. 3. Anschriftendaten (2. Halbs. Nr. 3 und 4) Nach Nr. 3 darf die Berechnung des Wahrscheinlichkeitswertes nicht 31 ausschließlich auf Anschriftendaten basieren. Der Gesetzgeber hat den Begriff der Anschriftendaten nicht näher definiert. Die Gesetzesbegründung verweist insoweit nur auf die in der Öffentlichkeit diskutierte Bedeutung von Anschriftendaten2. Diese Diskussion machte sich in erster 1 Einzelheiten s. Taeger/Gabel/Mackenthun, § 28b BDSG Rz. 34 ff.; Helfrich, S. 57 ff. 2 S. BT-Drucks. 16/10529, S. 16 und 16/13219, S. 9.
Kamlah 677
BDSG § 28b
Datenverarbeitung nicht-öffentlicher Stellen
Linie an sog. georeferenzierten Daten fest. Dabei geht es um Daten, die an die Anschrift (zum Begriff der Anschrift s. auch § 28 Abs. 3) anknüpfen, die Anschrift aber lediglich eingrenzt, welche Daten in einem bestimmten Umfeld dieser Anschrift signifikant sind. Das können alle Arten von Daten sein, wie beispielsweise Hochhausdichte, Gartengrundstücke, Einfamilienhäuser, Dichte einer bestimmten Kfz-Klasse, Bahnhofsnähe, ggf. aber auch Dichte der im Umfeld lebenden Personen, die im Schuldnerverzeichnis der Amtsgerichte eingetragen sind. Gemeint sind mithin Umfelddaten, die außer der Tatsache, dass der Betroffene unter der das Umfeld definierenden Anschrift wohnt1, nicht an ein Verhalten des Betroffenen anknüpfen und ihm deshalb nicht ausschließlich zur Berechnung eines Wahrscheinlichkeitswertes über sein eigenes zukünftiges Verhalten zugeordnet werden sollen2. 32 Eigenes Verhalten, wie etwa das Unterhalten mehrerer Wohnsitze oder häufige Umzüge3 sind dagegen keine Anschriftendaten in diesem Sinne. Das entspricht auch der Einordnung in Art. 3 Nr. 2 der RL 2007/2/EG (Inspire-RL), wonach Daten mit einem direkten oder indirekten Bezug zu einem bestimmten Standort oder geografischem Gebiet Geodaten sind. 33 Die Berechnung des Wahrscheinlichkeitswertes darf nicht ausschließlich auf Anschriftendaten gestützt werden. Gegen dieses Ausschließlichkeitsverbot wird entgegen dem Wortlaut der Vorschrift auch dann verstoßen, wenn das Verbot dadurch umgangen wird, dass zwar neben Anschriftendaten auch andere Daten genutzt werden, diese aber nur mit einer verschwindend geringen Gewichtung in die Berechnung des Scorewertes einfließen4. Damit müssen diese anderen Daten einen maßgeblichen Einfluss auf den berechneten Wahrscheinlichkeitswert haben. Anschriftendaten dürfen allenfalls ergänzend herangezogen werden. Nur so wird das gesetzgeberische Ziel, welches durch den Änderungsantrag des Innenausschusses noch einmal konkretisiert wurde5, erreicht, auf die entsprechend kritische öffentliche Diskussion hinsichtlich der Nutzung von Anschriftendaten in Scoreverfahren6 zu reagieren. 1 Vgl. Gürtler/Kriese, RDV 2010, 47, 50 f.; ähnlich Simitis/Ehmann, § 28b BDSG Rz. 63 ff. 2 Eingehend zu Scoringverfahren unter Einbeziehung von Geodaten Behm, RDV 2010, 61 ff. 3 Nach LG Hamburg v. 16.8.1996 – 317 S 354/95, NJW RR 1996, 1522 sind diese bonitätsrelevant. 4 BT-Drucks. 16/13219, S. 9. 5 Vgl. BT-Drucks. 16/13219, S. 7. 6 S. auch Däubler/Klebe/Wedde/Weichert/Weichert § 28b BDSG Rz. 11.
678 Kamlah
Scoring
§ 28b BDSG
Gleichwohl bleibt zu konstatieren, dass die (flankierende) Nutzung von Anschriftendaten ausdrücklich zugelassen wird. Allerdings wird die Nutzungsbefugnis an die Voraussetzung geknüpft, 34 dass der Betroffene vor der Berechnung über die vorgesehene Nutzung von Anschriftendaten zu unterrichten ist (§ 28b Nr. 4). Die Unterrichtung soll in der Praxis über allgemeine Geschäftsbedingungen erfolgen können1. Die Unterrichtungspflicht soll dem Betroffenen die Möglichkeit geben, ggf. vom Vertrag Abstand zu nehmen2. Dies setzt eine ausreichende Möglichkeit zur Kenntnisnahme der Unterrichtung und eine angemessene Frist zwischen Unterrichtung und Scoreberechnung voraus. Sofern also die Unterrichtung tatsächlich in den AGB erfolgt, müssen 35 diese dem Betroffenen vor Vertragsschluss zur Kenntnis gelangt sein. Eine Unterrichtung außerhalb von AGB ist möglich, wenn nicht daher sogar angezeigt, da AGB oft erst später bei Vertragsschluss einbezogen werden. Ein Formzwang besteht nicht. Daher kann die Unterrichtung auch per E-Mail erfolgen. Hinsichtlich der Unterrichtungstiefe enthält das Gesetz keine Angaben. Ausreichend erscheint aus dem Wortlaut heraus ein Hinweis, dass überhaupt Anschriftendaten genutzt werden. Welche dies im Einzelnen sein können, muss dagegen nicht aufgeführt werden. Eine Unterrichtung im Rahmen von Hinweisen nach § 13 TMG erscheint jedenfalls dann denkbar zu sein, wenn auf diese vor der Berechnung noch einmal gesondert verwiesen wird. Da damit die Unterrichtung durchaus kurz sein kann, gilt umso mehr, 36 sie deutlich erkennbar abzubilden. Anders als die Unterrichtung nach § 4 Abs. 3 (s. § 4) ist die Unterrichtungspflicht nach § 28b Nr. 4 wohl zulässigkeitsbegründend, so dass eine fehlende oder nicht deutliche Unterrichtung die sich anschließende Scoreberechnung unzulässig macht. Eine entsprechende Unterrichtung könnte beispielsweise folgenden Wortlaut haben:
37
„Wir weisen darauf hin, dass wir zum Zwecke der Entscheidung über die Begründung, Durchführung oder Beendigung dieses Vertragsverhältnisses im Rahmen der Risikosteuerung Wahrscheinlichkeitswerte für Ihr zukünftiges Verhalten erheben oder verwenden und zur Berechnung dieser Wahrscheinlichkeitswerte auch Anschriftendaten genutzt werden.“
Die Unterrichtung ist zu dokumentieren. Diese Verpflichtung dürfte durch die Aufnahme in die Antragsunterlagen, die beiden Vertragspar1 BT-Drucks. 16/10529, S. 16. 2 Gegenäußerung der Bundesregierung zu Nr. 7, Buchst. C.
Kamlah 679
38
BDSG § 28b
Datenverarbeitung nicht-öffentlicher Stellen
teien zur Verfügung stehen, erfüllt sein. Einen eigenen Anwendungsbereich hat diese Verpflichtung dann, wenn die Unterrichtung außerhalb der Vertragsunterlagen (insbesondere mündlich) erfolgt. 39 Die Unterrichtungs- bzw. Dokumentationspflicht trifft nur die entscheidende Stelle als verantwortliche Stelle, nicht jedoch die Auskunfteien, die ja keinen Betroffenenkontakt haben. IV. Normadressat 40 Aus dem Vorstehenden und aus der Stellung im Gesetz ergibt sich, dass Normadressat der Vorschrift zunächst die „entscheidende Stelle“ ist. Nur diese erhebt oder verwendet (nutzt) Wahrscheinlichkeitswerte für eine Entscheidung. Gleichwohl entsteht ein faktischer Zwang für den „Scorelieferanten“ – der eine Auskunftei sein kann, aber nicht zwingend sein muss – die gesetzlichen Auflagen einzuhalten, die für die „entscheidende Stelle“ gelten. V. Verhältnis zu anderen Normen 41 Unabhängig von der Anwendbarkeit des § 28b auf das entsprechende Scoreverfahren bleibt die Prüfung des Anwendungsbereichs des § 6a unberührt, der durch seine Stellung im allgemeinen Teil des BDSG auch für den öffentlichen Bereich gilt. Daneben gilt auch § 29 Abs. 7, da ein Score auch Ergebnis einer Datenbankabfrage sein kann1. 42 Im Bereich des KWG regeln § 25a KWG und die daran anknüpfenden MaRisk besondere Pflichten zur Risikovorsorge2. Hieraus ergibt sich – wenn auch nicht unumstritten – eine Rechtfertigung auch zur Einrichtung und Unterhaltung von Scoreverfahren3. Die entsprechende Diskussion hat sich aber seit der Einführung des insoweit konkreteren § 10 KWG auf diese Norm verlagert. I.E. ist – entgegen kritischen Stimmen4 – auch bei parallelem Geltungsbereich von BDSG und KWG ein Durchschlagen der aufsichtsrechtlichen Normen auf die datenschutzrechtliche Zulässigkeit zu bejahen5. 1 Zum Verhältnis von § 28b zu § 29 insgesamt allerdings undeutlich Helfrich, S. 197 ff. 2 S. auch § 91 AktG Abs. 2 oder § 317 Abs. 4 HGB. 3 Taeger/Gabel/Mackenthun, § 28b BDSG Rz. 34 ff. 4 Für Simitis/Ehmann, § 28b BDSG Rz. 18 f. ist der Themenkreis ungelöst; Gürtler/Kriese, RDV 2010, 47, 49 betrachten § 10 KWG als lex specialis, ebenso wohl Helfrich, S. 58 ff., 59, zum Verhältnis KWG zu BDSG 88 ff. und 191 ff. 5 Zum Diskussionsstand Taeger/Gabel/Mackenthun, § 28b BDSG Rz. 34 ff.
680 Kamlah
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
VI. Rechtsfolgen/Sanktionen Ein Verstoß gegen § 28b insgesamt ist nicht bußgeldbewehrt. Über § 28b Nr. 2 ist allenfalls eine unbefugte Verarbeitung personenbezogener Daten sanktioniert. Der Schutz der Betroffenen wird ferner über § 43 Abs. 1 Nr. 8a–c sichergestellt (s. Rz. 36). Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung (1) 1Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel dient, ist zulässig, wenn 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat, 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt, oder 3. die Voraussetzungen des § 28a Abs. 1 oder Abs. 2 erfüllt sind; Daten im Sinne von § 28a Abs. 2 Satz 4 dürfen nicht erhoben oder gespeichert werden. 2§ 28 Absatz 1 Satz 2 und Absatz 3 bis 3b ist anzuwenden.
29
(2) 1Die Übermittlung im Rahmen der Zwecke nach Absatz 1 ist zulässig, wenn 1. der Dritte, dem die Daten übermittelt werden, ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat und 2. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. 2§ 28 Absatz 3 bis 3b gilt entsprechend. 3Bei der Übermittlung nach Satz 1 Nr. 1 sind die Gründe für das Vorliegen eines berechtigten Interesses und die Art und Weise ihrer glaubhaften Darlegung von der übermittelnden Stelle aufzuzeichnen. 4Bei der Übermittlung im automatisierten Abrufverfahren obliegt die Aufzeichnungspflicht dem Dritten, dem die Daten übermittelt werden. 5Die übermittelnde Stelle hat Stichprobenverfahren nach § 10 Abs. 4 Satz 3 durchzuführen und dabei auch
Kamlah/Plath 681
43
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
das Vorliegen eines berechtigten Interesses einzelfallbezogen festzustellen und zu überprüfen. (3) 1Die Aufnahme personenbezogener Daten in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse hat zu unterbleiben, wenn der entgegenstehende Wille des Betroffenen aus dem zugrunde liegenden elektronischen oder gedruckten Verzeichnis oder Register ersichtlich ist. 2Der Empfänger der Daten hat sicherzustellen, dass Kennzeichnungen aus elektronischen oder gedruckten Verzeichnissen oder Registern bei der Übernahme in Verzeichnisse oder Register übernommen werden. (4) Für die Verarbeitung oder Nutzung der übermittelten Daten gilt § 28 Abs. 4 und 5. (5) § 28 Abs. 6 bis 9 gilt entsprechend. (6) Eine Stelle, die geschäftsmäßig personenbezogene Daten, die zur Bewertung der Kreditwürdigkeit von Verbrauchern genutzt werden dürfen, zum Zweck der Übermittlung erhebt, speichert oder verändert, hat Auskunftsverlangen von Darlehensgebern aus anderen Mitgliedstaaten der Europäischen Union oder anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum genauso zu behandeln wie Auskunftsverlangen inländischer Darlehensgeber. (7) 1Wer den Abschluss eines Verbraucherdarlehensvertrags oder eines Vertrags über eine entgeltliche Finanzierungshilfe mit einem Verbraucher infolge einer Auskunft einer Stelle im Sinne des Absatzes 6 ablehnt, hat den Verbraucher unverzüglich hierüber sowie über die erhaltene Auskunft zu unterrichten. 2Die Unterrichtung unterbleibt, soweit hierdurch die öffentliche Sicherheit oder Ordnung gefährdet würde. 3§ 6a bleibt unberührt. I. Einführung . . . . . . . . . . . . . . . . II. Anwendungsbereich und Normadressaten . . . . . . . . . . . 1. Anwendungsbereich . . . . . . . . 2. Vorrangige Spezialregelungen 3. Geschäftsmäßigkeit der Datenverwendung . . . . . . . . . . 4. Übermittlung als Zweck der Datenverwendung . . . . . . . . . . 5. Abgrenzung zu § 28. . . . . . . . . 6. Adressaten . . . . . . . . . . . . . . . . a) Auskunfteien . . . . . . . . . . . b) Werbewirtschaft . . . . . . . . .
682 Plath
1 4 4 5 7 8 11 13 14 19
c) d) e) f)
Adresshandel . . . . . . . . . . . . Warndienste . . . . . . . . . . . . . Verzeichnisverlage . . . . . . . Bewertungsportale/Soziale Netzwerke . . . . . . . . . . . . . . g) Sonstige Adressaten . . . . . .
20 22 24 25 29
III. Zulässigkeit der Datenverwendung zu Zwecken der Übermittlung (Abs. 1) . . . . . . . 33 1. Schutzwürdige Interessen des Betroffenen (Abs. 1 Satz 1 Nr. 1) . . . . . . . . . . . . . . . . . . . . . 35
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
2.
3.
4. 5.
a) Allgemeine Abwägungsgrundsätze . . . . . . . . . . . . . . b) Typische Fallkonstellationen . . . . . . . . . . . . . . . . . . aa) Besondere Schutzwürdigkeit aufgrund der Person des Betroffenen bb) Besonders schutzwürdige Daten . . . . . . . . . . . cc) Rechts- oder vertragswidriges Verhalten des Betroffenen . . . . . . . . . . dd) Kenntnis des Betroffenen . . . . . . . . . . . . . . . . . ee) Bewertungsportale/ Social Media . . . . . . . . . ff) Profilerstellung. . . . . . . Daten aus allgemein zugänglichen Quellen (Abs. 1 Satz 1 Nr. 2) . . . . . . . . . . . . . . . . . . . . . a) Allgemein zugängliche Quellen . . . . . . . . . . . . . . . . b) Interessenabwägung . . . . . . Sonderregelung für Kreditbzw. Bonitätsauskunfteien (Abs. 1 Satz 1 Nr. 3) . . . . . . . . . Zweckbestimmung (Abs. 1 Satz 2, 1. Halbs.) . . . . . . . . . . . Sonderregelung für Werbung und Adresshandel (Abs. 1 Satz 2, 2. Halbs.) . . . . . . . . . . . a) Einwilligung (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 1) . . b) Listenprivileg (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 2) . . . . . . . . . . . . . . . . . . c) Hinzuspeicherung von Daten (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 3) . . . . . . . . d) Übermittlung zu Werbezwecken (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 4) . . e) Werbung für fremde Angebote (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 5) . . . . . . . .
38 44
44 45
48 49 50 52
54 56 61
63 66
69 70
72
73
74
§ 29 BDSG
f) Interessenabwägung und Zweckbindung (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 6 und 7) . . . . . . . . . . . . . 77 IV. Zulässigkeit der geschäftsmäßigen Übermittlung von Daten (Abs. 2) . . . . . . . . . . . . . . 1. Glaubhafte Darlegung eines berechtigten Interesses (Abs. 2 Satz 1 Nr. 1) . . . . . . . . . a) Berechtigtes Interesse . . . . . b) Glaubhafte Darlegung . . . . 2. Interessenabwägung (Abs. 2 Satz 1 Nr. 2) . . . . . . . . . . . . . . . 3. Sonderregelung für Werbung und Adresshandel (Abs. 2 Satz 2 i.V.m. § 28 Abs. 3 bis 3b) . . . . . . . . . . . . . . . . . . . . 4. Aufzeichnungspflicht (Abs. 2 Satz 3) . . . . . . . . . . . . . . 5. Sonderregelungen für automatisierte Abrufverfahren (Abs. 2 Satz 4 und 5). . . . . . . . .
78
79 80 83 88
89 90
94
V. Aufnahme in elektronische oder gedruckte Verzeichnisse (Abs. 3). . . . . . . . . . . . . . . . . . . . 96 VI. Sonderregelung für die Verarbeitung und Nutzung übermittelter Daten (Abs. 4) . . . . . 100 VII. Geschäftsmäßige Verwendung sensibler Daten (Abs. 5) . 104 VIII. Sonderregelungen für Verbraucherkredite (Abs. 6 und 7) 111 1. Gleichbehandlung bzgl. des Zugangs zu Kreditauskunftssystemen (Abs. 6) . . . . . . . . . . . 112 2. Information des betroffenen Verbrauchers (Abs. 7) . . . . . . . . 115 IX. Rechtsfolgen bei Verstoß . . . . 118
76
Plath 683
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
Schrifttum: Caspar, Geoinformationen und Datenschutz am Beispiel des Internetdienstes Google Street View, DÖV 2009, 965; Ernst, Social Plugins: Der „LikeButton“ als datenschutzrechtliches Problem, NJOZ 2010, 1917; Feldmann, Datenschutz und Meinungsfreiheit: Regulierung ohne BDSG, AnwBl. 2011, 250; Forgó/Krügel/Müllenbach, Zur datenschutz- und persönlichkeitsrechtlichen Zulässigkeit von Google Street View, CR 2010, 616; Gärtner/Tintemann, Die Speicherung des Negativmerkmals „Restschuldbefreiung“ in einer Auskunftei, VuR 2012, 54; Greve/Schärdel, Der digitale Pranger – Bewertungsportale im Internet, MMR 2008, 644; Gounalakis/Klein, Zulässigkeit von personenbezogenen Bewertungsplattformen – Die „Spickmich“-Entscheidung des BGH vom 23.6.2009, NJW 2010, 566; Gundermann, Zur datenschutzrechtlichen Zulässigkeit von Bewertungsportalen – am Beispiel des AOK-Ärztenavigators, VuR 2010, 329; Kaiser, Bewertungsportale im Internet – die Spickmich-Entscheidung des BGH, NVwZ 2009, 1474; Kamlah/Schulz, Bonitätsprüfung: Auskunftsmöglichkeiten und Fragerecht des Vermieters, Die Wohnungswirtschaft 2009, 60; Kamlah/Schulz, Bonitätsprüfung: Anfrage des Vermieters bei einer Auskunftei, Die Wohnungswirtschaft 2009, 64; Moos, Unzulässiger Handel mit Persönlichkeitsprofile? Erstellung und Vermarktung kommerzieller Datenbanken mit Personenbezug, MMR 2006, 718; Pfeifer, Verhaltensorientierte Nutzeransprache, K&R 2011, 543; Pfeifer/Kamp, Datenschutz und Persönlichkeitsrecht, ZUM 2009, 185; Piltz, Der Like-Button von Facebook, CR 2011, 657; Wronka, Reglementierung des Adresshandels im novellierten BDSG, RDV 2010, 159.
I. Einführung 1 Das BDSG unterstellt die Erhebung, Verarbeitung und Nutzung personenbezogener Daten einem Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1). Die Datenverwendung ist damit nur dann gestattet, wenn entweder der Betroffene eingewilligt hat oder eine gesetzliche Erlaubnisnorm eingreift. Vor diesem Hintergrund ist § 29 nach § 28 die für die Praxis wohl bedeutendste Erlaubnisnorm. Sie regelt die geschäftsmäßige Datenübermittlung. 2 § 29 lässt sich maßgeblich in zwei Tatbestandskomplexe aufteilen: Abs. 1 regelt, unter welchen Umständen die geschäftsmäßige Erhebung, Speicherung, Veränderung oder Nutzung von Daten zulässig ist und verdeutlicht, dass jede Datenverwendung im Rahmen des § 29 zum Zweck der (späteren) Übermittlung dieser Daten zu erfolgen hat. Abs. 2 regelt dann, unter welchen Voraussetzungen die Übermittlung selbst zulässig ist. 3 Darüber hinaus regeln die Absätze 3 bis 7 die Aufnahme von Daten in Verzeichnisse (Abs. 3), das Widerspruchsrecht des Betroffenen (Abs. 4), den Umgang mit sensiblen Daten (Abs. 5), die Auskunft an Darlehensgeber aus dem EU-internen Ausland (Abs. 6) sowie die Unterrichtung des Verbrauchers im Zusammenhang mit Verbraucherdarlehensverträgen (Abs. 7). 684 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
II. Anwendungsbereich und Normadressaten 1. Anwendungsbereich § 29 richtet sich an alle Stellen i.S.d. § 27 (nicht-öffentliche Stellen bzw. öffentliche Stellen des Bundes und der Länder, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen) und gilt gemäß § 27 Abs. 2 nur für die Verarbeitung und Nutzung von automatisierten Dateien oder unter Einsatz von Datenverarbeitungsanlagen.
4
2. Vorrangige Spezialregelungen Seit der BDSG-Novelle II ist der geschäftsmäßige Datenumgang im Zu- 5 sammenhang mit Markt- und Meinungsforschungen abschließend in § 30a geregelt ist. Darüber hinaus ist im Fall einer Übermittlung von Daten ohne Personenbezug, z.B. anonymisierter Daten, § 30 als lex specialis anzuwenden, soweit das BDSG überhaupt Anwendung findet. Schließlich ist § 28b anzuwenden, wenn die Datenerhebung durch die verantwortliche Stelle im Wege des Scorings, also der Ermittlung eines Wahrscheinlichkeitswerts für ein bestimmtes zukünftiges Verhalten, erfolgt. § 29 steht als Erlaubnisnorm neben der Einwilligung nach § 4a. Damit kann ein Vorgang sowohl aufgrund einer Einwilligung als auch aufgrund der Einschlägigkeit des Erlaubnistatbestands zulässig sein. Liegt eine Einwilligung vor, kommt es grundsätzlich nicht mehr darauf an, ob die Voraussetzungen des § 29 erfüllt sind. Allerdings ist umstritten, ob die Fortführung einer Datenverwendung auf den Erlaubnistatbestand gestützt werden kann, wenn eine zuvor erteilte Einwilligung in diese Handlung widerrufen wurde. Nach der hier vertretenen Ansicht ist dies aufgrund des objektiven Charakters der in dem BDSG normierten Erlaubnistatbestände der Fall1.
6
3. Geschäftsmäßigkeit der Datenverwendung Voraussetzung für die Anwendbarkeit des § 29 ist die Geschäftsmäßig- 7 keit der Datenverwendung durch die verantwortliche Stelle. Die Datenverwendung ist geschäftsmäßig, wenn sie eine auf Dauer bzw. Wiederholung gerichtete, also „nachhaltige“ Tätigkeit darstellt (vgl. § 3 Nr. 10 TKG)2. Dabei ist bereits die erste Handlung geschäftsmäßig, 1 Ausführlich hierzu § 28 Rz. 9. 2 A.A. Schaffland/Wiltfang, § 29 BDSG Rz. 4, der „geschäftsmäßig“ i.S.v. „kommerziell“ auslegt.
Plath 685
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
wenn sie mit Fortführungsabsicht erfolgt1. Unerheblich ist, ob in der geschäftsmäßigen Datenverwendung die Haupttätigkeit der verantwortlichen Stelle zu sehen ist. Eine Ausprägung der Datenübermittlungspraxis als Nebentätigkeit ist damit ausreichend, solange in dieser Tätigkeit nicht lediglich ein Nebeneffekt des eigentlichen Hauptgeschäfts der verantwortlichen Stelle zu sehen ist. Ausschlaggebend für die Geschäftsmäßigkeit ist allein der Wiederholungs- oder Dauercharakter einer bestimmten Praxis. Unerheblich ist zudem, ob die verantwortliche Stelle gewerbsmäßig in Gewinnerzielungsabsicht und entgeltlich tätig wird2. 4. Übermittlung als Zweck der Datenverwendung 8 Die Zweckbestimmung der geschäftsmäßigen Datenverwendung muss darüber hinaus gerade in der Übermittlung dieser Daten an Dritte liegen. Damit fallen diejenigen verantwortlichen Stellen in den Anwendungsbereich des § 29, deren Geschäft es (u.a.) ist, Daten zu erheben, zu verarbeiten oder zu nutzen, gerade um sie zu einem späteren Zeitpunkt an Dritte übermitteln zu können. Unerheblich ist, ob es tatsächlich zu einer Übermittlung kommt. 9 Die Zweckbestimmung der Übermittlung verdeutlicht, dass § 29 nur dann einschlägig ist, wenn die Datenverwendung zu dem Zweck erfolgt, die Daten einem Dritten, nämlich dem Empfänger, zur Verfügung zu stellen. 10 Weitestgehend Einigkeit besteht darin, dass in der geschäftsmäßigen Verwendung von Daten zum Zweck der Übermittlung keine vom BVerfG3 untersagte Vorratsdatenspeicherung zu sehen ist. In der Tat ist es ausreichend, wenn ein zumindest potenzielles Interesse Dritter an bestimmten Daten zu bestimmten Zwecken besteht4. Darüber hinaus gilt das Verbot der Vorratsdatenspeicherung vor allem für öffentliche Stellen5.
1 Gola/Schomerus, § 29 BDSG Rz. 6 f.; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 3; Simitis/Ehmann, § 29 BDSG Rz. 60. 2 Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 3; Taeger/Gabel/Taeger, § 29 BDSG Rz. 16; Simitis/Ehmann, § 29 BDSG Rz. 60. 3 BVerfG v. 15.2.1983 – 1 BvR 209/83, BVerfGE 65, 1 = NJW 1984, 419 – Volkszählungsurteil. 4 So auch Taeger/Gabel/Taeger, § 29 BDSG Rz. 17; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 4; kritisch hingegen Simitis/Ehmann, § 29 BDSG Rz. 55. 5 Taeger/Gabel/Taeger, § 29 BDSG Rz. 17.
686 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
5. Abgrenzung zu § 28 In der Praxis stellt sich immer wieder die Frage nach der Abgrenzung des 11 § 29 zu § 28, der ebenso wie § 29 regelt, unter welchen Umständen eine Datenverwendung zu Geschäftszwecken zulässig ist. Probleme bereitet hier vor allem die semantische Ähnlichkeit zwischen dem Begriff der „eigenen Geschäftszwecke“ (§ 28) und der „Geschäftsmäßigkeit“ (§ 29). Die Abgrenzung zwischen diesen Begriffen, und zugleich auch zwischen diesen beiden Normen, erfolgt insbesondere anhand des Merkmals der Zweckbestimmung: § 28 regelt den Fall, dass es gewissermaßen als Nebeneffekt oder notwendige Begleiterscheinung der eigentlichen geschäftlichen Tätigkeit der verantwortlichen Stelle zur Verwendung von Daten kommt; der Datenumgang erfolgt zum eigenen Geschäftszweck. Dagegen ist § 29 immer dann einschlägig, wenn gerade in der Erhebung, Speicherung, Veränderung und Nutzung von Daten mit dem Ziel ihrer anschließenden Übermittlung der eigentliche Geschäftszweck der verantwortlichen Stelle zu sehen ist. Dies ist insbesondere dann der Fall, wenn das Geschäft der verantwortlichen Stelle darin besteht, Daten gewissermaßen als „Ware“ geschäftsmäßig für die fremden Zwecke ihrer Kunden zu verwenden und sie an diese zu übermitteln1. Umstritten ist, welche Norm zur Anwendung kommt, wenn eine Da- 12 tenverwendung sowohl eigenen als auch fremden Zwecken dient. Nach der hier vertretenen Ansicht ist in diesen Fällen nach dem Schwerpunkt des Vorgangs zu fragen (s. ausf. § 28 Rz. 14). 6. Adressaten Ausweislich des (nicht abschließenden) Wortlauts von Abs. 1 Satz 1 fal- 13 len in den Anwendungsbereich der Norm insbesondere die Tätigkeiten von Auskunfteien, Adresshändlern und Werbeunternehmen. Darüber hinaus kann die Norm je nach Konstellation auch auf Warndienste, Verzeichnisverlage, soziale Netzwerke und Bewertungsportale anzuwenden sein2. Typischerweise richtet sich die Norm also an Stellen, die nicht notwendig in einer vertraglichen Beziehung zum Betroffenen stehen, und die Daten entweder aus anderen Quellen beziehen oder zumindest Daten übermitteln3. 1 Vgl. auch LG Köln v. 17.3.2010 – 28 O 612/10. 2 Bergmann/Möhrle/Herb, § 29 BDSG Rz. 22; Taeger/Gabel/Taeger, § 29 BDSG Rz. 7; vgl. auch die grundsätzlichen Ausführungen in Simitis/Ehmann, § 29 BDSG Rz. 92 ff. 3 Vgl. Schaffland/Wiltfang, § 29 BDSG Rz. 3.
Plath 687
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
a) Auskunfteien 14 Zum klassischen Anwendungsbereich des § 29 gehören insbesondere die Tätigkeiten von (Kredit-)Auskunfteien wie der SCHUFA1, der CEG, Bürgel oder InfoScore2. Das BDSG liefert keine explizite Definition der „Auskunftei“3, doch kann wohl Abs. 6 als Begriffsbestimmung zur Hilfe gezogen werden. Damit wäre eine Auskunftei eine Stelle, die geschäftsmäßig personenbezogene Daten, die zur Bewertung der Kreditwürdigkeit von Verbrauchern genutzt werden dürfen, erhebt, speichert oder verändert, um diese Daten (meistens entgeltlich) an anfragende Stellen, insbesondere Banken oder Versandhändler, zu übermitteln4. Diese Beschreibung, die nicht als Legaldefinition angesehen werden kann, umfasst jedoch nur den Bereich der Kredit- und Bonitätsauskunftei und ist demnach zu eng. Unter den Begriff der Auskunftei fallen nach der hier vertretenen Ansicht (zumindest im Anwendungsbereich des § 29) auch solche Stellen, die Auskunft über persönliche Angelegenheiten des Betroffenen zu anderen Zwecken, zum Beispiel zur Adressermittlung, erteilen5. 15 Darüber hinaus ist § 29 auch dann anzuwenden, wenn die Auskunftstätigkeit zwar geschäftsmäßig erfolgt, aber nicht den Kern der geschäftlichen Tätigkeit eines Unternehmens betrifft. Dies ist z.B. dann der Fall, wenn Unternehmen wie Banken oder Versandhäuser Daten, die ursprünglich im Rahmen des eigenen Geschäftszwecks erhoben wurden, aussondern, um diese auf Anfrage geschäftsmäßig an Dritte, z.B. „echte“ Auskunfteien, weiterzuleiten6. Diese Praxis ist inzwischen nicht unüblich. Voraussetzung für die Anwendbarkeit des § 29 ist auch in diesen Fällen, dass die Datenübermittlung geschäftsmäßig zum Zweck der Übermittlung erfolgt. Dabei sind eine gewisse Regelmäßigkeit der Datenverwen-
1 Ausführlich hierzu Simitis/Ehmann, § 29 BDSG Rz. 85 ff.; Bergmann/Möhrle/ Herb, § 29 BDSG Rz. 40 ff. sowie zur grundlegenden Entscheidung des BGH v. 15.12.1983 – III ZR 207/82, NJW 1984, 1889; Schaffland/Wiltfang, § 29 BDSG Rz. 15 ff. 2 VG Darmstadt v. 18.11.2010 – 5 K 994/10.DA, 5 K 994/10. 3 Simitis/Ehmann, § 29 BDSG Rz. 82. 4 So auch Taeger/Gabel/Taeger, § 29 BDSG Rz. 21. 5 Ausführlich zur Begriffsbestimmung Simitis/Ehmann, § 29 BDSG Rz. 83; vgl. auch die Definition von Gärtner, der eine Auskunftei als „Informationsfabrik, die den Rohstoff Bonitätsdatum zu dem Produkt einer umfangreichen Zahlungsprognose verarbeitet und dann an der Kreditgeber zum Risikomanagement übermittelt“, bezeichnet, Gärtner/Tintemann, VuR 2012, 54 (55). 6 Ebenso Taeger/Gabel/Taeger, § 29 BDSG Rz. 14.
688 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
dung bzw. ihre Einbindung in eine selbständige Organisation oder Struktur als starke Indizien für die Geschäftsmäßigkeit anzusehen. Zu beachten ist, dass die Übermittlung von Daten über Kunden oder Ge- 16 schäftspartner an die Auskunfteien (z.B. durch Banken oder Versandhäuser) zum Zwecke der Versorgung der Auskunftei mit Informationen, die sog. „Einmeldung“, keinen Fall des § 29 darstellt. Dieser Datenumgang erfolgt im eigenen geschäftlichen Interesse der verantwortlichen Stelle, das System der Auskunfteien bzw. Warndienste aufrechtzuerhalten. Soweit bei solchen Vorgängen Forderungsdaten an Auskunfteien übermittelt werden, ist § 28a anzuwenden. Die Übermittlung aller anderen Daten beurteilt sich nach § 28 Abs. 1 Satz 1 Nr. 2, der die Datenübermittlungen zur Wahrung eigener Interessen regelt (s. ausf. § 28 Rz. 62 f., § 28a Rz. 12 ff.). Auch die Übermittlung von Daten an Auskunfteien im Rahmen einer 17 Auskunftsanfrage beurteilt sich nicht nach § 29, sondern ebenfalls nach § 28 Abs. 1 Satz 1 Nr. 1. Diese Art der Datenverwendung erfolgt ausschließlich in dem Interesse der verantwortlichen Stelle, Auskunft über den Betroffenen zu erlangen. Dagegen ist § 29 auf die Speicherung erhobener Daten durch die Auskunftei selbst anwendbar1. Erfolgt die Datenerhebung durch die Auskunftei im Wege des Scorings 18 (Ermittlung eines Wahrscheinlichkeitswerts für ein bestimmtes zukünftiges Verhalten), so findet auf diesen Vorgang ausschließlich § 28b Anwendung. b) Werbewirtschaft § 29 ist zudem auf die geschäftsmäßige Datenübermittlung zu Wer- 19 bezwecken anwendbar. Auch der Begriff der „Werbung“ wird im BDSG nicht definiert. Nach der hier vertretenen Ansicht ist in Anlehnung an Art. 2a) der RL 2006/114/EG über irreführende und vergleichende Werbung2 unter Werbung jede Ansprache von Personen zu verstehen, die darauf gerichtet ist, diese zur Abnahme einer Ware oder zur Inanspruchnahme einer Leistung zu veranlassen3. Damit ist § 29 immer dann einschlägig, wenn eine geschäftsmäßige Datenverwendung zu Übermitt-
1 OLG Frankfurt a.M. v. 16.3.2011 – 19 U 291/10. 2 Richtlinie 2006/114/EG der Europäischen Parlaments und des Rates v. 12.12.2006 über irreführende und vergleichende Werbung. 3 Vgl. zur Definition der Werbung § 28 Rz. 102 ff.
Plath 689
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
lungszwecken der Durchführung von Werbemaßnahmen dient. Der Regelfall der Datenverwendung zur Werbung ist im (vorgeschalteten) Adresshandel zu sehen. c) Adresshandel 20 Grundsätzlich fällt auch die Tätigkeit von Adresshändlern in den Anwendungsbereich des § 29. Der Begriff des „Adresshandels“ wird im BDSG ebenfalls nicht definiert. Nach der hier vertretenen Ansicht ist unter Adresshandel jede Vermarktung von Dateien zu verstehen, die diejenigen Daten enthält, die für die Kontaktaufnahme mit einer Person benötigt werden (z.B. Name, Anschrift, E-Mail-Adresse, Telefonnummer), wobei die Ansprache zu Werbezwecken erfolgen muss1. Der Adresshandel ist damit ein Unterfall der Werbung2: Die Beschaffung von Daten zu Werbezwecken fällt in den Bereich des Adresshandels, ihre Verwendung in den der Werbung. 21 Der Begriff des Adresshandels umfasst nicht nur den Verkauf bzw. die Vermietung von Daten, sondern insbesondere auch die Makleraktivität sog. Listbroker sowie von Lettershops, soweit diese Stellen Daten tatsächlich übermitteln und nicht nur im Wege einer Auftragsdatenverarbeitung gemäß § 11 zur Verfügung gestellt bekommen3. d) Warndienste 22 Auch die Tätigkeit von Warndiensten fällt in den Anwendungsbereich des § 29. Dabei ist eine etwaige Entgeltlichkeit der Warndiensttätigkeit unerheblich4. Warndienste sind in der Regel branchenintern. Sie sammeln Hinweise und Informationen über Personen, die im Zusammenhang mit der jeweiligen Branche „negativ“ aufgefallen sind, und leiten die Daten auf Anfrage an die teilnehmenden Unternehmen weiter. Damit erfolgt die Tätigkeit dieser Dienste geschäftsmäßig und mit dem Zweck der Übermittlung. Von besonderer Bedeutung sind die Warndienste der Versicherungswirtschaft (die Auskunftsstelle über den Versicherungsaußendienst, AVAD sowie das Hinweis- und Informationssystem,
1 Ausführlich hierzu, insbesondere zum Verhältnis zur Werbung § 28 Rz. 106 f. 2 Siehe ausführlich dazu die Kommentierung zu § 28 Rz. 107. A.A. Simitis/Ehmann, § 29 BDSG Rz. 75. 3 Bergmann/Möhrle/Herb, § 29 BDSG Rz. 25; Simitis/Ehmann, § 29 BDSG Rz. 76. 4 So auch Simitis/Ehmann, § 29 BDSG Rz. 110.
690 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
HIS/Uniwagnis), der Wohnungswirtschaft (gegen Mietnomaden)1 und der Spielbanken2. Übermittelt der Warndienst zugleich auch Forderungsdaten, so ist der 23 Dienst bezüglich dieses Tätigkeitsbereichs als Auskunftei anzusehen (vgl. § 28a Rz. 8). In diesem Fall ist zu beachten, dass ggf. § 28a zur Anwendung kommt. e) Verzeichnisverlage Auch Verlage, deren Tätigkeit in der Erstellung und Verbreitung von 24 Verzeichnissen wie z.B. Telefonbüchern besteht, unterfallen dem Anwendungsbereich des § 293. Besonders deutlich wird dies anhand der Regelung des Abs. 3, der eine Aufnahme von personenbezogenen Daten in ein Verzeichnis verbietet, wenn der entgegenstehende Wille des Betroffenen ersichtlich ist. f) Bewertungsportale/Soziale Netzwerke Anbieter von Bewertungsportalen und sozialen Netzwerken ermöglichen ihren Nutzern, Daten auf der Plattform einzustellen und diese dann zum Abruf bereitzuhalten, worin nach § 3 Abs. 4 Nr. 3b) eine Übermittlungshandlung zu sehen ist. Damit stellt sich die Frage, ob diese Tätigkeit des Plattformbetreibers in den Anwendungsbereich des § 29 fällt.
25
Grundsätzlich ist das BDSG in Abgrenzung zum TMG auch im OnlineBereich anwendbar, wenn die Zulässigkeit einer Verwertung von Inhaltsdaten infrage steht. Zu beachten ist, dass die Zulässigkeit von Datenverwendungen, die im Zusammenhang mit der Erbringung des Telemediendienstes selbst in Verbindung stehen (z.B. die Verwendung von Anmeldedaten), vorrangig nach den Regelungen des TMG, insbesondere §§ 12 ff. TMG, zu bewerten ist (siehe dazu § 11 TMG Rz. 10 ff.).
26
Für eine Anwendbarkeit des § 29 auf die Verwendung von Inhaltsdaten in sozialen Netzwerken und Bewertungsportalen spricht, dass es tat-
27
1 Simitis/Ehmann, § 29 BDSG Rz. 114; Kamlah/Schulz, Die Wohnwirtschaft 2009, 60. 2 Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 8; Gola/Schomerus, § 29 BDSG Rz. 7; Bergmann/Möhrle/Herb, § 29 BDSG Rz. 33, die allerdings Warndienste als Unterfall der Auskunfteien aufführen; Schaffland/Wiltfang, § 29 BDSG Rz. 10. 3 So auch Bergmann/Möhrle/Herb, § 29 BDSG Rz. 20.
Plath 691
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
sächlich gerade der Geschäftszweck dieser Netzwerke ist, Daten zu erheben und Dritten im Wege des Abrufs zu übermitteln, und zwar unabhängig davon, ob der Anbieter einen weiteren Geschäftszweck wie die Erzielung von Werbeeinnahmen verfolgt1. Diese Tätigkeit ist zudem auf Wiederholung ausgerichtet und mithin geschäftsmäßig. Diese Ansicht hat nun auch der BGH in der „spickmich.de“-Entscheidung bestätigt2. Umstritten ist jedoch, ob auf Bewertungsportale das Medienprivileg des § 41 anwendbar ist, was eine Unanwendbarkeit des BDSG zu Folge hätte3. Voraussetzung hierfür wäre, dass eine journalistisch-redaktionelle Aufarbeitung der personenbezogenen Daten erfolgt. So hat der BGH zuletzt entschieden, dass ein Bewertungsportal, das lediglich fremde Beiträge sammelt, auflistet und zur Verfügung stellt, keinen ausreichenden journalistisch-redaktionellen Beitrag leistet, um unter das Medienprivileg des § 41 zu fallen4. 28 Zu beachten ist, dass auf die Datenverwendung im Zusammenhang mit der Registrierung der Plattform-User und der Durchsetzung des Vertrages zwischen dem Betreiber und dem Nutzer, soweit nicht der Vorrang des TMG greift, § 28 Abs. 1 Satz 1 Nr. 1 anzuwenden ist, der das Erheben, Speichern, Verändern oder Übermitteln von Daten im Rahmen eines Schuldverhältnisses regelt. g) Sonstige Adressaten 29 § 29 ist, über die vorgenannten „klassischen“ Anwendungsfälle hinaus, u.U. auch auf die Tätigkeit anderer nicht-öffentlicher Stellen anwendbar, die geschäftsmäßig Daten verwenden. So kann beispielsweise die Datenverwendung durch Detekteien oder genetischen Labors an § 29 zu messen sein5. Voraussetzung hierfür ist jedoch, dass diese Stellen die Daten unabhängig von einem bestimmten Auftrag verwenden, da ansonsten die Datenverwendung zur Erfüllung vertraglicher Verpflichtun1 Ebenso Taeger/Gabel/Taeger, § 29 BDSG Rz. 13, 25; Piltz, CR 2011, 657 (661); so grundsätzlich auch Greve/Schärdel, MMR 2008, 644 (646), der jedoch die Frage aufwirft, ob auf Bewertungsportale nicht vielmehr das Medienprivileg des § 41 anwendbar sei, MMR 2008, 644 (647 f.). 2 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 – spickmich.de; ebenso zur Anwendbarkeit des BDSG auf ärztliche Bewertungsportale LG Hamburg v. 20.9.2010 – 325 O 111/10 sowie Gundermann, VuR 2010, 329 (331 f.). 3 So z.B. Greve/Schärdel, MMR 2008, 644, 647 f. 4 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 (2890) – spickmich.de; vgl. auch § 41 Rz. 12. 5 Bergmann/Möhrle/Herb, § 29 BDSG Rz. 38.
692 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
gen im Rahmen des eigenen Geschäftszwecks gemäß § 28 Abs. 1 Satz 1 Nr. 1 erfolgt1. In den Anwendungsbereich des § 29 fällt zudem der Schuldtitelhandel, 30 im Rahmen dessen fremde Titeldaten an Titelkaufinteressenten übermittelt werden. Dabei ist der Titeldatenhändler nicht in den Verkauf der Titel selbst involviert2. In den Anwendungsbereich des § 29 fällt zudem die Tätigkeit von 31 Diensten wie Google Street View, die Abbildung öffentlich zugänglicher Orte erstellen und diese zum Abruf bereithalten, sofern die gewonnen Daten einen Personenbezug aufweisen3. Schließlich soll § 29 auch auf Archive anwendbar sein, die Medien- 32 unternehmen mit dem Ziel unterhalten, Beiträge nicht nur zu eigenen journalistisch-redaktionellen Zwecken bereitzuhalten, sondern diese vielmehr Dritten zur Verfügung zu stellen4. III. Zulässigkeit der Datenverwendung zu Zwecken der Übermittlung (Abs. 1) Die zulässige geschäftsmäßige Übermittlung von Daten nach § 29 setzt 33 voraus, dass die übermittelten Daten zuvor rechtmäßig erhoben, gespeichert, verändert oder genutzt wurden. Für diese der Übermittlung vorgeschalteten Verwendungsformen bildet Abs. 1 als Erlaubnistatbestand (§ 4 Abs. 1) eine Rechtsgrundlage. Die Formulierung „zum Zwecke der Übermittlung“ verdeutlicht, dass das Erheben, Speichern, Verändern und Nutzen im Kontext des § 29 lediglich als Vorstufe zum eigentlichen Verwendungszweck, nämlich der Übermittlung, zu sehen ist5. Allerdings setzt eine rechtmäßige Übermittlung nach Abs. 2 keineswegs voraus, dass auch ihre Vorstufe in Form der Erhebung, Speicherung, Veränderung oder Nutzung der betroffenen Daten nach der Regelung des § 29 erfolgt ist. So kann beispielsweise eine geschäftsmäßige Übermittlung nach Abs. 2 auch dann zulässig sein, wenn die Daten zuvor im 1 Ebenso Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 6; Simitis/ Ehmann, § 29 BDSG Rz. 98. 2 Ausführlich hierzu LG Köln v. 17.3.2010 – 28 O 612/10. 3 Simitis/Ehmann, § 29 BDSG Rz. 99; ebenso Caspar, DÖV 2009, 965 (971); a.A. Forgó/Krügel/Müllenbach, CR 2010, 616 (620), wonach den Daten der erforderliche Personenbezug fehlt. 4 OLG Hamburg v. 17.11.2009 – 7 U 62/09 sowie 7 U 74/09. 5 Ausführlich zu den verschiedenen „Phasen“ des § 29 Simitis/Ehmann, § 29 BDSG Rz. 121 ff.
Plath 693
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
Rahmen des eigenen Geschäftszwecks gemäß § 28 Abs. 1 Satz 1 Nr. 1 erhoben wurden und nun lediglich im Wege der Übermittlung weiterverwendet werden, soweit dies mit der Zweckbindung der Daten vereinbar ist. Abs. 1 als Erlaubnistatbestand kommt damit vor allem eine Auffangfunktion zu, um die Übermittlung nach Abs. 2 zu ermöglichen. Zumindest im Regelfall wird jedoch der Vorgang der Speicherung, Verwertung oder Nutzung nach Abs. 1 zu bewerten sein. 34 Dabei setzt Abs. 1 voraus, dass einer der Tatbestände von Abs. 1 Satz 1 Nr. 1 bis 3, die im Folgenden dargestellt werden, erfüllt ist und der Grundsatz der Zweckbindung (Abs. 1 Satz 2 i.V.m. § 28 Abs. 1 Satz 2) sowie – soweit im konkreten Fall einschlägig – die Regelungen zur Verwendung von Daten zu Werbezwecken (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 bis 3b) berücksichtigt wurden. 1. Schutzwürdige Interessen des Betroffenen (Abs. 1 Satz 1 Nr. 1) 35 Die geschäftsmäßige Verwendung von Daten zum Zweck der Übermittlung ist zulässig, wenn kein Grund zur Annahme besteht, dass ihr ein schutzwürdiges Interesse des Betroffenen entgegensteht (Abs. 1 Satz 1 Nr. 1). Die Tatsache, dass die Verwendungsform des Nutzens entgegen der Formulierung des ersten Teils von Abs. 1 Satz 1 an dieser Stelle nicht aufgeführt wird, muss als Redaktionsversehen angesehen werden1. 36 Die Formulierung des Erlaubnistatbestands des Abs. 1 Satz 1 Nr. 1 gibt Rätsel auf. Der Grund hierfür ist, dass die dogmatische Ausprägung der Norm als positive Zulässigkeitsvoraussetzung im Spannungsverhältnis zu ihrer inhaltlichen Ausgestaltung als Verbotsnorm steht. In der Tat würde eine strenge Auslegung des Wortlauts zunächst zu dem Ergebnis führen, dass eine Datenverwendung nach Abs. 1 immer zulässig ist, es sei denn, dass schutzwürdige Interessen des Betroffenen einer Verwendung seiner Daten entgegenstehen. Problematisch ist dabei jedoch, dass der Betroffene in aller Regel ein schutzwürdiges Interesse am Ausschluss einer Verwendung seiner Daten haben wird2. Dieses Interesse leitet sich ganz grundsätzlich aus dem Recht auf informationelle Selbstbestimmung als Bestandteil des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) ab. Die Schutzwürdigkeit des Be1 So auch Bergmann/Möhrle/Herb, § 29 BDSG Rz. 52; Gola/Schomerus, § 29 BDSG Rz. 10; dieser Umstand ist wohl darauf zurück zu führen, dass die Verwendungsform des Nutzens erst nachträglich in Abs. 1 anlässlich der Novelle II 2009 eingeführt wurde. 2 Gola/Schomerus, § 29 BDSG Rz. 11.
694 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
troffenen erhöht sich zudem, je sensibler das verwendete Datum ist. Damit würde es nur in den seltensten Fällen zu einer Zulässigkeit nach Abs. 1 Satz 1 Nr. 1 kommen, der Anwendungsbereich der Norm würde leer laufen. Es wird also deutlich, dass es auf das Bestehen eines schutzwürdigen Interesses des Betroffenen allein nicht ankommen kann. Vielmehr wird auch die verantwortliche Stelle in aller Regel ein Interesse (sei es aufgrund der Berufsfreiheit, Art. 12 GG oder aus sonstigen Gründen) an der Datenverwendung nach Abs. 1 haben, das angemessen berücksichtigt werden muss. Aus diesem Grund herrscht weitestgehend Einigkeit darüber, dass das Erfordernis einer Abwägung nach dem Verhältnismäßigkeitsgrundsatz zwischen den schutzwürdigen Interessen des Betroffenen und den berechtigten Interessen der verantwortlichen Stelle in den Erlaubnistatbestand des Abs. 1 Satz 1 Nr. 1 hinein zu lesen ist1. Die Abwägung ist allerdings immer erst dann vorzunehmen, wenn triftige Anhaltspunkte dafür vorliegen, dass entgegenstehende Interessen des Betroffenen bestehen2. Ist dies nicht der Fall, so ist die Datenverwendung nach Abs. 1 Satz 1 Nr. 1 ohne Abwägung zulässig.
37
a) Allgemeine Abwägungsgrundsätze Das Interesse der verantwortlichen Stelle leitet sich aus dem Zweck der Übermittlung nach Abs. 2 ab3. Es wird in den meisten Fällen wirtschaftlicher Natur sein, kann aber auch z.B. politisch, religiös, kulturell oder sonst ideell begründet sein4.
38
Die dem gegenüberstehenden Interessen des Betroffenen können sich sowohl aus der Person des Betroffenen als auch aus der Art der verwendeten Daten ergeben. In der Regel wird das schutzwürdige Interesse auf das Recht des Betroffenen auf informationelle Selbstbestimmung zurückzuführen sein, es kann aber auch z.B. rein wirtschaftlicher Natur
39
1 Vgl. nur Taeger/Gabel/Taeger, § 29 BDSG Rz. 33; Bergmann/Möhrle/Herb, § 29 BDSG Rz. 54; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 13; Gola/Schomerus, § 29 BDSG Rz. 11 mit Verweis auf die st. Rspr. des BGH v. 7.7.1983 – III ZR 159/82, NJW 1984, 436 (437); BGH v. 15.12.1983 – III ZR 207/82, NJW 1984, 1898 (1890); BGH v. 19.9.1985 – III ZR 213/83, NJW 1986, 46; BGH v. 17.12.1985 – VI ZR 244/84, NJW 1986, 2505 (2506); im Ergebnis ebenso Simitis/Ehmann, § 29 BDSG Rz. 161; Schaffland/Wiltfang, § 29 BDSG Rz. 18. 2 Gola/Schomerus, § 29 BDSG Rz. 12. 3 Gola/Schomerus, § 29 BDSG Rz. 10. 4 So auch Taeger/Gabel/Taeger, § 29 BDSG Rz. 27.
Plath 695
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
sein1. Die Schutzwürdigkeit der Interessen setzt voraus, dass eine negative Einwirkung von nicht unbedeutendem Ausmaß droht2. 40 Wie bei jeder Abwägung hängt die Zulässigkeit einer Datenverwendung gemäß Abs. 1 Satz 1 Nr. 1 im Ergebnis von der konkreten Konstellation ab. So kann unter Umständen lediglich die Erhebung, nicht jedoch die Speicherung oder Veränderung eines Datums nach Abs. 1 Satz 1 Nr. 1 zulässig sein3. Ebenfalls wird zu berücksichtigen sein, welche Daten tatsächlich zum Zweck der Übermittlung verwendet werden müssen, und ob dieser Zweck auch durch weniger einschneidende Maßnahmen, wie z.B. der Anonymisierung der Daten, zu erreichen ist. 41 Fraglich ist, welcher Abwägungsmaßstab an Abs. 1 Satz 1 Nr. 1 anzulegen ist. Der Wortlaut, wonach „kein Grund zur Annahme“ für das Bestehen schutzwürdiger Interessen des Betroffenen vorliegen darf, spricht dafür, dass sich die verantwortliche Stelle mit den Betroffeneninteressen auseinandersetzen muss. Zum gleichen Ergebnis führt der Vergleich mit Abs. 1 Satz 1 Nr. 2, der zwar ebenfalls (ausdrücklich) eine Interessenabwägung vorsieht, jedoch das „offensichtliche Überwiegen“ der Betroffeneninteressen ausreichen lässt. Es drängt sich demnach der Rückschluss auf, dass im Rahmen von Abs. 1 Satz 1 Nr. 1 ein strengerer Maßstab anzulegen ist. Die verantwortliche Stelle muss damit zumindest eine summarische Interessenabwägung durchführen4. 42 Für die Praxis besteht allerdings das Problem, dass es – gerade bei einer geschäftsmäßigen Tätigkeit – zu einer Verwendung einer Vielzahl von Daten in einem einzigen Arbeitsprozess kommt. Es wäre jedoch unzumutbar und praxisfern, von der verantwortlichen Stelle eine Abwägung im Einzelfall zu verlangen. Jedenfalls dann, wenn die Stelle immer wieder dieselbe Art von Daten verwendet, muss eine pauschale, typisierte Abwägung für ausreichend erachtet werden. So ist es z.B. ausreichend, wenn die verantwortliche Stelle zu dem grundsätzlichen Ergebnis kommt, dass ihr Interesse als Kreditauskunftei an der Verwendung von Bonitätsdaten i.R. einer wiederkehrenden Konstellation gegenüber den Interessen des Betroffenen überwiegt. Lediglich dann, wenn besondere Gründe für eine Sonderbehandlung des Betroffenen bestehen, beispielsweise weil dieser sich ausdrücklich gegen eine Verwendung seiner 1 Taeger/Gabel/Taeger, § 29 BDSG Rz. 28; Schaffland/Wiltfang, § 29 BDSG Rz. 9. 2 Schaffland/Wiltfang, § 29 BDSG Rz. 20. 3 Bergmann/Möhrle/Herb, § 29 BDSG Rz. 61. 4 Schaffland/Wiltfang, § 29 BDSG Rz. 10.
696 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
Daten ausgesprochen hat, kann die Durchführung einer Abwägung im Einzelfall geboten sein1. Strittig ist, inwieweit die verantwortliche Stelle Daten, die sie von Drit- 43 ten empfangen hat, auf ihre Richtigkeit überprüfen muss. Teilweise wird vertreten, dass sich die verantwortliche Stelle die Fehler ihrer Quelle zumindest dann zurechnen lassen muss, wenn eine Prüfung „mit geringer Mühe“ möglich ist2. Dem ist nach der hier vertretenen Ansicht zu widersprechen, jedenfalls dann, wenn sich dieser Maßstab auf die Überprüfung jedes einzelnen Datums beziehen soll. Es ist einer verantwortlichen Stelle, die geschäftsmäßig und demnach in einem bestimmten Umfang Daten verwendet, nicht zuzumuten, systematisch jedes Datum auf seine Richtigkeit zu überprüfen. Was im Einzelfall noch als „geringe Mühe“ gelten mag, würde in der Menge zu einem unverhältnismäßigen Aufwand führen. Gerade dann, wenn die verantwortliche Stelle die Daten von anderen Unternehmen, eventuell sogar auf regelmäßiger Basis, empfängt, darf sie sich auf die Validität der Daten verlassen. Höchstens in Ausnahmefällen kann eine eigenständige Prüfung notwendig sein, z.B. wenn die Quelle außerordentlich fraglich ist oder der Fehler sich geradezu aufdrängt. Zu beachten ist jedoch, dass die verantwortliche Stelle im Falle des Datenankaufs nach Ansicht der Rechtsprechung dazu verpflichtet sein soll, zu überprüfen, ob der Betroffene in die Verwendung seiner Daten wirksam eingewilligt hat3. b) Typische Fallkonstellationen aa) Besondere Schutzwürdigkeit aufgrund der Person des Betroffenen Eine besondere Schutzwürdigkeit kann auf Gründe zurückzuführen sein, die in der Person des Betroffenen liegen. Dies ist beispielsweise der Fall, wenn er aufgrund seiner Minderjährigkeit oder aus anderen Gründen nicht oder nur beschränkt geschäftsfähig ist4. Eine Verwendung seiner Daten ist dann zwar nicht generell verboten, doch müssen die berechtigten Interessen des besonders schutzwürdigen Betroffenen bei der 1 So im Ergebnis wohl auch Taeger/Gabel/Taeger, § 29 BDSG Rz. 29; Schaffland/ Wiltfang, § 29 BDSG Rz. 18. 2 So z.B. LG Paderborn v. 5.3.1981 – 5 S 3/81, MDR 1981, 581; ebenso Bergmann/ Möhrle/Herb, § 29 BDSG Rz. 12; weniger streng dagegen Gola/Schomerus, § 29 BDSG Rz. 13, der das Prüfungserfordernis von der Seriosität der Quelle abhängig machen will. 3 OLG Düsseldorf v. 24.11.2009 – 20 U 137/09, MMR 2010, 99; ausführlich hierzu vgl. § 4a Rz. 85. 4 Vgl. Bergmann/Möhrle/Herb, § 29 BDSG Rz. 55.
Plath 697
44
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
Abwägung nach Abs. 1 Satz 1 Nr. 1 in besonderem Maße berücksichtigt werden. bb) Besonders schutzwürdige Daten 45 Eine erhöhte Schutzwürdigkeit der Interessen des Betroffenen kann auch auf die Natur der verwendeten Daten zurückzuführen sein1. So wird bei der Verwendung offensichtlich falscher Daten die Abwägung im Regelfall zugunsten des Betroffenen ausfallen2. Die verantwortliche Stelle kann kein überwiegendes Interesse an der Verwendung unzutreffender Daten haben. Gleiches gilt für die Verwendung von Daten, die ohne jede Aussagekraft bezüglich des in Rede stehenden Zwecks sind3. 46 Vorsicht ist auch bei der Verwendung von Daten geboten, die auf subjektiven Bewertungen beruhen. Hier muss grundsätzlich zwischen negativen und positiven Daten unterschieden werden. Je negativer und dementsprechend einschneidender das Datum, desto „härter“ müssen die Fakten sein, auf die die Bewertungen aufbauen4. Schließlich kann auch der Umstand, dass der Betroffene einer Verwendung seiner Daten widersprochen hat, einer Zulässigkeit nach Abs. 1 Satz 1 Nr. 1 entgegenstehen. Ob die Interessen des Betroffenen gegenüber den Interessen der verantwortlichen Stelle tatsächlich überwiegen, wird im Einzelfall zu ermitteln sein. 47 Zu beachten ist, dass bei sensiblen, sog. „besonderen Arten personenbezogener Daten“ (§ 3 Abs. 9) die Sonderregelungen des Abs. 5 i.V.m. § 28 Abs. 6 bis 9 angewandt werden müssen (s.u. Rz. 104 ff.). cc) Rechts- oder vertragswidriges Verhalten des Betroffenen 48 Auf das Ergebnis der Abwägung wird sich im Regelfall auch auswirken, wenn Daten verwendet werden, die einen Verstoß des Betroffenen gegen rechtliche oder vertragliche Verpflichtungen betreffen. Problematisch ist dabei, dass gerade Daten über ein ordnungswidriges oder strafbares Verhalten des Betroffenen besonders sensibel sind. Die Verwendung sol1 Vgl. grundsätzlich zur besonderen Schutzbedürftigkeit von Adressen von Justizvollzugsanstalten AG Bremen v. 27.5.2011 – 10 C 221/11. 2 So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 12; Taeger/ Gabel/Taeger, § 29 BDSG Rz. 29; Simitis/Ehmann, § 29 BDSG Rz. 170. 3 Simitis/Ehmann, § 29 BDSG Rz. 165. 4 Ausführlich hierzu Simitis/Ehmann, § 29 BDSG Rz. 175 ff.; Gola/Schomerus, § 29 BDSG Rz. 15; ähnlich Kamlah/Schulz, Die Wohnungswirtschaft 2009, 64 (65).
698 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
cher Daten ist jedoch im Regelfall dann zulässig, wenn die verantwortliche Stelle ein berechtigtes Interesse an der Verwendung gerade dieser Daten, beispielsweise im Rahmen von Warndateien, hat1. Gleiches gilt für Daten über einen Verstoß des Betroffenen gegen öffentlich-rechtliche oder vertragliche Pflichten. Wer sich rechtsbrüchig verhält, kann keine besondere Schutzwürdigkeit für sich in Anspruch nehmen2. Dies gilt vor allem dann, wenn die Verwendung solcher Daten im Rahmen eines Auskunfts- oder Warnsystems zum Schutz der verantwortlichen Stelle erfolgt. Andernfalls wäre die Praxis der Kreditauskunfteien, die das durchaus sensible Datum der Kreditwürdigkeit bzw. Bonität verwenden, unzulässig, was jedoch schon deshalb nicht sein kann, weil das Gesetz diese Praxis in § 28a sowie in Abs. 6 voraussetzt3. dd) Kenntnis des Betroffenen Wurden die verwendeten Daten durch die verantwortliche Stelle direkt 49 beim Betroffenen und mit dessen Kenntnis unter Hinweis auf den beabsichtigten Übermittlungszweck erhoben, so kann sich auch dieser Umstand auf das Ergebnis der Interessenabwägung auswirken. Insbesondere wird der Betroffene dann als weniger schutzwürdig anzusehen sein, wenn er die Möglichkeit hatte, der Datenverwendung im Vorfeld zu widersprechen4. ee) Bewertungsportale/Social Media Ein besonderer Fall bildet die Verwendung von Daten zu Zwecken der 50 Übermittlung im Wege der Bereithaltung zum Abruf auf einem Bewertungsportal. Der Anwendungsbereich des § 29 ist nach wohl h.M. eröffnet5. Die Speicherung der Daten auf den Bewertungsportalen ist nur zulässig, wenn und soweit die schutzwürdigen Interessen des Betroffenen gegenüber den berechtigten Interessen der verantwortlichen Stelle nicht überwiegen. Es muss also in aller Regel eine Abwägung zwischen dem Grundrecht auf Meinungsfreiheit (Art. 5 Abs. 1 Satz 1 GG) und dem 1 Taeger/Gabel/Taeger, § 29 BDSG Rz. 30; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 21; Simitis/Ehmann, § 29 BDSG Rz. 187; Schaffland/ Wiltfang, § 29 BDSG Rz. 10. 2 So auch Kamlah/Schulz, Die Wohnungswirtschaft 2009, 64. 3 Ebenso Schaffland/Wiltfang, § 29 BDSG Rz. 20. 4 So auch Bergmann/Möhrle/Herb, § 29 BDSG Rz. 59; Taeger/Gabel/Taeger, § 29 BDSG Rz. 32; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 17. 5 S.o. Rz. 27; BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 (2891) – spickmich.de; ebenso OLG Düsseldorf v. 6.10.2010 – I-15U 80/08, 15 U 80/08.
Plath 699
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
allgemeinen Persönlichkeitsrecht des Betroffenen (Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG) erfolgen1. In der spickmich.de-Entscheidung hat der BGH deutlich gemacht, dass die Meinungsfreiheit der verantwortlichen Stelle (in diesem Fall einem Portal zu Bewertung von Lehrern) höher zu bewerten sei als das allgemeine Persönlichkeitsrecht des Betroffenen. Das Gericht begründete diese Auffassung im konkreten Fall damit, dass das Portal die Bewertung strengen, neutralen Vorgaben (Noten, vorgegebene Bewertungen) unterworfen habe, freie (und damit u.U. beleidigende) Äußerungen der User verhindert habe und die Seite mit einer Zugangsbeschränkung in Form eines Log-ins versehen habe2. Darüber hinaus sei lediglich die (berufliche) Sozialsphäre der betroffenen Lehrer durch die negativen Bewertungen tangiert, so dass eine Einschränkung der Meinungsäußerungsfreiheit nur im Ausnahmefall möglich sei3. Auch die Anonymität von Bewertungen führt nach zutreffender Ansicht des BGH nicht zu einer Beschränkung der Meinungsfreiheit. Art. 5 Abs. 1 Satz 1 schütze die Meinung als solche, nicht ihre Zuordnung zu einem bestimmten Individuum4. 51 Fraglich ist, ob diese Grundsätze auch auf sog. „Social Plugins“ wie dem „Like-Button“ von Facebook übertragbar sind. Der Stein des Anstoßes ist nach verbreiteter Ansicht darin zu sehen, dass die an die Webseite übermittelten Daten nicht der Sozial-, sondern vielmehr der Privatsphäre des Betroffenen entstammen. Zudem wird argumentiert, dass die Abwägung schon deshalb zulasten der verantwortlichen Stelle ausfallen müsse, weil die Datenerhebung heimlich vorgenommen werde5. Allerdings ist es bereits fraglich, welche Daten tatsächlich erhoben werden6, und ob es sich bei den erhobenen Daten, z.B. der IP-Adresse und dem allgemeinen Surfverhalten, um personenbezogene Daten (vgl. § 3 Abs. 1) handelt (vgl. § 3 Rz. 20 ff.). Darüber hinaus ließe sich argumentieren, dass der durchschnittliche Anwender in der Regel davon ausgehen wird, 1 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 (2891 ff.) – spickmich.de; ebenso OLG Düsseldorf v. 6.10.2010 – I-15U 80/08, 15 U 80/08; Gounalakis/ Klein, NJW 2010, 566 (568); Greve/Schärdel, MMR 2008, 644 (647). 2 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 (2891 ff.) – spickmich.de; vgl. auch Gundermann, VuR 2010, 329 (334); kritisch dagegen Kaiser, NVwZ 2009, 1474 (1475 f.) sowie Pfeifer/Kamp, ZUM 2009, 185 (186). 3 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888, 2892 – spickmich.de; ebenso OLG Düsseldorf v. 6.10.2010 – I-15U 80/08, 15 U 80/08; Gundermann, VuR 2010, 329 (332). 4 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 (2892) – spickmich.de. 5 So z.B. Piltz, CR 2010, 657 (661). 6 Hullen, Anm. zu LG Berlin v. 14.3.2011 – 91 O 25/11, MMR 2011, 387 (388); Ernst, NJOZ 2010, 1917.
700 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
dass mit dem Anklicken des Social Plugins eine Datenerhebung durch den Seitenbetreiber erfolgt. Zu beachten ist dabei jedoch, dass im Falle des Like-Buttons anscheinend eine Datenerhebung durch Facebook unabhängig davon erfolgt, ob der Betroffene das Plugin aktiviert oder ob er auf der Plattform eingeloggt ist. Aus diesem Grund wird weitestgehend davon ausgegangen, dass der Like-Button mit den Regelungen des BDSG, insbesondere des § 29, nicht vereinbar sei1. ff) Profilerstellung Ebenfalls problematisch ist die Frage, ob die – in der Praxis durchaus 52 verbreitete – Erstellung von Profilen nach Abs. 1 Satz 1 Nr. 1 zulässig ist2. In der Verknüpfung mehrerer Daten zu einem Gesamtbild ist eine Veränderung dieser Daten zu sehen (vgl. § 3 Abs. 4 Nr. 2), so dass der Anwendungsbereich des Erlaubnistatbestands eröffnet ist. Allein die Verknüpfung mehrerer Daten zu einem Gesamtbild führt nach der hier vertretenen Ansicht jedoch nicht zu einem Überwiegen der Interessen des Betroffenen3. Erst, wenn durch die Verknüpfung ein umfassendes Persönlichkeitsbild des Betroffenen erstellt wird, ist eine Unzulässigkeit nach Abs. 1 Satz 1 Nr. 1 denkbar4. Allerdings besteht bei Verwendung von öffentlich zugänglichen Daten die Möglichkeit einer Zulässigkeit nach Abs. 1 Satz 1 Nr. 2, der geringere Anforderungen an die Abwägung stellt (s.u. Rz. 61). Unter Umständen ist auch die in ihrem Anwendungsbereich vorrangige Regelung des § 15 Abs. 3 TMG zu beachten, wenn ein Telemedien-Diensteanbieter Nutzerdaten auf der eigenen Homepage zu Zwecken der Profilerstellung verwendet5. Problematisch ist auch der Fall, in dem durch die Filterung von Daten erst eine Identifizierung der betroffenen Person erst möglich wird, wenn also nicht zu einer bereits bekannten Person ein Profil erstellt wird, sondern die Profilerstellung gerade zum Zweck der Identifizierung erfolgt. 1 So z.B. Ernst, NJOZ 2010, 1917 (1919); Piltz, CR 2011, 657 (662). 2 Vgl. die Ausführungen im Rahmen der Stellungnahme 2/2010 v. 22.6.2010 der Artikel-29-Datenschutzgruppe zur Werbung auf Basis von Behavioural Targeting. 3 Ebenso Moos, MMR 2006, 718 (722). 4 Zur erhöhten Intensität eines Grundrechtseingriffs bei Erstellung eines Profils im Rahmen von Online-Durchsuchungen BVerfG v. 27.2.2008 – 1 BvR 370/07 und 1 BvR 595/07, MMR 2008, 315 (319 f.) – Online-Durchsuchung; vgl. auch Gola/Schomerus, § 29 BDSG Rz. 18; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 23; Pfeifer, K&R 2011, 543 (546). 5 Vgl. hierzu Pfeifer, K&R 2011, 543 (545, 547).
Plath 701
53
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
Eine derartige Profilerstellung dürfte jedenfalls dann nicht nach Abs. 1 Satz 1 Nr. 1 zulässig sein, wenn die verantwortliche Stelle das Profil mithilfe einer systematischen Filterung, beispielsweise von Inhalten auf sozialen Netzwerken, erstellt. So hat der EuGH zuletzt entschieden, dass „eine systematische Prüfung aller Inhalte“ einer Profilseite in einem sozialen Netzwerk noch nicht einmal zu Zwecken der Bekämpfung von Urheberrechtsverletzungen zulässig sei, wenn die gesammelten Daten eine Identifizierung der Nutzer ermöglichen würden, da hierdurch das Recht auf den Schutz personenbezogener Daten verletzt werden würde1. 2. Daten aus allgemein zugänglichen Quellen (Abs. 1 Satz 1 Nr. 2) 54 Darüber hinaus ist die geschäftsmäßige Verwendung von Daten zu Übermittlungszwecken zulässig, wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können und kein Grund zur Annahme besteht, dass die schutzwürdigen Interessen des Betroffenen am Ausschluss der Verwendung gegenüber den Interessen der verantwortlichen Stellen offensichtlich überwiegen (Abs. 1 Satz 1 Nr. 2). Auch hier kann die fehlende Nennung der Verwendungsform der „Nutzung“ auf ein Redaktionsversehen des Gesetzgebers zurückgeführt werden2. 55 Abs. 1 Satz 1 Nr. 2 ordnet gewissermaßen als Spezialnorm zu Abs. 1 Satz 1 Nr. 1 einen weniger strengen Abwägungsmaßstab an, der darauf zurückzuführen ist, dass das Interesse des Betroffenen an der Geheimhaltung von Daten, die bereits veröffentlicht wurden, deutlich geringer einzuschätzen ist3. Darüber hinaus steht das Grundrecht des Betroffenen auf informationelle Selbstbestimmung im Fall der Verwendung allgemein zugänglicher Daten im Konflikt mit dem Grundrecht auf Informationsfreiheit der verantwortlichen Stelle. a) Allgemein zugängliche Quellen 56 Der Begriff der „allgemein zugänglichen Quellen“ im Rahmen von Abs. 1 Satz 1 Nr. 2 ist genauso auszulegen wie die gleichlautende Be1 Das Urteil bezog sich allerdings auf die Sammlung und Identifizierung von IPAdressen, deren Einordnung als personenbezogenes Datum nach der hier vertreten Ansicht fraglich ist. 2 So auch Bergmann/Möhrle/Herb, § 29 BDSG Rz. 63. 3 Einschränkend Gärtner/Tintemann, VuR 2012, 54 (56) bezüglich der Übernahme von Daten aus öffentlichen Verzeichnissen, insbesondere bezogen auf Insolvenzdaten.
702 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
stimmung im Rahmen von § 28 Abs. 1 Satz 1 Nr. 3. Beide Formulierungen sind an Art. 5 Abs. 1 Satz 1 GG angelehnt, wonach jeder das Recht hat, sich aus „allgemein zugänglichen Quellen“ zu informieren. Eine Quelle ist nach der Definition des BVerfG allgemein zugänglich, wenn sie „technisch geeignet und bestimmt ist, der Allgemeinheit Informationen zu verschaffen“1. Damit gelten im Regelfall folgende Quellen als allgemein zugänglich2: – alle frei erwerbbaren, veröffentlichten Printmedien; – öffentlich zugängliche Fernseh- und Radiosendungen sowie Aufzeichnungen; – alle allgemein, z.B. über Suchmaschinen zugänglichen Internetinhalte3; – öffentlich zugängliche Anschläge u.ä.; – öffentliche Veranstaltungen u.ä.; – öffentlich einsehbare Register; – öffentliche Bekanntmachungen. Die Tatsache, dass der Zugang zu bestimmten Daten nur gegen Entrichtung einer Gebühr oder bei Überwindung einer ähnlichen Zugangsbeschränkung möglich ist, wirkt sich nicht auf die allgemeine Zugänglichkeit der Daten aus. Dagegen sind Daten, zu denen der Zugang nur bei Vorliegen eines „berechtigten“ oder „rechtlichen“ Interesses gewährt wird, nicht allgemein zugänglich i.S.d. Abs. 1 Satz 1 Nr. 24.
57
Voraussetzung ist, dass die Daten zum Zeitpunkt der Verwendung 58 öffentlich zugänglich waren. Dagegen ist es unerheblich, ob die verantwortliche Stelle die Daten tatsächlich der allgemein zugänglichen Quelle entnommen hat. Ausschlaggebend ist allein, dass sie hierzu die Möglichkeit gehabt hätte5. Teilweise wird vertreten, dass in diesen Fällen 1 BVerfGE 27, 71 (83); BVerfGE 33, 52 (65); BVerfGE 103, 44 (60). 2 Ausführlich hierzu § 28 Rz. 76. 3 So z.B. bzgl. der Inhalte auf Homepages von Ärzten bzw. Praxen LG Hamburg v. 20.9.2010 – 325 O 111/10 sowie Gundermann, VuR 2010, 329 (331); zur Zulässigkeit einer kurzfristigen Speicherung von im Internet frei zugänglichen Daten durch eine Suchmaschine OLG Hamburg v. 13.11.2009 – 7 W 125/09, ZUM-RD 2010, 74 (76). 4 Taeger/Gabel/Taeger, § 29 BDSG Rz. 35; Bergmann/Möhrle/Herb, § 29 BDSG Rz. 68; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 24; Simitis/ Ehmann, § 29 BDSG Rz. 192. 5 Gola/Schomerus, § 29 BDSG Rz. 19; Taeger/Gabel/Taeger, § 29 BDSG Rz. 34; Simitis/Ehmann, § 29 BDSG Rz. 194.
Plath 703
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
die öffentliche Zugänglichkeit der verantwortlichen Stelle zumindest bekannt gewesen sein muss1. Dagegen spricht jedoch, dass Abs. 1 Satz 1 Nr. 2 ein objektiver Erlaubnistatbestand ist und es auf die tatsächliche Kenntnis der verantwortlichen Stelle nicht ankommt. Allerdings obliegt es der verantwortlichen Stelle, die öffentliche Zugänglichkeit der Daten im Streifall zu beweisen. 59 Darüber hinaus ist die Art der Entnahme der Daten aus der allgemein zugänglichen Quelle belanglos. Sie können demnach kopiert, heruntergeladen, abgeschrieben oder auf sonstige Weise abgerufen worden sein. Im Hinblick auf die Zulässigkeit nach § 29 Abs. 1 Satz 1 Nr. 1 ist auch ein eventueller urheberrechtlicher Schutz der verwendeten Daten ohne Bedeutung. 60 Schließlich ist auch die Verwendung solcher Daten zulässig, die die verantwortliche Stelle zwar nicht aus einer öffentlich zugänglichen Quelle entnommen hat, die sie jedoch selbst veröffentlichen dürfte (Abs. 1 Satz 1 Nr. 2). Auch in diesem Fall ist aufgrund der (zukünftigen) Öffentlichkeit der Daten eine geringere Schutzwürdigkeit des Betroffenen anzunehmen. b) Interessenabwägung 61 Die Verwendung öffentlich zugänglicher Daten ist jedoch nicht absolut zulässig, sondern bedarf einer Abwägung zwischen den Interessen der verantwortlichen Stelle mit den schutzwürdigen Interessen des Betroffenen (Abs. 1 Satz 1 Nr. 2). Aufgrund der geringeren Schutzwürdigkeit veröffentlichter Daten ordnet das Gesetz einen erleichterten Abwägungsmaßstab an. Demzufolge ist die Datenverwendung bereits dann zulässig, wenn keine schutzwürdigen Interessen des Betroffenen am Ausschluss der Verwendung offensichtlich bzw. eindeutig erkennbar überwiegen. Das Erfordernis der Offensichtlichkeit bezieht sich sowohl auf das Vorliegen entgegenstehender schutzwürdiger Interessen als auch auf das Überwiegen dieser Interessen gegenüber den Interessen der verantwortlichen Stelle2. Ansonsten gelten die gleichen Abwägungsgrundsätze wie i.R.d. Abs. 1 Satz 1 Nr. 1 (s.o. Rz. 38 ff.).
1 Taeger/Gabel/Taeger, § 29 BDSG Rz. 34; Gola/Schomerus, § 29 BDSG Rz. 19, der sogar eine mögliche Strafbarkeit des Betroffenen wegen des untauglichen Versuchs einer unzulässigen Speicherung gemäß § 44 Abs. 1 in Erwägung zieht. 2 Gola/Schomerus, § 29 BDSG Rz. 19.
704 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
Ein offensichtliches Überwiegen der Betroffeneninteressen kann bei- 62 spielsweise vorliegen, wenn die verantwortliche Stelle Daten aus dem Melderegister sachfremd verwendet. Zwar ist das Melderegister als „allgemein zugängliche Quelle“ anzusehen, doch würde eine weitergehende Verwendung solcher Daten zu sonstigen Zwecken dazu führen, dass die melderechtlichen Schutzmechanismen außer Kraft gesetzt wären1. 3. Sonderregelung für Kredit- bzw. Bonitätsauskunfteien (Abs. 1 Satz 1 Nr. 3) Schließlich ist eine Datenverwendung zu Übermittlungszwecken auch 63 dann zulässig, wenn die Voraussetzungen des § 28a erfüllt sind, der besondere Regelungen für die Übermittlung von Forderungsdaten an Auskunfteien vorsieht (Abs. 1 Satz 1 Nr. 3). Dementsprechend können sich auch nur Auskunfteien, nicht jedoch z.B. Warndienste, auf diesen Erlaubnistatbestand berufen2. Dies lässt jedoch nicht den Umkehrschluss zu, dass Datenverwendungen durch Auskunfteien nur auf Grundlage des Abs. 1 Satz 1 Nr. 3 zulässig sind. Die Norm ist lediglich ein weiterer Erlaubnistatbestand für den Sonderfall einer Übermittlung von Forderungsdaten nach Maßgabe des § 28a und entwickelt keine Sperrwirkung. Abs. 1 Satz 1 Nr. 3 bildet also gewissermaßen das Gegenstück zur Regelung des § 28a: Daten, die unter den Voraussetzungen des § 28a durch Dritte bei den Auskunfteien eingemeldet wurden, können durch die Auskunfteien auf Grundlage des Abs. 1 Satz 1 Nr. 3 nun auch zu Übermittlungszwecken verwendet werden. Durch den direkten Verweis auf die Voraussetzungen des § 28a wird eine Gleichschaltung der Verwendungsvoraussetzungen vor und nach der Dateneinmeldung erreicht. Damit wird auch deutlich, warum der Erlaubnistatbestand des Abs. 1 Satz 1 Nr. 3 im Gegensatz zu den Regelungen von Nr. 1 und 2 keine weitere Interessenabwägung fordert: Daten, die zulässigerweise eingemeldet wurden, sollen auch zulässigerweise durch die Auskunftei verwendet werden dürfen3. Der Betroffene wird ausreichend durch die strenge Regelung des § 28a geschützt. Allerdings entbindet dieser Umstand die Auskunftei nicht von jeglicher Kontrolle. Für die Zulässigkeit ihrer „Seite“ des Datenverwendungsvorgangs ist ausschließlich die Auskunftei verantwortlich4. 1 2 3 4
Ebenso Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 25. So auch Simitis/Ehmann, § 29 BDSG Rz. 199. Ebenso Simitis/Ehmann, § 29 BDSG Rz. 199. Simitis/Ehmann, § 29 BDSG Rz. 199.
Plath 705
64
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
65 Die Erhebung und Speicherung von Daten über Verhaltensweisen des Betroffenen, die im Rahmen eines vorvertraglichen Vertrauensverhältnisses der Herstellung von Markttransparenz dienen (§ 28a Abs. 2 Satz 4), ist generell unzulässig (Abs. 1 Satz 1 Nr. 3, 2. Halbs.)1. Solche Daten dürfen demnach nicht in den Auskunftstatbestand aufgenommen werden. 4. Zweckbestimmung (Abs. 1 Satz 2, 1. Halbs.) 66 Abs. 1 Satz 2 verweist auf die Regelung des § 28 Abs. 1 Satz 2, der eine Pflicht der verantwortlichen Stelle zur Bestimmung eines Verwendungszwecks vorsieht. Die Zweckbestimmung muss bereits zum Zeitpunkt der Erhebung, spätestens jedoch im Moment der Speicherung erfolgen2. Dadurch soll eine vorsorgliche Datenerhebung bzw. eine Vorratsdatensammlung verhindert werden. Abs. 1 Satz 2, 1. Halbs. regelt nur die Bestimmung des Zwecks; die Bindung an den Zweck ergibt sich erst aus Abs. 2 Satz 1. 67 Der lediglich generell festgelegte Zweck der „Übermittlung an Dritte“ ist nicht ausreichend, da er bereits Tatbestandsvoraussetzung der Regelungen des Abs. 1 Satz 1 ist. Die verantwortliche Stelle muss damit einen weiteren, konkreten Zweck bestimmen. Da die verantwortliche Stelle jedoch nicht im Voraus jede denkbare Verwendungssituation vorhersehen kann, reicht die Darstellung eines typischen Sachverhalts im Rahmen der Zweckbestimmung nach der hier vertretenen Ansicht aus (vgl. § 28 Rz. 89). Ausreichend ist beispielsweise die Bestimmung von Zwecken wie „Werbung“, „Bonitätsauskunft“ oder „Adresshandel“3. Darüber hinaus ist nach dem Wortlaut des Abs. 1 Satz 2 i.V.m. § 28 Abs. 1 Satz 2 auch die Bestimmung mehrerer Verwendungszwecke zulässig. 68 Das Gesetz verpflichtet nicht dazu, die Zweckbestimmung in Schriftform vorzunehmen. Aus Gründen der Beweissicherung empfiehlt sich dies dennoch4. Die Zweckbestimmung hat keine Publizitätswirkung, sondern dient lediglich dem Nachweis der Zulässigkeit einer Datenverwendung. Eine interne Dokumentation des Zwecks ist damit ausreichend.
1 2 3 4
Vgl. zu solchen „Konditionenanfragen“ § 28a Rz. 60 ff. Bergmann/Möhrle/Herb, § 29 BDSG Rz. 79. So auch Taeger/Gabel/Taeger, § 29 BDSG Rz. 43. Vgl. auch Taeger/Gabel/Taeger, § 29 BDSG Rz. 44; Bergmann/Möhrle/Herb, § 29 BDSG Rz. 80.
706 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
5. Sonderregelung für Werbung und Adresshandel (Abs. 1 Satz 2, 2. Halbs.) Aufgrund des Verweises in Abs. 1 Satz 2, 2. Halbs. auf § 28 Abs. 3 bis 3b 69 ergibt sich, dass im Fall der Verwendung von Daten zum Zweck der Übermittlung für Werbung oder Adresshandel Sonderregeln zu beachten sind1. Diese Regeln sind lex specialis gegenüber den allgemeinen Verwendungsvoraussetzungen des Abs. 1 Satz 12. Zur Definition dieser Begriffe vgl. § 28 Rz. 102 ff. a) Einwilligung (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 1) Die geschäftsmäßige Verwendung von Daten zu Zwecken der Werbung 70 oder des Adresshandels ist grundsätzlich nur mit Einwilligung zulässig („Opt-in“-Lösung), vgl. Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 1. Von diesem Grundsatz weicht der Gesetzgeber jedoch in § 28 Abs. 3 Satz 2 bis 7 ab, da unter den dort geregelten Voraussetzungen, auf die weiter unten näher eingegangen wird, eine Datenverwendung auch ohne Einwilligung des Betroffenen zulässig ist („Opt-out“-Lösung). Die Voraussetzungen für eine wirksame Einwilligung sind grundsätzlich 71 in § 4a geregelt. Darüber hinaus hat der Gesetzgeber jedoch für die Einwilligung in eine Datenverwendung zu Zwecken der Werbung oder des Adresshandels in § 28 Abs. 3a, auf den Abs. 1 Satz 2 ebenfalls verweist, eine Sonderregelung getroffen. Nach der hier vertretenen Ansicht greift § 28 Abs. 3a zusätzlich zu den Erfordernissen des § 4a. Demzufolge ist im Falle der Entbehrlichkeit der Schriftform (§ 4a Abs. 1 Satz 3) Voraussetzung für die Wirksamkeit der Einwilligung, dass diese von der verantwortlichen Stelle schriftlich bestätigt wird (§ 28 Abs. 3a Satz 1)3. Wurde die Einwilligung elektronisch erteilt, so muss die verantwortliche Stelle die Einwilligung protokollieren und dafür sorgen, dass der Betroffene sie jederzeit abrufen kann (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3a Satz 2). Wahlweise steht es der verantwortlichen Stelle nach der hier vertretenen Ansicht frei, die Wirksamkeit aus der elektronischen Einwilligung durch eine schriftliche Bestätigung herbeizuführen4. Der Abschluss eines Vertrags darf dabei nicht mit der Abgabe einer datenschutzrechtlichen Einwilligung gekoppelt werden (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3b). 1 Kritisch zu der dogmatischen Gestaltung dieses Verweises als Rechtsgrundverweis Wronka, RDV 2010, 159 (160). 2 Ebenso Wronka, RDV 2010, 159 (160). 3 Ausführlich hierzu § 28 Rz. 158 ff. 4 Ausführlich hierzu § 28 Rz. 165.
Plath 707
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
b) Listenprivileg (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 2) 72 Darüber hinaus ist eine Datenverwendung zu Zwecken der Werbung ohne Einwilligung nur zulässig, wenn die verantwortliche Stelle listenmäßig oder sonst zusammengefasst personenbezogene Daten über die Zugehörigkeit des Betroffenen zu einer Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift oder sein Geburtsjahr verwendet1. Listendaten dürfen jedoch nur zu Zwecken der Eigenwerbung (§ 28 Abs. 3 Satz 2 Nr. 1), der Geschäftswerbung (§ 28 Abs. 3 Satz 2 Nr. 2) oder der Spendenwerbung (§ 28 Abs. 3 Satz 2 Nr. 3) verwendet werden2. c) Hinzuspeicherung von Daten (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 3) 73 Die verantwortliche Stelle darf zu den Listendaten noch weitere Daten für Zwecke der Eigenwerbung (§ 28 Abs. 3 Satz 2) hinzuspeichern (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 3). Nach der hier vertretenen Ansicht darf es sich bei den hinzugespeicherten Daten um alle Arten von Daten außer Listendaten handeln, wobei es unerheblich ist, ob die verantwortliche Stelle die hinzugefügten Daten ansonsten bereits zu Werbezwecken hätte nutzen dürfen. Der Gesetzgeber hat sich mit dieser Regelung bewusst für eine Ausweitung der Verwendungsbefugnis zu Zwecken der Eigenwerbung entschieden. Da § 28 Abs. 3 Satz 3 keine eigenständige Erhebungsbefugnis darstellt, ist lediglich Voraussetzung, dass die hinzugefügten Daten zuvor rechtmäßig erhoben wurden3. d) Übermittlung zu Werbezwecken (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 4) 74 Darüber hinaus ist auch die Übermittlung von Listendaten an Dritte, die diese Daten wiederum selbst zu Werbezwecken nutzen dürfen, erlaubt (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 3). Damit betrifft diese Norm insbesondere die Praxis der Adresshändler und Listbroker. Voraussetzung für die zulässige Übermittlung von Daten zu Werbezwecken ist jedoch, dass die übermittelnde Stelle die Tatsache der Übermittlung, die Herkunft der Daten und die Empfänger für eine Dauer von zwei Jahren nach der Übermittlung speichert. Trotz des fehlenden Verweises in § 28 Abs. 3 Satz 4 auf § 34 Abs. 1a Satz 2, der dem Empfänger dieselben Spei1 Ausführlich hierzu § 28 Rz. 114 ff. 2 Näheres hierzu s. § 28 Rz. 120 ff. 3 Ausführlich zum Hinzuspeichern von Daten § 28 Rz. 128 ff.
708 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
cherungspflichten wie dem Übermittler auferlegt, gilt das Speicherungsgebot nach der hier vertretenen Ansicht auch für den Empfänger der Daten (s. § 28 Rz. 137). Der durch Verweis in Bezug genommene § 28 Abs. 3 Satz 4, 2. Halbs. normiert darüber hinaus ein Transparenzgebot, wonach bei einer Verwendung zuvor übermittelter Daten zu Werbezwecken die ersterhebende Stelle eindeutig aus der Werbung hervorgehen muss.
75
e) Werbung für fremde Angebote (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 5) Zudem ist die geschäftsmäßige Nutzung von Daten zu Zwecken der Werbung für fremde Angebote zulässig (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 4 ist). Die Regelung betrifft damit insbesondere die Praxis der sog. Beipackoder Empfehlungswerbung (s. ausf. § 28 Rz. 143). Nach der hier vertretenen Ansicht muss sich die verantwortliche Stelle dabei nicht – anders als i.R.d. Eigenwerbung – auf Listendaten beschränken (s. § 28 Rz. 145). Der Gesetzgeber hat auch hier ein Transparenzgebot normiert, wonach die verantwortliche Stelle bei der Ansprache zu Zwecken der Werbung für den Betroffenen eindeutig erkennbar sein muss (s. § 28 Rz. 146).
76
f) Interessenabwägung und Zweckbindung (Abs. 1 Satz 2 i.V.m. § 28 Abs. 3 Satz 6 und 7) Die Verwendung von Daten zu Zwecken der Eigenwerbung, das Hin- 77 zuspeichern von Daten sowie das Übermitteln von Daten zu Werbezwecken sind gemäß § 28 Abs. 3 Satz 6 jedoch nur zulässig, soweit keine schutzwürdigen Interessen des Betroffenen entgegenstehen. Die verantwortliche Stelle muss demnach eine (zusätzliche) Interessenabwägung durchführen. Lediglich die Nutzung zu Zwecken der Fremdwerbung (§ 28 Abs. 3 Satz 5) ist nach der hier vertretenen Ansicht ohne weitere Interessenabwägung zulässig1. Schließlich unterliegen die nach § 28 Abs. 3 verwendeten Daten einer Zweckbindung. Sie dürfen demnach nur zu Zwecken der Werbung und des Adresshandels verwendet werden. IV. Zulässigkeit der geschäftsmäßigen Übermittlung von Daten (Abs. 2) Abs. 2 regelt, unter welchen Voraussetzungen zulässigerweise erhobene, gespeicherte, verarbeitete oder genutzte Daten geschäftsmäßig an Dritte 1 Ausführlich zur Interessenabwägung § 28 Rz. 152.
Plath 709
78
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
übermittelt werden dürfen. Grundsätzlich muss die Übermittlung innerhalb des nach Abs. 1 Satz 2, 1. Halbs. festgesetzten Zwecks erfolgen. Darüber hinaus normieren Abs. 2 Satz 1 Nr. 1 und Nr. 2 zwei Voraussetzungen, die kumulativ vorliegen müssen. Dementsprechend ist die Übermittlung nur zulässig, wenn (i) der empfangende Dritte ein berechtigtes Interesse an der Übermittlung glaubhaft darlegen kann (Nr. 1) und (ii) kein Grund zur Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat (Nr. 2). Die Vorschrift ist immer nur dann von Bedeutung, wenn keine wirksame Einwilligung in die Datenübermittlung erteilt wurde. 1. Glaubhafte Darlegung eines berechtigten Interesses (Abs. 2 Satz 1 Nr. 1) 79 Das erste Zulässigkeitskriterium für die geschäftsmäßige Datenübermittlung ist, dass der Empfänger der Daten ein berechtigtes Interesse an der Übermittlung glaubhaft darlegen kann. a) Berechtigtes Interesse 80 Nach der Rechtsprechung des BGH soll ein berechtigtes Interesse des Dritten dann vorliegen, wenn „die Kenntnis der Daten für die von dem Empfänger beabsichtigten Ziele und Zwecke erforderlich ist“1. 81 Hinsichtlich dieser Ziele und Zwecke kommt als berechtigtes Interesse grundsätzlich jedes von der Rechtsordnung gebilligte Interesse infrage2. Es muss durch die Sachlage gerechtfertigt sein, tatsächlich bestehen und kann wirtschaftlicher oder rechtlicher, aber auch ideeller oder sonstiger Natur sein. 82 Die Datenübermittlung muss darüber hinaus zur Erreichung dieser Ziele erforderlich sein. Die Erforderlichkeit ist jedenfalls dann gegeben, wenn dem Empfänger kein anderes, milderes Mittel zur Kenntnisnahme der Daten zur Verfügung steht, oder wenn der Empfänger ohne die Übermittlung einen erheblichen Nachteil erleiden würde. Hier sei auch auf die ausführlichen Darstellungen in § 28 Rz. 19 ff. verwiesen. Es muss grundsätzlich ein eigenes Interesse des Empfängers vorliegen. Fremde Interessen können jedoch dann als eigene berechtigte Interessen geltend 1 BGH v. 22.5.1984 – VI ZR 105/82, NJW 1984, 1886 (1887). 2 Bergmann/Möhrle/Herb, § 29 BDSG Rz. 87; Taeger/Gabel/Taeger, § 29 BDSG Rz. 50; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 37; Schaffland/Wiltfang, § 29 BDSG Rz. 40.
710 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
gemacht werden, wenn der Empfänger gerade mit der Wahrnehmung fremder Interessen betraut ist. Typische berechtigte Interessen sind beispielsweise die Überprüfung der Bonität des Betroffenen durch ein vorleistungspflichtiges Unternehmen sowie die Überprüfung der Kreditwürdigkeit durch eine Bank1. Ebenso wird ein berechtigtes Interesse des Vermieters an einer Auskunft über die (wirtschaftliche) Zulässigkeit seines potenziellen Mieters zu bejahen sein2. b) Glaubhafte Darlegung Das berechtigte Interesse muss durch den Übermittlungsempfänger „glaubhaft dargelegt“ werden. Die Glaubhaftigkeit ist gegeben, wenn eine überwiegende Wahrscheinlichkeit für das Vorliegen eines Interesses spricht3. Es besteht weitestgehend Einigkeit darüber, dass die Anforderungen an eine „glaubhafte Darlegung“ niedriger sind als bei einer „Glaubhaftmachung“ i.S. der ZPO4. Erst recht ist es nicht erforderlich, dass der Empfänger sein berechtigtes Interesse sogar beweist5.
83
Dabei stellt sich die Frage, wie die Darlegung zu erfolgen hat. Grundsätzlich ist hierfür Voraussetzung, dass dem Übermittler die Identität des Datenempfängers soweit bekannt ist, dass er sie nachprüfen kann6. Dies kann beispielsweise durch die Vorlage eines Ausweises oder einer Vollmacht bzw. durch die Nennung einer Kennung oder Kundennummer erfolgen. Darüber hinaus muss eine irgendwie geartete Erklärung oder Dokumentenvorlage durch den Empfänger erfolgen, aus der das Interesse an der Kenntnis der Daten ersichtlich wird. Die glaubhafte Darlegung ist dabei jedoch an keinerlei Formerfordernis gebunden7.
84
Nicht ausreichend ist, wenn der Datenempfänger lediglich auf Nachfra- 85 ge ein Interesse vorweisen kann. Vielmehr muss der Empfänger sein Interesse im Rahmen jedes Übermittlungsvorgangs selbst kundtun und vortragen. Die tatsächlichen Umstände hängen letztlich vom Einzelfall ab. Je enger die Beziehung zwischen Übermittler und Empfänger ist und je regelmäßiger Übermittlungen stattfinden, desto allgemeiner kann die 1 So auch Bergmann/Möhrle/Herb, § 29 BDSG Rz. 87 f. 2 Ebenso Kamlah/Schulz, Die Wohnungswirtschaft 2009, 64. 3 Gola/Schomerus, § 29 BDSG Rz. 27; Bergmann/Möhrle/Herb, § 29 BDSG Rz. 92; Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 38. 4 So z.B. auch Simitis/Ehmann, § 29 BDSG Rz. 224. 5 So auch Schaffland/Wiltfang, § 29 BDSG Rz. 44. 6 Bergmann/Möhrle/Herb, § 29 BDSG Rz. 93. 7 Schaffland/Wiltfang, § 29 BDSG Rz. 45.
Plath 711
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
glaubhafte Darstellung erfolgen1. So ist es beispielsweise ausreichend, wenn regelmäßige Abonnenten einer Auskunftei ihr Interesse durch Angabe eines vorher (vertraglich) vereinbarten Wort- oder Zifferncodes je nach Geschäftsvorgang darlegen2. Gleiches gilt, wenn die Übermittlung immer zu demselben Zweck, z.B. zur Bonitätsauskunft, erfolgt. Die Angabe des Interesses muss dabei durchaus konkret sein, ein mit „Auskunft“ oder „Vertrag“ begründetes Interesse ist nicht ausreichend. Dies heißt jedoch nicht, dass die Interessendarlegung immer in aller Ausführlichkeit erfolgen muss. Stichwortartige Darstellungen wie „Bonitätsauskunft“, „Mieterüberprüfung“ oder die Nennung der Vertragsart („Ratenkaufvertrag“, „Mietvertrag“, „Darlehensvertrag“) genügen den Anforderungen des Abs. 1 Satz 1 Nr. 13. 86 Den Übermittler trifft keine Pflicht zur Überprüfung der Richtigkeit der Angaben des Übermittlungsempfängers, soweit diese plausibel erscheinen und kein Grund zur Annahme besteht, dass das dargelegte Interesse nur vorgetäuscht ist4. Teilweise fordern die Aufsichtsbehörden, dass bei massenhaften Übermittlungen, z.B. durch Auskunfteien, eine stichprobenartige Überprüfung durch die verantwortliche Stelle durchgeführt werden muss5. Die Überprüfung erfolgt in der Regel durch Vorlage eines Dokuments, z.B. eines Kaufvertrags oder eines Kreditantrags, welches das berechtigte Interesse der verantwortlichen Stelle belegt. Bei automatisierten Abrufverfahren ist die Stichprobenprüfung gemäß Abs. 2 Satz 5 vorgeschrieben (s.u. Rz. 95). 87 Problematisch ist die glaubhafte Darlegung eines berechtigten Interesses des Empfängers insbesondere im Falle der Übermittlung personenbezogener Daten im Wege des Abrufs (§ 3 Abs. 4 Nr. 3b) auf Bewertungsportalen oder sozialen Netzwerken6. Insbesondere stellt sich die Frage, ob 1 Bergmann/Möhrle/Herb, § 29 BDSG Rz. 92; Schaffland/Wiltfang, § 29 BDSG Rz. 46. 2 Ebenso Taeger/Gabel/Taeger, § 29 BDSG Rz. 53; Schaffland/Wiltfang, § 29 BDSG Rz. 44. 3 Ebenso Taeger/Gabel/Taeger, § 29 BDSG Rz. 53. 4 Gola/Schomerus, § 29 BDSG Rz. 28; Taeger/Gabel/Taeger, § 29 BDSG Rz. 53; Schaffland/Wiltfang, § 29 BDSG Rz. 47; strenger hingegen Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 39, der eine Überprüfung der Glaubhaftigkeit im Einzelfall fordert. 5 Vgl. Gola/Schomerus, § 29 BDSG Rz. 28; Simitis/Ehmann, § 29 BDSG Rz. 227; Schaffland/Wiltfang, § 29 BDSG Rz. 47. 6 Ausführlich zur datenschutzrechtlichen Bewertung der Nutzung sozialer Netzwerke vgl. Stellungnahme 5/2009 der Artikel-29-Datenschutzgruppe v. 12.6.2009.
712 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
der empfangende Dritte sein berechtigtes Interesse an der Kenntnis der Daten glaubhaft machen kann. Ein solches Interesse ist jedenfalls dann anzunehmen, wenn der Empfänger Daten abruft, die er selbst auf die Seite eingestellt hat oder die unter seiner Kontrolle eingestellt worden sind. Doch auch im Falle des Abrufs „fremder“ Daten ist im Regelfall davon auszugehen, dass der Empfänger ein berechtigtes Interesse an der Übermittlung der Daten hat. So hat der BGH im „spickmich.de“-Urteil1 zutreffenderweise entschieden, dass Abs. 2 Satz 1 Nr. 1 im Hinblick auf die Meinungsfreiheit gemäß Art. 5 Abs. 1 Satz 1 GG verfassungsgemäß auszulegen sei: Zur aktiven Ausübung der Meinungsfreiheit gehöre auch die Möglichkeit zum ungehinderten Meinungsaustausch und mithin auch zur Teilnahme an Foren und Bewertungsportalen2. Dabei erstrecke sich der Schutzbereich der Meinungsfreiheit auch auf anonyme oder pseudonyme Äußerungen3. Allerdings müsse eine Abwägung mit dem allgemeinen Persönlichkeitsrecht des Betroffenen erfolgen4. Erst recht wird ein berechtigtes Interesse des Empfängers anzunehmen sein, wenn die Thematik des Netzwerks oder des Bewertungsportals einen Bereich betrifft, in dem ein erhöhter Informations-, Transparenz- und Aufklärungsbedarf besteht, wie dies z.B. bei Bewertungsportalen über Ärzte oder Rechtsanwälte der Fall ist5. 2. Interessenabwägung (Abs. 2 Satz 1 Nr. 2) Zusätzlich zum Erfordernis der glaubhaften Darlegung setzt Abs. 2 88 Satz 1 Nr. 2 voraus, dass kein Grund zur Annahme besteht, dass ein schutzwürdiges Interesse des Betroffenen am Ausschluss der Übermittlung vorliegt. Auch hier muss – trotz des diesbezüglich unklaren Wortlauts – eine Abwägung mit den Interessen des empfangenden Dritten vorgenommen werden. Im Einzelnen kann auf die Ausführungen zu Abs. 1 Satz 1 Nr. 1 (nicht Nr. 2, der ein offensichtliches Interesse fordert) verwiesen werden (s.o. Rz. 35 ff.).
1 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 – spickmich.de. 2 I.E. zustimmend Feldmann, AnwBl. 2011, 250 (252). 3 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888, 2892 – spickmich.de; ebenso OLG Düsseldorf v. 6.10.2010 – I-15U 80/08, 15 U 80/08. 4 BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888, 2893 – spickmich.de; ebenso Gundermann, VuR 2010, 329 (333) bzgl. der Zulässigkeit des AOK-Ärztenavigators. 5 Vgl. LG Kiel v. 19.12.2001 – 14 O 142/01, NJW-RR 2002, 1195; Gundermann, VuR 2010, 329 (333).
Plath 713
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
3. Sonderregelung für Werbung und Adresshandel (Abs. 2 Satz 2 i.V.m. § 28 Abs. 3 bis 3b) 89 Aufgrund des Verweises in Abs. 2 Satz 2 auf die Regelungen des § 28 Abs. 3 bis 3b gelten auch bei der geschäftsmäßigen Übermittlung Sonderregelungen, wenn die Übermittlung zu Zwecken der Werbung oder des Adresshandels erfolgt. Im Einzelnen kann auf die Ausführungen zu Abs. 1 Satz 2 verwiesen werden (s.o. Rz. 69 ff.). 4. Aufzeichnungspflicht (Abs. 2 Satz 3) 90 Der Gesetzgeber hat zudem Aufzeichnungspflichten der übermittelnden bzw. empfangenden Stelle normiert (Abs. 2 Satz 3 und 4). Dies erfolgte mit der Intention, den Betroffenen zu schützen und eine effektive Durchsetzung und Überprüfung der Einhaltung der Anforderungen des Abs. 1 Satz 1 Nr. 1 zu erreichen. Die Aufzeichnungen dienen einer eventuellen nachträglichen Kontrolle durch den Datenschutzbeauftragten (§ 4g) oder durch die Aufsichtsbehörden (§ 38). 91 Die Aufzeichnungspflicht trifft grundsätzlich den Übermittler. Gemäß Abs. 2 Satz 3 muss dieser bei jedem Übermittlungsvorgang aufzeichnen, dass (i) ein berechtigtes Interesse des Empfängers gegeben ist und dass er (ii) dieses Interesse auch glaubhaft dargelegt hat. Konkret bedeutet dies, dass die verantwortliche Stelle bei jeder Übermittlung – die Identität des Empfängers – die Gründe für das Vorliegen eines Interesses (z.B. „Ratenkauf“ bei Bonitätsanfragen) sowie – die Art und Weise bzw. das Mittel der Darlegung (z.B. „Vorlage eines Vertragsdokuments“) protokollieren muss. Nicht erforderlich ist ein ausführliches Übermittlungsprotokoll oder gar eine Speicherung der konkreten Darlegungsdokumente1. Die Protokollierung muss jedoch konkret genug sein, um eine jederzeitige Überprüfung der Einhaltung der Übermittlungsvoraussetzungen (vgl. Abs. 2 Satz 1 Nr. 1) zu kontrollieren. In den meisten Fällen werden stichpunktartige Aufzeichnungen ausreichen2. 92 Keine Aussage trifft das Gesetz bezüglich der Dauer der Aufzeichnungspflicht. Nach der hier vertretenen Ansicht erscheint in Anlehnung an die Verjährungsfristen eventueller Schadensersatzforderungen gemäß 1 So auch Schaffland/Wiltfang, § 29 BDSG Rz. 48. 2 Vgl. Schaffland/Wiltfang, § 29 BDSG Rz. 48.
714 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
§ 7 i.V.m. § 195 BGB eine Aufzeichnungsdauer von drei Jahren angemessen. Jedenfalls sollte jedoch eine an die Löschungsfristen nach § 35 Abs. 2 Satz 2 Nr. 4 angelehnte Aufzeichnungsdauer von vier Jahren ausreichen1. Teilweise wird vertreten, dass bei Massenverfahren auch kürzere Fristen von etwa einem Jahr ausreichend seien2. Umstritten ist, ob die Aufzeichnungspflicht auch fortbesteht, nachdem die betroffenen Daten gelöscht wurden. Dagegen spricht zwar, dass eine Aufzeichnung ohne Aussagewert ist, wenn die betroffenen Daten nicht mehr vorhanden sind3. Allerdings dient die Aufzeichnungspflicht der Ermöglichung einer effektiven Nachkontrolle, an der auch nach Löschung der betroffenen Daten ein Interesse bestehen kann. Das Gesetz macht ebenso keine Angaben zur Form der Aufzeichnung. Aus diesem Umstand lässt sich der Rückschluss ziehen, dass der Aufzeichnungspflichtige diesbezüglich frei ist.
93
5. Sonderregelungen für automatisierte Abrufverfahren (Abs. 2 Satz 4 und 5) Erfolgt die Übermittlung im Wege des automatisierten Abrufs (§ 3 Abs. 4 Nr. 3b, § 10), so muss nicht der Übermittler, sondern der Empfänger die Aufzeichnung durchführen (Abs. 2 Satz 4). Die Anforderungen an die Protokollierung sind identisch.
94
Die übermittelnde Stelle ist dann zwar von der Aufzeichnungspflicht 95 befreit, doch muss sie Stichprobenkontrollen durchführen (Abs. 2 Satz 5 i.V.m. § 10 Abs. 4 Satz 3). Durch die Einführung dieser Regelung sollte dem Umstand Rechnung getragen werden, dass bei automatisierten Abrufverfahren die Durchführung einer Vorabüberprüfung der glaubhaften Darlegung eines berechtigten Übermittlungsinteresses in der Praxis nicht möglich ist. Die übermittelnde Stelle muss im Rahmen der Stichprobenkontrolle feststellen und überprüfen, ob im Einzelfall ein berechtigtes Interesse des Empfängers (vgl. Abs. 2 Satz 1 Nr. 2) vorgelegen hat. Zu den Anforderungen an die Stichproben im Einzelnen vgl. § 10 Rz. 29.
1 So auch Bergmann/Möhrle/Herb, § 29 BDSG Rz. 107; Taeger/Gabel/Taeger, § 29 BDSG Rz. 58; a.A. Däubler/Klebe/Wedde/Weichert/Weichert, § 29 BDSG Rz. 42 sowie Schaffland/Wiltfang, § 29 BDSG Rz. 50, die sich für eine Aufbewahrungsdauer von 5 Jahren ausspricht. 2 Bergmann/Möhrle/Herb, § 29 BDSG Rz. 107. 3 So z.B. Gola/Schomerus, § 29 BDSG Rz. 30.
Plath 715
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
V. Aufnahme in elektronische oder gedruckte Verzeichnisse (Abs. 3) 96 Abs. 3 regelt, unter welchen Voraussetzungen personenbezogene Daten in elektronische oder gedruckte Verzeichnisse aufgenommen werden können. Diese Regelung baut auf § 104 TKG auf, der eine Aufnahme von Telekommunikationsteilnehmern in Verzeichnisse nur auf Antrag des Teilnehmers zulässt. Durch Abs. 3 soll der Schutz des § 104 TKG auch auf solche Verzeichnisse erweitert werden, die nicht durch Telekommunikationsanbieter erstellt oder geführt werden1. 97 Voraussetzung für die Anwendbarkeit des Abs. 3 ist dementsprechend, dass die Daten, die durch die verantwortliche Stelle in elektronischen oder gedruckten Verzeichnissen verwendet werden sollen, aus Telekommunikationsverzeichnissen i.S.d. § 104 TKG entnommen wurden. Stammen die personenbezogenen Daten aus anderen Quellen, so ist Abs. 3 nicht anwendbar2. Zu beachten ist, dass Abs. 3 lediglich regelt, unter welchen (Negativ-)Voraussetzungen die Aufnahme von Daten in Verzeichnisse zulässig ist. Die Zulässigkeit der anschließenden Verwendung dieser Verzeichnisse und der darin enthaltenen Daten richtet sich nach den Grundregeln des Abs. 1. 98 Aus der Formulierung des Abs. 3 Satz 1 ergibt sich, dass eine Aufnahme von personenbezogenen Daten in elektronische oder gedruckte Verzeichnisse grundsätzlich zulässig ist. Einer Einwilligung des Betroffenen bedarf es nicht. Lediglich dann, wenn der entgegenstehende Wille des Betroffenen aus dem zugrunde liegenden Verzeichnis i.S.d. § 104 TKG ersichtlich wird, ist die Verwendung der personenbezogenen im entsprechenden Umfang unzulässig. Der entgegenstehende Wille kann sich z.B. auf bestimmte Daten, auf die Aufnahme in bestimmte Verzeichnisse oder auf das Verbot einer Datenverknüpfung beschränken3. Die eingeschränkte Verwendung von Daten, z.B. die Abkürzung des Vornamens, muss auch als eine solche Kennzeichnung aufgefasst und entsprechend respektiert werden4. 99 Schließlich müssen Kennzeichnungen, die in den Ursprungsverzeichnissen bezüglich des Verwendungswillens des Betroffenen vorgenommen wurden (z.B. Ablehnung einer Verwendung zu Werbezwecken), in 1 Taeger/Gabel/Taeger, § 29 BDSG Rz. 61 f.; Simitis/Ehmann, § 29 BDSG Rz. 240; Bergmann/Möhrle/Herb, § 29 BDSG Rz. 110; Däubler/Klebe/Wedde/ Weichert/Weichert, § 29 BDSG Rz. 54. 2 Taeger/Gabel/Taeger, § 29 BDSG Rz. 62; Simitis/Ehmann, § 29 BDSG Rz. 243. 3 So auch Taeger/Gabel/Taeger, § 29 BDSG Rz. 63. 4 Bergmann/Möhrle/Herb, § 29 BDSG Rz. 112.
716 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
den Nachfolgeverzeichnissen i.S.v. Abs. 3 übernommen werden (Abs. 3 Satz 2). VI. Sonderregelung für die Verarbeitung und Nutzung übermittelter Daten (Abs. 4) Gemäß Abs. 4 sind auf die Verarbeitung und Nutzung übermittelter Da- 100 ten die Regelungen des § 28 Abs. 4 (Widerspruchsrecht) und § 28 Abs. 5 (Zweckbindung bei Drittübermittlung) anzuwenden. Dem Betroffenen gewährt der Gesetzgeber ein Widerspruchsrecht gegen 101 die Verarbeitung oder Nutzung seiner Daten zu Zwecken der Werbung oder der Markt- und Meinungsforschung (Abs. 4 i.V.m. § 28 Abs. 4). Der Widerspruch kann auch an Dritte gerichtet werden, die Daten nach Maßgabe des § 28 Abs. 3 im Wege der Übermittlung erhalten haben (vgl. § 28 Rz. 184). Darüber hinaus ist die verantwortliche Stelle dazu verpflichtet, den Betroffenen bereits bei der Ansprache zum Zweck der Werbung über ihre Identität sowie über das Bestehen des Widerspruchsrechts zu benachrichtigen. Zudem muss sie sicherstellen, dass der Betroffene Kenntnis über die Herkunft der verwendeten Daten erlangen kann (Abs. 4 i.V.m. § 28 Abs. 4 Satz 2, vgl. § 28 Rz. 186). Richtet sich der Widerspruch gegen einen Dritten (vgl. § 28 Abs. 4 Satz 3), so hat dieser die Daten unverzüglich für Zwecke der Werbung bzw. der Markt- und Meinungsforschung zu sperren (s. auch § 28 Rz. 200). Auf eine solche Sperrung ist auch der Empfänger gesperrter Daten hinzuweisen1.
102
Schließlich dürfen übermittelte Daten nur zu den Zwecken verarbeitet oder genutzt werden, zu den sie übermittelt wurden (Abs. 4 i.V.m. § 28 Abs. 5 Satz 1). Diese grundsätzliche Bindung an den Übermittlungszweck wird jedoch durch § 28 Abs. 5 Satz 2 gelockert, der wiederum auf die Ausnahmeregelungen des § 28 Abs. 2 und 3 bzw. auf § 14 (für öffentliche Stellen) verweist. Gemäß § 28 Abs. 5 Satz 3 muss die verantwortliche Stelle den Datenempfänger sowohl auf die Zweckbindung als auch auf die Ausnahmemöglichkeiten des § 28 Abs. 5 Satz 2 hinweisen. Zu beachten ist, dass § 28 Abs. 5 teilweise durch die Regelung über die absolute Zweckbindung bei der Übermittlung zu Werbezwecken verdrängt wird (§ 28 Abs. 3 Satz 7). Diese Verdrängung muss auch im Rahmen von § 29 berücksichtigt werden, da in Abs. 1 Satz 2 und in Abs. 2 Satz 2 auf § 28 Abs. 3 verwiesen wird.
103
1 Taeger/Gabel/Taeger, § 29 BDSG Rz. 64.
Plath 717
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
VII. Geschäftsmäßige Verwendung sensibler Daten (Abs. 5) 104 Abs. 5 verweist auf die Regelungen des § 28 Abs. 6 bis 9, die für den Umgang mit sog. sensiblen Daten, also „besonderen Arten personenbezogener Daten“ (vgl. § 3 Abs. 9), Sonderregelungen vorsehen. 105 Damit ist die geschäftsmäßige Verwendung sensibler Daten erlaubt, wenn eine Einwilligung vorliegt oder einer der vier Erlaubnistatbestände des § 28 Abs. 6 erfüllt ist (Abs. 5 i.V.m. § 28 Abs. 6). So ist ein entsprechender Datenumgang ohne Einwilligung nur zulässig, wenn er (i) zum Schutz lebenswichtiger Interessen erfolgt (Abs. 5 i.V.m. § 28 Abs. 6 Nr. 1), (ii) offenkundig öffentliche Daten verwendet werden (Abs. 5 i.V.m. § 28 Abs. 6 Nr. 2), (iii) dies zur Geltendmachung rechtlicher Ansprüche (Abs. 5 i.V.m. § 28 Abs. 6 Nr. 3) oder (iv) zu Zwecken der wissenschaftlichen Forschung (Abs. 5 i.V.m. § 28 Abs. 6 Nr. 4) erforderlich ist1. 106 Über die Grundregelung des Abs. 5 i.V.m. § 28 Abs. 6 hinaus ist unter den Voraussetzungen des Abs. 5 i.V.m. § 28 Abs. 7 die geschäftsmäßige Erhebung sensibler Daten zu Zwecken des Gesundheitswesens zulässig. Voraussetzung ist jedoch, dass die Daten nur von Personen verarbeitet werden, die der medizinischen Schweigepflicht unterworfen wurden (vgl. § 28 Rz. 214 ff.). 107 Die Verwendung sensibler Daten unterliegt einer Zweckbindung. Diese wird jedoch durch Abs. 5 i.V.m. § 28 Abs. 8 durchbrochen. Nach der hier vertretenen Ansicht kann die Regelung nur dahingehend verstanden werden, dass eine Zweckerweiterung nach § 28 Abs. 8 Satz 1 nur dann zulässig sein soll, wenn neben dem ursprünglichen Zweck ein weiterer Zweck vorliegt, der eine Datenverwendung unter den Voraussetzungen des § 28 Abs. 6 oder 7 legitimiert (s. auch § 28 Rz. 217). 108 Darüber hinaus erlaubt § 28 Abs. 8 Satz 2 eine Datenverwendung zu einem anderen als dem ursprünglichen Zweck, wenn die Verwendung zur Abwehr erheblicher Gefahren oder zur Verfolgung von Straftaten von erheblicher Bedeutung erforderlich ist (vgl. § 28 Rz. 218). 109 Schließlich privilegiert Abs. 5 i.V.m. § 28 Abs. 9 die geschäftsmäßige Erhebung, Verarbeitung und Nutzung von sensiblen Daten durch politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Organisationen, sofern sie keinen Erwerbszweck verfolgen. Die Anwendbar1 Zur ausführlichen Darstellung der Erlaubnistatbestände s. § 28 BDSG Rz. 207 ff.
718 Plath
Geschäftsmäßige Datenerhebung zum Zweck der Übermittlung
§ 29 BDSG
keit dieser Norm steht nicht im Widerspruch zum Anwendungsbereich des § 29, der den geschäftsmäßigen Datenumgang regelt, denn das Merkmal der Geschäftsmäßigkeit setzt gerade nicht voraus, dass die Tätigkeit der verantwortlichen Stelle gewerbsmäßig oder entgeltlich erfolgt (s. ausf. § 29 Rz. 7). Zu beachten ist, dass die Regelungen des § 28 Abs. 6 bis 9 vielfach eine Erforderlichkeits- oder Verhältnismäßigkeitsabwägung erfordern.
110
VIII. Sonderregelungen für Verbraucherkredite (Abs. 6 und 7) In Umsetzung des Art. 9 EU-Verbraucherkreditrichtlinie1 sehen Abs. 6 111 und 7 bestimmte Regelungen vor, die die Verwendung von Daten aus Datenbanken zur Bewertung der Kreditwürdigkeit betreffen. Zu beachten ist, dass sich der Schutzbereich dieser beiden Normen in Abweichung zu den sonstigen Regelungen des § 29 nur auf betroffene Verbraucher i.S.d. § 13 BGB erstreckt und ausschließlich auf Vorgänge im Zusammenhang mit der Kreditvergabe beschränkt ist. 1. Gleichbehandlung bzgl. des Zugangs zu Kreditauskunftssystemen (Abs. 6) Abs. 6 regelt die Gleichbehandlung europäischer Kreditgeber bezüglich 112 des Zugangs zu Kreditauskunfteien im Falle grenzüberschreitender Kreditvergaben. Adressaten der Norm sind damit alle Kreditinformationssysteme wie Auskunfteien oder Warndienste, soweit sie allgemein zugänglich sind. Abs. 6 gilt demnach nicht für geschlossene, z.B. konzerninterne Warndienste2. Durch die Regelung des Abs. 6 soll gewährleistet werden, dass Kredit- 113 geber aus EU- und EWR-Staaten denselben Zugang zu Informationen über die Kreditwürdigkeit von Verbrauchern haben wie inländische Kreditgeber, um Wettbewerbsverzerrungen zu verhindern3. Die Verpflichtung der Kreditauskunfteien zur Gleichbehandlung bezieht sich auf alle Anfrage- und Auskunftsvoraussetzungen wie Formalitäten oder Kosten.
1 Richtlinie 2008/48/EG des europäischen Parlaments und des Rates v. 23.4.2008 über Verbraucherkreditverträge und zur Aufhebung der Richtlinie 87/102/EWG des Rates. 2 Ebenso Gola/Schomerus, § 29 BDSG Rz. 46. 3 Vgl. Erwägungsgrund 28 der EU-Verbraucherkreditrichtlinie 2008/48/EG.
Plath 719
BDSG § 29
Datenverarbeitung nicht-öffentlicher Stellen
114 Abs. 6 hat keine Auswirkung auf die Auskunftsansprüche der Betroffenen, die in Abs. 7 geregelt werden. 2. Information des betroffenen Verbrauchers (Abs. 7) 115 Lehnt ein Kreditgeber eine Kreditvergabe an einen Verbraucher infolge einer negativen Auskunft durch ein Kreditinformationssystem ab, so muss er den betroffenen Verbraucher sowohl über die Anfrage als auch über die erhaltene Auskunft informieren. Die Regelung soll der Transparenz bei der Kreditvergabe dienen und betrifft sowohl Verbraucherdarlehens- (§ 491 BGB) als auch Finanzierungshilfeverträge (§ 506 BGB). Die Auskunft muss unverzüglich, kostenlos und mit einer Begründung versehen erfolgen1. Teilweise wird vertreten, dass der Verbraucher seinen Auskunftsanspruch auch direkt gegen die Auskunftei geltend machen kann2. Gegen diese Ansicht spricht jedoch der eindeutige Wortlaut des Abs. 7 Satz 13. Allerdings bleiben andere Auskunftsansprüche gegen das Kreditinformationssystem, z.B. aus § 34, unberührt. 116 Die Information muss unterbleiben, wenn durch die Auskunft eine Gefahr für die öffentliche Sicherheit und Ordnung entstehen würde (Abs. 7 Satz 2). Dies ist laut Erwägungsgrund 29 der EU-Verbraucherkreditrichtlinie insbesondere dann der Fall, wenn durch die Erteilung der Auskunft gegen europäische Rechtsvorschriften (z.B. über Terrorismusfinanzierung oder Geldwäsche) verstoßen wird oder die Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten behindert wird. Entgegenstehende Betriebs- oder Geschäftsgeheimnisse reichen indes nicht zur Ablehnung eines Auskunftsanspruchs aus4. 117 Der Verweis in Abs. 7 Satz 3 auf § 6a verdeutlicht, dass der Auskunftsanspruch nach Abs. 7 neben den Auskunftsansprüchen gemäß § 6a besteht. IX. Rechtsfolgen bei Verstoß 118 Eine Datenverwendung, die nicht durch einen der Erlaubnistatbestände des § 29 und auch sonst durch keine Einwilligung oder bereichsspezifische Regelung gedeckt ist, ist unzulässig. Bei Zuwiderhandlungen 1 Vgl. BT-Drucks. 16/11643, S. 140. 2 So z.B. Bergmann/Möhrle/Herb, § 29 BDSG Rz. 126; Däubler/Klebe/Wedde/ Weichert/Weichert, § 29 BDSG Rz. 61. 3 Ebenso Taeger/Gabel/Taeger, § 29 BDSG Rz. 71. 4 So auch Bergmann/Möhrle/Herb, § 29 BDSG Rz. 127.
720 Plath
Übermittlung in anonymisierter Form
§ 30 BDSG
kann die verantwortliche Stelle auf Unterlassung und Beseitigung gemäß § 823 Abs. 1 i.V.m § 1004 BGB in Anspruch genommen werden. Möglich sind auch die Geltendmachung von Schadensersatzansprüchen aus § 7 BDSG, § 823 Abs. 1 BGB sowie § 823 Abs. 2 BGB i.V.m. § 29 als Schutzgesetz. Der Betroffene kann zudem bei schwerwiegenden Verletzungen seines Rechts auf informationelle Selbstbestimmung Anspruch auf Zahlung von Schmerzensgeld haben. Unzulässiger oder unrichtiger Weise gespeicherte Daten müssen unter den Voraussetzungen des § 35 berichtigt, gelöscht oder gesperrt werden.
119
Darüber hinaus ist ein Verstoß gegen § 29 unter den Voraussetzungen 120 des § 43, insbesondere § 43 Abs. 1 Nr. 5 bis 7b sowie § 43 Abs. 2 Nr. 5 als Ordnungswidrigkeit bußgeldbewährt. Bei vorsätzlichen Verstößen, die gegen Entgelt oder in Bereicherungs- oder Schädigungsabsicht erfolgen, droht zudem eine Strafbarkeit gemäß § 44. Schließlich berechtigt ein Verstoß gegen § 29 auch zu einem Einschreiten der Aufsichtsbehörde gemäß § 38. Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung in anonymisierter Form (1) 1Werden personenbezogene Daten geschäftsmäßig erhoben und gespeichert, um sie in anonymisierter Form zu übermitteln, sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. 2Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies für die Erfüllung des Zwecks der Speicherung oder zu wissenschaftlichen Zwecken erforderlich ist.
30
(2) Die Veränderung personenbezogener Daten ist zulässig, wenn 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Veränderung hat, oder 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, soweit nicht das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Veränderung offensichtlich überwiegt. (3) Die personenbezogenen Daten sind zu löschen, wenn ihre Speicherung unzulässig ist. (4) § 29 gilt nicht. Plath/Kamlah 721
121
BDSG § 30
Datenverarbeitung nicht-öffentlicher Stellen
(5) § 28 Abs. 6 bis 9 gilt entsprechend. I. Einführung . . . . . . . . . . . . . . . .
1
II. Anwendungsbereich . . . . . . . .
6
III. Die Norm im Einzelnen . . . . . 1. Datentrennung (Abs. 1 Satz 1). . . . . . . . . . . . . . 2. Datenzusammenführung (Abs. 1 Satz 2). . . . . . . . . . . . . . 3. Zulässigkeit der Veränderung (Abs. 2) . . . . . . . . . . . . . . . . . . .
11
4. Löschung (Abs. 3) . . . . . . . . . . . 21 5. Nichtanwendung von § 29 (Abs. 4). . . . . . . . . . . . . . . . . . . . 22 6. Sensible Daten (Abs. 5) . . . . . . 23
12
IV. Verhältnis zu anderen Normen . . . . . . . . . . . . . . . . . . . 24
16
V. Rechtsfolgen/Sanktionen . . . . 28
19
Schrifttum: siehe §§ 6a, 28a, 34.
I. Einführung 1 Während § 28 die Datenverarbeitung zu eigenen Geschäftszwecken und § 29 die Datenverarbeitung zum Zwecke der Übermittlung (sog. fremdnützige Datenverarbeitung1) regelt, geht es bei § 30 um die geschäftsmäßige Datenerhebung und -speicherung zum Zwecke der Übermittlung in anonymisierter Form. Sodann folgte ursprünglich mit § 31 eine Vorschrift über die besondere Zweckbindung. Damit stellte ursprünglich die Vorschrift des § 30 eine besondere Variante des § 29 dar, denn bei § 30 erfolgt entsprechend dem im Datenschutzrecht geltenden Phasenmodell2 nur die Datenerhebung und -speicherung in geschäftsmäßiger Form, während die sich dann anschließende Übermittlung anonymisiert vollzog. 2 Diese Gesamtsystematik ist aber durch die sog. BDSG-Novelle II vom 14.8.2009 etwas durchbrochen worden3. Mit ihr wurde nicht nur das sog. Listenprivileg überarbeitet (Einzelheiten, s. § 28 und dort insbesondere Abs. 3), sondern auch mit dem § 30a eine Sondervorschrift für die Datenverarbeitung zum Zwecke der Markt- und Meinungsforschung eingeführt (zur Abgrenzung s. auch § 30a). Seitdem wird die Frage gestellt, welchen Regelungsbereich § 30 überhaupt noch hat (s. dazu sogleich Rz. 6)4. 3 Gleichwohl stellt sich die Frage, warum es einer Regelung im BDSG bedarf, die eine anonymisierte Form der Datenverarbeitung – insbesondere 1 2 3 4
So beispielsweise der Titel der Dissertation von Ganßauge. Simitis/Dammann, § 3 BDSG Rz. 100 ff. und 111 ff. BGBl. I, S. 2814. Von Funktionslosigkeit spricht Simitis/Ehmann, § 30 BDSG Rz. 1.
722 Kamlah
Übermittlung in anonymisierter Form
§ 30 BDSG
die der Übermittlung – regelt. Anonymisierte Datenverarbeitungsvorgänge sind schon vom Ansatz her nicht BDSG-relevant. Grund für die Aufnahme des § 30 kann nur die in bestimmten Fällen zulässige „Reanonymisierung“1 nach Abs. 1 Satz 2 sein, der Raum für ein Regelungsbedürfnis schafft2. Die Vorschrift trennt demnach zwischen dem Personenbezug, der ggf. 4 noch beim Normadressaten (wieder) hergestellt werden kann, und dem (fehlenden) Personenbezug beim Empfänger der Datei. Für letzteren hat es keine rechtliche Relevanz, dass ggf. der Personenbezug bei der übermittelten Stelle (wieder) hergestellt werden kann. § 30 stützt damit bei der Frage, wann von einem Personenbezug ausgegangen werden kann, die sog. relative Theorie, die ausschließlich auf die Kompetenz der verantwortlichen Stelle abstellt (Einzelheiten s. § 3 Abs. 1). Teilweise werden als praktischer Anwendungsfall für den § 30 beispiel- 5 haft Scoringverfahren genannt, da in diesen Fällen u.U. eine ausschließlich anonymisierte Übermittlung aggregierter Daten erfolge3. Das lässt die Diskussion wieder aufkommen, ob es sich bei übermittelten Scorewerten, die einer Person zugeordnet werden, um personenbezogene Daten handelt4. Diese Frage hat aber durch die Einführung des in seinem Anwendungsbereich vorrangigen § 28b an Bedeutung verloren, durch den die Bildung und Übermittlung von Wahrscheinlichkeitswerten an bestimmte Voraussetzungen geknüpft wird. Dagegen behält § 30 beispielsweise für sog. Portfolioanalysen, bei denen Auswertungen auf Basis anonymisierter Daten erfolgen (können) und dann das aggregierte Analyseergebnis (in Form einer Studie) dem Empfänger zur Verfügung gestellt wird, weiterhin praktische Relevanz. Solche Portofolioanalysen können unterschiedlichste Fragestellungen beinhalten. So kann Gegenstand einer solchen Analyse die Bewertung eines Forderungsbestandes sein. Im Fokus steht dann nicht die Betrachtung von Einzelrisiken, sondern die eines ganzen Portfolios, welche dann ggf. im Rahmen von Forderungstransaktionen preisrelevant sein können. Daneben können bei entsprechender Ausgestaltung auch notwendige Datentestverfahren über § 30 legitimiert werden.
1 Kritisch zum Begriff der Deanonymisierung Simitis/Ehmann, § 30 BDSG Rz. 55 ff. 2 Von „Restrisiko“ spricht Taeger/Gabel/Taeger, § 30 BDSG Rz. 4. 3 Däubler/Klebe/Wedde/Weichert/Weichert, § 30 BDSG Rz. 1. 4 Zuletzt zusammenfassend Helfrich, S. 49 ff.
Kamlah 723
BDSG § 30
Datenverarbeitung nicht-öffentlicher Stellen
II. Anwendungsbereich 6 Als im dritten Abschnitt des BDSG stehende Norm bestimmt sich der Anwendungsbereich des § 30 zunächst nach § 27 (s. dort). Bemerkenswert ist an dieser Stelle, dass eine vergleichbare Vorschrift im zweiten Abschnitt des BDSG fehlt. Hier wird man auf die Vorschriften zum Statistikrecht zurückzugreifen haben. 7 Der Anwendungsbereich ist aber im Verhältnis zu den §§ 28, 29, 30a denkbar eng geworden (Einzelheiten s. Rz. 24 ff.). 8 Bei der initialen Erhebung und Speicherung muss es sich zunächst um personenbezogene Daten handeln. Fehlt es bereits daran, handelt es sich schon nicht um einen datenschutzrelevanten Vorgang (Einzelheiten s. § 3 Abs. 1)1. 9 Die Erhebung und Speicherung personenbezogener Daten muss ferner geschäftsmäßig erfolgt sein. Das BDSG definiert diesen Begriff nicht näher. Entsprechend der Systematik knüpft diese Norm aber an § 29 an, sodass auf die dortige Kommentierung verwiesen werden kann2. 10 Aus dem Eingangssatz des Abs. 1 ergibt sich ferner, dass § 30 keine Ermächtigungsgrundlage für die initiale Erhebung enthält3. Vielmehr regelt § 30 nur die Anforderungen an die weitere Datenverarbeitung. Die Zulässigkeit der initialen Erhebung richtet sich vielmehr nach den allgemeinen Regeln, also nach den Zulässigkeitsvarianten des § 4 BDSG4. Der Rückgriff auf § 29 ist für diese Phase nicht ausgeschlossen. Abs. 4 stellt nur für die weitere Verarbeitung klar, dass diese nicht auf § 29 gestützt werden kann. Eine Einwilligung ist für die Erhebungsphase zwar möglich, aber nicht zwingend5.
1 Simitis/Ehmann, § 30 BDSG Rz. 27. 2 Taeger/Gabel/Taeger, § 30 BDSG Rz. 10 verweist u.a. auch noch auf die Rechtsprechung zu § 46 Abs. 4 Satz 1 AO sowie die Formulierung des § 3 Nr. 10 TKG. 3 Gola/Schomerus, § 30 BDSG Rz. 3. 4 Däubler/Klebe/Wedde/Weichert/Weichert, § 30 BDSG Rz. 4. 5 Däubler/Klebe/Wedde/Weichert/Weichert, § 30 BDSG Rz. 4; Simitis/Ehmann, § 30 BDSG Rz. 37 ff. (43); undeutlich hier dagegen Taeger/Gabel/Taeger, § 30 BDSG Rz. 22 unter Bezug auf Däubler/Klebe/Wedde/Weichert/Weichert, § 30 BDSG Rz. 10.
724 Kamlah
Übermittlung in anonymisierter Form
§ 30 BDSG
III. Die Norm im Einzelnen Entsprechend dem eben Gesagten regelt die Norm in erster Linie die (weitere) Datenverarbeitung nach der (zulässigen) Datenerhebung.
11
1. Datentrennung (Abs. 1 Satz 1) Ausweislich des Wortlautes dürfen die Daten nach der (zulässigen) Erhe- 12 bung nicht in der erhobenen Form gespeichert werden, sondern sind vor der Speicherung1 so zu verändern (s. § 3 Abs. 4 Nr. 2), dass die Merkmale, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können, gesondert gespeichert werden. Erfolgt die Trennung zu diesem Zeitpunkt nicht, handelt es sich nicht um einen Vorgang nach § 30, sondern nach § 292. Die sog. Filetrennung erfolgt dergestalt, dass in der Datei, die weiterver- 13 arbeitet und analysiert werden soll, die entsprechenden Datensätze nur noch mit einer Kennung versehen ist. Dagegen enthält der „Personenstammsatz“ nur die Stammdaten mit der Kennung, um so eine Zuordnung wieder herstellen zu können. Dementsprechend sind die Daten nicht (voll) anonymisiert im Sinne von § 3 Abs. 6, sondern nur pseudonymisiert (§ 3 Abs. 6a), da sich der Personenbezug durch die verantwortliche Stelle ja wiederherstellen lassen soll3. (Voll) anonymisiert ist dann erst die sich daran anschließende Übermittlung4.
14
Die Pseudonymisierung ist wirksam auszugestalten, damit die Abgren- 15 zung zum § 29 nicht leer läuft. Dementsprechend ist die Pseudonymisierung durch technisch-organisatorische Maßnahmen nach dem jeweils aktuellen Stand der Technik zu unterlegen5. 2. Datenzusammenführung (Abs. 1 Satz 2) Nach Abs. 1 Satz 2 darf eine Zusammenführung der nach Satz 1 getrennten Dateien erfolgen, soweit dies für die Erfüllung des Zwecks der 1 Simitis/Ehmann, § 30 BDSG Rz. 54; Däubler/Klebe/Wedde/Weichert/Weichert, § 30 BDSG Rz. 7. 2 Vgl. Gola/Schomerus, § 30 BDSG Rz. 5. 3 Taeger/Gabel/Taeger, § 30 BDSG Rz. 16; Gola/Schomerus, § 30 BDSG Rz. 7. 4 Gola/Schomerus, § 30 BDSG Rz. 6. 5 Taeger/Gabel/Taeger, § 30 BDSG Rz. 17.
Kamlah 725
16
BDSG § 30
Datenverarbeitung nicht-öffentlicher Stellen
Speicherung oder zu wissenschaftlichen Zwecken erforderlich ist. Die Erforderlichkeit muss dabei bei der verantwortlichen Stelle, nicht etwa beim Empfänger gegeben sein. Es stellt sich aber die Frage, wann eigentlich diese Erforderlichkeit gegeben sein kann1. Diese Frage stellt sich nach Einführung von § 30a umso mehr, weil das immer wieder erwähnte Beispiel der „Langzeitstudien“2 vermutlich im Rahmen der Marktund Meinungsforschungen größere praktische Relevanz entfaltet und somit dem vorrangigen § 30a unterfällt. 17 Aus dem Wort „soweit“ wird allgemein eine zeitliche Begrenzung für die „Entpseudonymisierung“ abgeleitet. Danach ist die Datentrennung sofort wieder herzustellen3. 18 Fraglich ist, ob eine Datenzusammenführung nach Satz 2 auch auf Basis einer Einwilligung erfolgen darf, da sich nach dem Wortlaut die Möglichkeit der Zusammenführung „nur“ bei entsprechender Erforderlichkeit ergibt. Das ist jedoch zu bejahen. Grund hierfür ist, dass der Rückgriff auf alle Zulässigkeitsvarianten des § 4 nicht abgeschnitten werden kann4. Erfolgt die Datenzusammenführung im Zusammenhang mit einer Zweckänderung oder -erweiterung gegenüber der ursprünglich im Zusammenhang mit der Datenerhebung erteilten Einwilligung, so werden an die ursprünglich erteilte Einwilligung strenge Anforderungen angelegt5. 3. Zulässigkeit der Veränderung (Abs. 2) 19 Absatz 2 normiert Voraussetzungen für die zulässige Veränderung personenbezogener Daten. Damit greift Abs. 2 (nur), wenn sich die Daten nicht (mehr) in einem pseudonymisierten Zustand befinden6. Nach § 3 Abs. 4 Nr. 2 ist das „Verändern“ das inhaltliche Umgestalten personenbezogener Daten. Die Veränderung kann in einer inhaltlichen Aufbereitung, Verknüpfung oder Kontextveränderung, aber auch in einer Berichtigung von Daten bestehen7. Folglich besteht der Sinn der Vorschrift
1 Gola/Schomerus, § 30 BDSG Rz. 9; Taeger/Gabel/Taeger, § 30 BDSG Rz. 19. 2 Bergmann/Möhrle/Herb, § 30 BDSG, Rz. 22; Simitis/Ehmann, § 30 BDSG, Rz. 62; Taeger/Gabel/Taeger, § 30 BDSG Rz. 18; Gola/Schomerus, § 30 BDSG Rz. 8. 3 Simitis/Ehmann, § 30 BDSG Rz. 61; Taeger/Gabel/Taeger, § 30 BDSG Rz. 18. 4 Simitis/Ehmann, § 30 BDSG Rz. 59; Taeger/Gabel/Taeger, § 30 BDSG Rz. 18. 5 Gola/Schomerus, § 30 BDSG Rz. 8. 6 Bergmann/Möhrle/Herb, § 30 BDSG Rz. 28. 7 Däubler/Klebe/Wedde/Weichert/Weichert, § 3 BDSG Rz. 35.
726 Kamlah
Übermittlung in anonymisierter Form
§ 30 BDSG
darin, es der verantwortlichen Stelle zu ermöglichen, die (wissenschaftliche) Analyse oder Auswertung adäquat vorbereiten zu können. Allerdings darf die Veränderung nur unter bestimmten Voraussetzungen 20 erfolgen, wobei die Zulässigkeit auch davon abhängt, welche Form der Veränderung tatsächlich vorgenommen wird. So wird beispielsweise eine Aktualisierung von Daten schon auch im Interesse des Betroffenen stehen. Im Übrigen darf der Betroffene kein schutzwürdiges Interesse am Ausschluss der Veränderung haben (s. auch § 29 Abs. 1 Nr. 1). Bei der Bestimmung der Interessen ist die Kenntnis des Betroffenen über die Inhalte der Studie mit zu berücksichtigen1. Nach der 2. Variante ist die Veränderung zulässig bei aus öffentlichen Verzeichnissen entnommenen Daten und fehlendem offensichtlichen Überwiegen entgegen stehender Interessen des Betroffenen (s. auch § 28 Abs. 1 Satz 1 Nr. 3 und § 29 Abs. 1 Satz 1 Nr. 2). 4. Löschung (Abs. 3) Abs. 3 wiederholt § 35 Abs. 2 Satz 2 Nr. 1 und hat keinen eigenen Regelungsgehalt2.
21
5. Nichtanwendung von § 29 (Abs. 4) Abs. 4 hat (ebenfalls) nur klarstellende Funktion. Da die Datenübermitt- 22 lung in anonymisierter Form erfolgt, kann sie nicht auf § 29 gestützt werden. Die Zulässigkeit einer Datenerhebung kann sich aber gleichwohl aus § 29 ergeben, da hierzu der Eingangssatz des Abs. 1 keine Aussage trifft (s. schon oben). Dementsprechend kann ein Unternehmen, welches die Daten nach § 29 Abs. 1 zulässigerweise erhoben hat, hinsichtlich der weiteren Datenverarbeitung sowohl nach § 29 Abs. 2, als auch nach § 30 vorgehen (zu praktischen Anwendungsfällen s.o.). Ausgeschlossen ist lediglich der umgekehrte Fall, dass nach § 30 gespeicherte Daten nicht (auch) nach § 29 übermittelt werden dürfen3. 6. Sensible Daten (Abs. 5) Wie § 29 enthält § 30 – und diesem folgend auch § 30a – einen Absatz 5, 23 der die Schutzbedürftigkeit von sensiblen Daten bei deren Verarbeitung 1 Bergmann/Möhrle/Herb, § 30 BDSG Rz. 31; Simitis/Ehmann, § 30 BDSG Rz. 72. 2 H.M., statt aller Däubler/Klebe/Wedde/Weichert/Weichert, § 30 BDSG Rz. 9. 3 Simitis/Ehmann, § 30 BDSG Rz. 82 f.
Kamlah 727
BDSG § 30
Datenverarbeitung nicht-öffentlicher Stellen
hervorhebt. Ob der pauschale Verweis auf eine Vorschrift des § 28, der die Datenverarbeitung für eigene Zwecke regelt, sachgerecht ist1, kann im Grunde dahinstehen. Jedenfalls ist über die ja nur entsprechende Anwendung der Abs. 6 bis 9 des § 28 bei der Auslegung der Schutzbedürftigkeit sensibler Daten Rechnung zu tragen. Zu beachten ist hier vor allem § 4a Abs. 3, wonach sich bei der Datenverarbeitung von sensiblen Daten, die auf eine Einwilligung gestützt wird, die Einwilligung ausdrücklich auf die sensiblen Daten zu beziehen hat. IV. Verhältnis zu anderen Normen 24 Erfolgt die Datenerhebung und -speicherung zwar personenbezogen, aber nicht zum Zwecke der Übermittlung, sondern für eigene Zwecke, dann greift § 282. 25 Bei einer geschäftsmäßigen Datenerhebung und -speicherung mit anschließender Übermittlung nicht anonymisierter, sondern personenbezogener Daten greift § 293. 26 Dient die geschäftsmäßige Datenverarbeitung und -speicherung dem Zweck der Markt- und Meinungsforschung, geht § 30a dem § 30 vor4. Im Anwendungsbereich des TMG bzw. des TKG sind für die Marktforschung wiederum die Sondervorschriften des § 15 Abs. 3 TMG bzw. die des § 95 Abs 2 TKG zu beachten. 27 In Abgrenzung zu § 40 ist § 30 nur dann anwendbar, wenn die Datenerhebung und -speicherung geschäftsmäßig erfolgt. In diesem Fällen geht § 30 dem auch § 40 vor5. V. Rechtsfolgen/Sanktionen 28 Gemäß § 43 Abs. 2 Nr. 6 ist ein Verstoß gegen § 30 Abs. 1 Satz 2 bußgeld- und nach § 44 Abs. 1 strafbewehrt. Auf § 30 Abs. 1 Satz 1 wird in § 43 Abs. 2 Nr. 6 dagegen nicht verwiesen. 1 Bejahend Taeger/Gabel/Taeger, § 30 BDSG Rz. 23 unter Bezug auf Däubler/Klebe/Wedde/Weichert/Weichert, § 30 BDSG Rz. 11, die in der initialen Erhebung entgegen der systematischen Verortung des § 30 eine Datenverarbeitung für eigene Zwecke erblicken; kritisch Simitis/Ehmann, § 30 BDSG Rz. 84 ff.; Gola/ Schomerus, § 30 BDSG Rz. 12. 2 Taeger/Gabel/Taeger, § 30 BDSG Rz. 5. 3 Taeger/Gabel/Taeger, § 30 BDSG Rz. 6. 4 Zu den Hintergründen Taeger/Gabel/Taeger, § 30 BDSG Rz. 7 f. 5 Gola/Schomerus, § 30 BDSG Rz. 2.
728 Kamlah
Markt- oder Meinungsforschung
§ 30a BDSG
Ein Verstoß gegen die initialen Erhebungs- bzw. Speichervoraussetzung kann nach den für diese geltenden Bestimmungen geahndet werden (insbesondere § 43 Abs. 2 Nr. 1). Geschäftsmäßige Datenerhebung und -speicherung für Zwecke der Markt- oder Meinungsforschung (1) 1Das geschäftsmäßige Erheben, Verarbeiten oder Nutzen personenbezogener Daten für Zwecke der Markt- oder Meinungsforschung ist zulässig, wenn 1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung hat, oder 2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte und das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung gegenüber dem Interesse der verantwortlichen Stelle nicht offensichtlich überwiegt. 2Besondere Arten personenbezogener Daten (§ 3 Absatz 9) dürfen nur für ein bestimmtes Forschungsvorhaben erhoben, verarbeitet oder genutzt werden.
30a
(2) 1Für Zwecke der Markt- oder Meinungsforschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für diese Zwecke verarbeitet oder genutzt werden. 2Daten, die nicht aus allgemein zugänglichen Quellen entnommen worden sind und die die verantwortliche Stelle auch nicht veröffentlichen darf, dürfen nur für das Forschungsvorhaben verarbeitet oder genutzt werden, für das sie erhoben worden sind. 3Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, wenn sie zuvor so anonymisiert werden, dass ein Personenbezug nicht mehr hergestellt werden kann. (3) 1Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Zweck des Forschungsvorhabens, für das die Daten erhoben worden sind, möglich ist. 2Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. 3Diese Merkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit dies nach dem Zweck des Forschungsvorhabens erforderlich ist. (4) § 29 gilt nicht. (5) § 28 Absatz 4 und 6 bis 9 gilt entsprechend. Kamlah 729
29
BDSG § 30a I. Einführung . . . . . . . . . . . . . . . .
Datenverarbeitung nicht-öffentlicher Stellen 1
II. Anwendungsbereich . . . . . . . . 4 1. Geschäftsmäßiges Erheben, Verarbeiten und Nutzen für Zwecke der Markt- und Meinungsforschung (Abs. 1 Satz 1) . . . . . . . . . . . . . . . . . . . . 10 a) Allgemeine Interessenabwägung (Abs. 1 Satz 1 Nr. 1) . . . . . . . . . . . . . . . . . . 16 b) Aus allgemein zugänglichen Quellen entnommene Daten (Abs. 1 Satz 1 Nr. 2) . . . . . . . . . . . . . . . . . . 17
2. Sensible Daten (Abs. 1 Satz 2) 3. Weitere Verarbeitung und Nutzung (Abs. 2) . . . . . . . . . . . 4. Primat der Anonymisierung (Abs. 3). . . . . . . . . . . . . . . . . . . . 5. (Nicht) anwendbare Vorschriften (Abs. 4 und 5) . . . . . .
19 21 28 30
III. Verhältnis zu anderen Normen . . . . . . . . . . . . . . . . . . . 33 IV. Rechtsfolgen, Sanktionen . . . . 36
Schrifttum: Pflüger, Datenschutz in der Markt- und Meinungsforschung, RDV 2010, 101.
I. Einführung 1 Die Bedeutung der Markt- und Meinungsforschung ist anerkannt1. Die Vorschrift des § 30a wurde im Zuge der sog. BDSG-Novelle II im Jahre 2009 neu geschaffen2. Zwar gab es die Markt- und Meinungsforschung3 vorher auch schon, doch war die Zulässigkeit der Markt- und Meinungsforschung bis dahin in den allgemeinen Vorschriften der §§ 28 und 29 geregelt. Im Zuge der völligen Neuregelung der Vorschriften zur Datenverarbeitung und Nutzung zum Zwecke der Werbung und des Adresshandels wurde die Zulässigkeit der Markt- und Meinungsforschung in eine eigene Vorschrift ausgegliedert – auch um damit eine bessere Abgrenzung zur Datenverarbeitung zum Zwecke der Werbung zu erreichen4 und die Markt- und Meinungsforschung nicht übermäßig zu beschränken5. Gleichwohl ist zu beachten, dass die Vorschrift auf die allgemeinen Regelungen zum Widerspruchsrecht (§ 28 Abs. 4) und zu den besonderen Arten von Daten (§ 28 Abs. 6 bis 9) verweist (s. Abs. 5). Nur die Anwendung der Vorschrift zur geschäftsmäßigen Datenverarbeitung (§ 29) wird ausdrücklich ausgeschlossen (s. Abs. 4). 1 Dies wird insbesondere in der Gesetzesbegründung deutlich, BT-Drucks. 16/1357, S. 19 f.; eingehend Pflüger, RDV 2010, 101 (102). 2 Ausführlich zur Entstehungsgeschichte Taeger/Gabel/Munz, § 30a BDSG Rz. 1 ff.; Simitis/Ehmann, § 30a BDSG Rz. 1 ff. 3 Nach Pflüger, RDV 2010, 101 (102) gehört hierzu auch die Sozialforschung. 4 Vgl. auch die Begründung zu Abs. 2, BT-Drucks. 16/13657, S. 20. 5 BT-Drucks. 16/13657, S. 19 f.
730 Kamlah
Markt- oder Meinungsforschung
§ 30a BDSG
Die Überschrift von § 30a erwähnt zwar nur das Erheben und die Spei- 2 cherung, ausweislich des weiteren Wortlauts der Vorschrift werden systemgerecht aber alle Phasen der Datenverarbeitung geregelt1. Dabei wird der Grundsatz der Zweckbindung in den einzelnen Vorschriften der Norm immer wieder betont. Ferner gilt das Prinzip der Anonymisierung (s. im Folgenden). Die Vorschrift formuliert gesetzliche Zulässigkeitstatbestände nach § 4, 3 was eine Einwilligung nach § 4a aber nicht ausschließt2. Das Vorhandensein eines gesetzlichen Zulässigkeitstatbestandes ist aber für die Markt- und Meinungsforschung von großer Bedeutung, weil typischerweise keine (vorher) erteilte Einwilligung zugrunde gelegt werden kann (z.B. bei Auswahl von Personen für Befragungen)3. Für die Erhebung der Befragungsdaten selbst und deren anschließende Nutzung in anonymisierter Form ist dagegen weiterhin die Einwilligung erforderlich, da die Teilnahme an Befragungen freiwillig ist4. II. Anwendungsbereich Als im dritten Abschnitt des BDSG stehende Norm richtet sich der Anwendungsbereich nach § 27 (s. im Einzelnen dort, aber auch § 28a).
4
Die Vorschrift regelt die „Markt- und Meinungsforschung“, wobei auf 5 eine gesetzliche Definition verzichtet wird. Abgeleitet aus der Gesetzesbegründung handelt es sich um Markt- und Meinungsforschung, wenn öffentliche oder private Auftraggeber mittels wissenschaftlicher Methoden und Techniken notwendige Informationen als empirische Grundlage und zur Unterstützung wirtschaftlicher, gesellschaftlicher und politischer Entscheidungen bereitstellen5. Damit stellt sich die Frage, ob der Anwendungsbereich des § 30a eröff- 6 net ist, wenn eines der vorgenannten Kriterien nicht gegeben ist, insbesondere der als „Markt- und Meinungsforschung“ beschriebenen Maßnahme keine wissenschaftlichen Methoden zugrunde liegen. Ähnlich wie bei § 28b wird man auch im Rahmen von § 30a sagen müssen, dass der Anwendungsbereich nicht eröffnet ist, wenn wesentliche Kennzeichnungsmerkmale der Markt- und Meinungsforschung fehlen. Die Beurtei1 2 3 4 5
Ebenso Gola/Schomerus, § 30a BDSG Rz. 3. I.E. ebenso Taeger/Gabel/Munz, § 30a BDSG Rz. 6. Taeger/Gabel/Munz, § 30a BDSG Rz. 15. Pflüger, RDV 2010, 101 (106). BT-Drucks. 16/13657, S. 19 f.
Kamlah 731
BDSG § 30a
Datenverarbeitung nicht-öffentlicher Stellen
lung der Maßnahme richtet sich dann vielmehr nach den allgemeinen Regeln1. Die Anwendung der Vorschriften über die Werbung liegt in diesen Fällen zumindest nahe. 7 Ferner ist zu beachten, dass es sich bei der Markt- und der Meinungsforschung um zwei grundverschiedene Sachverhalte handelt. Während sich die Marktforschung mit den Märkten und dem Marktverhalten der Anbieter und Nachfrager befasst, geht es bei der Meinungsforschung in erster Linie um Demoskopie2. 8 Die Vorschrift differenziert nicht danach, ob die Markt- oder Meinungsforschung für eigene oder fremde Zwecke erfolgt. Insofern ist die Vorschrift grundsätzlich auf beide Fälle anwendbar3. 9 Die Markt- und Meinungsforschung ist insbesondere abzugrenzen von der Werbung (zum Begriff der Werbung s. § 28 Abs. 3), damit nicht unter dem Vorwand der Markt- und Meinungsforschung tatsächlich Kundenansprache erfolgt4. Da Ergebnis und Ziel einer zulässigen Marktforschung ein besserer Markterfolg sein kann, fallen durch Marktforschung mittelbar ausgelöste Effekte nicht unter den Begriff der Werbung und die damit verbundenen Anforderungen5. Umstritten ist das jedoch bei sog. Kundenzufriedenheitsanalysen, bei denen die Kundenbindung und damit die Absatzförderung im Vordergrund steht6. 1. Geschäftsmäßiges Erheben, Verarbeiten und Nutzen für Zwecke der Markt- und Meinungsforschung (Abs. 1 Satz 1) 10 Voraussetzung für den Anwendungsbereich der Vorschrift ist zunächst, dass die Erhebung, Verarbeitung und Nutzung geschäftsmäßig erfolgt. Das Kriterium der Geschäftsmäßigkeit sollte dabei nicht anders als in § 29 und § 30 ausgelegt werden7. Damit stellt sich aber gleichzeitig die Frage, wie Sachverhalte zu beurteilen sind, in denen die Markt- und Meinungsforschung nur als einmalige Befragungsaktion stattfindet. Aus dem insoweit klaren Gesetzeswortlaut sowie der Definition der Markt1 A.A. Taeger/Gabel/Munz, § 30a BDSG Rz. 10. 2 Taeger/Gabel/Munz, § 30a BDSG Rz. 10, der auch die Sozialforschung vom Anwendungsbereich der Norm erfasst sieht; ausführlich Simitis/Ehmann, § 30a BDSG Rz. 67 ff. 3 Taeger/Gabel/Munz, § 30a BDSG Rz. 11. 4 S. auch Däubler/Klebe/Wedde/Weichert/Weichert, § 30a BDSG Rz. 2. 5 Pflüger, RDV 2010, 101 (103 ff.). 6 Vgl. OLG Köln v. 30.3.2012 – 6 U 191/11. 7 BT-Drucks. 16/13657, S. 20.
732 Kamlah
Markt- oder Meinungsforschung
§ 30a BDSG
und Meinungsforschung lässt sich aber entnehmen, dass solche Maßnahmen dann nach den allgemeinen Regeln der nach § 4 definierten Zulässigkeitsvarianten zu beurteilen sind, also nicht dem § 30a unterfallen1. Die Regelung gilt nicht institutsbezogen, sondern tätigkeitsbezogen. Sie gilt daher nicht nur für das Unternehmen selbst, sondern auch für beauftragte Forschungsinstitute2.
11
Die Verarbeitungsvarianten der Erhebung, Verarbeitung und Nutzung 12 greifen die Begriffe aus § 3 Abs. 3 bis 5 auf, so dass auf die Kommentierungen zu den dortigen Vorschriften verwiesen werden kann3. Dabei muss es sich um personenbezogene Daten nach § 3 Abs. 1 handeln (s. dort).
13
Die Vorschrift betont dabei ausdrücklich, dass nur die Datenverarbeitung nach § 30a zu beurteilen ist, die zum Zwecke der Markt- und Meinungsforschung erfolgt4.
14
Die Zulässigkeit der Datenerhebung, Verarbeitung und Nutzung personenbezogener Daten richtet sich dann nach zwei Zulässigkeitsvarianten, die sich im Wesentlichen an § 30 Abs. 2 orientieren sollen5, so dass ergänzend zu den nachfolgenden Ausführungen auf die dortige Kommentierung verwiesen werden kann6.
15
a) Allgemeine Interessenabwägung (Abs. 1 Satz 1 Nr. 1) Nach der ersten Zulässigkeitsvariante ist eine Datenverarbeitung zum Zwecke der Markt- und Meinungsforschung zulässig, wenn kein Grund zur Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung hat. Diese Formulierung greift die Bestimmungen des § 29 Abs. 1 Nr. 1 bzw. die des § 30 Abs. 2 Nr. 1 auf7, weshalb zwar grundsätzlich auf die dortigen
1 Ebenso Taeger/Gabel/Munz, § 30a BDSG Rz. 10. 2 Pflüger, RDV 2010, 101 (103). 3 Zur Übermittlungsbefugnis an beauftragte Forschungsinstitute den damit verbundenen Konsequenzen für die Auftragsdatenverarbeitung Pflüger, RDV 2010, 101 (105 f.). 4 Vgl. Gola/Schomerus, § 30a BDSG Rz. 1. 5 BT-Drucks. 16/13657, S. 20. 6 Zum Verhältnis der beiden Normen auch Pflüger, RDV 2010, 101 (102). 7 Vgl. Gola/Schomerus, § 30a BDSG Rz. 4.
Kamlah 733
16
BDSG § 30a
Datenverarbeitung nicht-öffentlicher Stellen
Ausführungen verwiesen werden kann. Bei der Interessenabwägung ist aber zu berücksichtigen, dass diese zur Annahme eines überwiegenden schutzwürdigen Interesses des Betroffenen führen muss. Im Ergebnis wird dies nur in Ausnahmefällen anzunehmen sein1. b) Aus allgemein zugänglichen Quellen entnommene Daten (Abs. 1 Satz 1 Nr. 2) 17 Die beiden Zulässigkeitsvarianten des Abs. 1 sind Alternativen („oder“). Anders als die Formulierung nach Nr. 1 orientiert sich die nach Nr. 2 nur teilweise an dem Vorbild des § 29 (hier des Abs. 1 Nr. 2, auch § 30 Abs. 2 Nr. 2 ist leicht anders formuliert)2. Es stellt sich allerdings die Frage, ob sich daraus ein unterschiedlicher materieller Gehalt ergibt. In beiden Fällen wird die Zulässigkeit unter den Vorbehalt einer Interessenabwägung gestellt. In § 30a wird lediglich aus dem „es sei denn“ des § 29 Abs. 1 Nr. 2 ein „und“. Der Inhalt und das Ergebnis der Interessenabwägung ist dennoch in beiden Normen identisch3, so dass hier auf die Kommentierung zu § 29 Abs. 1 Nr. 2 oder aber des § 30 Abs. 2 Nr. 2 verwiesen werden kann. 18 Wie bei § 29 Abs. 1 Nr. 1 und § 30 Abs. 2 Nr. 2 kommt es begrifflich darauf an, dass die Daten aus allgemein zugänglichen Quellen entnommen werden „können“. Damit müssen sie nicht unmittelbar öffentlichen Quellen entnommen worden sein. Die Rückführbarkeit genügt4 (zum Begriff der allgemein zugänglichen Quellen entnommenen Daten, s. § 28 Abs. 1 Satz 1 Nr. 3 und § 29 Abs. 1 Satz 1 Nr. 2). 2. Sensible Daten (Abs. 1 Satz 2) 19 Nach Abs. 1 Satz 2 dürfen die besonderen Arten personenbezogener Daten nach § 3 Abs. 9 nur für ein bestimmtes Forschungsvorhaben – mithin nur einmal – erhoben, verarbeitet und genutzt werden (s. aber Abs. 5)5. Sofern es allerdings die hinreichende „Bestimmung“ des Forschungsvorhabens erlaubt, ist eine mehrfache Verarbeitung oder Nut-
1 Nach Pflüger, RDV 2010, 101 (103) sind die Interessen schon aufgrund des bestehenden Widerspruchsrechts gewahrt. 2 Wobei ausweislich der Gesetzesbegründung § 30a „klarer gefasst“ wurde, BTDrucks. 16/13657, S. 20. 3 Vgl. auch Gola/Schomerus, § 30a BDSG Rz. 4. 4 So auch Taeger/Gabel/Munz, § 30a BDSG Rz. 17. 5 BT-Drucks. 16/13657, S. 20.
734 Kamlah
Markt- oder Meinungsforschung
§ 30a BDSG
zung denkbar1. Entscheidend ist, dass aus der (ggf. dauerhaften) Bestimmung die Zweckbindung hervorgeht. Ob daraus im Umkehrschluss geschlossen werden kann, dass andere als 20 sensible Daten (nach Abs. 1 Satz 2) mehrfach verwendet werden können, ist zweifelhaft2. Handelt es sich nicht um sensible Daten, richtet sich die Zulässigkeit der Maßnahme zunächst nach Abs. 1 Satz 1. Die Zweckbindung richtet sich dann nach Abs. 2. Da aber auch andere als öffentlich zugängliche Daten nur für ein bestimmtes Forschungsvorhaben verarbeitet oder genutzt werden können, stellt sich die Frage nach dem Regelungsgehalt von Abs. 1 Satz 2. Dies gilt insbesondere, weil eine entsprechende Regelung zur Weiterverarbeitung und Nutzung auf anonymer Basis, wie sie in Abs. 2 Satz 3 enthalten ist, in Abs. 1 fehlt. 3. Weitere Verarbeitung und Nutzung (Abs. 2) Während Abs. 1 Satz 1 die erste Phase der Markt- und Meinungsforschung definiert, regelt Abs. 2 die – gestufte3 – weitere Behandlung der Daten.
21
Nach Abs. 2 Satz 1, der Abs. 1 Nr. 1 aufgreift, dürfen für Zwecke der 22 Markt- und Meinungsforschung erhobene und gespeicherte personenbezogene Daten nur für diese Zwecke verarbeitet und genutzt werden. Damit werden die Daten einer speziellen Zweckbindung unterworfen. Die weitere Verarbeitung und Nutzung der aus allgemein zugänglichen 23 Quellen erhobenen Daten wird nicht ausdrücklich erwähnt. Deren Behandlung ergibt sich aber aus dem Umkehrschluss zu Abs. 2 Satz 2. Danach dürfen diese Daten für (jeden)4 Zweck der Markt- und Meinungsforschung verarbeitet und genutzt werden5. Dementsprechend sagt Satz 2 in Anknüpfung an Abs. 1 Nr. 2, dass Da- 24 ten, die nicht aus allgemein zugänglichen Quellen entnommen worden sind und die die verantwortliche Stelle auch nicht veröffentlichen darf, nur für das Forschungsvorhaben verarbeitet oder genutzt werden dürfen, 1 S. auch Taeger/Gabel/Munz, § 30a BDSG Rz. 18 zu länger andauernden Forschungsvorhaben, die ggf. eine mehrfache Kontaktaufnahme mit dem Betroffenen erforderlich machen. 2 Verneinend Gola/Schomerus, § 30a BDSG Rz. 4. 3 So die Gesetzesbegründung, BT-Drucks. 16/13657, S. 20. 4 So offenbar auch das Verständnis von Däubler/Klebe/Wedde/Weichert/Weichert, § 30a BDSG Rz. 4; Gola/Schomerus, § 30a BDSG Rz. 5. 5 BT-Drucks. 16/13657, S. 20.
Kamlah 735
BDSG § 30a
Datenverarbeitung nicht-öffentlicher Stellen
für das sie erhoben worden sind1. Vor diesem Hintergrund sind langandauernde Forschungsvorhaben entsprechend zu definieren, damit eine weitere Verarbeitung und Nutzung nicht an der Zweckbindung des Abs. 2 scheitert2. Damit bleibt aber das Verhältnis von Abs. 1 Satz 2 und Abs. 2 Satz 1 unklar, denn Abs. 1 Satz 2 sagt, dass besondere Daten nur für ein bestimmtes Forschungsprojekt verwendet werden dürfen und Abs. 2 Satz 1 sagt, dass alle anderen Daten (es sei denn sie kommen aus öffentlichen Quellen) auch nur für das Forschungsprojekt verwendet werden dürfen, für das sie erhoben wurden. 25 Die Frage, ob und welche Daten die verantwortliche Stelle veröffentlichen darf, richtet sich dabei nach den allgemeinen Bestimmungen. 26 Die Zweckbindung nach den Sätzen 1 und 2 wird fortgesetzt für den Fall, dass die Daten für einen anderen Zweck nur verarbeitet oder genutzt werden dürfen, wenn sie zuvor so anonymisiert werden, dass ein Personenbezug nicht mehr hergestellt werden kann3. Allerdings fehlt eine entsprechende Regelung für Abs. 1 Satz 2. 27 Da sich nach § 3 Abs. 6 schon aus dem Begriff der Anonymisierung selbst ergibt, dass es sich nicht (mehr) um personenbezogene Daten handelt, stellt sich die Frage, ob sich aus dem letzten Halbs. der Vorschrift ein eigener Gehalt ergibt4. Offenbar wollte der Gesetzgeber mit seinem Verweis nur auf die erste Variante des § 3 Abs. 6 letzte Zweifel beseitigen, da nach § 3 Abs. 6 theoretisch eine Reanonymisierung denkbar ist, auch wenn diese mit einem unverhältnismäßigen Aufwand verbunden ist5. 4. Primat der Anonymisierung (Abs. 3) 28 Während Abs. 2 Satz 3 die Anonymisierung in der Phase der Zweckänderung vorsieht, setzt Abs. 3 schon vorher an, um einer unzulässigen Zweckentfremdung vorzubeugen6. Danach hat eine Anonymisierung schon dann zu erfolgen, sobald dies nach dem Zweck des Forschungsvorhabens, für das die Daten erhoben worden sind, möglich ist. Dieses 1 BT-Drucks. 16/13657, S. 20. 2 Zur Problematik beim Rückgriff auf (repräsentative) Pools, Taeger/Gabel/ Munz, § 30a BDSG Rz. 19. 3 BT-Drucks. 16/13657, S. 20. 4 Zweifelnd offenbar auch Gola/Schomerus, § 30a BDSG Rz. 5. 5 Däubler/Klebe/Wedde/Weichert/Weichert, § 30a BDSG Rz. 4. 6 BT-Drucks. 16/13657, S. 20; zu verschiedenen Branchenkodizes Pflüger, RDV 2010, 101 (102 f.).
736 Kamlah
Markt- oder Meinungsforschung
§ 30a BDSG
Gebot ist zwingend („sind“). Gleichzeitig ist damit die Verpflichtung für die verantwortliche Stelle gegeben, je nach Fortgang des Forschungsvorhabens Überprüfungen durchzuführen, ob die Möglichkeit zur Anonymisierung schon besteht1. Auch wenn bis dahin ein Personenbezug möglich bzw. sogar geboten ist, 29 sind die Merkmale schon dann gesondert zu speichern, mit denen ein Personenbezug hergestellt werden kann (Abs. 3 Satz 2) – mithin also zu pseudonymisieren2. Eine Zusammenführung ist auch nur dann statthaft, soweit dies nach dem Zweck des Forschungsvorhabens erforderlich ist, z.B. bei wiederholten Befragungen über einen längeren Zeitraum3 (Abs. 3 Satz 3). 5. (Nicht) anwendbare Vorschriften (Abs. 4 und 5) Bei § 30a handelt es sich zwar um eine geschäftsmäßige Datenverarbei- 30 tung zum Zwecke der Markt- und Meinungsforschung; um diese jedoch von der geschäftsmäßigen Datenverarbeitung zum Zwecke der Übermittlung abzugrenzen, stellt Abs. 4 klar, dass § 29 keine Anwendung findet und ein Rückgriff darauf ausgeschlossen ist4. Demgegenüber gelten nach Abs. 5, der dem § 29 Abs. 5 und dem § 30 31 Abs. 5 entspricht (s. dort), § 28 Abs. 4 und 6 bis 9 entsprechend. Die nur entsprechende Anwendung von § 28 Abs. 4 ist etwas irreführend, da in § 28 Abs. 4 Regelungen enthalten sind, die direkt auf die Markt- und Meinungsforschung Anwendung finden5. Demgegenüber wird über Abs. 5 auch im Bereich der Markt- und Mei- 32 nungsforschung die Erhebung, Verarbeitung und Nutzung von sensiblen Daten nach § 3 Abs. 9 dem strengen Regime des § 28 Abs. 6 bis 9 unterworfen. Das schränkt den nach Abs. 1 Satz 2 erlaubten Anwendungsbereich wieder ein (s. aber auch § 28 Abs. 6 Nr. 4)6.
1 So früh wie möglich fordert Däubler/Klebe/Wedde/Weichert/Weichert, § 30a BDSG Rz. 5. 2 BT-Drucks. 16/13657, S. 20. 3 BT-Drucks. 16/13657, S. 20. 4 BT-Drucks. 16/13657, S. 20. 5 Darauf weist auch Gola/Schomerus, § 30a BDSG Rz. 7 hin; da der Gesetzgeber sich aber an § 30 orientierte, hat er die Formulierung schlicht übernommen, BT-Drucks. 16/13657, S. 20. 6 Gola/Schomerus, § 30a BDSG Rz. 6.
Kamlah 737
BDSG § 30a
Datenverarbeitung nicht-öffentlicher Stellen
III. Verhältnis zu anderen Normen 33 Die Norm und damit die Markt- und Meinungsforschung ist insbesondere von der Werbung abzugrenzen (s.o. Rz. 1). Das ist schon wegen der Anwendbarkeit des § 7 UWG geboten, der in erster Linie die unlautere Werbung verhindern möchte, aber über § 7 Abs. 1 Satz 1 UWG eine Belästigung im Rahmen von Maßnahmen der Markt- und Meinungsforschung nicht grundsätzlich ausschließt1. 34 Daneben wird § 30a über seinen Abs. 4 von der geschäftsmäßigen Datenverarbeitung zum Zwecke der Übermittlung abgegrenzt2. 35 Im Anwendungsbereich des Telemediengesetzes ist § 15 Abs. 3 TMG zu beachten, der dort die Marktforschung (und konsequenterweise nicht auch die Meinungsforschung) einschließlich des Verfahrens zum Widerspruchsrecht speziell regelt und damit dem § 30a vorgeht. Im Anwendungsbereich des TKG ist § 95 Abs. 2 TKG zu beachten. IV. Rechtsfolgen, Sanktionen 36 Nach § 43 Abs. 2 Nr. 6 ist (nur) die unzulässige Zusammenführung nach § 30a Abs. 3 Satz 3 bußgeldbewehrt3, nicht aber die unterbliebene Anonymisierung oder Pseudonymisierung4. Allerdings stellt sich dann die Frage, ob die (Weiter-)Verarbeitung und Nutzung der nicht anonymisierten bzw. pseudonymisierten Daten nach anderen Vorschriften unzulässig und bußgeldbewehrt ist. 37 Auch ein Verstoß gegen die in § 28 Abs. 4 Satz 2 enthaltene Unterrichtungspflicht ist in § 43 Abs. 1 Nr. 3 i.V.m. Abs. 3 bußgeldbewehrt. Ein Verstoß gegen § 28 Abs. 4 Satz 1 ist sogar über § 43 Abs. 2 Nr. 5b i.V.m. Abs. 3 mit einem Bußgeld belegt und über § 44 sogar strafbewehrt.
1 S. zur Abgrenzung im Wettbewerbsrecht OLG Köln v. 12.12.2008 – 6 U 41/08, MMR 2009, 267, kritisch hierzu Pflüger, RDV 2010, 101 (103 ff.); nunmehr allerdings erneut das OLG Köln v. 30.3.2012 – 6 U 191/11, MMR 2012, 535. 2 Ausführlich zu den Abgrenzungen zu anderen Normen Simitis/Ehmann, § 30a BDSG Rz. 31 ff. 3 S. auch BT-Drucks. 16/13657, S. 20 mit ausdrücklichem Verweis auf die vergleichbare Norm des § 30. 4 So auch Simitis/Ehmann, § 30a BDSG Rz. 148 f.
738 Kamlah
§ 31 BDSG
Besondere Zweckbindung
Besondere Zweckbindung
31
Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden. I. Einführung . . . . . . . . . . . . . . . .
1
II. Kontroll- und Sicherungsdaten . . . . . . . . . . . . . . . . . . . . .
2
III. Zweckbindung . . . . . . . . . . . . .
5
IV. Rechtsfolgen . . . . . . . . . . . . . . .
7
Schrifttum: Kort, Datenschutzrechtliche und betriebsverfassungsrechtliche Fragen bei IT-Sicherheitsmaßnahmen, NZA 2011, 1319; Rost, Funktion und Zweck des Protokollierens, DuD 2007, 731; Runge, Protokolldaten zwischen Sicherheit und Rechtmäßigkeit, CR 1994, 710; Thomsen/Rost, Zentraler Protokollservice, DuD 2006, 292.
I. Einführung § 31 regelt die strikte, d.h. ausnahmslose Zweckbindung von Daten, die 1 ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden (z.B. als Back-up oder zu Protokollierungszwecken)1. Diese Zweckbindung geht damit über die übliche Zweckbindung, wie sie z.B. § 28 Abs. 1 Satz 2 vorsieht, hinaus, da sie nicht im Wege der Zweckerweiterung durchbrochen werden kann. Die Verwendung dieser Daten ist an ihren Erhebungs- und Speicherungszweck gebunden. Demzufolge dürfen die verwendeten Daten unter keinen Umständen zweckentfremdet verwendet werden2. Die strenge Zweckbindung erstreckt sich dabei auf alle Phasen der Verwendung3. Systematisch schränkt § 31 die Verarbeitungs- und Nutzungsbefugnisse von §§ 28 bis 30 ein4. Der Wortlaut der Norm ist identisch zu der Parallelregelung für den öffentlichen Bereich in § 14 Abs. 4 (vgl. § 14 Rz. 20). Normadressat sind alle verantwortlichen Stellen im Rahmen des Anwendungsbereichs von § 27, also entsprechend auch diejenigen, die Daten im Rahmen einer nach § 31 erlaubten Verwendung erhal-
1 Grundsätzlich zum Sinn und Zweck der Protokollierung und der Zweckbindung Rost, DuD 2007, 731. 2 Vgl. dazu Runge, CR 1994, 710. 3 So auch Kort, NZA 2011, 1319 (1320). 4 Simitis/Dammann, § 31 BDSG Rz. 3.
Plath 739
BDSG § 31
Datenverarbeitung nicht-öffentlicher Stellen
ten (insbesondere die betrieblichen Datenschutzbeauftragten, § 4g Abs. 1 Satz 3 Nr. 1, und die Aufsichtsbehörden, § 38)1. II. Kontroll- und Sicherungsdaten 2 Die besondere Zweckbindung des § 31 bezieht sich auf drei Speicherungszwecke, wobei eine klare Abgrenzung nicht möglich ist. Die Datenschutzkontrolle umfasst die Speicherung von Daten, die für die Datenschutzkontrollstellen (insbesondere die betrieblichen Datenschutzbeauftragten und die Aufsichtsbehörden) zur Gewährleistung des Schutzes des Persönlichkeitsrechts der Betroffenen notwendig sind. Daraus folgt die Zulässigkeit sowohl der internen Auswertung der Daten, als auch die Aufbereitung für externe Kontrollinstanzen2. Typischerweise handelt es sich hierbei um die Protokollierung von datenschutzrelevanten Vorgängen, etwa über den Zugriff bzw. Stichproben bei automatisierten Abrufverfahren gemäß § 10 Abs. 4 Satz 3. 3 Beim Begriff der Datensicherung kann auf die nach § 9 erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Ausführungen der Vorschriften des BDSG zurückgegriffen werden3. Die Datensicherung erfasst u.a. den Schutz vor Datenverlust oder der Datenzerstörung. Ein typischer Anwendungsfall sind die auf Sicherungskopien gespeicherten Daten, insbesondere die für die Sicherstellung des Betriebsablaufs gespeicherten Back-ups. 4 Der dritte Speicherungszweck, die Speicherung zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage, fängt im Wesentlichen das auf, was in den anderen beiden Fällen ausgeklammert wird4. III. Zweckbindung 5 Wegen der Bindung an den Erhebungs- und Speicherungszweck dürfen die unter § 31 fallenden Daten „nur für diese Zwecke verwendet werden“5. Die Zwecke sind bei Erhebung konkret festzulegen, vgl. § 28
1 2 3 4 5
Gola/Schomerus, § 31 BDSG Rz. 2. Bergmann/Möhrle/Herb, § 31 BDSG Rz. 15. Vgl. Simitis/Dammann, § 14 BDSG Rz. 109. Simitis/Dammann, § 14 BDSG Rz. 110. Eine Verwendung für andere Zwecke ist damit ausgeschlossen, vgl. auch Thomsen/Rost, DuD 2006, 292 (293).
740 Plath
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
Abs. 1 Satz 2. Die Entscheidung über den Verwendungszweck liegt bei der verantwortlichen Stelle1. Die Zweckbindung gilt nur, wenn die Speicherung ausschließlich zu den von § 31 erfassten Zwecken erfolgt. Die Zweckbindung gilt nicht, sofern gleichzeitig mehrere Zwecke verfolgt werden2. Eine nachträgliche Zweckänderung ist nicht möglich3. Dies gilt selbst bei einer Erweiterung der Verwendungszwecke innerhalb der Tatbestandsalternativen. In der praktischen Anwendung ist die Ermittlung oder Festlegung des Zwecks der Datenerhebung von ausschlaggebender Bedeutung. Das Zweckbindungsgebot verbietet aber grundsätzlich eine beliebig weit gefasste Zweckbestimmung von gespeicherten Daten. Seit dem Volkszählungsurteil4 ergibt sich das zwingende Gebot, den Erhebungs- und Verwendungszweck möglichst eng zu bestimmen. Es dürfen nur solche Daten gespeichert werden, die für den Verwendungszweck geeignet, erforderlich und angemessen sind5.
6
IV. Rechtsfolgen Als gesetzliche Ausnahme besteht bei gespeicherten Daten zu den besonderen Zwecken des § 31 nach § 33 Abs. 2 Nr. 2, 2. Alt weder eine Pflicht zur Benachrichtigung noch eine Auskunftspflicht nach § 34 Abs. 4. Die Strafvorschriften des § 44 sowie die Bußgeldvorschriften des § 43 finden bei einem Verstoß gegen § 31 keine Anwendung. Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses (1) 1Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. 2Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt
32
1 2 3 4 5
Vgl. Gola/Schomerus, § 31 BDSG Rz. 5. I.E. ebenso Kort, NZA 2011, 1319 (1320). Vgl. Hess. LDSB, 14. TB, S. 32. BVerfG v. 15.12.1983 – BvR 209, 269, 362, 420, 440, 484/83 – Volkszählung. Vgl. LDI Saar, 21. TB, S. 85 = RDV 2008, zur Videoüberwachung eines Serverraumes.
Plath/Stamer/Kuhnke 741
7
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. (2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. (3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt. I. Einführung . . . . . . . . . . . . . . . .
1
II. Anwendungsbereich . . . . . . . . 1. Persönlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . 2. Sachlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . 3. Verhältnis zu anderen Vorschriften . . . . . . . . . . . . . . . . . .
4 4 6 8
III. Erforderlichkeit und Verhältnismäßigkeit . . . . . . . . . . . 16 IV. Grundsatz der Direkterhebung. . . . . . . . . . . . . . . . . . 19 V. Begründung eines Beschäftigungsverhältnisses . . . . . . . . . 1. Das Fragerecht des Arbeitgebers . . . . . . . . . . . . . . . . . . . . 2. Die „ungefragte“ Übermittlung personenbezogener Daten . . . . . . . . . . . . . . . . . . . . 3. Mitteilungspflichten des Bewerbers . . . . . . . . . . . . . . . . . 4. Andere Quellen der Datenerhebung. . . . . . . . . . . . . . . . . . 5. Erfolglose Bewerbung . . . . . . . 6. Fallgruppen . . . . . . . . . . . . . . .
20 23
25 26 27 31 32
VI. Durchführung des Beschäftigungsverhältnisses . . . . . . . . . 53 1. Allgemeine Daten . . . . . . . . . . 55
742 Stamer/Kuhnke
2. Gesundheitsdaten . . . . . . . . . . 59 VII. Überwachung im Beschäftigungsverhältnis . . . . . . . . . . . . 1. Einführung . . . . . . . . . . . . . . . . 2. Überwachung des E-Mail-Verkehrs . . . . . . . . . . . . . . . . . . . . . a) Verbotene Privatnutzung des dienstlichen E-MailAccounts . . . . . . . . . . . . . . . aa) Erhebung, Verarbeitung oder Nutzung personenbezogener Daten . bb) Erlaubnis nach § 32 BDSG . . . . . . . . . . . . . . . cc) Erlaubnis aufgrund einer Betriebsvereinbarung oder einer Einwilligung . . . . . . . . . . . . b) Erlaubte Privatnutzung des dienstlichen E-MailAccounts . . . . . . . . . . . . . . . aa) Wann ist die Privatnutzung erlaubt? . . . . . . . . . bb) Folgen der erlaubten Privatnutzung . . . . . . . . cc) Reichweite des Schutzes des Fernmeldegeheimnisses . . . . . . . . .
75 75 78
80
82 83
85
88 88 95
102
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
3. 4.
5.
6. 7. 8. 9. 10.
dd) Rechtfertigung eines Eingriffs in das Fernmeldegeheimnis . . . . . . Überwachung der Internetnutzung . . . . . . . . . . . . . . . . . . Telefonüberwachung . . . . . . . a) Kontrolle der Verbindungsdaten. . . . . . . . . . . . . . . . . . . b) Kontrolle des Gesprächsinhalts . . . . . . . . . . . . . . . . . Videoüberwachung . . . . . . . . . a) Videoüberwachung von Räumen mit Publikumsverkehr. . . . . . . . . . . . . . . . . b) Videoüberwachung nicht öffentlich-zugänglicher Arbeitsplätze . . . . . . . . . . . . c) Verdeckte Überwachung . . Mitarbeiterortung . . . . . . . . . . Erfassung biometrischer Daten . . . . . . . . . . . . . . . . . . . . Massenscreenings . . . . . . . . . . Sonstige Überwachungsformen . . . . . . . . . . . . . . . . . . . Beweisverwertungsverbote . .
§ 32 BDSG
VIII. Übermittlung von Beschäftigtendaten an Dritte . . . . . . . . . . 143 108 113 116 116 118 119
122
125 127 129 132 133
IX. Datenverwendung bei und nach Beendigung des Beschäftigungsverhältnisses . . . . . . . . 148 X. Rechtsfolgen von Verstößen gegen den Beschäftigtendatenschutz . . . . . . . . . . . . . . . 151 XI. Beteiligungsrechte der Interessenvertretungen der Beschäftigten . . . . . . . . . . . . . . . . 1. Betriebsrat. . . . . . . . . . . . . . . . . a) Eigener Umgang des Betriebsrats mit Beschäftigtendaten . . . . . . . . . . . . . . . . b) Mitbestimmungsrechte des Betriebsrats . . . . . . . . . . c) Zuständiges Gremium . . . . 2. Andere Interessenvertretungen . . . . . . . . . . . . . . . . . . . .
152 153
155 159 162 164
135 137
Schrifttum: Barton, Betriebliche Übung und private Nutzung des Internetarbeitsplatzes „Arbeitsrechtliche Alternativen“ zur Wiedereinführung der alleinigen dienstlichen Verwendung, NZA 2006, 460; Bayreuther, Einstellungsuntersuchungen, Fragerecht und geplantes Beschäftigtendatenschutzgesetz, NZA 2010, 679; Bayreuther, Videoüberwachung am Arbeitsplatz, NZA 2005, 1038; Beck, „Fragerecht“ und „Recht zur Lüge“ – allgemeine Grundsätze und bereichsspezifische Besonderheiten der Anfechtbarkeit nach § 123 Abs. 1 Alt. 1 BGB bei einer Befragung des Täuschenden, 2004; Beckschulze/Natzel, Das neue Beschäftigtendatenschutzgesetz – Eine Darstellung des aktuellen Gesetzentwurfs vom 28.8.2010, BB 2010, 2368; Bergwitz, Prozessuale Verwertungsverbote bei unzulässiger Videoüberwachung, NZA 2012, 353; Besgen/Prinz, Handbuch Internet Arbeitsrecht, 2. Aufl. 2009; Bier/Spiecker, Intelligente Videoüberwachungstechnik: Schreckensszenario oder Gewinn für den Datenschutz?, CR 2012, 610; Brink/ Schmidt, Die rechtliche (Un-)Zulässigkeit von Mitarbeiterscreenings – Vom schmalen Pfad der Legalität, MMR 2010, 592; Dann/Gastell, Geheime Mitarbeiterkontrollen: Straf- und arbeitsrechtliche Risiken bei unternehmensinterner Aufklärung, NJW 2008, 2945; Däubler, Gläserne Belegschaften? Das Handbuch zum Arbeitnehmerdatenschutz, 2010; De Wolf, Kollidierende Pflichten: zwischen Schutz von E-Mails und „Compliance“ im Unternehmen, NZA 2010, 1206; Diller, „Konten-Ausspäh-Skandal“ bei der Deutschen Bahn: Wo ist das Problem? BB 2009, 438; Deutsch/Diller, Die geplante Neuregelung des Arbeitnehmerdatenschutzes in § 32 BDSG, DB 2009, 1462; Diller/Powietzka, Drogenscreening und
Stamer/Kuhnke 743
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
Arbeitsrecht, NZA 2001, 1227; Dzida/Grau, Verwertung von Beweismitteln bei Verletzung des Arbeitnehmerdatenschutzes, NZA 2010, 1201; Dzida/Grau, Rechtsfolgen von Verstößen gegen den Beschäftigtendatenschutz, ZIP 2012, 504; Ehmann, Das „Datenschutz-Paket“ der Europäischen Kommission – Beginn einer Zeitwende im europäischen Datenschutz? jurisPR-ITR 4/22012; Ehrich, Fragerecht des Arbeitgebers bei Einstellungen und Folgen der Falschbeantwortung, DB 2000, 421; Erfurth, Der „neue“ Arbeitnehmerdatenschutz im BDSG, NJOZ 2009, 2914; Fahrig, Verhaltenskodex und Whistleblowing im Arbeitsrecht, NJOZ 2010, 975; Felixberger, Beschäftigtendatenschutz: Bayerisches Eckpunktepapier, DSB 2010, 11; Fleischmann, Betriebliche Übung zur Privatnutzung üblicher elektronischer Kommunikationsmittel – Erwiderung auf Koch, NZA 2008, 911; Forst, Bewerberauswahl über soziale Netzwerke im Internet?, NZA 2010, 427; Forst, Der Regierungsentwurf zur Regelung des Beschäftigtendatenschutzes, NZA 2010, 1043; Forst, Die Rechte des Arbeitnehmers infolge einer rechtswidrigen Datenverarbeitung durch den Arbeitgeber, AuR 2010, 106; Forst, Beschäftigtendatenschutz im Kommissionsvorschlag einer EU-Datenschutzverordnung, NZA 2012, 364; Frings/Wahlers, Social Media, iPad & Co. im Arbeitsverhältnis, BB 2011, 3126; Fröhlich, § 32 BDSG n.F. – Neuer Arbeitnehmerdatenschutz, ArbRB 2009, 300; Gassner/Schmidl, Datenschutzrechtliche Löschungspflicht und zivilrechtliche Verjährungsvorschriften, RDV, 2004, 153; Gola, Datenschutz bei der Kontrolle „mobiler“ Arbeitnehmer – Zulässigkeit und Transparenz, NZA 2007, 1139; Gola, Beschäftigtendatenschutz und EU-Datenschutz-Grundverordnung, EuZW 2012, 332; Gola/Jaspers, § 32 Abs. 1 BDSG – eine abschließende Regelung? RDV 2009, 212; Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, Heidelberg 2010; Götz, Zur Zulässigkeit der Befragung von Stellenbewerbern nach Vorstrafen, BB 1971, 1325; Grimm/Schiefer, Videoüberwachung am Arbeitsplatz, RdA 2009, 329; Grobys, Wir brauchen ein Arbeitnehmerdatenschutzgesetz! – Replik auf Fleck, BB 2003, 306 –, BB 2003, 682; Grunewald, Der Einsatz von Personalauswahlverfahren und -methoden im Betrieb – ein faktisch rechtsfreier Raum? NZA 1996, 15; Hanau/Hoeren, Private Internetnutzung durch Arbeitnehmer, 2003; Haußmann/Kaufmann, Auswirkungen absehbarer Änderungen im Datenschutzrecht auf Whistleblowing-Systeme, ArbRAktuell 2011, 186; Haußmann/Krets, EDV-Betriebsvereinbarungen im Praxistest, NZA 2005, 259; Hohenstatt/Stamer/ Hinrichs, Background Checks von Bewerbern in Deutschland: Was ist erlaubt? NZA 2006, 1065; Hoppe/Braun, Arbeitnehmer-E-Mails: Vertrauen ist gut – Kontrolle ist schlecht – Auswirkungen der neuesten Rechtsprechung des BVerfG auf das Arbeitsverhältnis, MMR 2010, 80; Hornung/Steidle, Biometrie am Arbeitsplatz – sichere Kontrollverfahren versus ausuferndes Kontrollpotential, AuR 2005, 201; Hummerl/Hilbrans, Übermittlung von Arbeitnehmerdaten im Konzernverbund im Rahmen eines konzerneinheitlichen Datenverarbeitungssystems, AuR 2005, 207; Iraschko-Luscher/Kiekenbeck, Welche Krankheitsdaten darf der Arbeitgeber von seinem Mitarbeiter abfragen? NZA 2009, 1239; Joussen, Schwerbehinderung, Fragerecht und positive Diskriminierung nach dem AGG, NZA 2007, 174; Joussen, Die Zulässigkeit von vorbeugenden Torkontrollen nach dem neuen BDSG, NZA 2010, 254; Kania/Sansone, Möglichkeiten und Grenzen des Pre-Employment-Screenings, NZA 2012, 360; Keller, Die ärztliche Untersuchung des Arbeitnehmers im Rahmen des Arbeitsverhältnisses, NZA 1988, 561; Koch, Rechtsprobleme privater Nutzung betrieblicher elektronischer Kom-
744 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
munikationsmittel, NZA 2008, 911; Kock/Francke, Mitarbeiterkontrolle durch systematischen Datenabgleich zur Korruptionsbekämpfung, NZA 2009, 646; Körner, Moderner Datenschutz für die Beschäftigten: Ein Ende der Skandale? Gutachten zum Regierungsentwurf zur Regelung des Beschäftigtendatenschutzes, 2010; Kort, Die Stellung des Betriebsrats im System des Beschäftigtendatenschutzes, RDV 2012, 8; Kramer, Beschäftigtendatenschutz – Erster Referentenentwurf liegt vor, DSB 2010, 7; Kratz/Gubbels, Beweisverwertungsverbote bei privater Internetnutzung am Arbeitsplatz, NZA 2009, 652; Krimphove, Das Gendiagnostikgesetz, AuA 2010, 340; Kursawe/Nebel, „Sozialübliche innerbetriebliche Kommunikation“ – Zum Anwendungsbereich des Beschäftigtendatenschutzes, BB 2012, 516; Lichtenberg/Schücking, Stand der arbeitsrechtlichen Diskussion zur HIV-Infektion und AIDS-Erkrankung, NZA 1990, 41; Lönisch/Mysliniec, Datenschutz bei Anforderung und Nutzung erweiterter Führungszeugnisse, NJW 2012, 2389; Lunk, Prozessuale Verwertungsverbote im Arbeitsrecht, NZA 2009, 457; Mähner, Neuregelung des § 32 BDSG zur Nutzung personenbezogener Mitarbeiterdaten – Am Beispiel der Deutschen Bahn, MMR 2010, 379; Maier/Garding, Einsatz eines Privatdetektivs im Arbeitsrecht, DB 2010, 559; Mathies, Arbeitnehmerüberwachung mittels Kamera?, NJW 2008, 2219; Mengel, Compliance und Arbeitsrecht, 2009; Mengel, Kontrolle der E-Mail- und Internetkommunikation am Arbeitsplatz, BB 2004, 2014; Milthaler, Das Fragerecht des Arbeitgebers nach den Vorstrafen des Bewerbers, 2006; Oberwetter, Arbeitnehmerrechte bei Lidl, Aldi & Co, NZA 2008, 609; Oberwetter, Soziale Netzwerke im Fadenkreuz des Arbeitsrechts, NJW 2011, 417; Peuser, EU-Verordnungen zur Terrorismusbekämpfung in Unternehmen, DuD 2006, 680; Pletke, Die Zulässigkeit von Genomanalysen an Arbeitnehmern im deutschen und US-amerikanischen Recht, 1995; Rasmussen-Bonne/Raif, Neues beim Beschäftigtendatenschutz – Worauf sich Unternehmen einstellen müssen, GWR 2011, 80; Raif, Beschäftigtendatenschutz: Wird alles neu bei der Arbeitnehmerkontrolle? ArbRAktuell 2010, 359; Richardi, Arbeitsrechtliche Probleme bei Einstellung und Entlassung AIDS-infizierter Arbeitnehmer, NZA 1988, 73; Roeder/Buhr, Die unterschätzte Pflicht zum Terrorlistenscreening von Mitarbeitern, BB 2011, 1333; Schimmelpfennig/ Wenning, Arbeitgeber als Telekommunikationsdienste-Anbieter? – Eingeschränkter Zugriff auf elektronische Geschäftskorrespondenz bei zugelassener Privatnutzung von E-Mail und Internet am Arbeitsplatz, DB 2006, 2290; Schulz, Compliance – Internes Whistleblowing, BB 2006, 629; Steinkühler, BB-Forum: Kein Datenproblem bei der Deutschen Bahn AG? Mitnichten! BB 2009, BB 1294; Straube/Klagges/Siebert, Beschäftigtendatenschutz: Wiedervorlage in vier Jahren?, ArbRAktuell 2012, 81; Stück/Wein, Die ärztliche Untersuchung des Arbeitnehmers Voraussetzungen, Inhalt und Rechtsfolgen, NZA-RR 2005, 505; Thum/ Szczesny, Background Checks im Einstellungsverfahren: Zulässigkeit und Risiken für Arbeitgeber, BB 2007, 20405; Thüsing, Verbesserungsbedarf beim Beschäftigtendatenschutz, NZA 2011, 16; Thüsing, Arbeitnehmerdatenschutz und Compliance, München 2010; Thüsing, Datenschutz im Arbeitsverhältnis – Kritische Gedanken zum neuen § 32 BDSG, NZA 2009, 865; Tinnefeld/Petri/ Brink, Aktuelle Fragen um ein Beschäftigtendatenschutzgesetz – Eine erste Analyse, MMR 2010, 727; Tinnefeld/Rauhofer, Whistleblower: Verantwortungsbewusste Mitarbeiter oder Denunzianten? DuD 2008, 717; Stück/Wein, Die
Stamer/Kuhnke 745
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
ärztliche Untersuchung des Arbeitnehmers – Voraussetzungen, Inhalt und Rechtsfolgen, NZA-RR 2005, 505; Vietmeyer/Byers, Der Arbeitgeber als TK-Anbieter im Arbeitsverhältnis-Geplante BDSG-Novelle lässt Anwendbarkeit des TKG im Arbeitsverhältnis unangetastet, MMR 2010, 807; Wächter, Beschäftigtendatenschutz bei nutzergenerierten sozialen Netzwerken, JurPC Web-Dok. 28/2011, Abs. 1–174; Waltermann, Anspruch auf private Internetnutzung durch betriebliche Übung, NZA 2007, 529; Warga, Datenerhebung bei Bewerbern und Beschäftigten – Rechtslage nach der 2. Novelle zum BDSG 2009, Der Personalrat 2010, 97; Wiese, Gendiagnostikgesetz und Arbeitsleben, BB 2009, 2198; Wiese, Internet und Meinungsfreiheit des Arbeitgebers, Arbeitnehmers und Betriebsrats, NZA 2012, 1; Willemsen/Brune, Alkohol und Arbeitsrecht, DB 1988, 2304; Wisskirchen/Bissels, Das Fragerecht des Arbeitgebers bei Einstellung unter Berücksichtigung des AGG, NZA 2007, 169; Wisskirchen/Körber/Bissels, „Whistleblowing“ und „Ethikhotlines“, BB 2006, 1567; Wybitul, Handbuch Datenschutz im Unternehmen, 2011; Wybitul, Wie viel Arbeitnehmerdatenschutz ist „erforderlich“? BB 2010, 1085; Wybitul/Fladung, EU-Datenschutz-Grundverordnung – Überblick und arbeitsrechtliche Betrachtung des Entwurfs, BB 2012, 509.
I. Einführung 1 Bereits in den achtziger Jahren des 20. Jahrhunderts hatten Datenschutzbeauftragte des Bundes und der Länder bereichsspezifische Regelungen zum Arbeitnehmerdatenschutz gefordert. Im neuen Jahrtausend hatten diese Forderungen neue Nahrung erhalten, nachdem vermeintliche wie echte „Datenschutzskandale“ in unterschiedlichen deutschen Großunternehmen bekannt geworden waren. Auf dem Weg hin zu einem umfassend kodifizierten Beschäftigtendatenschutz hat der 16. Deutsche Bundestag dann zunächst mit § 32 eine Grundsatzregelung getroffen, die nach dem erklärten Willen des Gesetzgebers die von der Rechtsprechung entwickelten allgemeinen Grundsätze zum Datenschutz im Beschäftigungsverhältnis, insbesondere zum Fragerecht des Arbeitgebers, zusammenfassen soll1. Die Regelung geht zurück auf Art. 1 Nr. 12 des Gesetzes zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009 und ist zum 1. September 2009 in Kraft getreten. Die „Arbeiten zu einem Arbeitnehmerdatenschutz“ sollten indessen bereits nach der Vorstellung des damaligen Entwurfsgebers fortgeführt werden. Diese Arbeiten haben bis heute keinen Abschluss gefunden. Zwar brachte die SPD-Bundestagsfraktion bereits kurz nach der letzten Bundestagswahl im November 2009 den Entwurf eines eigenständigen Beschäftigtendatenschutzgesetzes in den Deutschen Bundestag ein2. Im August 2010 beschloss sodann
1 BT-Drucks. 16/13657, S. 20. 2 BT-Drucks. 17/69.
746 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
das Bundeskabinett einen Regierungsentwurf, der zwar kein separates Beschäftigtendatenschutzgesetz, immerhin aber einen eigenen Unterabschnitt „Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses“ im BDSG vorsieht1. Der hierzu erfolgten Stellungnahme des Bundesrates2 trug die Bundesregierung durch ihre Gegenäußerung3 indessen nur wenig Rechnung. Im September 2011 erfolgte sodann ein erneuter Antrag der SPD-Fraktion zur Regelung des Beschäftigtendatenschutzes in einem eigenen Gesetz4. Einigkeit konnte allerdings bis heute nicht erzielt werden. Der aktuelle Stand der Gesetzesberatungen5 deutet vielmehr auf weitere Änderungen des Entwurfs hin6. Im Hinblick auf die Bundestagswahlen im kommenden Jahr 2013 ist mittlerweile ausgesprochen fraglich, ob es noch in dieser 17. Legislaturperiode zu einer Verwirklichung des Gesetzesvorhaben kommt, zumal insoweit auch europarechtliche Hürden bevorstehen (dazu Rz. 3). In den Mitgliedstaaten der Europäischen Union bestehen unterschiedli- 2 che Datenschutzregimes. Das jeweilige inländische Datenschutzrecht muss sich allerdings im Rahmen der EG-Datenschutzrichtlinie7 bewegen, einer Richtlinie, die vom 24. Oktober 1995 stammt und die seither nicht verändert worden ist. Nicht zuletzt vor dem Hintergrund der enormen technologischen Entwicklungen seither hat die Europäische Kommission einen Vorschlag für einen neuen Rechtsrahmen zum Schutz personenbezogener Daten in der EU skizziert8. Jener beinhaltet einerseits eine Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch Behörden im Zusammenhang mit der Verfolgung von Straftaten, der Strafvollstreckung sowie zum freien Datenverkehr9. Andererseits soll der künftige Rechtsrahmen eine „Datenschutz-Grundverordnung“ zum Schutz natürlicher Personen bei der
1 BT-Drucks. 17/4230; im Folgenden werden Entwurfsregelungen als „BDSG-E 2010“ kenntlich gemacht. 2 BR-Drucks. 535/10. 3 Anlage 4 zur BT-Drucks. 17/4230. 4 BT-Drucks. 17/7176. 5 Im Internet abrufbar unter http://www.aus-portal.de/media/BeschDS_FV.pdf. 6 Siehe auch Straube/Klagges/Siebert, ArbRAktuell 2012, 81. 7 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABlEG Nr. L-281 v. 23.11.1995, S. 31. 8 „Der Schutz der Privatsphäre in einer vernetzten Welt – Ein europäischer Datenschutzrahmen für das 21. Jahrhundert“, KOM(2012) 9 endgültig; vgl. dazu auch Forst, NZA 2012, 364; Gola, EuZW 2012, 332. 9 KOM(2012) 10 endgültig.
Stamer/Kuhnke 747
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
Verarbeitung personenbezogener Daten und zum freien Datenverkehr umfassen1. 3 Anders als Richtlinien finden Verordnungen in den Mitgliedstaaten unmittelbare Anwendung und bedürfen daher keiner nationalen Umsetzung. Wenngleich der Entwurf der Verordnung in Art. 82 für den Beschäftigtendatenschutz eine Ausnahme hinsichtlich nationaler Regelungen vorsieht, wird der Raum für Sonderregelungen in den Mitgliedstaaten jedenfalls eng. So dürfen entsprechende innerstaatliche Regelungen nur „in den Grenzen“ der Verordnung erfolgen. Nicht zuletzt auch vor diesem Hintergrund wird das deutsche Gesetzesvorhaben für einen Beschäftigtendatenschutz zwischenzeitlich als gescheitert betrachtet2. Im Übrigen ist das Gesetzesvorhaben im Hinblick auf das Urteil des EuGH vom 24. November 2011 erschwert worden3. Nach Maßgabe der Rechtssätze dieser Entscheidung, die auf Grundlage der EG-Datenschutzrichtlinie erfolgt ist und deren Ausgangspunkt ein Verfahren des Tribunal Supremo Spaniens war, dürfen die Mitgliedstaaten keine Gesetze haben, die abweichende oder zusätzliche Bedingungen für die Verarbeitung personenbezogener Daten vorsehen. II. Anwendungsbereich 1. Persönlicher Anwendungsbereich 4 Dem persönlichen Anwendungsbereich des § 32 unterfallen Beschäftigte i.S.v. § 3 Abs. 11. Ausweislich der Gesetzesmaterialien ist der Begriff des Beschäftigungsverhältnisses nicht identisch mit dem im Sozialversicherungsrecht verwendeten Begriff4. Im Übrigen nennt § 3 Abs. 11, wer Beschäftigte sind. Die Vorschrift gilt demnach nicht nur für Arbeitnehmer, sondern auch für die weiteren dort genannten Personengruppen. Insbesondere erstreckt sich der Anwendungsbereich demnach auf Bewerber für ein Beschäftigungsverhältnis sowie bereits ausgeschiedene Arbeitnehmer hinsichtlich ihres früheren Beschäftigungsverhältnisses. Weiter zählen zu den Beschäftigten u.a. Beamte und Richter. Freie Mitarbeiter unterfallen dem Beschäftigtendatenschutz nicht, es sei denn, sie sind aufgrund ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen, vgl. § 3 Abs. 11 Nr. 6. Nicht nur der explizite Hinweis 1 KOM(2012) 11 endgültig; dazu näher Ehmann, jurisPR-ITR 4/2012; Wybitul/ Fladung, BB 2012, 509. 2 So Ehmann, jurisPR-ITR 4/2012. 3 EuGH v. 24.11.2011 – C-468/10, CR 2012, 29 = NZA 2011, 1409. 4 BT-Drucks. 16/13657, S. 17.
748 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
in der Gesetzesbegründung, sondern gerade auch die Regelung in § 3 Abs. 11 Nr. 6 belegen, dass Organe wie Geschäftsführer und Vorstände keine Beschäftigten i.S.d. Vorschrift sind (zum Beschäftigtenbegriff im Einzelnen siehe § 3 Rz. 87). Eine analoge Anwendung kommt bereits aufgrund der eindeutigen Formulierungen in § 3 Abs. 11 nicht in Betracht, und ist überdies jedenfalls bislang nicht durch EU-Recht geboten. Für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Organen ist daher insbesondere § 28 Abs. 1 maßgeblich1. Eine Legaldefinition des Arbeitgeberbegriffs im Beschäftigtendaten- 5 schutz enthält das BDSG nicht2. Er ist grundsätzlich spiegelbildlich zum Beschäftigtenbegriff zu sehen. Dabei ist auch der Entleiher Arbeitgeber, da ihm der Arbeitnehmer für den Zeitraum der Entleihung überlassen ist. Im Übrigen ist der Anwendungsbereich von § 32 in § 12 Abs. 4 für die Datenverarbeitung der öffentlichen Stellen, die nicht am Wettbewerb teilnehmen, und in § 27 Abs. 1 für die Datenverarbeitung nicht-öffentlicher Stellen sowie öffentlich-rechtlicher Wettbewerbsunternehmen eröffnet. 2. Sachlicher Anwendungsbereich In sachlicher Hinsicht erstreckt sich der Geltungsbereich auf die Daten- 6 verwendung für Zwecke des Beschäftigungsverhältnisses. Das Dateierfordernis des § 27 Abs. 1 Satz 2 ist für den Beschäftigtendatenschutz durch § 32 Abs. 2 aufgehoben3. § 32 gilt folglich für das Erheben, Verarbeiten und Nutzen von Beschäftigtendaten durch den Arbeitgeber für Zwecke eines früheren, bestehenden oder zukünftigen Beschäftigtenverhältnisses auch, wenn Beschäftigtendaten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. Damit gilt der Beschäftigtendatenschutz insbesondere auch für nicht digitalisierte Personalakten4. 1 Siehe aber § 6 Abs. 3 AGG zur – beschränkten – Anwendbarkeit des Allgemeinen Gleichbehandlungsgesetzes. 2 Siehe aber § 3 Abs. 13 BDSG-E 2010, BT-Drucks. 17/4230, S. 4. 3 Siehe zudem § 27 Abs. 3 BDSG-E 2010, der für den sachlichen Anwendungsbereich des Beschäftigtendatenschutzes ebenfalls auf das Dateierfordernis verzichtet. 4 Zur Nichtanwendbarkeit von § 34 BDSG für ein Einsichtsrecht in die Personalakte nach Beendigung des Arbeitsverhältnisses vgl. BAG v. 16.11.2010 – 9 AZR 573/09, NJW 2011, 1306.
Stamer/Kuhnke 749
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
7 Wegen des Verzichts auf das Dateierfordernis erfasst der sachliche Anwendungsbereich auch Befragungen oder handschriftliche Notizen für Zwecke des Beschäftigungsverhältnisses, beispielsweise also Bewerbungsgespräche oder Personalgespräche und dazu erfolgte handschriftliche Aufzeichnungen. Eine Einschränkung ist für innerbetriebliche Kommunikationen zu machen1. So soll Absatz 2 laut Gesetzesmaterialien den „von der Rechtsprechung aufgestellten Grundsätzen des Datenschutzes im Beschäftigungsverhältnis“ entsprechen. Insoweit verweist die Beschlussempfehlung auf zwei Entscheidungen des BAG zu Gesundheitsdaten in nicht elektronischen Personalakten2. Nach Maßgabe dieser Rechtssätze sind zu einer nicht elektronischen Personalakte genommene Gesundheitsdaten vor unbefugter zufälliger Kenntnisnahme durch Einschränkung des Kreises der lnformationsberechtigten zu schützen. Überdies entspricht Absatz 2 nach der Beschlussempfehlung dem früheren § 12 Abs. 4 Halbs. 2 (a.F.). Hierbei handelte es sich um den Verzicht auf das Dateierfordernis für die Datenverarbeitung der öffentlichen Stellen, die nicht am Wettbewerb teilnehmen, im Rahmen von dienst- oder arbeitsrechtlichen Rechtsverhältnissen3. Insoweit war wiederum angenommen worden, es handele sich um eine Klarstellung, wonach auch die Verarbeitung personenbezogener Daten in Personalakten unter den gesetzlichen Schutz fällt4. Auf Grundlage der Gesetzesmaterialien kann daher für innerbetriebliche Kommunikationsvorgänge angenommen werden, dass diese jedenfalls so lange, wie es sich tatsächlich nur um einen üblichen Umgang untereinander handelt, nicht den Beschränkungen des § 32 unterfallen5. Dies entspricht auch dem Schutzzweck der Norm. Eine Anwendung von § 28 scheidet bereits deshalb aus, weil das dort bestehende Dateierfordernis durch solche Kommunikationsvorgänge nicht erfüllt wird.
1 In seiner Stellungnahme zu § 27 Abs. 3 BDSG-E 2010 hat der Bundesrat ausgeführt, es solle im weiteren Verlauf des Gesetzgebungsverfahrens geprüft werden, ob in Bezug auf den Verzicht auf das Dateierfordernis folgender Halbs. anzufügen wäre: „es sei denn, die Daten sind Gegenstand sozialüblicher innerbetrieblicher Kommunikation“. Siehe dazu auch Kursawe/Nebel, BB 2012, 516. 2 BAG v. 15.7.1987 – 5 AZR 215/86, NZA 1988, 53 und BAG v. 12.9.2006 – 9 AZR 271/06, NZA 2007, 269; vgl. hierzu auch Deutsch/Diller, DB 2009, 1462. 3 Nach Thüsing, NZA 2009, 865 (869), wurde damit eine Gleichstellung mit den Beschäftigten im öffentlichen Bereich bewirkt, da für die Arbeitnehmer im privaten Bereich bislang § 27 Abs. 1 Satz 1 BDSG maßgeblich war. 4 Gola/Schomerus, § 12 BDSG Rz. 9. 5 Vgl. insoweit auch § 27 Abs. 1 Satz 2 BDSG.
750 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
3. Verhältnis zu anderen Vorschriften Vor Inkrafttreten der Vorschrift bestimmte sich die Zulässigkeit der 8 Datenverarbeitung im Beschäftigungsverhältnis nach § 28. Nunmehr stellt sich die Frage nach der Abgrenzung des § 32 zu anderen Erlaubnistatbeständen, die teilweise weiterreichend sind. Vor allem stellt sich die Frage nach dem Verhältnis von § 32 zu § 28. Die Gesetzesmaterialien sind nicht eindeutig. So heißt es dort zunächst, § 28 Abs. 1 Satz 1 Nr. 1 werde im Hinblick auf Beschäftigungsverhältnisse „konkretisiert und insoweit verdrängt“. Dies soll auch für § 28 Abs. 1 Satz 2 gelten. Die „übrigen einschlägigen allgemeinen und bereichsspezifischen Datenschutzvorschriften, die eine Datenerhebung, -verarbeitung oder -nutzung erlauben oder anordnen, […]“ würden durch § 32 nicht verdrängt1. Einige Sätze später führt der Gesetzgeber dann allerdings – pauschalierend – aus, § 28 Abs. 1 fände keine Anwendung, wenn personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden. Für „andere Zwecke“ könnten auch im Verhältnis von Arbeitgeber und Beschäftigten die Erlaubnisnormen des BDSG und anderer Gesetze weiterhin Anwendung finden. Explizit nennt die Begründung die Regelungen über die Datenverarbeitung zur Wahrung berechtigter Interessen des Arbeitgebers nach § 28 Abs. 1 Satz 1 Nr. 22 und über die Datenübermittlung und -nutzung zur Wahrung berechtigter Interessen eines Dritten, § 28 Abs. 3 Satz 1 Nr. 1 (a.F.)3. Mit Rücksicht auf die Gesetzesmaterialen wird teilweise angenommen, 9 § 32 verdränge § 28 stets, wenn es um Zwecke des Beschäftigungsverhältnisses geht, Anwendungsraum für die Bestimmungen in § 28 bliebe demnach nur für „beschäftigungsfremde“ Zwecke4. Ein Rückgriff auf § 28 Abs. 1 wäre folglich zwar zulässig, soweit es beispielsweise um die Bereitstellung von Beschäftigtendaten an potentielle Käufer im Rahmen einer Due Diligence geht5. Unzulässig wäre dagegen ein Rückgriff auf die Erlaubnisnorm des § 28 Abs. 1 Nr. 3 hinsichtlich allgemein zugäng1 BT-Drucks. 16/13657, S. 20. 2 Thüsing sieht hierin eine „unbemerkte“ Klarstellung, da das Schrifttum vor Inkrafttreten des § 32 BDSG teilweise von einer Unanwendbarkeit des § 28 Abs. 1 Satz 1 Nr. 2 ausgegangen war (Thüsing, NZA 2009, 865 (869)). 3 Jetzt § 28 Abs. 2 Satz 1 Nr. 2a BDSG. 4 Erfurth, NJOZ 2009, 2914 (2922); vgl. dazu auch Däubler/Klebe/Wedde/Weichert/Däubler, § 32 BDSG Rz. 8. 5 Vgl. hierzu auch Forst, NZA 2010, 1043 (1044); Beckschulze/Natzel, BB 2010, 2368; Kramer, DSB 2010, 7.
Stamer/Kuhnke 751
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
licher Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses1. Ein solches Verständnis lässt sich der Gesetzesbegründung unterdessen nicht entnehmen. Während nämlich § 28 Abs. 1 unterschiedliche Regelungen für öffentlich zugängliche und nicht öffentlich zugängliche personenbezogene Daten enthält, trifft § 32 insoweit keine Unterscheidung. Gleichermaßen regelt § 32 nicht den Umgang mit besonderen Arten personenbezogener Daten von Beschäftigten nach § 3 Abs. 9, spezielle Regelungen hierzu enthalten dagegen die Abs. 6 bis 8 in § 28. Diese sind nach dem erklärten Willen des Gesetzgebers indessen weiterhin anwendbar (dazu auch Rz. 11)2. Die Ausführungen des Gesetzgebers sind daher so zu verstehen, dass § 32 die Vorschriften in § 28 verdrängt, soweit § 32 entsprechende Regelungen überhaupt enthält. Für dieses Verständnis spricht auch die geplante Regelung in § 32a Abs. 6 BDSG-E 2010. Jene Vorschrift schreibt den Grundsatz der Direkterhebung eigens für Beschäftigtendaten fest. Beschränkt wird die Informationsbeschaffung des Arbeitgebers aus allgemein zugänglichen Quellen allerdings nur hinsichtlich sozialer Netzwerke wie facebook oder studiVZ, während der Arbeitgeber wiederum Daten aus beruflichen Netzwerken wie LinkedIn oder Xing nutzen darf. Insoweit heisst es in der Begründung zum Regierungsentwurf 2010, „im Internet bei bestimmungsgemäßer Nutzung abrufbare Daten“ seien allgemein zugänglich3. Offenbar geht also der Entwurfsgeber de lege lata von einer Anwendbarkeit des § 28 Abs. 1 Nr. 3 für die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses aus. 10 Unbedacht gewählt ist die Formulierung des Gesetzgebers, wenn er meint, § 32 verdränge § 28 Abs. 1 Satz 2, wonach bei der Erhebung personenbezogener Daten die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen sind; einer weiteren konkreten Festlegung der Zwecke nach § 28 Abs. 1 Satz 2 durch den Arbeitgeber bedürfe es demnach nicht mehr4. Zwar regelt § 32 die Datenerhebung, -verarbeitung und -nutzung „für Zwecke des Beschäftigungsverhältnisses“ und legt den Zweck damit scheinbar selbst fest. Hierbei handelt es sich aber lediglich um eine allgemeine Festlegung, und es liefe dem Zweck des Beschäftigtendatenschutzes wider, wenn außerhalb von Beschäftigungsverhältnissen eine Datenerhebung „ins Blaue hinein“ unzulässig wäre, der Arbeitgeber aber „zum Zwecke eines Beschäftigungsver1 2 3 4
Däubler/Klebe/Wedde/Weichert/Däubler, § 32 BDSG Rz. 8. BT-Drucks. 16/13657, S. 21. BR-Drucks. 535/10, S. 30; vgl. dazu auch Wiese, NZA 2012, 1 (3). BT-Drucks. 16/13657, S. 20.
752 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
hältnisses“ genau dies dürfte, ohne den konkreten Zweck festzulegen. Im Wortlaut des § 32 finden sich für die Annahmen des Gesetzgebers ohnehin keine Anhaltspunkte. Zwar spricht § 32 Abs. 1 von „Zwecken“ des Beschäftigungsverhältnisses. Ähnlich ist aber § 28 Abs. 1 Satz 1 formuliert, dort ist die Rede von „Geschäftszwecken“. Wenn aber die Datenverarbeitung für solche Geschäftszwecke einer konkreten Zweckbestimmung bedarf, ist auch im Rahmen des § 32 von einer Anwendbarkeit des § 28 Abs. 1 Satz 2 auszugehen1. Weiterhin sind § 28 Abs. 6 bis 9 neben § 32 anwendbar, die spezielle 11 Vorschriften für besondere Arten personenbezogener Daten nach § 3 Abs. 9 enthalten. Dies folgt nicht nur aus der Gesetzesbegründung2, sondern auch aus Art. 8 Abs. 2 EG-Datenschutzrichtlinie. Hiernach ist der Gesetzgeber zum Schutz besonderer Arten personenbezogener Daten verpflichtet. Dieser Verpflichtung wäre nicht Genüge getan, wenn die Erhebung, Verarbeitung oder Nutzung besonderer Arten personenbezogener Daten von Beschäftigten nach § 32 und nicht lediglich im Rahmen der strengeren Voraussetzungen von § 28 Abs. 6 bis 9 zulässig wäre3. Dies gebietet auch die eingangs zitierte Rechtsprechung des EuGH, wonach die EG-Datenschutzrichtlinie streng umzusetzen ist4. Auch im Bereich des Beschäftigtendatenschutzes ist eine Datenerhebung, -verarbeitung oder -nutzung auf der Grundlage einer freiwillig erteilten Einwilligung des Beschäftigten nach § 4a weiterhin zulässig5. Dies ist in der Beschlussempfehlung explizit erwähnt6 und folgt überdies aus der Gesetzessystematik nach § 4 Abs. 1.
12
Für das Verhältnis zu anderen Rechtsvorschriften des Bundes, die auf 13 personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gilt § 1 Abs. 3. Diese gehen den Vorschriften des BDSG und damit auch § 32 vor. Soweit Landesdatenschutzgesetze für öffentliche Stellen besondere datenschutzrechtliche Bestimmungen für Dienstoder Arbeitsverhältnisse enthalten, gehen diese ebenfalls § 32 vor7. 1 So auch Däubler/Klebe/Wedde/Weichert/Däubler, § 32 BDSG Rz. 8; Gola/Jaspers, RDV 2009, 212; Thüsing, NZA 2009, 865 (866). 2 BT-Drucks. 16/13657, S. 21. 3 Forst, NZA 2010, 1043 (1044); Thüsing, NZA 2009, 865 (867). 4 EuGH v. 24.11.2011 – C-468/10, BeckRS 2011, 81684, vgl. dazu oben Rz. 3. 5 Beachte aber Art. 7 Abs. 4 Datenschutz-GrundVO, wonach eine derartige Einwilligung gerade ausgeschlossen wird; zur Begründung vgl. Ziff. 34 der der Datenschutz-GrundVO vorstehenden Gründe der Europäischen Kommission. 6 BT-Drucks. 16/13657, S. 20. 7 Simitis/Seifert, § 32 BDSG Rz. 19.
Stamer/Kuhnke 753
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
14 Nach der Rechtsprechung des BAG sind Tarifverträge1 und Betriebs- oder Dienstvereinbarungen2 ebenfalls Rechtsvorschriften i.S.v. § 4 Abs. 1, die als Erlaubnisvorschrift für eine Datenerhebung, -verarbeitung und -nutzung in Betracht kommen. § 4 Abs. 1 Satz 2 BDSG-E 2010 regelt explizit, dass Dienst- oder Betriebsvereinbarungen Rechtsgrundlage für die Datenerhebung, -verarbeitung oder -nutzung sein können. 15 Dass die Beteiligungsrechte der Interessenvertretungen unberührt bleiben, versteht sich von selbst, ist unterdessen in § 32 Abs. 3 ausdrücklich festgestellt. III. Erforderlichkeit und Verhältnismäßigkeit 16 Nach dem Wortlaut des § 32 Abs. 1 Satz 1 dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung für die Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. In den Gesetzesmaterialen heisst es hierzu, die Regelung in § 32 Abs. 1 Satz 1 entspräche den bisher von der Rechtsprechung aus dem verfassungsrechtlich geschützten allgemeinen Persönlichkeitsrecht nach Art. 2 Abs. 1 iVm Art. 1 Abs. 1 GG abgeleiteten „allgemeinen Grundsätzen zum Datenschutz im Beschäftigungsverhältnis“3. Nach der weiland maßgeblichen, im Zuge der Einführung des § 32 ebenfalls geänderten Fassung des § 28 Abs. 1 Nr. 1 war indessen ausreichend, dass die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung des Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses „dient“. Zwischenzeitlich ist das Erforderlichkeitskriterium auch in § 28 Abs. 1 Nr. 1 festgeschrieben. Es stellt sich also die Frage, ob auf der Grundlage der unterschiedlichen Begrifflichkeiten von „Dienlichkeit“ einerseits und „Erforderlichkeit“ andererseits von einem Paradigmenwechsel auszugehen ist4. Teilweise wird hierzu vertreten, das Kriterium der Erforderlichkeit sei seit Inkrafttreten des BDSG „Ausgangspunkt“ der Zulässigkeitsprüfung gewesen5. Ungeachtet der Frage, 1 BAG v. 25.6.2002 – 9 AZR 405/00, NZA 2003, 275. 2 BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 643; dazu auch Kort, RDV 2012, 8 sowie Rz. 153. 3 BT-Drucks. 16/13657, S. 21. 4 Zur Parallelproblematik im Rahmen des § 28 siehe dort Rz. 20. 5 So ausdrücklich Gola/Jaspers, RDV 2009, 212; siehe auch Deutsch/Diller, DB 2009, 1462 (1463); Fröhlich, ArbRB 2009, 300; Maier/Garding, DB 2010, 559 (561); a.A. Thüsing, NZA 2009, 865 (866).
754 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
ob diese Behauptung so pauschal zutrifft, spricht gegen einen Paradigmenwechsel jedenfalls der weitere Hinweis des Gesetzgebers, wonach § 32 „eine allgemeine Regelung zum Schutz personenbezogener Daten von Beschäftigten“ enthält, „die die von der Rechtsprechung erarbeiteten Grundsätze des Datenschutzes im Beschäftigungsverhältnis nicht ändern, sondern lediglich zusammenfassen“ soll1. In den in der Gesetzesbegründung zitierten Entscheidungen des BAG geht es um den Anspruch eines erfolglosen Bewerbers auf Vernichtung eines Personalfragebogens2, die Anfechtung eines Arbeitsvertrags wegen des Verschweigens einer Körperbehinderung3 sowie die Auskunftspflicht eines Arbeitnehmers nach seiner Einstellung über eine Tätigkeit für das frühere Ministerium für Staatssicherheit4. Wenngleich die Urteile also unterschiedliche Konstellationen betreffen, geht es in deren Kern jeweils um das Fragerecht des Arbeitgebers und die Abwägung der Interessen des Arbeitgebers an bestimmten Informationen einerseits gegen die Grenzen des Schutzbereichs des Beschäftigten andererseits. Auf Grundlage der Rechtssätze dieser Entscheidungen des BAG erscheint der Begriff der „Dienlichkeit“ daher in der Tat unpassend für den Beschäftigtendatenschutz. Möglicherweise hat der Gesetzgeber wiederum keinen „begrifflichen Mittelweg“ zwischen Dienlichkeit und Erforderlichkeit gefunden. Auf Grundlage der gesetzgeberischen Erwägungen sowie der zitierten Entscheidungen des BAG sind daher keine zu strengen Anforderungen an das Erforderlichkeitskriterium zu stellen, andernfalls schon fraglich wäre, ob für die Durchführung des Beschäftigungsverhältnisses Leistungskontrollen jemals „erforderlich“ sein können5. Im Lichte dieser Erwägungen setzt die Erforderlichkeit ein berechtigtes, 17 billigenswertes und schutzwürdiges Interesse des Arbeitgebers an einer Information voraus. Dieses Interesse des Arbeitgebers muss objektiv so stark sein, dass das Interesse des Beschäftigten am Schutz seines Persönlichkeitsrechts zurücktreten muss6. Im Übrigen ist nach Maßgabe der Rechtssätze der zitierten Urteile des BAG davon auszugehen, dass 1 2 3 4 5
BT-Drucks. 16/12657, S. 20. BAG v. 6.6.1984 – 5 AZR 286/81, NZA 1984, 321. BAG v. 7.6.1984 – 2 AZR 270/83, NZA 1985, 57. BAG v. 7.9.1995 – 8 AZR 828/93, NZA 1996, 637. Thüsing, NZA 2009, 865 (867), wählt das Beispiel der Kontonummer, schließlich könne der Arbeitgeber das Geld auch bar überreichen; nach Deutsch/Diller richtet sich die Erforderlichkeit nach dem „individuell verfolgten unternehmerischen Konzept“ (DB 2009, 1462 (1463)). 6 BAG v. 7.6.1984 – 2 AZR 270/83, NZA 1985, 57; vgl. dazu auch Hohenstatt/ Stamer/Hinrichs, NZA 2006, 1065; Schaffland/Wiltfang, § 32 BDSG Rz. 1.
Stamer/Kuhnke 755
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
die Datenerhebung, -verarbeitung oder -nutzung auch im Einzelfall verhältnismäßig sein muss1. Diesem Ansatz lässt sich nicht entgegnen, dass der Verhältnismäßigkeitsgrundsatz – lediglich – in § 32 Abs. 1 Satz 2 ausdrücklich angesprochen ist. Insoweit heisst es nämlich in der Gesetzesbegründung, die Aufnahme einer Abwägungsklausel in Satz 2 trage der Tatsache Rechnung, dass Maßnahmen zur Aufdeckung einer Straftat „in der Regel besonders intensiv in das allgemeine Persönlichkeitsrecht eingreifen“2. Dem Willen des Gesetzgebers ist folglich zu entnehmen, dass es für die Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung stets auf die Intensität des Eingriffs in das allgemeine Persönlichkeitsrecht und eine diesbezügliche Abwägung des Einzelfalls ankommt, und der Gesetzgeber hinsichtlich Maßnahmen zur Aufdeckung von Straftaten lediglich unterstellt, dass diese regelmäßig besonders intensiv in das allgemeine Persönlichkeitsrecht eingreifen. 18 Nach den allgemeinen Grundsätzen zur Verhältnismäßigkeit3 muss die Erhebung, Verarbeitung und Nutzung der Beschäftigtendaten damit weiter einem legitimen Zweck dienen und in Bezug auf diesen Zweck verhältnismäßig, also geeignet, erforderlich und angemessen sein. Erweist sich die Datenerhebung, -verarbeitung oder -nutzung für den legitimen Zweck als geeignet, ist im nächsten Schritt zu prüfen, ob sie auch erforderlich im engeren Sinne ist, mithin kein milderes Mittel zur Verfügung steht, mit dem der Eingriff in das allgemeine Persönlichkeitsrecht des Beschäftigten reduziert werden könnte4. Wenn also das Erforderlichkeitspostulat nach § 32 Abs. 1 Satz 1 im vorstehend beschriebenen Sinne erfüllt ist, ist im Rahmen der Verhältnismäßigkeit zu prüfen, ob weitere, gleich wirksame Mittel in Betracht kommen, die weniger intensiv in das Persönlichkeitsrecht des Beschäftigten eingriffen. Für die Prüfung der Angemessenheit ist die Intensität des konkreten Eingriffs in das allgemeine Persönlichkeitsrecht des Beschäftigten zu bewerten. Hierfür können die Grundsätze der Sphärentheorie herangezogen werden, wo1 ErfK/Wank, § 32 BDSG Rz. 6; Gaul/Koehler, GmbHR 2010, R139; Wybitul, BB 2010, 1085; vgl. auch das an späterer Stelle in den Gesetzesmaterialien zitierte Urteil des BAG v. 22.10.1986 – 5 AZR 660/85, NZA 1987, 415. 2 BT-Drucks. 16/13657, S. 21. 3 BVerfG v. 4.4.2006 – 1 BvR 518/02, NJW 2006, 1939 zur Verfassungsmäßigkeit der präventiven polizeilichen Rasterfahndung; vgl. dazu auch Kock/Franke, NZA 2009, 646. 4 BAG v. 7.9.1995 – 8 AZR 828/93, NZA 1996, 637 zur Geeignetheit, Erforderlichkeit und Angemessenheit einer Fragestellung; BAG v. 26.8.2008 – 1 ABR 16/07, NZA 2008, 1187 für die Prüfung der Zulässigkeit von Videoüberwachungsmaßnahmen.
756 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
nach zu fragen ist, welchem Lebensbereich die jeweiligen Daten zuzuordnen sind1. Zu unterscheiden ist zwischen Informationen aus dem geschäftlichen oder sozialen Bereich, der Privatsphäre sowie solchen aus der Intimsphäre des Betroffenen. Die Intensität des Eingriffs ist bei Informationen, die die Intimsphäre betreffen, am stärksten2. Regelmäßig betrifft dies die Erhebung, Verarbeitung oder Nutzung besonderer Arten personenbezogener Daten nach § 3 Abs. 93. IV. Grundsatz der Direkterhebung Für den Arbeitgeber bieten sich im Vorfeld wie nach der Begründung 19 eines Beschäftigungsverhältnisses zahlreiche Quellen für die Informationsgewinnung an. Umfassende Recherchen über Beschäftigte sind insbesondere in allgemein zugänglichen Quellen wie sozialen oder beruflichen Netzwerken oder über Suchdienste wie Google möglich. Für die Frage der Zulässigkeit der Nutzung solcher Quellen ist der Grundsatz der Direkterhebung nach § 4 Abs. 2 Satz 1 zu beachten4. Der Arbeitgeber muss Daten demnach grundsätzlich beim Beschäftigten selbst erheben. Eine Erhebung ohne seine Mitwirkung ist nur in Ausnahmefällen nach Maßgabe von § 4 Abs. 2 Satz 2 zulässig (vgl. dazu im Einzelnen § 4 Rz. 11 sowie nachfolgend Rz. 27). V. Begründung eines Beschäftigungsverhältnisses Nach § 32 Abs. 1 Satz 1 dürfen personenbezogene Daten eines Beschäf- 20 tigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Die Gesetzes1 BAG v. 7.9.1995 – 8 AZR 828/93, NZA 1996, 637: „Ein unantastbarer Bereich privater Lebensgestaltung muss in jedem Fall gewahrt bleiben.“; BAG v. 6.6.1984 – 5 AZR 286/81, NZA 1984, 321: „Fragen nach Unfallschäden, Körperbehinderungen […] haben einen direkten Bezug zur Intimsphäre. Insoweit ist ein besonderer Schutz geboten.“ 2 Vgl. BAG v. 6.6.1984 – 5 AZR 286/81, NZA 1984, 321; BAG v. 22.10.1986 – 5 AZR 660/85, NZA 1987, 415; zur Verhältnismäßigkeit ausführlich Wybitul, BB 2010, 1085 (1086 f.). 3 Beachte die diesbzgl. Besonderheiten in § 4a Abs. 3 sowie in § 28 Abs. 6 bis 9 BDSG. 4 Vgl. dazu Forst, NZA 2010, 427 (429); § 32 Abs. 6 BDSG-E 2010 schreibt den Grundsatz der Direkterhebung für Beschäftigtendaten fest und enthält Besonderheiten für Recherchen des Arbeitgebers in sozialen und beruflichen Netzwerken.
Stamer/Kuhnke 757
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
begründung verweist exemplarisch auf Fragen nach fachlichen Fähigkeiten, Kenntnissen und Erfahrungen1. 21 § 32 BDSG-E 2010 unterscheidet zwischen verschiedenen Bewerberdaten. Unproblematisch zulässig ist nach § 32 BDSG-E 2010 die Erhebung von Grunddaten des Bewerbers wie Name, Anschrift, E-MailAdresse und Telefonnummer. Die Erhebung „weiterer“ personenbezogener Daten des Bewerbers ist demnach zulässig, soweit deren Kenntnis erforderlich ist, um die Eignung des Beschäftigten „für die vorgesehenen Tätigkeiten“ festzustellen. Die Erhebung von Daten über die Rasse, die ethnische Herkunft, eine Behinderung, Gesundheit, sexuelle Identität, Vermögensverhältnisse, Vorstrafen oder laufende Ermittlungsverfahren soll nach § 32 Abs. 2 BDSG-E 2010 nur unter den Voraussetzungen des § 8 Abs. 1 AGG zulässig sein. Auskunft über die behördliche Anerkennung einer Schwerbehinderung oder die Gleichstellung mit einer Schwerbehinderung nach § 68 SGB IX darf der Arbeitgeber nach § 32 Abs. 3 BDSG-E 2010 von einem Bewerber nicht verlangen. Sondervorschriften für Bewerber von Tendenzträgerunternehmen sehen § 32 Abs. 4 und 5 BDSG-E 2010 vor. § 32 Abs. 6 BDSG-E 2010 schreibt explizit den Direkterhebungsgrundsatz fest und trifft zugleich Regelungen für Internetrecherchen, insbesondere in sozialen und beruflichen Netzwerken. 22 § 32 BDSG-E 2010 offenbart, dass der Gesetzgeber selbst von einem enormen Informationsinteresse des Arbeitgebers ausgeht und in vielerlei Hinsicht auch ein entsprechendes Informationsbedürfnis anerkennt. De lege lata ist für die Frage der Zulässigkeit der Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten auf die hergebrachten Grundsätze zum Fragerecht des Arbeitgebers zurückzugreifen, wobei es neben der Erforderlichkeit der Datenerhebung, -verarbeitung oder -nutzung der Beschäftigtendaten für die Entscheidung über die Begründung des Beschäftigungsverhältnisses auf deren Verhältnismäßigkeit ankommt (dazu Rz. 17). Besondere Bedeutung kommt dem Diskriminierungsschutz sowie den besonderen Arten personenbezogener Daten zu. 1. Das Fragerecht des Arbeitgebers 23 Die für ihn relevanten Informationen kann der Arbeitgeber zunächst durch eine umfangreiche Befragung des Bewerbers im Rahmen eines Vorstellungsgesprächs erlangen2. Nach Maßgabe der Rechtsprechung 1 BT-Drucks. 16/13657, S. 21. 2 Unter Umständen besteht ein Beteiligungsrecht des Betriebsrats nach § 94 BetrVG.
758 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
des BAG bestimmt sich die Zulässigkeit solcher Fragen des Arbeitgebers mittels einer Abwägung des aus der allgemeinen Handlungsfreiheit fließenden Informationsrechts des Arbeitgebers an der wahrheitsgemäßen Beantwortung der Fragen einerseits mit dem Bedürfnis des Arbeitnehmers an der Geheimhaltung seiner persönlichen Lebensumstände zum Schutz seines Persönlichkeitsrechts und zur Sicherung der Unverletzlichkeit seiner Individualsphäre andererseits. Demnach hat der Arbeitgeber ein schutzwürdiges Interesse an der wahrheitsgemäßen Beantwortung von Fragen, die in einem sachlichen und inneren Zusammenhang mit dem angestrebten Arbeitsplatz stehen und deren Beantwortung für den Arbeitsplatz und die zu verrichtende Tätigkeit selbst von Bedeutung sind. Bei einem schutzwürdigen Interesse des Arbeitgebers an der wahrheitsgemäßen Beantwortung einer Frage tritt das Interesse des Bewerbers an der Wahrung seines Persönlichkeitsrechts zurück. Im Falle einer nicht wahrheitsgemäßen Beantwortung einer zulässigen Frage kann der Arbeitgeber den Arbeitsvertrag nach § 123 Abs. 1 BGB anfechten. Der Bewerber hat wiederum im Falle einer unzulässigen Frage ein „Recht zur Lüge“, der Arbeitgeber also kein Anfechtungsrecht1. Hier kommt dem AGG besondere Bedeutung zu2. Nach den Gesetzesmaterialien bleibt es auch nach Inkrafttreten des § 32 bei diesen Grundsätzen, wobei im Lichte dieser Grundsätze Erforderlichkeit und Verhältnismäßigkeit der jeweiligen Datenerhebung, -verarbeitung und -nutzung für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses zu prüfen sind3. Zu beachten ist im Übrigen, dass eine Erweiterung des Fragerechts des Arbeitgebers durch Einwilligung nicht in Betracht kommt. Der Arbeitgeber kann also nicht im Vorfeld – beispielsweise durch entsprechenden Hinweis in der Stellenanzeige – eine Einwilligung des Beschäftigten zu einer Datenerhebung herbeiführen, die von seinem Fragerecht nicht umfasst wäre4.
1 Vgl. hierzu nur die in den Gesetzesmaterialien zitierte Entscheidung des BAG v. 7.6.1984 – 2 AZR 270/83, NZA 1984, 57; zu Auskunftspflichten des Arbeitnehmers vgl. die ebenfalls zitierte Entscheidung des BAG v. 7.9.1995 – 8 AZR 828/93, NZA 1996, 637; zum „Recht zur Lüge“ vgl. nur HWK/Thüsing, § 123 BGB Rz. 8 m.w.N. 2 Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 379 ff.; zum Fragerecht des Arbeitgebers unter Berücksichtigung des AGG Wisskirchen/Bissels, NZA 2007, 169. 3 BT-Drucks. 16/13657, S. 21. 4 Gola/Wronka, Handbuch, Rz. 262.
Stamer/Kuhnke 759
24
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
2. Die „ungefragte“ Übermittlung personenbezogener Daten 25 Nicht sämtliche Beschäftigtendaten, die Grundlage für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses sein können, hat der Arbeitgeber erhoben. Vielmehr übermitteln Bewerber häufig „ungefragt“ personenbezogene Daten, sei es im Rahmen einer „Initiativbewerbung“ oder durch Übermittlung solcher personenbezogener Daten, die der Arbeitgeber nicht „abgefragt“ hat. In solchen Fällen liegt zwar keine Datenerhebung durch den Arbeitgeber vor1. Die weitere Verarbeitung oder Nutzung durch den Arbeitgeber bemisst sich aber gleichwohl nach § 322. 3. Mitteilungspflichten des Bewerbers 26 Liegen Umstände vor, die die Durchführung eines Vertragsverhältnisses unmöglich oder unzumutbar machen, ist der Beschäftigte u.U. selbst verpflichtet, den Arbeitgeber unaufgefordert auf solche Umstände hinzuweisen. Fallgruppen sind etwa der Entzug der Fahrerlaubnis eines Kraftfahrers, eine Alkoholabhängigkeit eines Kraftfahrers3 oder dessen langjährige fehlende Fahrpraxis4. Entsprechendes gilt für die Vorbeschäftigung bei einem Wettbewerber im Falle eines nachvertraglichen Wettbewerbsverbots sowie solche gesundheitliche Beeinträchtigungen, die einen Bewerber voraussichtlich vollständig an der Ausübung der Tätigkeit hindern5. 4. Andere Quellen der Datenerhebung 27 Neben der Befragung des Bewerbers bieten sich für den Arbeitgeber zahlreiche weitere Quellen der Datenerhebung an. So bieten professionelle Dienstleister die Durchführung sog. Background Checks an. Weiter kann der Arbeitgeber frühere Arbeitgeber kontaktieren, um sich ein umfassendes Bild über einen Bewerber zu machen. Eine unerschöpfliche Quelle von Informationen bietet schließlich das Internet mit sozialen und beruflichen Netzwerken wie Suchdiensten. Dabei gilt, wie eingangs unter Rz. 19 dargestellt, auch für Beschäftigtendaten der Grundsatz der Direkterhebung nach § 4 Abs. 2 Satz 1. Dies bedeutet aber nicht, dass andere Formen der Datenerhebung per se ausgeschlossen sind. Soweit 1 2 3 4 5
Gola/Wronka, Handbuch, Rz. 390. Gola/Wronka, Handbuch, Rz. 263. ArbG Kiel v. 21.1.1982 – 2c Ca 2062/81, BB 1982, 804. BAG v. 24.1.1974 – 3 AZR 488/72, BB 1974, 887. Gola/Wronka, Handbuch, Rz. 476.
760 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
die Daten allgemein zugänglich sind, kann auf § 28 Abs. 1 Nr. 3 zurückgegriffen werden1. Entscheidend ist also eine Abwägung der jeweiligen Interessen. Maßgeblich sind auch insoweit die aufgezeigten Grenzen des Fragerechts, weshalb der Arbeitgeber Informationen, die er beim Bewerber nicht abfragen dürfte, sich nicht durch allgemein zugängliche Quellen oder Fragen bei einem früheren Arbeitgeber beschaffen und im Anschluss nutzen dürfte. Zulässig ist im Lichte dieser Erwägungen jedenfalls die Informationsbeschaffung aus beruflichen Netzwerken wie LinkedIn oder Xing, Recherchen in sozialen Netzwerken wie facebook oder studiVZ sind demnach ausgeschlossen2. Insoweit kann auch nicht von einer Einwilligung des Beschäftigten nach § 4a ausgegangen werden, da es sich gerade nicht um berufliche, sondern um soziale Netzwerke handelt, die das private und nicht das berufliche Umfeld betreffen. Dass die Nutzer gut beraten sind, bei der Einpflege von Daten auch an ihr berufliches Umfeld zu denken, steht freilich auf einem anderen Blatt. Stößt der Arbeitgeber bei Internetrecherchen auf Informationen, die von 28 seinem Fragerecht nicht mehr umfasst wären, darf er solche Informationen für die Entscheidung über die Begründung des Beschäftigungsverhältnisses nicht verwenden. Dass der Beschäftigte hier unter Umständen vor unüberbrückbaren Beweishürden stehen kann, ist letztlich nicht zu ändern. Dem mit einem umfassenden Verbot von Internetrecherchen zu begegnen, wäre wiederum kein taugliches Mittel, beseitigte dies doch die Beweishürden, ob unzulässigerweise eine Recherche durchgeführt wurde oder nicht, ebenfalls nicht. Einen Ausweg könnten insoweit Betriebsvereinbarungen bieten, die Internetrecherchen zulassen und den Arbeitgeber, ggf. unter Vorlage der hieraus generierbaren Reporte, zur Rechenschaft über die gewonnenen und verwerteten Erkenntnisse verpflichten. Da solche Betriebsvereinbarungen normative Wirkung lediglich für die Arbeitnehmer eines Betriebs zeitigen, könnte durch Betriebsvereinbarungen ein etwaiges Einwilligungserfordernis hinsichtlich Bewerbern nicht wirksam ersetzt werden. Frühere Arbeitgeber dürften ebenfalls lediglich in den Grenzen des Fra- 29 gerechts befragt werden. Allerdings darf der künftige Arbeitgeber die personenbezogenen Daten auch lediglich auf Grundlage von § 4, also im Rahmen einer Erlaubnisvorschrift oder einer Einwilligung, an den früheren Arbeitgeber übermitteln3. Legt der Bewerber entsprechende Zeugnis1 Dazu oben Rz. 9 sowie Forst, NZA 2010, 427 m.w.N. 2 Kania/Sansone, NZA 2012, 360 (363). 3 Nach § 3 Abs. 4 Satz 1 BDSG ist Verarbeiten auch das Übermitteln von Daten (dazu im Einzelnen § 3 BDSG Rz. 39).
Stamer/Kuhnke 761
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
se vor oder macht er entsprechende Angaben im Lebenslauf, ohne zugleich auf die Vertraulichkeit seiner Bewerbung zu verweisen, kommt eine Einwilligung nach § 4a in Betracht. Überdies wäre die Verifizierung der Angaben auch von § 32 Abs. 1 Satz 1 gedeckt, da kein milderes Mittel zur Verfügung steht. Selbst eine notarielle Beglaubigung gäbe keine Garantie, dass das Zeugnis tatsächlich vom früheren Arbeitgeber stammt. Der frühere Arbeitgeber unterliegt wiederum selbst dem Datengeheimnis nach § 5 und ist deshalb verpflichtet, auch nach Beendigung des Beschäftigungsverhältnisses personenbezogene Daten nicht unbefugt zu verarbeiten. Seine Auskünfte müssen sich daher im Rahmen des erteilten Zeugnisses bewegen. Hat der frühere Arbeitgeber ein Gefälligkeitszeugnis erteilt, ist er an dessen Inhalt gebunden. 30 Die Einschaltung professioneller Anbieter sog. Background Checks bedarf der Übermittlung personenbezogener Daten an den Anbieter solcher Leistungen1. Sofern die Durchführung der Background Checks nicht im Rahmen einer Auftragsdatenverarbeitung nach § 11 erfolgt (siehe zu dem dabei auftretenden Problem der Funktionsübertragung ausführlich § 11 Rz. 27), läge eine Datenübermittlung vor, wobei fraglich wäre, ob diese erforderlich i.S.v. § 32 Abs. 1 Satz 1 wäre. Hierfür könnte sprechen, dass der Arbeitgeber ein anerkennenswertes Interesse an der Überprüfung der Angaben hat. Allerdings dürfte es sich bei der Einschaltung Dritter zur Überprüfung kaum um das mildeste Mittel solcher Überprüfungen handeln. Vielmehr ist der Arbeitgeber hier zunächst grundsätzlich selbst in der Pflicht, zumal solche Anbieter keine weitergehenden Befugnisse zur Überprüfung hätten, als ein Arbeitgeber. Vor diesem Hintergrund bedürfte die Datenübermittlung der Einwilligung des Beschäftigten2. 5. Erfolglose Bewerbung 31 Der Arbeitgeber darf nur solche Beschäftigtendaten nutzen, die er zulässig erhoben hat. Allerdings ist die Nutzung nicht zwangsläufig zulässig, weil bereits die Erhebung zulässig war. Vielmehr ist dies gesondert zu prüfen. Steht beispielsweise endgültig fest, dass ein Bewerber für die Einstellung nicht in Betracht kommt, sind die Daten nach Maßgabe von § 35 ggf. zu löschen (dazu § 35 Rz. 19). Gleichwohl ist vor einer vorschnellen Löschung der Daten abzuraten. In jedem Fall empfiehlt es sich, die Frist des § 15 Abs. 4 AGG zur Geltendmachung von Schaden1 Dazu Weichert, AuR 2010, 100. 2 Siehe dazu auch Kania/Sansone, NZA 2012, 360 (363).
762 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
ersatz- und Entschädigungsansprüchen bei Verstößen gegen das Benachteiligungsverbot abzuwarten1. Die Zulässigkeit eines solchen Abwartens ergibt sich wiederum aus den Gesetzesmaterialien zu § 15 Abs. 4 AGG. Demnach wird die Frist zur Geltendmachung solcher Ansprüche damit begründet, dem Arbeitgeber könne es nicht zugemutet werden, Dokumentationen über das Einstellungsverfahren über einen längeren Zeitraum aufzubewahren2. Der Gesetzgeber geht also selbst davon aus, dass eine Löschung vor Ablauf dieser Frist nicht zwingend geboten ist3. Auch das BAG anerkennt in der in den Gesetzesmaterialien4 ebenfalls zitierten Entscheidung5 im Grundsatz ein berechtigtes Interesse des Arbeitgebers an der Aufbewahrung eines Personalfragebogens, den ein „erfolgloser“ Bewerber ausgefüllt hatte; ein solches berechtigtes Interesse vermag allerdings die Absicht des Arbeitgebers, im Falle einer nochmaligen Bewerbung einen Datenabgleich durchzuführen, nach Ansicht des BAG nicht zu begründen6. 6. Fallgruppen Allgemeine Kontaktdaten wie Name, Anschrift, Telefonnummer, E-Mail-Adresse sind erforderlich für die Kontaktierung und damit auch die Entscheidung über die Begründung eines Beschäftigungsverhältnisses. Vorsicht ist geboten bei Fragen nach weiteren Grunddaten eines Bewerbers wie etwa Geburtsname, Geburtsort, Alter, Familienstand und Nationalität. Solche Fragen können Indizien für eine Diskriminierung bilden7.
32
Erforderlich für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses sind Informationen über Qualifikation und berufli-
33
1 Die Frist beträgt vorbehaltlich anderslautender Vereinbarungen der Tarifvertragsparteien zwei Monate. 2 BT-Drucks. 16/1780, S. 38. 3 BT-Drucks. 16/1780, S. 38; ebenso mit Bezug auf die Gesetzesbegründung der Bundesbeauftragte für den Datenschutz, 22. Tätigkeitsbericht zum Datenschutz für die Jahre 2007 und 2008, S. 123; zur Löschung personenbezogener Daten von der Homepage eines Arbeitgebers nach Beendigung des Beschäftigungsverhältnisses vgl. LAG Hessen v. 24.1.2012 – 19 SaGa 1480/11, ArbRAktuell 2012, 230. 4 BT-Drucks. 16/13657, S. 20. 5 BAG v. 6.6.1984 – 5 AZR 286/81, NZA 1984, 321. 6 Für die explizite Regelung einer dreimonatigen Erlaubnis der Speicherung sprechen sich die Ausschüsse des Bundesrats in ihren Empfehlungen vom 25.10.2010 aus, BR-Drucks. 535/2/10, S. 28. 7 Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 387.
Stamer/Kuhnke 763
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
chen Werdegang, etwaige Nebentätigkeiten, einschlägige nachvertragliche Wettbewerbsverbote1 oder die zeitliche Verfügbarkeit des Bewerbers. Auch darf sich der Arbeitgeber danach erkundigen, wie lange der Bewerber in seinen bisherigen Stellen beschäftigt war2. Das zuletzt bezogene Gehalt darf der Arbeitgeber nur erfragen, wenn dies für die Bewertung der Eignung des Bewerbers, insbesondere im Hinblick auf dessen Einsatz- und Leistungsbereitschaft, aussagekräftig ist3. 34 Insbesondere vor Abschaffung der Wehrpflicht war die Frage nach der Zulässigkeit von Fragen über die Ableistung von Wehr- oder Ersatzdienst virulent. Unzulässig ist die Frage, ob Wehr- oder Ersatzdienst geleistet wurde, diese Erkenntnis sagt nichts über die Eignung des Bewerbers aus. Im Gegenteil könnten hieraus unzulässige Informationen über Religion oder Weltanschauung gewonnen werden. Anders verhielt es sich hinsichtlich der Frage, ob noch Wehr- oder Ersatzdienst zu leisten ist. Im Hinblick auf das Interesse des Arbeitgebers an der zeitlichen Verfügbarkeit des Bewerbers konnten solche Informationen erforderlich und verhältnismäßig für die Entscheidung über die Begründung eines Arbeitsverhältnisses sein4. 35 Nicht erforderlich für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses sind Informationen über Hobbys, Ess- und Trinkgewohnheiten. Entsprechendes gilt grundsätzlich für Fragen über Bekannte und Verwandte oder die private Lebensplanung5. Ausnahmen gelten wiederum bei zu befürchtenden Interessenkonflikten qua Verwandtschaft oder persönlicher Nähe. 36 Die Frage nach der Gewerkschaftszugehörigkeit ist vor Begründung eines Beschäftigungsverhältnisses mit Rücksicht auf Art. 9 Abs. 3 GG unzulässig, zumal es sich hierbei um besondere Arten personenbezogener Daten nach § 3 Abs. 9 handelt. Nach der Einstellung ist indessen, insbesondere mit Blick auf die Aufgabe des Grundsatzes der Tarifeinheit durch das BAG6, grundsätzlich von einem berechtigten Interesse des Arbeitgebers an der Beantwortung der Frage auszugehen7.
1 Simitis/Seifert, § 32 BDSG Rz. 23, ErfK/Preis, § 611 BGB Rz. 280. 2 Dazu BAG v. 12.2.1970 – 2 AZR 184/69, NJW 1970, 1565 (1566). 3 Dazu BAG v. 19.5.1983 – 2 AZR 171/81, BB 1984, 533; Wisskirchen/Bissels, NZA 2007, 169 (174). 4 Dazu Wisskirchen/Bissels, NZA 2007, 169 (174); Ehrich, DB 2000, 421 (425 f.). 5 Däubler/Klebe/Wedde/Weichert/Däubler, § 32 BDSG Rz. 17. 6 BAG v. 23.6.2010 – 10 AS 2/10, NZA 2010, 778. 7 Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 395.
764 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
Gleichermaßen bedeutsam für den Arbeitgeber wie problematisch im 37 Hinblick auf die Erforderlichkeit für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses sind Fragen des Arbeitgebers über die privaten Vermögensverhältnisse des Bewerbers, insbesondere über Kreditverbindlichkeiten. Gerade bei Tätigkeiten, in denen der Beschäftigte Vermögensverfügungen vornehmen kann, beispielsweise als Kassierer oder Bankangestellter, oder bei denen die Gefahr einer Bestechung oder eines Geheimnisverrats besteht, hat der Arbeitgeber ein anerkennenswertes Informationsbedürfnis. Andererseits greifen gerade solche Fragen erheblich in das Persönlichkeitsrecht des Arbeitnehmers ein. Im Rahmen der Abwägung dieser widerstreitenden Interessen können solche Informationen als erforderlich betrachtet werden, wenn mit der in Rede stehenden Beschäftigung ein nicht nur geringfügiger eigenverantwortlicher finanzieller Spielraum einhergeht1. Abzustellen ist daher insbesondere auf den Verfügungsrahmen, der mit einer Beschäftigung einherginge. Ein erheblicher Verfügungsrahmen ist mit der Kassierertätigkeit in einem Supermarkt nicht ohne weiteres verbunden. Bankangestellte oder Mitarbeiter eines Finanzdienstleistungsunternehmens haben dagegen schon rein faktisch andere „Zugriffsmöglichkeiten“, weshalb Fragen nach der Abgabe einer eidesstattlichen Versicherung oder einem privaten Insolvenzverfahren erforderlich i.S.v. § 32 sind2. Vergleichbar ist die Rechtslage bei Fragen nach Vorstrafen und laufen- 38 den Ermittlungsverfahren. Auch insoweit ist eine Erforderlichkeit für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses nur anzunehmen, wenn die Erkenntnisse objektiv einen unmittelbaren Bezug zu der zu übernehmenden Tätigkeit haben3. Unberührt bleiben die Vorschriften des Bundeszentralregistergesetzes, insbesondere die in § 53 BZRG genannten Fristen, so dass sich ein Bewerber nach deren Ablauf als nicht vorbestraft vorstellen darf4. Gleiches gilt für Vorstrafen, die nach § 32 Abs. 2 BZRG nicht im Bundeszentralregister vermerkt werden, auch diese darf ein Bewerber verheimlichen5. 1 Vgl. dazu BAG v. 29.8.1980 – 7 AZR 726/77, AuR 1981, 60; Kania/Sansone, NZA 2012, 360 (361). 2 Hohenstatt/Stamer/Hinrichs, NZA 2006, 1065 (1068). 3 BAG v. 20.5.1999 – 2 AZR 320/98, NZA 1999, 975; zum Fragerecht nach Disziplinarmaßnahmen vgl. LAG Schleswig-Holstein v. 12.1.2012 – 5 Sa 339/11, ZTR 2012, 299; vgl. zum Ganzen auch Gola/Wronka, Handbuch, Rz. 288 ff.; Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 399. 4 Kania/Sansone, NZA 2012, 360 (362). 5 LAG Düsseldorf v. 24.4.2008 – 11 Sa 2101/07, PersR 2008, 465; Däubler/Kittner/Klebe/Wedde/Klebe, § 94 BetrVG Rz. 17.
Stamer/Kuhnke 765
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
39 Hat der Bewerber in näherer Zukunft eine Freiheitsstrafe zu verbüßen, die ihn an der Ausübung der Beschäftigung hindert, besteht nicht nur ein Fragerecht des Arbeitgebers, sondern vielmehr eine Mitteilungspflicht des Bewerbers, und zwar unabhängig davon, ob die Straftat im Bezug zur Tätigkeit steht1. Der Bewerber wäre für den Zeitraum der Verbüßung der Freiheitsstrafe an der Ausübung der Tätigkeit gehindert. 40 Für die Erforderlichkeit von Informationen über eine „Stasi-Vergangenheit“ ist zu differenzieren, ob es um die Begründung eines Beschäftigungsverhältnisses mit dem Staat oder aber einem privaten Arbeitgeber geht. Während sich ein öffentlich-rechtlicher Arbeitgeber im Hinblick auf das Sonderkündigungsrecht im Einigungsvertrag2 nach einer etwaigen Tätigkeit im Ministerium für Staatssicherheit im Einstellungsgespräch erkundigen darf3, darf ein privatrechtlicher Arbeitgeber dies nur erfragen, soweit der zu besetzende Arbeitsplatz ein besonderes Sicherheitsbedürfnis, beispielsweise im Hinblick auf potentiellen Geheimnisverrat, verlangt4. 41 Ausgesprochen begrenzt ist das Fragerecht des Arbeitgebers nach verpönten Merkmalen gemäß § 1 AGG. Hier darf eine Erhebung nur unter den engen Voraussetzungen des § 8 Abs. 1 AGG erfolgen. Ein Fragerecht besteht folglich nur, soweit das zu erhebende Datum aus objektiver Sicht zu den wesentlichen und entscheidenden beruflichen Anforderungen gehört5. Dies ist dann der Fall, wenn das erfragte Datum „ein zentraler Bestandteil des Anforderungsprofils“ ist6. Das Anforderungsprofil kann der Arbeitgeber im Rahmen seiner unternehmerischen Entscheidungsfreiheit frei gestalten, soweit er nicht die Grenzen der Verhältnismäßigkeit überschreitet7. Insbesondere hat sich der Arbeitgeber daher an objektiven beruflichen Kriterien zu orientieren.
1 LAG Frankfurt v. 7.8.1986 – 12 Sa 361/86, NZA 1987, 352; Gola/Wronka, Handbuch, Rz. 475; a.A.: Däubler/Kittner/Klebe/Wedde/Klebe, § 94 BetrVG Rz. 17. 2 Art. 20 Abs. 1 i.V.m. Anlage I Kapitel XIX Sachgebiet A, Abschnitt III Nr. 1 Abs. 5 Nr. 2 EinigungsV. 3 BAG v. 13.6.1996 – 2 AZR 483/95, NZA 1997, 204. 4 ArbG Darmstadt v. 26.5.1994 – 8 Ca 674/93, BB 1994, 2495. 5 Vgl. dazu auch BT-Drucks. 17/4230, Entwurfsbegründung der Bundesregierung vom 15.12.2010, S. 10. 6 Rust/Falke/Falke, § 8 AGG Rz. 11; strenger Rasmussen-Bonne/Raif, GWR 2011, 58 (58), die auf eine Unverzichtbarkeit des zu erhebenden Datums abstellen. 7 Rust/Falke/Falke, § 8 AGG Rz. 10.
766 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
Nach dieser Maßgabe sind Fragen nach dem Alter regelmäßig aus- 42 geschlossen1. Entsprechendes gilt für Fragen nach der sexuellen Identität2. Fragen nach einer Schwangerschaft sind ebenfalls unzulässig, und zwar nach der Rechtsprechung des EuGH3 und in der Folge auch des BAG4 unabhängig davon, ob alle Bewerber weiblich sind oder die Anstellung befristet wäre und eine Schwangerschaft eine Tätigkeit für den Großteil des Zeitraum ausschlösse5. Gleichermaßen unzulässig sind Fragen nach Rasse und ethnischer Herkunft, wobei die Frage nach der Staatsangehörigkeit oder Nationalität nicht die ethnische Herkunft betrifft6. Fragen danach können zulässig sein im Hinblick auf das Erfordernis einer Aufenthalts- und Arbeitserlaubnis sowie im Hinblick auf weitere gesetzliche Bestimmungen. So verlangt § 2a SchiffsBesVO, dass der Kapitän eines unter Bundesflagge fahrenden Kauffahrteischiffes Unionsbürger und Inhaber eines gültigen deutschen oder eines anerkannten ausländischen Befähigungszeugnisses ist. Nach der Religionszugehörigkeit darf gefragt werden, wenn es um die Einstellung durch eine Kirche geht und die Zugehörigkeit oder Nichtzugehörigkeit nach Selbstverständnis, Art der Tätigkeit sowie im Hinblick auf die Repräsentation i.S.d. vertretenen Überzeugung als berufliche Anforderung zu bewerten ist7. Die Frage nach einer Mitgliedschaft in Scientology betrifft nicht die Religions- oder Weltanschauung8 und ist damit als zulässig anzusehen, wenn der Arbeitgeber eine Unterwanderung durch Scientology vermeiden möchte oder Loyalitätskonflikte befürchtet.
43
Für die Zulässigkeit von Fragen über den allgemeinen Gesundheits- 44 zustand, eine Alkohol- oder Drogensucht ist zu beachten, dass solche Informationen das Merkmal der Behinderung nach § 1 AGG betreffen können. Bereits vor Inkrafttreten des AGG hat das BAG eine Drogensucht als Behinderung angesehen9. In einer jüngeren Entscheidung, in der sich ein Arbeitgeber bei einem Bewerber erkundigt hatte, ob dieser an „Morbus Bechterew“ erkrankt sei, hat das BAG die Frage als Indiz nach § 22 1 2 3 4 5 6 7 8 9
Wisskirchen/Bissels, NZA 2007, 169. Wisskirchen/Bissels, NZA 2007, 169. EuGH v. 8.11.1990 – Rs C-177/88, NZA 1991, 171. BAG v. 15.10.1992 – 2 AZR 227/92, NZA 1993, 257. EuGH v. 4.10.2001, EAS RL 76/207/EWG Nr. 16 zu Art. 5; zustimmend: Gola/ Wronka, Handbuch, Rz. 504; a.A. ErfK/Wank, § 32 BDSG Rz. 9. ErfK/Schlachter, § 1 AGG Rz. 4. Dazu Gola/Wronka, Handbuch Rz. 491. BAG v. 22.3.1995 – 5 AZB 21/94, NZA 1995, 823 für Scientology in Hamburg. BAG v. 14.1.2004 – 10 AZR 188/03, NZA 2005, 839.
Stamer/Kuhnke 767
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
AGG dafür gewertet, dass der Arbeitgeber seine Einstellungsentscheidung vom Nichtvorhandensein der fraglichen Behinderung abhängig gemacht hat1. Mithin kann nicht pauschal deshalb von einer Zulässigkeit entsprechender Fragen ausgegangen werden, weil möglicherweise die Eignung für die vorgesehene Tätigkeit oder die zeitliche Verfügbarkeit des Bewerbers eingeschränkt oder wegen einer Ansteckungsgefahr zukünftige Kolleginnen und Kollegen gefährdet sein könnten. Solche Fragen sind vielmehr nur dann zulässig, wenn das Nichtvorhandensein der Behinderung eine wesentliche und entscheidende Anforderung für die angestrebte berufliche Tätigkeit darstellt2. Will der Arbeitgeber gezielt behinderte Menschen fördern, darf er mit Blick auf § 5 AGG allerdings gezielt nach einer Behinderung fragen3. Im bestehenden Arbeitsverhältnis ist nach Ansicht des BAG jedenfalls nach sechs Monaten, also nach dem Erwerb des Sonderkündigungsschutzes für schwerbehinderte Menschen, die Frage des Arbeitgebers nach der Schwerbehinderung zulässig4. 45 Oftmals hat ein Arbeitgeber Interesse daran, die Aussagen eines Bewerbers anhand geeigneter Dokumente nachzuprüfen oder Informationen durch bestimmte Dokumente überhaupt erst zu generieren5. In Betracht kommt eine Vielzahl von Unterlagen, die über unterschiedliche Aspekte des Lebens des Bewerbers Aussagen treffen. Wie das Fragerecht ist auch diese Art der Informationsgewinnung an § 32 gebunden. Der Arbeitgeber darf mithin nur solche Dokumente einfordern, die Daten beinhalten, bezüglich derer der Arbeitgeber auch ein Fragerecht hätte. Vor dem Hintergrund der vielfältigen technischen und überdies leicht zugänglichen Möglichkeiten zur Fälschung von Dokumenten kann es sich dabei empfehlen, Originaldokumente oder jedenfalls beglaubigte Kopien einzufordern. 46 Die Vorlage von Dokumenten über fachliche Qualifikationen des Bewerbers oder Nachweise wie insbesondere Zeugnisse darf der Arbeit-
1 BAG v. 17.12.2009 – 8 AZR 670/08, NZA 2010, 383. 2 BAG v. 5.10.1995 – 2 AZR 923/94, BB 1995, 2271; offengelassen, weil im konkreten Fall nicht entscheidungserheblich, für die Frage nach einer Schwerbehinderung des Bewerbers in BAG v. 7.7.2011 – 2 AZR 396/10, BB 2012, 1291; vgl. auch Bayreuther, NZA 2010, 679; Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 393. 3 Joussen, NZA 2007, 174 (177). 4 BAG v. 16.2.2012 – 6 AZR 553/10, NJW-Spezial 2012, 308. 5 Vgl. dazu auch Hohenstatt/Stamer/Hinrichs, NZA 2006, 1065 (1066).
768 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
geber verlangen. Auch an Dokumentationen der jeweiligen Beschäftigungsdauer hat der Arbeitgeber ein berechtigtes Interesse1. Schwieriger gestaltet sich die Frage nach der Zulässigkeit der Anforde- 47 rung eines polizeilichen Führungszeugnisses2. Teilweise bestehen ohnehin gesetzliche Vorlagepflichten. So sieht § 7 Abs. 3 Nr. 3 LuftSiG vor, dass für jeden Bewerber von der Luftsicherheitsbehörde „unbeschränkte Auskünfte aus dem Bundeszentralregister“ einzuholen sind. Nach Maßgabe von § 30 BZRG kann ein Führungszeugnis lediglich vom Betroffenen selbst beantragt und überdies an keinen anderen als den Antragssteller selbst versendet werden. Allerdings listet ein polizeiliches Führungszeugnis nicht lediglich solche Straftaten auf, die einen Bezug zur in Frage kommenden Tätigkeit haben könnten. Das Fragerecht des Arbeitgebers beschränkt sich indessen gerade auf solche Straftaten, die aus objektiver Sicht unmittelbaren Bezug zur übernehmenden Tätigkeit haben3. Das Verlangen eines polizeilichen Führungszeugnisses wird daher teilweise generell als rechtswidrig angesehen4. Dieses Ergebnis hat indessen zur Folge, dass einem Arbeitgeber kein Mittel zur Verfügung steht, die Angaben eines Bewerbers auf zulässige Fragen zu Vorstrafen zu verifizieren. Gleichzeitig treffen den Arbeitgeber erhebliche Sorgfaltspflichten im Hinblick auf die Auswahl geeigneter Bewerber5. Überdies sprechen die Gesetzesmaterialien zum BZRG selbst für die Zulässigkeit des Verlangens eines polizeilichen Führungszeugnisses durch den Arbeitgeber6. Überlegenswert wäre allerdings die Einführung arbeitgeberbezogener Führungszeugnisse, wie es sie etwa in den Niederlanden oder Frankreich gibt7. Die vorstehenden Ausführungen gelten entsprechend für das Verlangen 48 des Arbeitgebers nach einer SCHUFA-Auskunft. Hier ist die Interessenlage vergleichbar derjenigen bei der Vorlage polizeilicher Führungs1 BAG v. 12.2.1970 – 2 AZR 184/69, NJW 1970, 1565 (1566). 2 Zu den datenschutzrechtlichen Problemen eines erweiterten Führungszeugnisses vgl. Lönisch/Mysliniec, NJW 2012, 2389. 3 Siehe dazu auch Kania/Sansone, NZA 2012, 360 (362). 4 Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 401; Däubler/Kittner/Klebe/Wedde/Klebe, § 94 BetrVG Rz. 17; Thum/Szczesny, BB 2007, 2405 (2406); a.A. Hohenstatt/Stamer/Hinrichs, NZA 2006, 1065 (1067); MüKo-HGB/ von Hoyningen/Huene, § 59 HGB Rz. 104; Milthalter, Fragerecht des Arbeitgebers 2006, S. 204; Götz, BB 1971, 1325 (1326). 5 BGH v. 20.3.2001 – VI ZR 373/99, NJW 2001, 2023, für die Einstellung eines bewaffneten Wachmannes. 6 BT-Drucks. 6/477, S. 20. 7 Näher hierzu Milthaler, Fragerecht nach Vorstrafen, S. 205.
Stamer/Kuhnke 769
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
zeugnisse. Im Rahmen der Interessenabwägung kann das Interesse des Arbeitgebers an einer Verifikation der diesbezüglichen Angaben des Bewerbers überwiegen. Wünschenswert wäre indessen auch insoweit die Etablierung „arbeitgeberbezogener“ Schufa-Auskünfte1. 49 Die Durchführung medizinischer Untersuchungen und psychologischer Tests unterliegt ebenfalls den Grenzen des § 32 und ist mithin nur zulässig, wenn sie für die Einstellungsentscheidung erforderlich ist2. Die gewonnenen Erkenntnisse sind dem Beschäftigten vollumfänglich mitzuteilen3, während der Arbeitgeber lediglich die Information erhält, ob der Beschäftigte für die vorgesehene Tätigkeit geeignet ist oder nicht4. Beispiele zulässiger ärztlicher Untersuchungen sind die Flugtauglichkeit eines Piloten oder ein HIV-Test bei einem Chirurgen. Zudem bestehen Spezialregelungen medizinischer Untersuchungen zum Schutze bestimmter Beschäftigter, etwa §§ 32 ff. JArbSchG für junge Beschäftigte5. 50 Nicht zulässig sind standardmäßige Alkohol- oder Drogentests, die ohne Anhaltspunkt eine etwaige Abhängigkeit abprüfen sollen6. Dieser Grundsatz ist allerdings für solche Arbeitsplätze zu relativieren, bei denen eine Alkohol- oder Drogenabhängigkeit die Eignung eines Bewerbers oder einer Bewerberin entfallen ließe, zumal der Arbeitgeber in solchen Fällen ein Fragerecht hätte7. 51 Psychologische Eignungstests müssen sich vor dem Hintergrund der Achtung der Privatsphäre des Bewerbers auf das Abprüfen von Fähigkeiten und Eigenschaften beschränken, die für die Ausübung der späteren Tätigkeit von Bedeutung sind. Unspezifische allgemeine Intelligenztests oder umfassende Persönlichkeitsprofile stellen einen übermäßigen und damit unzulässigen Eingriff in die Privatsphäre dar8. 1 Hohenstatt/Stamer/Hinrichs, NZA 2006, 1065 (1069). 2 BAG v. 23.2.1967 – 2 AZR 124/66, AP Nr. 1 zu § 7 BAT; ErfK/Preis, § 611 BGB Rz. 293; Stück/Wein, NZA-RR 2005, 505; Iraschko-Luscher/Kiekenbeck, NZA 2009, 1239 (1240); Keller, NZA 1988, 561 (562). 3 Kritisch Bayreuther, NZA 2010, 679 (682). 4 Iraschko-Luscher/Kiekenbeck, NZA 2009, 1239 (1239); Lichtenberg/Schüssing, NZA 1990, 41 (44 f.). 5 Näher hierzu Stück/Wein, NZA-RR 2005, 505 (505 ff.). 6 So schon BAG v. 12.8.1999 – 2 AZR 55/99, NZA 1999, 1209; Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 394; Diller/Powietzka, NZA 2001, 1227 (1228); zum Mitbestimmungsrecht des Betriebsrats vgl. LAG Baden-Württemberg v. 13.12.2002 – 16 TaBV 4/02, NZA-RR 2003, 417. 7 Diller/Powietzka, NZA 2001, 1227 (1228); Bengelsdorf, NZA-RR 2004, 113 (114). 8 ErfK/Wank, § 32 BDSG Rz. 8.
770 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
Für die Frage der Zulässigkeit genetischer Untersuchungen und Ana- 52 lysen gehen die spezielleren Vorschriften des am 1.2.2010 in Kraft getretenen Gendiagnostikgesetzes (GenDG) denen des BDSG vor. §§ 19–22 GenDG enthalten spezielle arbeitsrechtliche Regelungen, die das Ziel verfolgen, die Chancen genetischer Untersuchungen und Analysen zu nutzen und wiederum den damit verbundenen Missbrauchsgefahren vorzubeugen1. Der Anwendungsbereich des GenDG umfasst dabei nach § 2 GenDG jede Erhebung genetischer Daten „im Arbeitsleben“ und bezieht damit genetische Untersuchungen und Analysen vor und nach Begründung des Arbeitsverhältnisses ein2. In Betracht kommen genetische Untersuchungen zur Überprüfung der Eignung eines Bewerbers für einen Arbeitsplatz oder auch die Durchführung einer genetischen Untersuchung zur Aufklärung einer Straftat im Betrieb. § 19 GenDG verbietet es dem Arbeitgeber, die Vornahme genetischer Untersuchungen oder Analysen oder die Mitteilung der Ergebnisse früherer Untersuchungen zu verlangen oder entgegenzunehmen. Eine Einwilligung des Beschäftigten ist gegenstandslos. Selbst im Bereich des Arbeitsschutzes sind genetische Untersuchungen und Analysen nach § 20 Abs. 1 GenDG grundsätzlich unzulässig. Ausnahmen enthält § 20 Abs. 2 bis 4 GenDG. Überdies darf der Arbeitgeber nach § 21 Abs. 1 GenDG einen Beschäftigten nicht wegen seiner genetischen Eigenschaften, der seiner Verwandten oder der Verweigerung eine genetischen Untersuchung oder Analyse oder der Vorlage entsprechender Ergebnisse benachteiligen. Verstöße gegen die §§ 19 ff. GenDG können für den Arbeitgeber erhebliche Auswirkungen zeitigen. In Betracht kommen Schadenersatzansprüche, Ordnungswidrigkeiten und strafrechtliche Konsequenzen3. VI. Durchführung des Beschäftigungsverhältnisses Nach Begründung des Beschäftigungsverhältnisses dürfen personenbezo- 53 gene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für dessen Durchführung erforderlich ist. In der Gesetzesbegründung heißt es, die Regelung entspreche auch insoweit den bislang von der Rechtsprechung erarbeiteten Grundsätzen des Datenschutzes im Beschäftigungsverhältnis4, wobei ein Urteil des BAG zur Erhebung, Speicherung und Lö1 So die Gesetzesbegründung: BT-Drucks. 16/10532, S. 16. 2 Fischinger, NZA 2010, 65 (66); Wiese, BB 2009, 2198 (2202); zum weiten Beschäftigtenbegriff siehe den Wortlaut des § 3 Nr. 12 GenDG. 3 Näheres zu den Rechtsfolgen Fischinger, NZA 2010, 65 (70). 4 BT-Drucks. 16/13657, S. 21.
Stamer/Kuhnke 771
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
schung von Arbeitnehmerdaten1 sowie die bereits im Zusammenhang mit dem Stadium der Begründung des Beschäftigungsverhältnisses zitierte Entscheidung zu Auskunftspflichten des Arbeitnehmers2 erwähnt werden. Insoweit kann zunächst auf die Ausführungen in Rz. 16 ff. zur Erforderlichkeit und Verhältnismäßigkeit der Datenerhebung, -verarbeitung und -nutzung und insbesondere zum Fragerecht des Arbeitgebers sowie die diesbezüglichen Fallgruppen verwiesen werden. Weiter heisst es in den Gesetzesmaterialien, der Arbeitgeber dürfe sich nach der Einstellung bei seinen Beschäftigten über Umstände informieren oder Daten verwenden, um seine vertraglichen Pflichten gegenüber den Beschäftigten erfüllen zu können, „z.B. Pflichten im Zusammenhang mit der Personalverwaltung, Lohn- und Gehaltsabrechnung“. Nach der Gesetzesbegründung gilt dies auch, „wenn der Arbeitgeber seine im Zusammenhang mit der Durchführung des Beschäftigungsverhältnisses bestehenden Rechte wahrnimmt, z.B. durch Ausübung des Weisungsrechts oder durch Kontrollen der Leistung oder des Verhaltens des Beschäftigten“3. 54 Gerade nach der Einstellung eines Bewerbers zeigt sich im besonderen Maße das Spannungsverhältnis zwischen dem vom Gesetzgeber anerkannten Recht und Bedürfnis des Arbeitgebers, Daten zur Wahrnehmung seiner Rechte zu erheben, zu verarbeiten oder zu nutzen einerseits und den von § 3a postulierten Grundsätzen der Datenvermeidung und Datensparsamkeit andererseits. Als Dauerschuldverhältnis ist ein Beschäftigungsverhältnis dem Wandel unterworfen. Der Arbeitgeber hat daher ein Interesse daran, möglichst viele Daten vorzuhalten, beispielsweise, um ggf. die Eignung des Beschäftigten für andere Tätigkeiten prüfen oder aber im Rahmen betriebsbedingter Kündigungen eine ordnungsgemäße Sozialauswahl durchführen zu können4. Teilweise sind die hierfür notwendigen Daten bereits aus anderen Gründen vorzuhalten. Beispielsweise betrifft dies Unterhaltspflichten für Abrechnungszwecke. Aus Sicht des Beschäftigten besteht wiederum ein erhebliches Interesse an Datensparsamkeit. Auch insoweit können Fallgruppen gebildet werden:
1 2 3 4
BAG v. 22.10.1986 – 5 AZR 660/85, NZA 1987, 415. BAG v. 7.9.1995 – 8 AZR 828/93, NZA 1996, 637. BT-Drucks. 16/13657, S. 21. Nach § 1 Abs. 3 KSchG sind für die Sozialauswahl nur die Kriterien Lebensalter, Betriebszugehörigkeit, Unterhaltspflichten und Schwerbehinderung maßgeblich.
772 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
1. Allgemeine Daten Nach Maßgabe der dargestellten Grundsätze ist die Erhebung von 55 Stammdaten wie vollständiger Name, Anschrift, Familienstand1, Ausbildung, Qualifikation, Eintrittsdatum, Eingruppierung, Entgelt und Krankenkassenzugehörigkeit2 auch während des Beschäftigtenverhältnisses ohne weiteres zulässig. Dies gilt zunächst für Grunddaten, die für die Entgeltabrechnung erforderlich sind, aber auch für sonstige Daten, die der Arbeitgeber zu Abrechnungszwecken benötigt, wie etwa die Konfession zur Erhebung der Kirchensteuer3. Auch Alter und Geschlecht des Beschäftigten darf der Arbeitgeber mit Blick auf Personalplanung, Beachtung des Gleichbehandlungsgrundsatzes, das Erreichen des Rentenalters bzw. ggf. die Unterscheidung von Arbeitnehmern bei Namensgleichheit speichern. Die Zulässigkeit der Nutzung und weiteren Verarbeitung ist dann freilich jeweils gesondert im Lichte datenschutzrechtlicher Bestimmungen zu prüfen. Grundsätzlich unzulässig ist demgegenüber die Erhebung von Daten 56 wie Betreuungsaufgaben aufsichtsbedürftiger Kinder, berufliche Tätigkeit der Eltern oder sexueller Orientierung4. Auch die Erhebung weiterer Daten, die die Privatsphäre des Beschäftigten betreffen wie Freunde, Bekannte, Hobbys, Ess- oder Trinkgewohnheiten, ist grundsätzlich nicht erforderlich für die Durchführung eines Beschäftigungsverhältnisses und demnach nicht auf Grundlage von § 32 Abs. 1 Satz 1 zulässig. Anderes kann allerdings bei potentiellen Interessenkonflikten qua Verwandtschaft oder persönlicher Nähe sowie im Falle des Verdachts von Straftaten gelten (dazu Rz. 83). Beschäftigte, die Rufbereitschaft leisten, können verpflichtet sein, private Telefonnummern anzugeben, um ihre Erreichbarkeit sicherzustellen5. Nach erfolgter Einstellung darf der Arbeitgeber nach der Gewerkschaftszugehörigkeit fragen. Bei solchen Angaben handelt es sich zwar um besondere Arten personenbezogener Daten nach § 3 Abs. 9. Insbesondere mit Blick auf die Aufgabe des Grundsatzes der Tarifeinheit durch das
1 Däubler/Klebe/Wedde/Weichert/Däubler, § 32 BDSG Rz. 73. 2 Däubler/Klebe/Wedde/Weichert/Däubler, § 32 BDSG Rz. 67. 3 Fitting, 26. Aufl., § 94 BetrVG Rz. 17; Däubler, Gläserne Belegschaften?, Rz. 258; Däubler/Klebe/Wedde/Weichert/Däubler, § 32 BDSG Rz. 73. 4 Zur Entlassung einer transsexuellen Person aus dem Grund der Geschlechtsumwandlung vgl. bereits EuGH v. 30.4.1996 – Rs. C-13/94, NZA 1996, 695. 5 Däubler/Klebe/Wedde/Weichert/Däubler, § 32 BDSG Rz. 72.
Stamer/Kuhnke 773
57
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
BAG1 ist indessen grundsätzlich von einem berechtigten Interesse des Arbeitgebers an der Beantwortung der Frage auszugehen2. 58 Selbstverständlich ist der Arbeitgeber auch zur Erhebung und Verarbeitung der vertraglich vereinbarten Arbeitszeit („Soll-Arbeitszeit“) und der tatsächlich geleisteten Arbeitszeit („Ist-Arbeitszeit“) berechtigt3. Im Rahmen von § 16 Abs. 2 ArbZG sowie bei Arbeitszeitkonten ist er hierzu sogar verpflichtet, gleich, ob diesen Wertguthabenvereinbarungen nach § 7b SGB IV zugrunde liegen oder nicht. Abwesenheitszeiten und die diesbezüglichen Gründe dürfen ebenfalls vorgehalten werden, weil auch solche Daten für die Durchführung des Beschäftigungsverhältnisses erforderlich sind. Gleichermaßen ist die Erhebung und Verarbeitung des Arbeitsentgelts erforderlich nach Maßgabe von § 32 Abs. 1 Satz 1. Im Übrigen bestehen insoweit ohnehin gesetzliche Vorhalte- und Aufbewahrungspflichten4. 2. Gesundheitsdaten 59 Krankheitsbedingte Fehlzeiten stellen für Arbeitgeber sowohl finanzielle als auch arbeitsorganisatorische Belastungen dar5. Zugleich sind Gesundheitsdaten besondere Arten personenbezogener Daten nach § 3 Abs. 9. Für die beschäftigtendatenschutzrechtliche Beurteilung der Erhebung, Verarbeitung und Nutzung ist zwischen der Durchführung medizinischer Untersuchungen einerseits und einer sonstigen Erhebung von Krankheitsdaten andererseits zu unterscheiden. 60 Bestehen begründete Zweifel an der gesundheitlichen Tauglichkeit eines Beschäftigten für die jetzige oder eine künftige Tätigkeit, kann der Beschäftigte verpflichtet sein, sich einer ärztlichen Untersuchung seines Gesundheitszustandes zu unterziehen6. 61 Gleichermaßen kann bei ernsthaften, begründeten Zweifeln an der Arbeitsunfähigkeit, wie etwa auffällig häufiger oder häufig nur für kurze
1 2 3 4
BAG v. 23.6.2010 – 10 AS 2/10, NZA 2010, 778. Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 395. Däubler/Klebe/Wedde/Weichert/Däubler, 32 BDSG Rz. 74. Zur sechsjährigen Aufbewahrungspflicht solcher Unterlagen vgl. § 147 Abs. 1 Nr. 5 i.V.m. Abs. 3 AO sowie § 41 Abs. 1 Satz 9 EStG; näher zu Aufbewahrungspflichten Simitis/Seifert, § 32 BDSG Rz. 76. 5 Iraschko-Luscher/Kiekenbeck, NZA 2009, 1239. 6 Vgl. dazu BAG v. 12.8.1999 – 2 AZR 55/99, NJW 2000, 604; siehe auch § 32c Abs. 3 BDSG-E 2010.
774 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
Zeit bestehender Arbeitsunfähigkeit1, der Medizinische Dienst der jeweiligen gesetzlichen Krankenkasse eingeschaltet werden. Demgegenüber kann der Arbeitgeber nicht verlangen, die Arbeitsunfähigkeit durch Untersuchung eines von ihm benannten Arztes zu überprüfen2. Auch gehört es nicht zu den regelmäßigen Aufgaben eines Betriebsarztes, die Arbeitsunfähigkeitsbescheinigungen von Beschäftigten auf ihre Richtigkeit zu kontrollieren, wie schon § 3 Abs. 3 ASiG ausdrücklich festhält3. Das Arbeitsschutzrecht sieht überdies in verschiedenen Fällen Vorsorgeuntersuchungen vor4. Ist eine medizinische Untersuchung durch Gesetz vorgeschrieben, muss sich der Betroffene solchen vorgeschriebenen Pflichtuntersuchungen unterziehen5. Dem Arbeitgeber dürfen die in diesem Rahmen erhobenen Gesundheitsdaten aber selbstverständlich nicht mitgeteilt werden.
62
Die hohen Anforderungen des GenDG für genetische Untersuchungen 63 und Analysen im Vorfeld eines Beschäftigungsverhältnisses gelten auch im Beschäftigungsverhältnis fort – das GenDG regelt die Situation vor und nach Begründung des Beschäftigungsverhältnisses einheitlich6. Insofern kann auf die Ausführungen vor Begründung des Beschäftigungsverhältnisses verwiesen werden (dazu Rz. 52). Ergänzend kann sich während des Beschäftigungsverhältnisses ein Interesse des Arbeitgebers ergeben, eine gefundene DNA-Spur, die beispielsweise mit einem Fehlverhalten oder einer Straftat in Verbindung gebracht wird, mit der DNA der Beschäftigten abzugleichen, um einen Verdächtigen zu ermitteln7. Allerdings gilt auch insoweit das Verbot des § 19 GenDG. Nach § 2 Abs. 2 Nr. 2a GenDG bleibt die Täterfeststellung mittels DNA-Analyse allein den Ermittlungsbehörden vorbehalten.
1 Anhaltspunkte enthält § 275 Abs. 1a Satz 1 SGB V. 2 BAG v. 2.3.2006 – 2 AZR 53/05, DB 2006, 2183, Rz. 30; LAG Bremen v. 7.5.1956 – 2 AZR 256/55, DB 1956, 623 (623); LAG Hamm v. 16.2.1977 – 2 Sa 772/76, DB 1977, 828; ErfK/Dörner § 5 EFZG Rz. 13; a.A.: Lepke, Kündigung bei Krankheit, Rz. 596; LAG Berlin v. 27.11.1989 – 3 Sa 82/89, DB 1990, 1621 (1622). 3 Feichtinger/Malkmus/P. Feichtinger, § 5 EFZG Rz. 90. 4 Kittner/Pieper, ArbSchR, § 11 ArbSchG Rz. 7; Däubler, Gläserne Belegschaften?, Rz. 276; dahingehende Regelungen auflistend: Stück/Wein, NZA-RR, 2005, 505. 5 Däubler, Gläserne Belegschaften?, Rz. 276. 6 Däubler/Kittner/Klebe/Wedde/Klebe, § 94 BetrVG Rz. 38. 7 So etwa im Fall VGH Baden-Württemberg, v. 28.11.2000 – PL 15 S 2838/99, AuR 2001, 469.
Stamer/Kuhnke 775
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
64 Unzulässig sind allgemeine gesundheitliche und sonstige Kontrollen, und damit auch routinemäßige Alkohol- und Drogentests1. Das gilt auch für Betriebe mit erhöhtem Gefahrenpotential2. Anderes kann allerdings bei begründeten Zweifeln an der fortdauernden Eignung des Arbeitnehmers aufgrund einer vermuteten Alkohol- oder Drogenabhängigkeit gelten3. Überdies können branchenspezifische Sicherheitsvorschriften, die absolute Alkohol- und Rauschmittelverbote enthalten, den Arbeitgeber unter Wahrung des Verhältnismäßigkeitsgrundsatzes zu auch unangekündigten Kontrollen berechtigen4. Eine solche Kontrolle darf aber keine Rückschlüsse auf das private Alkohol- oder Drogenverhalten zulassen5. Schließlich kann es in Einzelfällen denkbar sein, dass ein Arbeitgeber im Rahmen einer unternehmerischen Entscheidung für einen bestimmten Arbeitsplatz nur einen Arbeitnehmer einsetzen möchte, der sich erfolgreich einem negativen Alkohol- oder Drogenscreening unterzogen hat6. 65 Im Übrigen kann die Erhebung von Krankheitsdaten nach § 28 Abs. 6 Nr. 3 zur Geltendmachung, Ausübung und Verteidigung rechtlicher Ansprüche zulässig sein, beispielsweise für Zwecke der Lohn- und Gehaltsabrechnung (dazu im Einzelnen § 28 Rz. 212). 66 Zudem hat der Arbeitgeber ein berechtigtes Interesse daran zu erfahren, inwieweit das arbeitsvertragliche Austauschverhältnis mit einem Arbeitnehmer durch Krankheit oder anders begründete Fehlzeiten gestört ist und wann bzw. ob mit einer Wiederherstellung der Arbeitsfähigkeit des Arbeitnehmers zu rechnen ist7. Die Gründe für ein solches Interesse reichen von der Berücksichtigung von Leistungseinschränkungen eines Beschäftigten über die Organisation eines gesundheitlich begründeten Wechsels des Arbeitsplatzes oder die Planung einer befristeten Vertretung bis hin zur Beurteilung der Entgeltzahlungsverpflichtung8. Auch 1 BAG v. 12.8.1999 – 2 AZR 55/99, NZA 1999, 1209; Däubler/Kittner/Klebe/ Wedde/Klebe, § 94 BetrVG Rz. 38. 2 BAG v. 12.8.1999 – 2 AZR 55/99, NZA 1999, 1209; Däubler/Kittner/Klebe/ Wedde/Klebe, § 94 BetrVG Rz. 38; Däubler, Gläserne Belegschaften?, Rz. 279; kritisch bzgl. der Neuregelung im BDSG-E 2010: Beckschulze/Natzel, BB 2010, 2368 (2371). 3 BAG v. 12.8.1999 – 2 AZR 55/99, NJW 2000, 604. 4 Diller/Powietzka, NZA 2001, 1227 (1230). 5 BAG v. 12.8.1999 – 2 AZR 55/99, NZA 1999, 1209 (1210). 6 BAG v. 12.8.1999 – 2 AZR 55/99, NZA 1999, 1209 (1210); Diller/Powietzka, NZA 2001, 1227 (1230). 7 ErfK/Wank, § 32 Rz. 22. 8 Stück/Wein, NZA-RR 2005, 505.
776 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
die Erwägung einer krankheitsbedingten Kündigung kann ein Interesse an der Erhebung krankheitsbedingter Fehlzeiten begründen1. Die konkreten gesundheitlichen Beeinträchtigungen, die zu diesen Fehlzeiten führen, haben den Arbeitgeber hingegen generell nicht zu interessieren. So geht auch das Entgeltfortzahlungsgesetz davon aus, dass der Arbeitgeber nur von der Arbeitsunfähigkeit Kenntnis erhält und nicht von den medizinischen Gründen2. In dieser Weise sind auch Krankenrückkehrgespräche zu führen3. Der Betroffene muss auch im Rahmen solcher Gespräche nicht von seinem Krankheitsbild berichten4. Eine Ausnahme kommt in Betracht, wenn nähere Angaben über die Art der Krankheit für die weiteren Dispositionen notwendig sind, etwa bei ansteckenden Krankheiten5. Im Übrigen ist der Beschäftigte nicht einmal in einem Kündigungsschutzprozess verpflichtet, den behandelnden Arzt von seiner Schweigepflicht zu entbinden und Auskunft über seinen Gesundheitszustand zu erteilen. Unterbleibt dies, kann das Gericht allerdings von einer negativen Zukunftsprognose ausgehen. Die Durchführung eines HIV-Tests kann nur bei Tätigkeiten verlangt 67 werden, bei denen eine erhöhte Ansteckungsgefahr besteht6. Unter Umständen trifft den Beschäftigten eine Offenbarungspflicht7. Eine weitere Rechtfertigung für die Erhebung von Krankheitsdaten Be- 68 schäftigter ergibt sich aus § 28 Abs. 7 (dazu näher § 28 Rz. 214)8. Hiernach ist eine Erhebung auch zu dem Zweck zulässig, dass künftige Erkrankungen verhindert werden sollen. Zu diesem Zweck dürfen ärztliches Personal, also beispielsweise der Betriebsarzt, oder sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, besondere Arten personenbezogener Daten erheben9. 1 Stück/Wein, NZA-RR 2005, 505. 2 Feichtinger/Malkmus/P. Feichtinger, § 5 EFZG, Rz. 15; Däubler, Gläserne Belegschaften?, Rz. 274. 3 Näher dazu Iraschko-Luscher/Kiekenbeck, NZA 2009, 1239 (1242). 4 Däubler, Gläserne Belegschaften?, Rz. 274. 5 LAG Berlin v. 27.11.1989 – 9 Sa 82/89, DB 1990, 1621 (1622); LAG Mannheim, DB 1954, 476; LAG Bremen v. 28.3.1956 – Sa 10/56 BB 1956, 623; LAG Düsseldorf v. 3.5.1961 – 6 Sa 69/61, DB 1961, 1103; Denecke, BB 1951, 279; Lepke, DB 1970, 494; Lepke, Kündigung bei Krankheit, S. 120; Däubler, Gläserne Belegschaften?, Rz. 280. 6 Däubler, Gläserne Belegschaften?, Rz. 281; ausführlich dazu Lichtenberg/Schücking, NZA 1990, 41. 7 Stück/Wein, NZA-RR 2005, 505 (507). 8 Däubler, Gläserne Belegschaften?, Rz. 178. 9 Däubler, Gläserne Belegschaften?, Rz. 178.
Stamer/Kuhnke 777
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
69 Die Erhebung von Gesundheitsdaten ist überdies zulässig im Rahmen der Durchführung eines betrieblichen Eingliederungsmanagements nach § 84 Abs. 2 SGB IX. 70 Von der Durchführung eines betrieblichen Eingliederungsmanagements hängt die Darlegungslast hinsichtlich alternativer Einsatzmöglichkeiten des Arbeitnehmers ab. Hat der Arbeitgeber kein ordnungsgemäßes betriebliches Eingliederungsmanagement durchgeführt, muss er im Prozess um die krankheitsbedingte Kündigung darlegen, dass er der Arbeitnehmer nicht weiterbeschäftigt werden kann. 71 Hat der Arbeitgeber ein betriebliches Eingliederungsmanagement angeboten, der Arbeitnehmer in die Durchführung indessen nicht eingewilligt, ist entscheidend, ob der Arbeitgeber den Arbeitnehmer vorab nach § 84 Abs. 2 Satz 3 SGB IX ordnungsgemäß über die Ziele des betrieblichen Eingliederungsmanagements und Art un Umfang der erhobenen und verwendeten Daten aufgeklärt hat1. 72 Die Speicherung krankheitsbedingter Fehlzeiten ist generell nur ohne Angabe des Krankheitsgrundes zulässig. Dies ist auch im Hinblick auf die Aufbewahrung von Arbeitsunfähigkeitsbescheinigungen in Personalakten zu beachten2. Weiter sind die Daten gegen eine zufällige Kenntnisnahme zu schützen, und der Zugang zu solchen Daten ist auf einen kleinen Personenkreis zu beschränken3. So darf etwa die Alkoholsucht eines Arbeitnehmers nicht in der allgemein zugänglichen Personalakte, sondern vielmehr lediglich in einem verschlossenen Umschlag dokumentiert werden, der nur einem eingeschränkten Personenkreis zugänglich ist4. Bei Beachtung dieser inhaltlichen Grenzen ist eine EDV-mäßige Speicherung ebenfalls erlaubt5. 73 Nach § 5 Abs. 1 Satz 1 MuSchG sollen werdende Mütter dem Arbeitgeber ihre Schwangerschaft und den mutmaßlichen Tag der Entbindung mitteilen. Im Falle eines Beschäftigungsverbots kommt eine Mitteilungspflicht in Betracht6. 1 BAG v. 24.3.2011 – 2 AZR 170/10, NZA 2011, 992. 2 Iraschko-Luscher/Kiekenbeck, NZA 2009, 1239 (1241). 3 BAG v. 12.9.2006 – 9 AZR 271/06, NZA 2007, 269; Däubler, Gläserne Belegschaften?, Rz. 284, 397 und 476. 4 BAG v. 12.9.2006 – 9 AZR 271/06, AP BGB § 611 Personalakte Nr. 1. 5 Däubler, Gläserne Belegschaften?, Rz. 276; zu den Pflichten des Dienstherrn hinsichtlich der Aufbewahrung von Gesundheitsdaten für das Beihilfeverfahren vgl. § 108 Abs. 1 Satz 1 bis 3 BBG sowie Simitis/Seifert, § 32 BDSG Rz. 69. 6 Iraschko-Luscher/Kiekenbeck, NZA 2009, 1239.
778 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
Im bestehenden Arbeitsverhältnis ist nach Ansicht des BAG jedenfalls nach sechs Monaten, also nach dem Erwerb des Sonderkündigungsschutzes für schwerbehinderte Menschen, die Frage des Arbeitgebers nach der Schwerbehinderung zulässig1.
74
VII. Überwachung im Beschäftigungsverhältnis 1. Einführung Die Problematik der datenschutzrechtlichen Zulässigkeit von Über- 75 wachungsmaßnahmen im Beschäftigungsverhältnis gewinnt mit zunehmender Einbindung moderner Kommunikationstechnik in die Arbeitsabläufe und damit einhergehend auch der zunehmenden Überwachungsmöglichkeiten- und -notwendigkeiten immer mehr an Bedeutung. Die Gründe, welche den Arbeitgeber zu einer Kontrolle des Verhaltens seiner Beschäftigten veranlassen können, sind vielfältig. Zum einen hat der Arbeitgeber ein berechtigtes Interesse daran, die Arbeitsweise und das Verhalten seiner Beschäftigten während der Arbeitszeit zu kontrollieren, um festzustellen, ob diese ihren Verpflichtungen sowie den Weisungen des Arbeitgebers nachkommen2. Zum anderen kann eine Kontrolle erforderlich sein, um einen effizienten oder auch sicheren Arbeitsablauf zu gewährleisten3. Schließlich haben sich unter dem Stichwort „Compliance“ die Anforderungen an Unternehmen zur Einhaltung gesetzlicher und ethischer Standards sowie das diesbezügliche öffentliche/mediale Bewusstsein innerhalb der letzten 10 bis 15 Jahre drastisch verschärft. Wenn Vorstände und Geschäftsführer von Unternehmen nicht rechtzeitig geeignete Maßnahmen zur Vermeidung oder Aufklärung von Korruption und anderen Wirtschafts- oder Umweltdelikten implementieren, drohen dem Unternehmen empfindliche Geldbußen sowie erhebliche Reputationsschäden sowie ihren Organen die persönliche Haftung. Da Unternehmen aber nur durch ihre Beschäftigten handeln, bedingt eine wirksame Compliance auch die Möglichkeit, effizienter Präventions- und Überwachungsmöglichkeiten im Betrieb. Dies steht ganz offensichtlich in einem Zielkonflikt mit der grundgesetzlich geschützten informationellen Selbstbestimmung der betroffenen Beschäftigten. Der „gläserne Mitarbeiter“ ist gesellschaftspolitisch zu Recht nicht erwünscht. Damit befindet sich das Datenschutzrecht 1 BAG v. 16.2.2012 – 6 AZR 553/10, NJW-Spezial 2012, 308. 2 Simitis/Seifert, § 32 BDSG Rz. 77. 3 Beispiele: Einblick in E-Mail-Accounts von abwesenden Mitarbeitern; Videoüberwachung an Bankschaltern; Ortungssysteme in Lkws einer Spedition.
Stamer/Kuhnke 779
76
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
aber im Spannungsverhältnis zwischen Compliance und Persönlichkeitsrechtschutz, wobei viele Unternehmen in den vergangenen Jahren leidvoll feststellen mussten, dass „Compliance“ wiederum auch die Einhaltung datenschutzrechtlicher Standards bedeutet. Es ist daher die Aufgabe des Datenschutzrechts, diesen Konflikt aufzulösen und für Rechtsicherheit im Interesse der Beteiligten zu sorgen. Insbesondere im Rahmen von unternehmensinternen Ermittlungen aber auch bei simplen alltäglichen Vorgängen stellen sich den Arbeitgebern schwierige Fragen. Leider bieten die Regelungen des geltenden Rechts hierzu nur unbefriedigende Lösungsansätze, da viele wichtige Fragen offen bleiben und auch nur wenig Rechtsprechung existiert, die der Praxis Anhaltspunkte liefern könnte1. 77 Abhilfe sollte 2010 hierzu der Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes2 schaffen, der insbesondere die jeweiligen Anforderungen an die verschiedenen Überwachungsmöglichkeiten erstmals gesetzlich regeln sollte. Gerade die Schwierigkeiten und Verzögerungen im Gesetzgebungsprozess verdeutlichen jedoch, dass die Auflösung des zuvor beschriebenen Konflikts in erster Linie eine gesellschaftspolitische Entscheidung erfordert, zu der sich der Gesetzgeber aber leider noch nicht durchringen konnte. 2. Überwachung des E-Mail-Verkehrs 78 Vor dem Hintergrund, dass geschäftliche Korrespondenz heutzutage in weiten Teilen des Geschäftslebens fast ausschließlich über E-Mail abläuft, ist selbstverständlich, dass nicht nur diejenigen Mitarbeiter eines Unternehmens, die auf dem E-Mail-Verteiler aufgenommen wurden, ein berechtigtes Interesse daran haben können, von den Verbindungsdaten und den Inhalten einer E-Mail-Kommunikation Kenntnis zu nehmen. Die Interessenlage ist auf Seiten des Arbeitgebers insoweit nicht anders zu bewerten als bei „normaler“ Geschäftspost in Papierform, die nach Erhalt in Aktenordnern abgelegt wird und hierdurch einer größeren Zahl von Mitarbeitern zugänglich wird. 79 Vor diesem Hintergrund ist es umso misslicher, dass die Rechtslage zur Zulässigkeit einer Einsichtnahme in E-Mails eines Mitarbeiters insbesondere dann sehr unübersichtlich ist, wenn der dienstliche E-MailAccount zu privaten Zwecken genutzt werden darf, was erfahrungs1 Vgl. etwa die Kritik von Thüsing, NZA 2009, 865, zur der zum 1.9.2009 neu eingeführten Regelung des § 32 BDSG. 2 Siehe zur Gesetzgebungshistorie unter Rz. 1.
780 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
gemäß in deutschen Unternehmen weit verbreitet ist. Denn in diesem Fall vertritt die wohl noch h.M. den Standpunkt, dass der Arbeitgeber als Diensteanbieter i.S.d. TKG anzusehen ist und mithin das – strafrechtlich geschützte – Fernmeldegeheimnis eingreift. Daher ist auch die Entscheidung des Arbeitgebers darüber, ob er seinen Arbeitnehmern die private Nutzung des dienstlichen E-Mail-Accounts gestattet, von entscheidender Bedeutung für die Frage der Zulässigkeit einer Überwachungsmaßnahme und damit einhergehend für die Reichweite seiner Kontrollbefugnisse. a) Verbotene Privatnutzung des dienstlichen E-Mail-Accounts Ist die Privatnutzung des dienstlichen E-Mail-Accounts durch die Ar- 80 beitnehmer ausgeschlossen und duldet der Arbeitgeber diese auch nicht wissentlich, richtet sich die Zulässigkeit einer Kontrolle der Verbindungsdaten oder des Inhalts von E-Mails grundsätzlich nach den Regelungen des § 32, sofern nicht eine Betriebsvereinbarung Sonderregelungen enthält. Nach ganz h.M. ist der Arbeitgeber bei Ausschluss der Privatnutzung 81 des dienstlichen Accounts nämlich nicht als „Anbieter“ i.S.d. TKG anzusehen1. Begründet wird dies damit, dass bei einer reinen dienstlichen Nutzung der Telekommunikationseinrichtungen Arbeitgeber und Arbeitnehmer nicht als Anbieter und Kunden aufeinandertreffen; vielmehr erfolgt die Nutzung dieser Einrichtungen in Befolgung der Vorgaben des Arbeitgebers2. Das ansonsten anwendbare TKG greift daher nicht ein und die Zulässigkeit einer Überwachungsmaßnahme ist allein an den Bestimmungen des BDSG zu messen. Gemäß § 4 BDSG ist die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. aa) Erhebung, Verarbeitung oder Nutzung personenbezogener Daten Sowohl bei den E-Mail-Verbindungsdaten (den sog. E-Mail-Logfiles) als auch bei den Inhalten einer E-Mail ist unumstritten, dass es sich dabei um personenbezogene Daten handelt. Sofern der Arbeitgeber daher die
1 Vgl. etwa De Wolf, NZA 2010, 1206 (1208); Hoppe/Braun, MMR 2010, 80; Mengel, BB 2004, 2014 (2016); Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 209. 2 Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 211.
Stamer/Kuhnke 781
82
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
Verbindungsdaten von E-Mails und/oder die E-Mails selbst archiviert oder von ihrem Inhalt Kenntnis nimmt, liegt darin zumindest der Tatbestand der Nutzung bzw. Verarbeitung personenbezogener Daten vor1. bb) Erlaubnis nach § 32 BDSG 83 Die Zulässigkeit der Erhebung, Sichtung oder Archivierung von E-MailVerbindungsdaten und des Inhalts von E-Mails setzt nach § 32 zunächst voraus, dass diese Maßnahmen einem legitimen Zweck dienen. Dieser kann in der Aufdeckung von Straftaten liegen, sofern „zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der betroffene im Beschäftigungsverhältnis eine Straftat begangen hat“ und diese Maßnahme sowohl erforderlich, als auch angemessen ist (§ 32 Abs. 1 Satz 2)2. Als „Straftat“ i.S.d. § 32 Abs. 1 Satz 2 gelten nur solche Tatbestände, die auch im StGB und anderen deutschen Gesetzen als Straftaten eingestuft werden. Tatbestände, die zwar ausländische Strafgesetze verletzen, aber nach der deutschen Rechtsordnung nicht strafbar sind, dürften dagegen nicht erfasst sein3. Im Hinblick auf das erforderliche Verdachtsmoment dürfte es ausreichend sein, wenn ein Anfangsverdacht in dem Sinne vorliegt, dass zureichende Hinweise für das Vorliegen einer Straftat vorliegen4. Erforderlich ist die Maßnahme dann, wenn sie zur Aufdeckung der Straftat sowohl geeignet, als auch kein milderes Mittel zur Verfügung steht. Darüber hinaus ist gemäß § 32 Abs. 1 Satz 1 eine Erhebung, Verarbeitung oder Nutzung durch den Arbeitgeber auch dann gestattet, wenn dies für die Durchführung des Arbeitsverhältnisses erforderlich ist. Dies kann zum Beispiel dann der Fall sein, wenn die Maßnahmen die Gewährleistung eines sicheren Betriebs der IT-Anlage, eine effiziente Organisation der Arbeitsabläufe, die Verhinderung der Verbreitung von Betriebsgeheimnissen etc. dient. Zugleich ermöglicht § 32 Abs. 1 Satz aber auch präventive Maßnahmen, solange konkrete Verdachtsmomente nicht vorliegen. Sobald jedoch gewonnene Erkenntnisse ein Verdachts1 Besgen/Prinz/Busse, § 10 Rz. 7; Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 253. 2 Vgl. allgemein zur Erforderlichkeit und Verhältnismäßigkeit im Kontext von § 32 unter Rz. 16 ff. 3 Sofern die Mitarbeiter jedoch arbeitsrechtlich wirksam verpflichtet wurden bestimmte ausländischen Regelungen zu befolgen (z.B. US-Handelsembargo-Vorschriften), kann eine Verletzung arbeitsvertraglicher Pflichten vorliegen, die der Arbeitgeber auf der Grundlage von § 32 Abs. 1 Satz 1 aufklären darf. 4 Erfurth, NJOZ 2009, 2914 (2920); Simitis/Seifert, § 32 BDSG Rz. 104. Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 261.
782 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
moment gegen individualisierbare Personen begründen, sind weitere Maßnahmen gegen diese Personen am strengeren Maßstab des § 32 Abs. 1 Satz 2 zu messen1. Schließlich muss die Maßnahme auch angemessen sein und die schutz- 84 würdigen Interessen des Arbeitnehmers dürfen nicht überwiegen. Soweit jedoch die private Nutzung ohnehin verboten ist, kann bei den im Rahmen der Angemessenheitsprüfung zu berücksichtigenden Interessen des Arbeitnehmers jedenfalls nicht dessen Recht auf informationelle Selbstbestimmung ins Feld geführt werden. Da der Arbeitgeber in einem solchen Fall davon ausgehen kann, dass es sich bei den über den Dienst-Account versandten und empfangenen E-Mails ausschließlich um dienstliche Korrespondenz handelt, ist die durch das Persönlichkeitsrecht geschützte Privatsphäre des Arbeitnehmers nicht berührt. Insoweit entspricht es auch der ganz h.M., dass eine E-Mail nicht mit einem Telefonat zu vergleichen ist, bei dem aufgrund der Flüchtigkeit des gesprochenen Wortes auch dann das Persönlichkeitsrecht des Mitarbeiters in besonderem Maße tangiert ist, wenn es sich um dienstliche Angelegenheiten handelt. Daher ist die E-Mail-Korrespondenz eher mit der herkömmlichen Post zu vergleichen und mithin weniger schutzwürdig2. Selbst wenn jedoch der Arbeitnehmer seinen dienstlichen Account in verbotswidriger Weise zu privaten Zwecken nutzt, kann er sich nicht auf sein Persönlichkeitsrecht stützen. Vielmehr wäre es rechtsmissbräuchlich, wenn der Arbeitnehmer in einer solchen Situation sich auf eine Verletzung seines Persönlichkeitsrechts berufen würde3. Dies gilt erst recht, sofern der Arbeitgeber E-Mails einsehen möchte, die an seine Mitarbeiter gerichtet sind (z.B. von Geschäftskunden), wobei sich hier die Frage stellt, ob überhaupt ein Fall des § 32 (und nicht eher des § 28) vorliegt, da keine personenbezogenen Daten eines Beschäftigten betroffen sind. Praktisch dürfte die Frage jedoch in der vorliegenden Konstellation keine Auswirkungen haben, da auch in Rahmen von § 32 kaum Umstände denkbar sind, die einer Kenntnisnahme durch den Arbeitgeber entgegenstehen könnten. Dennoch muss die Kontrolle aber auch im Hinblick auf Art und Ausmaß angemessen sein. Dementsprechend darf der Arbeitgeber keine Dauerüberwachung einrichten, die letztlich zur Folge hätte, dass er das Arbeitsverhalten des Mitarbeiters ständig überprüft. 1 Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 67. 2 Mengel, BB 2004, 2014 (2017); Simitis/Seifert, § 32 BDSG Rz. 91; Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 321. 3 Vgl. Besgen/Prinz/Besgen/Prinz, § 1 Rz. 39 f.
Stamer/Kuhnke 783
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
cc) Erlaubnis aufgrund einer Betriebsvereinbarung oder einer Einwilligung 85 Gemäß § 4 Abs. 1 kann die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten auch dann zulässig sein, wenn dies eine „andere Rechtsvorschrift“ erlaubt. Dabei ist zunächst anerkannt, dass eine Betriebsvereinbarung als Rechtsvorschrift i.S.d. § 4 angesehen werden kann1. Demnach kann auf der Grundlage einer Betriebsvereinbarung nicht nur eine Konkretisierung der Regelungen des BDSG vorgenommen werden, wie etwa eine Festlegung von Konstellationen, in denen eine Einsichtnahme in E-Mails zulässig oder nicht zulässig sein soll, sondern auch vom Schutzstandard des BDSG zu Lasten der Arbeitnehmer abgewichen werden2. Andernfalls wäre der Hinweis im Gesetz sinnentleert, denn wenn nur eine Verbesserung des Arbeitnehmerdatenschutzes durch Tarifverträge oder Betriebsvereinbarungen möglich sein sollte, hätte es keiner ausdrücklichen gesetzlichen Regelung bedurft, da sich dies schon bereits aus dem Günstigkeitsprinzip ergeben hätte3. 86 Gleichzeitig bedeutet dies jedoch wiederum nicht, dass Betriebsvereinbarungen oder Tarifverträge ein beliebiges datenschutzrechtliches Niveau einführen könnten. Vielmehr ist die Regelungsautonomie der Parteien durch zwingendes Gesetzesrecht, die Wertungen des Grundgesetzes und die allgemeinen Grundsätze des Arbeitsrechts beschränkt4. Insbesondere haben die Betriebsparteien gemäß § 75 Abs. 2 BetrVG die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern. Eine Betriebsvereinbarung, die daher in erheblichem Maße die Wertungen des BDSG außer Acht lässt, dürfte daher unwirksam sein. 87 Auch eine Einwilligung des Arbeitnehmers gemäß § 4a kann eine Kontrolle der Verbindungsdaten oder des Inhalts einer E-Mail-Kommunikation durch den Arbeitgeber rechtfertigen. Diese muss allerdings selbstverständlich im Voraus erteilt werden. Ferner kann der Arbeitnehmer eine bereits erteilte Einwilligung jederzeit wieder widerrufen5. Schließlich muss die Einwilligung freiwillig erfolgen. Ob dieses Merkmal aufgrund der besonderen Interessenlagen und Kräfteverhältnisse im Ar1 BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 62; vgl. dazu auch Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 102 m.w.N. 2 BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 643 (646). 3 BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 643 (646). 4 Vgl. Besgen/Prinz/Busse, § 10 Rz. 70; Gola/Schomerus, § 4 BDSG Rz. 10; Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 104. 5 Vgl. die Kommentierung zu § 4a.
784 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
beitsverhältnis überhaupt erfüllbar ist, wird zuweilen angezweifelt1. Im Rahmen des Gesetzgebungsprozesses zu § 32 hat der Gesetzgeber jedoch ausdrücklich klargestellt, dass es auch im Arbeitsverhältnis grundsätzlich möglich ist, eine freiwillige Einwilligung i.S.d. § 4a zu erteilen2. Dennoch sind selbstverständlich Einzelfälle denkbar, in denen der Arbeitgeber seine dominierende Stellung ausnutzt, um eine Einwilligung zu erhalten, z.B. wenn die Gewährung bestimmter Leistungen nur von der Einwilligung in Kontrollen abhängig gemacht wird, ohne dass die Einwilligung für die Leistungsgewährung erforderlich wäre (sog. Koppelungsverbot)3. b) Erlaubte Privatnutzung des dienstlichen E-Mail-Accounts aa) Wann ist die Privatnutzung erlaubt? Die Frage, ab wann die Privatnutzung des dienstlichen E-Mail-Accounts 88 als erlaubt anzusehen ist, kann von entscheidender Bedeutung für die Reichweite der Kontrollbefugnisse des Arbeitgebers sein. Denn nach bisheriger h.M. gilt ein Arbeitgeber, der die Privatnutzung seiner TK-Anlagen erlaubt, als „Diensteanbieter“ i.S.d. TKG (siehe hierzu noch unten unter (bb)) mit der Folge, dass die Kommunikation der Mitarbeiter dem Schutz des Fernmeldegeheimnisses (§ 88 TKG) unterliegt. Zwar ist in dieser Frage nunmehr ein Wandel in der Rechtsprechung und der arbeitsrechtlichen wie datenschutzrechtlichen Literatur zu verzeichnen. Da in dieser Hinsicht allerdings noch kein eindeutiges Meinungsbild besteht, kommt der Vorfrage, ob die Privatnutzung überhaupt erlaubt ist, nach wie vor entscheidende Bedeutung zu. Relevant wird diese Frage naturgemäß dann, wenn im Unternehmen 89 keine klare Regelung besteht. Hier stellt sich die Frage, ob die Duldung einer Privatnutzung einer Erlaubnis zur Privatnutzung gleichsteht. Nach hier vertretener Ansicht gilt in Ermangelung einer ausdrücklichen Regelung zunächst der Grundsatz, dass vom Arbeitgeber zur Verfügung gestellte Betriebsmittel auch nur zu dienstlichen Zwecken genutzt werden dürfen. Denn auch ohne ausdrückliches Verbot können Arbeitnehmer nicht ohne weiteres davon ausgehen, dass vom Arbeitgeber zur Er1 Sowohl Simitis/Simitis, § 4a Rz. 62 m.w.N. Tatsächlich sah der Regierungsentwurf für einen neuen Beschäftigtendatenschutz eine erhebliche Einschränkung der Anwendbarkeit der Einwilligung vor, was jedoch kontrovers diskutiert wurde. 2 BT-Drucks. 16/13657, S. 20. 3 Vgl. hierzu Simitis/Simitis, § 4a Rz. 63.
Stamer/Kuhnke 785
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
füllung dienstlicher Zwecke zur Verfügung gestellte Betriebsmittel – auf Kosten des Arbeitgebers – auch privat genutzt werden dürfen (zur Gegenansicht siehe Rz. 91 unten). 90 Etwas anderes könnte nur dann gelten, wenn die Duldung der Privatnutzung zu einer entsprechenden betrieblichen Übung führt. Nach ständiger Rechtsprechung des BAG ist die betriebliche Übung ein gleichförmiges und wiederholtes Verhalten des Arbeitgebers, das den Inhalt der Arbeitsverhältnisse gestaltet und geeignet ist, vertragliche Ansprüche auf eine Leistung zu begründen, wenn die Arbeitnehmer aus dem Verhalten des Arbeitgebers schließen durften, ihnen werde die Leistung auch künftig gewährt1. Nach zutreffender Ansicht kann daher eine betriebliche Übung zumindest immer dann nicht entstehen, wenn die Privatnutzung ausdrücklich verboten ist. Dies gilt selbst dann, wenn der Arbeitgeber die Privatnutzung dennoch nicht unterbindet oder ahndet2. Denn in diesem Fall verletzt der Arbeitnehmer seine arbeitsvertraglichen Pflichten und kann alleine aus der Nicht-Sanktionierung seines Verhaltens nicht darauf schließen, dass die Privatnutzung künftig erlaubt sei. Da der Arbeitgeber nicht verpflichtet ist, solchen Pflichtverstößen nachzugehen oder diese zu ahnden, kommt auch der Duldung solcher Verstöße kein rechtserheblicher Erklärungswert zu. Für das Entstehen des für eine betriebliche Übung erforderlichen schutzwürdigen Vertrauens in die künftige Fortgewährung einer Leistung besteht hier kein Raum. 91 Eine betriebliche Übung kann daher allenfalls dann entstehen, wenn in dem Betrieb keine Regelung zur Nutzung von E-Mail oder Internet vorhanden ist. Nach weit verbreiteter Auffassung soll in dieser Konstellation allerdings eine vom Arbeitgeber nicht unterbundene Gepflogenheit, den E-Mail-Account zu privaten Zwecken zu nutzen, eine Rechtsbindung durch betriebliche Übung begründen3. Der h.M. ist zuzugestehen, dass in Unternehmen häufig „ungeschriebene Gesetze“ oder Praktiken entstehen, die von der Geschäftsleitung toleriert werden und sich deswegen die rechtliche Bewertung auch an der betrieblichen Realität orientieren muss. Die gilt auch für die E-Mail- und Internet-Nutzung am Arbeitsplatz: Ein Mitarbeiter, der beobachten konnte, dass eine Vielzahl 1 BAG v. 19.8.2008 – 3 AZR 194/07, NZA 2009, 196 (198). 2 Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 216; Waltermann, NZA 2007, 529 (530 ff.). 3 Barton, NZA 2006, 460 (461); Fleischmann, NZA 2008, 1397 (1397 f.); Küttner/ Kreitner, Internet-, Telefonnutzung Rz. 4 m.w.N.; a.A. Koch, NZA 2008, 911 (912 ff.).
786 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
seiner Kollegen und Vorgesetzten regelmäßig Nachrichten-Portale auf ihrem Dienstrechner aufsuchen, wird kaum Unrechtsbewusstsein haben, wenn er dies auch tut (jedenfalls solange nicht ein Verbot der Privatnutzung hinreichend kommuniziert wurde). Vorliegend geht es jedoch nicht um die Frage, ob der Arbeitnehmer in dieser Situation möglicherweise einen Pflichtverstoß begeht, der arbeitsrechtliche Sanktionen rechtfertigt. Vielmehr geht es um die Frage, ob sich dieser Mitarbeiter wegen der Duldung des Arbeitgebers auf das Institut der betrieblichen Übung berufen kann und künftig einen rechtlich durchsetzbaren Anspruch auf eine durch das Fernmeldegeheimnis strafrechtlich geschützte Privatnutzung des dienstlichen E-Mail-Accounts erlangt. Dies wird in Teilen der h.M. nicht ausreichend berücksichtigt; vielmehr wird teilweise vorschnell vom Vorliegen einer betrieblichen Übung ausgegangen1. Nach der hier vertretenen Ansicht geht es zu weit, dem alleinigen Dul- 92 den der Privatnutzung so weitreichende Rechtsfolgen beizumessen. Hierfür besteht weder ein praktisches Bedürfnis, noch entspricht dies dem Sinn und Zweck der Regelungen des TKG, und auch die vom BAG zum Institut der betrieblichen Übung herausgebildeten Grundsätze werden dabei nicht hinreichend berücksichtigt. Damit eine betriebliche Übung entstehen kann, muss der Arbeitgeber durch sein Verhalten bei den Arbeitnehmern die Erwartungshaltung begründen, dass der Arbeitgeber sich auch für die Zukunft vertraglich binden möchte. In der vorliegenden Konstellation kann sich – anders als beispielsweise bei der wiederholten Zahlung einer Weihnachtsgratifikation – der Arbeitnehmer jedoch auf kein aktives Verhalten des Arbeitgebers als Indiz für dessen Willen, sich dauerhaft zu verpflichten, stützen. Vielmehr erschöpft sich das Verhalten des Arbeitgebers im einfachen „Geschehen lassen“ der privaten Nutzung, so dass die Begründung und damit der Beweis der Annahme eines Bindungswillens ungleich schwieriger ist als in den sonstigen Anwendungsfällen der betrieblichen Übung. Ein Mitarbeiter, der ohne ausdrückliche Gestattung den Dienst-Account des Arbeitgebers zu privaten Zwecken nutzt, wird vermutlich eher nicht die Erwartungshaltung haben, dass er nach einer gewissen Zeit des Duldens der Privatnutzung einen Anspruch hierauf erlangt und seine Kommunikation fortan sogar durch das Fernmeldegeheimnis geschützt ist. Vielmehr nimmt der Arbeitnehmer in diesem Fall regelmäßig in Kauf, dass der Arbeitgeber ggf. Zugriff auf die Kommunikation nehmen kann. Dementsprechend hat auch das TKG nur den kommerziellen TK-Anbieter vor Augen und
1 Vgl. etwa Barton, NZA 2006, 460 (461).
Stamer/Kuhnke 787
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
nicht den Arbeitgeber, der es duldet, dass seine Mitarbeiter seine TKEinrichtungen auch privat nutzen (siehe hierzu noch unten unter Rz. 95 ff.). Im Übrigen sind – wie Waltermann zutreffend feststellt – mit der privaten E-Mail-Nutzung durch die Arbeitnehmer, neben der Anwendbarkeit des TKG noch weitergehende Sicherheits- und Kostenrisiken verbunden, die so gravierend sind, dass sie gegen einen dauerhaften Bindungswillen des Arbeitgebers sprechen1. 93 Darüber hinaus ist durchaus fraglich, ob die gestattete gelegentliche private Nutzung des Dienst-Accounts einer betrieblichen Übung überhaupt zugänglich ist. So setzt das Entstehen einer betrieblichen Übung nach der Rechtsprechung des BAG ein schutzwürdiges Vertrauen der Arbeitnehmer in die Fortgewährung einer Vergünstigung voraus, das der Arbeitgeber durch sein Verhalten begründet hat. Die bloße Gewährung von Annehmlichkeiten kann nach der Rechtsprechung des BAG im Allgemeinen dagegen nicht Gegenstand einer betrieblichen Übung sein2. Darüber hinaus setzt eine betriebliche Übung voraus, dass die betreffende Leistung wiederholt und in einer gewissen Breite (also nicht nur vereinzelt für bestimmte Mitarbeiter) gewährt wird. 94 Insgesamt ist daher sehr zweifelhaft, ob die bloße Duldung der Privatnutzung überhaupt eine betriebliche Übung begründen kann, welche eine rechtlich verbindliche „Erlaubnis“ der Privatnutzung zur Folge hat. Selbst wenn dies jedoch bejaht wird, kommt eine betriebliche Übung allenfalls dann in Betracht, wenn (i) im Betrieb keine ausdrückliche Regelung zur Privatnutzung von E-Mail oder Internet vorhanden ist, (ii) die Privatnutzung auf breiter Ebene im Betrieb sozusagen „gewohnheitsrechtlich“ anerkannt ist und (iii) die hierfür zuständigen Entscheidungsträger im Betrieb hierüber auch Kenntnis haben. Da auch letztere Einschränkung zugegebenermaßen wenig greifbar ist, ist dem Arbeitgeber nach wie vor zu empfehlen, die Privatnutzung ausdrücklich zu verbieten und ggf. die Nutzung von web-basierten E-Mail Diensten zuzulassen, wenn er rechtliche Zweifel sowie Einschränkungen im Hinblick auf seine Kontrollbefugnisse über den dienstlichen E-Mail-Account nicht in Kauf nehmen möchte. Dies kann im Rahmen einer internen ITRichtlinie erfolgen, die im Betrieb hinreichend kommuniziert wird (z.B. durch Aufnahme im Intranet sowie Aushändigung bei Abschluss des Arbeitsvertrages). Je nach Ausgestaltung einer solchen Richtlinie kann al-
1 Waltermann, NZA 2007, 529 (531 f.). 2 BAG v. 16.4.1997 – 10 AZR 705/96, NZA 1998, 423 (424); Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 21.
788 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
lerdings ein Mitbestimmungsrecht des Betriebsrats eingreifen (vgl. § 87 Abs. 1 Nr. 6 BetrVG). bb) Folgen der erlaubten Privatnutzung Wie bereits zuvor angedeutet, hat die erlaubte Privatnutzung des dienstlichen Accounts nach wohl h.M. zur Folge, dass der Arbeitgeber als Diensteanbieter i.S.d. der Regelungen des TKG anzusehen ist, mit der Folge, dass die über seine TK-Einrichtungen erfolgende private Kommunikation dem Fernmeldegeheimnis gemäß § 88 TKG unterliegt1.
95
„Diensteanbieter“ ist gemäß § 3 Nr. 6 TKG jeder, der ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt oder an der Erbringung solcher Dienste mitwirkt. Gemäß § 3 Nr. 10 TKG setzt das „geschäftsmäßige Erbringen von Telekommunikationsdiensten“ das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht voraus. Demgegenüber sieht § 3 Nr. 24 TKG vor, dass „Telekommunikationsdienste“ in der Regel gegen Entgelt erbrachte Dienste sind, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen. Damit ist ein gewisser Widerspruch in der gesetzlichen Definition offensichtlich, soweit § 3 Nr. 10 TKG eine Gewinnerzielungsabsicht nicht voraussetzt, die Nr. 24 dagegen in der Regel eine Entgeltlichkeit der Leistungen fordert2. Dessen ungeachtet wird überwiegend der Standpunkt vertreten, dass 96 ein Arbeitgeber, der seine Arbeitnehmer seine Telekommunikationseinrichtungen auch für private Zwecke nutzen lässt, geschäftsmäßig Telekommunikationsdienstleistungen erbringt, da es sich bei den Arbeitnehmern um Dritte i.S.d. § 3 Nr. 10 TKG handelt3. Es sei auch unerheblich, dass der Arbeitgeber die Nutzung unentgeltlich gestatte, da eine „Geschäftsmäßigkeit“ keine Gewinnerzielungsabsicht voraussetze. Dabei scheint auch die Gesetzesbegründung dieses Ergebnis zu stützen. So heißt es etwa in der Regierungsbegründung zum TKG: „Auch ein ohne Gewinnerzielungsabsicht erfolgendes, auf Dauer angelegtes Angebot von Telekommunikationsdiensten verpflichtet zur Wah1 Mengel, BB 2004, 1445 (1450); Hanau/Hoeren, S. 41 f.; De Wolf, NZA 2010, 1206; Simitis/Seifert, § 32 BDSG Rz. 92; Vietmeyer/Byers, MMR 2010, 807 (808); vgl. auch die Kommentierung zu § 88 TKG unter Rz. 13 ff. m.w.N., die der wohl h.M. folgt. 2 Siehe dagegen aber die Kommentierung zu § 88 TKG Rz. 13 m.w.N. 3 So etwa Hoppe/Braun, MMR 2010, 80; Vietmeyer/Byers, MMR 2010, 807 (808 m.w.N.).
Stamer/Kuhnke 789
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
rung des Fernmeldegeheimnisses. Dem Fernmeldegeheimnis unterliegen damit z.B. Corporate Networks, Nebenstellenanlagen in Hotels und Krankenhäusern, Clubtelefone, Nebenstellenanlagen in Betrieben und Behörden, soweit sie den Beschäftigten zur privaten Nutzung zur Verfügung gestellt sind.“1. Die Gleichsetzung der „Nebenstellenanlagen in Betrieben“ mit denjenigen in Hotels oder Krankenhäusern, lässt jedoch Zweifel dahingehend aufkommen, ob der Gesetzgeber damit tatsächlich die überwiegend dienstlich genutzten TK-Einrichtungen vor Augen hatte. 97 Die wohl h.M. beruft sich ferner auf einen Beschluss des OLG Karlsruhe, das zu dem Ergebnis gelangt ist, dass eine Universität, welche ihren Mitarbeitern sowie auch externen Vereinen und Studierenden ihr E-Mail-System auch zur Privatnutzung zur Verfügung stellt, als Unternehmen i.S.d. § 206 StGB (das teilweise identisch mit dem Begriff des Anbieters nach § 88 Abs. 2 TKG ist) anzusehen ist. Wie Thüsing richtig ausführt, ist jedoch der vom OLG Karlsruhe entschiedene Fall nicht mit der Konstellation des Arbeitgebers gleichzusetzen, der seinen Arbeitnehmern, also gerade nicht „externen Dritten“, die Nutzung seiner TKEinrichtungen ermöglicht2. 98 In der neueren Rechtsprechung zeichnet sich daher eine deutliche Tendenz dahingehend ab, dass auch ein Arbeitgeber, der seinen Mitarbeitern die Privatnutzung seiner Telekommunikationssysteme unentgeltlich erlaubt, nicht als Diensteanbieter i.S.d. TKG anzusehen ist. So hat das LAG Berlin-Brandenburg entschieden, dass ein Arbeitgeber nicht allein dadurch zum Diensteanbieter i.S.d. TKG wird, dass er seinen Beschäftigten gestattet, einen dienstlichen E-Mail-Account auch privat zu nutzen3. Das LAG Berlin-Brandenburg begründet dies damit, dass ein solcher Arbeitgeber nicht „geschäftsmäßig“ Telekommunikationsleistungen erbringt, wie dies § 3 Nr. 6 TKG aber voraussetzt. Damit folgt das LAG Berlin-Brandenburg dem LAG Niedersachsen, das bereits zuvor entschieden hatte, dass ein Arbeitgeber, der die Privatnutzung des Internets gestattet dennoch nicht als Dienstanbieter i.S.d. TKG anzusehen ist4. 99 Dementsprechend findet auch die Gegenansicht in der Literatur, welche die Anwendbarkeit des TKG trotz erlaubter Privatnutzung ablehnt, im1 2 3 4
BT-Drucks. 13/3609, S. 53. Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 224. LAG Berlin-Brandenburg v. 16.2.2011 – 4 Sa 2132/10, NZA-RR 2011, 342. LAG Niedersachsen v. 31.5.2010 – 12 Sa 875/09, NZA-RR 2010, 406.
790 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
mer mehr Anhänger1. Insbesondere Thüsing begründet sehr ausführlich und letztlich auch überzeugend, weshalb der Arbeitgeber, der seine Mitarbeiter die betrieblichen TK-Einrichtungen unentgeltlich auch zu privaten Zwecken nutzen lässt, dennoch hierdurch nicht zum Diensteanbieter i.S.d. TKG wird. Entscheidend ist nach hier vertretener Ansicht vor allem, dass es nicht 100 dem Sinn und Zweck des auf kommerzielle TK-Anbieter abzielenden TKG entspricht, auch den Arbeitgeber zu erfassen, der aus rein praktischer Erwägung und als Entgegenkommen, seine Mitarbeiter die TK-Einrichtungen des Unternehmens auch zu privaten Zwecken unentgeltlich nutzen lässt2. So ist die Interessenlage im Verhältnis Arbeitgeber-Arbeitnehmer keineswegs mit derjenigen im Verhältnis eines kommerziellen TK-Anbieters zu seinen Kunden vergleichbar. Es besteht kein Bedürfnis dafür, die über den Dienst-Account ablaufende Kommunikation durch das Fernmeldegeheimnis zu schützen, denn der Arbeitnehmer hat die Wahl, ob er die TK-Einrichtungen des Arbeitgebers nutzt oder auf andere Dienste zurückgreift. Im Übrigen wird ein hinreichender Schutz nach wie vor durch das subsidiär anzuwendende BDSG gewährleistet, d.h. auch wenn das TKG nicht zur Anwendung gelangt, ist keine unbegrenzte Kontrolle möglich. Vielmehr müssen – in Ermangelung einer Betriebsvereinbarung – die Voraussetzungen des § 32 vorliegen3. Der Arbeitgeber würde dagegen durch die Anwendung des Fernmeldegeheimnisses ganz empfindlich beeinträchtigt. Da mit Eingreifen des TKG die gesamte E-Mail-Kommunikation des Arbeitnehmers – sofern nicht eindeutig zwischen privaten und dienstlichen E-Mails unterschieden werden kann – dem Fernmeldegeheimnis unterliegt4, kann der Arbeitgeber per E-Mail erfolgende geschäftliche Kommunikation praktisch nicht mehr ohne Einwilligung des Mitarbeiters einsehen, was in vielerlei Konstellationen eine erhebliche Einschränkung darstellt (Krankheitsfall, Verdacht des Geheimnisverrats oder von Korruptionsdelikten, Kooperation mit Behörden bei der Aufklärung von potentiellen Wettbewerbsverstößen). Auch die nach Vorschriften des HGB und der
1 Vgl. Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 226–246; Schimmelpfennig/Wenning, DB 2006, 2290 (2292 ff.); Haußmann/Krets, NZA 2005, 259 (260); wohl auch Grobys, BB 2003, 682 (683). 2 Schimmelpfennig/Wenning, DB 2006, 2290 (2293). 3 Siehe oben unter Rz. 83 zu den Anforderungen des § 32 zur Rechtfertigung einer E-Mail-Überwachung. 4 Vgl. Besgen/Prinz/Busse, § 10 Rz. 88.
Stamer/Kuhnke 791
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
Abgabenordnung bestehenden Aufbewahrungspflichten von Geschäftspost ließen sich kaum einhalten1. 101 Im Ergebnis spricht daher vieles dafür, den Arbeitgeber auch dann aus dem Anwendungsbereich des TKG auszunehmen, wenn er den Arbeitnehmern die Privatnutzung seiner TK-Einrichtungen unentgeltlich gestattet. Dementsprechend wären die Kontrollmöglichkeiten des Arbeitgebers – wie auch im Falle eines Verbots der Privatnutzung – am Maßstab des BDSG zu messen. cc) Reichweite des Schutzes des Fernmeldegeheimnisses 102 Folgt man der Ansicht, wonach die Gestattung der Privatnutzung des dienstlichen E-Mail-Accounts zur Folge hat, dass die Kommunikation dem Schutz des Fernmeldegeheimnisses unterliegt, stellt sich die Frage nach der Reichweite dieses Schutzes. Dabei ist zunächst festzuhalten, dass der Schutz des Fernmeldegeheimnisses zwar nur die private Kommunikation erfasst. Lässt sich diese allerdings nicht von der geschäftlichen Kommunikation unterscheiden, wäre dem Arbeitgeber konsequenterweise der Zugriff auf die gesamte Kommunikation, die über den betreffenden Account erfolgt, verwehrt2. Sofern der Arbeitgeber daher die Privatnutzung des Dienst-Accounts dennoch zulassen möchte, sollte er die Mitarbeiter zumindest anweisen, private E-Mail, z.B. in der Betreff-Zeile, kenntlich zu machen. Hält sich der Mitarbeiter nicht an diese Regel und kommt es zu der Situation, dass der Arbeitgeber, zunächst unerkannt, eine private E-Mail gesichtet hat, wird man dem Arbeitgeber zumindest keinen vorsätzlichen Verstoß gegen das Fernmeldegeheimnis anlasten können. 103 Der Schutz des Fernmeldegeheimnisses hat zur Folge, dass eine Kontrolle des E-Mail-Inhalts grds. ausgeschlossen ist. Eine Kontrolle/Speicherung der Verbindungsdaten ist nur zulässig, wenn die Nutzung dem Arbeitnehmer nicht kostenfrei überlassen ist und die Speicherung zu Abrechnungszwecken dient (§ 96 Abs. 1 TKG), was in der Praxis allerdings kaum relevant sein dürfte, oder wenn sie zur Erkennung und Beseitigung von Störungen an der Telekommunikationsanlage erforderlich ist. Eine Auswertung der Verbindungsdaten zu anderen Kontrollzwecken ist dagegen ausgeschlossen.
1 HWK/Lembke, BDSG Vorb. Rz. 92a. 2 Besgen/Prinz/Busse, § 10 Rz. 88; Schimmelpfennig/Wenning, DB 2006, 2290 (2291); Vietmeyer/Byers, MMR 2010, 807 (809).
792 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
Umstritten ist, bis zu welchem Zeitpunkt E-Mails vom Schutz des Fern- 104 meldegeheimnisses umfasst sind. Denn das Eingreifen des Fernmeldegeheimnisses setzt das Vorliegen eines TK-Vorgangs voraus; ist der TK-Vorgang jedoch abgeschlossen, entfällt auch der Schutz des Fernmeldegeheimnisses. Druckt etwa der Arbeitnehmer eine E-Mail aus und heftet diese in einen (dienstlichen) Ordner ab oder verschiebt er eine E-Mail in einen Projekt-Ordner, zu dem auch andere Mitarbeiter des Unternehmens Zugang haben, ist der TK-Vorgang endgültig abgeschlossen und das Fernmeldegeheimnis steht einer Kontrolle des Inhalts der E-Mail durch den Arbeitgeber nicht mehr entgegen. Diese Beispiele verdeutlichen jedoch, dass es, abhängig von den technischen Rahmenbedingungen und den jeweiligen Handlungen des Mitarbeiters, durchaus auch Grauzonen geben kann, bei denen fraglich ist, ob der TK-Vorgang schon beendet ist oder noch andauert. Die Rechtsprechung des Bundesverfassungsgerichts stellt hierfür vor al- 105 lem auf die Beherrschbarkeit des TK-Vorgangs ab: Wenn der Mitarbeiter von einer eingehenden E-Mail tatsächlich Kenntnis genommen hat und er einen Zugriff des Arbeitgebers verhindern kann, weil er sie etwa lokal auf seinem PC gespeichert hat, ist der TK-Vorgang beendet und die E-Mail nicht mehr vom Fernmeldegeheimnis geschützt1. Bleibt die E-Mail dagegen auf dem Mailserver des Providers gespeichert, hat der Kommunikationsteilnehmer nicht die Möglichkeit, eine Weitergabe der Kommunikation durch den Provider an Dritte zu verhindern, was den Schutz des Fernmeldegeheimnisses erfordert. Hieraus folgt, dass nach den jeweiligen Einstellungen des verwendeten E-Mail-Systems (POP3 oder IMAP) zu differenzieren ist: Werden E-Mails im POP3-Verfahren nach dem „Abholen“ auf dem 106 Mail-Server nicht gelöscht, sondern dort archiviert, verbleiben sie im Herrschaftsbereich des Providers außerhalb der beherrschbaren Sphäre des Arbeitnehmers. Das Fernmeldegeheimnis bleibt (ggf. dauerhaft) anwendbar. Ist das E-Mail-Verfahren hingegen so konfiguriert, dass jede E-Mail nach erfolgreichem Abruf automatisch vom Server des Providers gelöscht wird, endet in diesem Moment der Schutz des TKG. Die weiteren Kontrollmöglichkeiten richten sich nach dem BDSG2. Im IMAP-Verfahren verbleiben E-Mails grds. auf dem Mailserver. Hier 107 ist der TK-Vorgang erst dann abgeschlossen, wenn der Arbeitnehmer nach dem Abruf vom Server eine zusätzliche Handlung vornimmt, mit 1 BVerfG v. 16.6.2009 – 2 BvR 902/06, MMR 2009, 673. 2 So auch Hoppe/Braun, MMR 2010, 80 (82).
Stamer/Kuhnke 793
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
der er über die E-Mail verfügt, wie z.B. das Verschieben in einen öffentlichen Ordner (z.B. einen projekt-bezogenen Ordner, auf den mehrere Mitarbeiter Zugriff haben). Mit der Vornahme dieser Handlung endet der TK-Vorgang und damit der Schutz des Fernmeldegeheimnisses, weil der Arbeitnehmer bewusst seine Kommunikation in den Herrschaftsbereich des Arbeitgebers gestellt hat1. Aber auch dann, wenn der Arbeitnehmer von einer E-Mail Kenntnis genommen hat, diese jedoch nicht aus der „Inbox“ entfernt, hat er diese bewusst im Machtbereich der Arbeitgebers belassen, d.h. auch in diesem Fall ist der TK-Vorgang abgeschlossen2. Lediglich dann, wenn die E-Mail zwar bereits in das Postfach des Mitarbeiters gelangt ist, dieser jedoch die Nachricht noch nicht zur Kenntnis genommen hat, dürfte der TK-Vorgang noch nicht als beendet anzusehen sein, da der Mitarbeiter noch keine Entscheidung über den Verbleib der E-Mail treffen konnte3. dd) Rechtfertigung eines Eingriffs in das Fernmeldegeheimnis 108 Das TKG verpflichtet den Arbeitgeber als Telekommunikationsdienstanbieter, für alle Inhalte und näheren Umstände der privaten Telekommunikation das Fernmeldegeheimnis zu wahren (§ 88 Abs. 2 TKG). Darunter fällt auch die Information, wer an der Telekommunikation beteiligt ist, insbesondere in Form von E-Mail-Adressen. Der Arbeitgeber muss gemäß § 88 Abs. 3 TKG die Erfassung und Verwendung von Daten grundsätzlich auf das für die Erbringung des TK-Dienstes erforderliche Maß beschränken. Hierunter fallen auch solche Maßnahmen, die für den Schutz der technischen Systeme des Arbeitgebers erforderlich sind. So können beispielsweise das Filtern und die Nicht-Zustellung einer virenverseuchten E-Mail gerechtfertigt sein, wenn durch die unterdrückte E-Mail Störungen oder Schäden drohen. 109 Grundsätzlich ist im Anwendungsbereich des TKG in gesetzlich geregelten Ausnahmefällen zwar die Erfassung und Verwendung auch zu anderen Zwecken erlaubt. Für das spezifische Kontrollinteresse des Arbeitgebers ist jedoch keiner der Rechtfertigungsgründe des TKG einschlägig. Eine Rechtfertigung auf der Grundlage einer Regelung einer Betriebsvereinbarung ist ebenfalls nicht möglich, da das TKG – anders als § 4 BDSG – keine abweichenden Regelungen durch Betriebsvereinbarung 1 Hoppe/Braun, MMR 2010, 80 (82). 2 VGH Kassel v. 19.5.2009 – 6 A 2672/08.Z, NJW 2009, 2470; Nolte/Becker, CR 2009, 126 (127). 3 So auch Vietmeyer/Byers, MMR 2010, 807 (808).
794 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
oder Tarifvertrag zulässt1. Im Anwendungsbereich des TKG ist eine Verhaltenskontrolle durch den Arbeitgeber daher stets unzulässig. Greift der Arbeitgeber trotzdem vorsätzlich auf E-Mails des Arbeitneh- 110 mers zu, die dem Fernmeldegeheimnis unterliegen, macht er sich in seiner Stellung als Telekommunikationsanbieter strafbar (§ 206 StGB). Durch den Einsatz von Filterprogrammen und der damit verbundenen Löschung oder Zustellungsverzögerung kann er den Tatbestand des § 206 Abs. 2 Nr. 2 StGB verwirklichen (eine Rechtfertigung gem. § 88 Abs. 3 TKG ist aber möglich, s.o.). Das unbefugte Öffnen und Lesen von Mitarbeiter E-Mails kann eine Strafbarkeit des Arbeitgebers nach § 206 Abs. 1 StGB begründen, wenn der Arbeitgeber den Inhalt einer anderen Person mitteilt und damit Informationen weitergibt (z.B. an einen Rechtsanwalt oder eine Behörde). Das bloße Lesen privater E-Mails ist nicht nach § 206 StGB strafbar; eine Strafbarkeit kann sich allerdings unabhängig von der Stellung als Teekommunikationsanbieter wegen Ausspähens von Daten nach § 202a StGB ergeben. Denkbar ist, in Fällen des konkreten Verdachts einer Straftat oder eines 111 drohenden Verrats von Geschäftsgeheimnissen einen notwehrähnlichen Rechtfertigungsgrund anzunehmen2. Dies setzt jedoch eine gegenwärtig noch andauernde Gefahr voraus. Präventive Maßnahmen sind daher ebenso wenig möglich wie vergangenheitsbezogene Maßnahmen zur Aufklärung bereits begangener Straftaten. Letzteres kann und sollte jedoch ggf. den staatlichen Ermittlungsbehörden überlassen werden. Eine Einwilligung des Arbeitnehmers kann zwar eine Kontrolle der Verbindungsdaten oder des Inhalts einer E-Mail-Kommunikation durch den Arbeitgeber auch dann rechtfertigen, wenn die Kommunikation durch das Fernmeldegeheimnis geschützt ist. Im Ergebnis dürfte dies aber nur in seltenen Ausnahmefällen eine praktikable Lösung darstellen, da die Einwilligung im Voraus erteilt werden muss und jederzeit wieder widerrufen werden kann. Im Übrigen bedürfte es auch einer Einwilligung des oder der anderen an der Kommunikation beteiligten Personen. Festzuhalten bleibt daher, dass die Kontrollmöglichkeiten des Arbeitgebers extrem begrenzt sind, solange das TKG eingreift. Will der Arbeitgeber den Arbeitnehmern gleichwohl die private E-Mail-Nutzung
1 Hanau/Hoeren, S. 51; Hoppe/Braun, MMR 2010, 80 (84); Mengel, BB 2004, 2014 (2021); a.A. Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 107 ff. 2 So im Ergebnis wohl auch Mengel, BB 2004, 2014 (2019).
Stamer/Kuhnke 795
112
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
gestatten, empfiehlt sich daher die Einrichtung zwei getrennter E-MailAccounts1. 3. Überwachung der Internetnutzung 113 Bei der Überwachung der Internetnutzung der Arbeitnehmer durch den Arbeitgeber stellen sich im Wesentlichen dieselben grundlegenden Fragen wie bei der Überwachung der E-Mail-Nutzung. Insbesondere ist auch hier von entscheidender Bedeutung, ob die Privatnutzung erlaubt ist oder nicht und dementsprechend, ob der Arbeitgeber als Diensteanbieter i.S.d. TKG anzusehen ist2. Nach zutreffender Ansicht, wird der Arbeitgeber durch die unentgeltliche Gestattung der Privatnutzung der betrieblichen TK-Einrichtungen nicht zum Diensteanbieter. Richtigerweise sind daher die Einschränkungen des TKG sowie des TMG, insbesondere das Fernmeldegeheimnis im Arbeitsverhältnis nicht zu beachten. Da dies von der wohl noch h.M. abweichend beurteilt wird, ist dem Arbeitgeber allerdings zu empfehlen, die Privatnutzung zu untersagen, sollte er eine Einschränkung seiner Kontrollbefugnisse im Hinblick auf die Internetnutzung nicht hinnehmen wollen. Insoweit sei auf die Ausführung zur Überwachung der E-Mail-Nutzung unter Rz. 78 ff. verwiesen. 114 Sofern sich die Zulässigkeit einer Überwachung der Internetnutzung (allein) nach dem BDSG richtet, ist gemäß § 4 zunächst vorrangig auf etwaige Regelungen in einer Betriebsvereinbarung abzustellen. In Ermangelung einer Betriebsvereinbarung greift § 32 Abs. 1, d.h. die Maßnahme muss zur Durchführung des Arbeitsverhältnisses oder zur Aufdeckung einer Straftat erforderlich und unter Abwägung der Interessen beider Parteien auch angemessen sein. Soweit die Privatnutzung des Internets ohnehin verboten ist, sind an den legitimen Zweck einer Überwachungsmaßnahme keine allzu hohen Anforderungen zu stellen. Hier können sowohl die Nutzungsdauer als auch die besuchten Webseiten überprüft werden, z.B. um festzustellen, ob gegen das private Nutzungsverbot verstoßen wurde3. Allerdings ist eine dauerhafte Überwachung des Arbeitnehmers auch in diesem Fall nicht zulässig4.
1 Vgl. Koch, NZA 2008, 911 (913). 2 Vgl. Mengel, BB 2004, 2014 (2019 ff.). 3 Besgen/Prinz/Busse, § 10 Rz. 45 ff.; Leupold/Glossner/Hegewald, Teil 7 Rz. 75; Mengel, BB 2004, 2014 (2020). 4 Oberwetter, NZA 2008, 609 (611).
796 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
Ist die Privatnutzung dagegen erlaubt, wird man eine Überprüfung der Nutzungsdauer regelmäßig für zulässig erachten können, sofern dies dazu dienen soll festzustellen, ob sich die Privatnutzung tatsächlich noch in einem angemessenen Rahmen hält, welche eine ordnungsgemäße Erfüllung der arbeitsvertraglichen Pflichten während der Arbeitszeit noch zulässt. Eine Überprüfung der besuchten Webseiten wird dagegen nur dann statthaft sein, wenn Anhaltspunkte für einen Verstoß vorliegen (z.B. Besuch von Seiten mit oder herunterladen pornographischer oder strafbarer Inhalte)1. In diesem Zusammenhang ist noch zu berücksichtigen, dass die exzes- 115 sive Nutzung des Internets während der Arbeitszeit zu privaten Zwecken eine schwere Verletzung der arbeitsvertraglichen Pflichten darstellen kann, da der Arbeitnehmer während des Surfens im Internet seine arbeitsvertraglich geschuldete Arbeitsleistung nicht erbringt. Dies kann den Arbeitgeber zu einer verhaltensbedingten Kündigung des Arbeitsverhältnisses berechtigen2. Darüber hinaus kann eine verhaltensbedingte oder gar außerordentliche fristlose Kündigung in Betracht kommen, wenn der Arbeitnehmer unbefugterweise Daten herunterlädt, welche Störungen des IT-Systems verursachen oder strafbare oder pornographische Darstellungen beinhalten3. 4. Telefonüberwachung a) Kontrolle der Verbindungsdaten Im Hinblick auf die Kontrolle der telefonischen Verbindungsdaten ist ebenfalls maßgeblich, ob der Arbeitgeber die private Telefonnutzung gestattet hat oder nicht. Denn auch in dieser Hinsicht kann er wiederum als Diensteanbieter nach dem TKG anzusehen sein mit der Folge, dass das Fernmeldegeheimnis eingreift. Insoweit sei auf die entsprechenden Ausführungen zur Überwachung des dienstlichen E-Mail-Accounts verwiesen (s.o. Rz. 78 ff.).
116
Nach richtiger Ansicht ist es dagegen nicht maßgeblich, ob die Privat- 117 nutzung erlaubt ist oder nicht, da der Arbeitgeber auch dann, wenn er die Privatnutzung des Telefonanschlusses zu privaten Zwecken unentgeltlich gestattet, nicht als Diensteanbieter i.S.d. TKG angesehen wer-
1 Leupold/Glossner/Hegewald, Teil 7 Rz. 91; Mengel, BB 2004, 2014 (2021). 2 BAG v. 27.4.2006 – 2 AZR 386/05, NZA 2006, 977. 3 BAG v. 7.7.2005 – 2 AZR 581/04, NZA 2006, 98.
Stamer/Kuhnke 797
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
den kann1. Dementsprechend darf der Arbeitgeber – wie auch im Fall der ausschließlich dienstlichen Nutzung – die Verbindungsdaten (Zielrufnummer, Datum, Uhrzeit und Dauer der Kommunikation) speichern und nutzen2. b) Kontrolle des Gesprächsinhalts 118 Unabhängig davon, ob die Nutzung des Telefonanschlusses zu privaten Zwecken gestattet ist oder nicht, ist eine heimliche Telefonüberwachung grundsätzlich ausgeschlossen. Insoweit genießt der Persönlichkeitsschutz des Arbeitnehmers insbesondere auch aufgrund der Flüchtigkeit des gesprochenen Wortes Vorrang vor etwaigen Kontrollinteressen des Arbeitgebers3. Aber auch eine offene Aufzeichnung oder das offene Mithören von Telefonaten wird grundsätzlich nur dann für zulässig angesehen, wenn der Arbeitnehmer diesbezüglich seine Einwilligung erteilt hat4. Darüber hinaus wird eine Kontrolle auch dann für zulässig erachtet, wenn es der Aufdeckung von Straftaten dient oder ein sonstiger erheblicher Pflichtverstoß zu Lasten des Arbeitgebers zu befürchten ist. In jedem Fall wird hierzu jedoch ein konkreter Verdacht erforderlich sein5. Unabhängig von diesen Grundsätzen bestehen besondere Kontrollbefugnisse des Arbeitgebers, wenn die Hauptpflicht des Arbeitnehmers das Führen von Telefonaten ist, so dass die Telefonüberwachung dem Arbeitgeber als Leistungskontrolle dient (beispielsweise in Call Centern). Allerdings darf auch hier die Überwachung nur offen und nur während der Probezeit erfolgen6. 5. Videoüberwachung 119 Der Einsatz von Videokameras zur gezielten Überwachung von Mitarbeitern bietet sich meist in Betrieben wie etwa Warenhäusern und Lagerhallen an, in denen Gegenstände aufbewahrt oder sortiert werden und Diebstähle durch Mitarbeiter verhindert werden sollen. Daneben werden Videokameras üblicherweise auch zur allgemeinen Überwa-
1 Vgl. die entsprechenden Erwägungen zur Kontrolle von E-Mails unter Ziffer 2b) bb). 2 Vgl. HWK/Lembke, BDSG Vorb. Rz. 105. 3 Oberwetter, NZA 2008, 609 (611); Simitis/Seifert, § 32 BDSG Rz. 88; Vietmeyer/Byers, MMR 2010, 807 (809). 4 Mengel, Kap. 7 Rz. 15 ff. 5 Oberwetter, NZA 2008, 609 (611). 6 Simitis/Seifert, § 32 BDSG Rz. 89; Oberwetter, NZA 2008, 609 (611).
798 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
chung in Betrieben mit Publikumsverkehr verwendet, wie etwa Kaufhäuser, Supermärkte, Bankfilialen, Tankstellen, Museen oder Bahnhöfe. Inwieweit eine Videoüberwachung zulässig ist, richtet sich generell 120 nach dem Einsatzort und den Anlass für die Überwachung. Dabei ist generell zu unterscheiden zwischen Orten mit Publikumsverkehr und nicht öffentlich zugänglichen Arbeitsstätten. Weiterhin kann die Überwachung offen oder verdeckt erfolgen. Sie kann sich gezielt gegen Mitarbeiter oder gegen alle sich in einem Raum aufhaltende Personen richten. Schließlich kann die Überwachung allgemein präventiv oder als Aufklärungsmittel bei Vorliegen eines bestimmten Tatverdachts eingesetzt werden. Allen Fällen ist jedoch gemein, dass die Einrichtung eines Videoüber- 121 wachungssystems der zwingenden Mitbestimmung des Betriebsrats gemäß § 87 Abs. 1 Nr. 6 BetrVG unterliegt1. Eine ohne Zustimmung des Betriebsrats in Betrieb genommene Videoüberwachung ist rechtswidrig. Zur Sicherung seiner Beteiligungsrechte stehen dem Betriebsrat Unterlassungsansprüche zu, welche dieser gerichtlich durchsetzen kann2. Darüber hinaus fallen Videoaufnahmen in den Anwendungsbereich des Datenschutzrechtes, sobald auf ihnen natürliche Personen oder Sachen, die Informationen über natürliche Personen offenbaren (z.B. Kfz), zu sehen sind3. a) Videoüberwachung von Räumen mit Publikumsverkehr Die Videoüberwachung öffentlich zugänglicher Räume richtet sich nach 122 § 6b BDSG. Maßgeblich ist, ob der betreffende Bereich nach seinem Zweck dazu bestimmt ist, von einer unbestimmten Anzahl von Personen betreten und genutzt zu werden4. Diese Vorschrift ist abschließend und gilt daher auch dann, wenn sich der Arbeitsplatz von Mitarbeitern innerhalb eines solchen Raumes befindet5. Die Aufteilung eines Raumes in einen öffentlichen und einen nicht-öffentlich zugänglichen Teil (z.B. ein räumlich abgetrennter Kassenbereich) ist im Rahmen von § 6b BDSG nicht möglich6. Gemäß § 6b Abs. 1 Nr. 2 und Nr. 3 BDSG ist 1 BAG v. 29.6.2004, 1 ABR 21/03, NZA 2004, 1278; Fitting, § 87 BetrVG Rz. 244; HWK/Lembke, BDSG Vorb. Rz. 109. 2 Richardi, § 87 Rz. 532; Maties, NJW 2008, 2219 (2224). 3 Bier/Spiecker, CR 2012, 610 (612). 4 Bier/Spiecker, CR 2012, 610 (613). 5 Oberwetter, NZA 2008, 609 (610). 6 Maties, NJW 2008, 2219 (2221); Bayreuther, NZA 2005, 1038.
Stamer/Kuhnke 799
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
die Überwachung zulässig, wenn diese zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Als ein solches berechtigtes Interesse ist die Vermeidung oder Aufklärung von gegen den Arbeitgeber gerichteten Straftaten anzusehen. Danach wäre eine Überwachung zulässig, wenn ein entsprechender Verdacht auf zukünftige Straftaten darauf beruht, dass bereits in der Vergangenheit einschlägige Straftaten begangen wurden und Wiederholungsgefahr besteht oder wenn eine gewisse Wahrscheinlichkeit besteht, dass einschlägige Delikte typischerweise begangen werden, wie etwa Ladendiebstähle in einem Kaufhaus1. Darüber hinaus ist die Überwachung kenntlich zu machen (vgl. § 6b Abs. 2). 123 Eine Überwachung ist ferner nur dann zulässig, wenn die schutzwürdigen Interessen der Betroffenen nicht überwiegen. Bei dieser Abwägung ist auch insbesondere das Persönlichkeitsrecht der betroffenen Arbeitnehmer zu berücksichtigen. In der Regel dürfte jedoch das berechtigte Interesse des Arbeitgebers am Schutz seiner Rechtsgüter durch eine Videoüberwachung dem Persönlichkeitsrecht der hierzu automatisch mitüberwachten Mitarbeiter vorangehen, wenn mit Straftaten Dritter zu rechnen ist2. 124 Anders kann dieser Abwägungsprozess dagegen aussehen, wenn sich die Beobachtungen ausschließlich gegen die Mitarbeiter richten. In diesem Fall wird zu verlangen sein, dass der konkrete Verdacht von Straftaten seitens der Mitarbeiter vorliegen muss, da anderenfalls eine solche Dauerüberwachung am Persönlichkeitsrecht der beobachteten Mitarbeiter scheitern muss3. So hat das BAG entschieden, dass eine verdachtsunabhängige unbegrenzte Videoüberwachung im Betrieb nicht verhältnismäßig und damit rechtswidrig ist4. Abhilfe könnte hier zukünftig durch intelligente Videoüberwachungssysteme möglich sein, da diese durch eine selektive Auswahl von Sensoren und ggf. eine Pseudonymisierung eine anlasslose Totalüberwachung vermeiden5.
1 2 3 4 5
Bayreuther, NZA 2005, 1038 (1039). Gola/Schomerus, § 6b BDSG Rz. 20a; Bayreuther, NZA 2005, 1038 (1039). Bayreuther, NZA 2005, 1038 (1039). Vgl. Dann/Gastell, NJW 2008, 2945 (2948). Siehe hierzu sehr ausführlich Bier/Spiecker, CR 2012, 610.
800 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
b) Videoüberwachung nicht öffentlich-zugänglicher Arbeitsplätze Die Videoüberwachung nicht öffentlich-zugänglicher Arbeitsplätze ist nicht gesetzlich geregelt. Die Grundsätze, welche die Rechtsprechung zur Überwachung in solchen Konstellationen entwickelt hat, entsprechen jedoch weitgehend denen des § 6b, d.h. auch hier hat eine Abwägung zwischen dem Schutzinteresse des Arbeitgebers und dem Eingriff in das Persönlichkeitsrecht der Arbeitnehmer stattzufinden1. Von zusätzlicher Bedeutung kann in dieser Konstellation jedoch die konkrete Beschaffenheit der zu überwachenden Räumlichkeiten sein.
125
So hat das BAG ausgeführt, dass die dem § 6b zugrunde liegenden Wer- 126 tungen, sollten sie überhaupt anwendbar sein, mit einem noch strengeren Maßstab angewendet werden müssen. Gerechtfertigt wird dies damit, dass bei der Videoüberwachung am nicht öffentlich-zugänglichen Arbeitsplatz der Personenkreis nicht anonym, sondern überschaubar und dem Arbeitgeber bekannt ist. Der Überwachungs- und Anpassungsdruck sei daher für die beobachteten Personen sehr viel größer2. c) Verdeckte Überwachung Eine verdeckte oder heimliche Videoüberwachung scheidet in Räumen 127 mit Publikumsverkehr grundsätzlich aus. So schreibt § 6b Abs. 2 vor, dass die Überwachung kenntlich zu machen ist. Allerdings ist § 6b nach der Rspr. des BAG verfassungskonform dahin auszulegen, dass auch eine verdeckte Videoüberwachung öffentlich zugänglicher Räume im Einzelfall zulässig sein kann (siehe hierzu noch unten). Zwar fehlt eine vergleichbare gesetzliche Verpflichtung im Falle der Videoüberwachung von nicht öffentlich-zugänglichen Arbeitsplätzen. Allerdings kann daraus nicht gefolgert werden, dass in diesem Fall eine verdeckte Überwachung grds. zulässig sein soll. Vielmehr ist der Rechtsprechung des BAG die Wertung zu entnehmen, dass an die Zulässigkeit einer Überwachung in nicht öffentlich-zugänglichen Räumen regelmäßig höhere Anforderungen zu stellen sind als in öffentlichen Räumlichkeiten. Erachtet daher der Gesetzgeber für öffentliche Räume das Persönlichkeitsrecht der Betroffenen so hoch, dass eine verdeckte Überwachung nur in sehr engen Grenzen zulässig sein soll, muss dies erst recht in nicht öffentlich-zugänglichen Räumen gelten3. 1 Vgl. Bayreuther, NZA 2005, 1038 (1041). 2 BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278 (1282); bestätigt und fortgeführt durch BAG v. 26.8.2008, 1 ABR 16/07, NZA 2008, 1187 (1191). 3 So auch Bayreuther, NZA 2005, 1038 (1041).
Stamer/Kuhnke 801
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
128 Nach der Rspr. des BAG ist die heimliche Videoüberwachung eines Arbeitnehmers – in Räumen mit oder ohne Publikumsverkehr – jedoch dann zulässig, wenn der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers besteht, weniger einschneidende Mittel zur Aufklärung des Verdachts ausgeschöpft sind und daher die verdeckte Videoüberwachung praktisch das einzig verbleibende Mittel darstellt, um den Sachverhalt aufzuklären und die Überwachung insgesamt nicht unverhältnismäßig ist1. Die strafbare Handlung des Arbeitnehmers bedarf keiner erheblichen Intensität, so dass z.B. auch der Diebstahl geringwertiger Sachen ausreicht2. 6. Mitarbeiterortung 129 Die Möglichkeiten zur Ortung von Mitarbeitern innerhalb und außerhalb des Betriebes erlangen aufgrund des Voranschreitens der technischen Ortungsmöglichkeiten (GPS, Diensthandy, RFID-Chips in Dienstausweisen) zunehmend größere Bedeutung3. Damit einher geht selbstverständlich die Frage der datenschutzrechtlichen Zulässigkeit des Einsatzes solcher Ortungssysteme. Dies hatte auch den Gesetzgeber veranlasst, im Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes erstmalig den Einsatz von Ortungssystemen gesetzlich zu regeln (§ 32g BDSG-E 2010). 130 Die Zulässigkeit des Einsatzes von Ortungssystemen richtet sich grundsätzlich nach § 4 Abs. 1, d.h. erforderlich ist entweder eine Einwilligung des Arbeitnehmers oder eine andere Rechtsgrundlage wie ein Gesetz oder eine Betriebsvereinbarung. Da der Einsatz von Ortungssystemen der Mitbestimmung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG unterliegt, dürften bereits sehr häufig die Voraussetzungen für den Einsatz der Ortungssysteme in einer Betriebsvereinbarung geregelt sein. Wie bereits weiter oben unter Ziffer 2a) cc) (siehe Rz. 85 ff.) ausgeführt, dürfen die Betriebsparteien auch von dem ansonsten anwendbaren § 32 abweichen. Dabei sind allerdings der Regelungsautonomie der Betriebsparteien Grenzen gesetzt. Da die Betriebsparteien gemäß § 75 Abs. 2 BetrVG insbesondere die freie Entfaltung der Persönlichkeit der Mitarbeiter schützen sollen, wird zu berücksichtigen sein, dass durch den
1 BAG v. 21.6.2012 – 2 AZR 153/11, ArbRB 2012, 197; BAG v. 27.3.2003 – 2 AZR 51/02, NZA 2003, 1193 (1195); Bergnitz, NZA 2012, 353; siehe dazu auch Oberwetter, NZA 2008, 609 (610); Maties, NJW 2008, 2219 (2220). 2 Oberwetter, NZA 2008, 609 (610). 3 Däubler, Rz. 318.
802 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
Einsatz von Ortungssystemen ein sehr genaues Bewegungsprofil der Mitarbeiter erstellt werden kann und dies mitunter auch während seiner Freizeit fortwirkt mit der Folge, dass eine durch Ortungssysteme einhergehende Dauerüberwachung nur bei gewichtigen betrieblichen Interessen des Arbeitgebers zulässig sein dürfte. So dürfte beispielsweise eine Handy-Ortung nur dann zulässig sein, wenn diese zur eigenen Sicherheit des Mitarbeiters erfolgt oder dem Schutz überdurchschnittlich wertvoller Gegenstände des Arbeitgebers dient1. Zum Beispiel im Falle des Auslandseinsatzes eines Arbeitnehmers in Krisenregionen2. In jedem Fall wird der Einsatz solcher Ortungssysteme nur dann zulässig sein, wenn das Transparenzgebot eingehalten ist, d.h. dem Mitarbeiter muss der Einsatz bekannt sein3. Der Einsatz von RFID-Technik dürfte zur Identifikation von Mitarbei- 131 tern, etwa bei Zugangskontrollen sowie zur Anmeldung bei Dienstbeginn oder Abmeldung bei Dienstende zulässig sein. Unproblematisch ist auch der Einsatz zur Sicherung von beweglichen Sachen, so lange diese nicht einzelnen Mitarbeitern zuzuordnen sind (Bücher einer Bibliothek). 7. Erfassung biometrischer Daten Als Alternative zu den herkömmlichen Zugangskontrollen wie PinNummer oder Chipkarte sowie zur RFID-Technik existiert die Möglichkeit der biometrischen Identifikation von Mitarbeitern. Anstelle von Passwörtern werden zur Zugangskontrolle biometrische Daten des Arbeitnehmers, wie z.B. Iris, Fingerabdruck oder Stimme verwendet. Gerade in Unternehmen, die ein erhöhtes Sicherungsbedürfnis haben, werden diese Identifikationssysteme aufgrund ihrer geringen Fehleranfälligkeit vermehrt verwendet. Auch wenn solche Identifizierungssysteme für die Unternehmen einen erheblichen Mehrwert darstellen, sind sie insofern problematisch, als es sich bei den biometrischen Arbeitnehmerdaten um besonders sensible Daten handelt4. Um zu gewährleisten, dass die erhobenen Daten tatsächlich nur zur Zugangskontrolle verwendet werden, wird allgemein verlangt, dass die Speicherung der Daten auf einer im Besitz des Arbeitnehmers befindlichen Chipkarte erfolgt, wäh-
1 2 3 4
Simitis/Seifert, § 32 BDSG Rz. 83. Beckschulze/Natzel, BB 2010, 2368 (2373). Vgl. etwa Gola, NZA 2007, 1139 (1143). Gola, NZA 2007, 1139 (1140); Besgen/Prinz/Roloff, § 5 Rz. 66; Simitis/Seifert, § 32 BDSG Rz. 98.
Stamer/Kuhnke 803
132
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
rend der Arbeitgeber selbst keinen Zugriff auf die Informationen haben soll1. Eine solche Handhabung schützt zwar die Interessen der Arbeitnehmer, trägt aber nicht ausreichend dem Interesse des Arbeitgebers, die Verlustgefahr des Zugangsmittels zu minimieren, Rechnung. Im Regelfall ist daher zwar die ausschließliche Speicherung auf einer Chipkarte das mildeste Mittel, allerdings wird im Einzelfall zu prüfen sein, ob nicht ausnahmsweise das gesteigerte Sicherungsbedürfnis des Arbeitgebers auch eine Speicherung der Daten im Unternehmen erfordert. In diesem Fall lässt sich das Persönlichkeitsrecht der Arbeitnehmer durch eine Anonymisierung der Daten ausreichend schützen; die gespeicherten Daten können bei dieser Methode nicht den einzelnen Mitarbeitern zugeordnet werden, vielmehr kann der Arbeitgeber durch die bei ihm gespeicherten Daten nur erkennen, ob der betreffende Arbeitnehmer zum zugangsberechtigten Mitarbeiterkreis gehört oder nicht2. 8. Massenscreenings 133 Das Massenscreening stellt für Unternehmen ein wirksames Mittel zur Korruptionsbekämpfung und Aufdeckung sonstiger Straftaten dar: Durch einen elektronischen Datenabgleich werden bereits vorhandene Arbeitnehmerdaten geprüft und mit anderen Daten z.B. mit Lieferantendaten verglichen, um so gesetzwidriges Verhalten der Arbeitnehmer aufzudecken. Welche Anforderungen an die datenschutzrechtliche Rechtfertigung einer solchen Maßnahme zu stellen sind, ist weitestgehend ungeklärt. Während Einigkeit darüber besteht, dass der Arbeitgeber ein gesteigertes Interesse und zuweilen sogar die Pflicht hat, Straftaten seiner Mitarbeiter aufzuklären, ist dagegen umstritten, ob und wenn ja welche Interessen der Arbeitnehmer durch einen solchen Datenabgleich berührt sind und damit, zu wessen Gunsten die erforderliche Interessenabwägung ausfällt3. 134 Nach zutreffender Ansicht wird durch ein Massenscreening nicht nur das Persönlichkeitsrecht der Arbeitnehmer betroffen, bei denen der Datenabgleich positiv ausfällt, sondern auch das Persönlichkeitsrecht derjenigen Arbeitnehmer, bei denen er ein negatives Ergebnis zur Folge hat, da diese keinen zurechenbaren Anlass für die Erhebung ihrer Daten ge1 Oberwetter, NZA 2008, 609 (612); Simitis/Seifert, § 32 BDSG Rz. 98; Gola, NZA 2007, 1139 (1141), will dem Arbeitnehmer ein Wahlrecht zwischen der Speicherung beim Arbeitgeber und der Speicherung allein auf der Chipkarte einräumen. 2 Gola, NZA 2007, 1139 (1141). 3 Vgl. hierzu Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 146 ff.
804 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
schaffen haben1. In der Konsequenz ist daher die Zahl der zu überprüfenden Mitarbeiter in verdachtsunabhängigen Fällen so weit wie möglich zu begrenzen. Grundsätzlich ist daher nur die stichprobenartige Kontrolle bestimmter Arbeitnehmergruppen zulässig. Ausnahmsweise ist aber die Kontrolle der ganzen Belegschaft gerechtfertigt und zwar dann, wenn ein konkreter Tatverdacht vorliegt. Zum zusätzlichen Schutz der Arbeitnehmer soll der Datenabgleich außerdem pseudonymisiert durchgeführt werden2. 9. Sonstige Überwachungsformen Neben den zuvor beschriebenen Maßnahmen stehen dem Arbeitgeber, der kontrollieren will, ob seine Mitarbeiter Straftaten zu seinen Lasten begehen oder in anderer Weise gegen ihre Verhaltenspflichten verstoßen, noch diverse weitere Kontrollmechanismen zur Verfügung wie etwa die Durchführung von Torkontrollen3, das Abtasten des Körpers, der Einsatz von Detektiven sowie die Durchführung von Zuverlässigkeits- oder Ehrlichkeitstests. Im Rahmen der zur Klärung ihrer Zulässigkeit erforderlichen Interessenabwägung zwischen den Belangen des Arbeitgebers und der Arbeitnehmer sind die allgemeinen Grundsätze des § 32 zu beachten. Liegt ein konkreter Verdacht einer Straftat vor, richtet sich die Zulässigkeit der Kontrolle nach § 32 Abs. 1 Satz 2. Bei der Interessenabwägung sind hier die Beeinträchtigung der Arbeitnehmer durch die Kontrolle einerseits und das Aufklärungsinteresse des Arbeitgebers sowie die Schwere des mutmaßlichen Delikts und die Konkretisierung des Verdachts andererseits abzuwägen4.
135
Dient die Kontrolle dagegen der Prävention von Straftaten durch stichprobenartige Kontrolle oder der Aufdeckung anderer Pflichtverletzungen richtet sich ihre Zulässigkeit nach § 32 Abs. 1 Satz 1. Solche Kontrollen sind zulässig, wobei die Zahl der zu kontrollierenden Personen sowie
136
1 Zum Folgenden Kock/Francke, NZA 2009, 646 (648); a.A. Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 149 ff., der auf dem Standpunkt steht, dass auch in verdachtsunabhängigen Fällen keine Begrenzung auf bestimmte Arbeitnehmergruppen erforderlich sei, da diejenigen Personen, bei denen kein Treffer erfolgt, auch nicht in ihrem Recht auf informationelle Selbstbestimmung betroffen seien. Auch eine Pseudonymisierung sei daher nicht erforderlich. 2 HWK/Lembke, BDSG Vorb. Rz. 104a; Kock/Francke, NZA 2009, 646 (648); Wybitul, BB 2009, 1582 (1584). 3 Vgl. hierzu ausführlich Joussen, NZA 2010, 254, der eine Anwendung des § 32 BDSG vollständig ablehnt. 4 Simitis/Seifert, § 32 BDSG Rz. 101 ff.
Stamer/Kuhnke 805
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
die Dauer der Kontrolle auf ein Minimum zu beschränken ist. Demzufolge ist eine Dauerüberwachung regelmäßig unzulässig. Auch eine Massenkontrolle der Belegschaft dürfte nur in wenigen Ausnahmefällen gerechtfertigt sein1. Eine solche Ausnahme ist dann anzunehmen, wenn der Arbeitgeber ein bestimmtes pflichtwidriges Verhalten aufklären möchte, wobei zwar ein konkreter, diesbezüglicher Verdacht vorliegt, die Pflichtverletzung allerdings keine Straftat i.S.d. § 32 Abs. 1 Satz 2 darstellt. Hier kann – je nach Schwere der Pflichtverletzung und Umständen des Einzelfalls – ein berechtigtes Interesse des Arbeitgebers an der Kontrolle aller Mitarbeiter bestehen. Dient die Kontrolle dagegen lediglich der Prävention von Straftaten und Pflichtverletzungen, ist nur eine stichprobenartige Kontrolle zulässig. 10. Beweisverwertungsverbote 137 Verstößt eine vom Arbeitgeber durchgeführte Kontrollmaßnahme gegen das BDSG, stellt sich – insbesondere im Kündigungsschutzprozess – die Frage nach einem prozessualen Beweisverwertungsverbot. Weder das BDSG noch das allgemeine Zivilprozessrecht treffen diesbezüglich Regelungen. 138 Unproblematisch ist die Beurteilung bei rechtmäßig erlangten Beweismitteln: War die Kontrollmaßnahme rechtmäßig, besteht grundsätzlich kein Anlass, die Verwertung der erlangten Informationen zu verbieten2. Dies gilt im Übrigen auch für Zufallsfunde. Hat der Arbeitgeber wegen eines konkreten Tatverdachts der Begehung einer Straftat eine Überwachungseinrichtung installiert, so können im Prozess – sofern die Maßnahme rechtmäßig ist – auch andere in diesem Zusammenhang erlangte Informationen z.B. über die Verletzung einer einfachen Arbeitsvertragsvertragspflicht verwendet werden3. Schwieriger ist es, wenn es um die Verwendung von Beweismitteln geht, die durch eine rechtswidrig vorgenommene Maßnahme erlangt worden sind4. Aus der kontrovers geführten Diskussion hat sich eine h.M. herausgebildet, deren Lösung überzeugt: Nicht jede rechtswidrig durchgeführte Maßnahme führt zu einem Beweisverwertungsverbot, vielmehr kommt es darauf an, ob die
1 2 3 4
HWK/Lembke, § 32 BDSG Rz. 13 ff. Differenzierend Dzida/Grau, NZA 2010, 1201 (1204). A.A. Grimm/Schiefer, RdA 2009, 329 (340). Vgl. zu Informationen, die aus einer rechtswidrigen Videoüberwachung erlangt wurden ausführlich Grimm/Schiefer, RdA 2009, 329 (340 f.).
806 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
Verwertung des Beweises im Prozess eine erneute Verletzung des allgemeinen Persönlichkeitsrechts des Arbeitnehmers darstellen würde1. Dies bedeutet – wie das BAG in einem Urteil aus dem Jahre 2007 klarge- 139 stellt hat – zunächst, dass der isolierte Verstoß des Arbeitgebers gegen ein etwaiges Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG oder andere betriebsverfassungsrechtliche Verpflichtungen nicht dazu führt, dass die gewonnenen Beweise unverwertbar sind. Wenn die Maßnahme bei ordnungsgemäßer Beteiligung des Betriebsrats zulässig gewesen wäre, die Datenerhebung, -verarbeitung oder -nutzung selber also keinen Verstoß gegen das allgemeine Persönlichkeitsrecht des Arbeitnehmers darstellt, handelt es sich auch bei der anschließenden Verwertung im Prozess nicht um eine Verletzung des allgemeinen Persönlichkeitsrechts2. Sind dagegen die relevanten Informationen durch eine Maßnahme ge- 140 wonnen worden, die deshalb rechtswidrig ist, weil sie Persönlichkeitsrechte der Arbeitnehmer verletzt, ist grundsätzlich davon auszugehen, dass die Verletzung dieser Rechte durch eine Verwendung im Prozess perpetuiert wird, so dass ihre Verwertung verboten ist3. Ausnahmsweise kann aber auch in einem solchen Fall die Verwertung zulässig sein; nämlich wenn die verletzten Persönlichkeitsrechte gerade nicht die der Prozesspartei waren4. Hierzu folgendes Beispiel: Ist ein Massenscreening deshalb unverhältnismäßig, weil der kontrollierte Personenkreis nicht auf ein Minimum bzw. auf eine bestimmte Personengruppe reduziert wurde (vgl. Rz. 133), ist die Maßnahme rechtswidrig, weil sie die Persönlichkeitsrechte der „unschuldigen“ aber gleichwohl kontrollierten Arbeitnehmer verletzt. Das Persönlichkeitsrecht desjenigen, dessen Straftat durch den Datenabgleich aufgedeckt wurde und dessen Kündigung nun begründet werden soll, ist dagegen nicht verletzt, so dass auch eine Verwertung der gewonnenen Beweise im Prozess zulässig ist5. Darüber hinaus stellt sich die Frage, ob unter besonderen Umständen 141 auch Beweise zulasten des Arbeitnehmers verwendet werden können, wenn diese Beweise durch eine rechtswidrige Maßnahme gewonnen 1 BAG v. 13.12.2007 – 2 AZR 537/06, NZA 2008, 1008; Dzida/Grau, NZA 2010, 1201 (1202); Erfurth, NJOZ 2009, 2914 (2922); Grimm/Schiefer, RdA 2009, 329 (339); Kratz/Gubbels, NZA 2009, 652 (656); Simitis/Seifert, § 32 BDSG Rz. 193; Thüsing, Arbeitnehmerdatenschutz und Compliance, Rz. 525. 2 BAG v. 13.12.2007 – 2 AZR 537/06, NZA 2008, 1008. 3 Kratz/Gubbels, NZA 2009, 652 (656). 4 Dzida/Grau, NZA 2010, 1201 (1202 f.). 5 A.A. Kratz/Gubbels, NZA 2009, 652 (656).
Stamer/Kuhnke 807
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
wurden, die deshalb rechtswidrig ist, weil sie das Persönlichkeitsrecht des klagenden Arbeitnehmers verletzt1. Die wohl h.M. vertritt den Standpunkt, eine Verwertung sei in diesem Fall dann zulässig, wenn der Arbeitgeber sich in einer „notwehrähnlichen Lage“ befinde2. Diese wiederum sei dann gegeben, wenn der Arbeitgeber ein gesteigertes Interesse an der Durchsetzung seiner Rechte habe und die Persönlichkeitsrechtsverletzung des Arbeitnehmers nicht erheblich sei. Dies ist überzeugend, da ein Verwertungsverbot in solchen Konstellationen auch nur dann gerechtfertigt erscheint, wenn auch die Interessen des Arbeitgebers an der Verwertung in die Abwägung eingebracht wurden und diese Interessenabwägung zu Lasten des Arbeitgebers ausfällt. 142 Schließlich wird diskutiert, ob ein Beweisverwertungsverbot Fernwirkung entfalten kann und ob zusätzlich zum Beweisverwertungsverbot ein Sachvortragsverwertungsverbot existiert. Beide Fragen sind zu verneinen. Erlangt der Arbeitgeber durch eine rechtswidrige Kontrollmaßnahme Kenntnis von anderen Beweismitteln, so sind diese vollständig verwertbar, eine Fernwirkung besteht nicht3. Ebenso wenig ist der Richter daran gehindert zwischen den Parteien unstreitigen Sachvortrag zu berücksichtigen, selbst wenn der Sachvortrag auf rechtswidrig erlangten Informationen beruht. Wie das BAG klargestellt hat, existiert ein Sachvortragsverwertungsverbot im deutschen Prozessrecht nicht4. VIII. Übermittlung von Beschäftigtendaten an Dritte 143 Es gibt vielfältige Situationen, in denen es für den Arbeitgeber zur Durchführung des Beschäftigungsverhältnisses erforderlich oder zumindest sinnvoll sein kann, die von ihm erhobenen und gespeicherten Daten bezüglich seiner Arbeitnehmer an „Dritte“ zu übermitteln. Dies reicht von der Auslagerung der Lohnbuchhaltung bis zur Weitergabe von Informationen im Rahmen einer Due Diligence beim Verkauf des 1 Grundsätzlich ablehnend Kratz/Gubbels, NZA 2009, 652 (656). 2 Dzida/Grau, NZA 2010, 1201 (1203); andeutungsweise auch BAG v. 13.12.2007 – 2 AZR 537/06, NZA 2008, 1008. 3 Dzida/Grau, NZA 2010, 1201 (1206); Grimm/Schiefer, RdA 2009, 329 (340); Bergwitz, NZA 2012, 353. 4 BAG v. 13.12.2007 – 2 AZR 537/06, NZA 2008, 1008. Das BAG geht trotz eigentlich deutlicher Ablehnung des Sachvortragsverwertungsverbotes dennoch davon aus, dass der Richter ausnahmsweise und bei erheblicher Persönlichkeitsrechtsverletzung von der Berücksichtigung des Vortrags absehen kann; Dzida/Grau, NZA 2010, 1201 (1205); Grimm/Schiefer, RdA 2009, 329 (340); Lunk, NZA 2009, 457 (458).
808 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
Unternehmens. Dabei ist zunächst festzuhalten, dass eine Datenübermittlung an einen „Dritten“ auch dann vorliegt, wenn die Übermittlung innerhalb eines Konzerns erfolgt. Damit kennt das BDSG kein „Konzernprivileg“, das einen freien Datenaustausch zwischen den Konzernunternehmen zuließe1. Das heißt, auch im Falle einer Datenübermittlung im Konzern ist eine gesonderte datenschutzrechtliche Rechtfertigung erforderlich. Erfolgt die Datenübermittlung ins Ausland, sind diesbezüglich noch die besonderen Vorschriften des § 4b und § 4c zu beachten und zwar unabhängig davon, ob die Übermittlung innerhalb oder außerhalb des Konzerns erfolgt2. Von der Übermittlung von Beschäftigtendaten im engeren Sinne ist die 144 Auftragsdatenverarbeitung zu unterscheiden. Ein typischer Anwendungsfall der Auftragsdatenverarbeitung ist die Auslagerung der Lohnund Gehaltsabrechnung auf einen externen Anbieter oder ein anderes Konzernunternehmen. Hier richten sich die Zulässigkeitsanforderungen nach § 11 BDSG3. Erfolgt die Datenübermittlung nicht im Rahmen einer Auftragsdaten- 145 verarbeitung, bedarf die Übermittlung einer gesonderten Erlaubnis, sei es auf der Grundlage einer Konzernbetriebsvereinbarung4 oder auf der Grundlage von § 32 Abs. 1 Satz 1. So kann etwa der Aufbau einer konzernweiten Personalverwaltung, die Grundlage für den konzernweiten Personaleinsatz, die Personalentwicklung oder auch die Schaffung eines konzernweiten Arbeitsmarktes ist, eine Datenübermittlung im Konzern rechtfertigen. Gleiches gilt für die Erstellung konzernweiter Telefonoder E-Mail-Verzeichnisse. Sofern im Rahmen einer Due Diligence Beschäftigtendaten dem Kauf- 146 interessenten übermittelt werden sollen, greift § 32 Abs. 1 als Rechtfertigungsgrundlage nicht ein, da die Datenübermittlung nicht zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Vielmehr ist auf die Generalklausel des § 28 Abs. 1 Satz 1 Nr. 2 abzustellen. Hiernach wird eine Interessenabwägung zwischen den Interessen der betroffenen Arbeitnehmer und dem Interesse des Arbeitgebers an einer Übermittlung der entsprechenden Daten vorgenommen. Im Regelfall muss dem Interesse der Arbeitnehmer dabei insofern Rechnung getragen werden, 1 2 3 4
Vgl. Simitis/Seifert, § 32, Rz. 116. Siehe hierzu die Kommentierung der §§ 4b und c. Siehe hierzu im Einzelnen die Kommentierung zu § 11. BAG v. 20.12.1995 – 7 ABR 8/95, NZA 1996, 945 (947).
Stamer/Kuhnke 809
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
als dass dem Erwerber – zumindest in der Anfangsphase einer Transaktion – lediglich anonymisierte Mitarbeiterlisten sowie geschwärzte Musterverträge überreicht werden. Soweit aber das Management sowie andere Schlüsselkräfte und Know-how-Träger betroffen sind, wird man auch ein überwiegendes Interesse des Arbeitgebers an der Übermittlung von ungeschwärzten Unterlagen wie etwa Anstellungsverträgen annehmen können1, da es sich hierbei um entscheidende Informationen für einen Erwerber handelt, die er für eine angemessene Prüfung der arbeitsrechtlichen und personellen Verhältnisse der Zielgesellschaft benötigt. Die Vorlage nicht anonymisierter Listen von Mitarbeitern mit Angaben zu Gehalt und anderen Daten wird auch dann für zulässig anzusehen sein, wenn etwa im Rahmen eines Unternehmenskaufs, der einen Betriebsübergang zur Folge hat („Asset-Deal“), eine Identifizierung der Mitarbeiter erforderlich ist, die zu den übergehenden Bereichen zählen. Dies kann zum Beispiel für die nach § 613a Abs. 5 BGB erforderliche Unterrichtung wie auch zur Bestimmung des Verpflichtungsumfangs (z.B. aus betrieblicher Altersversorgung) des Erwerbers erforderlich sein. Aber auch bei einem Share-Deal wird eine Vorlage individualisierter Listen dann gerechtfertigt sein, wenn die Durchführung der Transaktion unmittelbar bevorsteht und die Liste zum Beispiel im Zusammenhang mit einer Garantie Bestandteil des Kaufvertrages werden soll. Gleiches gilt, wenn der Vollzug der Transaktion nach Abschluss des Kaufvertrages überwiegend wahrscheinlich geworden ist und die Daten zum Beispiel für die Vorbereitung des Übergangs des Geschäftsbetriebs benötigt werden2. 147 Eine Veröffentlichung von Beschäftigtendaten, z.B. auf der Homepage des Unternehmens, wird regelmäßig nur dann erforderlich i.S.d. § 32 Abs. 1 Satz 1 sein, wenn es sich um Mitarbeiter mit Außenwirkung handelt (z.B. Geschäftsführung sowie Kontaktpersonen in den unterschiedlichen Unternehmensbereichen). In den anderen Fällen ist zur Veröffentlichung eine Einwilligung erforderlich. Sofern die Veröffentlichung eines Fotos des jeweiligen Betroffenen erfolgen soll, ist in jedem Fall dessen Einwilligung erforderlich3. Scheidet der auf der Homepage genannte Mitarbeiter aus, hat er einen Anspruch auf Löschung seines Mitarbeiterprofils4. Gleichzeitig hat aber auch das Unternehmen einen 1 Seibt/Hohenstatt, in Willemsen/Hohenstatt/Schweibert/Seibt, Umstrukturierung und Übertragung von Unternehmen, 4. Aufl. 2011, Rz. K27. 2 Vgl. Seibt/Hohenstatt, Rz. K27. 3 Simitis/Seifert, § 32, Rz. 125. 4 Vgl. LAG Hessen v. 24.1.2012 – 19 SaGa 1480/11, RDV 2012, 204.
810 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
Anspruch auf Löschung von Hinweisen auf die bisherige Unternehmenszugehörigkeit des Mitarbeiters, z.B. in sozialen Netzwerken. IX. Datenverwendung bei und nach Beendigung des Beschäftigungsverhältnisses Daten, die für die Beendigung des Arbeitsverhältnisses und dessen Abwicklung erforderlich sind, dürfen vom Arbeitgeber erhoben, verarbeitet und genutzt werden. Unerlässlich und damit zulässig ist hier vor allem die Nutzung der Stammdaten oder der aus den Stammdaten resultierenden Daten (bspw. die Vergütung) der Arbeitnehmer, sei es bspw. bei der Berechnung der Länge einer Kündigungsfrist oder der Höhe einer Abfindung. Regelmäßig werden diese Daten schon vor Beendigung des Arbeitsverhältnisses durch den Arbeitgeber erhoben. Ihre Nutzung ist unproblematisch1.
148
Für die Zulässigkeit der Datenverwendung bei der Kündigungsentschei- 149 dung gilt: Ohne Weiteres zulässig ist die Verwendung solcher Daten, die der Arbeitgeber zur Einhaltung seiner gesetzlichen Pflichten bei der Entscheidungsfindung – beispielsweise der Durchführung einer Sozialauswahl (§ 1 Abs. 3 Satz 1 KSchG) – benötigt2. Das heißt aber auch, dass der Arbeitgeber grundsätzlich alle Daten speichern und verwenden darf, die er zur Erfüllung der ihm obliegenden Darlegungs- und Beweislast in einem potentiellen Kündigungsschutzprozess benötigt3. Dabei darf allerdings nicht unberücksichtigt bleiben, dass hier – und dies gilt insbesondere für die verhaltensbedingte Kündigung – natürlich nur die Verwendung solcher Daten zulässig ist, deren Erhebung nicht gegen die oben dargestellten Grundsätze über Beweisverwertungsverbote verstoßen hat4. Von § 32 BDSG ebenfalls erfasst ist die Datenverwendung bei Abwicklung des Arbeitsverhältnisses5. Dass ein Arbeitsverhältnis nicht ohne die Berücksichtigung von Arbeitnehmerdaten abgewickelt werden kann und ihre Verwendung daher zulässig sein muss, liegt auf der Hand. Insbesondere damit noch ausstehenden Ansprüche beider Seiten geltend ge-
1 ErfK/Wank, 12. Aufl. 2012, § 32 BDSG Rz. 28; Simitis/Seifert, § 32 BDSG Rz. 135. 2 Simitis/Seifert, § 32 BDSG Rz. 135. 3 HWK/Lembke, § 32 BDSG Rz. 15. 4 Vgl. unter Rz. 137. 5 HWK/Lembke, § 32 BDSG Rz. 15; Simitis/Seifert, § 32 BDSG Rz. 140.
Stamer/Kuhnke 811
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
macht und beglichen werden können, müssen die hierfür erforderlichen Daten erhoben und verwendet werden1. 150 Auch nach Beendigung des Arbeitsverhältnisses kann eine Erhebung, Verarbeitung oder Nutzung von Arbeitnehmerdaten erforderlich sein. Nach § 35 Abs. 2 Nr. 3 BDSG sind zwar solche Daten zu löschen, die für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, allerdings gibt es auch nach Beendigung des Arbeitsverhältnisses Konstellationen, in denen der Arbeitgeber auf die Daten des Arbeitnehmers weiterhin angewiesen ist2, so dass ihre Aufbewahrung erforderlich bleibt. Dies gilt z.B. wenn aus dem Arbeitsverhältnis nachvertragliche Pflichten – bspw. ein Wettbewerbsverbot – resultieren, aber auch dann, wenn der Arbeitgeber per Gesetz zur Aufbewahrung von Unterlagen oder Speicherung von Daten verpflichtet ist3. Die Speicherung der für diese Zwecke konkret benötigten Daten ist damit zulässig. Aber auch unabhängig von diesen vertraglichen oder gesetzlichen Bindungen muss der Arbeitgeber befugt sei auch über einen längeren Zeitraum zumindest die Stammdaten und die damit verbundenen Daten der Arbeitnehmer zu speichern, um ggf. ihre Tätigkeit im Unternehmen zum Beispiel im Hinblick auf nachvertragliche Pflichtverletzungen darlegen zu können4. X. Rechtsfolgen von Verstößen gegen den Beschäftigtendatenschutz 151 Die Rechtsfolgen von Verstößen gegen den Beschäftigtendatenschutz sind unterschiedlich. In Betracht kommen vertragliche wie deliktsrechtliche Schadenersatzansprüche nach §§ 280, 311 Abs. 2 BGB oder § 823 BGB. Im Falle von Diskriminierungen folgen Ansprüche überdies aus § 15 AGG. Eine Schadenersatzhaftung der verantwortlichen Stelle ordnet zudem § 7 an (dazu § 7 Rz. 5). § 35 regelt die Berichtigung, Sperrung und Löschung unbefugt gespeicherter Daten (dazu § 35 Rz. 9 ff.). In Betracht kommt weiter ein allgemeiner Beseitigungs- und Unterlassungsanspruch nach § 1004 sowie ein Gegendarstellungsanspruch nach § 83
1 Simitis/Seifert, § 32 BDSG Rz. 140. 2 ErfK/Wank, § 32 BDSG Rz. 28; für ein sehr weitgehendes Speicherungsrecht Gola/Schomerus, § 32 BDSG Rz. 23. 3 HWK/Lembke, § 32 BDSG Rz. 15. 4 Das BAG begründet im Urteil v. 16.11.2010 – 9 AZR 573/09, NJW 2011, 1306 eine Pflicht des Arbeitgebers, dem Arbeitnehmer auch nach Beendigung des Arbeitsverhältnisses Einsicht in seine Personalakte zu gewähren, so dass hieraus gefolgert werden kann, dass der Senat grundsätzlich keine Zweifel an der Rechtmäßigkeit der Aufbewahrung einer solchen Personalakte hat.
812 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
Abs. 2 BetrVG bzw. § 26 Abs. 2 Satz 4 SprAuG. Unter Umständen hat der Beschäftigte ein Zurückbehaltungsrecht hinsichtlich seiner Arbeitsleistung. Überdies bestehen Beschwerderechte nach § 84 BetrVG. Auch kann der Beschäftigte Anzeige bei den Datenschutzbehörden erstatten. Nach §§ 43 Abs. 2, 44 sind Verstöße gegen § 32 Ordnungswidrigkeiten bzw. u.U. Straftaten (dazu ausführlich § 43 Rz. 9 und § 44 Rz. 2)1. Wie bereits ausgeführt, ist auch eine Verletzung des Fernmeldegeheimnisses, soweit einschlägig, strafbar. In verfahrensrechtlicher Hinsicht kommen Beweisverwertungsverbote in Betracht (dazu ausführlich unter Rz. 137 ff. oben). XI. Beteiligungsrechte der Interessenvertretungen der Beschäftigten § 32 Abs. 3 stellt klar, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben2. Die Gesetzesbegründung verweist beispielhaft auf § 87 Abs. 1 Nr. 6 BetrVG sowie § 75 Abs. 3 Nr. 17 BPersVG bei Einführung und Anwendung technischer Einrichtungen durch den Arbeitgeber zur Überwachung von Verhalten und Leistung der Beschäftigten3. Interessenvertretungen i.S.d. Vorschrift sind auch die Sprecherausschüsse der leitenden Angestellten sowie Mitarbeitervertretungen auf Grundlage kirchenrechtlicher Vorschriften. Der betriebliche Datenschutzbeauftragte ist dagegen keine solche Interessenvertretung4.
152
1. Betriebsrat Betriebsvereinbarungen können nach der Rechtsprechung des BAG5 und der überwiegenden Meinung in der Literatur6 Erlaubnistatbestand i.S.d. § 4 Abs. 1 sein (dazu näher oben Rz. 85 und § 4 Rz. 3). § 4 Abs. 1 BDSG-E 2010 regelt dies explizit7. In der zitierten Entscheidung betreffend die Telefondatenerfassung hatte das BAG dabei angenommen, eine Betriebsvereinbarung oder ein Spruch der Einigungsstelle könnten auch zuungunsten der Arbeitnehmer von den Vorschriften des BDSG abweichen.
1 Ausführlich zu den Rechtsfolgen sowie zu arbeitsrechtlichen Maßnahmen gegen die Verantwortlichen Dzida/Grau, ZIP 2012, 504; Forst, AuR 2010, 106. 2 Siehe auch § 32l Abs. 3 BDSG-E 2010, BT-Drucks. 535/10. 3 BT-Drucks. 16/13657, S. 21. 4 Simitis/Seifert, § 32 BDSG Rz. 145. 5 BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 634. 6 Gola/Wronka, Rz. 242; Thüsing Arbeitnehmerdatenschutz und Compliance, Rz. 102; Kort, RDV 2012, 8. 7 BT-Drucks. 535/10.
Stamer/Kuhnke 813
153
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
Sie müssten sich im Rahmen der Regelungskompetenz der Betriebspartner halten und den Grundsätzen über den Persönlichkeitsschutz des Arbeitnehmers im Arbeitsverhältnis Rechnung tragen1. Gleichwohl wird zwischenzeitlich teilweise angenommen, Betriebsvereinbarungen dürften nicht „hinter dem Niveau“ des BDSG zurückbleiben2. Wenn man annimmt, eine Betriebsvereinbarung sei Erlaubnistatbestand i.S.d. § 4 Abs. 1, ist es aber nur folgerichtig, dass durch Betriebsvereinbarung von den Vorschriften des BDSG zuungunsten der Arbeitnehmer abgewichen werden kann. Dies gilt auch für freiwillige Betriebsvereinbarungen nach § 88 BetrVG. Gleichwohl müssen die Betriebspartner nach § 75 Abs. 2 S. 1 BetrVG auch das allgemeine Persönlichkeitsrecht nach Art. 2 Abs. 1 iVm Art. 1 Abs. 1 GG beachten. Dies führt im Rahmen der Verhältnismäßigkeit mitunter zu dem Ergebnis, dass eine Datenverarbeitung, für die das BDSG keine Rechtsgrundlage bereithält, auch auf Grundlage einer Betriebsvereinbarung unzulässig – weil unverhältnismäßig – sein kann3. 154 Stellt der Betriebsrat datenschutzrechtliche Missstände im Betrieb fest, ist er aufgrund des Gebots der vertrauensvollen Zusammenarbeit nach § 2 Abs. 1 BetrVG verpflichtet, diese zunächst betriebsintern zu klären4. a) Eigener Umgang des Betriebsrats mit Beschäftigtendaten 155 Nach der Rechtsprechung des BAG5 sowie der herrschenden Ansicht in der Literatur6 ist der Betriebsrat nicht selbst „verantwortliche Stelle“ i.S.v. § 3 Abs. 7, sondern vielmehr Teil der verantwortlichen Stelle „Arbeitgeber“ (dazu näher § 3 Rz. 66 ff.). Bislang war das BAG weiter davon ausgegangen, dass der betriebliche Datenschutzbeauftragte den Betriebsrat nicht kontrollieren könne7. In einer jüngeren Entscheidung hat das
1 BAG v. 27.5.1986 – 1 ABR 48/84, NZA 1986, 634. 2 Simitis/Simitis, § 2 BDSG Rz. 160; Simitis/Sokol, § 4 BDSG Rz. 17. 3 Zur Zulässigkeit von Videoüberwachungsmaßnahmen am Arbeitsplatz vgl. BAG v. 29.6.2004 – 1 ABR 21/03, NZA 2004, 1278; zur Fragestellung i.ü. Thüsing, Compliance, Rz. 116, der von einer Kontrolle spricht, die mit den Vorgaben des BDSG „vergleichbar“, aber „um einige Pegelstriche großzügiger“ ist; Franzen, RdA 2010, 257 (260); Wybitul, Handbuch Datenschutz im Unternehmen, Rz. 221. 4 Kort, RDV 2012, 8 (12). 5 BAG v. 12.8.2009 – 7 ABR 15/08, NZA 2009, 1218. 6 Dazu Kort, RDV 2012, 8. 7 BAG v. 11.11.1997 – 1 ABR 21/97, NZA 1998, 385.
814 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
BAG diese Frage offengelassen1. Wiederum gehört die Kontrolle des Datenschutzbeauftragten zu den Aufgaben des Betriebsrats2. Im Rahmen der Ausübung seines Amtes werden dem Betriebsrat per- 156 sonenbezogene Daten durch den Arbeitgeber bereitgestellt, der Betriebsrat erhebt oder verarbeitet aber auch selbst personenbezogene Daten von Arbeitnehmern. Da der Betriebsrat Teil der verantwortlichen Stelle ist, ist die Bereitstellung solcher Daten durch den Arbeitgeber als Datennutzung nach § 3 Abs. 5 und nicht etwa als Datenweitergabe nach § 3 Abs. 4 anzusehen3. Die Bereitstellung an den Betriebsrat ist dabei an § 32 sowie ggf. an der subsidiären Vorschrift in § 28 zu messen. Sie ist zulässig, wenn ein Bezug zu den Aufgaben des Betriebsrats besteht4. Besteht kein solcher Bezug, ist die Datennutzung durch den Arbeitgeber und in der Folge auch die Datennutzung durch den Betriebsrat unzulässig. Die eigene Datenerhebung sowie Nutzung von durch den Arbeitgeber be- 157 reitgestellten Daten sind ebenfalls an § 32 und ggf. an § 28 zu messen5. Auch insoweit ist die Datenerhebung, -verarbeitung und -nutzung für die Wahrnehmung der gesetzlichen Aufgaben des Betriebsrats zulässig6. Taugliche Rechtsgrundlage ist u.a. § 80 Abs. 1 BetrVG, der die allgemeinen Aufgaben des Betriebsrats formuliert. Die Grenzen des Aufgabenbereichs bilden dabei die Zulässigkeitsgrenzen der Datenerhebung, -verarbeitung und -nutzung. Weitere Grenzen ergeben sich aus dem Grundsatz der Datensparsamkeit nach § 3a, u.U. den Vorschriften in §§ 9, 317 sowie dem Recht auf informationelle Selbstbestimmung der Beschäftigten nach § 75 Abs. 2 Satz 1 BetrVG8. Der Betriebsrat hat daher, soweit dies zur Aufgabenwahrnehmung ausreichend ist, mit anonymisierten
1 BAG v. 23.3.2011 – 10 AZR 562/09, BB 2011, 2683 mit Anm. Wybitul zur Kompatibilität des Betriebsratsamts sowie des Amts als Datenschutzbeauftragter. 2 BAG v. 22.3.1994, AP BetrVG 1972, § 99 Versetzung Nr. 4 zur Bestellung eines Datenschutzbeauftragten. 3 Gola/Schomerus, § 3 BDSG Rz. 49. 4 Däubler, Gläserne Belegschaften?, Rz. 633 ff.; Simitis/Seifert, § 32 BDSG Rz. 170; Gola/Wronka, Rz. 1924; Kort, RDV 2012, 8 (11); zur Zulässigkeit der Weitergabe personenbezogener Daten von Arbeitnehmern an den Betriebsrat im Zusammenhang mit betrieblichem Eingliederungsmanagement siehe BAG v. 7.2.2012 – 1 ABR 46/10, DB 2012, 1517. 5 Kort, RDV 2012, 8 (10). 6 Däubler, Gläserne Belegschaften?, Rz. 633 ff.; Simitis/Seifert, § 32 BDSG, Rz. 170; Gola/Wronka, Rz. 1924; Kort, RDV 2012, 8 (11). 7 Dazu BAG v. 12.8.2009 – 7 ABR 15/08, NZA 2009, 1218. 8 Kort, RDV 2012, 8 (11).
Stamer/Kuhnke 815
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
oder pseudonymisierten Daten zu arbeiten1 und muss sich auf die für die Wahrnehmung der gesetzlichen Aufgaben erforderlichen Datenerhebungen und -verwendungen beschränken. Hat der Betriebsrat beispielsweise nur ein Einsichtnahmerecht in Unterlagen, wäre eine auf Dauer angelegte Datenspeicherung unzulässig2. Eine Datenerhebung und -nutzung über die gesetzlichen Aufgaben des Betriebsrats hinaus wäre allerdings u.U. nach vorheriger Einwilligung der Betroffenen möglich3. 158 Betriebsratsmitglieder sind an das Datengeheimnis nach § 5 gebunden. Überdies bestehen betriebsverfassungsrechtliche Geheimhaltungsvorschriften, beispielsweise nach § 99 Abs. 3 BetrVG sowie allgemein nach § 75 Abs. 2 BetrVG4. Die Weitergabe von Beschäftigtendaten beispielsweise an Gewerkschaften ist daher im Regelfall unzulässig5. b) Mitbestimmungsrechte des Betriebsrats 159 Die Beteiligungsrechte des Betriebsrats in beschäftigtendatenschutzrelevanten Bereichen sind ausgesprochen vielfältig. Insbesondere kommt das erzwingbare Mitbestimmungsrecht im Bereich der Überwachung von Arbeitnehmerleistung und -verhalten nach § 87 Abs. 1 Nr. 6 BetrVG in Betracht, auf das sich auch die Gesetzesbegründung bezieht6. Zu beachten ist freilich der Gesetzes- und Tarifvorbehalt tarifgebundener Arbeitgeber nach § 87 Abs. 1 Eingangssatz BetrVG. So sind Arbeitgeber u.U. zu einem Abgleich personenbezogener Beschäftigtendaten mit sog. Sanktionslisten, die auf den in den Mitgliedstaaten unmittelbar anwendbaren EU-Verordnungen EG Nr. 2580/2001 vom 27. Dezember 2001 sowie EG Nr. 881/2002 des Rates vom 27. Mai 2002 beruhen, verpflichtet7. Überdies erfasst das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG 1 Däubler/Kittner/Klebe/Wedde/Klebe, § 94 BetrVG, Rz. 53; Simitis/Seifert, § 32 BDSG Rz. 173. 2 BVerwG v. 4.9.1990, NJW 1991, 375, in Bezug auf die Rechte des Personalrats; Gola/Wronka, Rz. 259, 1924 und 1955; Simitis/Seifert, § 32 BDSG Rz. 171; Jordan/Bissels/Löw, BB 2010, 2889 (2892); zu der Frage, ob ein Betriebsrat berechtigt ist, ein eigenes Personalinformationssystem aufzubauen siehe Kort, RDV 2012, 8 (10 f.); Simitis/Seifert, § 32 BDSG Rz. 173. 3 Simitis/Seifert, § 32 BDSG Rz. 173. 4 Däubler/Kittner/Klebe/Wedde/Buschmann, § 79 BetrVG Rz. 40. 5 Däubler/Klebe/Wedde/Weichert/Däubler, § 28 BDSG Rz. 29. 6 BT-Drucks. 16/13657, S. 37. 7 Zu Mitbestimmungsrechten des Betriebsrats vgl. ArbG Dessau-Roßlau v. 17.6.2009 – 1 BV 1/09; zum Sanktionslisten-Screening vgl. auch FG Düsseldorf v. 1.6.2011 – 4 K 3063/10, RDV 2012, 92 (Revision beim BFH anhängig unter VII R 43/11).
816 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
lediglich Überwachungen mittels technischer Einrichtungen. Datenerhebungen durch Privatdetektive, Vorgesetzte oder Testkäufer fallen demgegenüber nicht unter § 87 Abs. 1 Nr. 6 BetrVG1. Andererseits genügt es, wenn die technische Einrichtung objektiv zur Überwachung geeignet ist; auf den subjektiven Willen des Arbeitgebers, entsprechende Möglichkeiten zu nutzen, kommt es nicht an2. Der Einfluss des Betriebsrats auf Datenerhebungen des Arbeitgebers ist dementsprechend vielfältig, beispielhaft genannt seien Zeiterfassungssysteme, Zugangskontrollen, Videoüberwachungsmaßnahmen, Bildschirmarbeitsplätze, Personalinformationssysteme sowie die Erfassung betrieblicher Telefon-, E-Mail- und weiterer Kommunikationsdaten3. Das Mitbestimmungsrecht des Betriebsrats nach § 94 BetrVG betrifft 160 Personalfragebögen, Angaben in schriftlichen Arbeitsverträgen sowie die Aufstellung allgemeiner Beurteilungsgrundsätze. Für das Mitbestimmungsrecht im Zusammenhang mit Personalfragebögen genügt dabei, dass personenbezogene Daten auf einem Datenträger erfasst werden4. Unerheblich ist, ob die befragte Person selbst den Fragebogen ausfüllt oder ein Dritter dies tut. Im Übrigen ersetzt die kollektivrechtliche Zulässigkeit nicht die individualrechtliche. Zweck der Mitbestimmung ist vielmehr, dass die Schranken des Fragerechts sowie insbesondere des AGG beachtet werden (dazu ausführlich Rz. 23 ff. und 41 ff.)5. Ein Mitbestimmungsrecht des Betriebsrats nach § 94 Abs. 2 BetrVG bei der Aufstellung allgemeiner Beurteilungsgrundsätze setzt voraus, dass sich diese Grundsätze auf die Person des Arbeitnehmers beziehen. Stellenbeschreibungen und Arbeitsplatzbewertungen sind demnach keine Beurteilungsgrundsätze i.S.v. § 94 Abs. 2 BetrVG; auch Anforderungsprofile sind keine Beurteilungsgrundsätze6. Mit einer Datenerhebung verbunden ist ebenfalls die Aufstellung von Auswahlrichtlinien nach § 95 Abs. 1 BetrVG7. Macht der Arbeitgeber
1 Simitis/Seifert, § 32 BDSG Rz. 160. 2 St. Rspr. seit BAG v. 9.9.1975 – 1 ABR 20/74, AP, BetrVG 1972, § 87, Überwachung Nr. 2; BAG v. 23.4.1985 – 1 ABR 39/81, AP, BetrVG 1972, § 87, Überwachung Nr. 11. 3 Wollenschläger, Rz. 1170 f.; Simitis/Seifert, § 32 BDSG Rz. 162 f.; näher zu den Voraussetzungen des § 87 Abs. 1 Nr. 6 BetrVG im beschäftigtendatenschutzrechtlichen Kontext: Däubler, Gläserne Belegschaften?, Rz. 708 ff. 4 Richardi/Thüsing, § 94 BetrVG Rz. 6. 5 Richardi/Thüsing, § 94 BetrVG Rz. 11; Simitis/Seifert, § 32 BDSG Rz. 154. 6 Richardi/Thüsing, § 94 BetrVG Rz. 55. 7 Däubler, Gläserne Belegschaften?, Rz. 682.
Stamer/Kuhnke 817
161
BDSG § 32
Datenverarbeitung nicht-öffentlicher Stellen
beispielsweise Einstellungen von bestimmten Ergebnissen eines Mitarbeiter-Screenings abhängig, kommt ein Mitbestimmungsrecht des Betriebsrats hinsichtlich der beschäftigten Arbeitnehmer aber auch hinsichtlich Bewerbern in Betracht. c) Zuständiges Gremium 162 Nach der Zuständigkeitsordnung des BetrVG ist grundsätzlich zunächst der örtliche Betriebsrat zuständig. Eine originäre Zuständigkeit des Gesamtbetriebsrats bzw. des Konzernbetriebsrats besteht nur bei Angelegenheiten, die das Gesamtunternehmen oder mehrere Betriebe bzw. den gesamten Konzern oder mehrere Unternehmen betreffen und nicht durch die lokalen Betriebsräte bzw. Gesamtbetriebsräte geregelt werden können. Es müssen daher zwingende Erfordernisse für eine betriebsoder unternehmensübergreifende Regelung vorliegen, wobei auf die Verhältnisse der einzelnen Konzerne und Unternehmen abzustellen ist. Die originäre Zuständigkeit des Gesamtbetriebsrates bzw. des Konzernbetriebsrats kann sich aus objektiv zwingenden Gründen oder aus der „subjektiven Unmöglichkeit“ einer Regelung auf Betriebs- oder Unternehmensebene ergeben1. Maßgeblich ist daher abzustellen auf den Inhalt und die Ziele der geplanten Regelung. Soweit sich diese nur durch eine einheitliche Regelung auf Unternehmens- oder Konzernebene erreichen lassen, ist der Gesamtbetriebsrat bzw. der Konzernbetriebsrat zuständig. Soweit im Hinblick auf eine bestimmte Angelegenheit eine originäre Zuständigkeit des Gesamt- oder Konzernbetriebsrats nicht in Betracht kommt, können die lokalen Betriebsräte oder die Gesamtbetriebsräte dennoch durch Delegation den Gesamt- bzw. Konzernbetriebsrat beauftragen, die Mitbestimmungsrechte wahrzunehmen (vgl. §§ 50 Abs. 2 und 58 Abs. 2 BetrVG). 163 Hieraus folgt im Hinblick auf Betriebsvereinbarungen mit datenschutzrechtlichem Bezug, dass eine originäre Zuständigkeit des Gesamtbetriebsrats bzw. des Konzernbetriebsrats dann gegeben ist, wenn unternehmens- oder konzernweit einheitliche EDV-2 oder Telefonsysteme3 eingeführt werden sollen. Auch im Hinblick auf Betriebsvereinbarungen zur Nutzung von E-Mail und Internet ist eine Regelung auf Unternehmens- oder Konzernebene zwingend erforderlich, da im Hinblick auf die
1 BAG v. 19.6.2007 – 1 AZR 454/06, NZA 2007, 1184 (1186). 2 BAG v. 14.11.2006 – 1 ABR 4/06, NZA 2007, 399. 3 BAG v. 11.11.1998 – 7 ABR 47/97, NZA 1999, 947.
818 Stamer/Kuhnke
Datenerhebung für Zwecke des Beschäftigungsverhältnisses
§ 32 BDSG
konzerninterne Kommunikation und deren Überwachung einheitliche Schutzstandards bestehen müssen. Andernfalls könnte es zu impraktikablen Verwerfungen kommen, wenn in manchen Betrieben oder Unternehmen eines Konzerns z.B. die E-Mail-Nutzung verboten ist und in anderen Teilen erlaubt. Auch im Hinblick auf Maßnahmen, die der Korruptionsbekämpfung dienen, wie etwa Massenscreenings, ist ein effektives Vorgehen nur mit einheitlichen Prüfstandards und Konsequenzen möglich, so dass auch hier eine Zuständigkeit des Konzernbetriebsrats gegeben ist1. Etwas anders könnte nur dann gelten, wenn bestimmte Überwachungsmaßnahmen ausschließlich auf lokaler Ebene eingeführt werden, wie etwa eine Videoüberwachung in einem Betrieb des Unternehmens oder Konzerns. Auch im Falle der Einführung von konzerneinheitlichen Personalfragebögen oder Beurteilungsgrundsätzen, ist der Konzernbetriebsrat zur Wahrnehmung des Mitbestimmungsrechts nach § 94 BetrVG zuständig2. 2. Andere Interessenvertretungen In öffentlichen Verwaltungen nimmt der Personalrat die Aufgaben des 164 Betriebsrats wahr, vgl. § 130 BetrVG und § 112 BPersVG. Sein Einfluss auf den Beschäftigtendatenschutz ähnelt weitgehend der beschriebenen Rechtslage bei Betriebsräten3. Zu bemerken ist insoweit allerdings, dass nach § 12 Abs. 1 und 4 die Vorschrift nach § 32 nur für die öffentlichen Stellen des Bundes gilt (dazu näher § 12 Rz. 5). Das Äquivalent zu § 87 Abs. 1 Nr. 6 BetrVG ist der in der Gesetzesbegründung ebenfalls zitierte § 75 Abs. 3 Nr. 17 BPersVG4. Mitbestimmungsrechte des Personalrates bei Fragebögen regeln §§ 75 Abs. 3 Nr. 8, 76 Abs. 2 Nr. 2 BPersVG. Für leitende Mitarbeiter kann der Sprecherausschuss Unterrichtungsund Beratungsansprüche, allerdings keine weitergehenden Mitbestimmungsrechte reklamieren5. Nach § 27 Abs. 2 SprAuG haben Arbeitgeber und Sprecherausschuss die freie Entfaltung der Persönlichkeit der leitenden Angestellten zu schützen und zu fördern.
1 Vgl. Kock/Francke, NZA 2009, 646 (650). 2 Vgl. LAG Baden-Württemberg v. 12.6.1995 – 16 TaBV 12/94; LAG Düsseldorf v. 6.3.2009 – 9 TaBV 347/08, AE 2009, 206. 3 Simitis/Seifert, § 32 BDSG Rz. 174 ff.; Däubler, Gläserne Belegschaften?, Rz. 839 ff. 4 Däubler, Gläserne Belegschaften?, Rz. 314. 5 Simitis/Seifert, § 32 BDSG Rz. 179.
Stamer/Kuhnke 819
165
BDSG § 33
Datenverarbeitung nicht-öffentlicher Stellen
166 In kirchlichen Einrichtungen werden die Beschäftigten im Betrieb von Vertretungen repräsentiert, die sich nach dem jeweiligen autonomen Mitarbeitervertretungsrecht bestimmen1. 167 Gewerkschaften sind keine Interessenvertretungen der Beschäftigten i.S.v. § 32 Abs. 3. Allerdings kann auch ein Tarifvertrag Rechtsgrundlage für eine Datenerhebung des Arbeitgebers sein2.
Zweiter Unterabschnitt Rechte des Betroffenen Benachrichtigung des Betroffenen (1) 1Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen. 2Werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der erstmaligen Übermittlung und der Art der übermittelten Daten zu benachrichtigen. 3Der Betroffene ist in den Fällen der Sätze 1 und 2 auch über die Kategorien von Empfängern zu unterrichten, soweit er nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss.
33
(2) 1Eine Pflicht zur Benachrichtigung besteht nicht, wenn 1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat, 2. die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich der Datensicherung oder der Datenschutzkontrolle dienen und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde, 3. die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen des überwiegenden rechtlichen Interesses eines Dritten, geheimgehalten werden müssen,
1 BVerfG v. 11.10.1977 – 2 BvR 209/76, NJW 1978, 581; vgl. dazu auch Simitis/ Seifert, § 32 BDSG Rz. 181. 2 BAG v. 25.6.2002 – 9 AZR 405/00, NZA 2003, 275.
820 Stamer/Kuhnke/Kamlah
§ 33 BDSG
Benachrichtigung des Betroffenen
4. die Speicherung oder Übermittlung durch Gesetz ausdrücklich vorgesehen ist, 5. die Speicherung oder Übermittlung für Zwecke der wissenschaftlichen Forschung erforderlich ist und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde, 6. die zuständige öffentliche Stelle gegenüber der verantwortlichen Stelle festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde, 7. die Daten für eigene Zwecke gespeichert sind und a) aus allgemein zugänglichen Quellen entnommen sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist, oder b) die Benachrichtigung die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es sei denn, dass das Interesse an der Benachrichtigung die Gefährdung überwiegt, 8. die Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert sind und a) aus allgemein zugänglichen Quellen entnommen sind, soweit sie sich auf diejenigen Personen beziehen, die diese Daten veröffentlicht haben, oder b) es sich um listenmäßig oder sonst zusammengefasste Daten handelt (§ 29 Absatz 2 Satz 2) und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist, 9. aus allgemein zugänglichen Quellen entnommene Daten geschäftsmäßig für Zwecke der Markt- oder Meinungsforschung gespeichert sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist. 2Die verantwortliche Stelle legt schriftlich fest, unter welchen Voraussetzungen von einer Benachrichtigung nach Satz 1 Nr. 2 bis 7 abgesehen wird. I. Einführung . . . . . . . . . . . . . . . .
1
II. Anwendungsbereich . . . . . . . . 1. Benachrichtigung bei Speicherung zu eigenen Zwecken (Abs. 1 Satz 1 und 3) . . . . . . . .
4
5
2. Benachrichtigung bei Speicherung zum Zwecke der Übermittlung (Abs. 1 Satz 2 und 3). . . . . . . . . . . . . . . . . . . . . 19 III. Ausnahmen von der Pflicht zu Benachrichtigung (Abs. 2) . 22
Kamlah 821
BDSG § 33 1. Kenntnis auf sonstige Weise (Abs. 2 Nr. 1) . . . . . . . . . . . . . . a) Direkterhebung (§ 4 Abs. 3) . . . . . . . . . . . . . . b) Einwilligung . . . . . . . . . . . . c) Sonstige Unterrichtungspflichten . . . . . . . . . . . . . . . d) Sonstige Kenntnisnahme . . 2. Aufbewahrungspflichten und Datenschutzkontrolle (Abs. 2 Nr. 2) . . . . . . . . . . . . . . . . . . . . . 3. Geheime Daten (Abs. 2 Nr. 3) 4. Gesetzliche angeordnete Datenverarbeitung (Abs. 2 Nr. 4)
Datenverarbeitung nicht-öffentlicher Stellen
23 24 26 27 28
32 37 41
5. Datenverarbeitung zum Zwecke der wissenschaftlichen Forschung (Abs. 2 Nr. 5) . . . . . 6. Gefährdung der Sicherheit und Ordnung (Abs. 2 Nr. 6) . . . 7. Öffentliche Daten (Abs. 2 Nr. 7a, 8a und 9) . . . . . . . . . . . . 8. Gefährdung eigener Geschäftszwecke (Abs. 2 Nr. 7b) . 9. Listendaten (Abs. 2 Nr. 8b) . . .
42 44 46 52 53
IV. Dokumentation der zugrunde gelegten Ausnahme . . . . . . . . . 55 V. Rechtsfolgen/Sanktionen . . . . 58
Schrifttum: Siehe §§ 6a, 28a und § 34; ferner Göpfert/Meyer, Datenschutz bei Unternehmenskauf: Due Dilligence und Betriebsübergang, NZA 2011, 486; Selk, Datenschutz bei Unternehmenstransaktionen – Ein Überblick über Rechtslage und Diskussionsstand sowie Auswirkungen der BDSG-Novelle II, RDV 2009, 254.
I. Einführung 1 § 33 regelt die Pflicht zur Benachrichtigung, wenn personenbezogene Daten ohne Kenntnis des Betroffenen gespeichert werden. Ob die Speicherung an sich rechtmäßig ist, ergibt sich aus den einschlägigen Zulässigkeitsnormen. Die Benachrichtigung ist aber keine Zulässigkeitsvoraussetzung. Die Datenverarbeitung ohne Kenntnis des Betroffenen wird vor allem im Bereich der Tätigkeit von Detekteien oder Sicherheitsdiensten relevant1. Neben § 34 BDSG ist § 33 die zentrale Transparenzvorschrift, die den Betroffenen in die Lage versetzen soll, über die Information der erfolgten Datenverarbeitung ggf. weitergehende Rechte geltend machen zu können. Wie bei § 34 wohnt auch dem § 33 die Überlegung inne, dass die Wahrung von Rechten erst dann gegeben ist, wenn der Betroffene vorher in die Lage versetzt wird, ausreichend Kenntnis über die Datenverarbeitung zu erlangen2. 2 Die Anordnung der §§ 33–35 hat dabei eine innere Logik. Erfolgt die Datenverarbeitung ohne Kenntnis des Betroffenen, ist er zu benachrichtigen. Er ist dann erst überhaupt in der Lage, gezielt bei der verantwort1 Zur Diskussion im Bereich des Arbeitnehmerdatenschutzes, s. Entwurf eines Gesetzes zum Beschäftigtendatenschutz, BT-Drucks. 17/4230. 2 Zum grundsätzlichen Unterschied zwischen § 33 und § 34 Simitis/Dix, § 33 BDSG Rz. 3 und § 34 BDSG Rz. 6.
822 Kamlah
Benachrichtigung des Betroffenen
§ 33 BDSG
lichen Stelle Auskunft nach § 34 zu verlangen1. Ohne Kenntnis der verantwortlichen Stelle über § 33 müsste der Betroffene Auskunftsersuchen quasi „ins Blaue hinein“ richten. In Kenntnis der bei der verantwortlichen Stelle gespeicherten Daten kann der Betroffene dann seine Rechte nach § 35 geltend machen. Bereits aus dem Wortlaut der §§ 33 und 34 ergibt sich, dass die verantwortliche Stelle eine unterschiedliche Transparenztiefe zu leisten hat. Die Vorschriften der §§ 33–35 stehen damit in einem Stufenverhältnis2. Wesentliche Aufgabe des § 33 ist es, allgemein darüber zu informieren, dass und bei wem Daten verarbeitet oder genutzt werden. Der Betroffene kann sich dann – bei Interesse – gezielt an die verantwortliche Stelle wenden. Nach § 34 hat dann der Betroffene die Möglichkeit, detailliert Auskunft zu erhalten, um mit Hilfe dieser Informationen, insbesondere seine Rechte aus § 35 geltend zu machen. § 33 und § 34 haben damit abgestufte Funktionen, weswegen die Anforderungen an den Inhalt der gesetzlichen Benachrichtigung nach § 33 nicht überspannt und die Anforderungen nach § 34 nicht in den § 33 hineingelesen werden dürfen. Damit ist § 33 also die Einstiegsnorm der Verfahrensrechte3, die die nötige Transparenz zugunsten des Betroffenen herstellt. Die Schaffung dieser nötigen Transparenz ist allerdings dann nicht mehr nötig, wenn diese bereits auf andere Weise hergestellt worden ist (s. § 33 Abs. 2). Damit soll insbesondere vermieden werden, dass die Betroffenen wiederholt über Selbstverständlichkeiten informiert werden.
3
II. Anwendungsbereich Der Anwendungsbereich bestimmt sich nach § 1 Abs. 3 (s. dort) und nach § 27 (s. dort, s. auch § 28a)4. Umstritten ist die Anwendung des § 33 bei Bewertungsportalen5. § 33 formuliert in Abs. 1 zwei Anwendungsfälle, die eine Benachrichtigungspflicht auslösen. Dabei spielt zunächst allein die Verarbeitungsvariante der Speicherung tatbestandlich eine Rolle. Abs. 1 Satz 2 enthält 1 2 3 4
Simitis/Dix, § 34 BDSG Rz. 3. Simitis/Dix, § 33 BDSG Rz. 44 spricht von Vorstufe des Auskunftsrechts. Eingehend Simitis/Dix, § 34 BDSG Rz. 1 ff. Für eine ausnahmslose Anwendung des dritten Abschnitts des BDSG bei der Verarbeitung von Daten in Akten Simitis/Dix, § 33 BDSG Rz. 6. 5 Zur Anwendbarkeit von § 33 bei Bewertungsportalen Anmerkung Rössel zu OLG Hamburg v. 2.8.2011 – 7 U 134/10, ITRB 2011, 276; zur völligen Unanwendbarkeit der Benachrichtigungspflicht bei Bewertungsportalen Härting, CR 2009, 21 (26 f.).
Kamlah 823
4
BDSG § 33
Datenverarbeitung nicht-öffentlicher Stellen
eine Sonderregelung für Stellen, die geschäftsmäßig Daten zum Zwecke der Übermittlung speichern (vgl. § 29 Abs. 1). Dementsprechend gilt Abs. 1 Satz 1 für die Speicherung zur Erfüllung eigener Geschäftszwecke. Beide Sätze des Absatzes 1 beschreiben einen tatbestandlichen Teil und eine daran anknüpfende Rechtsfolge. 1. Benachrichtigung bei Speicherung zu eigenen Zwecken (Abs. 1 Satz 1 und 3) 5 Tatbestandlich setzt Abs. 1 Satz 1 voraus, dass erstmals personenbezogene Daten für eigene Zwecke (s. § 28 oder auch § 32) ohne Kenntnis des Betroffenen (§ 3 Abs. 1) gespeichert werden. Der Begriff der Speicherung wird in § 3 Abs. 4 Nr. 1 definiert. 6 Wesentliches Tatbestandsmerkmal ist, dass die Speicherung ohne Kenntnis des Betroffenen erfolgt sein muss. Daher besteht konsequenterweise keine Pflicht zur gesetzlichen Benachrichtigung, wenn der Betroffene auf andere Weise Kenntnis von der Speicherung oder Übermittlung erlangt hat (s. Abs. 2). 7 Bei der Speicherung, die eine Benachrichtigungspflicht auslöst, muss es sich um eine erstmalige Speicherung personenbezogener Daten handeln. Dabei kommt es nicht darauf an, um welche Art von personenbezogenen Daten es sich handelt, die erstmalig gespeichert wurde, sondern nur darum, dass die erstmalige Speicherung personenbezogener Daten überhaupt erfolgt. Es kommt auch nicht darauf an, ob später weitere – ggf. andere – personenbezogene Daten gespeichert werden. Lediglich die initiale Speicherung durch die verantwortliche Stelle löst die Benachrichtigungspflicht aus. Das hat Sinn, denn mit der gesetzlichen Benachrichtigung wird der Betroffene über die verantwortliche Stelle informiert und kann dort Auskunftsersuchen nach § 34 stellen1. 8 Praktisch relevant kann die Frage der Verpflichtung der verantwortlichen Stelle zur Benachrichtigung bei erstmaliger Speicherung insbesondere im Rahmen von M&A-Transaktionen werden. Hier wird man zwischen Gesamtrechts- und Einzelrechtsnachfolge unterscheiden müssen. Bei der Gesamtrechtsnachfolge ändert sich die rechtliche Identität 1 Ähnlich Taeger/Gabel/Meents, § 33 BDSG Rz. 9; a.A. Simitis/Dix, § 33 BDSG Rz. 10 ff., der eine Verpflichtung zur Benachrichtigung jedes Mal dann annimmt, wenn nachträglich Daten anderer Art gespeichert werden, so auch Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 8; differenzierend Gola/Schomerus, § 33 BDSG Rz. 16.
824 Kamlah
Benachrichtigung des Betroffenen
§ 33 BDSG
der verantwortlichen Stelle nicht, so dass zumindest dort keine (neue) Benachrichtigungspflicht ausgelöst wird1. Bei der Einzelrechtsnachfolge handelt es sich auf Seiten des Übernehmers um eine erstmalige Speicherung, über die informiert werden muss (zur Frage der Rechtmäßigkeit einer solchen Übermittlung s. § 28). Anders als es der Wortlaut der Vorschrift nahezulegen scheint, wird die 9 Benachrichtigungspflicht erst ausgelöst, wenn die Speicherung2 bereits erfolgt ist. Über eine etwa auch nur kurz bevorstehende Speicherung muss (noch) nicht benachrichtigt werden. Die Informationspflicht dient nicht dazu, den Betroffenen vor einer künftigen Speicherung zu warnen. Als Rechtsfolge bestimmt Abs. 1 Satz 1, dass der Betroffene3 von der 10 Speicherung selbst, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen ist. Das Gesetz schreibt keine Frist oder Form vor. Die Benachrichtigung kann daher in Form eines Briefes, der nicht unterschrieben sein muss, per E-Mail oder aber auch per SMS erfolgen. Allerdings erscheint wegen der Anlage zu § 9 Satz 1 Nr. 4 eine postalische Benachrichtigung geboten zu sein4, wobei potentielle Beeinträchtigungen in der Sphäre des Betroffenen, die etwa durch die Absenderangabe (etwa eines Inkassounternehmens oder einer Auskunftei) auf dem Briefumschlag entstehen könnten, hinzunehmen sind. Darüber hinaus stellt sich die Frage, ob eine gesetzliche Benachrichti- 11 gung in Allgemeinen Geschäftsbedingungen (AGB) erfolgen kann. Anders als die Anforderungen an eine wirksame Einwilligung (§ 4a) setzen die Benachrichtigungspflichten keine Hervorhebung voraus. Insofern ist davon auszugehen, dass eine Benachrichtigung im Rahmen von AGB, die beispielsweise mit einem Katalog zugesendet werden, ausreichend 1 Ähnlich Taeger/Gabel/Meents, § 33 BDSG Rz. 10; Gola/Schomerus, § 33 BDSG Rz. 13; a.A. Simitis/Dix, § 33 BDSG Rz. 10 und 28; Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 9; allgemein zu datenschutzrechtlichen Fragen bei M&A-Transaktionen; Selk, Datenschutz bei Unternehmenstransaktionen, RDV 2009, 254; Göpfert/Meyer, Datenschutz bei Unternehmenskauf: Due Dilligence und Betriebsübergang, NZA 2011, 486. 2 Unerheblich ist, ob die Speicherung „zur Person“ erfolgt, so auch Simitis/Dix, § 33 BDSG Rz. 14 und 60. 3 Daraus, dass der Betroffene konkret angesprochen ergibt sich, dass es beispielsweise nicht ausreicht, wenn ein Hinweis in Verbandsmitteilungen erfolgt, vgl. AG Bremerhaven v. 16.10.1986 – 20 OWi 95 Js (B) 93/84, RDV 1987, 91; Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 17, der dementsprechend auch Aushänge nicht für ausreichend hält. 4 Vgl. Simitis/Dix, § 33 BDSG Rz. 35.
Kamlah 825
BDSG § 33
Datenverarbeitung nicht-öffentlicher Stellen
ist. In der Praxis werden „Datenschutzinformationen“ jedoch in der Regel gesondert ausgewiesen, was aus Transparenzgesichtspunkten auch sinnvoll erscheint. 12 Hinsichtlich der Frist wird der verantwortlichen Stelle ähnlich wie beim Auskunftsrecht nach § 34 eine Bearbeitungszeit zuzubilligen sein (s. dort § 34). Allerdings darf durch eine Verzögerung keine Verkürzung der Rechte des Betroffenen entstehen, beispielsweise weil zwischenzeitlich stattfindende Verarbeitungsvorgänge nicht mehr nachvollzogen werden können. Damit verkürzt sich nach dem Sinn und Zweck der Norm die Bearbeitungszeit je nach Intensität der Verarbeitungstätigkeit der verantwortlichen Stelle1. 13 Sowohl als technisch-organisatorische Maßnahme (s. soeben) wie aber auch aus zivilprozessualen Gründen sollte die verantwortliche Stelle über eine erfolgte Benachrichtigung Nachweis (auch ggü. der Datenschutzaufsichtsbehörde, § 38) führen können (s. auch Abs. 2 Satz 2). Das führt zur Frage, worüber eigentlich im Zweifel (s. § 43 Abs. 1 Nr. 8) Nachweis zu führen ist. Praktisch relevant wird das bei Postrückläufern. Eine Verpflichtung der verantwortlichen Stelle die aktuelle Anschrift des Betroffenen zum Zwecke der Benachrichtigung zu ermitteln, ist dem Gesetz nicht zu entnehmen2. Die verantwortliche Stelle hat vielmehr ihrer gesetzlichen Verpflichtung damit Genüge getan, wenn sie die Benachrichtigung an die Adresse versandt hat, die sie gespeichert hat3. 14 Aus der Formulierung „Art der Daten“ lässt sich schließen, dass nicht über das personenbezogene Datum, welches Gegenstand der erstmaligen Speicherung war im Einzelnen zu benachrichtigen ist, sondern nur über die Art der Daten. Damit ist eine gewisse Abstraktion und Verallgemeinerung möglich4. So kann es ausreichend sein, wenn bei erstmaliger Speicherung beispielsweise von Adresse, Beruf, Geburtsdatum, finanziellen Verpflichtungen, Immobilien oder Vermögensdaten oder ähnlichem gesprochen wird5 (s. zum Begriff „Datenart“ auch § 34).
1 Ausführlich Taeger/Gabel/Meents, § 33 BDSG Rz. 19 ff. 2 A.A. offenbar Däubler in Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 14, undeutlich insoweit auch Simitis/Dix, § 33 BDSG Rz. 21 f. 3 A.A. offenbar Simitis/Dix, § 33 BDSG Rz. 37, der auf den Zugang nach § 130 BGB abstellt. 4 Vgl. Taeger/Gabel/Meents, § 33 BDSG Rz. 14. 5 7. Bericht der hessischen Landesregierung über die Tätigkeit der für den Datenschutz zuständigen Aufsichtsbehörden im nicht-öffentlichen Bereich, LTDrucks. 13/6385, 8; dagegen weitergehend Simitis/Dix, § 33 BDSG Rz. 16.
826 Kamlah
Benachrichtigung des Betroffenen
§ 33 BDSG
Entscheidend i.S.d. Vorschrift ist vielmehr, dass die Identität der verant- 15 wortlichen Stelle genau bezeichnet wird. Hier sind die korrekte und vollständige Firmierung, eine (ladungsfähige) Anschrift am Sitz der verantwortlichen Stelle1 sowie idealerweise ggf. ein Ansprechpartner zu benennen. Das muss nicht notwendigerweise das Organ der verantwortlichen Stelle sein. Es kann auch der betriebliche Datenschutzbeauftragte genannt werden. Die Bekanntgabe der verantwortlichen Stelle ist Voraussetzung zur Geltendmachung weiterer Rechte, insbesondere das des § 34. Ferner ist über die Zweckbestimmung der Erhebung, Verarbeitung und Nutzung zu benachrichtigen. Nur vor dem Hintergrund der angegebenen Zwecke ist der Betroffene in der Lage, die Rechtmäßigkeit der Speicherung zu beurteilen. Nach Erhalt einer Auskunft nach § 34 kann er dann im Rahmen von § 35 die Löschung rechtswidrig gespeicherter Daten erreichen. Dementsprechend sind die Zwecke im Rahmen der gesetzlichen Benachrichtigung so zu beschreiben, dass der Betroffene sich darüber ein ausreichendes Bild machen kann2. Auf den im Rahmen von § 4 Abs. 3 Nr. 2 anzulegenden Maßstab kann auch hier zurückgegriffen werden.
16
Nach Abs. 1 Satz 3 ist der Betroffene auch über die Kategorien von Emp- 17 fängern zu unterrichten, soweit er nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss. Der Begriff des Empfängers bestimmt sich in § 3 Abs. 8 Satz 1 (s. dort, insbesondere zur Abgrenzung zum „Dritten“, zum Begriff der Kategorien von Empfängern s. auch § 34). Die Unterrichtungspflicht steht (nur) hinsichtlich der Kategorien von Empfängern unter dem Vorbehalt, dass der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss. Aber auch, wenn die Zwecke genau beschrieben sind (z.B. Zwecke der Werbung oder der Marktforschung), sind für den Betroffenen die Kategorien der Empfänger nicht ohne weiteres erkennbar, so dass im Grunde stets solche Umstände vorliegen, bei denen der Betroffene nicht erkennen kann, an wen seine Daten übermittelt werden. Teilweise wird deshalb gefordert, dass die Benachrichtigung zumindest eine branchenbezogene Nennung der Kategorien von Empfängern enthalten müsse3. 1 So auch Simitis/Dix, § 33 BDSG Rz. 18. 2 Vgl. Simitis/Dix § 33 BDSG Rz. 17. 3 Vgl. hier auch die Brancheneinteilung aus dem 19. TB der hess. Landesregierung zur Datenschutzaufsicht im nicht-öffentlichen Bereich, LT-Drucks. 16/5892, 18, s. hierzu Gola/Schomerus, § 34 BDSG Rz. 16b.
Kamlah 827
BDSG § 33
Datenverarbeitung nicht-öffentlicher Stellen
18 Umstritten ist, ob auch über Auftragnehmer nach § 11 BDSG als Empfängerkategorie zu benachrichtigen ist. Nach dem Wortlaut wäre dies anzunehmen, da § 3 Abs. 8 zwischen Empfängern und Dritten unterscheidet und nur der Begriff des Dritten Auftragsdatenverarbeiter (innerhalb des Europäischen Wirtschaftsraums) ausnimmt. Da aber insbesondere auch der Betroffene selbst unter den Begriff der Empfänger fällt, erscheint eine einschränkende Auslegung angezeigt. Im Falle der Auftragsdatenverarbeitung ist der Betroffene über die Regelungen des § 11 ausreichend geschützt. Außerdem knüpft auch § 33 Abs. 1 Satz 2 erst an eine Übermittlung – also eine Weitergabe an Dritte, § 3 Abs. 4 Nr. 3 BDSG – an, so dass sich eine unterschiedliche Behandlung verbietet1. 2. Benachrichtigung bei Speicherung zum Zwecke der Übermittlung (Abs. 1 Satz 2 und 3) 19 Abs. 1 Satz 2 enthält eine Sondervorschrift für geschäftsmäßige Datenverarbeiter nach § 29. Erfolgt danach die Speicherung geschäftsmäßig und nicht für eigene Zwecke, sondern zum Zwecke der Übermittlung ohne Kenntnis des Betroffenen, ist der Betroffene – anders als nach Satz 1 – erst von der erstmaligen Übermittlung und der Art der übermittelten Daten zu benachrichtigen. Das Gesetz geht damit davon aus, dass bei der geschäftsmäßigen Datenverarbeitung zum Zwecke der Übermittlung das Informationsbedürfnis des Betroffenen erst entsteht, wenn die Übermittlung auch tatsächlich erfolgt ist. Dementsprechend ist es denkbar, dass bei einem geschäftsmäßigen Datenverarbeiter personenbezogene Daten unter Umständen in umfangreichem Maße gespeichert werden, ohne dass der Betroffene hiervon Kenntnis erhält. Solange jedoch der geschäftsmäßige Datenverarbeiter keinen Übermittlungsvorgang vornimmt, entsteht kein besonderes Schutzinteresse der Betroffenen. Erst mit der erstmaligen Übermittlung entsteht die besondere Interessenlage, die eine Benachrichtigungspflicht rechtfertigt2. Da es bei der geschäftsmäßigen Speicherung zum Zwecke der Übermittlung gerade der Sinn und Zweck ist, die gespeicherten personenbezogenen Daten zu übermitteln, besteht in der Praxis häufig keine zeitliche Differenz zwischen der erstmaligen Speicherung und der darauf folgenden Übermittlung. 20 Die Benachrichtigungspflicht wird erst ausgelöst, wenn die Übermittlung erstmalig erfolgt ist. Dabei muss bei der Benachrichtigung nicht 1 A.A. Simitis/Dix, § 33 BDSG Rz. 33. 2 A.A. Simitis/Dix, § 33 BDSG Rz. 24 ff.
828 Kamlah
Benachrichtigung des Betroffenen
§ 33 BDSG
über alle (im Laufe der Zeit) gespeicherten Daten informiert werden, sondern (nur) über die Art der (erstmalig) übermittelten Daten. Es ist deshalb denkbar, dass bei dem geschäftsmäßigen Datenverarbeiter weitere personenbezogene Daten gespeichert sind als die, über die im Rahmen der erstmaligen Übermittlung zu benachrichtigen ist. Auffällig bei Abs. 1 Satz 2 ist, dass im Gegensatz zu Satz 1 die Nennung 21 der Identität der verantwortlichen Stelle als Gegenstand der Benachrichtigung fehlt. Aus dem Sinn und Zweck der Norm, nämlich quasi als verfahrensrechtliche „Einstiegsnorm“ zur Herstellung der Transparenz zum Zwecke der Geltendmachung weiterer Rechte, wird man in Abs. 1 Satz 2 aber hineinlesen müssen, dass auch über die Identität der verantwortlichen Stelle, hier also des geschäftsmäßigen Datenverarbeiters, ebenfalls zu benachrichtigen ist1. Nur so lässt sich das Minus rechtfertigen, wonach der Betroffene nicht sogleich über alle erstmalig übermittelten personenbezogenen Daten im Detail und unter Umständen nicht einmal über die Kategorien von Empfängern zu benachrichtigen ist. Erst bei Kenntnis der verantwortlichen Stelle ist der Betroffene in die Lage versetzt, ggf. dieser ggü. Ansprüche nach § 34 zu erheben, um dann detailliertere Auskunft zu erhalten. Im Übrigen kann auf die Kommentierung zu Satz 1 und 3 verwiesen werden. In Fällen, in denen Daten für eigene wie auch zum Zwecke der Übermittlung gespeichert sind, sollte eine Benachrichtigung nach Satz 1 erfolgen. III. Ausnahmen von der Pflicht zu Benachrichtigung (Abs. 2) Abs. 2 bestimmt zahlreiche Ausnahmen von der Pflicht zur Benachrichtigung. Teilweise wird daher die Wirksamkeit der Funktion der gesetzlichen Benachrichtigung in Zweifel gezogen2. Bei den Ausnahmen wird in den Nummern 1 bis 6 nicht danach differenziert, ob die Speicherung zu eigenen Zwecken oder zum Zwecke der Übermittlung erfolgt.
22
1. Kenntnis auf sonstige Weise (Abs. 2 Nr. 1) Die Benachrichtigungspflicht setzt tatbestandlich voraus, dass die Spei- 23 cherung ohne Kenntnis des Betroffenen erfolgt. Konsequent bestimmt
1 So auch Simitis/Dix, § 33 BDSG Rz. 30. 2 Für eine enge Auslegung der Ausnahmetatbestände daher Simitis/Dix, § 33 BDSG Rz. 45.
Kamlah 829
BDSG § 33
Datenverarbeitung nicht-öffentlicher Stellen
Abs. 2 Nr. 1 daher, dass eine Pflicht zur Benachrichtigung dann nicht besteht, wenn der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat. Das ist in zahlreichen Fällen denkbar. Nicht erforderlich ist dabei, dass sich der Betroffene der Kenntnisnahme noch bewusst ist1. a) Direkterhebung (§ 4 Abs. 3) 24 Nach § 4 Abs. 2 Satz 1 gilt der Direkterhebungsgrundsatz, wonach personenbezogene Daten grundsätzlich beim Betroffenen zu erheben sind. Nach § 4 Abs. 3 bestehen Unterrichtungspflichten2, die der Benachrichtigungspflicht aus § 33 sehr ähneln. Wenn also der Betroffene im Rahmen der Direkterhebung nach § 4 Abs. 3 unterrichtet worden ist oder sogar das nicht erforderlich war, weil der Betroffene im Rahmen der Direkterhebung Kenntnis auf andere Weise erlangt hat (s. § 4 Abs. 3 Satz 1, 3. Halbs.), ist (auch) der Ausnahmetatbestand des § 33 Abs. 2 Satz 1 Nr. 1 gegeben3. 25 Durch die durch das BDSG 2001 in das Gesetz aufgenommene Vorschrift des § 4 Abs. 3 ist der Mechanismus der nachträglichen Benachrichtigung des BDSG 1977 quasi auf die Erhebungsphase vorverlegt worden4. b) Einwilligung 26 Ferner ist die Datenverarbeitung nach § 4a (s. aber auch § 28 Abs. 3 i.V.m. § 28 Abs. 3a oder § 7 Abs. 2 und 3 UWG) auf Basis einer erteilten Einwilligung zulässig5. Zu den Wirksamkeitsvoraussetzungen einer Einwilligung gehört aber auch, dass der Betroffene die Reichweite der erteilten Einwilligung erkennen kann (sog. informierte Einwilligung, Einzelheiten § 4a). Genügt eine Einwilligung diesen Anforderungen, enthält die Einwilligung aber in aller Regel die Bestandteile des § 4 Abs. 36, wo-
1 A.A. Simitis/Dix, § 33 BDSG Rz. 53. 2 Neu eingeführt durch das BDSG 2001, BGBl. I, S. 904. 3 So auch Simitis/Dix, § 33 BDSG Rz. 15; Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 7. 4 Entgegen Simitis/Dix, § 33 BDSG Rz. 43 ist nicht „anerkannt“, dass es sich bei § 4 Abs. 3 um eine Zulässigkeitsvorschrift handelt, s. hierzu § 4. 5 S. Simitis/Dix, § 33 BDSG Rz. 54, Fn. 109 und Rz. 57. 6 Bei einer unwirksamen Einwilligung bleibt aber die Erfüllung der Voraussetzungen des § 33 gleichwohl denkbar.
830 Kamlah
Benachrichtigung des Betroffenen
§ 33 BDSG
mit wiederum eine Kenntnisnahme auf andere Weise i.S.d. § 33 Abs. 2 Satz 2 Nr. 1 gegeben ist1. c) Sonstige Unterrichtungspflichten Darüber hinaus enthält das BDSG zahlreiche Transparenzvorschriften, 27 die – bei entsprechender Gestaltung – dazu führen können, dass der Ausnahmetatbestand des Abs. Satz 1 Nr. 1 greift. So ist nach § 6b Abs. 2 implizit (s. aber § 6b Abs. 4) und nach § 28 Abs. 4 Satz 2 explizit über die verantwortliche Stelle zu unterrichten. Auch § 28a Abs. 1 Nr. 4 und 5 sowie Abs. 2 enthalten Unterrichtungspflichten. Je nach Gestaltung im Einzelfall kann durch die genannten Unterrichtungspflichten die Pflicht zur Benachrichtigung entfallen. d) Sonstige Kenntnisnahme Schließlich kann sich eine Kenntnis über die Speicherung oder die Übermittlung auf andere Weise aus den unterschiedlichsten Gründen ergeben. Denkbar wären hier Fälle, in denen die verantwortliche Stelle freiwillige Transparenz leistet (um damit auch etwa der Pflicht zur gesetzlichen Benachrichtigung vorzubeugen).
28
Aber auch aus besonderen und offensichtlichen Umständen kann sich 29 eine Kenntnis ergeben. So kann sich unter Umständen schon aus verbraucherrechtlich vorgeschriebenen Hinweis- und Unterrichtungstexten eine solche Kenntnis ergeben. Zu beachten ist dabei jedoch, dass – wollte man damit auch gleichzeitig die Funktion des § 33 erfüllen – die entsprechenden Inhalte mit erfasst werden müssten. Daneben kann von einer Kenntnis ausgegangen werden, wenn der Betroffene – beispielsweise nach einem Werbewiderspruch – eine Speicherung beispielsweise selbst verlangt. Eine „Verarbeitungsquittung“ in Form einer gesetzlichen Benachrichtigung entspricht nicht dem Sinn und Zweck der Norm2. Demgegenüber ist bei einer Videoüberwachung nach § 6b trotz § 6b Abs. 2 nach § 33 zu benachrichtigen, wenn die durch die Videoüberwachung erhobenen Daten einer bestimmten Person zugeordnet werden, § 6b Abs. 4. Ganz allgemein kann sich im Vorfeld einer Vertragsbeziehung – unbeschadet des § 4 Abs. 3 – eine entsprechende Kenntnis des Betroffenen ergeben. Dies gilt insbesondere dann, wenn umfangreiche Eigenangaben 1 Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 7. 2 A.A. offenbar Simitis/Dix, § 33 BDSG Rz. 17.
Kamlah 831
30
BDSG § 33
Datenverarbeitung nicht-öffentlicher Stellen
von den Betroffenen erfragt und erhoben werden (z.B. im Rahmen von Selbstauskünften bei Kreditinstituten, Versicherungen oder Vermietern). Zu beachten ist allerdings, dass die verantwortliche Stelle dann nach § 4 Abs. 3 über die Empfängerkategorien zu unterrichten hat. Dementsprechend haben diejenigen Betroffenen keine Kenntnis, deren Daten der verantwortlichen Stelle von Dritten übermittelt wurden (z.B. Angaben des Geschädigten ggü. seiner Versicherung über den Schädiger). 31 Schließlich kann der Betroffene schon aufgrund einer Auskunft nach § 34 Kenntnis erhalten haben. Eine nur vermutete Kenntnis dagegen reicht nicht aus1. Allerdings ist eine Benachrichtigung dann entbehrlich, wenn die relevanten Informationen als allgemein bekannt vorausgesetzt werden können. Sinn und Zweck der Norm ist es nicht, die Betroffenen über Selbstverständlichkeiten zu informieren oder sie gar damit zu belästigen. 2. Aufbewahrungspflichten und Datenschutzkontrolle (Abs. 2 Nr. 2) 32 Nr. 2 enthält zwei Ausnahmetatbestände. Nach der ersten Variante hat eine Benachrichtigung nicht zu erfolgen, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungspflichten nicht gelöscht werden dürfen (s. auch § 35 Abs. 3 Nr. 1). Gesetzliche Aufbewahrungspflichten können sich aus dem Handels- oder Steuerrecht ergeben; satzungsmäßige Aufbewahrungspflichten aus Mitgliedschaftsrechten, insbesondere auf gesellschaftsrechtlicher Basis. Daneben können sich Aufbewahrungsfristen aus Vertragspflichten ergeben, wobei dann möglicherweise auch eine Kenntnis nach Nr. 1 vorliegt. Maßgeblich ist die entsprechende Verpflichtung zur Speicherung, nicht bloß die Befugnis dazu2. 33 Nach der zweiten Variante hat eine Benachrichtigung nicht zu erfolgen, wenn die gespeicherten Daten ausschließlich der Datensicherung oder der Datenschutzkontrolle dienen3. 34 Hintergrund für beide Ausnahmen ist, dass die gespeicherten Daten bei Vorliegen einer der Anwendungsfälle der Nr. 2 einer strengen Zweckbin1 Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 25. 2 Simitis/Dix, § 33 BDSG Rz. 66. 3 Was entgegen Simitis/Dix, § 33 BDSG Rz. 70 und Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 28 stets auch für Protokolldateien gelten dürfte.
832 Kamlah
Benachrichtigung des Betroffenen
§ 33 BDSG
dung unterliegen, die eine darüber hinausgehende Verarbeitung und Nutzung der gespeicherten Daten ausschließt (s. auch § 31), weshalb dann auch die Benachrichtigungspflicht entfallen kann1. Das kommt insbesondere durch das Kriterium der Ausschließlichkeit der zweiten Fallvariante zum Ausdruck. Auffällig ist, dass Nr. 2 nur von „Daten“ und nicht von „personenbezo- 35 genen Daten“ spricht. Das ist aber vor dem Hintergrund des Begriffs „Art der Daten“ konsequent, der eben nicht gleichzusetzen ist mit dem Begriff der personenbezogenen Daten. Allerdings ist die Befreiung von der Benachrichtigungspflicht nur dann 36 gegeben, wenn diese einen unverhältnismäßigen Aufwand erfordern würde, wovon in aller Regel ausgegangen werden kann2. Aufgrund der Tatsache, dass letztlich alle Daten zumindest zu Datenschutz- und Datensicherungszwecken aufzubewahren sind, wird der Aufwand, allerdings ohnehin in aller Regel unverhältnismäßig sein. Zudem dürfte der Betroffene möglicherweise schon im Rahmen der ursprünglichen Datenverarbeitung – nämlich beispielsweise im Rahmen eines Vertragsverhältnisses – Kenntnis erlangt haben, was schon die Ausnahme nach Nr. 1 greifen lässt3. 3. Geheime Daten (Abs. 2 Nr. 3) Nach Nr. 3 Var. 1 entfällt die Pflicht zur Benachrichtigung, wenn die 37 Daten nach einer Rechtsvorschrift geheim gehalten werden müssen. Solche ein Offenbarungsverbot anordnende Rechtsvorschriften finden sich beispielsweise in § 43a Abs. 2 BRAO oder § 203 StGB. Mithin in den Fällen, in denen die verantwortliche Stelle den Tatbestand eines gesetzlich verbotenen Geheimnisverrats verwirklichen würde, entfällt die Benachrichtigungspflicht. Ob sich ein Offenbarungsverbot, welches die Pflicht zur Benachrichtigung entfallen lässt, beispielsweise auch aus einer vertraglichen Nebenpflicht oder einer gesondert abgeschlossenen Vertraulichkeitsvereinbarung ableiten lässt, erscheint zweifelhaft, da Nr. 3 ausdrücklich von einer Rechtsvorschrift spricht. Nach Nr. 3 Var. 2 besteht ferner keine Benachrichtigungspflicht, wenn die Daten ihrem Wesen nach, namentlich wegen des überwiegenden rechtlichen Interesses eines Dritten, geheim gehalten werden müssen. 1 Vgl. auch Gola/Schomerus, § 33 BDSG Rz. 32. 2 Vgl. Gola/Schomerus, § 33 BDSG Rz. 32. 3 Vgl. Gola/Schomerus, § 33 BDSG Rz. 32.
Kamlah 833
38
BDSG § 33
Datenverarbeitung nicht-öffentlicher Stellen
Ein bloßes berechtigtes Interesse reicht nicht. Aber auch an das rechtliche Interesse sind hohe Anforderungen zu stellen, da das rechtliche Interesse gerade das Geheimhaltungsbedürfnis begründen muss. Eine durch die Benachrichtigung möglicherweise bloße Verschlechterung der Rechtsposition des Dritten reicht nicht immer aus. Geschützt wird ferner durch die 2. Variante in Nr. 3 nicht der Betroffene, sondern der Dritte (s. § 3 Abs. 8 Satz 2). Es muss sich also um geheimhaltungsbedürftige Tatsachen zum Schutze des Dritten handeln, von denen der Betroffene nichts erfahren darf. Damit impliziert diese Variante einen Konflikt des Betroffenen mit dem Dritten. Das Informationsbedürfnis des Betroffenen tritt dann daher (erst) zurück, wenn das rechtliche Interesse des Dritten an dem Unterbleiben der Benachrichtigung überwiegt. Erfasst sind damit Fälle, in denen der Betroffene sich dem Dritten in rechtlich relevanter Weise entziehen möchte, wie etwa im Fall der Speicherung der Daten des Ehegatten in der Datei eines Frauenhauses. Inwieweit seitens Detekteien gespeicherte Daten in diesem Sinne eine Benachrichtigung entfallen lassen können, ist im Einzelnen zweifelhaft1. 39 Ihrem Wesen nach geheime Daten sind nicht Kreditinformationen und auch grundsätzlich nicht medizinische Daten, auch wenn sie den Betroffenen belasten würden, da Nr. 3 die rechtlichen Interessen eines Dritten schützt2. 40 Umstritten ist, ob im Rahmen des Forderungsverkaufs (stille Zession) ein Anwendungsfall des Ausnahmetatbestandes zu erblicken ist3. Einigkeit besteht dagegen wohl, dass bei Verfügungen auf den Todesfall ein Geheimhaltungsbedürfnis des Verfügenden deshalb besteht, damit dieser ggf. seine Entscheidung rückgängig machen kann4. 4. Gesetzliche angeordnete Datenverarbeitung (Abs. 2 Nr. 4) 41 Nach Nr. 4 kann eine Benachrichtigung entfallen, wenn die Speicherung oder Übermittlung durch Gesetz ausdrücklich vorgesehen ist. Die etwas untechnisch anmutende Formulierung „vorgesehen“ schafft Auslegungs1 S. Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 36. 2 S. auch Taeger/Gabel/Meents, § 33 BDSG Rz. 39 f.; etwas anders Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 32. 3 Mit Blick auf das Geheimhaltungsinteresse des Forderungserwerbers bejahend Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 33; a.A. wohl Simitis/ Dix, § 33 BDSG Rz. 80 und Gola/Schomerus, § 33 BDSG Rz. 33. 4 Däubler/Klebe/Wedde/Weichert/Däubler, § 33 BDSG Rz. 35 m.w.N.
834 Kamlah
Benachrichtigung des Betroffenen
§ 33 BDSG
probleme. Nicht ausreichend jedoch dürfte sein, wenn eine Speicherung oder Übermittlung nach Gesetz schlicht möglich ist (wie z.B. durch die §§ 28 ff.). Denn dann liefe die Pflicht zur Benachrichtigung weitgehend leer. Vielmehr dürften in Anlehnung an § 4 Abs. 1 die Fälle gemeint sein, in denen das Gesetz die Speicherung oder Übermittlung (ausdrücklich) anordnet (s. Beispiele solcher gesetzlicher Anordnungen, s. § 4)1. Sinn dieser Privilegierung ist, dass die verantwortliche Stelle durch die gesetzliche Anordnung der Datenverarbeitung nicht zusätzlich mit bürokratischem Aufwand belastet werden soll. In aller Regel definiert die gesetzliche Anordnungsnorm auch ausdrücklich die Zwecke, zu denen die Datenverarbeitung stattfinden darf, so dass ein darüber hinausgehendes Informationsbedürfnis des Betroffenen nicht besteht. 5. Datenverarbeitung zum Zwecke der wissenschaftlichen Forschung (Abs. 2 Nr. 5) Nr. 5 privilegiert die Wissenschaft und Forschung. Auch hier erklärt 42 sich die Ausnahme von der Benachrichtigungspflicht aus der engen Zweckbindung der in diesem Kontext verarbeiteten Daten (vgl. § 40 Abs. 1). Allerdings muss die Speicherung und Übermittlung personenbezogener Daten für die Zwecke der wissenschaftlichen Forschung erforderlich sein (s. § 40 Abs. 2 Satz 3). Hinsichtlich der Erforderlichkeit ist zu beachten, dass nach Möglichkeit im Rahmen der Forschung personenbezogene Daten zu anonymisieren sind, § 40 Abs. 2 Satz 1. Da der Personenbezug zum Zwecke der Forschung in aller Regel irrelevant sein dürfte, findet bei fehlendem Personenbezug § 33 von vornherein keine Anwendung. Für die übrigen Fälle, in denen dann gleichwohl ein Personenbezug erforderlich ist, befreit Nr. 5 die Wissenschaft und Forschung von der Benachrichtigungspflicht. Allerdings greift die Privilegierung nur dann, wenn die Benachrichti- 43 gung einen unverhältnismäßigen Aufwand erfordern würde. Gerade wegen § 40 Abs. 2 könnte es sein, dass nur wenige Daten personenbezogen vorgehalten werden müssen und daher die Benachrichtigung keinen unverhältnismäßigen Aufwand darstellt (auch wenn Nr. 5 wie Nr. 2 und anders als Nr. 7 nur auf den unverhältnismäßigen Aufwand und nicht auf die Vielzahl der betroffenen Fälle abstellt). Deswegen bleibt der Zweck dieser Einschränkung des Forschungsprivilegs an dieser Stelle des Gesetzes unklar, weil der Betroffene über die Zweckbindung des
1 So auch Simitis/Dix, § 33 BDSG Rz. 87 f.
Kamlah 835
BDSG § 33
Datenverarbeitung nicht-öffentlicher Stellen
§ 40 Abs. 1 ausreichend geschützt ist. Die Vorschrift ist daher im Lichte von Art. 5 Abs. 3 dahingehend verfassungskonform auszulegen, dass eine Pflicht zur Benachrichtigung in aller Regel nicht besteht. 6. Gefährdung der Sicherheit und Ordnung (Abs. 2 Nr. 6) 44 Ähnlich wie bei Nr. 3 steht bei Nr. 6 ein Geheimhaltungsbedürfnis im Vordergrund, welches nicht durch eine Benachrichtigung konterkariert werden soll. Voraussetzung ist zunächst, dass die zuständige öffentliche Stelle ggü. der verantwortlichen Stelle eine Feststellung getroffen „hat“. Ein Verwaltungsakt ist nicht zwingend notwendig. Damit muss sich die zuständige öffentliche Stelle ggü. der verantwortlichen Stelle in irgendeiner Weise geäußert haben. Das ist konsequent, denn vorher kann die verantwortliche Stelle keine Kenntnis über eine etwa bestehende Sicherheitsrelevanz haben. Benachrichtigt die verantwortliche Stelle daher in Unkenntnis der Sachlage, kann sie hierfür ohne Hinzutreten besonderer Umstände nicht zur Verantwortung gezogen werden. 45 Umgekehrt ist es der verantwortlichen Stelle nicht zuzumuten, die Zuständigkeit der an sie herangetretenen öffentlichen Stelle zu prüfen. Unterlässt die verantwortliche Stelle daher im Vertrauen auf die Zuständigkeit der öffentlichen Stelle die Benachrichtigung und stellt sich die Unzuständigkeit später heraus, kann sie hieraus ebenfalls nicht – etwa aus § 43 Abs. 1 Nr. 8 – verantwortlich gemacht werden. Ebenso kann die verantwortliche Stelle grundsätzlich auf die Feststellung an sich vertrauen, dass ein Bekanntwerden von Daten die öffentliche Sicherheit und Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde. Im Zweifel kann sich die verantwortliche Stelle nach § 38 Abs. 1 Satz 2 an die zuständige Datenschutzaufsichtsbehörde wenden1. 7. Öffentliche Daten (Abs. 2 Nr. 7a, 8a und 9) 46 Die Nr. 7 bis 9 regeln in erster Linie die Behandlung der Benachrichtigungspflicht bei der Speicherung von Daten, die aus allgemein zugänglichen Quellen entnommen worden sind. Die Daten müssen auch tatsächlich aus allgemein zugänglichen Quellen entnommen (und gespeichert) worden sein. Unerheblich ist, ob sie unmittelbar aus den öffentlichen Quellen entnommen oder ob sie von einer anderen Stelle
1 Vgl. Simitis/Dix, § 33 BDSG Rz. 93.
836 Kamlah
Benachrichtigung des Betroffenen
§ 33 BDSG
übermittelt wurden, die jedoch erkennbar auf die allgemein zugängliche Quelle zugegriffen hatte1. Die Formulierung greift die des § 29 Abs. 1 Satz 1 Nr. 2 auf (etwas an- 47 ders dagegen § 28 Abs. 1 Satz 1 Nr. 3 oder § 28 Abs. 3 Satz 2 Nr. 1). Auf die Definition der allgemein zugänglichen Quellen kann daher an dieser Stelle verwiesen werden (s. § 28 Abs. 1 Satz 1 Nr. 3 und § 29 Abs. 1 Satz 1 Nr. 2). Hintergrund für den Wegfall der Benachrichtigungspflicht ist, dass der Betroffene über öffentliche Daten nicht noch informiert zu werden braucht und vielfach an der Veröffentlichung seiner Daten mitgewirkt haben dürfte und deshalb ein weiteres Informationsbedürfnis nicht besteht. Diese Mitwirkung kann teilweise sogar gesetzlich vorgeschrieben sein, wie im Falle von Eintragungen in öffentliche Register (z.B. Eintragung von Organeigenschaften oder Prokuren) oder auch bei Pflichtangaben auf Geschäftsbriefen oder im Impressum2. Vielfach geschieht die „Veröffentlichung“ jedoch auch freiwillig, wie bei Eintragungen in öffentliche Telefon- oder Branchenverzeichnisse3. Im Bereich der Social Media wird danach zu differenzieren sein, wie die Zugänglichkeitsregeln des entsprechenden Anbieters ausgestaltet sind. Erfolgt eine Veröffentlichung gegen den Willen des Betroffenen, stellt 48 sich die Frage, ob ggf. presserechtliche Ansprüche greifen. Darüber hinaus muss aber der Veröffentlichung eine vorherige Speicherung vorausgegangen sein. Dementsprechend wäre zu fragen, ob zu diesem Zeitpunkt der Betroffene zu benachrichtigen gewesen wäre. Da ähnlich wie bei den geschäftsmäßigen Datenverarbeitern die Speicherung der Veröffentlichung dient, wäre auch hier eine zeitnahe Benachrichtigung angezeigt. Allerdings gehen im Anwendungsbereich des Presserechts die dort geltenden Grundsätze zum Schutz der Presse vor (§ 41). Nach Nr. 7a wird bei der Speicherung für eigene Zwecke der Wegfall der 49 Benachrichtigungspflicht in diesen Fällen (wieder) unter den Vorbehalt gestellt, dass sie wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist. Die Formulierung weicht insoweit von denen der Nr. 2 und 5 ab, als dort „nur“ auf den unverhältnismäßigen Aufwand abgestellt wird. Daher kann dieser Ausnahmetatbestand nicht greifen, wenn
1 Gola/Schomerus, § 33 BDSG Rz. 38. 2 S. AG Bad Schwartau v. 9.3.2005 – 2 C 794/04, DuD 2005, 372, das sowohl von Simitis/Dix, § 33 BDSG Rz. 98, als auch Däubler/Klebe/Wedde/Weichert/ Däubler, § 33 BDSG Rz. 46 falsch zitiert wird. 3 Taeger/Gabel/Meents, § 33 BDSG Rz. 49.
Kamlah 837
BDSG § 33
Datenverarbeitung nicht-öffentlicher Stellen
nur wenige Daten über einzelne Personen gespeichert werden1. Gerade aber bei der Entnahme von Daten aus allgemein zugänglichen Quellen dürfte eine Vielzahl von Fällen gegeben sein, da eine solche Entnahme in aller Regel nicht nur punktuell geschieht2. 50 Anders als bei der Speicherung zu eigenen Zwecken beschränkt Nr. 8a die Befreiung von der Benachrichtigung bei der Entnahme von Daten aus allgemein zugänglichen Quellen zum Zwecke der Übermittlung auf die Fälle, in denen sie sich auf diejenigen Personen beziehen, die diese Daten veröffentlicht haben3. Entscheidend ist mithin das bereits angesprochene Mitwirkungselement, welches das Informationsbedürfnis entfallen lässt. Auch hier besteht der Vorbehalt, dass eine Benachrichtigung dann entfallen kann, wenn diese wegen der Vielzahl der Fälle unverhältnismäßig ist. 51 Nr. 9 enthält die Ausnahmevorschrift für den Fall, dass aus allgemein zugänglichen Quellen entnommene Daten geschäftsmäßig zum Zwecke der Markt- und Meinungsforschung gespeichert werden. Die ausdrückliche Nennung dieser Fallgruppe ist insoweit konsequent, als dass durch die BDSG-Novelle II im Jahre 20094 die Markt- und Meinungsforschung offenbar zur deutlicheren Abgrenzung von der Werbung und dem Adresshandel (s. auch § 30a) aus dem § 29 herausgelöst und in einen eigenen § 30a integriert wurde. Ferner war eine Ergänzung durch Nr. 9 deshalb nötig, da der Verweis in Nr. 8b entgegen der bis zum 1.9.2009 geltenden Fassung den Verweis auf die Markt- und Meinungsforschungsdaten nicht mehr erfasst. Hieraus ergibt sich aber keine andere Behandlung als in den Fällen der Nr. 7a und 8a, so dass auf die dort gefundenen Grundsätze zurückgegriffen werden kann. 8. Gefährdung eigener Geschäftszwecke (Abs. 2 Nr. 7b) 52 Eine weitgehende Ausnahme von der Pflicht zur Benachrichtigung scheint Nr. 7b zu formulieren. Danach kann bei der Speicherung für eigene Zwecke (bei der Speicherung zum Zwecke der Übermittlung ist eine entsprechende Vorschrift ausdrücklich nicht vorhanden) eine Be1 Taeger/Gabel/Meents, § 33 BDSG Rz. 50. 2 Kritisch Gola/Schomerus, § 33 BDSG Rz. 38. 3 Gola/Schomerus, § 33 BDSG Rz. 41 nennen hier beispielhaft in Anlehnung an BT-Drucks. 11/4306, 51 Autoren, die von Bibliotheken nicht über die Aufnahme in die Kataloge informiert zu werden brauchen, Heiratsanzeigen oder Angaben in Telefonbüchern. 4 BGBl. I, S. 2814.
838 Kamlah
Benachrichtigung des Betroffenen
§ 33 BDSG
nachrichtigung entfallen, wenn sie die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde. Teilweise wird vertreten, dass dabei nicht auf ein konkretes Geschäft, welches möglicherweise durch die gesetzliche Benachrichtigung nicht zustande kommt, sondern auf den Geschäftszweck der verantwortlichen Stelle (quasi i.S.d. Satzung) abzustellen ist1. Auch dieser müsste durch die Benachrichtigung in erheblichem Maße gefährdet sein und stünde zusätzlich unter dem Vorbehalt, dass das Interesse an der Benachrichtigung die Gefährdung nicht überwiegt. Diese Auslegung würde dazu führen, dass entweder ganze Branchen von der gesetzlichen Benachrichtigung ausgenommen wären oder der Ausnahmetatbestand weitestgehend leer läuft. Daher kann die Vorschrift nur so gemeint sein, dass aufgrund der besonderen Situation eines konkreten Geschäftes im Einzelfall die Pflicht zur gesetzlichen Benachrichtigung entfällt2. Das schließt nicht aus, dass bei mehreren oder ganzen Gruppen von Geschäften die Benachrichtigung eine besondere Gefährdungslage für verantwortliche Stellen entstehen lassen kann, die eine Ausnahme von der Benachrichtigungspflicht rechtfertigt. 9. Listendaten (Abs. 2 Nr. 8b) Für geschäftsmäßige Datenverarbeiter enthält schließlich Nr. 8b eine 53 Befreiung von der Benachrichtigungspflicht. Danach soll nicht benachrichtigt werden müssen, wenn es sich um listenmäßig oder sonst zusammengefasste Daten nach § 29 Abs. 2 Satz handelt (zum Begriff der Listendaten s. § 28 Abs. 3 Satz 2). Während sich vor der BDSG-Novelle II im Jahre 2009 die Privilegierung ausdrücklich auf die im Rahmen von § 29 Abs. 2 genannten Listendaten bezog, erstreckt sich der Verweis über § 29 Abs. 2 Satz 2 nunmehr auf § 28 Abs. 3 bis 3b. Eine Änderung war damit aber nicht beabsichtigt. Nr. 8b flankiert damit den auf der Zulässigkeitsseite bestehenden Rechtsmäßigkeitstatbestand nach § 28 Abs. 3 Satz 2 auf der Ebene der Verfahrensrechte3. Zu beachten ist auch, dass der listenmäßigen oder sonstigen zusammengefassten Datenverarbeitung in aller Regel Verarbeitungsvorgänge vorausgehen, und der Betroffene in Zuge dieser Speicherung entweder zu benachrichtigen ist oder ohnehin schon Kenntnis über die Speicherung erlangt hat, Abs. 2 Nr. 1.
1 Vgl. Simitis/Dix, § 33 BDSG Rz. 102 ff. 2 Zum Streitstand Taeger/Gabel/Meents, § 33 BDSG Rz. 52. 3 Gola/Schomerus, § 33 BDSG Rz. 42.
Kamlah 839
BDSG § 33
Datenverarbeitung nicht-öffentlicher Stellen
54 Auch hier steht die Privilegierung allerdings unter dem Vorbehalt, dass eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist. Davon ist aber i.d.R. auszugehen, da bei der Verarbeitung listenmäßig oder sonst zusammengefasster Daten typischerweise eine große Zahl von Datensätzen betroffen ist. IV. Dokumentation der zugrunde gelegten Ausnahme 55 Nach Abs. 2 Satz 2 hat die verantwortliche Stelle schriftlich festzulegen, unter welchen Voraussetzungen von einer Benachrichtigung nach den Nr. 2 bis 7 abgesehen wird. In der Praxis wird diese Aufgabe vom betrieblichen Datenschutzbeauftragten wahrzunehmen sein, auch wenn es sich um eine originäre Pflicht der verantwortlichen Stelle handelt. Die Vorschrift zwingt die verantwortliche Stelle, sich mit den Befreiungstatbeständen auseinanderzusetzen und dementsprechend eine sorgfältige Prüfung durchzuführen. 56 Ausdrücklich von der Dokumentationspflicht ausgenommen sind die Nr. 1, 8 und 9. Hierfür ist kein hinreichender Grund ersichtlich1. Es empfiehlt sich aber, die Dokumentationspflicht auch auf diese Fälle der Befreiung zu erstrecken, zumal insbesondere die Nr. 1 eine große praktische Relevanz entfaltet. 57 Da die Dokumentation schriftlich zu erfolgen hat, ist eine entsprechende Rubrik in dem Verfahrensverzeichnis nach § 4g Abs. 2 denkbar. V. Rechtsfolgen/Sanktionen 58 Eine unterbliebene gesetzliche Benachrichtigung führt nicht zur Unzulässigkeit der Datenverarbeitung. Sie ist nicht materielle Zulässigkeitsvoraussetzung. Eine unzureichende Benachrichtigung ist aber nach § 43 Abs. 1 Nr. 8 bußgeldbewehrt. Erweiterte Sanktionen ergeben sich bei Vorliegen der Voraussetzungen des § 43 Abs. 2 oder des § 44. Eine nicht rechtzeitige Benachrichtigung ist – anders als bei § 34 i.V.m. § 43 Abs. 1 Nr. 8a – dagegen nicht bußgeldbewehrt2. Das kann dazu führen, dass Benachrichtigungen nachgeholt werden können. Eine unterbliebene Dokumentation nach Abs. 2 Satz 2 ist nicht sanktioniert. Allerdings ist damit der Anschein erweckt, die entsprechend sorgfältige Prüfung der Ausnah-
1 So auch Simitis/Dix, § 33 BDSG Rz. 121. 2 A.A. Simitis/Dix, § 33 BDSG Rz. 43.
840 Kamlah
Auskunft an den Betroffenen
§ 34 BDSG
metatbestände nicht hinreichend durchgeführt zu haben. Daher sollte gleichwohl eine ausreichende Dokumentation geführt werden. Über § 38 ist die Durchsetzung der gesetzlichen Benachrichtigungspflicht seitens der zuständigen Datenschutzaufsichtsbehörde denkbar. Auskunft an den Betroffenen (1) 1Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und 3. den Zweck der Speicherung. 2Der Betroffene soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen. 3Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, ist Auskunft über die Herkunft und die Empfänger auch dann zu erteilen, wenn diese Angaben nicht gespeichert sind. 4Die Auskunft über die Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt.
34
(1a) 1Im Fall des § 28 Absatz 3 Satz 4 hat die übermittelnde Stelle die Herkunft der Daten und den Empfänger für die Dauer von zwei Jahren nach der Übermittlung zu speichern und dem Betroffenen auf Verlangen Auskunft über die Herkunft der Daten und den Empfänger zu erteilen. 2Satz 1 gilt entsprechend für den Empfänger. (2) 1Im Fall des § 28b hat die für die Entscheidung verantwortliche Stelle dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die innerhalb der letzten sechs Monate vor dem Zugang des Auskunftsverlangens erhobenen oder erstmalig gespeicherten Wahrscheinlichkeitswerte, 2. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten und 3. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form.
Kamlah 841
59
BDSG § 34
Datenverarbeitung nicht-öffentlicher Stellen
2Satz
1 gilt entsprechend, wenn die für die Entscheidung verantwortliche Stelle 1. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten ohne Personenbezug speichert, den Personenbezug aber bei der Berechnung herstellt oder 2. bei einer anderen Stelle gespeicherte Daten nutzt. 3Hat eine andere als die für die Entscheidung verantwortliche Stelle 1. den Wahrscheinlichkeitswert oder 2. einen Bestandteil des Wahrscheinlichkeitswerts berechnet, hat sie die insoweit zur Erfüllung der Auskunftsansprüche nach den Sätzen 1 und 2 erforderlichen Angaben auf Verlangen der für die Entscheidung verantwortlichen Stelle an diese zu übermitteln. 4Im Fall des Satzes 3 Nr. 1 hat die für die Entscheidung verantwortliche Stelle den Betroffenen zur Geltendmachung seiner Auskunftsansprüche unter Angabe des Namens und der Anschrift der anderen Stelle sowie der zur Bezeichnung des Einzelfalls notwendigen Angaben unverzüglich an diese zu verweisen, soweit sie die Auskunft nicht selbst erteilt. 5In diesem Fall hat die andere Stelle, die den Wahrscheinlichkeitswert berechnet hat, die Auskunftsansprüche nach den Sätzen 1 und 2 gegenüber dem Betroffenen unentgeltlich zu erfüllen. 6Die Pflicht der für die Berechnung des Wahrscheinlichkeitswerts verantwortlichen Stelle nach Satz 3 entfällt, soweit die für die Entscheidung verantwortliche Stelle von ihrem Recht nach Satz 4 Gebrauch macht. (3) 1Eine Stelle, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung speichert, hat dem Betroffenen auf Verlangen Auskunft über die zu seiner Person gespeicherten Daten zu erteilen, auch wenn sie weder automatisiert verarbeitet werden noch in einer nicht automatisierten Datei gespeichert sind. 2Dem Betroffenen ist auch Auskunft zu erteilen über Daten, die 1. gegenwärtig noch keinen Personenbezug aufweisen, bei denen ein solcher aber im Zusammenhang mit der Auskunftserteilung von der verantwortlichen Stelle hergestellt werden soll, 2. die verantwortliche Stelle nicht speichert, aber zum Zweck der Auskunftserteilung nutzt. 3Die Auskunft über die Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt.
842 Kamlah
Auskunft an den Betroffenen
§ 34 BDSG
(4) 1Eine Stelle, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung erhebt, speichert oder verändert, hat dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die innerhalb der letzten zwölf Monate vor dem Zugang des Auskunftsverlangens übermittelten Wahrscheinlichkeitswerte für ein bestimmtes zukünftiges Verhalten des Betroffenen sowie die Namen und letztbekannten Anschriften der Dritten, an die die Werte übermittelt worden sind, 2. die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunftsverlangens nach den von der Stelle zur Berechnung angewandten Verfahren ergeben, 3. die zur Berechnung der Wahrscheinlichkeitswerte nach den Nummern 1 und 2 genutzten Datenarten sowie 4. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form. 2Satz 1 gilt entsprechend, wenn die verantwortliche Stelle 1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten ohne Personenbezug speichert, den Personenbezug aber bei der Berechnung herstellt oder 2. bei einer anderen Stelle gespeicherte Daten nutzt. (5) Die nach den Absätzen 1a bis 4 zum Zweck der Auskunftserteilung an den Betroffenen gespeicherten Daten dürfen nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verwendet werden; für andere Zwecke sind sie zu sperren. (6) Die Auskunft ist auf Verlangen in Textform zu erteilen, soweit nicht wegen der besonderen Umstände eine andere Form der Auskunftserteilung angemessen ist. (7) Eine Pflicht zur Auskunftserteilung besteht nicht, wenn der Betroffene nach § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7 nicht zu benachrichtigen ist. (8) 1Die Auskunft ist unentgeltlich. 2Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, kann der Betroffene einmal je Kalenderjahr eine unentgeltliche Auskunft in Textform verlangen. 3Für jede weitere Auskunft kann ein Entgelt verlangt werden, wenn der Betroffene die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken nutzen kann. 4Das Entgelt darf über die durch die
Kamlah 843
BDSG § 34
Datenverarbeitung nicht-öffentlicher Stellen
Auskunftserteilung entstandenen unmittelbar zurechenbaren Kosten nicht hinausgehen. 5Ein Entgelt kann nicht verlangt werden, wenn 1. besondere Umstände die Annahme rechtfertigen, dass Daten unrichtig oder unzulässig gespeichert werden, oder 2. die Auskunft ergibt, dass die Daten nach § 35 Abs. 1 zu berichtigen oder nach § 35 Abs. 2 Satz 2 Nr. 1 zu löschen sind. (9) 1Ist die Auskunftserteilung nicht unentgeltlich, ist dem Betroffenen die Möglichkeit zu geben, sich im Rahmen seines Auskunftsanspruchs persönlich Kenntnis über die ihn betreffenden Daten zu verschaffen. 2Er ist hierauf hinzuweisen. I. Einführung . . . . . . . . . . . . . . . .
1
II. Die Geltendmachung des Auskunftsanspruchs . . . . . . . .
2
III. Anwendungsbereich . . . . . . . . 1. Voraussetzung des Auskunftsersuchens . . . . . . . . . . . 2. Inhalt der Auskunft (Abs. 1). . 3. Speicherungs- und Auskunftspflicht bei der Übermittlung von Daten zu Werbezwecken (Abs. 1a) . . . . . . . . 4. Inhalt der Auskunft beim Scoring (Abs. 2) . . . . . . . . . . . . a) Wahrscheinlichkeitswerte (Abs. 2 Satz 1 Nr. 1) . . . . . . b) Datenarten (Abs. 2 Satz 1 Nr. 2) . . . . . . . . . . . . . . . . . . c) Einzelfallbezogene und nachvollziehbare Erläuterung (Abs. 2 Satz 1 Nr. 3) . . d) Auskunft bei Berechnung des Wahrscheinlichkeitswerts durch Dritte (Abs. 2 Satz 3 bis 6) . . . . . . . . . . . . .
7 9 21
27
5. Inhalt der Auskunft (Abs. 4 Satz 1) . . . . . . . . . . . . . . 49 6. Inhalt der Auskunft bei Daten ohne Personenbezug (Abs. 2 Satz 2 und Abs. 4 Satz 2) . . . . . . . . . . . . . . . . . . . . 56 7. Sondervorschriften für geschäftsmäßige Datenverarbeiter (Abs. 1 Satz 3 und 4, Abs. 3) . . . . . . . . . . . . . . . . . . . . 59 IV. Zweckbindung (Abs. 5) . . . . . . 63 V. Form der Auskunft (Abs. 6). . . 70
29 33 38
40
VI. Ausnahmen vom Auskunftsanspruch . . . . . . . . . . . . . . . . . . 74 VII. Kosten der Auskunft (Abs. 8 und 9) . . . . . . . . . . . . . . 78 VIII. Verhältnis zu anderen Normen . . . . . . . . . . . . . . . . . . . 83 IX. Rechtsfolgen/Sanktionen . . . . 87
45
Schrifttum: Siehe §§ 6a und 28a; ferner Bäcker, Die Betroffenenauskunft im Telekommunikationsrecht, MMR 2009, 803; Gola, Aus den Tätigkeitsberichten der Aufsichtsbehörden (2), RDV 2012, 184; Härting, „Prangerwirkung“ und „Zeitfaktor“ – 14 Thesen zu Meinungsfreiheit, Persönlichkeitsrechten und Datenschutz im Netz, CR 2009, 21; Heinemann/Wäßle, Datenschutzrechtlicher Auskunftsanspruch bei Kreditscoring. Inhalt und Grenzen des Auskunftsanspruchs nach § 34 BDSG, MMR 2010, 600; Hoss, Auskunftsrecht des Betroffenen aus § 34 Abs. 1 BDSG in der Praxis: wirksames Instrument oder zahnloser Tiger?, RDV
844 Kamlah
Auskunft an den Betroffenen
§ 34 BDSG
2011, 6; Schilde-Stenzel, „Lehrevaluation“ oder Prangerseite im Internet; www.meinprof.de – Eine datenschutzrechtliche Bewertung, RDV 2006, 104; Schmidl, Dokumentationsdaten nach dem Allgemeinen Gleichbehandlungsgesetz (AGG), DuD 2007, 11; Taeger, Schutz von Betriebs- und Geschäftsgeheimnissen im Regierungsentwurf zur Änderung des BDSG, K&R 2008, 513, 546; Weichert, Verhängnisvolle Datenschutzselbstauskünfte, CR 95, 361.
I. Einführung Die Vorschrift des § 34 war bereits im ersten BDSG 1977 enthalten1. Sie 1 formuliert ein Auskunftsrecht zugunsten des Betroffenen, welches Grundvoraussetzung dafür ist, dass der Betroffene die Datenverarbeitung nachvollziehen und im Anschluss an die erhaltene Auskunft weitergehende Rechte – wie die nach § 35 – geltend machen kann (zum Stufenverhältnis der §§ 33–35 s. § 33). Die Vorschrift wurde durch die sog. BDSG-Novelle I2 deutlich erweitert, um mehr Transparenz insbesondere beim Scoring zu schaffen (Einzelheiten s. § 28a). Im Rahmen der sog. BDSG-Novelle II3 wurde eine Speicherpflicht aufgenommen, um im Falle der Übermittlung von Daten zu Werbezwecken Auskunft über die Herkunft und Empfänger der Daten zu gewährleisten. II. Die Geltendmachung des Auskunftsanspruchs Das Auskunftsrecht steht dem Betroffenen (§ 3 Abs. 1) zu. Er kann auch von Minderjährigen ausgeübt werden, wenn sie ausreichend einsichtsfähig sind4. Der Anspruch besteht unabhängig von der Staatsbürgerschaft oder Wohnort des Auskunftsstellers. Der Anspruch gehört zu den unabdingbaren Rechten nach § 6. Es kann durch Vertrag weder beschränkt noch ausgeschlossen werden.
2
Ob der Anspruch im Wege der Gesamtrechtsnachfolge auf Erben übergehen kann, ist zweifelhaft. Die Erbeneigenschaft müsste zunächst von dem Erben gegenüber der verantwortlichen Stelle nachgewiesen werden, damit die Auskunft nur gegenüber einem Berechtigten erteilt wird und
3
1 2 3 4
BGBl. I, S. 207. BGBl. I, S. 2254. BGBl. I, S. 2814. Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 6, wobei offen bleibt, ob nicht der Anspruch mit befreiender Wirkung nur an den gesetzlichen Vertreter erfüllt werden kann; praktische Relevanz hat diese Frage jedoch kaum, da der Anspruch i.d.R. kostenlos ist und grds. regelmäßig neu geltend gemacht werden kann.
Kamlah 845
BDSG § 34
Datenverarbeitung nicht-öffentlicher Stellen
keine unzulässige Datenübermittlung an unberechtigte Personen erfolgt (s. § 43 Abs. 2). Wenn keine Vorsorgevollmacht vorliegt, kann eine Auskunft über die Daten des Erblassers (etwa über die Vermögensverhältnisse) deshalb in der Regel nicht vor Annahme der Erbschaft gestellt werden. Selbst dann könnte man aber den Auskunftsanspruch bezweifeln. Gegenstand der Erbschaft ist nur das wirtschaftliche Vermögen. Der Schutz des allgemeinen Persönlichkeitsrechts endet mit dem Tod1. Das kann für den potenziellen Erben unbefriedigend sein, da er ja gerade mit Blick auf eine etwaige Annahme oder Ausschlagung der Erbschaft entsprechende Auskunftsersuchen stellt. Alternativ könnte er im Zweifel den Weg eines Nachlassinsolvenzverfahrens beschreiten. Außerdem kann der Erblasser seine Ansprüche nach § 35 nicht mehr geltend machen, so dass der ursprüngliche Sinn des Auskunftsanspruchs nach § 34 mehr erreicht werden kann. 4 Das Recht auf Auskunft kann grundsätzlich durch einen Bevollmächtigten (z.B. Anwälte, Ehegatten) ausgeübt werden. Für die verantwortliche Stelle entsteht aber in aller Regel das praktische Problem, dass die Wirksamkeit oder Echtheit der Vollmacht kaum zweifelsfrei zu ermitteln ist. Dies ist aber notwendig, um sicherzustellen, dass keine Auskunft an einen unberechtigten Dritten erfolgt (s. § 43 Abs. 2). Praxis ist daher vielfach, dem Auskunftsverlangen in der Gestalt nachzukommen, dass die Auskunft nicht gegenüber dem Bevollmächtigten, sondern mit befreiender Wirkung (s. § 362 BGB) gegenüber dem (vermeintlichen) Vollmachtgeber erteilt wird. Sofern eine Vollmacht tatsächlich nicht vorgelegen hat, ist jedenfalls keine Datenübermittlung an einen unberechtigten Dritten erfolgt. 5 Je nach Reichweite ihrer Betreuungspflicht, können auch Betreuer Auskünfte erhalten, wobei auch hier die Bestallung und die Reichweite der Betreuung gegenüber der verantwortlichen Stelle nachzuweisen ist. 6 Unter dem Künstler- und Aliasnamen gespeicherte Daten sind grundsätzlich ebenfalls nach § 34 zu beauskunften2. III. Anwendungsbereich 7 Die Norm gilt gemäß § 27 für den nicht-öffentlichen Bereich (Einzelheiten s. dort sowie § 28a, zu den Erweiterungen für geschäftsmäßige Datenverarbeiter siehe auch Abs. 1 Satz 3 und 4 sowie Abs. 3) und im Anwen1 BVerfG v. 25.8.2000 – 1 BvR 2707/95, NJW 2001, 594. 2 AG Hamburg-Altona v. 17.11.2004 – 317 C 328/04 DuD 2005, 170.
846 Kamlah
Auskunft an den Betroffenen
§ 34 BDSG
dungsbereich des BDSG belegene nicht-öffentliche Stellen (s. auch § 1 Abs. 5). Unerheblich ist dagegen, ob es sich bei dem Anspruchsteller um einen ausländischen Mitbürger (mit ausländischem Wohnsitz) handelt1. Für den öffentlichen Bereich gilt § 19. Teilweise existieren spezialgesetz- 8 liche Sonderregelungen, die wegen § 1 Abs. 3 vorgehen. 1. Voraussetzung des Auskunftsersuchens Nach § 34 Abs. 1 hat die verantwortliche Stelle dem Betroffenen Auskunft über die zu seiner Person gespeicherten Daten zu erteilen (Abs. 1 Nr. 1, 1. Halbs.). Der Begriff der verantwortlichen Stelle ist in § 3 Abs. 7 und der der personenbezogenen Daten in § 3 Abs. 1 definiert2.
9
Der Anspruchscharakter ergibt sich aus der Formulierung („hat“). Ausnahmen bestehen nach Abs. 7. Der Auskunftsanspruch ist abhängig von der Geltendmachung eines entsprechenden Verlangens des Betroffenen.
10
Die Ausübung des Anspruchs ist grundsätzlich formfrei. Dies bedeutet, dass Auskunftsersuchen per Brief, per Fax, per E-Mail, SMS, aber auch mündlich (in den Geschäftsräumen der verantwortlichen Stelle, s. Abs. 9) oder fernmündlich gestellt werden können. Dementsprechend ist nicht einmal eine Unterschrift erforderlich, um einen Auskunftsanspruch geltend zu machen. Diese kann aber hilfreich zur Identifizierung sein.
11
Gleichwohl stellt sich die Frage, welche Anforderungen an ein wirksames Auskunftsersuchen zu stellen sind, damit die verantwortliche Stelle den Anspruch auch tatsächlich erfüllen kann. Diese Frage ist insbesondere wegen der Bußgeldandrohung in § 43 Abs. 1 Nr. 8a bedeutsam. So ist das Auskunftsersuchen korrekt an die verantwortliche Stelle zu richten. Sofern nicht etwa in öffentlich zugänglichen Informationsmedien auf eine andere Adresse verwiesen wird, ist das Auskunftsersuchen an den Sitz der verantwortlichen Stelle zu richten. Zumindest müssen bei einer Adressierung an eine Zweigstelle oder Niederlassung, zeitliche Verzögerungen in Kauf genommen werden.
12
Daneben muss die verantwortliche Stelle in die Lage versetzt werden, den Betroffenen zweifelsfrei zu identifizieren, damit die Auskunft auch an den um Auskunft ersuchenden Betroffenen ergeht und es nicht zur unbefugten Übermittlung von personenbezogenen Daten (des Betroffenen) an
13
1 Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 6. 2 Zu Biobanken oder Gendatenbanken sowie medizinischen Registern Simitis/ Dix, § 34 BDSG Rz. 16.
Kamlah 847
BDSG § 34
Datenverarbeitung nicht-öffentlicher Stellen
eine dritte Person kommt (s. § 43 Abs. 2, wohingegen § 42a nicht berührt sein dürfte)1. Da in aller Regel eine Identifizierung anhand der üblichen Angaben wie Vorname, Name, Anschrift und Geburtsdatum erfolgt, obliegt es dem Betroffenen, der verantwortlichen Stelle diese Daten im Rahmen des Auskunftsersuchens zu übermitteln. Da hier die Initiative der Datenverarbeitung von dem Betroffenen ausgeht, stellt das Zurverfügungstellen der personenbezogenen Daten aus Sicht der verantwortlichen Stelle keine Erhebung i.S.v. § 3 Abs. 3 dar, die eine Pflicht zur Zulässigkeitsprüfung seitens der verantwortlichen Stelle auslöst. Das ist auch deshalb sachgerecht, weil im Zeitpunkt des Auskunftsersuchens weder der Betroffene noch die verantwortliche Stelle weiß, welche personenbezogenen Daten zur zweifelsfreien Identifizierung tatsächlich erforderlich sind. Die Verantwortung für etwa „zu viel“ zur Verfügung gestellte Daten kann – vorbehaltlich der Pflicht zur Wahrung der Zulässigkeit der weiteren Datenverarbeitung und Nutzung – nicht zu Lasten der verantwortlichen Stelle gehen. Jedenfalls wäre aber eine Speicherung nach § 28 Abs. 1 Satz 1 Nr. 1 wohl zulässig. Etwas anderes gilt allenfalls dann, wenn der verantwortlichen Stelle aufgrund der zur Verfügung gestellten Daten keine zweifelsfreie Identifizierung möglich ist und diese den Betroffenen nach weiteren Angaben (z.B. Voranschriften, Geburtsort, weitere Vornamen, Aliasnamen, etc.) fragt2. Dann stellt sich die Frage, ob diese Erhebung zulässig, insbesondere erforderlich ist. Das ist aber dann der Fall, wenn ohne diese Angaben eine zweifelsfreie Identifizierung nicht möglich ist3. Ein praktisches Problem der Identifizierung besteht insbesondere dann, wenn die gespeicherten Adressen von den im Rahmen des Auskunftsersuchens angegebenen Adressen abweichen. Gerade in diesem Fall muss um weitere Angaben gebeten werden4. Besonders problematisch ist das bei Betroffenen ohne festen Wohnsitz. 14 Entsprechendes gilt, wenn seitens der verantwortlichen Stelle Antragsformulare vorgehalten werden. Etwaige „Pflichtfelder“ dürfen nicht dazu 1 Wegen der Strafandrohung geht Simitis/Dix, § 34 BDSG Rz. 43 ff. auch von einer Verpflichtung zur Identitätsprüfung aus; eine explizite Verpflichtung dagegen wohl ablehnend Gürtler/Kriese, RDV 2010, 47 (55) mit Fn. 38. 2 In diesen Fällen sind nach Gola/Schomerus, § 34 BDSG Rz. 7 weitere Maßnahmen zu treffen. 3 Auch Simitis/Dix, § 34 BDSG Rz. 14 geht davon aus, dass im Zweifel zusätzliche Angaben erfragt werden müssen und damit erfragt werden dürfen. Er lässt bei nicht zweifelsfreier Identifizierung sogar die Verpflichtung zur Auskunftserteilung entfallen. 4 So auch Simitis/Dix, § 34 BDSG Rz. 43, dort auch zu den Identifizierungsmöglichkeiten mittels Personalausweisen.
848 Kamlah
Auskunft an den Betroffenen
§ 34 BDSG
führen, dass von deren Ausfüllung die Erteilung der Auskunft abhängig gemacht wird, wenn die Angaben zur Beauskunftung nicht erforderlich sind. Werden diese nicht vollständig ausgefüllt, bleibt die verantwortliche Stelle zur Prüfung verpflichtet, ob nicht anhand der gemachten Angaben eine Identifizierung und Auskunftserteilung möglich ist. Umstritten ist, ob zum Zwecke der Identifizierung Ausweiskopien ver- 15 langt werden dürfen1. Das kann erforderlich sein, wenn beispielsweise die Antragsdaten nicht mit denen bei der verantwortlichen Stelle übereinstimmen. Auch hier stellt sich dann die Frage, welche Daten aus dem Ausweis genau zur Identifizierung erforderlich sind und ob Teile der Ausweisdaten seitens des Betroffenen geschwärzt werden dürfen. In jedem Fall darf die Überlassung der (ungeschwärzten) Ausweiskopien nicht zur Voraussetzung für eine Auskunft gemacht werden. Die Übernahme von Daten aus den Ausweiskopien ist nur eingeschränkt möglich2. In jedem Fall sollten nach erfolgter Identifizierung die Ausweiskopien vernichtet werden. Der Erstellung einer Ausweiskopie ist dabei in bestimmten Fällen gestattet3. Bei telefonischen Auskunftsersuchen werden i.d.R. gesteigerte Anforde- 16 rungen an eine zweifelsfreie Identifizierung zu stellen sein. Ggf. sind zusätzliche Angaben zu erfragen4. Bei Bestehen eines Vertragsverhältnisses können hier Kundenkennwörter oder ähnliches geeignet sein. Besteht ein vertragliches Schuldverhältnisses zum Betroffenen jedoch nicht, wurden im Vorfeld des Auskunftsersuchens in aller Regel auch keine Kennwörter vergeben, um die Identität festzustellen. Da die Telefonnummern Dritter aus öffentlichen Verzeichnissen entnommen werden können, stellt ein Rückruf auch nicht sicher, dass man dort die Person erreicht, zu deren Daten Auskunft erteilt werden soll. In solchen Fällen ist dann im Zweifel der Betroffene auf den Schriftweg zu verweisen. Nach Abs. 1 Satz 2 soll der Betroffene die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen. Aus 1 Die Zulässigkeit der Vorlage des Ausweises bejahend jedenfalls für bei persönlichem Erscheinen des Betroffenen Gola/Schomerus, § 34 BDSG Rz. 7. 2 Vgl. § 20 Personalausweisgesetz, § 18 Passgesetz; zur Funktionsweise des elektronischen Personalausweises s. die Broschüre des Bundesministeriums des Innern „Der neue Personalausweis – Informationen zur Online-Ausweisfunktion“, Mai 2012. 3 Vgl. Erörterungen zwischen dem Bundesministerium des Innern, den Auskunfteien und den obersten für den Datenschutz zuständigen Aufsichtsbehörden im nicht-öffentlichen Bereich (Düsseldorfer Kreis), s. RDV 2012, 184. 4 Däubler/Klebe/Wedde/Weichert/Däubler, § 35 BDSG Rz. 27 f.
Kamlah 849
17
BDSG § 34
Datenverarbeitung nicht-öffentlicher Stellen
dem Soll-Charakter der Vorschrift wird deutlich, dass die nähere Bezeichnung in diesem Sinne nicht zwingend ist. 18 Der Soll-Charakter hat aber seinen Grund darin, dass der Betroffene ja im Zweifel erst über die erhaltene Auskunft erkennt, ob und welche Daten über ihn gespeichert sind. Daher wird er teilweise nicht in der Lage sein, die Daten, über die er Auskunft verlangt, genauer zu bezeichnen. Allerdings kann die verantwortliche Stelle ggf. zurückfragen und darum ersuchen das Auskunftsersuchen zu präzisieren. Aus der Soll-Vorschrift ergibt sich aber auch, dass – zumindest dann, wenn die verantwortliche Stelle um Konkretisierung gebeten hat – eine Auskunftspflicht nicht besteht, wenn dann keine Konkretisierung erfolgt. 19 Dementsprechend dürfte es zulässig sein, mangels hinreichender Konkretisierung die Auskunft auch stufenweise zu erteilen, ohne dass durch dieses Vorgehen Sanktionen nach § 43 Abs. 1 Nr. 8a ausgelöst werden1. 20 Die vielfach öffentlich bereit gehaltenen Formulare, in denen nur pauschal um Beauskunftung der gespeicherten Daten gebeten wird, verpflichten die verantwortliche Stelle mithin nicht ohne weiteres zu einer pauschalen Beauskunftung2. 2. Inhalt der Auskunft (Abs. 1) 21 Nach § 34 Abs. 1 hat die verantwortliche Stelle dem Betroffenen Auskunft über die zu seiner Person gespeicherten Daten zu erteilen3. Der Begriff der Speicherung ergibt sich aus § 3 Abs. 4 Nr. 1. Dass es sich dabei um personenbezogene Daten handeln muss, ergibt sich zum einen bereits aus § 1 Abs. 1 und § 3 Abs. 1 (s. dort auch zu Werturteilen4, sowie zur Frage, ob Daten zu juristischen Personen auch Personenbezug aufweisen können) sowie aus § 3 Abs. 6. Daraus folgt gleichzeitig, dass nur die Daten des Betroffenen selbst zu beauskunften sind. Es ist auch über das völlige Fehlen von Daten Auskunft zu erteilen5 (s. aber auch Abs. 1 Satz 3). 1 Vgl. Gola/Schomerus, § 34 BDSG Rz. 5 f. 2 Vgl. auch Simitis/Dix, § 34 BDSG Rz. 41. 3 Über bereits – beispielsweise wegen § 35 BDSG – gelöschte Daten ist daher nicht Auskunft zu erteilen. Daraus ergibt sich die Frage, ob allein zum Zwecke der Auskunftserteilung (weiterhin) zu speichern ist. Dies ist jedoch abzulehnen, so auch Simitis/Dix, § 34 BDSG Rz. 7; zu beachten ist allerdings, dass die Absätze 2 und 4 des § 34 dieses jedoch nunmehr genau vorschreiben. 4 S. hierzu bei Bewertungsportalen Härting CR 2009, 21 (26). 5 So auch Simitis/Dix, § 34 BDSG Rz. 18.
850 Kamlah
Auskunft an den Betroffenen
§ 34 BDSG
Das Gesetz definiert keinen Zeitraum, sondern spricht lediglich von den (zur Zeit des Auskunftsverlangens) gespeicherten Daten. Ob etwa Altdaten noch zulässigerweise gespeichert sind, ist im Rahmen von § 35 zu beantworten, dessen Geltendmachung ja durch § 34 erst ermöglicht werden soll.
22
Es ist aber nicht nur die Tatsache zu beauskunften, welche Daten ge- 23 speichert sind, sondern auch deren Herkunft mit anzugeben. Damit soll sichergestellt werden, dass der Betroffene den „Weg“ seiner Daten nachvollziehen kann, um dann ggf. dort weitergehende Rechte verfolgen zu können. Dementsprechend kann bei Daten, die aus allgemein zugänglichen Quellen entnommen wurden, eine abstrakte – generalisierende – Beschreibung der Herkunft erfolgen. Umgekehrt genügt als Herkunftsangabe die Nennung einer identifizierbaren natürlichen oder juristischen Person (exakte Firmierung). Eine Verpflichtung zur Speicherung der Herkunft ist daraus aber nicht abzuleiten (s. aber Abs. 1 Satz 3)1. Gemäß Abs. 1 Satz 1 Nr. 2 hat die Auskunft auch den Empfänger oder die Kategorien von Empfängern2, an die die Daten weitergegeben werden, zu enthalten. Der Begriff des Empfängers ergibt sich aus § 3 Abs. 8 Satz 1 (in Abgrenzung zum „Dritten“ nach § 3 Abs. 8 Satz 2). Der Begriff der Kategorien von Empfängern ist im BDSG selbst nicht definiert, erscheint aber auch in § 4 Abs. 3 Nr. 3 und in § 4e Abs. 1 Satz 1 Nr. 6 (vgl. § 33). Als Kategorien von Empfängern dürften die üblichen Branchenoder Wirtschaftsbezeichnungen (z.B. „Unternehmen der Telekommunikationsbranche“) ausreichend sein.
24
Schließlich muss die Auskunft über den Zweck der Speicherung infor- 25 mieren (Abs. 1 Satz 1 Nr. 3). Das ist notwendig, da der Betroffene nur so ggf. unzulässige Zweckänderungen feststellen kann, wobei hier eine allgemeine Zweckbeschreibung (z.B. „Vertragsabwicklung“) ausreichend ist3. Für die geschäftsmäßigen Datenverarbeiter nach § 29 gelten Sondervorschriften zur Herkunfts- und Empfängerangabe.
1 Simitis/Dix, § 34 BDSG Rz. 22; vgl. OVG Hamburg v. 7.7.2005 – 1 Bf 172/03, RDV 2006, 73. 2 Richtigerweise erstreckt sich der Anspruch nicht auf die Angabe der Anschrift des Empfängers, a.A. Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 14. 3 Hoss, RDV 2011, 6 (6).
Kamlah 851
26
BDSG § 34
Datenverarbeitung nicht-öffentlicher Stellen
3. Speicherungs- und Auskunftspflicht bei der Übermittlung von Daten zu Werbezwecken (Abs. 1a) 27 Abs. 1a normiert besondere Auskunfts- und Speicherungspflichten für den Fall der Übermittlung sog. listenmäßig zusammengefasster Daten zu Werbezwecken gemäß § 28 Abs. 3 Satz 4. Gemäß Abs. 1a müssen sowohl der Übermittler (Satz 1) als auch der Empfänger (Satz 2) die Tatsache der Übermittlung, die Herkunft der Daten und den Empfänger für die Dauer von zwei Jahren nach der Übermittlung speichern. Genaue Anforderungen an die Art der Speicherung stellt das Gesetz nicht. Zu beachten ist, dass die Zweijahresfrist mit der Übermittlung aktualisierter Daten neu zu laufen beginnt. 28 Auffallend ist, dass in § 28 Abs. 3 Satz 4 lediglich darauf verwiesen wird, dass Abs. 1a Satz 1 (Auskunfts- und Speicherungspflicht des Übermittlers) zu berücksichtigen sei. Es fehlt mithin ein Hinweis auf die Pflicht zur Berücksichtigung der Regelungen auch des Satzes 2 (Auskunfts- und Speicherungspflicht des Empfängers). Nach der hier vertretenen Ansicht ist davon auszugehen, dass es sich bei dem fehlenden Verweis in § 28 Abs. 3 Satz 4 auf Abs. 1a Satz 2 um ein Redaktionsversehen handelt, so dass auch die Auskunfts- und Speicherungspflicht des Empfängers nach Satz 2 bei der Übermittlung listenmäßig zusammengefasster Daten zu berücksichtigen ist (vgl. § 28 Rz. 137). 4. Inhalt der Auskunft beim Scoring (Abs. 2) 29 Abs. 2 wurde durch die BDSG-Novelle I mit dem Ziel eingeführt, mehr Transparenz beim sog. Scoring herbeizuführen. Der Eingangssatz des Abs. 2 verweist zunächst auf die nach § 28b für die Entscheidung verantwortliche Stelle (zur Entstehungsgeschichte1 s. § 28a und § 28b). Damit ist das Auskunftsrecht nach § 34 Abs. 2 nur für die verantwortlichen Stellen relevant, die sich mit ihren Verfahren auch tatsächlich im Anwendungsbereich des § 28b befinden. Als Anknüpfungsnorm ist daher zunächst der Anwendungsbereich des § 28b zu prüfen (s. § 28b). 30 Dem Betroffenen ist nach Abs. 2 seitens der verantwortlichen Stelle auch nur auf Verlangen entsprechend Auskunft zu erteilen. Damit wird deutlich, dass die jeweiligen Auskunftsansprüche nach Abs. 1 und 2 nebeneinander stehen und sowohl isoliert als auch zusammen geltend gemacht werden können. Das bedeutet aber auch, dass der Betroffene 1 Simitis/Dix, § 34 BDSG Rz. 33 spricht hier von Misstrauen des Gesetzgebers ohne allerdings weiter auszuführen, worauf sich dieses begründet.
852 Kamlah
Auskunft an den Betroffenen
§ 34 BDSG
seine Auskunftsansprüche entsprechend konkretisieren muss. So muss für die verantwortliche Stelle erkennbar sein, ob (etwa neben dem Anspruch aus Abs. 1) auch ein Anspruch aus Abs. 2 geltend gemacht wird. Das Verlangen nach Abs. 2 kann ebenso formfrei geltend gemacht werden, wie das des Abs. 1 (auf die Ausführungen in Rz. 11 kann daher verwiesen werden).
31
Der Inhalt der Auskunft ergibt sich aus den Nr. 1–4 von Abs. 2 Satz 1.
32
a) Wahrscheinlichkeitswerte (Abs. 2 Satz 1 Nr. 1) Nach Abs. 2 Satz 1 Nr. 1 müssen die erhobenen und erstmalig gespei- 33 cherten (s. § 3 Abs. 4) Wahrscheinlichkeitswerte (zur Abgrenzung vom Begriff des Bestandteils eines Wahrscheinlichkeitswertes nach Satz 3 Nr. 2 sowie zur bloßen Zwischenrechnung, s. § 28b) beauskunftet werden. Konkret kann dieser Wahrscheinlichkeitswert aus der Angabe einer Erfüllungs- oder Ausfallwahrscheinlichkeit in Prozent bestehen. Auch Zahlenangaben innerhalb einer definierten Skalierung oder Werte ähnlich den Schulnoten sind denkbar und wären dementsprechend Inhalt der Auskunft. Der Begriff der Erhebung ist hier – über den Wortlaut des § 3 Abs. 3 hi- 34 naus – so zu verstehen, dass die Wahrscheinlichkeitswerte, die durch die verantwortliche Stelle selbst, etwa auf Basis eigener Datenbanken oder der jeweiligen Antragsdaten errechnet wurden, ebenfalls vom Anwendungsbereich der Norm erfasst sind. Alternativ dazu sind auch erstmalig gespeicherte Wahrscheinlichkeitswerte zu beauskunften. Diese Alternative kann sich sowohl auf die erstmalig durch die verantwortliche Stelle selbst errechneten Wahrscheinlichkeitswerte als auch auf die vorher durch Dritte übermittelten Wahrscheinlichkeitswerte beziehen.
35
Hintergrund für diese Regelung sind verschiedene Ausprägungen von 36 Scoreverfahren. Danach gibt es sog. externe Scoreverfahren, bei denen der Wahrscheinlichkeitswert durch einen externen Dienstleister wie etwa eine Auskunftei übermittelt wird, wie aber auch interne Scoreverfahren, bei denen der Wahrscheinlichkeitswert auf Basis eigener Datenbanken der verantwortlichen Stelle oder der Antragsdaten errechnet wird. Auch sog. integrierte Scoreverfahren, bei denen extern ermittelte Rechenergebnisse mit intern errechneten Rechenergebnissen kombiniert werden und erst durch diese Kombination der Wahrscheinlichkeitswert entsteht, sind weitverbreitete Praxis. Mit der in Abs. 2 Satz 1 Kamlah 853
BDSG § 34
Datenverarbeitung nicht-öffentlicher Stellen
Nr. 1 zum Ausdruck gebrachten Alternative soll mithin sichergestellt werden, dass der Betroffene lückenlos seine „Wahrscheinlichkeitshistorie“ nachvollziehen kann und in jedem Fall erfährt, welcher Wahrscheinlichkeitswert bei der verantwortlichen Stelle der Entscheidung zugrunde gelegen hat. Dabei spielt es keine Rolle, ob ein Vertrag mit dem Betroffenen tatsächlich zustande gekommen ist. 37 Der Zeitraum, für die Wahrscheinlichkeitswerte zu beauskunften sind, wird auf sechs Monate vor dem Zugang des Auskunftsverlangens bestimmt. Da der verantwortlichen Stelle im Allgemeinen eine gewisse Bearbeitungsfrist zur Erfüllung des Auskunftsverlangens zuzubilligen ist, entsteht für die verantwortliche Stelle die praktische Problematik, ob – dem Wortlaut der Vorschrift entsprechend – bei der Auskunftserteilung auf die sechs Monate ab dem Zugang des Auskunftsverlangens abzustellen ist oder auf den Zeitpunkt der Auskunftserteilung selbst. Die Beantwortung dieser Problematik ergibt sich aus dem Sinn und Zweck der Norm und dem Interesse des Betroffenen. Dieses Interesse besteht insbesondere an einer aktuellen Auskunft. Stellte man dagegen auf den Zeitpunkt des Zugangs des Auskunftsersuchens ab, so wäre die Auskunft aufgrund der zuzubilligenden Bearbeitungszeit unter Umständen schon einige Wochen alt. Damit enthielte diese Auskunft nicht mehr die zuletzt errechneten und gespeicherten Wahrscheinlichkeitswerte. Das ist insbesondere in den Fällen nicht i.S.d. Betroffenen, in denen die Wahrscheinlichkeitswerte nicht im Kontext einer Beantragung (Begründung) eines Vertragsverhältnisses mit dem Betroffenen, sondern – ohne direkte Veranlassung durch den Betroffenen – zu dessen Durchführung oder Beendigung ermittelt wurden. Hier interessiert den Betroffenen die aktuelle Entwicklung seiner Wahrscheinlichkeitswerte. An bereits einigen Wochen oder Monaten zurückliegenden – auf Wahrscheinlichkeitswerten beruhenden – Entscheidungen besteht dagegen in aller Regel kein Interesse mehr, so dass im Ergebnis der Auskunftsanspruch dadurch erfüllt wird, wenn die Wahrscheinlichkeitswerte der letzten sechs Monate seit Auskunftserteilung beauskunftet werden. Die Fristbestimmung mit ihrer Anknüpfung an den Zugang hat vielmehr alleine den Zweck, einen Anknüpfungspunkt für § 43 Abs. 1 Nr. 8a zu bieten. b) Datenarten (Abs. 2 Satz 1 Nr. 2) 38 Nach Abs. 2 Nr. 2 sind kumulativ zu den Wahrscheinlichkeitswerten nach Abs. 2 Nr. 1 die zu deren Berechnung genutzten Datenarten zu beauskunften. Der Begriff der Nutzung orientiert sich dabei an § 3 Abs. 5.
854 Kamlah
Auskunft an den Betroffenen
§ 34 BDSG
Der Begriff der Datenarten ist im BDSG nicht näher definiert. Aus der 39 Tatsache, dass im Gesetz nicht der Begriff der personenbezogenen Daten gewählt wurde, ist jedoch zu schließen, dass nicht die sog. Einzelparameter in Form der konkret der Berechnung zugrunde liegenden personenbezogenen Daten gemeint und dementsprechend zu beauskunften sind. In diesem Zusammenhang ist auch zu berücksichtigen, dass die personenbezogenen Einzeldaten selbst schon nach § 34 Abs. 1 zu beauskunften sind. Insoweit ist der Betroffene mit Blick auf etwaige Berichtigungsansprüche hinsichtlich der gespeicherten und einer Scoreberechnung zugrunde liegenden Daten hinreichend geschützt. Wie weit bei der Beauskunftung auf abstrakte Oberbegriffe abgestellt werden kann, ist im Einzelnen umstritten. Hier stehen sich das Transparenzgebot zugunsten des Betroffenen und das Bedürfnis der verantwortlichen Stelle an der Wahrung des Betriebs- und Geschäftsgeheimnisses hinsichtlich der eingesetzten Scoreverfahren1 gegenüber. Es können aber beispielsweise die Strasse, die Hausnummer, die Postleitzahl und der Ort als „Adressdaten“ zusammengefasst werden, um den Auskunftsanspruch zu erfüllen2. Dementsprechend wird man in Anlehnung an § 10 Abs. 1 Satz 6 KWG auf den dort genannten Abstraktionsgrad (u.a. Zahlungsverhalten und Vertragstreue) zurückgreifen können. Damit können unter dem Begriff „Einkommensdaten“ einzelne personenbezogene Daten, wie Angaben zu Gehalt und sonstigen Einnahmen, ebenso zusammengefasst werden wie etwa Beruf, Arbeitgeber und Beschäftigungsdauer unter dem Begriff der „Daten aus dem Beschäftigungsverhältnis“ (zu „Art der Daten auch § 33)3. Eine Datenart können auch durch Dritte zugelieferte Scorebestandteile sein („Auskunfteiscore“). In diesem Fall kann der Betroffene ggf. dann weitergehende Rechte nach Abs. 4 geltend machen.
1 S. schon Erwägungsgrund 41 der RL 95/46/EG; auch die Gesetzesbegründung setzt sich dezidiert mit der Abwägung zwischen dem Informationsinteresse des Betroffenen und dem Geheimhaltungsinteresse der verantwortlichen Stelle auseinander, BT-Drucks. 10/529, S. 17. 2 S. BT-Drucks. 16/10529, S. 17. 3 S. auch Gürtler/Kriese, RDV 2011, 48 ff. (53 und 58 f.); Abel, RDV 2009, 147 (150). Im Gesetzgebungsverfahren gab es den Vorschlag, dass im Rahmen der Auskunft „die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten in absteigender Reihenfolge ihrer Bedeutung für das im Einzelfall berechnete Ergebnis“ beauskunftet werden müssen. Außerdem wurde vorgeschlagen den Begriff „Datenarten“ durch „Daten“ zu ersetzen, BR-Drucks. 548/08, S. 16 f. Dieser Vorschlag wurde jedoch abgelehnt, da eine Einordnung des Scorewerts „im allgemeinen Rahmen“ ausreichen sollte, BT-Drucks. 16/10581, S. 5.
Kamlah 855
BDSG § 34
Datenverarbeitung nicht-öffentlicher Stellen
c) Einzelfallbezogene und nachvollziehbare Erläuterung (Abs. 2 Satz 1 Nr. 3) 40 Nach Abs. 2 Satz 1 Nr. 3 sind das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemeinverständlicher Form zu beauskunften. 41 Mit der Erläuterung der Bedeutung, soll dem Betroffenen die Möglichkeit gegeben werden zu erkennen, wie der Wahrscheinlichkeitswert einzuschätzen ist. Die bloße Bekanntgabe des Wahrscheinlichkeitswerts selbst sagt hierüber nichts aus. Der Betroffene soll erkennen können, ob es sich bei dem Wahrscheinlichkeitswert um einen guten, mittleren oder schlechten Wahrscheinlichkeitswert handelt1. Das kann auch durch generalisierende Aussagen wie „überdurchschnittliches Risiko“ erreicht werden. 42 Die Erläuterung der Bedeutung bedingt nicht, dass die Gewichtung der einzelnen Datenarten bekannt gegeben werden müsste. Eine noch in den Gesetzesentwürfen enthaltene entsprechende Formulierung ist nicht Gesetz geworden2. 43 Daneben ist auch das Zustandekommen einzelfallbezogen und nachvollziehbar in allgemeinverständlicher Form zu erläutern. Diese Aneinanderreihung von unbestimmten Rechtsbegriffen schafft Rechtsunsicherheit und ist wegen § 43 Abs. 1 Nr. 8a verfassungsrechtlich bedenklich (Bestimmtheitsgebot). Die Formulierung „in allgemeinverständlicher Form“ ist nicht legaldefiniert. Sie findet sich aber in § 6c Abs. 1 Nr. 2 und in § 13 Abs. 1 Satz 1 TMG. Dementsprechend wird man an den Auskunftsinhalt keine allzu hohen Anforderungen stellen dürfen3. Komplexe mathematische Formeln sind demnach nicht zu offenbaren, zumal sie auch nicht allgemein verständlich, d.h. aus sich heraus für
1 S. BT-Drucks. 16/13219, S. 9. 2 S. Entwurf vom August 2007, Anlage zum Schreiben des Bundesministeriums des Innern vom 7.8.2007, Az. V6-191 521-4/0; dementsprechend sind auch nicht die Bedeutungsreihenfolge der einzelnen Datenarten oder etwaige „Scoretreiber“ zu offenbaren; a.A. jedoch Simitis/Dix, § 34 BDSG Rz. 33. 3 Eine nachvollziehbare bzw. allgemein verständliche Auskunft ist nicht mit einer nachrechenbaren gleichzusetzen, es genügt, dass der Betroffene erkennen kann, wie die ausgewiesene Bewertung im Verhältnis zur Bewertungsskala einzustufen ist. Auch im Gesetzeswortlaut findet sich die Formulierung „nachvollziehbar“. Hätte der Gesetzgeber auch die Offenbarung der Berechnungsmethode gewollt, so hätte er dies durch nachrechenbar ersetzen müssen, vgl. Heinemann/Wäßle, MMR 2010, 600 ff. (602).
856 Kamlah
Auskunft an den Betroffenen
§ 34 BDSG
den Betroffenen verständlich sind1. Der Betroffene muss vielmehr (nur) in die Lage versetzt werden, dass er den zugrunde liegenden Entscheidungsvorgang so nachvollziehen kann, dass er seinen Standpunkt geltend machen kann. Dies erfordert eine Transparenz, die es dem Betroffenen ermöglicht, die im Rahmen von Wahrscheinlichkeitsberechnungen typisierende Betrachtungsweise so zu erkennen, dass er auf seine bei ihm persönlich etwa vorliegenden atypischen Lebenssachverhalte konkret hinweisen kann (so kann beispielsweise ein längerer Auslandsaufenthalt dazu führen, dass es im Inland keine – ausreichenden Zahlungserfahrungen gibt). Das Kriterium der Einzelfallbezogenheit würde es aber verbieten, eine 44 rein generische Information zu erteilen, die in keinem direkten Bezug zu den konkreten Wahrscheinlichkeitswerten stehen, die über den Betroffenen vorliegen. Idealerweise kann der Betroffene aus der Auskunft ersehen, „woran es (bei ihm) gelegen hat“ (s. § 6a). Dementsprechend kann – eine entsprechende Informationstiefe vorausgesetzt – auch mit standardisierten Auskünften und Erläuterungen der Auskunftsanspruch erfüllt werden. d) Auskunft bei Berechnung des Wahrscheinlichkeitswerts durch Dritte (Abs. 2 Satz 3 bis 6) Die Regelungen des Abs. 2 Satz 3 bis 6 bestimmen, wie die Transparenz für den Betroffenen sichergestellt werden kann, wenn die Berechnung des Wahrscheinlichkeitswerts zumindest teilweise mit Unterstützung Dritter2 erfolgt3.
45
Wird die Berechnung des Wahrscheinlichkeitswerts vollständig durch 46 einen Dritten durchgeführt, sehen die Vorschriften zugunsten der für die Entscheidung verantwortlichen Stelle im Grunde ein Wahlrecht vor. Entweder erfüllt die verantwortliche Stelle den Auskunftsanspruch nach Abs. 2 Satz 1 selbst. In diesem Fall hat ihr der Dritte auf Verlangen alles so zur Verfügung zu stellen, dass der Auskunftsanspruch nach 1 S. BT-Drucks. 16/10529, S. 17; auch das Landgericht Wiesbaden und das Landgericht Hannover haben entschieden, dass es keinen Anspruch auf Beauskunftung der Scoreformel gibt, LG Wiesbaden v. 21.4.2011 – 9 O 377/10; LG Wiesbaden v. 1.12.2011 – 8 O 100/11, ZD 2012, 283; LG Hannover v. 16.9.2011 6 O 36/11. Ebenso wird in der Literatur anerkannt, dass die Berechnungsmethode als Betriebs- und Geschäftsgeheimnis geschützt ist, Taeger, K&R 2008, 513. 2 Die Formulierung im Gesetz „andere Stelle“ ist insoweit etwas untechnisch. 3 S. hierzu ausführlich Gürtler/Kriese, RDV 2011, 48 (54 ff.).
Kamlah 857
BDSG § 34
Datenverarbeitung nicht-öffentlicher Stellen
Abs. 2 Satz 1 erfüllt werden kann (s. Satz 3). Oder die für die Entscheidung verantwortliche Stelle kann bei vollständiger Berechnung des Wahrscheinlichkeitswerts durch einen Dritten den um Auskunft ersuchenden Betroffenen an diesen Dritten verweisen. Die für die Entscheidung verantwortliche Stelle hat dabei den Namen (genaue Firmierung) und die Anschrift (Sitz der Gesellschaft) des Dritten sowie die zur Bezeichnung des Einzelfalls notwendigen Angaben (z.B. Weiterleitung des Auskunftsersuchens) anzugeben. Macht sie von ihrem Wahlrecht Gebrauch und verweist den Betroffenen an die andere Stelle, so hat sie dies „unverzüglich“, d.h. ohne schuldhaftes Zögern, § 121 BGB zu tun (s. Satz 4). Der Dritte hat die Auskunftsansprüche nach Abs. 2 Satz 1 und 2 unentgeltlich1 zu erfüllen (s. Satz 5). Satz 6 stellt noch einmal für den umgekehrten Fall klar, dass dann, wenn die für die Entscheidung verantwortliche Stelle den Auskunftsanspruch selbst erfüllen möchte, der Dritte nicht ebenfalls zur Auskunft verpflichtet ist. 47 Kein Wahlrecht besteht, wenn der Dritte nur einen Bestandteil des Wahrscheinlichkeitswerts berechnet hat. Diese Grenze des Wahlrechts ergibt sich aus dem Umkehrschluss von Satz 4, der nur auf Satz 3 Nr. 1 verweist. In einem solchen Fall trifft die Auskunftspflicht stets die für die Entscheidung verantwortliche Stelle. Dies setzt jedoch voraus, dass das von dem Dritten errechnete Ergebnis auch tatsächlich ein Bestandteil eines Wahrscheinlichkeitswerts und nicht nur eine Zwischenrechnung war (s. zum Begriff Teilscore oder Rechenschritt/Zwischenrechnung § 28b). Werden lediglich sog. aggregierte Variablen nach Vorgaben der für die Entscheidung verantwortlichen Stelle zugeliefert, woran sich dann erst der eigentliche Rechenschritt anschließt, handelt es sich um einen Fall des Abs. 2 Satz 1. 48 Der Umfang der Zulieferverpflichtung des Dritten orientiert sich dabei an dem, was die für die Entscheidung verantwortliche Stelle im Außenverhältnis gegenüber dem Betroffenen zu erfüllen hat. Dementsprechend erstreckt sich der Umfang der Zulieferverpflichtung nicht auf den Umfang der nach Abs. 4 durch den Dritten ggf. zu erteilenden Auskunft.
1 Der Hinweis auf die Unentgeltlichkeit ist hier irreführend, da sich diese im Außenverhältnis zum Betroffenen bereits aus Abs. 8 ergibt. Demgegenüber obliegt es der Privatautonomie der für die Entscheidung verantwortlichen Stelle und der tatsächlich berechnenden Stelle ggf. im Innenverhältnis eine Aufwandsentschädigung zu vereinbaren.
858 Kamlah
Auskunft an den Betroffenen
§ 34 BDSG
5. Inhalt der Auskunft (Abs. 4 Satz 1) Abs. 4 ist die Parallelvorschrift zu Abs. 2. Sie formuliert für die Stellen, 49 die geschäftsmäßig personenbezogene Daten zum Zwecke der Übermittlung erheben, speichern oder verändern, in welchem Umfang über errechnete Wahrscheinlichkeitswerte Auskunft zu erteilen ist. Anders als Abs. 2 stellt Abs. 4 nicht auf § 28b ab. Das ist insoweit kon- 50 sequent, als dass die in Abs. 4 gemeinten geschäftsmäßigen Datenverarbeiter nach § 29 nicht die für die Entscheidung verantwortlichen Stellen sind1. Vielmehr sind die in Abs. 4 genannten und gemeinten Stellen die sog. „anderen Stellen“ gem. Abs. 2 Satz 3 bis 6. Andererseits erweckt die fehlende Referenzierung auf den § 28b den Ein- 51 druck, als ob auch Wahrscheinlichkeitswerte zu beauskunften sind, die auf Basis von Verfahren ermittelt oder errechnet worden sind, die nicht den Anforderungen des § 28b entsprechen und auch nicht entsprechen müssen, weil der Anwendungsbereich des § 28b nicht eröffnet ist2. Relevant könnte das bei einem durch einen geschäftsmäßigen Datenverarbeiter beispielsweise zum Zwecke der Werbung übermittelten Wahrscheinlichkeitswert werden. Dies würde bedeuten, dass zwar eine Stelle nach Abs. 4 Auskunft zu erteilen hätte, nicht aber die verantwortliche Stelle, die den Wahrscheinlichkeitswert letztlich nutzt, da sie nicht dem Anwendungsbereich des § 28b und damit auch nicht dem des § 34 Abs. 2 unterliegt. Das Auskunftsrecht kann aber seinen Zweck, weitergehende Ansprüche vorzubereiten, schon dann im Ansatz nicht erfüllen, wenn die letztlich verantwortliche Stelle nicht ebenfalls zur Auskunft verpflichtet ist, mithin die Auskunft des geschäftsmäßigen Datenverarbeiters „in der Luft hängt“ und quasi zum Selbstzweck verkommt. Aus dem nahezu identischen Wortlaut und damit aus Sinn und Zweck der in Abs. 2 und 4 normierten Auskunftsansprüche ergibt sich vielmehr, dass eine lückenlose Transparenz im Rahmen (nur) solcher Entscheidungen hergestellt werden sollte, die im Anwendungsbereich des § 28b liegen. Für den Betroffenen soll deutlich werden, an welcher Stelle ein vermeintlich schlechter Wahrscheinlichkeitswert entstanden ist und damit zu einer möglicherweise unbefriedigenden Entscheidung für den Betroffenen geführt hat, um dann genau gegenüber dieser Stelle seine Rechte geltend machen zu können. Da die Formulierung des Abs. 4 Satz 1 den Wortlaut des § 28b aufnimmt („für ein bestimmtes zukünf1 Weswegen diese auch nicht die Verpflichtung nach § 6a trifft. 2 Dass außerhalb des Anwendungsbereiches des § 28b „unwissenschaftliche“ Verfahren nicht unzulässig sind wurde bereits bei § 28b festgestellt.
Kamlah 859
BDSG § 34
Datenverarbeitung nicht-öffentlicher Stellen
tiges Verhalten“) ist dementsprechend der § 28b in den Eingangssatz des Abs. 4 hineinzulesen, damit die Ansprüche aus Abs. 2 und Abs. 4 parallel laufen und zu einem sinnvollen Ergebnis führen. Dementsprechend fallen Wahrscheinlichkeitswerte, die nicht dem Anwendungsbereich des § 28b unterliegen auch nicht unter die speziellen Auskunftsregelungen. 52 Der Inhalt des Auskunftsanspruchs nach Abs. 4 entspricht dem des Abs. 2. Insoweit kann auf die Ausführungen dort verwiesen werden. Allerdings gibt es – jedenfalls dem Wortlaut nach – drei Abweichungen. 53 Abs. 4 Satz 1 formuliert, dass der Name und die letztbekannte Anschrift der Stelle bekannt zu geben sind, an die die Wahrscheinlichkeitswerte übermittelt worden sind. Durch diesen Mechanismus soll sichergestellt werden, dass dort der Anspruch nach Abs. 2 geltend gemacht werden kann. Das ist aber im Ergebnis wenig hilfreich für den Betroffenen, da sich die Anschrift ändern kann. Wesentlich zur Erfüllung des Auskunftsanspruchs erscheint dagegen die Bekanntgabe des Dritten selbst. Dem Betroffenen wird dann zuzumuten sein, die aktuelle Anschrift ggf. selbst zu ermitteln, sofern sie ihm nicht aufgrund eines bestehenden oder beabsichtigten Vertragsverhältnisses ohnehin bekannt ist. Insoweit wird eine veraltete oder gar fehlende Anschrift nicht zu beanstanden sein. 54 Anders als in Abs. 2 Satz 1 Nr. 1 sind gemäß Abs. 4 die entsprechenden Wahrscheinlichkeitswerte zwölf Monate vorzuhalten. Im Sinne der vom Gesetzgeber beabsichtigten Parallelität der Ansprüche von Abs. 2 und Abs. 4 macht es keinen Sinn, dass die Stellen nach Abs. 4 die übermittelten Wahrscheinlichkeitswerte länger speichern und beauskunften müssen1. In den Monaten sieben bis zwölf kann der Betroffene nicht mehr nachvollziehen, ob der durch die nach Abs. 4 genannte Stelle ermittelte Wahrscheinlichkeitswert durch die verantwortliche Stelle tatsächlich auch so bei einer Entscheidung zugrunde gelegt wurde, da dieser bei der für die Entscheidung verantwortlichen Stelle im Zweifel schon (zurecht) gelöscht wurde. In aller Regel besteht auch nur in unmittelbarem Anschluss an eine Wahrscheinlichkeitswertberechnung ein entsprechendes Informationsbedürfnis des Betroffenen. Damit verkommt in den Monaten sieben bis zwölf der Auskunftsanspruch zu ei1 So stellt auch Simitis/Dix, § 34 BDSG Rz. 34 fest, dass „ein plausibler Grund für die unterschiedlich langen Speicherfristen nicht erkennbar ist.“; eine völlig unverständliche „Begründung“ findet sich hierzu eigenartiger Weise bei der Gesetzesbegründung zu Abs. 4 Satz 2, BT-Drucks. 10/529, S. 18.
860 Kamlah
Auskunft an den Betroffenen
§ 34 BDSG
nem reinen Selbstzweck, da die übermittelten Scorewerte allein zum Zwecke der Auskunftserteilung gespeichert werden müssen1. Ebenso abweichend zu Abs. 2 formuliert Abs. 4 Satz 1 Nr. 2 einen An- 55 spruch auf Auskunft über die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunftsverlangens nach den von der Stelle zur Berechnung angewandten Verfahren ergeben. Sinn dieser Vorschrift ist es, dem Betroffenen die Möglichkeit zu eröffnen, bei einer Stelle nach Abs. 4 einen potenziellen Wahrscheinlichkeitswert zu erfragen, der sich ergeben würde, wenn man bei einer für die Entscheidung selbst verantwortlichen Stelle einen Antrag stellte (Pflicht zur Beauskunftung des sog. tagesaktuellen Wahrscheinlichkeitswerts). Da die Berechnung von Wahrscheinlichkeitswerten auf höchst unterschiedliche und situationsabhängige Weise erfolgen kann, sieht Abs. 4 Satz 1 Nr. 2 vor, dass sich der Auskunftsanspruch (nur) auf die bei der Stelle nach Abs. 4 eingesetzten (Standard-)Verfahren erstreckt und nicht die unterschiedlichen bei den für die Entscheidung verantwortlichen Stellen final eingesetzten Verfahren antizipiert werden können. 6. Inhalt der Auskunft bei Daten ohne Personenbezug (Abs. 2 Satz 2 und Abs. 4 Satz 2) Nach Abs. 2 Satz 2 gelten die Auskunftsverpflichtungen nach Abs. 2 56 Satz 1 entsprechend, wenn die für die Entscheidung verantwortliche Stelle entweder die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten ohne Personenbezug speichert, den Personenbezug aber bei der Berechnung herstellt oder bei einer anderen Stelle gespeicherte Daten nutzt. Durch die Vorschrift soll verhindert werden, dass sich für die Ent- 57 scheidung verantwortliche Stellen dadurch ihren Auskunftspflichten entziehen, indem sie selbst die für die Wahrscheinlichkeitsberechnung erforderlichen Daten lediglich ohne Personenbezug speichern oder auf Datenbestände anderer zurückgreifen. Bei Verfahren, in denen nur die Berechnung von Wahrscheinlichkeitswerten erfolgt, dabei aber auf anonymisierte oder fremde Datenbestände zurückgegriffen wird, die aber nicht oder nur anonym gespeichert werden, bestünde die Gefahr, dass hier Auskunftsansprüche nicht geltend gemacht werden können. Dementsprechend soll sich die für die Entscheidung verantwortliche Stelle nicht darauf berufen können, sie hätte die entsprechenden personenbe1 Damit wird aber das von Simitis/Dix, § 34 BDSG Rz. 7 im Grundsatz kritisierte Data-Mining zu Zwecken des Datenschutzes Realität.
Kamlah 861
BDSG § 34
Datenverarbeitung nicht-öffentlicher Stellen
zogenen Daten nicht oder aufgrund von Löschung nicht mehr und könne daher nicht nach Abs. 2 Satz 1 beauskunften1. 58 Abs. 4 Satz 2 ist fast wortgleich mit Abs. 2 Satz 2 und soll auch für den Abs. 4 entsprechende Umgehungen verhindern. 7. Sondervorschriften für geschäftsmäßige Datenverarbeiter (Abs. 1 Satz 3 und 4, Abs. 3) 59 Nach Abs. 1 Satz 3 haben geschäftsmäßige Datenverarbeiter nach § 29 auch dann Auskunft über Herkunft und Empfänger zu erteilen, wenn diese Angaben nicht gespeichert sind. Diese auf den ersten Blick ungewöhnliche – und über § 27 Abs. 2 hinausgehende2 – Vorschrift soll jedoch verhindern, dass sich geschäftsmäßige Datenverarbeiter ihrer Auskunftspflicht dadurch entziehen, dass bestimmte Angaben nicht gespeichert werden3. Die Verantwortliche Stelle soll sich mithin nicht auf eine „Unmöglichkeit“ berufen können und legt ihr vielmehr ein Beschaffungsrisiko auf. 60 Entgegen Abs. 1 Satz 1 Nr. 3 enthält Abs. 1 Satz 3 keine Nennung der Kategorien von Empfängern als Auskunftsalternative. Allerdings ist auch in diesem Rahmen die Verwendung der üblichen Branchenbezeichnungen ausreichend4. 61 Nach Abs. 1 Satz 4 kann seitens der geschäftsmäßigen Datenverarbeiter die Auskunft über die Herkunft und Empfänger der Daten (nur) dann verweigert werden, wenn das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. Es sind jedoch kaum Fälle denkbar, in denen die Herkunft und Empfänger von Daten ein derartiges Geschäftsgeheimnis darstellen können, da es ja gerade Sinn des Auskunftsanspruches ist, nachvollziehen zu können, wer die Daten geliefert hat und an wen sie zukünftig übermittelt werden sollen5.
1 S. BT-Drucks. 16/10529, S. 17; vgl. auch Simitis/Dix, § 34 BDSG Rz. 35 und 38. 2 S. hierzu undeutlich auch Simitis/Dix, § 34 BDSG Rz. 9. 3 Simitis/Dix, § 34 BDSG Rz. 29 und 37. 4 S. Gola/Schomerus, § 34 BDSG Rz. 16a ff. mit Verweis auf den 19. Tätigkeitsbericht der hessischen Landesregierung zur Datenschutzaufsicht im nicht-öffentlichen Bereich, LT-Drucks. 16/5892. 5 Eingehend Simitis/Dix, § 34 BDSG Rz. 25 ff.
862 Kamlah
Auskunft an den Betroffenen
§ 34 BDSG
Abs. 3 soll die Vorschrift des Abs. 2 Satz 2 ergänzen, um die Lücken in 62 den Auskunftsrechten des Betroffenen zu schließen1. Insoweit kann auf die Ausführungen zu Abs. 2 Satz 2 verwiesen werden. IV. Zweckbindung (Abs. 5) Nach Abs. 5 dürfen die nach den Abs. 1a bis 4 zum Zweck der Auskunftserteilung an den Betroffenen gespeicherten Daten nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verwendet werden.
63
Mit dieser im Zuge der BDSG-Novellen I und II im Jahre 2009/2010 neu 64 eingeführten Vorschrift2 soll dem Umstand Rechnung getragen werden, dass die seinerzeit gleichzeitig neu eingeführten Abs. 1a bis 4 die Speicherung von Daten anordnen, (nur) um diese beauskunften zu können. Das damit zwangläufig verbundene Entstehen großer Datenbanken soll damit abgesichert werden, dass die zum Zwecke der Auskunftserteilung nach Abs. 1a bis 4 gespeicherten Daten eben nur für diese Zwecke verwendet werden dürfen. Der Begriff der Verwendung ist im BDSG nicht definiert, wohl aber weit i.S.v. verarbeiten und nutzen zu verstehen3.
65
Abs. 5 spricht lediglich von Daten, ohne deren Personenbezug entspre- 66 chend der Systematik des BDSG ausdrücklich zu erwähnen. Mit Blick auf die Abs. 2 bis 4 lässt das die Diskussion wieder aufkommen, ob die dort im Wesentlichen geregelten Wahrscheinlichkeitswerte personenbezogene Daten sind4, zumal es auch in dem in Bezug genommenen Abs. 3 gerade um nicht personenbezogene Daten geht. Durch die Verankerung der Wahrscheinlichkeitswerte im BDSG selbst hat aber diese Frage an praktischer Bedeutung verloren. Konsequent und richtig verweist Abs. 5 dabei ausdrücklich nicht auf Abs. 1, denn sonst unterlägen etwa auch die personenbezogenen Bestands- bzw. Vertragsdaten, deren Verarbeitung und Nutzung zur Durchführung beispielsweise einer Kundenbeziehung erforderlich ist, der Zweckbindung.
1 S. BT-Drucks. 10/529, S. 18. 2 So hat die Vorschrift tatsächlich innerhalb weniger Wochen Änderungen erfahren, BGBl. I, S. 2254 und BGBl. I, S. 2814. 3 S. auch §§ 12 ff. TMG. 4 S. hierzu zuletzt zusammenfassend Helfrich, S. 49 ff.
Kamlah 863
67
BDSG § 34
Datenverarbeitung nicht-öffentlicher Stellen
68 Gleichzeitig wird damit aber auch deutlich, dass der Zweckbindung nur die zum Zwecke der Auskunftserteilung vorzuhaltenden Daten unterliegen, nicht jedoch die diesen zugrunde liegenden personenbezogenen Daten selbst. Für die Wahrscheinlichkeitswerte bedeutet das, dass zwar diese selbst unter Einschluss ebenfalls bekanntzugebender Datenarten, nicht jedoch die den Wahrscheinlichkeitswerten zugrunde liegenden Einzeldaten der Zweckbindung unterliegen. Vor allem Daten, deren Personenbezug durch die Auskunftserteilung erst hergestellt wird und nur deshalb gespeichert werden unterliegen der Zweckbindung1. 69 Um diese Zweckbindung zu erreichen, wird schließlich klargestellt, dass die Daten für andere Zwecke zu sperren (§ 3 Abs. 4 Nr. 4) sind2. V. Form der Auskunft (Abs. 6) 70 Nach Abs. 6 ist die Auskunft auf Verlangen in Textform zu erteilen, soweit nicht wegen der besonderen Umstände eine andere Form angemessen ist. Der Gesetzgeber hat sich bewusst für die Textform entschieden, da der Betroffene unkompliziert Auskunft erhalten soll. Schriftform i.S.v. § 126 BGB ist mithin nicht erforderlich3. 71 Wird das Verlangen nicht ausgeübt, kann die Auskunft gleichwohl in Textform erteilt werden. In diesen Fällen ist aber auch eine Erfüllung in anderer Weise denkbar, wie zum Beispiel per Brief oder aber auch mündlich. Das ist insoweit von Bedeutung, als dass bei einer anderen Form der Auskunftserteilung ggf. Maßnahmen zu treffen sind, damit die Auskunft auch tatsächlich den Berechtigten erreicht (s. dazu auch sogleich)4. Ein Anspruch auf Auskunftserteilung in einer anderen Form als der Textform oder in sonst einer bestimmten Form ist der Vorschrift dagegen nicht zu entnehmen und besteht mithin nicht5. Dem „Verlangen“ kommt mithin allenfalls insoweit eine eigene Bedeutung zu, als dass (nur) eine Auskunft in Textform verlangt werden kann. 72 Die durch die Vorschrift beabsichtigte Flexibilität der Auskunftserteilung zugunsten des Betroffenen wird allerdings flankiert und unter den Vorbehalt gestellt, dass nicht wegen der besonderen Umstände eine an1 Gola/Schomerus, § 34 BDSG Rz. 8c. 2 Wobei Simitis/Dix, § 34 BDSG Rz. 48 diese „Klarstellung“ zumindest für irritierend hält; Simitis/Dix a.a.O., Rz. 85 f. zum „Benachteiligungsverbot“. 3 BT-Drucks. 16/529, S. 18. 4 Vgl. Simitis/Dix, § 34 BDSG Rz. 49. 5 Simitis/Dix, § 34 BDSG Rz. 49.
864 Kamlah
Auskunft an den Betroffenen
§ 34 BDSG
dere Form der Auskunftserteilung angemessen ist. Dies führt zur Frage, woraus sich diese besonderen Umstände ergeben können und wer eigentlich die Angemessenheitsprüfung durchzuführen hat. Ein besonderer Umstand kann sicher sein, wenn der Betroffene nicht in der Lage ist, Auskünfte in Textform zu empfangen1. Dann ist der Auskunftsanspruch auf andere Weise zu erfüllen. Ferner kann sich im Rahmen der Identitätsprüfung ergeben, die Auskunft postalisch zu versenden. Da E-MailAdressen bestenfalls den Vornamen und den Nachnamen erkennen lassen, besteht eine gewisse Gefahr, dass die Auskunft nicht den eigentlichen Antragsteller, sondern möglicherweise einen unberechtigten Dritten erreicht. Diese Gefahr besteht insbesondere dann, wenn sich jemand unter Verwendung einer E-Mail-Empfangsadresse die Daten des Betroffenen missbräuchlich beschaffen möchte. Bei einer Versendung per Post an die identifizierte Anschrift erhält „schlimmstenfalls“ der Betroffene eine Auskunft, ohne sie beantragt zu haben, so dass damit die verantwortliche Stelle ihren Sorgfaltspflichten genügt2. Demgegenüber lässt sich dieses Ziel durch einen Versand an eine Postfachadresse nicht erreichen3. Auch erscheint wegen der Anlage zu § 9 Satz 1 Nr. 4 sowie zum zivilprozessualen Nachweis eine Auskunft geboten zu sein, die in irgendeiner Form dokumentiert ist. Das Gesetz bestimmt auch keine ausdrückliche Frist, innerhalb derer 73 die Auskunft zu erteilen ist. Das ist wegen § 43 Abs. 1 Nr. 8a nicht unproblematisch. Im Allgemeinen wird jedoch der verantwortlichen Stelle eine gewisse Bearbeitungszeit zuzubilligen sein. Sie muss wegen der Bußgeldandrohung in § 43 Abs. 1 Nr. 8a auch die Chance haben, die Auskunft vollständig zu erteilen. Im Allgemeinen wird eine Bearbeitungsdauer von zwei bis vier Wochen als angemessen angenommen4. VI. Ausnahmen vom Auskunftsanspruch Nach Abs. 7 besteht eine Pflicht zur Auskunftserteilung nicht, wenn der Betroffene nach § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7 nicht zu be1 Vgl. BT-Drucks. 16/10529, S. 18 zu Abs. 8. 2 S. auch Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 26; zu Fällen, dass aus medizinischen Gründen ein besonderer Umstand gegeben ist, Däubler/Klebe/Wedde/Weichert/Däubler a.a.O., Rz. 33 und Simitis/Dix, § 34 BDSG Rz. 54 f. 3 S. auch Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 26. 4 Ob die Erteilung „unverzüglich“ erfolgen muss, ist umstritten, grds. bejahend Gola/Schomerus, § 34 BDSG Rz. 16, mit Blick auf europarechtliche Grundlagen verneinend Taeger/Gabel/Meents, § 34 BDSG Rz. 39.
Kamlah 865
74
BDSG § 34
Datenverarbeitung nicht-öffentlicher Stellen
nachrichtigen wäre. Insoweit kann auf die Ausführungen dort verwiesen werden1. 75 Daneben ist aber auch anerkannt, dass die Ausübung des Auskunftsrechts ihre Grenze im Rechtsmissbrauch finden kann. So kann ein Auskunftsersuchen nicht beliebig oft wiederholt werden2. Das gilt insbesondere dann, wenn für den Betroffenen erkennbar ist, dass sich keine Änderungen hinsichtlich der bei der verantwortlichen Stelle gespeicherten Daten ergeben haben. Dementsprechend kann mit Blick auf eine einmalige Entscheidung der verantwortlichen Stelle ein Auskunftsersuchen nach Abs. 2 auch nur einmal geltend gemacht werden. Jedenfalls kann die um Auskunft ersuchte Stelle in diesen Fällen auf bereits ergangene Auskünfte verweisen. 76 Ähnlich wie die verantwortliche Stelle auch darüber Auskunft zu erteilen hat, dass keine Daten zum Betroffenen gespeichert sind, hat sie im Falle eines Ausnahmetatbestandes dem Betroffenen mitzuteilen, dass ein solcher ihres Erachtens vorliegt und dass sie sich darauf beruft3. Nur so kann der Betroffene die Richtigkeit des Einwands prüfen. 77 Nach Abs. 1 Satz 4 und Abs. 3 Satz 3 kann eine Auskunft verweigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. VII. Kosten der Auskunft (Abs. 8 und 9) 78 Nach Abs. 8 Satz 1 sind die nach den vorstehenden Absätzen zu erteilenden Auskünfte unentgeltlich zu erteilen. 79 Ausnahmen bestehen zugunsten der Stellen, die geschäftsmäßig Daten zum Zwecke der Übermittlung speichern. Hier besteht die Ausnahme, dass ein Entgelt für die Auskunft verlangt werden kann, wenn der Betroffene die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken nutzen kann. Aus der Formulierung ergibt sich, dass es auf die tatsächliche oder beabsichtigte Nutzung dabei nicht ankommt, da dies die um 1 A.A. Simitis/Dix, § 34 BDSG Rz. 57 ff., der entgegen dem ausdrücklichen Wortlaut der Vorschrift die Ausnahmetatbestände in § 34 Abs. 7 einschränkend auslegen möchte, ähnlich auch Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 39. 2 S. auch BT-Drucks. 16/10529, S. 11 „in angemessenen Abständen“; die von Simitis/Dix, § 34 BDSG Rz. 21 vorgeschlagene Wochenfrist ist daher sicher zu kurz; vgl. auch Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 18 f. 3 So auch Simitis/Dix, § 34 BDSG Rz. 61.
866 Kamlah
Auskunft an den Betroffenen
§ 34 BDSG
Auskunft ersuchte Stelle nicht verifizieren kann. Hintergrund für diese Privilegierung war die Sicherung der wirtschaftlichen Existenz der geschäftsmäßigen Datenverarbeiter, deren Grundlage nicht dadurch zunichte gemacht werden sollte, dass etwaige Auskünfte – über den Umweg des Betroffenen1 – kostenlos zu erhalten sind2. Allerdings darf das Entgelt über die durch die Auskunftserteilung entstandenen unmittelbar zurechenbaren Kosten nicht hinausgehen. Damit dürfen sog. Gemeinkosten nicht in die Berechnungsgrundlage mit eingehen. Die Ermittlung der zugrunde zu legenden Kosten kann im Einzelfall schwierig sein, so dass gewisse Pauschalierungen und Mischkalkulationen auch bei unterschiedlichen Auskunftswegen zuzulassen sein dürften3. Ist die Auskunft nicht unentgeltlich, ist dem Betroffenen die Möglich- 80 keit zu geben, sich im Rahmen seines Auskunftsanspruchs persönlich Kenntnis über die ihn betreffenden Daten zu verschaffen (s. Abs. 9). Dem Betroffenen ist mithin stets die Möglichkeit zu eröffnen, der Entgeltpflicht zu entgehen, weshalb er auch auf die Möglichkeit der persönlichen (kostenlosen) Kenntnisnahme in geeigneter Weise hinzuweisen ist (s. Abs. 9 Satz 2). Dieser Pflicht ist dadurch genügt, wenn ein entsprechender Hinweis im Rahmen des Auskunftsprozesses erfolgt. Die persönliche Kenntnisnahme ist dann dadurch erfüllt, dass der Betroffene entweder den Datensatz einsieht oder ihn vorgelesen bekommt. Denkbar ist auch, dass er den Datensatz abschreibt. In diesen Fällen ist dann auch keine Möglichkeit der wirtschaftlichen Nutzung der Auskunft gegeben. Anderenfalls wäre (wieder) eine Entgeltpflicht gegeben. Jedoch wurde mit der sog. BDSG-Novelle I der Jahre 2009/20104 die zugunsten der geschäftsmäßigen Datenverarbeiter bestehende Privilegierung dadurch relativiert, dass auch diese seitdem einmal je Kalenderjahr eine unentgeltliche Auskunft in Textform zu erteilen haben (s. Abs. 8 Satz 2)5. Abs. 9 greift dann nicht mehr ein. Das bedeutet, dass bei nicht entsprechender Konkretisierung des Auskunftsverlangens des Betroffe-
1 2 3 4
Vgl. Weichert, CR 1995, 361. S. auch Simitis/Dix, § 34 BDSG Rz. 65. Gola/Schomerus, § 34 BDSG Rz. 23. BGBl. I, S. 2254; weswegen die umfänglichen Ausführungen von Simitis/Dix, § 34 BDSG Rz. 63 ff. an praktischer Bedeutung erheblich verlieren dürften. 5 Inwieweit dies zur Umgehung des oftmals eingeschränkten Informationszugangs bei der geschäftsmäßigen Datenverarbeitung führen wird, bleibt abzuwarten.
Kamlah 867
81
BDSG § 34
Datenverarbeitung nicht-öffentlicher Stellen
nen innerhalb eines Kalenderjahres, weitere Auskünfte (Abs. 8 Satz 3) den genannten Grundsätzen entsprechend bepreist werden könnten1. 82 In keinem Fall darf jedoch ein Entgelt verlangt werden, wenn entweder besondere Umstände die Annahme rechtfertigen, dass die Daten unrichtig oder unzulässig gespeichert werden oder die Auskunft ergibt, dass die Daten nach § 35 Abs. 1 zu berichtigen oder nach § 35 Abs. 2 Satz 2 Nr. 1 zu löschen sind (weil sie unzulässig gespeichert sind)2. Daraus ergibt sich aber auch, dass der Betroffene gehalten ist, bereits im Auskunftsersuchen auf diese möglicherweise bestehenden Umstände hinzuweisen. Ein Verdacht der Unrichtigkeit reicht jedoch nicht aus3. Sinn der Regelung ist es, dass die Geltendmachung von Rechten zu keinen Kosten beim Betroffenen führen darf und eine Entgeltmöglichkeit allenfalls bei potenzieller Nutzung zu wirtschaftlichen Zwecken bestehen soll. Wurde ein Entgelt bereits vereinnahmt, so ist ggf. nach erfolgter Korrektur diese zumindest durch eine kostenlose Auskunft nachzuweisen. VIII. Verhältnis zu anderen Normen 83 Die Ansprüche innerhalb des § 34 stehen nebeneinander. Sie können alternativ und/oder kumulativ geltend gemacht werden, sind aber auch nur dann entsprechend dem Auskunftsverlangen zu erfüllen. 84 Die Ansprüche nach § 34 und insbesondere der aus Abs. 2 bestehen unabhängig von dem Ergebnis der Entscheidung der verantwortlichen Stelle. Das unterscheidet § 34 von § 6a und § 29 Abs. 7. 85 Daneben bestehen im Anwendungsbereich anderer Gesetze dem § 34 vorrangige (s. § 1 Abs. 3) Auskunftsansprüche4. Andere wiederum verweisen auf § 34. Zu denken ist hier insbesondere an die des § 13 Abs. 7 TMG oder aber auch des § 93 Abs. 1 Satz 4 TKG.
1 Zu den Kosten einer SCHUFA-Eigenauskunft, s. nicht nur der speziell zu lesende Fall des LG Berlin v. 14.1.1999 – 14 O 417/97, sondern auch AG Aachen v. 29.1.2003 – 82 C 344/02, dass das seinerzeit erhobene Auskunftsentgelt ausdrücklich bestätigte. 2 Wobei zu fragen ist, warum die Entgeltlichkeit nur in den Fällen des § 35 Abs. 2 Satz 2 Nr. 1 BDSG entfallen soll, vgl. Däubler/Klebe/Wedde/Weichert/ Däubler, § 34 BDSG Rz. 48. 3 Däubler/Klebe/Wedde/Weichert/Däubler, § 34 BDSG Rz. 47. 4 Zur Betroffenenauskunft im Telekommunikationsrecht Bäcker, MMR 2009, 803.
868 Kamlah
Berichtigung, Löschung und Sperrung von Daten
§ 35 BDSG
Daneben bestehen insbesondere im Rahmen von Beschäftigungsverhältnissen zugunsten des Arbeitnehmers Auskunfts- und Informationsrechte1.
86
IX. Rechtsfolgen/Sanktionen Ein Verstoß gegen § 34 wird nun in § 43 Abs. 8a sanktioniert. Aufgrund der zahlreichen unbestimmten Rechtsbegriffe – sowohl in § 34 als auch in § 43 Abs. 8a selbst – (z.B. „nicht rechtzeitig“) ruft diese Sanktionierung aufgrund des mangelnden Bestimmtheitsgebotes verfassungsrechtliche Bedenken hervor. Es ist ohnehin bemerkenswert, dass die Nichtoder Schlechterfüllung eines gesetzlichen Schuldverhältnisses zwischen dem Betroffenen und der verantwortlichen Stelle staatlich sanktioniert wird. Über § 38 ist ein Einschreiten der Aufsichtsbehörde denkbar. Berichtigung, Löschung und Sperrung von Daten (1) 1Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. 2Geschätzte Daten sind als solche deutlich zu kennzeichnen.
35
(2) 1Personenbezogene Daten können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden. 2Personenbezogene Daten sind zu löschen, wenn 1. ihre Speicherung unzulässig ist, 2. es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann, 3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder 4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Lö-
1 Einzelheiten s. Simitis/Dix, § 34 BDSG Rz. 90 ff.; zur Einsicht in die Personalakte nach Beendigung des Arbeitsverhältnisses BAG v. 16.11.2011 – 9 AZR 573/09, NJW 2011, 1306; zur Einsicht des Betriebsrates in Gleitzeitlisten LAG Köln v. 28.6.2011 – 12 TaBV 1/11, ZD 2011, 183.
Kamlah 869
87
BDSG § 35
Datenverarbeitung nicht-öffentlicher Stellen
schung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist. 3Personenbezogene Daten, die auf der Grundlage von § 28a Abs. 2 Satz 1 oder § 29 Abs. 1 Satz 1 Nr. 3 gespeichert werden, sind nach Beendigung des Vertrages auch zu löschen, wenn der Betroffene dies verlangt. (3) An die Stelle einer Löschung tritt eine Sperrung, soweit 1. im Fall des Absatzes 2 Satz 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, 2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder 3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist. (4) Personenbezogene Daten sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. (4a) Die Tatsache der Sperrung darf nicht übermittelt werden. (5) 1Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. 2Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet. (6) 1Personenbezogene Daten, die unrichtig sind oder deren Richtigkeit bestritten wird, müssen bei der geschäftsmäßigen Datenspeicherung zum Zweck der Übermittlung außer in den Fällen des Absatzes 2 Nr. 2 nicht berichtigt, gesperrt oder gelöscht werden, wenn sie aus allgemein zugänglichen Quellen entnommen und zu Dokumentationszwecken gespeichert sind. 2Auf Verlangen des Betroffenen ist diesen Daten für die Dauer der Speicherung seine Gegendarstellung beizufügen. 3Die Daten dürfen nicht ohne diese Gegendarstellung übermittelt werden. (7) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben wurden, 870 Kamlah
Berichtigung, Löschung und Sperrung von Daten
§ 35 BDSG
wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen. (8) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn 1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist und 2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären. I. Einführung . . . . . . . . . . . . . . . .
1
II. Anwendungsbereich . . . . . . . . 1. Berichtigung von Daten (Abs. 1 Satz 1). . . . . . . . . . . . . . 2. Recht zur jederzeitigen Löschung (Abs. 2 Satz 1) . . . . . . . 3. Pflicht zur Löschung (Abs. 2 Satz 2) . . . . . . . . . . . . . . . . . . . . a) Unzulässige Speicherung . . b) Sensible Daten . . . . . . . . . . c) Für eigene Zwecke nicht mehr erforderlich . . . . . . . . d) Sondervorschrift für geschäftsmäßige Datenverarbeiter . . . . . . . . . . . . . . . . . 4. Löschung von Positivdaten auf Verlangen des Betroffenen (Abs. 2 Satz 3). . . . . . . . . . . . . .
8 9 13 14 17 18 19
5. Folgen bei Löschung . . . . . . . . 6. Sperrung von Daten (Abs. 3 und 4, 4a, 8). . . . . . . . . . . . . . . . 7. Widerspruch gegen die Erhebung, Verarbeitung und Nutzung aus wichtigem Grund (Abs. 5). . . . . . . . . . . . . . . . . . . . 8. Ausnahme für geschäftsmäßige Datenverarbeiter – Gegendarstellung (Abs. 6) . . . . . . . . . 9. Nachinformation, Folgenbeseitigung (Abs. 7) . . . . . . . . .
32 33
47
50 53
III. Verhältnis zu anderen Normen . . . . . . . . . . . . . . . . . . . . . . 57 22
IV. Rechtsfolgen/Sanktionen . . . . 63
29
Schrifttum: Conrad/Hausen, Datenschutzgerechte Löschung personenbezogener Daten, ITRB 2011, 35; Fraenkel/Hammer, Rechtliche Löschvorschriften, DuD 2007, 899; Gassner/Schmidl, Datenschutzrechtliche Löschungsverpflichtung und zivilrechtliche Verjährungsvorschriften, RDV 2004, 153; Härting, „Prangerwirkung“ und „Zeitfaktor“ – 14 Thesen zu Meinungsfreiheit, Persönlichkeitsrechten und Datenschutz im Netz, CR 2009, 21; Hammer/Fraenkel, Löschkonzept, DuD 2007, 905; Hammer/Fraenkel, Löschklassen – Stadardisierte Fristen für die Löschung personenbezogener Daten, DuD 2011, 890; Homann, Sperrfrist beim Zweitantrag auf Restschuldbefreiung, ZVI 2012, 206; Kamlah/Hoke, Datenschutz und UWG – Unterlassungsansprüche bei Datenschutzverletzungen, RDV 2008, 226; Nolte, Zum Recht auf Vergessen im Internet, ZRP 2011, 236; Wächter, Datenschutz als „Software-Routine“ – Ein datenschutzrechtlicher Implementierungsvorschlag, DuD 1996, 272; Winkelmann, Falschauskünfte von Auskunfteien, MDR 1995, 718.
Kamlah 871
BDSG § 35
Datenverarbeitung nicht-öffentlicher Stellen
I. Einführung 1 § 35 normiert als einzige datenschutzrechtliche Vorschrift im BDSG die Möglichkeiten des Betroffenen, Einfluss auf die zu seiner Person gespeicherten Daten zu nehmen. Ausweislich der Überschrift sind dies die Berichtigung, die Löschung und die Sperrung von Daten. Das Recht aus § 35 vorzubereiten, ist Aufgabe der §§ 33 und 341. Nur wenn der Betroffene die Möglichkeit hat zu erfahren, welche Daten über ihn verarbeitet werden, ist er erst in die Lage versetzt geltend zu machen, dass Daten berichtigt, gelöscht oder gesperrt werden müssen (s. zum Stufenverhältnis der §§ 33–35, § 33)2. 2 Die Korrekturansprüche des § 35 sind auf personenbezogene Daten zugeschnitten, deren Korrektur letztlich durch ein Verändern der gespeicherten Daten i.S.v. § 3 Abs. 4 Satz 2 Nr. 2 erreicht werden kann. Daher finden sie ihre Grenze bei errechneten Wahrscheinlichkeitswerten. Die Richtigkeit dieser richtet sich vielmehr allein danach, ob im Anwendungsbereich des § 28b die dort genannten Voraussetzungen erfüllt sind. Sind danach die zugrunde gelegten Daten zulässigerweise verarbeitet und genutzt und ist die Wissenschaftlichkeit des Verfahrens gegeben, ist der darauf errechnete Wahrscheinlichkeitswert ebenso zutreffend und zulässig. Die Richtigkeit einer Wahrscheinlichkeitswertberechnung kann mithin (nur) durch eine Korrektur der zugrunde gelegten personenbezogenen Daten erreicht werden, nicht jedoch durch einen Eingriff in die Berechnung selbst, da dies mit der Zulässigkeitsvoraussetzung der Wissenschaftlichkeit nicht vereinbar wäre3. Auf zutreffender Tatsachengrundlage ermittelte Bonitätsbeurteilungen (Bonitätsindex) stellen vielmehr Werturteile dar4. 3 Die Ausübung der Ansprüche (zur Ausübung etwa durch Dritte, s. auch § 34) ist an keine Form oder Frist gebunden (zur Frist die Korrektur vorzunehmen, s. Rz. 15)5. Der Betroffene soll seine Rechte einfach und jederzeit geltend machen können. Allerdings hat der Betroffene die personenbezogenen Daten, deren Löschung, Berichtigung oder Sperrung er verlangt, möglichst genau zu bezeichnen, damit die verantwortliche Stelle den Anspruch auch erfüllen kann. Die genaue Bezeichnung ist
1 2 3 4 5
Simitis/Dix, § 34 BDSG Rz. 1. Vgl. auch Simitis/Dix, § 35 BDSG Rz. 1 f. Vgl. auch Gola/Schomerus, § 6a BDSG Rz. 19. BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204. Simitis/Dix, § 35 BDSG Rz. 68.
872 Kamlah
Berichtigung, Löschung und Sperrung von Daten
§ 35 BDSG
auch deshalb erforderlich, da es Bestandteile von personenbezogenen Daten geben kann, deren Löschung, Berichtigung oder Sperrung nicht verlangt werden kann. Nur durch eine genaue Bezeichnung ist eine exakte Prüfung möglich, ob auch gerade dieses personenbezogene Datum zu löschen, berichtigen oder zu sperren wäre. Auch aus prozessrechtlichen Gründen ist eine genaue Bezeichnung geboten, da ein sonst etwa erstrittener Titel nur schwer vollstreckungsfähig sein dürfte1. Das Löschungsersuchen ist ferner auszulegen. Denkbar ist, dass nur Berichtigungsansprüche oder sog. Werbewidersprüche gemeint sind, wenn beispielsweise gefordert wird, „aus der Werbedatei“ gelöscht zu werden. Hier wird der Wunsch des Betroffenen in der Regel durch die Aufnahme in die Sperrdatei und die Mitteilung darüber erfüllt, während eine Löschung der Daten beispielsweise aufgrund eines noch bestehenden Vertragsverhältnisses u.U. gar nicht möglich ist. Teilweise können Löschungen, Berichtigungen oder Sperrungen eilbedürftig sein. Allerdings ist bei der Erhebung von Löschungsansprüchen im einstweiligen Rechtsschutz zu beachten, dass eine Vorwegnahme der Hauptsache grundsätzlich nicht erfolgen darf.
4
Die Geltendmachung der in § 35 genannten Ansprüche setzt ein entspre- 5 chendes Verlangen des Betroffenen voraus. Gleichwohl ergibt sich aus den formulierten Ansprüchen auch, dass die verantwortliche Stelle Geschäftsprozesse zu unterhalten hat, um ohne ausdrückliches Verlangen die entsprechenden Korrekturmechanismen zu realisieren2. Dementsprechend hat die verantwortliche Stelle beispielsweise die Verpflichtung zur Löschung (regelmäßig) selbst zu überprüfen bzw. entsprechende Lösch- und/oder Korrekturroutinen vorzuhalten3. Nach § 38 BDSG steht der zuständigen Datenschutzaufsichtsbehörde hier ein Kontrollrecht zu. Wie § 34 kann auch § 35 nach § 6 Abs. 1 nicht durch Rechtsgeschäfte 6 ausgeschlossen oder beschränkt werden (zum Begriff des Rechtsgeschäfts und der Rolle von Betriebs- oder Dienstvereinbarungen s. § 6; zur Vererblichkeit s. § 34).
1 Zur Bestimmtheit von Klageanträgen s. Zöller/Greger, § 253 ZPO Rz. 13. 2 S. auch Simitis/Dix, § 35 BDSG Rz. 1, 9 und 24. 3 Eingehend Fraenkel/Hammer, DuD 2007, 899; Hammer/Fraenkel, DuD 2007, 905; Hammer/Fraenkel, DuD 2011, 890; Conrad/Hausen, ITRB 2011, 35 (38 f.); zu den damit verbunden Problemen im Internet s. Simitis/Dix, § 35 BDSG Rz. 8; Nolte, ZRP 2011, 236.
Kamlah 873
BDSG § 35
Datenverarbeitung nicht-öffentlicher Stellen
7 Anders als § 34 sieht § 35 keine Kostenregelung vor. Kosten der Umsetzung von Rechten nach § 35 dürfen daher nicht auf die Betroffenen verlagert werden1. So muss für den Betroffenen die Berichtigung, Sperrung oder Löschung selbst kostenfrei sein. Demgegenüber geht beispielsweise jedoch das Porto für die Versendung des entsprechenden Korrekturersuchens zu Lasten des Betroffenen. II. Anwendungsbereich 8 Der Anwendungsbereich bestimmt sich nach § 27 (s. dort und § 28a). 1. Berichtigung von Daten (Abs. 1 Satz 1) 9 Nach Abs. 1 Satz 1 sind personenbezogene Daten zu berichtigen, wenn sie unrichtig sind. Da Löschungsansprüche in den Abs. 2 ff. geregelt sind, steht der Berichtigungsanspruch unabhängig neben den Löschungsansprüchen2. Der Berichtigungsanspruch ist zu den Löschungsansprüchen (prozessual) auch kein Minus, sondern ein aliud. 10 Allerdings setzt ein Berichtigungsanspruch zumindest implizit voraus, dass die betreffenden personenbezogenen Daten zulässigerweise verarbeitet und genutzt werden und deshalb keinem Löschungsanspruch unterliegen. Dem Berichtigungsanspruch unterliegen damit beispielsweise (zulässigerweise) verarbeitet und genutzte Geburts- oder Adressdaten. So können nicht nur Hausnummern, denen lediglich ein sog. Zahlendreher zugrunde liegt berichtigt werden, sondern die Anschrift insgesamt, wenn diese beispielsweise im Anschluss an einen Umzug unrichtig geworden ist, die Anschrift insgesamt aber zulässigerweise verarbeitet oder genutzt werden darf – möglicherweise sogar muss3. Vom Berichtigungsanspruch erfasst sind ferner falsche Schreibweisen sowie fehlerhafte Kunden- oder Bestandsdaten; mithin jede fehlerhafte Angabe zum Betroffenen, die jedoch zulässigerweise verarbeitet und genutzt werden kann. 11 Unrichtig können personenbezogene Daten aber auch dann sein, wenn sie zwar für sich genommen nicht falsch, jedoch insgesamt unvollstän-
1 Simitis/Dix, § 35 BDSG Rz. 5. 2 Vgl. Simitis/Dix, § 35 BDSG Rz. 25. 3 So weist Simitis/Dix, § 35 BDSG Rz. 7 und 9 zu Recht darauf hin, dass ein Berichtigungsanspruch unabhängig davon besteht, ob es sich um eine Bagatelle handelt.
874 Kamlah
Berichtigung, Löschung und Sperrung von Daten
§ 35 BDSG
dig sind1. Die Daten müssen in Ansehung des beabsichtigten Kontextes richtig sein2. Nach Abs. 1 Satz 2 sind geschätzte Daten als solche zu kennzeichnen. 12 Diese Norm ist systemfremd verortet, da Schätzdaten nicht unrichtig, sondern eben nur geschätzt sind. Um jedoch den Anschein der Richtigkeit zu vermeiden, sind Schätzdaten als solche deutlich zu kennzeichnen3. Diese durch die sog. BDSG-Novelle I im Jahr 2010 eingeführte Norm4 greift eine bei Auskunfteien geführte Diskussion auf. Dort sind vielfach im Bereich von sog. Wirtschaftsauskünften typischerweise betriebswirtschaftliche Kennzahlen geschätzt, da diese stetigem Wandel unterliegen5. Die Kennzeichnung soll sowohl den Betroffenen (auf den die Wirtschaftsinformationen ggf. „durchschlagen“) als auch den Empfänger schützen und vermeiden, dass die entsprechende Information als Faktum aufgefasst wird6. Dementsprechend ist die Tatsache des Schätzdatums nicht nur im Datenbestand zu speichern, sondern auch direkt bei der Information im Rahmen einer Auskunft zu vermerken. Von Schätzdaten zu unterscheiden sind Wahrscheinlichkeitswerte nach § 28b, da letztere nach wissenschaftlichen Methoden gewonnen werden müssen während erstere eben nur geschätzt sind7. Der Berichtigung zugänglich sind nur Tatsachen und nicht Werturteile8.
1 Zu verallgemeinernden Informationen s. bereits BGHZ 8, 142 („langsamer Zahler“). 2 S. Simitis/Dix, § 35 BDSG Rz. 9 und 15, der in Rz. 21 sogar die Löschung für unzulässig hält, wenn das zur Unrichtigkeit führt; vgl. auch OLG Düsseldorf v. 11.5.2005 – 15 U 196/04, NJW 2005, 2401; OLG Karlsruhe v. 6.9.2005 – 17 U 75/05; für eine Forderungsdokumentation zusammenfassend Kamlah/Hoke, RDV 2007, 242 (244 f.). 3 Entgegen Gola/Schomerus, § 35 BDSG Rz. 6a handelt es sich bei Schätzdaten gerade nicht um Scoring, da Scoring wissenschaftlich-mathematischen Ansprüchen genügen muss, s. auch die Kommentierung zu § 28b. 4 BGBl. I, S. 2254. 5 Zur Zulässigkeit der Speicherung einzelner Wirtschaftsinformationen OLG Hamm v. 19.6.2000 – 6 U 238/99, NJW 2001, 979. 6 Entgegen Simitis/Dix, § 35 BDSG Rz. 18 soll mit der Vorschrift nicht das Scoring geregelt werden; die Regelung dessen erfolgte durch § 28b. 7 Zur Unterscheidung auch in der Entstehungsgeschichte s. Helfrich, S. 187 f. 8 S. zur Abgrenzung und Einordnung bei Scorewerten BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204; zur Berichtigung ärztlicher Diagnose und Behandlungsdokumentationen Simitis/Dix, § 35 BDSG Rz. 17.
Kamlah 875
BDSG § 35
Datenverarbeitung nicht-öffentlicher Stellen
2. Recht zur jederzeitigen Löschung (Abs. 2 Satz 1) 13 Nach Abs. 2 Satz 1 können personenbezogene Daten jederzeit gelöscht1 werden. Anders als Abs. 2 Satz 2, nach dem unter den dort genannten Voraussetzungen personenbezogene Daten verpflichtend zu löschen „sind“, ist Satz 1 als Kann-Vorschrift ausgestaltet2. Damit stellt sich die Frage, ob jenseits des Satzes 2 seitens der verantwortlichen Stelle eine Interessenabwägung stattzufinden hat, die – ähnlich einer Ermessensentscheidung im öffentlichen Bereich – dazu führen kann, dass nach Satz 1 – bei einer entsprechend anzunehmenden Ermessensreduzierung auf Null – Daten zu löschen „sind“. Das ist jedoch zu verneinen. Die Frage der Zulässigkeit der Speicherung und die damit zusammenhängende Frage, ob personenbezogene Daten zu löschen sind, wird im Rahmen von Satz 2 und insbesondere nach dessen Nr. 1 geprüft. Die KannVorschrift des Satzes 1 liegt vielmehr in der Systematik des § 4 BDSG, wonach es für einen Datenverarbeitungsvorgang einer Rechtsgrundlage bedarf. Danach bedarf es auch für Löschungen als Verarbeitungsvariante des § 3 Abs. 4 einer Rechtsgrundlage3. Diese wird in § 35 Abs. 2 Satz 1 gegeben und regelt damit Löschungen, zu denen die verantwortliche Stelle berechtigt, aber nicht verpflichtet ist. Ein Anspruch auf Löschung kann damit auf Abs. 2 Satz 1 nicht gestützt werden. Die Berechtigung zur Löschung ist sogar unter Verweis auf Abs. 3 Nr. 1 und 2 ausdrücklich eingeschränkt. Die Löschung „kann“ (gemeint ist hier „darf“) dann nicht erfolgen, wenn der Löschung gesetzliche (z.B. § 147 AO, §§ 238, 257 HGB oder § 28f SGB IV), satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen oder ein Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden. Danach reduziert sich der Anwendungsbereich des Abs. 2 Satz 1 auf die Fälle, in denen personenbezogene Daten zulässigerweise gespeichert sind, die verantwortliche Stelle diese aber löschen möchte und hierfür nach § 4 BDSG eine Ermächtigungsgrundlage braucht4. In der Praxis häufiger ist jedoch der Fall, dass personenbezogene Daten länger als erforderlich aufbewahrt werden und der Betroffene erst Ansprüche nach Abs. 2 Satz 2 Nr. 2 oder 3 bemühen muss.
1 2 3 4
Zum Löschbegriff Conrad/Hausen, ITRB 2011, 35. S. auch Simitis/Dix, § 35 BDSG Rz. 19. Taeger/Gabel/Meents, § 35 BDSG Rz. 16. Von einer generellen Erlaubnis zur Löschung sprechen Gola/Schomerus, § 35 BDSG Rz. 10.
876 Kamlah
Berichtigung, Löschung und Sperrung von Daten
§ 35 BDSG
3. Pflicht zur Löschung (Abs. 2 Satz 2) Abs. 2 Satz 2 formuliert unterschiedliche Fälle, nach denen personenbezogene Daten zu löschen sind. Diese Verpflichtung zur Löschung kann durch den Betroffenen geltend gemacht werden, setzt aber dieses Verlangen nicht voraus1.
14
Die Frage ist, in welchem Zeitraum ein Löschungsanspruch nach An- 15 spruchstellung durch den Betroffenen zu erfüllen ist. Eine Frist ist hierfür nicht vorgesehen. Da Löschungsansprüche vor den Zivilgerichten durchzusetzen sind, bietet sich hierfür ein Rückgriff auf die allgemeinen zivilrechtlichen Regeln an. Nach § 271 BGB wären dementsprechend die Ansprüche sofort zu erfüllen. Gleichwohl wird man der verantwortlichen Stelle eine gewisse Zeit zur Prüfung des Anspruchs zubilligen müssen2. Dies gilt insbesondere für geschäftsmäßige Datenverarbeiter, die ihre Daten oft aus anderen Quellen erhalten haben. Diese Zeit sollte 4 Wochen allerdings nicht übersteigen3. Damit stellt sich die Frage, wie in dieser Zwischenzeit die Rechte der Betroffenen gewahrt werden können (s. hierzu Rz. 39). Das führt zur Frage, ob richtige und zulässigerweise gespeicherte Daten 16 derart in die Disposition des Betroffenen gestellt werden dürfen, dass ein Löschungsgesuch (zum Begriff der Löschung s. § 3 Abs. 4 Nr. 5) davon abhängig gemacht werden kann, vorher zu erfahren, wie sich eine etwaige Löschung auf einen anschließend errechneten Wahrscheinlichkeitswert auswirkt. Die in § 35 normierten Ansprüche sind jedoch auf die aktuell verarbeiteten und genutzten Daten bezogen und sollen den Betroffenen vor der Speicherung falscher oder unzulässig gespeicherter Daten schützen. Auch die Auskunftsansprüche in § 34 sind allenfalls auf die Offenbarung des sog. tagesaktuellen Wahrscheinlichkeitswertes bezogen (s. § 34 Abs. 4 Nr. 2), der eben auf Basis der Daten errechnet wird, die zu dem Zeitpunkt eben (zulässigerweise) verarbeiteten und genutzten Daten zugrunde lagen. Im Ergebnis heißt dies also, dass der Betroffene kein Recht hat, sein Löschungsgesuch unter die oben dargestellte Bedingung zu stellen. In der Praxis kann das dazu führen, dass zu einem Betroffenen, der sein Recht nach § 35 geltend gemacht hat, im Nachhinein ein schlechterer Wahrscheinlichkeitswert berechnet wird. Dieses aus der Sicht des Betroffenen unbefriedigend erscheinende Ergeb1 Simitis/Dix, § 35 BDSG Rz. 24. 2 LG Wiesbaden v. 29.6.2012 – 5 O 121/12. 3 A.A. zumindest für Berichtigungen Däubler/Klebe/Wedde/Weichert/Däubler, § 35 BDSG Rz. 11 und Rz. 31 für die Sperrung.
Kamlah 877
BDSG § 35
Datenverarbeitung nicht-öffentlicher Stellen
nis hat jedoch seine Grundlage in den Scoreverfahren selbst. Danach kann der Betroffene auch nach berechtigter Geltendmachung von Rechten aus § 35 in eine andere Vergleichsgruppe fallen, die den zu seiner Person berechneten Wahrscheinlichkeitswert maßgeblich beeinflusst. Vergleichbar verhält es sich beispielsweise mit einem „zu Recht“ vollzogenen Wohnort- und/oder Fahrzeugwechsel, der dazu führen kann, dass sich aufgrund der damit gewechselten Vergleichsgruppe beispielsweise die Versicherungsprämie ändert (bzw. erhöht). Auch ein zwangsläufig stattfindender Geburtstag kann zu einem Schwellenwechsel führen, der sich ebenso auf die unterschiedlichsten Wahrscheinlichkeitswerte auswirken kann. Dementsprechend ist es konsequent, wenn der Gesetzgeber die Zulässigkeit von Scoreverfahren allein von den in § 28b genannten Faktoren abhängig macht, auf die Normierung weitergehender Rechte in § 35 aber ausdrücklich verzichtet. Ein Verstoß gegen ein Benachteiligungsverbot ist damit nicht verbunden1. Zudem sind auf zutreffender Datengrundlage ermittelte Bonitätsaussagen zulässig2. a) Unzulässige Speicherung 17 Nach Satz 2 Nr. 1 sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist. Diese Vorschrift greift § 4 BDSG auf, wonach für die Erhebung, Verarbeitung und Nutzung von personenbezogene Daten eine Rechtsgrundlage vorliegen muss. Innerhalb des BDSG ist das bei Vorliegen einer Einwilligung nach § 4a BDSG oder bei Eingreifen einer entsprechenden gesetzlichen Zulässigkeitsnorm gegeben. Dementsprechend kann hier auf die Ausführungen zu den einschlägigen Zulässigkeitstatbeständen verwiesen werden. Liegen danach die entsprechenden Zulässigkeitstatbestände nicht (mehr) vor, sind die personenbezogenen Daten zu löschen3. Umstritten sind dabei die Rechtsfolgen des Widerrufs einer Einwilligung. Da diese nach den zivilrechtlichen Regelungen (nur) ex nunc wirkt4, stellt sich die Frage, ob gleichwohl damit eine Verpflichtung zur Löschung ausgelöst wird5.
1 Zu diesen nach § 34 s. Simitis/Dix, § 34 BDSG Rz. 85. 2 BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204. 3 Vgl. Simitis/Dix, § 35 BDSG Rz. 26, der allerdings unzutreffenderweise dort davon ausgeht, dass eine § 4 Abs. 3 Zulässigkeitsvoraussetzung darstellt. 4 Taeger/Gabel/Meents, § 35 BDSG Rz. 20. 5 So aber offenbar Simitis/Dix, § 35 BDSG Rz. 26, 36 und 43.
878 Kamlah
Berichtigung, Löschung und Sperrung von Daten
§ 35 BDSG
b) Sensible Daten Satz 2 Nr. 2 greift die sensiblen Daten nach § 3 Abs. 9 auf. Über den 18 Katalog des § 3 Abs. 9 erfasst Abs. 2 Satz 2 Nr. 2 aber auch Daten über strafbare Handlungen oder Ordnungswidrigkeiten. Diese sind zu löschen, wenn von der verantwortlichen Stelle ihre Richtigkeit nicht bewiesen werden kann. Die Formulierung ähnelt der des Abs. 4, stellt aber jedenfalls vom Wortlaut her anders als dort auf die Beweisbarkeit der Richtigkeit ab. Für die verantwortliche Stelle ergeben sich damit aber keine höheren Anforderungen als bei Abs. 4. Bei sensiblen Daten soll eben anstatt der Sperrung sogleich die Löschung treten, wenn die Richtigkeit nicht bewiesen werden kann. Damit wird diese Kategorie personenbezogener Daten (bzw. die Personen selbst) besonders geschützt1. c) Für eigene Zwecke nicht mehr erforderlich Nach Satz 2 Nr. 3 sind personenbezogene Daten zu löschen, wenn sie 19 für eigene Zwecke verarbeitet werden und ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Die Vorschrift greift § 28 auf. Die Zulässigkeit der Erhebung, Speicherung, Veränderung oder Übermittlung personenbezogener Daten ist für die initiale Phase der Datenverarbeitung beispielsweise in § 28 Abs. 1 geregelt. Da die Verarbeitungsvariante der Speicherung auch dort genannt ist, ist die Zulässigkeit der Speicherung schon dort zu prüfen. § 35 Abs. 2 Satz 2 Nr. 3 stellt demgegenüber klar, dass auch die (fortwährende) Speicherung dem Zweck entsprechend erforderlich sein muss. Ob und wann dann dementsprechend zu löschen ist, richtet sich nach dem individuellen Zweck und der daran anknüpfenden Erforderlichkeit2. Für die Praxis entsteht dadurch die Schwierigkeit, dass diese im Grundsatz bestehende individuelle Prüfungsanforderung statische Löschregeln ausschließt. Gleichwohl wird man Kategorisierungen zulassen müssen. So wird man beispielsweise bei der Dokumentation einer Kundenhistorie nicht die Erforderlichkeit hinsichtlich jedes Einzeldatums isoliert hinterfragen können, da Einzeldaten ggf. nur in Zusammenhang mit anderen Daten überhaupt erst einen Sinn ergeben können3. Vielmehr wird man Datensätze einer Kundenhistorie insgesamt betrachten müssen und diese zusammen mit einer gemeinsamen Erforderlichkeitsprüfung 1 S. im Einzelnen im Ergebnis aber teilweise zu weitgehend Simitis/Dix, § 35 BDSG Rz. 27 ff. 2 Zur Zweckänderung zur Durchführung von Werbemaßnahmen Gola/Schomerus, § 35 BDSG Rz. 13. 3 Zur Bedeutung des Kontextes s.o. Rz. 11.
Kamlah 879
BDSG § 35
Datenverarbeitung nicht-öffentlicher Stellen
unterziehen. Aber auch hier kann das Ergebnis der Beurteilung höchst unterschiedlich ausfallen. Teilweise bestehen gesetzliche Befugnisse zur Speicherung (vgl. §§ 95 ff. TKG). Andererseits wird bei einem Vertragsverhältnis danach zu unterscheiden sein, ob dieses vertragsgemäß erfüllt wurde oder noch Gewährleistungs- und/oder Verjährungsfristen1 laufen. Bei Dauerschuldverhältnissen ist eine Speicherung des Kundendatensatzes sicher so lange erforderlich, so lange das Schuldverhältnis fortbesteht. Sachverhalte über Reklamationen und/oder Prozesse können so lange gespeichert bleiben, wie die entsprechenden Verfahren noch nicht abgeschlossen sind oder daraus Ansprüche erwachsen können. In keinem Fall ist die verantwortliche Stelle verpflichtet, etwaiges für sie relevantes Material zu vernichten2. Eine „Regelspeicherungdauer“ für erledigte Sachverhalte kann sich mithin an den zivilrechtlichen Verjährungsfristen orientieren. 20 Die Löschungsverpflichtung bezieht sich dabei auf den Zweck, zu dem die Speicherung ursprünglich erfolgt war. Über diesen Zweck hinaus kann es Zwecke geben, die eine fortwährende Speicherung vorschreiben (z.B. gesetzliche Aufbewahrungspflichten), wobei die Nutzung für den ursprünglichen Zweck dann ausgeschlossen sein kann (s. auch Abs. 3 wonach an die Stelle der Löschung die Sperrung tritt). 21 In technischer Hinsicht sollten die Systeme der verantwortlichen Stelle so ausgestaltet sein, dass eine Löschung auch tatsächlich möglich ist3. Insoweit hat die verantwortliche Stelle gleichzeitig eine Systemverantwortung4. d) Sondervorschrift für geschäftsmäßige Datenverarbeiter 22 Satz 2 Nr. 4 enthält eine Sondervorschrift für geschäftsmäßige Datenverarbeiter. Danach hat – differenziert danach, ob es sich um einen erledigten oder einen unerledigten Sachverhalt handelt – nach einem bestimmten Zeitraum eine Prüfung dahingehend zu erfolgen, ob eine längerwährende Speicherung noch erforderlich ist. Die Vorschrift wirft viele Fragen auf.
1 Hierzu einschränkend Simitis/Dix, § 35 BDSG Rz. 38 und Gassner/Schmidl, RDV 2004, 153. 2 Z.B. Aufbewahrung aus Gründen des AGG, s. Simitis/Dix, § 35 BDSG Rz. 39. 3 Dies ist allerdings immer noch nicht bei allen ERP-Systemen gegeben. 4 Vgl. auch Hammer/Frankel, DuD 2011, 35.
880 Kamlah
Berichtigung, Löschung und Sperrung von Daten
§ 35 BDSG
Die Fristbestimmung, nach der die sog. Regelprüfung zu erfolgen hat, 23 lässt das Kalenderjahr der erstmaligen Speicherung unberücksichtigt und zählt dann erst die folgenden vollen Kalenderjahre. Für nicht erledigte Sachverhalte beträgt die Frist also maximal 4 Jahre minus einen Tag und für erledigte Sachverhalte dementsprechend drei Jahre minus einen Tag1. Damit wird entscheidend, wann ein erledigter bzw. ein nicht erledigter Sachverhalt vorliegt. Erledigte Sachverhalte sind abgeschlossene Vorgänge wie erfüllte Verträge (vgl. § 24c Abs. 1 Satz 3 und 4 KWG), ausgeglichene Forderungen2 oder abgeschlossene Verfahren3. Erledigt sind diese Vorgänge allerdings erst im Zeitpunkt ihrer Erledigung, so dass die Prüffrist auch erst zu diesem Zeitpunkt zu laufen beginnt.
24
Dementsprechend sind unerledigte Sachverhalte alle noch laufenden 25 Vorgänge wie das Fortbestehen von Dauerschuldverhältnissen oder Sachverhalte, in denen noch Ansprüche zwischen den Vertragsparteien geltend gemacht werden können. Für die Fristbestimmung ist dabei an das Datum anzuknüpfen, an dem die Information über den nicht erledigten Sachverhalt letztmalig aktualisiert wurde (vgl. § 28a Abs. 3). Bei erledigten Sachverhalten hängt aber die Löschung auch noch davon 26 ab, ob der Betroffene der Löschung widerspricht. Der Gesetzgeber geht offenbar davon aus, dass es erledigte Sachverhalte gibt, deren fortwährende Speicherung sich für den Betroffenen in irgendeiner Weise po1 So auch im Ergebnis die Berechnung von Simitis/Dix, § 35 BDSG Rz. 42. Irritierend ist insoweit, dass der Gesetzgeber im Rahmen der BDSG-Novelle I im Jahre 2009/2010, BGBl. I, S. 2254 nicht nur eine Differenzierung zwischen erledigten und nicht erledigten Sachverhalten vorgenommen, sondern auch den Anknüpfungspunkt für die Fristberechnung verschoben hat, da nach dem BDSG 2001 das Jahr der Speicherung mitgezählt wurde. Das führt zumindest für nicht erledigte Sachverhalte nunmehr zu einer Fristverlängerung, während die Frist für erledigte Sachverhalte zumindest nach dem jetzigen Wortlaut der Vorschrift – entgegen der Gesetzesbegründung (BT.-Drucks. 16/10529, S. 18) – gleichblieb. Dieser Widerspruch zwischen Gesetzesbegründung und Gesetzestext mag damit zusammenhängen, dass das BDSG 1991 ebenfalls eine andere Fristberechnung enthielt. 2 BVerfG v. 25.7.1988 – 1 BvR 109/85, RDV 1989, 77; AG Duisburg v. 10.4.2001 – 7 N 105/97, ZInsO 2001, 573; AG Köln v. 22.7.2003 – 71 IN 453/02, ZInsO 2003, 957. 3 Zur Löschung von Informationen über eine erteilte Restschuldbefreiung erst nach Ablauf von drei Kalenderjahren OLG Frankfurt a.M. v. 1.9.2009 – 21 U 45/09; LG Wiesbaden v. 17.12.2010 – 8 O 158/10; LG Regensburg v. 26.9.2008 – 2 S 229/07; zum Löschungsanspruch bei Nichtweiterverfolgung der Forderung OLG München v. 22.6.2010 – 5 U 2020/10, MMR 2011, 209.
Kamlah 881
BDSG § 35
Datenverarbeitung nicht-öffentlicher Stellen
sitiv darstellt1. In wie weit die Löschung damit von der Disposition des Betroffenen abhängig zu machen ist, wird im Gesetz nicht weiter ausgeführt. Der verantwortlichen Stelle als geschäftsmäßigem Datenverarbeiter wird es im Rahmen von Massendatenverarbeitungsvorgängen aber nicht zuzumuten sein, im Rahmen der Lösch- bzw. Prüffristen mit den Betroffenen Kontakt aufzunehmen und sie über die bevorstehende Löschung zu informieren und sie quasi um deren Einverständnis zu bitten2. Vielmehr spricht das Wort „Widerspruch“ dafür, dass der Betroffene nachträglich dem an sich schon stattgefundenen Datenverarbeitungsvorgang der Löschung widersprechen und dementsprechend die Wiederaufnahme des gelöschten Datums verlangen kann (vgl. auch § 28 Abs. 4 und § 35 Abs. 5), indem der Betroffene die bei ihm noch vorhandene Information wieder zur Verfügung stellt. Für die nachträgliche Anwendung des Widerspruchsrechts spricht auch, dass die verantwortliche Stelle nicht weiß, welche erledigten Sachverhalte der Betroffene für sich als positiv empfindet und deswegen die fortwährende Speicherung wünscht. In aller Regel wird es auch dem Interesse des Betroffenen entsprechen, wenn Daten gelöscht werden. Ob und welche Daten zu ihm gespeichert sind, kann der Betroffene über § 34 BDSG erfahren. 27 Das Gesetz spricht ausdrücklich von einer Prüfungspflicht, nach der – nach Ablauf der jeweiligen Frist – lediglich eine Prüfung erfolgen muss3, ob die Daten länger gespeichert werden können, sofern die Voraussetzungen der Speichererlaubnis weiterhin vorliegen4. Damit scheinen statische Löschfristen nicht geboten zu sein, die dazu führen, dass die entsprechenden Daten automatisch gelöscht werden. Vielmehr kann die verantwortliche Stelle auch länger währende Speicherungen vorsehen, was gewisse Möglichkeiten zugunsten der verantwortlichen Stelle zu eröffnen scheint. Weil die Gesetzesbegründung davon spricht, dass das Datum länger gespeichert werden „kann“5, besteht damit eine Verpflichtung zu einer fortwährenden Speicherung jedenfalls nicht. Entscheidend ist jedoch, dass die fortwährende Speicherung überhaupt zulässig ist. Diese Frage ist aber nach den allgemeinen Regeln zu beurteilen, so dass sich daraus Regelspeicherungsfristen für bestimmte Datenkategorien ergeben können. Ist danach die Speicherungsdauer er1 Die Gesetzesbegründung BT-Drucks. 16/10529, S. 18 f. enthält hierzu keine weiteren Ausführungen. 2 So auch Gola/Schomerus, § 35 BDSG Rz. 14. 3 Nach OLG München vom 16.5.2011 – 21 U 968/11 besteht kein Anspruch auf Löschung vor Ablauf der Frist. 4 Vgl. auch Gola/Schomerus, § 35 BDSG Rz. 14. 5 BT-Drucks. 16/10529, S. 18 f.
882 Kamlah
Berichtigung, Löschung und Sperrung von Daten
§ 35 BDSG
reicht, müssen sogar hinsichtlich dieser Datenkategorien (statische) Löschroutinen zugunsten des Betroffenen etabliert werden, so dass sich Prüfungspflicht und Löschfrist gleichermaßen synchronisieren1. Für Auskunfteien, die Bonitätsinformationen zur Verfügung stellen, 28 spielt dabei insbesondere eine Rolle, ob die gespeicherte und übermittelte Information vom Betroffenen hinzunehmen ist. Hier hat der Gesetzgeber über § 29 Abs. 1 Satz 1 Nr. 3 i.V.m. Abs. 2 eine grundsätzliche Wertung dahingehend vorgenommen, dass zulässigerweise an Auskunfteien übermittelte Daten dort auch gespeichert bzw. von diesen beauskunftet werden können. In der Rechtsprechung finden sich zahlreiche Bespiele, aus den sich diese Wertung ebenso nachvollziehen lässt2. Auch Informationen, die nicht direkt die angefragte Stelle betrafen wurden für wesentlich gehalten. So wurde sowohl für den Fall, dass in der Auskunft über eine Gesellschaft kreditrelevante Informationen der natürlichen Person enthalten3 waren, als auch für den umgekehrten Fall, in dem die Auskunft über die natürliche Person kreditrelevante Daten des Unternehmens4 enthielt, bejaht, dass insbesondere Informationen, die den Kreditgeber zu einer sorgfältigen Bonitätsprüfung veranlassen, in den entsprechenden Auskünften enthalten sein dürfen5. 1 Dieser Effekt ist insbesondere bei den Auskunfteien zu beobachten; vgl. hierzu LG Hamburg v. 16.8.1996 – 317 S 354/95, NJW-RR 1996, 1522, das sich bei der zulässigen Speicherungsdauer an der (seinerzeit) geltenden Frist orientiert, aber eine länger währende Speicherung explizit nicht ausschließt; eingehend zur Problematik auch Hammer/Fraenkel, DuD 2011, 890. 2 Zur Übermittlung einer Information über Rückstände nach Zwangsmaßnahmen KG Berlin v. 30.8.1994 – 7 U 5713/93, CR 1995, 80; zur Angabe „JVA“ OLG Celle v. 8.12.1993 – 3 U 48/93, zu Voranschriften und sich etwa daraus ableitenden häufigen Umzügen LG Hamburg v. 16.8.1996 – 317 S 354/95, NJW-RR 1996, 1522; zur Restschuldbefreiung OLG Frankfurt a.M. v. 1.9.2009 – 21 U 45/09; LG Wiesbaden v. 21.10.2010 – 5 T 9/10, MMR 2011, 348; vgl. OLG Karlsruhe v. 12.3.2012 – 8 U 166/11; zur sog. Sperrzeitrechtsprechung des BGH aus der die Zulässigkeit der Speicherung von Insolvenzdaten abgeleitet werden kann zusammenfassend, Homann, ZVI 2012, 206; die Europarechtskonformität der Speicherung von Restschuldbefreiungen feststellend OLG Hamm v. 20.9.2012 – I-6 W 44/12; dagegen war bei dem sog. Rostocker Schuldnerspiegel der Rückschluss auf die Zahlungsunwilligkeit- oder Unfähigkeit nicht zwingend möglich, s. BVerfG v. 9.10.2001 – 1 BvR 622/01, NJW 2002, 741. 3 BGH v. 24.6.2003 – VI ZR 3/03, NJW 2003, 2904; BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204. 4 BGH v. 17.12.1985 – VI ZR 244/84, NJW 1986, 2505. 5 Zum zulässigen Umfang von Wirtschaftsinformationen OLG Hamm v. 19.6.2000 – 6 U 238/99, NJW 2001, 979; zu Bonitätsbewertungen BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204.
Kamlah 883
BDSG § 35
Datenverarbeitung nicht-öffentlicher Stellen
4. Löschung von Positivdaten auf Verlangen des Betroffenen (Abs. 2 Satz 3) 29 Abs. 2 Satz 3 wurde durch die BDSG-Novelle I im Jahr 2010 neu eingefügt1. Ausweislich der Gesetzesbegründung sollte damit ein Gleichlauf hinsichtlich der personenbezogenen Daten geschaffen werden, die auf Basis einer Einwilligung gespeichert werden, und der Daten, die aufgrund des neu geschaffenen gesetzlichen Zulässigkeitstatbestandes nach § 28a Abs. 2 bzw. der daraus resultierenden Speicherbefugnis nach § 29 Abs. 1 Satz 1 Nr. 3 gespeichert werden2. Dabei ging der Gesetzgeber offenbar davon aus, dass ein Widerruf zu einer erteilten Einwilligung zu einer Löschungsverpflichtung nach Abs. 2 Satz 2 Nr. 1 führt3. Daher sollte eine entsprechende Löschungsverpflichtung für personenbezogene Daten geschaffen werden, die auf Basis eines gesetzlichen Erlaubnistatbestandes gespeichert worden sind. Der Widerruf zu einer Einwilligung und das Löschungsersuchen nach Abs. 2 Satz 3 sollten die gleichen Rechtsfolgen haben. Die der Vorschrift zugrundeliegende Annahme, dass ein Widerruf zu einer erteilten Einwilligung zu einer Löschungsverpflichtung führt, ist jedoch insoweit fehlerhaft, als dass ein Widerruf einer erteilten Einwilligung nicht ex tunc, sondern nach allgemeiner Ansicht ex nunc wirkt4. Die Zulässigkeit einer auf Basis einer Einwilligung erfolgten Speicherung kann mithin nicht rückwirkend beseitigt werden. Sofern die Einwilligung den Ansprüchen der informierten Einwilligung genügt, ist auch die dann in aller Regel beschriebene weitere Verarbeitung des einmal auf Basis einer Einwilligung gewonnenen personenbezogenen Datums nicht ausgeschlossen5. Bezogen auf § 28a Abs. 2 sind nach Widerruf der Einwilligung lediglich weitere Übermittlungen an Auskunfteien ausgeschlossen, die sich auf die entsprechende Geschäftsbeziehung beziehen (vgl. § 28a Abs. 3). Ob die fehlende Aktualisierungsmöglichkeit des ursprünglich übermittelten Datums für sich genommen zu einer Löschungsverpflichtung führt, ist eine andere Frage und hängt davon ab, ob und wie man die fehlende Korrekturmöglichkeit mit Blick auf die ursprünglich gespeicherte Information beurteilt6. 1 BGBl. I, S. 2254. 2 BT-Drucks. 16/10529, S. 19. 3 Nicht etwa Abs. 2 Satz 1 Nr. 1 wie es in der Gesetzesbegründung fälschlicherweise heißt, BT-Drucks. 16/10529, S. 19. 4 So bereits OLG Düsseldorf v. 12.7.1985 – 15 U 240/84, WM 1985, 1220. 5 KG Berlin v. 30.8.1994 – 7 U 5713/93, CR 1995, 80. 6 Zum Kontextverlust s.o. Rz. 11.
884 Kamlah
Berichtigung, Löschung und Sperrung von Daten
§ 35 BDSG
Die Vorschrift ist jedoch noch aus einem anderen Grund missglückt. Durch den Verweis auf § 29 Abs. 1 Satz 1 Nr. 3 stünden dem Wortlaut nach auch Daten nach § 28a Abs 1 in der Disposition des Betroffenen, da § 29 Abs. 1 Satz 1 Nr. 3 auch auf den § 28a Abs. 1 verweist. Das war jedoch erkennbar nicht gemeint. Vielmehr hätte der Wortlaut der Vorschrift nicht „§ 28a Abs. 2 Satz 1 oder § 29Abs. 1 Satz 1 Nr. 3“, sondern entsprechend der Gesetzesbegründung umgekehrt „§ 29 Abs. 1 Satz 1 Nr. 3 in Verbindung mit § 28a Abs. 2“ lauten müssen1. Der Verweis sollte sich offensichtlich nur auf den Abs. 2 des § 28a beziehen.
30
Gemeint dürfte mithin Folgendes gewesen sein: Anknüpfungspunkt der 31 Norm war ausweislich der Gesetzesbegründung § 28a Abs. 2. Motiv für die Regelung war die Schaffung einer Löschungsverpflichtung für auf Basis des gesetzlichen Zulässigkeitstatbestandes nach § 28a Abs. 2 übermittelter sog. Positivdaten. Während man hinsichtlich der sog. Negativdaten nach § 28a Abs. 1 in aller Regel ein schutzwürdiges Interesse des Betroffenen an der Verarbeitung und Nutzung verneint, sollen sog. Positivdaten in der Disposition des Betroffenen stehen. Bei Schaffung der Norm stand vermutlich die Praxis einiger Auskunfteien Pate, die sog. Positivdaten bei Widerruf der zugrunde liegenden Einwilligung tatsächlich – aber im Grunde überobligatorisch – löschten. Die ohne Einwilligung nach § 28a Abs. 2 übermittelten Positivdaten sollten insoweit nicht anders behandelt werden dürfen. 5. Folgen bei Löschung Die Verpflichtung der verantwortlichen Stelle beschränkt sich dabei 32 dann nur auf die Löschung selbst. Keine Verpflichtung besteht hingegen, den Betroffenen über etwaige Folgen einer Löschung aufzuklären. Diese Löschungen können sich beispielsweise auf im Rahmen von Scoringverfahren nach § 28b errechnete Wahrscheinlichkeitswerte auswirken. Danach wirkt sich niemals eine Information (linear) auf einen bestimmten Wahrscheinlichkeitswert aus. Dieser setzt sich vielmehr aus dem Zusammenspiel der im Zeitpunkt der Berechnung vorliegenden Informationen zusammen, so dass eine Vorhersage darüber, wie sich eine etwaige Löschung zu einem bestimmten Zeitpunkt auf einen ggf. viel später liegenden Zeitpunkt der Wahrscheinlichkeitswerterrechnung auswirkt, seriös ohnehin nicht getroffen werden kann.
1 S. BT-Drucks. 16/10529, S. 19.
Kamlah 885
BDSG § 35
Datenverarbeitung nicht-öffentlicher Stellen
6. Sperrung von Daten (Abs. 3, 4, 4a und 8) 33 Abs. 3 Nr. 1 formuliert für die Fälle des Abs. 2 Satz 2 Nr. 3 – also (nur) für die Fälle der Speicherung für eigene Zwecke – Tatbestände, nach denen an die Stelle der Löschung die Sperrung tritt. Die Sperrung ist in § 3 Abs. 4 Satz 2 Nr. 4 definiert. 34 Danach ist zu sperren, wenn einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen1. Im Zusammenspiel mit Abs. 2 Satz 2 Nr. 3 bedeutet dies, dass die Daten zwar zum Zwecke der Sperrung gespeichert bleiben dürfen, das aber auch nur für den Zweck, für den sie gesperrt sind und deretwegen sich eine Löschung verbietet. Eine darüber hinausgehende Verarbeitung und Nutzung (z.B. wie für den ursprünglichen Zweck) ist unzulässig. 35 Ebenso tritt an die Stelle der Löschung die Sperrung, wenn Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, Abs. 3 Nr. 2. Das kann der Fall sein, wenn zwar die eigentliche Speicherung unzulässig geworden ist, der Betroffene aber – etwa zur Beweissicherung – ein Interesse an der Sperrung hat. 36 Einen heutzutage wenig wahrscheinlichen Fall formuliert Abs. 3 Nr. 3. Danach tritt an die Löschung die Sperrung, wenn wegen der besonderen Art der Speicherung eine Löschung nicht oder nur zu einem unverhältnismäßig hohen Aufwand möglich ist. Zum einen hat die verantwortliche Stelle eine Organisationsverpflichtung, dass Daten so gespeichert werden, dass sie auch einer Löschung zugänglich sind (vgl. § 3a). Zum anderen ist im Zweifel der Aufwand für eine Sperrung nicht weniger gering als für eine Löschung2. 37 Personenbezogene Daten sind ferner zu sperren, soweit die Richtigkeit (nicht etwa Zulässigkeit) vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt, Abs. 4. Da diese Vorschrift in einem eigenen Absatz gefasst ist, gilt sie für sämtliche Fälle des § 35 Abs. 2 gleichermaßen. Gleichwohl stellt sich hier die Frage der praktischen Anwendbarkeit, denn wenn sich die Richtigkeit eines personenbezogenen Datums (endgültig) nicht beweisen lässt (non liquet), liegt eine Löschungsverpflichtung zumindest nahe. Der Zweck 1 § 147 AO, §§ 238, 257 HGB, § 28f SGB IV, § 273 Abs. 2 AktG, § 74 Abs. 2 GmbHG, § 93 GenG. 2 Zum Problem bei Marktsegmentierungsdaten Gola/Schomerus, § 35 BDSG Rz. 17 und 19.
886 Kamlah
Berichtigung, Löschung und Sperrung von Daten
§ 35 BDSG
einer Sperrung lässt sich bei einer endgültigen Nichtbeweisbarkeit nicht erreichen. Da Abs. 4 eine endgültige Nichtbeweisbarkeit voraussetzt, stellt sich die Frage, wie bis zu dem Zeitpunkt verfahren werden kann, an dem die Nichtbeweisbarkeit erst feststeht. Für solche Fälle besteht das praktische Bedürfnis den Datenbestand zu ergänzen, zu relativieren oder zu korrigieren.
38
Es stellt sich die weitere Frage, wie verfahren werden kann, wenn die 39 verantwortliche Stelle die gegen sie erhobenen Ansprüche prüfen möchte bzw. prüfen muss und dies eine gewisse Zeit in Anspruch nimmt. Eine Sperrung würde einem Anerkenntnis oder einer Vorwegnahme der Hauptsache gleichkommen, wenn diese wie eine Löschung wirkt, weil die Daten zum Zwecke der Übermittlung vorgehalten werden. Dies würde bei regelmäßigen Datenempfängern den (u.U. sogar fälschlichen) Eindruck erwecken, die Daten seien zurecht gelöscht, was ggf. Schadenersatzansprüche nach sich ziehen könnte. Mit der (u.U. völlig unberechtigten) Geltendmachung von Ansprüchen könnten Betroffene die Löschungswirkung erreichen. Möchte man dieses verhindern, bliebe nur die fortwährende Speicherung des Datums, was weder im Interesse des Betroffenen ist, noch zumutbar für die verantwortliche Stelle sein kann, wenn umfangreiche Schadenersatzansprüche seitens des Betroffenen drohen und die verantwortliche Stelle ihrer Schadensminderungspflicht nachkommen möchte und muss. Unter Beibehaltung der im Rahmen des Abs. 4a zum Ausdruck kommenden gesetzgeberischen Wertung muss es daher möglich sein, zumindest für eine gewisse oder fest definierte Zeit (z.B. Dauer eines Gerichtsverfahrens) so wertfrei wie möglich zu dokumentieren, dass sich „Daten in Prüfung“ befinden1. Die verantwortliche Stelle bleibt dabei gehalten, die Klärung unverzüglich einzuleiten und durchzuführen. (Erst) wenn eine Klärung nicht möglich ist, hat die Sperrung nach Abs. 4 dahingehend zu erfolgen, dass bei Übermittlungen darauf nicht mehr hingewiesen wird, Abs. 4a. Nach Abs. 4a darf die Tatsache der Sperrung nicht übermittelt werden. Mit dieser Vorschrift soll verhindert werden, dass die Funktion der Sperrung dadurch umgangen wird, dass die Tatsache der Sperrung übermit-
1 Dieses Bedürfnis mag weniger für die Fälle der Speicherung zu eigenen Zwecken bestehen, dafür aber in den Fällen der geschäftsmäßigen Datenverarbeitung und Nutzung zum Zwecke der Übermittlung, da eine völlig ausbleibende Dokumentation beim Empfänger einer vollständigen Löschung gleichkommt.
Kamlah 887
40
BDSG § 35
Datenverarbeitung nicht-öffentlicher Stellen
telt wird, denn die Sperrung ist ja in aller Regel in den Fällen vorgesehen, in denen gerade keine weitere Datenverarbeitung erfolgen soll. 41 Ausweislich der Gesetzesbegründung zu der im Rahmen der BDSG-Novelle I in den Jahren 2009/2010 neu eingeführten Vorschrift darf auch die Tatsache einer Sperrung, die auf ein strittiges Datum hinweist, nicht an Dritte übermittelt werden. Denn die Mitteilung einer Sperrung könnte nämlich von empfangenden Dritten leicht dahingehend verstanden werden, dass der Betroffene nicht nur nicht zahlt, sondern auch noch ein schwieriger Kunde ist. Die Mitteilung könnte somit einen negativen Eindruck über den Betroffenen hinterlassen und deshalb zu einer für ihn negativen Entscheidung führen. Die Vorschrift darf auch nicht dadurch umgangen werden, dass eine Formulierung gewählt wird, aus der auf die Tatsache der Sperrung bzw. das Vorliegen einer Unregelmäßigkeit geschlossen werden kann1. Zu beachten ist aber, dass Abs. 4a eine verpflichtende Sperrung tatbestandlich voraussetzt, was in den Fällen, in denen das non-liquet nach Abs. 4 noch nicht feststeht, gerade nicht der Fall ist. 42 Abs. 8 regelt nun, nach welchen Regeln gesperrte Daten verarbeitet und genutzt werden können. Danach gibt es nur bestimmte Ausnahmefälle, in denen hierfür keine Einwilligung erforderlich ist. Damit ist im Umkehrschluss eine Verarbeitung und Nutzung gesperrter Daten auf Basis einer Einwilligung grundsätzlich möglich2. 43 Ohne eine Einwilligung dürfen gesperrte Daten zu wissenschaftlichen Zwecken übermittelt und genutzt werden, Abs. 1 Nr. 1, 1. Var. Zu fragen ist allerdings, ob nicht eine Anonymisierung nach § 40 Abs. 2 möglich ist. 44 Abs. 8 Nr. 1, 2. Var. privilegiert ebenso die Behebung einer Beweisnot. Diese Formulierung legt nahe, dass eine bloße Beweislast nicht ausreicht. 45 Schließlich soll eine Verarbeitung oder Nutzung gesperrter Daten ohne Einwilligung des Betroffenen auch aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen möglich sein, Abs. 8 Nr. 1, 3. Var. Letzteres gilt jedoch – wie für alle Varianten – nur, wenn die Verarbeitung oder Nutzung unerlässlich ist.
1 So die detaillierte Gesetzesbegründung, BT-Drucks. 16/10529, S. 19; s. auch Simitis/Dix, § 35 BDSG Rz. 54. 2 Vgl. Taeger/Gabel/Meents, § 35 BDSG Rz. 38.
888 Kamlah
Berichtigung, Löschung und Sperrung von Daten
§ 35 BDSG
Der ansonsten geltende Erforderlichkeitsgrundsatz wird damit noch einmal verschärft1. Kumulativ („und“) gilt hierzu noch nach Abs. 8 Nr. 2, dass die Daten 46 hierfür übermittelt und genutzt werden dürften, wenn sie nicht gesperrt wären. Damit wird aber eher eine Selbstverständlichkeit ausgedrückt, die vor dem Hintergrund der engen Voraussetzungen der Nr. 1 keine eigene Bedeutung mehr hat2. Im Übrigen kann auf die Kommentierung zu § 20 Abs. 7 verwiesen werden. 7. Widerspruch gegen die Erhebung, Verarbeitung und Nutzung aus wichtigem Grund (Abs. 5) Nach Abs. 5 dürfen personenbezogene Daten nicht für eine automati- 47 sierte Verarbeitung oder eine Verarbeitung in nicht automatisierten Daten erhoben, verarbeitet oder nutzt werden, wenn der Betroffene bei der verantwortlichen Stelle widerspricht. Die Vorschrift formuliert damit einen Anspruch des Betroffenen. Der Anwendungsbereich knüpft dabei an die Verarbeitungsvorgänge nach § 3 Abs. 2 an und setzt gegenüber der verantwortlichen Stelle (§ 3 Abs. 7) einen Widerspruch gegen die Verarbeitungsvorgänge voraus. Der Widerspruch ist formfrei. Damit die verantwortliche Stelle die Berechtigung des Widerspruchs prüfen kann, sollten die personenbezogenen Daten, gegen deren Verarbeitung widersprochen wird, möglichst genau bezeichnet werden (s. schon Rz. 3). Die genaue Bezeichnung hat sich auch auf die Gründe zu erstrecken, 48 weshalb widersprochen wird3. Denn die Verarbeitung hat (nur dann) zu unterbleiben, wenn eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Wann von einem Überwiegen in diesem Sinne gesprochen werden kann, ist eine Frage des Einzelfalls. Wegen der Verortung in § 35 ist systematisch zu berücksichtigen, dass 49 die Datenverarbeitung an sich nach den allgemeinen Vorschriften zulässig ist, es aber eine besondere persönliche Situation des Betroffenen gibt, die die schutzwürdigen Interesse des Betroffenen (nachträglich) überwie1 Taeger/Gabel/Meents, § 35 BDSG Rz. 41. 2 Nach Taeger/Gabel/Meents, § 35 BDSG Rz. 42 soll diese Regelung der Verhinderung von Umgehungen dienen. 3 Wie weit die Darlegungspflicht reicht ist im Einzelnen umstritten, s. Simitis/ Dix, § 35 BDSG Rz. 56 Fn. 109.
Kamlah 889
BDSG § 35
Datenverarbeitung nicht-öffentlicher Stellen
gen lassen. Es muss sich danach um besondere Umstände handeln, in denen sich der Betroffene befindet. Zu denken ist hier an solche Fälle, in denen der Betroffene durch die Datenverarbeitung einer hohen Gefährdung ausgesetzt wäre, wie zum Beispiel wenn der Betroffene an einem Zeugenschutzprogramm teilnimmt oder die Betroffene in einem Frauenhaus wohnt1. Eine bloße Erkrankung reicht jedoch nicht aus2. 8. Ausnahme für geschäftsmäßige Datenverarbeiter – Gegendarstellung (Abs. 6) 50 Eine Ausnahme von den Verpflichtungen nach § 35 zugunsten der geschäftsmäßigen Datenverarbeiter enthält Absatz 6. Nach dessen Eingangssatz müssen personenbezogene Daten, die unrichtig sind oder deren Richtigkeit bestritten wird, bei der geschäftsmäßigen Datenspeicherung zum Zweck der Übermittlung – außer in den Fällen des Abs. 2 Nr. 2 – nicht berichtigt, gesperrt oder gelöscht werden. Bereits dieser Halbs. des Abs. 6 Satz 1 wirft viele Fragen auf. 51 Zunächst fällt (sprachlich) auf, dass die Vorschrift des Abs. 2 Nr. 2 ausgenommen wird. Gemeint war aber ganz offensichtlich, dass die Löschungsverpflichtung bei sensiblen Daten nach Abs. 2 Nr. 2 unabhängig von Abs. 6 unangetastet bestehen bleiben soll3. 52 Ferner gilt die Privilegierung nur für Fälle der (feststehenden) Unrichtigkeit und bei bestrittener Richtigkeit und nicht bei Vorliegen der sonstigen Sperrung- und/oder Löschungsverpflichtungen. Das erklärt sich aus dem Anwendungsbereich der Vorschrift, denn privilegiert werden soll nur die Behandlung solcher personenbezogener Daten, die aus allgemein zugänglichen Quellen entnommen (s. hierzu § 28 Abs. 1 Satz 1 Nr. 3 und § 29 Abs. 1 Satz 1 Nr. 2) und zu Dokumentationszwecken gespeichert sind. Beispielsfall für solche Daten, die zu Dokumentationszwecken gespeichert sind, sind Pressearchive, die zum Zwecke der Übermittlung vorgehalten werden4. Hier wäre eine Berichtigung, Löschung oder Sperrung der verantwortlichen Stelle nicht zielführend, da die Ursprungsdatei die bestrittene oder unrichtige Information nach wie vor enthielte. Daher soll der geschäftsmäßige Datenverarbeiter verpflichtet sein, auf Verlangen des Betroffenen diesen personenbezogenen Daten eine Gegendarstellung hinzufügen, Abs. 6 Satz 2. Eine Übermitt1 2 3 4
Weitere Bespiele auch bei Simitis/Dix, § 35 BDSG Rz. 58. OLG Frankfurt a.M. v. 13.3.2011 – 19 U 291/10, ZD 2011, 35. Irritiert auch Simitis/Dix, § 35 BDSG Rz. 63. Simitis/Dix, § 35 BDSG Rz. 61.
890 Kamlah
Berichtigung, Löschung und Sperrung von Daten
§ 35 BDSG
lung ohne diese Gegendarstellung darf dann nicht mehr erfolgen, Abs. 6 Satz 31. 9. Nachinformation, Folgenbeseitigung (Abs. 7) Eine Art der Folgenbeseitigung formuliert Abs. 7. Danach sind von der 53 Berichtigung unrichtiger Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben wurden2. Damit soll sichergestellt werden, dass nicht aus irgendeinem Grund fehlerhafte Daten in Datenbeständen anderer verantwortlicher Stellen fortleben und möglicherweise negative Folgen für den Betroffenen durch zwischenzeitliche weitere Übermittlungen perpetuiert werden. Gleichzeitig sieht der Gesetzgeber aber offensichtlich auch die Gefahr, dass eine flächendeckende Nachinformation über die Korrektur ihrerseits schutzwürdige Interessen des Betroffenen beeinträchtigen kann, Abs. 7 a.E. Das kann in der Tat denkbar sein, wenn sich gerade durch die Korrektur eines möglicherweise sehr alten personenbezogenen Datums der Informationsunwert erst dadurch perpetuiert, dass er bei den nachträglichen Empfängern erst wieder in Erinnerung gerufen oder möglicherweise neu gespeichert wird3. Für die ursprüngliche verantwortliche Stelle wird diese Verpflichtung 54 unter den Vorbehalt gestellt, dass diese Verpflichtung keinen unverhältnismäßigen Aufwand erfordert. Wann von einem solchen Aufwand ausgegangen werden kann, ist eine Frage des Einzelfalls, kann aber dann vorliegen, wenn es sich um viele Empfänger handelt. Als geschäftsmäßige Datenverarbeiter haben jedenfalls einige Auskunfteien Systeme, die diese Nachinformation automatisch sicherstellen4. Sollte die verantwortliche Stelle zur Nachinformation verpflichtet sein 55 und/oder solche Systeme zur automatischen Nachinformation vorhalten, hat sie jedenfalls alles in ihrem Pflichtenkreis stehende getan. Die Formulierung „verständigen“ spricht dafür, dass eine wie auch immer geartete Nachinformation ausreichend ist. 1 Simitis/Dix, § 35 BDSG Rz. 64. 2 Eine schlichte Auskunftserteilung löst nach Gola/Schomerus, § 35 BDSG Rz. 22 keine Nachinformationspflicht aus. 3 Vgl. Simitis/Dix, § 35 BDSG Rz. 67. 4 So auch Simitis/Dix, § 35 BDSG Rz. 66, der dort gerade in Fällen des in aller Regel durch Auskunfteien unterhaltenen automatisierten Abrufverfahrens für eine Nachberichtspflicht ein Bedürfnis zu sehen scheint.
Kamlah 891
BDSG § 35
Datenverarbeitung nicht-öffentlicher Stellen
56 Davon zu trennen ist die Frage, ob die ursprünglichen Datenempfänger verpflichtet sind, solche Informationen überhaupt anzunehmen oder weiterzuverarbeiten. Diese Frage wird jedoch im Pflichtenkreis dieser Datenempfänger zu beantworten sein. So wird man annehmen müssen, dass zumindest in den Fällen, in denen man regelmäßiger Datenempfänger ist, ein wie auch immer gearteten Korrekturmechanismus vorgehalten werden muss, damit evtl. fehlerhafte Daten auch in den eigenen Systemen korrigiert werden können. Besondere praktische Relevanz kann das in Ansehung von § 28a Abs. 3 entfalten. III. Verhältnis zu anderen Normen 57 § 35 ist vorrangige Anspruchsgrundlage zur Durchsetzung von Sperrungen, Löschungen oder Berichtigungen gegenüber der verantwortlichen Stelle. Auf die allgemeinen zivilrechtlichen Normen zur Störungsbeseitigung wie etwa auf § 823 Abs. 1 i.V.m. § 1004 BGB analog kann mangels Regelungslücke nicht zurückgegriffen werden1. Teilweise kann es jedoch eine Anspruchskonkurrenz geben, wenn es um einen Widerruf einer erfolgten unzulässigen Übermittlung geht. Diese Ansprüche werden dann in aller Regel mit § 823 Abs. i.V.m. § 1004 BGB begründet, denn aus § 35 lässt sich ein solcher Anspruch nicht herleiten. Allerdings stellt sich die Frage, ob dann die übermittelnde Stelle der richtige Beklagter ist und nicht vorrangig gegenüber der die Daten nunmehr verantwortlich speichernden Stelle vorzugehen ist. § 35 ist Schutzgesetz i.S.v. § 823 Abs. 2 BGB2. Auf zutreffender Tatsachengrundlage ermittelte Bonitätsbeurteilungen (Bonitätsindex) stellen Werturteile dar, die nicht mit § 824 BGB angegriffen werden können3. Ferner scheiden in diesen Fällen auch Ansprüche nach § 823 Abs. 1 BGB grds. aus, wenn die Bonitätsbeurteilung als Meinungsäußerung auf zutreffenden Tatsachengrundlagen beruht. Daher existiert nach Verankerung von Scoreverfahren in das BDSG kein Anspruch auf eine „richtige“ Berechnung von Wahrscheinlichkeitswerten. 1 Gola/Schomerus, § 35 BDSG Rz. 25; zum Löschungsanspruch von persönlichen Daten auf Website nach § 1004, § 823 Abs. 1 und 2 BGB allerdings LAG Frankfurt a.M. v. 24.1.2012 19 – SaGa 1480/11, ZD 2012, 284; an die zivilrechtlichen Normen ebenfalls anknüpfend bei Unterlassungsansprüchen gegen Foreneinträge auch OLG Hamburg v. 2.8.2011 – 7 U 134/10, ITRB 2011, 276. 2 S. auch Palandt/Sprau, § 823 BGB Rz. 62a. 3 BGH v. 22.2.2011 – VI ZR 120/10, NJW 2011, 2204; zu § 824 BGB OLG Frankfurt a.M. v. 6.1.1988 – 17 U 35/87, WM 1988, 148; Winkelmann, MDR 1985, 718.
892 Kamlah
Berichtigung, Löschung und Sperrung von Daten
§ 35 BDSG
Inwieweit die Bestimmungen des BDSG als Marktverhaltensregel i.S.d. UWG zu begreifen sind, ist im Einzelnen zweifelhaft1.
58
Eine spezielle Löschfrist für die aus den Schuldnerverzeichnissen der Gerichte entnommenen Daten enthält § 915a Abs. 1, § 915b Abs. 2, § 915g Abs. 2 ZPO (ab dem 1.1.2013 gelten insoweit die §§ 882e Abs. 1 und 3 sowie 882g Abs. 6 Satz 2 ZPO). Diese Frist ist ggf. kürzer als die nach § 35 Abs. 2 Satz 2 Nr. 12. Daraus kann jedoch nicht der Schluss gezogen werden, dass wenn die den Schuldnerverzeichnissen der Gerichte entnommenen „harten“ Negativdaten früher zu löschen sind, dieses „erst recht“ für die etwa nach § 28a Abs. 1 übermittelten Daten gilt3.
59
Bewerbungsdaten sind nach den §§ 15 und 22 AGG vom Arbeitgeber so aufzubewahren, dass ihm der Entlastungsbeweis gelingt.
60
Nach § 83 Abs. 2 BetrVG besteht ein Gegendarstellungsrecht zugunsten des Arbeitnehmers. Dieses steht neben den Ansprüchen aus § 354.
61
Ferner gehen nach § 1 Abs. 3 spezielle Regelungen wie die des § 13 62 Abs. 4 Nr. 2 TMG, die des § 95 Abs. 3 TKG oder die des § 97 TKG5 vor. IV. Rechtsfolgen/Sanktionen Ausdrücklich eine Ordnungswidrigkeit ist zunächst nur ein Verstoß ge- 63 gen § 35 Abs. 6 Satz 3, § 43 Abs. 1 Nr. 9. Zu berücksichtigen ist aber, dass insbesondere eine unterbliebene Löschung ggf. Tatbestände nach § 43 Abs. 2 Nr. 1 und 2 auslösen kann. Die Höhe des Bußgeldes richtet sich dann nach § 43 Abs. 3, der zwischen Ordnungswidrigkeiten nach Absatz 1 und 2 unterscheidet. Unter besonderen Voraussetzungen kann § 44 greifen.
1 S. hierzu Kamlah/Hoke, RDV 2008, 226; bejahend OLG Köln v. 19.11.2011 – 6 U 73/10, CR 2011, 680; verneinend OLG München v. 12.1.2012 – 29 U 3926/11, MMR 2012, 317; ebenfalls verneinend mit Blick auf etwaige Verstöße gegen § 13 Abs. 1 TMG beim Einsatz des Facebook-Like-Buttons, KG Berlin v. 29.4.2011 – 5 W 88/11, CR 2011, 468 f. 2 Vgl. Simitis/Dix, § 35 BDSG Rz. 44. 3 So im Ergebnis auch der BGH v. 24.6.2003 – VI ZR 3/03, WM 2003, 1667; AG Hamburg v. 25.2.2003 – 910 C 139/03; s. auch OLG Karlsruhe v. 12.3.2012 – 8 U 166/11. 4 Taeger/Gabel/Meents, § 35 BDSG Rz. 7; eingehend Simitis/Dix, § 35 BDSG Rz. 76 ff. 5 Zur Verkehrsdatenspeicherung s. Leitfaden des BfDI und der BNetzA zur Verkehrsdatenspeicherung vom 13.9.2012.
Kamlah 893
BDSG § 36
Datenverarbeitung nicht-öffentlicher Stellen
64 Teilweise wird angenommen, ein Verstoß gegen § 35 Abs. 1 Satz 2 löse eine Ordnungswidrigkeit nach § 43 Abs. 2 Nr. 1 aus1. Dem kann nicht zugestimmt werden, da der Gesetzgeber dies in Ansehung von Art. 103 GG ausdrücklich hätte regeln müssen. Im Übrigen ist ein Vorgehen der Aufsichtsbehörden über § 38 denkbar2. Schmerzensgeldansprüche bestehen dagegen in aller Regel nicht3.
Dritter Unterabschnitt Aufsichtsbehörde
36
(weggefallen)
37
(weggefallen)
Aufsichtsbehörde (1) 1Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz, soweit diese die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung oder Nutzung personenbezogener Daten in oder aus nicht automatisierten Dateien regeln einschließlich des Rechts der Mitgliedstaaten in den Fällen des § 1 Abs. 5. 2Sie berät und unterstützt die Beauftragten für den Datenschutz und die verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse. 3Die Aufsichtsbehörde darf die von ihr gespeicherten Daten nur für Zwecke der Aufsicht verarbeiten und nutzen; § 14 Abs. 2 Nr. 1 bis 3, 6 und 7 gilt entsprechend. 4Insbesondere darf die Aufsichtsbehörde zum Zweck der Aufsicht Daten an andere Aufsichtsbehörden übermitteln. 5Sie leistet den Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen Union auf Ersuchen ergänzende Hilfe (Amtshilfe). 6Stellt die Aufsichtsbehörde einen Verstoß gegen dieses Gesetz oder andere Vorschriften über den Datenschutz fest, so ist sie befugt, die Betroffenen hierüber zu unterrichten, den Verstoß bei den für die Ver-
38
1 So Simitis/Dix, § 35 BDSG Rz. 18; Gola/Schomerus, § 35 BDSG Rz. 6a. 2 Zum Anspruch des Betroffenen auf Einschreiten der Aufsichtsbehörde s. VG Darmstadt v. 18.11.2010 – 5 K 994/10.DA. 3 Vgl. AG Speyer v. 2.4.2008 – 33 C 34/08; OLG Frankfurt a.M. v. 6.1.1988 – 17 U 35/87, WM 1988, 148.
894 Kamlah/Plath
Aufsichtsbehörde
§ 38 BDSG
folgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten. 7Sie veröffentlicht regelmäßig, spätestens alle zwei Jahre, einen Tätigkeitsbericht. 8§ 21 Satz 1 und § 23 Abs. 5 Satz 4 bis 7 gelten entsprechend. (2) 1Die Aufsichtsbehörde führt ein Register der nach § 4d meldepflichtigen automatisierten Verarbeitungen mit den Angaben nach § 4e Satz 1. 2Das Register kann von jedem eingesehen werden. 3Das Einsichtsrecht erstreckt sich nicht auf die Angaben nach § 4e Satz 1 Nr. 9 sowie auf die Angabe der zugriffsberechtigten Personen. (3) 1Die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. 2Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. 3Der Auskunftspflichtige ist darauf hinzuweisen. (4) 1Die von der Aufsichtsbehörde mit der Kontrolle beauftragten Personen sind befugt, soweit es zur Erfüllung der der Aufsichtsbehörde übertragenen Aufgaben erforderlich ist, während der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume der Stelle zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. 2Sie können geschäftliche Unterlagen, insbesondere die Übersicht nach § 4g Abs. 2 Satz 1 sowie die gespeicherten personenbezogenen Daten und die Datenverarbeitungsprogramme, einsehen. 3§ 24 Abs. 6 gilt entsprechend. 4Der Auskunftspflichtige hat diese Maßnahmen zu dulden. (5) 1Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. 2Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. 3Sie kann die Abberufung des Beauftragten
Plath 895
BDSG § 38
Datenverarbeitung nicht-öffentlicher Stellen
für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt. (6) Die Landesregierungen oder die von ihnen ermächtigten Stellen bestimmen die für die Kontrolle der Durchführung des Datenschutzes im Anwendungsbereich dieses Abschnittes zuständigen Aufsichtsbehörden. (7) Die Anwendung der Gewerbeordnung auf die den Vorschriften dieses Abschnittes unterliegenden Gewerbebetriebe bleibt unberührt. I. Einführung . . . . . . . . . . . . . . . .
1
II. Zuständigkeit . . . . . . . . . . . . .
4
III. Gegenstand und Durchführung der aufsichtsbehördlichen Kontrolle . . . . . . . . . . . . . 1. Gegenstand der Kontrolle (Abs. 1 Satz 1). . . . . . . . . . . . . . 2. Durchführung der Kontrolle . 3. Verhältnis zum betrieblichen Datenschutzbeauftragten und zur verantwortlichen Stelle (Abs. 1 Satz 2) . . . . . . . . 4. Zweckbindung (Abs. 1 Satz 3) . . . . . . . . . . . . . . . . . . . . 5. Datenaustausch zwischen den Aufsichtsbehörden (Abs. 1 Satz 4). . . . . . . . . . . . . . 6. Verpflichtung zur Amtshilfe (Abs. 1 Satz 5). . . . . . . . . . . . . . 7. Aufsichtsbehördliche Unterrichtungsbefugnisse bei Verstößen (Abs. 1 Satz 6) . . . . . . . a) Unterrichtung des Betroffenen . . . . . . . . . . . . . . . . . . b) Unterrichtung der für die Verfolgung bzw. Ahndung zuständigen Stellen . . . . . . c) Unterrichtung der Gewerbeaufsichtsbehörden . . . . . 8. Veröffentlichung von Tätigkeitsberichten (Abs. 1 Satz 7). 9. Allgemeines Anrufungsrecht (Abs. 1 Satz 8, 1. Halbs.) . . . . . 10. Anzeigepflicht und Geltung der steuerrechtlichen Aus-
896 Plath
kunfts- und Vorlagepflichten (Abs. 1 Satz 8, 2. Halbs.) . . . . . 36 IV. Registerführung (Abs. 2) . . . . . 39
6 7 15
18 19
21 23
25 26
28 29 30 33
V. Auskunftspflichten der verantwortlichen Stellen (Abs. 3) 42 1. Inhalt der Auskunftspflicht (Abs. 3 Satz 1) . . . . . . . . . . . . . . 43 2. Ausnahmen von der Auskunftspflicht (Abs. 3 Satz 2, 3) . . . . . . . . . . . . . . . . . . . . . . . . 47 VI. Kontrollbefugnisse der Aufsichtsbehörden (Abs. 4) . . . . . . 50 1. Gegenstand und Reichweite der Kontrollbefugnisse (Abs. 4 Satz 1 bis 3) . . . . . . . . . . . . . . . . 51 2. Duldungspflicht der verantwortlichen Stelle (Abs. 4 Satz 4) . . . . . . . . . . . . . . . . . . . . 59 VII. Anordnungsbefugnisse der Aufsichtsbehörden (Abs. 5) . . . 1. Beseitigungsanordnung (Abs. 5 Satz 1 und 2). . . . . . . . . 2. Untersagungsanordnung (Abs. 5 Satz 2, 1. Halbs.) . . . . . 3. Abberufung des betrieblichen Datenschutzbeauftragten (Abs. 5 Satz 3) . . . . . . . . . . . . . .
61 62 64
66
VIII. Übertragung der Datenschutzaufsicht auf die Länder (Abs. 6). . . . . . . . . . . . . . . . . . . . 70 IX. Anwendbarkeit der Gewerbeordnung (Abs. 7) . . . . . . . . . . 74
Aufsichtsbehörde
§ 38 BDSG
Schrifttum: Bull, Die „völlig unabhängige“ Aufsichtsbehörde – Zum Urteil des EuGH vom 9.3.2010 in Sachen Datenschutzaufsicht, EuZW 2010, 488; Ernst, Interessenkonflikte bei Personalunion zwischen Revisionsabteilung und Datenschutzbeauftragten, NJOZ 2010, 2443; Frenzel, „Völlige Unabhängigkeit“ im demokratischen Rechtsstaat – Der EuGH und die mitgliedstaatliche Verwaltungsorganisation, DÖV 2010, 925; Gola/Schomerus, Die Organisation der staatlichen Datenschutzkontrolle der Privatwirtschaft, ZRP 2000, 183; Herb, Die Struktur der Datenschutzkontrollstellen in der Bunderepublik, ZUM 2004, 530; v. Lewinski, Tätigkeitsberichte im Datenschutz, RDV 2004, 163; Petri/Tinnefeld, Völlige Unabhängigkeit der Datenschutzkontrolle – Demokratische Legitimation und unabhängige parlamentarische Kontrolle als moderne Konzeption der Gewaltenteilung, MMR 2010 157; Redeker, Datenschutz auch bei Anwälten – aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis, NJW 2009, 554; Rüpke, Mehr Rechtssicherheit für anwaltliche Datenverarbeitung – Ein Vorschlag zur informationsrechtlichen Erweiterung der Bundesrechtsanwaltsordnung, ZRP 2008, 87; Tinnefeld/Petri/Brink, Aktuelle Fragen zur Reform des Beschäftigtendatenschutzes – Ein Update, MMR 2011, 427; Weichert, Datenschutz auch bei Anwälten?, NJW 2009, 550.
I. Einführung Das BDSG sieht grundsätzlich eine zweigliederige Kontrolle nicht-öffentlicher Stellen vor. Primär erfolgt eine Eigenkontrolle der verantwortlichen Stelle durch den betrieblichen Datenschutzbeauftragten (§§ 4f, 4g). Demgegenüber sind die Aufsichtsbehörden für die externe, hoheitliche Kontrolle nicht-öffentlicher Stellen zuständig1.
1
Durch § 38 werden die Aufsichtsbehörden ermächtigt, die Einhaltung der Vorschriften des BDSG durch nicht-öffentliche Stellen zu kontrollieren und durchzusetzen. Mit dieser Kontrollmöglichkeit will der Staat seinem Auftrag zum Schutz des Grundrechts auf informationelle Selbstbestimmung auch im nicht-öffentlichen Bereich gerecht werden und einen „vorgezogenen Rechtsschutz“ ermöglichen2. Zugleich dient die Einrichtung der Aufsichtsbehörden der Umsetzung der entsprechenden Vorgaben des Art. 28 EG-Datenschutzrichtlinie3.
2
1 Zur rechtlichen Einordnung der Aufsichtsbehörden Petri/Tinnefeld, MMR 2010, 157 f.; zur Struktur der Aufsichtsbehörden Herb, ZUM 2004, 530 ff. 2 Ausführlich hierzu Simitis/Petri, § 38 BDSG Rz. 3 ff.; Weichert, NJW 2009, 550. 3 Vgl. Simitis/Petri, § 38 BDSG Rz. 10 ff. sowie Däubler/Klebe/Wedde/Weichert/ Weichert, § 38 BDSG Rz. 6, insbesondere zur Frage, ob die von der EG-Datenschutzrichtlinie geforderte „völlige Unabhängigkeit“ der Aufsichtsbehörden gewährleistet wird; ausführlich hierzu s.u. Rz. 71.
Plath 897
BDSG § 38
Datenverarbeitung nicht-öffentlicher Stellen
3 Abs. 1 bestimmt den Umfang der Kontrollrechte sowie die weiteren Rechte, Pflichten und Aufgaben der Aufsichtsbehörden. Abs. 2 verpflichtet die Aufsichtsbehörden zur Führung eines öffentlich einsehbaren Registers über meldepflichtige automatisierte Verarbeitungen i.S.d. § 4d. Abs. 3 regelt die Auskunftspflichtigkeit der verantwortlichen Stellen gegenüber den Aufsichtsbehörden. Abs. 4 und Abs. 5 ermächtigen die mit der Datenschutzaufsicht betrauten Personen sowie die Aufsichtsbehörden selbst zur Ergreifung bestimmter Aufklärungs- und Durchsetzungsmaßnahmen. Abs. 6 überträgt die Aufgabe der Datenschutzaufsicht auf die Länder. Abs. 7 regelt das Verhältnis zu den Vorschriften der Gewerbeordnung. II. Zuständigkeit 4 Die Bestimmung, d.h. die Benennung und Ermächtigung der Aufsichtsbehörden, erfolgt gemäß Abs. 6 durch die Bundesländer (ausführlich hierzu s.u. Rz. 70 ff.). Welche Stelle in den jeweiligen Bundesländern tatsächlich Aufsichtsbehörde ist, ist von Land zu Land unterschiedlich. In den meisten Ländern wird diese Aufgabe jedoch durch die jeweiligen Landesbeauftragten für den Datenschutz wahrgenommen1. 5 Nach den allgemeinen verwaltungsverfahrensrechtlichen Vorschriften der Länder ist grundsätzlich die Aufsichtsbehörde örtlich zuständig, in deren Zuständigkeitsbereich die Datenverwendung, die Gegenstand der Kontrolle ist, tatsächlich erfolgt. Unerheblich ist dabei, ob es sich bei dieser datenverarbeitenden Stelle um den Hauptsitz oder lediglich um eine Zweigniederlassung der verantwortlichen Stelle handelt2. III. Gegenstand und Durchführung der aufsichtsbehördlichen Kontrolle 6 § 38 ermächtigt die Aufsichtsbehörden zu einer anlassunabhängigen Kontrolle von Amts wegen und setzt demnach weder das Vorliegen konkreter Anhaltspunkte für Verletzungen noch eine entsprechende Aufforderung durch Dritte für das Tätigwerden der Behörden voraus3. Im Falle 1 Die jeweiligen Aufsichtsbehörden der Länder sind auf http://www.bfdi.bund. de/DE/AnschriftenUndLinks/AufsBehoerdFuerDenNichtOeffBereich/Anschrif tenAufsichtsbehoerdenFuerDenNichtoeffentlichenBereich.html aufzurufen; ausführlich hierzu Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 4 f. 2 Simitis/Petri, § 38 BDSG Rz. 31; Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 3. 3 Vgl. Taeger/Gabel/Grittmann, § 38 BDSG Rz. 1, 10; Simitis/Petri, § 38 BDSG Rz. 32.
898 Plath
Aufsichtsbehörde
§ 38 BDSG
eines Eingreifens unterliegt die Aufsichtsbehörde jedoch dem Verhältnismäßigkeitsgrundsatz. 1. Gegenstand der Kontrolle (Abs. 1 Satz 1) Gegenstand der aufsichtsbehördlichen Kontrolle sind zunächst die An- 7 wendbarkeit sowie die Einhaltung der Vorschriften des BDSG, sofern diese die Datenverwendung durch nicht-öffentliche Stellen zum Gegenstand haben. Neben den allgemeinen Vorschriften des ersten Abschnitts sind damit vor allem die Regelungen des Dritten Abschnitts, aber auch die Verhaltensregelungen des § 38a Gegenstand der Kontrollbefugnisse. Aus Abs. 5 Satz 3 ergibt sich darüber hinaus, dass die Aufsichtsbehörden auch die Geeignetheit des betrieblichen Datenschutzbeauftragten überprüfen können. Unbeachtlich ist dabei, welche Phase der Datenverarbeitung durch die verantwortliche Stelle betroffen ist. Die Beschränkung des zweiten Halbsatzes auf automatisierte oder dateibezogene Verarbeitungen und Nutzungen bezieht sich nur auf BDSG-fremde Normen. Eine Einschränkung in Bezug auf die BDSG-Normen erfolgt also gerade nicht. Ebenso kommt es nicht darauf an, ob eine geplante Datenverwendung erfolgreich durchgeführt wurde oder im „Versuchsstadium“ stecken geblieben ist1.
8
Darüber hinaus sind die Aufsichtsbehörden auch zur Kontrolle der Einhaltung aller sonstigen spezialgesetzlichen Datenschutzvorschriften befugt, zu deren Einhaltung nicht-öffentliche Stellen bei der Verarbeitung oder Nutzung personenbezogener Daten verpflichtet sind. Zu beachten ist jedoch, dass Abs. 1 Satz 1, 2. Halbs. die Kontrollbefugnis der Aufsichtsbehörden auf solche Normen beschränkt, die die automatisierte Verarbeitung personenbezogener Daten oder die Verarbeitung bzw. Nutzung von Daten in oder aus nicht-automatisierten Dateien (sog. dateigebundene Verwendung) regeln2.
9
Aus dem in Abs. 4 Satz 3 normierten Verweis auf § 24 Abs. 6 (welcher 10 wiederum auf § 24 Abs. 2 verweist) ergibt sich, dass die Aufsichtsbehörden grundsätzlich auch die Einhaltung der Regelungen über die Verwendung von Daten kontrollieren, die dem Brief-, Post- und Fernmelde- oder einem Berufs- oder Amtsgeheimnis unterliegen. Problematisch ist dabei jedoch, ob in diesen Fällen aus Gründen der Geheimniswahrung nur ei1 Ebenso Gola/Schomerus, § 38 BDSG Rz. 6. 2 Ausführlich zu diesen Begriffen vgl. § 27 Rz. 7.
Plath 899
BDSG § 38
Datenverarbeitung nicht-öffentlicher Stellen
ne eingeschränkte Auskunftspflicht der verantwortlichen Stellen gegenüber der Aufsichtsbehörden gilt1. 11 Darüber hinaus ist es auch Aufgabe der Aufsichtsbehörden, die Einhaltung ausländischer datenschutzrechtlicher Vorschriften anderer EU/ EWR-Mitgliedsstaaten zu kontrollieren, sofern ausländische Stellen in Deutschland personenbezogene Daten verwenden i.S.d. § 1 Abs. 5 Satz 1, ohne dass diese Verwendung über eine Niederlassung im Inland erfolgt (vgl. auch § 1 Abs. 5 Satz 5, der wiederum auf § 38 Abs. 1 verweist)2. Auch bei der Prüfung des „angemessenen Schutzniveaus“ gemäß § 4b Abs. 2 Satz 2, Abs. 3 (siehe § 4b Rz. 23 ff.) müssen die Aufsichtsbehörden unter Umständen ausländisches Recht anwenden. 12 Ebenfalls Gegenstand der Kontrollbefugnisse der Aufsichtsbehörden sind die Datenverwendungen durch Auftragsdatenverarbeiter gemäß § 113. Dies gilt jedoch nicht für nicht-öffentliche Stellen, die im Auftrag von öffentlichen Stellen Daten im Auftrag verarbeiten, da diese der Kontrolle durch den Bundes-(oder Landes-)beauftragten für den Datenschutz und die Informationsfreiheit nach §§ 21 ff. unterliegen (§ 11 Abs. 4 Nr. 1b). Die Datenverwendung durch öffentlich-rechtliche Wettbewerbsunternehmen i.S.d. § 27 Abs. 1 Nr. 2b unterliegt wiederum der Aufsicht nach § 38, soweit die Länder nichts Abweichendes geregelt haben4. 13 Darüber hinaus sind die Aufsichtsbehörden aufgrund eines direkten Verweises auch für die Kontrolle der Einhaltung der Datenschutzvorschriften durch Empfänger von Daten aus Schuldnerverzeichnissen zuständig, § 915e Abs. 4, Abs. 1b und c ZPO5. 14 Keine Kontrollbefugnisse stehen den Aufsichtsbehörden hingegen gegenüber verantwortlichen Stellen zu, die geschäftsmäßig Telekommunikationsdienste6 erbringen, soweit die Verwendung von personenbezogenen Daten zur Erbringung von Telekommunikationsdienstleistungen erfolgt. Vielmehr ist in diesen Fällen der Bundesbeauftragte für den Da1 Ausführlich hierzu unten Rz. 57; vgl. auch KG v. 20.8.2010 – 1 Ws (B) 51/07 – 2 Ss 23/07, NJW 2011, 324; vgl. auch Rüpke, ZRP 2008, 87, Weichert, NJW 2009, 550 sowie Redeker, NJW 2009, 554 zum Konflikt zwischen Mandatsgeheimnis und Datenschutzkontrolle. 2 Ausführlich hierzu § 1 Rz. 71. 3 So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 12. 4 Simitis/Petri, § 38 BDSG Rz. 27. 5 Ausführlich hierzu Simitis/Petri, § 38 BDSG Rz. 20. 6 Dieser Begriff wird in § 3 Nr. 10 TKG legaldefiniert.
900 Plath
Aufsichtsbehörde
§ 38 BDSG
tenschutz und die Informationsfreiheit (BfDI) nach Maßgabe der §§ 21 ff. für die Kontrolle zuständig1. Die Kontrolle der Verwendung personenbezogener Daten zur Erbringung von Telemediendiensten nach dem TMG unterliegt hingegen der Aufsicht nach § 382. 2. Durchführung der Kontrolle § 38 regelt nicht, wann und wie die Aufsichtsbehörden ihren Kontroll- 15 pflichten nachzukommen haben. Grundsätzlich erfolgt die Kontrolle durch die Aufsichtsbehörden nach eigenem Ermessen. Sie können grundsätzlich von Amts wegen und ohne, dass es eines konkreten Anlasses bedarf, tätig werden. In der Praxis ist jedoch davon auszugehen, dass einer Kontrolle im Regelfall entweder eine typische Gefährdungslage oder ein konkreter Anhaltspunkt für eine Verletzung des Rechts auf informationelle Selbstbestimmung der Betroffenen zugrunde liegen wird3. Der konkrete Ablauf der Kontrolle steht ebenfalls im Ermessen der Be- 16 hörden. Dabei werden in Abs. 4 und 5 sowohl die Behörden selbst als auch die mit der Datenschutzaufsicht betrauten Personen zur Ergreifung bestimmter Maßnahmen ermächtigt. In der Regel wird die Aufsichtsbehörde die verantwortliche Stelle zu- 17 nächst um eine Stellungnahme bitten, ggf. verbunden mit der Aufforderung zur Beantwortung konkreter Fragen und der Vorlage bestimmter Dokumente. In einem zweiten Schritt erfolgt dann die eigentliche Aufklärung des Sachverhalts und die mögliche Feststellung eines Verstoßes. Das Ergebnis der Kontrolle wird dann sowohl der verantwortlichen Stelle als auch dem Beschwerdeführer mitgeteilt, sofern es einen gibt. Die Durchsetzung straf- oder zivilrechtlicher Sanktionen und Ansprüche obliegt jedoch dem Betroffenen4.
1 Ausführlich hierzu Simitis/Petri, § 38 BDSG Rz. 18. 2 Vgl. auch Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 2. 3 Ausführlich zur Kontrollpraxis der Aufsichtsbehörden Simitis/Petri, § 38 BDSG Rz. 32. 4 Vgl. zum Prozedere Aufsichtsbehörde Baden-Württemberg, Hinweise zum BDSG, Nr. 17, Staatsanzeiger 1982, Nr. 52; ebenso Gola/Schomerus, § 38 Rz. 16; Taeger/Gabel/Grittmann, § 38 BDSG Rz. 13.
Plath 901
BDSG § 38
Datenverarbeitung nicht-öffentlicher Stellen
3. Verhältnis zum betrieblichen Datenschutzbeauftragten und zur verantwortlichen Stelle (Abs. 1 Satz 2) 18 Das BDSG sieht grundsätzlich vor, dass die Wahrung der Betroffenenrechte sowie die Einhaltung der Datenschutzvorschriften im Wege der Eigenkontrolle durch die verantwortlichen Stellen bzw. durch den betrieblichen Datenschutzbeauftragen erfolgt. Es ist mithin Aufgabe der Aufsichtsbehörde, einen effektiven Grundrechtsschutz – neben der Kontrolle – vor allem auch präventiv im Wege der Beratung und der Unterstützung der nicht-öffentlichen Stellen selbst zu gewährleisten (vgl. auch die entsprechende Regelung aus Sicht des Datenschutzbeauftragten in §§ 4g Abs. 1 Satz 2, 4d Abs. 6 Satz 3)1. Gegenstand der gegenseitigen Kooperationspflicht ist neben der Beratung durch die Aufsichtsbehörde nicht zuletzt auch die Vermittlung, sei es zwischen dem Datenschutzbeauftragten und der verantwortlichen Stelle oder im Verhältnis zu anderen Stellen und Behörden. Zu beachten ist jedoch, dass die Aufsichtsbehörde dabei neutral zu bleiben hat. Ihr primäres Ziel muss stets die objektive Einhaltung und Durchsetzung des Datenschutzrechts bleiben2. 4. Zweckbindung (Abs. 1 Satz 3) 19 Abs. 3 Satz 4 hat eine Doppelfunktion. Zum einen dient die Norm als Erlaubnistatbestand für die Datenverwendung durch die Aufsichtsbehörden3. Zum anderen unterwirft sie ebendiese Verwendung einer strengen Zweckbindung. Die Behörden dürfen die im Zuge ihrer Aufgabenerfüllung gespeicherten Daten ausschließlich zum Zweck der Aufsicht verarbeiten und nutzen. Die genaue Bestimmung der Aufsichtszwecke erfolgt dabei durch die gesetzliche Aufgabenzuweisung an die Aufsichtsbehörden4. 20 Eine Durchbrechung dieser Zweckbindung ist aufgrund des Verweises auf § 14 Abs. 2 Nr. 1 bis 3, 6 und 7 nur zulässig, wenn (i) eine zwingende Rechtsvorschrift die Verwendung zu anderen Zwecken vorsieht (Nr. 1), (ii) der Betroffene eingewilligt hat (Nr. 2), (iii) die Zweckänderung offensichtlich im Interesse des Betroffenen liegt (Nr. 3), (iv) die Zweckände-
1 2 3 4
Vgl. auch Taeger/Gabel/Grittmann, § 38 BDSG Rz. 13. Ebenso Gola/Schomerus, § 38 BDSG Rz. 7. Simitis/Petri, § 38 BDSG Rz. 38. So auch Taeger/Gabel/Grittmann, § 38 BDSG Rz. 16.
902 Plath
Aufsichtsbehörde
§ 38 BDSG
rung zum Schutz des Gemeinwohls erforderlich ist (Nr. 6) oder (v) die Zweckänderung zur Strafverfolgung erforderlich ist (Nr. 7)1. 5. Datenaustausch zwischen den Aufsichtsbehörden (Abs. 1 Satz 4) Abs. 1 Satz 4 konkretisiert die Zweckbestimmung der Datenverwen- 21 dung nach Satz 3 dahin gehend, dass insbesondere auch eine Übermittlung der Daten an andere nationale Aufsichtsbehörden (zur Amtshilfe ggü. Europäischen Aufsichtsbehörden siehe Rz. 23 ff. unten) zulässig ist, sofern dieser Datenaustausch zur Erfüllung der Aufsichtsaufgaben erforderlich ist. Da die Verwendungsart der Übermittlung jedoch als Unterform der Verarbeitung2 bereits von Abs. 1 Satz 3 umfasst ist, kommt Satz 4 lediglich eine klarstellende Funktion zu, die das Ziel des flüssigen Informationsaustauschs zwischen den Aufsichtsbehörden unterstreichen soll. Hingewiesen sei zudem auf den informellen Informations- und Meinungsaustausch zwischen den obersten Aufsichtsbehörden im Rahmen des Düsseldorfer Kreises3.
22
6. Verpflichtung zur Amtshilfe (Abs. 1 Satz 5) In Umsetzung von Art. 28 Abs. 6 EG-Datenschutzrichtlinie verpflichtet Abs. 1 Satz 5 die nationalen Aufsichtsbehörden, den Kontrollstellen anderer EU/EWG-Länder auf Ersuchen Amtshilfe zu leisten. Sinn und Zweck dieser Regelung ist, in Korrelation zum europaweit harmonisierten Datenschutzrecht und in Ergänzung zur Arbeit der Artikel-29-Datenschutzgruppe auch eine europaweite effektive Aufsicht zu gewährleisten, insbesondere bei grenzüberschreitenden Sachverhalten4.
23
Fraglich ist jedoch, ob Satz 5 auch die Datenübermittlung an auslän- 24 dische Aufsichtsstellen legitimiert. Dagegen spricht, dass die Aufsichtsbehörden im Zuge der Amtshilfe lediglich dazu berechtigt und verpflichtet sind, im Rahmen ihrer Kompetenzen zu handeln5. Eine Legitimation für Maßnahmen, zu deren Vornahme die Aufsichtsbehörden nicht ohne1 Ausführlich zu diesen Zweckänderungstatbeständen vgl. § 14 Rz. 9 ff., 15 ff. 2 Vgl. § 3 Abs. 4 Nr. 3. 3 http://www.bfdi.bund.de/DE/Entschliessungen/DuesseldorferKreis/DKreis_ node.html; ausführlich hierzu auch Simitis/Petri, § 38 BDSG Rz. 42. 4 Ausführlich zur Praxis der Amtshilfe Simitis/Petri, § 38 BDSG Rz. 41. 5 Im Ergebnis ebenso Simitis/Petri, § 38 BDSG Rz. 40, mit der Begründung, die Regelung zur Amtshilfe genüge nicht den verfassungsrechtlichen Anforderungen and die Normenbestimmtheit und -klarheit.
Plath 903
BDSG § 38
Datenverarbeitung nicht-öffentlicher Stellen
hin schon berechtigt sind, ist in der Verpflichtung zur Amtshilfe nicht zu sehen. Damit kann Abs. 1 Satz 5 nicht als Ermächtigungsgrundlage für die Datenübermittlung zwischen Aufsichtsbehörden der Mitgliedstaaten herangezogen werden. Ebenso wenig können die §§ 4b, 4c als Ermächtigungsgrundlagen herangezogen werden, da diese Normen nicht auf die Datenverwendung durch Aufsichtsbehörden anwendbar sind1. Mangels gesonderter Ermächtigungsgrundlage ist damit die Datenübermittlung an ausländische Aufsichtsbehörden nur unter den allgemeinen Verwendungsvoraussetzungen des Abs. 1 Satz 3, 4 zulässig, wobei die innereuropäische Verpflichtung zur Amtshilfe nach Satz 5 bei der Bestimmung der Aufgaben der Aufsichtsbehörden im Rahmen von Satz 3 zu berücksichtigen ist2. 7. Aufsichtsbehördliche Unterrichtungsbefugnisse bei Verstößen (Abs. 1 Satz 6) 25 Abs. 1 Satz 6 regelt die Unterrichtungsbefugnisse der Behörden für den Fall der Feststellung eines Verstoßes gegen Regelungen des Datenschutzrechts. a) Unterrichtung des Betroffenen 26 Abs. 1 Satz 6 befugt die Aufsichtsbehörden, bei festgestellten Verstößen die Betroffenen zu informieren. 27 Fraglich ist, ob entgegen dem eindeutigen Wortlaut der Norm auch eine entsprechende Pflicht zur Unterrichtung seitens Aufsichtsbehörden besteht. Teilweise wird vertreten, dass sich eine entsprechende Verpflichtung aus der richtlinienkonformen Auslegung der Norm ergibt3. Gegen diese Ansicht spricht jedoch, dass ein einziger Verstoß oft die Rechte einer Vielzahl von Betroffenen verletzt. Eine Unterrichtung jedes einzelnen Betroffenen würde äußerst aufwändig sein, Ressourcen binden und nicht zuletzt auch zu erheblichen Kosten für den Staat führen. Vor diesem Hintergrund erscheint es sinnvoll zu differenzieren und eine Benachrichtigungspflicht lediglich gegenüber den Betroffenen anzunehmen, die ein besonderes Interesse daran haben, über Datenschutzverstöße, die ihre Daten betreffen, informiert zu werden. Ein solches gestei-
1 Vgl. aus systematischen Erwägungen Simitis/Petri, § 38 BDSG Rz. 40; ebenso Taeger/Gabel/Grittmann, § 38 BDSG Rz. 17. 2 Im Ergebnis ebenso Gola/Schomerus, § 38 BDSG Rz. 9. 3 So z.B. Taeger/Gabel/Grittmann, § 38 BDSG Rz. 20.
904 Plath
Aufsichtsbehörde
§ 38 BDSG
gertes Benachrichtigungsinteresse dürfte dabei vor allem dann bestehen, wenn die Betroffenen die Aufklärung des Verstoßes durch eine Beschwerde selbst initiiert haben, oder wenn ihnen ohne die Benachrichtigung aufgrund der daraus folgenden Unkenntnis des Verstoßes erhebliche Nachteile drohen1. Die Information kann sich dabei jedoch auf die Mitteilung des Ergebnisses der Untersuchung beschränken2. b) Unterrichtung der für die Verfolgung bzw. Ahndung zuständigen Stellen Die Aufsichtsbehörde ist darüber hinaus auch befugt, Datenschutzver- 28 stöße den Stellen zu melden, die für die Verfolgung und Ahndung der Verstöße zuständig sind. Dies können sowohl staatliche Stellen (z.B. Strafverfolgungsbehörden, vgl. auch das Strafantragsrecht der Aufsichtsbehörden, § 44 Abs. 2 Satz 2) als auch innerbetriebliche Stellen (z.B. die Geschäftsführung der verantwortlichen Stelle) sein. Diese Norm findet vor allem dann Anwendung, wenn die Aufsichtsbehörde bezüglich des festgestellten Verstoßes nicht selbst Bußgeldbehörde ist. Ob und in welchem Umfang die Aufsichtsbehörden eine Unterrichtung vornehmen, steht in ihrem Ermessen3. c) Unterrichtung der Gewerbeaufsichtsbehörden Die Aufsichtsbehörden sind schließlich auch befugt, die Gewerbeaufsichtsbehörden über schwerwiegende Verstöße gegen das Datenschutzrecht zu informieren, damit diese ggf. gewerberechtliche Maßnahmen ergreifen können. Diese Unterrichtungsbefugnis korreliert mit der Regelung des Abs. 7, wonach die gewerberechtlichen Vorschriften unberührt bleiben.
29
8. Veröffentlichung von Tätigkeitsberichten (Abs. 1 Satz 7) Abs. 1 Satz 7 verpflichtet die Aufsichtsbehörden, in regelmäßigen Ab- 30 ständen, jedoch spätestens alle zwei Jahre, einen Tätigkeitsbericht zu veröffentlichen. Durch diese Regelung, die Art. 28 Abs. 5 EG-Datenschutzrichtlinie umsetzt, sollen die Aufsichtsbehörden zu der „Trans1 Ebenso Gola/Schomerus, § 38 BDSG Rz. 10. 2 Vgl. VG Bremen, RDV 2010, 129; ebenso Simitis/Petri mit dem Hinweis, dass der Betroffene in der Praxis auch über den Gang der Verfahrens unterrichtet wird, § 38 BDSG Rz. 43. 3 Gola/Schomerus, § 38 BDSG Rz. 11.
Plath 905
BDSG § 38
Datenverarbeitung nicht-öffentlicher Stellen
parenz der Verarbeitung in dem Mitgliedstaat […], dem sie unterstehen“1, beitragen. Darüber hinaus dienen sie der Öffentlichkeitsarbeit sowie der Information und Aufklärung der Allgemeinheit2. In welcher Form und in welchem Umfang die Tätigkeitsberichte erfolgen, regelt die Norm nicht und steht dementsprechend im Ermessen der jeweiligen Behörde. Aufgrund des Sinns und Zwecks der Vorschrift muss jedoch gewährleistet werden, dass diese Tätigkeitsberichte jedermann zugänglich sind3. 31 Umstritten ist, ob im Rahmen solcher Tätigkeitsberichte eine eindeutige Identifizierung bestimmter Unternehmen, z.B. durch Namensnennung oder eindeutige Hinweise, zulässig ist. Problematisch ist dies vor allem vor dem Hintergrund, dass Fragen des Datenschutzes heute einen ganz wesentlichen Bestandteil des Rufs eines Unternehmens darstellen, so dass sich eine negative Berichterstattung im Rahmen der Tätigkeitsberichte der Aufsichtsbehörden ganz erheblich auf das betroffene Unternehmen auswirken kann. Vor diesem Hintergrund wird vermittelnd vertreten, dass eine derartige Identifizierung dann zulässig sein soll, wenn die Nennung der verantwortlichen Stelle zum Verständnis notwendig ist, oder wenn über eine rechtliche Auseinandersetzung mit einer bestimmten verantwortlichen Stelle berichtet wird4. Grundsätzlich unterliegen die Aufsichtsbehörden bei der Frage, ob und in welchem Umfang verantwortliche Stellen identifizierbar genannt werden, dem Verhältnismäßigkeitsgrundsatz. Vor diesem Hintergrund wird regelmäßig die Einräumung einer Möglichkeit zur Stellungnahme durch die verantwortliche Stelle geboten sein5. Denkbar ist auch, den Maßstab der Informationspflicht nach § 42a auf die Verhältnismäßigkeit der Nennung von Unternehmen zu übertragen: Solange der Verstoß nicht „schwerwiegend“ i.S.d. § 42a ist, besteht nach der Wertung dieser Norm kein gesteigertes Informationsinteresse der Allgemeinheit, das eine
1 Erwägungsgrund 63 zur EG-Datenschutzrichtlinie. 2 Vgl. auch Bergmann/Möhrle/Herb, § 38 BDSG Rz. 28 mit Verweis auf von Lewinski, RDV 2004, 163; zum Sinn und Zweck der Berichtspflicht Petri/Tinnefeld, MMR 2010, 157 (158). 3 Ebenso Simitis/Petri, § 38 BDSG Rz. 45; Taeger/Gabel/Grittmann, § 38 BDSG Rz. 21. 4 Ebenso Taeger/Gabel/Grittmann, § 38 BDSG Rz. 21; ausführlich hierzu sowie zu der Frage, inwiefern im Rahmen der Berichte vor bestimmten Stellen gewarnt werden darf Simitis/Petri, § 38 BDSG Rz. 46; Gola/Schomerus, § 38 Rz. 13a. 5 Ebenso Simitis/Petri, § 38 BDSG Rz. 46.
906 Plath
Aufsichtsbehörde
§ 38 BDSG
identifizierbare Nennung der verantwortlichen Stelle i.R. des Tätigkeitsberichts rechtfertigen würde. Der Schwerpunkt der Tätigkeitsberichte muss dabei stets darauf liegen, 32 die Arbeit der Aufsichtsbehörden transparent zu dokumentieren. Keinesfalls darf demnach ein Unternehmen, welches gegen datenschutzrechtliche Vorschriften verstoßen hat, im Rahmen eines Tätigkeitsberichts „an den Pranger“ gestellt werden, ohne dass ein relevanter Bezug zu einer erwähnenswerten Tätigkeit der Aufsichtsbehörde besteht. 9. Allgemeines Anrufungsrecht (Abs. 1 Satz 8, 1. Halbs.) Grundsätzlich hat jedermann das Recht, sich an die Aufsichtsbehörden zu wenden, wenn er der Ansicht ist, dass er oder ein Dritter aufgrund eines Verstoßes gegen die Datenschutzregelungen durch eine verantwortliche Stelle in seinen Rechten verletzt wurde1 Dies folgt aus dem Verweis in Abs. 1 Satz 8 auf § 21 Satz 1. Bestandteil des Anrufungsrechts ist dabei auch, dass dieses frist-, form- und kostenlos erfolgen kann2.
33
Die Aufsichtsbehörde ist dann dazu verpflichtet, sich mit der Eingabe 34 auseinanderzusetzen; eine Pflicht zum tatsächlichen Tätigwerden folgt hieraus jedoch nicht. Vielmehr steht ihr ein Entschließungsermessen zu, ob und wie sie tätig wird, wobei dieses im Fall einer Anrufung durch Betroffene regelmäßig auf Null reduziert sein wird3. Zu beachten ist, dass dieses Anrufungsrecht nicht zur Disposition der 35 verantwortlichen Stellen steht. Eine wirksame Abbedingung, z.B. in Einwilligungserklärungen oder AGB, ist demzufolge nicht möglich. Ebenso ist unzulässig, die Ausübung des Anrufungsrechts mit (negativen) Konsequenzen zu belegen4. Letzteres ist insbesondere im Rahmen von Arbeitsverhältnissen problematisch, wenn sich ein Arbeitgeber als Betroffener an eine Aufsichtsbehörde wendet5. 1 Ausführlich zu den Voraussetzungen und Umständen des Anrufungsrechts § 21 Rz. 3 ff. 2 So auch Simitis/Petri, § 38 BDSG Rz. 35. 3 Ebenso Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 16; Petri/Tinnefeld, MMR 2010, 157 (158); zu den Rechtsschutzmöglichkeiten des Betroffenen Taeger/Gabel/Grittmann, § 38 BDSG Rz. 51 sowie Däubler/Klebe/Wedde/ Weichert/Weichert, § 38 BDSG Rz. 14. 4 Ebenso Bergmann/Möhrle/Herb, § 38 BDSG Rz. 38. 5 Hingewiesen sei darauf, dass der geplante § 32l Abs. 4 den Beschäftigten dazu verpflichtet, vor der Anrufung der Aufsichtsbehörde eine Beschwerde beim Arbeitgeber einzureichen. Diese Gesetzesänderung würde zu einer Schlechterstel-
Plath 907
BDSG § 38
Datenverarbeitung nicht-öffentlicher Stellen
10. Anzeigepflicht und Geltung der steuerrechtlichen Auskunfts- und Vorlagepflichten (Abs. 1 Satz 8, 2. Halbs.) 36 Aufgrund des Verweises in Abs. 1 Satz 8 auf § 23 Abs. 5 Satz 4 sind die Aufsichtsbehörden berechtigt, Straftaten anzuzeigen und verpflichtet, für die Erhaltung der freiheitlich demokratischen Grundordnung einzutreten. 37 Abs. 1 Satz 8 i.V.m. § 23 Abs. 5 Satz 5 und 6 regeln, unter welchen Voraussetzungen die Aufsichtsbehörden an steuerliche Auskunfts- und Vorlagepflichten nach der Abgabenordnung (AO) gebunden sind. 38 Der Verweis in Abs. 1 Satz 8 auf die Regelung des § 23 Abs. 5 Satz 7 befugt die Aufsichtsbehörden, Verstöße anzuzeigen und Betroffene über Verstöße zu informieren. Da diese Befugnis bereits in Abs. 1 Satz 6 ausdrücklich normiert ist, kommt diesem Verweis insofern keine eigene Bedeutung zu. Näheres zu den straf- und steuerrechtlichen Anzeigeund Auskunftspflichten § 23 Rz. 14. IV. Registerführung (Abs. 2) 39 Abs. 2 verpflichtet die Aufsichtsbehörden, ein öffentlich einsehbares Register der nach § 4d meldepflichtigen automatisierten Verarbeitungsverfahren zu führen1 In welcher Form das Register geführt werden muss (z.B. ob es automatisiert sein muss), ist nicht geregelt. 40 Dieses Register muss die in § 4e Satz 1 aufgezählten Angaben (z.B. Name und Anschrift der verantwortlichen Stelle, Zweckbestimmung und Kategorien der Datenverwendung etc.) aufführen. Die Angaben nach § 4e Satz 1 Nr. 9 (Beurteilung der Maßnahmen zur Datensicherheit) sowie die Angabe der innerhalb der verantwortlichen Stelle zugriffsberechtigten Personen müssen ebenfalls im Register enthalten sein, dürfen jedoch zum Schutz der verantwortlichen Stelle vor der Aufdeckung von Sicherheitslücken nicht öffentlich einsehbar sein. 41 Die Einsicht in das Register darf nicht vom Bestehen eines berechtigten Interesses abhängig gemacht werden2. Damit sind die Daten aus dem öffentlichen Register allgemein zugänglich i.S.d. § 28 Abs. 1 Satz 1 Nr. 3.
lung des Arbeitnehmers führen, vgl. Simitis/Petri, § 38 BDSG Rz. 4; Tinnefeld/ Petri/Brink, MMR 2011, 427 (430 f.). 1 Ausführlich zu den Voraussetzungen der Meldepflicht s. § 4d Rz. 4 ff. 2 So auch Simitis/Petri, § 38 BDSG Rz. 52.
908 Plath
Aufsichtsbehörde
§ 38 BDSG
V. Auskunftspflichten der verantwortlichen Stellen (Abs. 3) Abs. 3 regelt eine generelle Auskunftspflicht der verantwortlichen Stel- 42 len sowie eine persönliche Auskunftspflicht ihres leitenden Personals (z.B. Geschäftsführer oder Vorstände, nicht jedoch betriebliche Datenschutzbeauftragte)1 gegenüber den Aufsichtsbehörden. Entsprechend steht den Aufsichtsbehörden ein (ungeschriebenes) Auskunftsrecht gegenüber den beaufsichtigten verantwortlichen Stellen zu2. Voraussetzung ist jedoch, dass die Aufsichtsbehörden ein Auskunftsverlangen gelten machen3. 1. Inhalt der Auskunftspflicht (Abs. 3 Satz 1) Die Geschäftsleitung der verantwortlichen Stelle hat ihren Auskunfts- 43 pflichten unentgeltlich und unverzüglich (d.h. ohne schuldhaftes zögern, § 121 BGB) nachzukommen. Dabei steht es der Geschäftsleitung frei, selbst die Auskunft zu erteilen, oder einen Mitarbeiter (in der Regel den betrieblichen Datenschutzbeauftragten) mit der Auskunft zu beauftragen4. In der Praxis wird diese Auskunft in Form einer (schriftlichen oder mündlichen) Stellungnahme zu den Vorwürfen der Aufsichtsbehörde erfolgen5. Welche Angaben die Auskunftspflicht umfasst, wird vom Ziel der 44 Untersuchung abhängen. Problematisch ist dabei allerdings, dass einerseits die verantwortlichen Stellen regelmäßig nicht abschätzen können, welche Angaben die Aufsichtsbehörden zur Wahrnehmung ihrer Kontrollaufgaben benötigen, und sich in einem Zwiespalt zwischen Kooperationsbereitschaft und eigenen Geheimhaltungsinteressen befinden. Andererseits können auch die Aufsichtsbehörden nicht vorab absehen, welche konkreten Angaben und Dokumente sie zur Durchführung der Kontrolle benötigen werden. Es obliegt demnach den Aufsichtsbehörden, die verantwortlichen Stellen derart über den Hintergrund der Kontrolle aufzuklären und den Sinn und Zweck der Maßnahme zu konkretisieren, dass diese pflichtgemäß und angemessen reagieren können und
1 Vgl. auch Gola/Schomerus, § 38 BDSG Rz. 20; Simitis/Petri, § 38 BDSG Rz. 53. 2 Bergmann/Möhrle/Herb, § 38 BDSG Rz. 46. 3 So auch Simitis/Petri, § 38 BDSG Rz. 54. 4 Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 20. 5 Bergmann/Möhrle/Herb, § 38 BDSG Rz. 48; für die Zulässigkeit einer mündlichen Stellungnahme nur in Ausnahmefällen § 38 BDSG Rz. 54.
Plath 909
BDSG § 38
Datenverarbeitung nicht-öffentlicher Stellen
in die Lage versetzt werden, beurteilen zu können, welche Angaben sie zur Erfüllung ihrer Auskunftspflicht machen müssen. 45 Innerhalb dieses Rahmens muss die Auskunft allerdings umfassend, vollständig und wahrheitsgemäß erfolgen. Sie verpflichtet die verantwortliche Stelle sowohl zur Stellungnahme als auch zur Vorlage aller erforderlichen Dokumente1. Die Auskunftspflicht umfasst dabei grundsätzlich sämtliche Phasen der Datenverwendung, von der Erhebung bis zur Nutzung und Löschung. 46 Eine Verweigerung der pflichtgemäßen Auskunft stellt gemäß § 43 Abs. 1 Nr. 10 eine Ordnungswidrigkeit dar, sofern keine Ausnahme nach Abs. 3 Satz 2 greift (näheres hierzu sogleich unter Rz. 47 f.). 2. Ausnahmen von der Auskunftspflicht (Abs. 3 Satz 2, 3) 47 Entsprechend der Regelung des § 383 ZPO steht den Auskunftspflichtigen ein höchstpersönliches Auskunftsverweigerungsrecht zu, wenn und soweit sie sich selbst oder einen der in § 383 Abs. 1 Nr. 1–3 ZPO aufgeführte Angehörigen (Verlobte, Lebens- und Ehepartner sowie nahe Verwandte) mit der Auskunftserteilung der Gefahr einer straf- oder ordnungswidrigkeitsrechtlichen Verfolgung aussetzen würden2. Die Ausnahmevorschrift findet hingegen keine Anwendung, wenn andere (z.B. zivil- oder verwaltungsrechtliche) Folgen drohen. Das Aussageverweigerungsrecht einer auskunftspflichtigen Person lässt die grundsätzliche Auskunftspflicht der verantwortlichen Stelle unberührt. Den Aufsichtsbehörden steht es also frei, ihr Auskunftsverlangen weiterhin an andere Auskunftspflichtige der kontrollierten Stelle zu adressieren3. 48 Fraglich ist allerdings, ob eine Ausnahme von der Auskunftspflicht auch dann besteht, wenn durch die Aussage selbst gegen (strafbewährte) Offenbarungsverbote verstoßen wird. Problematisch ist dies insbesondere, wenn durch die Auskunft gesetzliche oder berufliche Geheimhaltungspflichten verletzt werden. In einer umstrittenen Entscheidung hat das KG zuletzt die Anwendbarkeit des Auskunftsverweigerungsrecht auf das Mandatsgeheimnis bejaht4. Aus Abs. 3 ergebe sich weder eine Auskunftsbefugnis noch -pflicht des Anwalts zur Weitergabe mandatsbezo1 Ausführlich hierzu Bergmann/Möhrle/Herb, § 38 BDSG Rz. 49. 2 Vgl. auch §§ 136 Abs. 1 Satz 2, 55 StPO. 3 So auch Simitis/Petri, § 38 Rz. 58; Taeger/Gabel/Grittmann, § 38 BDSG Rz. 27. 4 KG v. 20.8.2010 – 1 Ws (B) 51/07 – 2 Ss 23/07, NJW 2011, 324.
910 Plath
Aufsichtsbehörde
§ 38 BDSG
gener Informationen1. Das KG begründete seine Auffassung zutreffender Weise mit dem Verweis auf § 1 Abs. 3 Satz 2, wonach gesetzliche Geheimhaltungspflichten wie die anwaltliche Verschwiegenheitspflicht (§ 43a Abs. 2 BRAO) von den Regelungen des BDSG unberührt bleiben. Dies gelte im besonderen Maße für das Vertrauensverhältnis zwischen einem Strafverteidiger und seinem Mandanten mit Hinweis auf das nach der Rechtsprechung des EGMR besonders zu schützende Recht auf Verteidigung. Aufgrund der Tatsache, dass die Offenbarung anwaltlicher Geheimnisse gemäß § 203 Abs. 1 Nr. 3 StGB strafbar ist, würde sich der Anwalt durch die Auskunft der Gefahr der Strafverfolgung aussetzen. Damit hat das KG die Anwendbarkeit des Abs. 3 auch auf solche Fälle ausgeweitet, bei denen die Gefahr der Strafverfolgung sich nicht aus den mitgeteilten Informationen, sondern aus dem Akt der Mitteilung selbst ergibt2. Gemäß Abs. 3 Satz 3 ist die Aufsichtsbehörde verpflichtet, die verant- 49 wortliche Stelle auf das Auskunftsverweigerungsrecht nach Satz 2 hinzuweisen. Der Hinweis muss ausdrücklich (möglichst unter Nennung der Verweigerungsvoraussetzungen) und frühzeitig (möglichst zusammen mit dem Auskunftsverlangen) erfolgen3. Auskünfte, die ohne eine entsprechende Belehrung erfolgen, unterliegen einem Verwertungsverbot4. VI. Kontrollbefugnisse der Aufsichtsbehörden (Abs. 4) Abs. 3 stattet die mit der Kontrolle beauftragten Personen mit umfang- 50 reichen Zutritts- und Einsichtsrechten zur Wahrnehmung ihrer Aufsichtsaufgabe aus. Die Aufsichtsbehörde unterliegt jedoch bei der Wahl und der Durchführung der Maßnahme dem Verhältnismäßigkeitsgrundsatz und hat damit stets der milderen Maßnahme den Vorrang einzuräumen. 1 So aber Gola/Schomerus, § 38 BDSG Rz. 21. 2 Kritisch zu diesem Urteil Simitis/Petri, § 38 BDSG Rz. 25 mit der Begründung, durch den Verweis auf § 24 Abs. 6, Abs. 2 in § 38 Abs. 4 seien gerade auch Daten, die einer beruflichen Geheimhaltungspflicht unterliegen, der Kontrolle durch die Aufsichtsbehörden unterworfen; bejahend zur Frage, ob eine aufsichtsbehördliche Kontrolle der Datenverwendung durch Anwälte erfolgen sollte Weichert, NJW 2009, 550 ff.; a.A. Redeker, NJW 2009, 554 ff., wonach der anwaltlichen Schweigepflicht der Vorrang einzuräumen ist. 3 So auch Simitis/Petri, § 38 Rz. 59. 4 Ebenso Gola/Schomerus, § 38 BDSG Rz. 21; Taeger/Gabel/Grittmann, § 38 BDSG Rz. 29; Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 21.
Plath 911
BDSG § 38
Datenverarbeitung nicht-öffentlicher Stellen
1. Gegenstand und Reichweite der Kontrollbefugnisse (Abs. 4 Satz 1 bis 3) 51 Gemäß Abs. 4 Satz 1 dürfen die Vertreter der Aufsichtsbehörden während der Betriebs- und Geschäftszeiten die Grundstücke und Geschäftsräume der überprüften verantwortlichen Stelle betreten und vor Ort Prüfungen und Besichtigungen vornehmen. Eine solche Vor-Ort-Überprüfung stellt einen Real-, aber keinen Verwaltungsakt dar1. 52 Vor dem Hintergrund, dass aufsichtsbehördliche Kontrollen sowohl anlassbezogen als auch anlasslos erfolgen dürfen, bedarf es auch für den direkten Zugang zur verantwortlichen Stellen weder konkreter Anhaltspunkte für Verstöße gegen datenschutzrechtliche Normen noch einer Vorankündigung2. Insbesondere dürfen die Aufsichtsbehörden damit jederzeit überprüfen, ob den Anforderungen an die Datensicherheit (vgl. § 9) entsprochen wird. Die Aufgaben der Aufsichtsbehörden umfassen auch die Feststellung, ob überhaupt eine die Anwendbarkeit des BDSG auslösende Datenverwendung erfolgt, so dass auch die Überprüfung dieser Frage Gegenstand einer Vor-Ort-Überprüfung sein kann3. 53 Betreten werden dürfen nur Betriebs- und Geschäftsräume, in denen Datenverwendungsvorgänge erfolgen. Private Räume dürfen hingegen grundsätzlich nicht betreten werden4. 54 Das Zugangsrecht besteht nur während der Betriebs- und Geschäftszeiten. Sind solche Zeiten nicht gegeben (z.B. bei Dienstleistern, die rund um die Uhr erreichbar sind), so gelten die branchenüblichen Zeiten bzw. die Zeiten, in denen in der Regel mit einer telefonischen Erreichbarkeit gerechnet werden kann5.
1 Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 22. 2 Ebenso Gola/Schomerus, § 38 BDSG Rz. 22; Simitis/Petri weist darauf hin, dass Voranmeldungen dennoch üblich sind, § 38 BDSG Rz. 61; ebenso Taeger/ Gabel/Grittmann, § 38 BDSG Rz. 30. 3 Vgl. OLG Celle v. 14.9.1995 – 2 Ss (OWi) 185/95, NJW 10995, 3265. 4 Ebenso Simitis/Petri, § 38 BDSG Rz. 62 sowie Taeger/Gabel/Grittmann, § 38 BDSG Rz. 31 mit Hinweis auf den Schutz des Grundrechts auf Unverletzlichkeit der Wohnung; einschränkend hingegen Bergmann/Möhrle/Herb in Bezug auf Wohnräume der Geschäftsleitung, die auch unternehmerisch genutzt werden, § 38 BDSG Rz. 63; nach Ansicht von Rüpke, ZRP 2008, 87 (88) soll auch das Betreten und Durchsuchen von Anwaltskanzleien nicht durch § 38 Abs. 4 gedeckt sein. 5 So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 22.
912 Plath
Aufsichtsbehörde
§ 38 BDSG
Gemäß Abs. 4 Satz 2 sind die Vertreter der Aufsichtsbehörden zudem 55 dazu befugt, vor Ort geschäftliche Unterlagen einzusehen, sofern diese Unterlagen für die Durchführung der Kontrolle von Bedeutung sind. Dies soll nach dem Wortlaut der Norm vor allem für die Übersicht nach § 4g Abs. 2 Satz 1 (Übersicht über die in § 4e Satz 1 genannten Angaben1 und über die innerhalb der verantwortlichen Stelle zugriffsberechtigte Personen2) sowie für die gespeicherten Daten und Datenverarbeitungsprogramme gelten. Die Einsicht in die Datenverarbeitungsprogramme kann jedoch durch eine Einsicht in (ausführliche) Programmdokumentationen als mildere Maßnahme ersetzt werden. Die Aufzählung in Abs. 4 Satz 2 ist nicht abschließend. Abs. 4 berechtigt nur zur Einsicht in die geschäftlichen Unterlagen. Die Befugnis erstreckt sich damit lediglich auf die visuelle Wahrnehmung der Unterlagen, nicht jedoch auf ihre Vervielfältigung oder gar ihre Mitnahme3. Aus Gründen der Effektivität der Kontrollmaßnahmen muss sich das Recht der Einsichtnahme jedoch auch auf die Anfertigung von Notizen, Skizzen oder Fotos zur Gedächtnisstütze erstrecken. Zu beachten ist allerdings, dass die verantwortliche Stelle ggf. im Rahmen ihrer Auskunftspflicht nach Abs. 3 dazu verpflichtet werden kann, der Aufsichtsbehörde bestimmte Unterlagen zur Verfügung zu stellen.
56
Der Verweis in Abs. 4 Satz 3 auf die Regelung des § 24 Abs. 6 (der wie- 57 derum auf § 24 Abs. 2 verweist) verdeutlicht, dass auch Daten, die dem Brief-, Post-, Fernmelde- oder einem Berufs- oder Amtsgeheimnis unterliegen, Gegenstand der aufsichtsbehördlichen Kontrolle sein können. Eine Beschränkung der Kontrollbefugnisse besteht lediglich bezüglich solcher Daten, die der Kontrolle der sog. G10-Kommission4 unterliegen, sowie bezüglich Daten in Akten über die Sicherheitsüberprüfung, sofern der Betroffene einer Kontrolle widersprochen hat (§ 24 Abs. 2 Satz 3 und 4). Hingewiesen sei an dieser Stelle also auch auf das Widerspruchsrecht
1 S.o. Rz. 40. 2 Vgl. § 4g Abs. 2 Satz 1. 3 Einschränkender Gola/Schomerus, § 38 BDSG Rz. 23, Bergmann/Möhrle/Herb, § 38 BDSG Rz. 66, Taeger/Gabel/Grittmann, § 38 BDSG Rz. 33 und Simitis/Petri, § 38 BDSG Rz. 63, wonach die Aufsichtsbehörden zur Ablichtung mithilfe selbst mitgebrachter Scanner oder Kopierer befugt sind. 4 Bei der G 10-Kommission handelt es sich um eine Kommission, die über die Verwendung durch Nachrichtendienste des Bundes von Daten entscheidet, die dem Brief-, Post- und Fernmeldegeheimnis unterliegen, vgl. § 15 Abs. 1 des Gesetzes zur Beschränkung des Brief-, Post- und Fernmeldegeheimnis (Artikel 10-Gesetz).
Plath 913
BDSG § 38
Datenverarbeitung nicht-öffentlicher Stellen
der verantwortlichen Stelle gegen eine solche Kontrolle von Daten in Akten über die Sicherheitsüberprüfung1 58 Den Kontrollmaßnahmen nach Abs. 4 kann ebenfalls ein Aussageverweigerungsrecht entgegengehalten werden, auch wenn dieses – anders als in Abs. 3 Satz 2 – in Abs. 4 nicht ausdrücklich normiert ist. Dies ergibt sich nicht zuletzt aus dem allgemeinen Aussageverweigerungsrecht nach § 46 Abs. 1 OWiG, §§ 52, 136 Abs. 1 Satz 2 StPO2. 2. Duldungspflicht der verantwortlichen Stelle (Abs. 4 Satz 4) 59 Die Kontrollbefugnisse der Aufsichtsbehörden werden in Abs. 4 Satz 4 durch eine entsprechende Duldungspflicht der verantwortlichen Stelle flankiert. Bestandteil dieser Duldungspflicht ist zum einen, ein behinderndes Eingreifen zu unterlassen, zum anderen aber auch, die Aufsichtsbehörden so weit zu unterstützen, wie dies zur Vornahme der Kontrollmaßnahmen erforderlich ist. So wird die verantwortliche Stelle z.B. im Rahmen ihrer Duldungspflicht dazu verpflichtet sein, den Mitarbeitern der Aufsichtsbehörde Zugang zu verschlossenen Räumen zu verschaffen oder ein Einloggen in die Datenverarbeitungssysteme zu ermöglichen3. Zu beachten ist allerdings, dass die Aufsichtsbehörden die verantwortlichen Stellen stets über die Aufforderung zur Auskunftserteilung nach Abs. 3 zu einer aktiven Mitarbeit an der Kontrolle verpflichten können. 60 Die Duldungspflicht kann bei Weigerung mit den Mitteln des Verwaltungszwangs, insbesondere der Verhängung von Zwangsgeld, durchgesetzt werden4. Darüber hinaus stellt eine Verletzung der Duldungspflicht eine Ordnungswidrigkeit dar und ist gemäß § 43 Abs. 1 Nr. 10 bußgeldbewährt. Zu beachten ist allerdings, dass der Bußgeldtatbestand ausdrücklich nur bei einer Verletzung der Duldungspflicht nach Abs. 4 Satz 1 (Betreten von Geschäftsräumen) greift. Im Umkehrschluss muss gefolgert werden, dass eine Verletzung der Duldungspflichten nach Satz 2 (Einsicht in geschäftliche Unterlagen) nicht bußgeldbewährt ist. Zu diesem Ergebnis kam zuletzt auch das KG5. Nach Auffassung des
1 Ausführlich hierzu § 24 Rz. 10 f. 2 Ebenso Simitis/Petri, § 38 BDSG Rz. 65. 3 Ebenso Gola/Schomerus, § 38 Rz. 23; Bergmann/Möhrle/Herb, § 38 BDSG Rz. 70; Simitis/Petri, § 38 BDSG Rz. 65. 4 Taeger/Gabel/Grittmann, § 38 BDSG Rz. 35. 5 KG v. 5.8.2011 – 3 Ws (B) 362/11, NStZ 2012, 219.
914 Plath
Aufsichtsbehörde
§ 38 BDSG
Gerichts stelle Satz 2 nicht etwa eine Konkretisierung der Duldungspflicht nach Satz 1, sondern einen eigenen Duldungstatbestand dar. Der Gesetzgeber habe sich bewusst nicht dafür entschieden, auch eine Verletzung dieser zweiten Duldungspflicht mit einem Bußgeld zu belegen, da die Einsichtnahme in geschäftliche Unterlagen einen weitaus gravierenderen Eingriff darstelle als das einfache physische Betreten und Überprüfen der Geschäftsräume1. VII. Anordnungsbefugnisse der Aufsichtsbehörden (Abs. 5) Abs. 5 normiert als letzten Bestandteil der Kontrollmaßnahmen, die die 61 Aufsichtsbehörden zur Erfüllung ihrer Aufgaben ergreifen können, bestimmte Anordnungs- und Untersagungsbefugnisse. Der Gesetzgeber gibt den Aufsichtsbehörden damit die Werkzeuge zur Hand, um Missstände, die sie infolge der Inanspruchnahme ihrer Rechte nach Abs. 3 und 4 feststellen konnten, auch tatsächlich zu beheben, die Einhaltung des Datenschutzrechts also nicht nur zu überprüfen, sondern auch tatsächlich durchzusetzen. 1. Beseitigungsanordnung (Abs. 5 Satz 1 und 2) Die Aufsichtsbehörden können gemäß Abs. 5 Satz 1 zunächst Maßnah- 62 men zur Beseitigung festgestellter Verstöße anordnen. Gegenstand dieser Maßnahmen kann dabei nicht nur die Beseitigung physischer Mängel im Zusammenhang mit der Gewährleistung der Datensicherheit sein2, sondern auch die Beseitigung von materiellrechtlichen Missständen im Zusammenhang mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Den Aufsichtsbehörden steht es dabei unter Wahrung des Verhältnismäßigkeitsgrundsatzes frei, die Anordnung entweder darauf zu beschränken, dass die verantwortliche Stelle im freien Belieben Maßnahmen treffen muss, die zur Beseitigung der Missstände geeignet sind, oder selbst anzuordnen, welche konkreten Maßnahmen getroffen werden müssen3. Die Anordnung erfolgt im Wege des Verwaltungsakts, auf den das allgemeine Verwaltungsrecht anwendbar ist.
1 KG v. 5.8.2011 – 3 Ws (B) 362/11, NStZ 2012, 219 (220). 2 Zur Rechtswidrigkeit der Anordnung eines Verschlüsselungsverfahrens für die Versendung von Bewerberprofilen per E-Mail VG Berlin v. 24.5.2011 – VG 1 K 133.10, 1 K 133/10. 3 Im Ergebnis ebenso Gola/Schomerus, § 38 Rz. 25; Taeger/Gabel/Grittmann, § 38 BDSG Rz. 38.
Plath 915
BDSG § 38
Datenverarbeitung nicht-öffentlicher Stellen
63 Kommt die verantwortliche Stelle der Anordnung nicht oder nicht in einem angemessenen Zeitraum bzw. Umfang nach, so kann die Aufsichtsbehörde die Vornahme der Maßnahmen durch Verhängung eines Zwangsgeldes durchsetzen. Dies ergibt sich aus Abs. 5 Satz 2. Voraussetzung hierfür ist jedoch, dass die Aufsichtsbehörde eine angemessene Umsetzungsfrist setzt und die Verhängung des Zwangsgeldes zuvor androht1. Darüber hinaus stellt das Zuwiderhandeln gegen eine Anordnung der Aufsichtsbehörde gemäß § 43 Abs. 1 Nr. 11 eine bußgeldbewährte Ordnungswidrigkeit dar. 2. Untersagungsanordnung (Abs. 5 Satz 2, 1. Halbs.) 64 Neben den oben dargestellten Beseitigungsanordnungen können die Aufsichtsbehörden auch die Maßnahme ergreifen, eine Datenverwendung ganz zu untersagen und die Löschung der Daten zu verlangen. Denkbar ist eine solche Untersagungsanordnung nur in zwei Fällen: – Es wurden schwerwiegende Verstöße festgestellt (z.B. Verstöße, durch die in besonderem Maße das Persönlichkeitsrecht des Betroffenen bedroht wird) und die Beseitigung der Mängel konnte auch im Wege der Maßnahmen- und Zwangsmittelanordnung nicht beseitigt werden (Abs. 5 Satz 2, 1. Halbs.). Zu beachten ist, dass auch in diesem Fall die Aufsichtsbehörde im Rahmen einer Verhältnismäßigkeitsprüfung die Angemessenheit der Untersagungsanordnung feststellen muss. Vielfach wird damit die Beschränkung der Untersagungsanordnung auf bestimmte Verwendungsformen oder Verfahren als mildestes Mittel geboten sein. – Die Datenverwendung ist in ihrer Gesamtheit unzulässig. Dies kann beispielsweise bereits dann der Fall sein, wenn es an einer Rechtsgrundlage für die Datenverarbeitung oder an einem wirksamen Auftragsdatenverarbeitungsvertrag fehlt2. In diesem Fall kann in der Untersagungsanordnung selbst die nach Abs. 5 Satz 1 angeordnete Maßnahme zu sehen sein. Es bedarf dann keiner Zwangsmittelandrohung nach Satz 23. Zu diesem Mittel wird die Aufsichtsbehörde jedoch nur greifen können, wenn ihr Ermessensspielraum auf Null reduziert ist. 65 Die Untersagungsanordnung wird sich im Regelfall auf eine bestimmte Art und Weise der Datenverwendung beschränken. Es ist der verant1 Vgl. § 13 VwVG; so auch Simitis/Petri, § 38 BDSG Rz. 73. 2 So auch Gola/Schomerus, § 38 BDSG Rz. 26; Simitis/Petri, § 38 BDSG Rz. 73. 3 Ebenso Simitis/Petri, § 38 BDSG Rz. 46; Gola/Schomerus, § 38 BDSG Rz. 26.
916 Plath
Aufsichtsbehörde
§ 38 BDSG
wortlichen Stelle demzufolge unbenommen, die Datenverwendung auf eine andere, gesetzeskonforme Weise wieder aufzunehmen. 3. Abberufung des betrieblichen Datenschutzbeauftragten (Abs. 5 Satz 3) Schließlich können die Aufsichtsbehörden die Abberufung des betrieblichen Datenschutzbeauftragten verlangen. Voraussetzung hierfür ist, dass die Aufsichtsbehörden im Rahmen einer Kontrolle feststellen, dass dieser die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und/ oder Zuverlässigkeit nicht besitzt.
66
Festgelegte Kriterien für die Zuverlässigkeitsüberprüfung des Daten- 67 schutzbeauftragten gibt es nicht; den Aufsichtsbehörden wird ein weiter Ermessensspielraum eingeräumt. In der Regel werden diese aus mehreren Indizien ein Gesamtbild erstellen, das für oder gegen die Zuverlässigkeit spricht. Solche Indizien können beispielsweise Interessenskonflikte1, langjährige Untätigkeit oder offensichtlich fehlende Kenntnisse im Bereich des Datenschutzrechts sein2. Ggf. kann die Aufsichtsbehörde als milderes Mittel eine (Nach)Schulung des betrieblichen Datenschutzbeauftragten anordnen, um dessen Defizite auszugleichen3. Durch das Abberufungsverlangen selbst tritt noch keine unmittelbare 68 Rechtsfolge für den Datenschutzbeauftragten ein. Vielmehr ist in dieser Anordnung ein Verwaltungsakt zu sehen, durch den die verantwortliche Stelle zur Abberufung des betrieblichen Datenschutzbeauftragten verpflichtet wird. Da durch diese Anordnung sowohl die verantwortliche Stelle als Adressatin als auch der betriebliche Datenschutzbeauftragte beschwert werden, stehen beiden die üblichen verwaltungsrechtlichen Rechtsmittel zu4. Zu beachten ist, dass durch die Bestellung eines ungeeigneten oder un- 69 zuverlässigen Datenschutzbeauftragten regelmäßig auch der Bußgeldtatbestand des § 43 Abs. 1 Nr. 2 erfüllt sein wird.
1 Vgl. hierzu auch Ernst, NJOZ 2010, 2443 für den Fall der Personalunion zwischen Revisionsabteilung und betrieblichem Datenschutzbeauftragten. 2 Ebenso Gola/Schomerus, § 38 BDSG Rz. 27. 3 Vgl. Taeger/Gabel/Grittmann, § 38 BDSG Rz. 41; Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 33. 4 So auch Gola/Schomerus, § 38 BDSG Rz. 28; Taeger/Gabel/Grittmann, § 38 BDSG Rz. 40; Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 33.
Plath 917
BDSG § 38
Datenverarbeitung nicht-öffentlicher Stellen
VIII. Übertragung der Datenschutzaufsicht auf die Länder (Abs. 6) 70 Abs. 6 überträgt die Aufgabe der Datenschutzaufsicht auf die Länder. Sowohl die Bestimmung, welche Landesstelle die Aufgaben der Aufsichtsbehörde wahrzunehmen hat, als auch die konkrete Ausgestaltung der Kontrolle obliegt demzufolge den einzelnen Bundesländern. § 38 steckt lediglich einen Rahmen ab, der einer Konkretisierung auf Landesebene bedarf1. Die Norm kann deshalb – über die Verwendung von Daten im Rahmen des Kontrollauftrags hinaus – nicht als Ermächtigungsgrundlage herangezogen werden. Sie verpflichtet allerdings die Länder dazu, eine entsprechende Ermächtigungsgrundlage zu schaffen2. 71 Die Ausgestaltung der Aufsichtsbehörden als Kontrollstellen, die der Fach- und Rechtsaufsicht unterliegen, war Gegenstand eines Vertragsverletzungsverfahrens der EU-Kommission gegen die Bundesrepublik Deutschland3. Streitgegenstand war die Frage, wie die in Art. 28 Abs. 1 EG-Datenschutzrichtlinie geforderte „völlige Unabhängigkeit“ der Aufsichtsstellen zu verstehen sei4. Der EuGH legte entgegen der Ansicht der Bundesrepublik diesen Begriff dahin gehend aus, dass nicht nur eine grundsätzliche Unabhängigkeit gegenüber äußeren Einflussnahmen, insbesondere der kontrollierten Stellen, ausreiche, sondern vielmehr auch eine institutionelle Unabhängigkeit und damit eine Freiheit von jeglicher Art der staatlichen Aufsicht erforderlich sei. Denn im Wege der staatlichen Aufsicht sei gerade eine Einflussnahme auf die Entscheidungen der Aufsichtsbehörden möglich, und somit eine „völlige Unabhängigkeit“ gerade nicht gewährleistet. Diese sei jedoch zum Schutz des Persönlichkeitsrechts der Betroffenen einerseits und der berechtigten Interessen der kontrollierten verantwortlichen Stellen andererseits unerlässlich5.
1 S.o. Rz. 4; zur Frage, ob die Berufung der Aufsichtsbehörden durch die Exekutive oder durch die Legislative zu erfolgen hat Simitis/Petri, § 38 BDSG Rz. 16; grundsätzlich zur Struktur und Unabhängigkeit der Aufsichtsbehörden Herb, ZUM 2004, 530 ff. 2 Ebenso Simitis/Petri, § 38 BDSG Rz. 16. 3 EuGH v. 9.3.2010 – C-518/07, NJW 2010, 1265; ausführlich hierzu Taeger/Gabel/Grittmann, § 38 BDSG Rz. 43 ff.; kritisch Däubler/Klebe/Wedde/Weichert/ Weichert, § 38 BDSG Rz. 6; Bull, EuZW 2010, 488. 4 Ausführlich zu Auslegung dieses Begriffs Petri/Tinnefeld, MMR 2010, 157 (158 ff.) sowie Gola/Schomerus, ZRP 2000, 183 ff. 5 EuGH v. 9.3.2010 – C-518/07, NJW 2010, 1265 (1266 f.); kritisch zu diesem Urteil Frenzel, DÖV 2010, 925.
918 Plath
Verhaltensregeln zur Förderung der Durchführung
§ 38a BDSG
Im Zuge dieses Urteils bündelten die Länder die Kompetenzen der Aufsichtsbehörden innerhalb einer einzigen Stelle und unterstellten die Stellen lediglich einer Dienst-, nicht jedoch einer Fach- oder Rechtsaufsicht1.
72
Zur örtlichen Zuständigkeit der Aufsichtsbehörden s.o. Rz. 5.
73
IX. Anwendbarkeit der Gewerbeordnung (Abs. 7) Abs. 7 erklärt schließlich die Regelungen der Gewerbeordnung (GewO) 74 für weiterhin anwendbar. Damit bleiben auch die Gewerbeaufsichtsämter zur Ahndung von Verstößen gegen das Datenschutzrecht befugt, sofern darin auch ein Verstoß gegen die Vorschriften der GewO zu sehen ist. Denkbar ist dies insbesondere in den Fällen, in denen der datenschutzrechtliche Verstoß den Rückschluss auf die Unzuverlässigkeit des Gewerbetriebenden nach § 35 GewO zulässt2. Welche Maßnahmen die Gewerbeaufsichtsbehörden konkret ergreifen können, richtet sich dann ebenfalls nach der GewO. Gemäß Abs. 1 Satz 6 sind die Aufsichtsbehörden zudem dazu berechtigt, die Gewerbeaufsicht über schwerwiegende Verstöße gegen das Datenschutzrecht zu informieren (s.o. Rz. 29). Die Gewerbe- und Datenschutzaufsichtsbehörden können, müssen jedoch nicht zusammenarbeiten3. Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen
38a
(1) Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, können Entwürfe für Verhaltensregeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der zuständigen Aufsichtsbehörde unterbreiten. (2) Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden Datenschutzrecht.
1 Zur verfassungsrechtlichen Fragwürdigkeit dieses verwaltungsorganisatorischen Aufbaus Simitis/Petri, § 38 BDSG Rz. 12 ff. sowie Bull, EuZW 2010, 488. 2 Simitis/Petri, § 38 BDSG Rz. 75, Taeger/Gabel/Grittmann, § 38 BDSG Rz. 49; Däubler/Klebe/Wedde/Weichert/Weichert, § 38 BDSG Rz. 27. 3 Simitis/Petri, § 38 BDSG Rz. 75.
Plath/Hullen 919
BDSG § 38a
Datenverarbeitung nicht-öffentlicher Stellen
I. Einleitung. . . . . . . . . . . . . . . . .
1
II. Selbstregulierung in der Informationswirtschaft . . . . .
2
III. Regulierte Selbstregulierung im Datenschutz . . . . . . . . . . . . 1. Vorlegung von Verhaltensregeln (Abs. 1) . . . . . . . . . . . . . a) Vorlageberechtigte . . . . . . . b) Verhaltensregeln . . . . . . . . . aa) Entwürfe . . . . . . . . . . . .
9 10 10 13 14
bb) Inhaltliche Anforderungen . . . . . . . . . . . . . . 16 c) Zuständige Aufsichtsbehörde . . . . . . . . . . . . . . . . . 19 2. Überprüfung der Vereinbarkeit mit geltendem Datenschutzrecht (Abs. 2) . . . . . . . . . 20 IV. Europaweit geltende Verhaltensregelungen . . . . . . . . . . . . . 24
Schrifttum: Abel, Umsetzung der Selbstregulierung: Probleme und Lösungen, RDV 2003, 11; Bizer, Selbstregulierung des Datenschutzes, DuD 2001, 168; Christiansen, Selbstregulierung, regulatorischer Wettbewerb und staatliche Eingriffe im Internet, MMR 2000, 123; Heil, Datenschutz durch Selbstregulierung – Der europäische Ansatz, DuD 2001, 129; Hoeren, Prüfungsbescheide der Datenschutzaufsicht und ihre verwaltungsrechtliche Bindungswirkung, 2011, 1; Schaar, Selbstregulierung und Selbstkontrolle – Auswege aus dem Kontrolldilemma?, DuD 2003, 421.
I. Einleitung 1 Die Norm setzt Art. 27 EG-Datenschutzrichtlinie um, der die Mitgliedsstaaten anhält, die Ausarbeitung von Verhaltensregelungen zur Gewährleistung des Datenschutzes zu fördern1. Abs. 1 gibt Berufsverbänden und andere Vereinigungen die Möglichkeit, Verhaltensregeln i.S. interner Regelungen zur Förderung des Datenschutzes (Codes of Conducts) zu erarbeiten und den zuständigen Aufsichtsbehörden vorzulegen2. Abs. 2 enthält die Verpflichtung der zuständigen Aufsichtsbehörde zur Überprüfung dieser Verhaltensregelungen auf Vereinbarkeit mit geltendem Datenschutzrecht. II. Selbstregulierung in der Informationswirtschaft 2 Selbstregulierung lässt sich als Festlegung eines Regelwerks verbindlicher Verhaltensnormen durch die sich dem Regelwerk unterwerfenden definieren3. Die Festlegung kann dabei z.B. in Satzungs- oder Vertrags1 Siehe hierzu auch Erwägungsgrund 61 EG-Datenschutzrichtlinie, der die Mitgliedsstaaten ausdrücklich zu einer Förderung der Selbstregulierung im Bereich des Datenschutzes anhält. 2 BT-Drucks. 14/4329, S. 46. 3 Vgl. auch Roßnagel/Roßnagel, Handbuch Datenschutzrecht, Teil 3.6 Rz. 2.
920 Hullen
Verhaltensregeln zur Förderung der Durchführung
§ 38a BDSG
form durch Vereinigungen der Beteiligten erfolgen. Ein späterer Beitritt zu bereits bestehenden Regelwerken ist nicht ausgeschlossen. Fehlt den Kodizes ein wirksamer Durchsetzungsmechanismus, bspw. in Form von Beschwerde- und Sanktionsmechanismen, kann lediglich von einer Selbstverpflichtung (wie z.B. durch unverbindliche „Privacy Statements“), nicht jedoch von Selbstregulierung gesprochen werden1. Im Kern geht es um die freiwillige, verbindliche Festlegung eines be- 3 reichs-, branchen- oder gruppenspezifischen Regelwerks im Sinne einer Best Practice2. Hierdurch können regelungsbedürftige Lebenssachverhalte zumeist schneller, sachnäher und flexibler behandelt werden, als es durch den Gesetzgeber erfolgen könnte3. Dies gilt insbesondere für Regelungsmaterien mit grenzüberschreitendem Bezug4, da hier die Erarbeitung hoheitlicher Regelungswerke (z.B. internationale Verträge, Verordnungen und Richtlinien der Europäischen Union) regelmäßig noch größeren Abstimmungsbedarf voraussetzt und der Prozess der Anpassung bestehender Regelwerke entsprechend zäh verläuft5. Weitere Vorteile der Selbstregulierung liegen zum einen in der erhöhten Akzeptanz der freiwillig angenommenen Regelwerke, da Regelungsaddressaten und Regelwerkverfasser oft (aber nicht zwangsläufig) identisch sind6. Zum anderen bietet die Selbstregulierung auch wirtschaftliche Vorteile gegenüber dem gesetzgeberischen Handeln, da Erlass, Überprüfung, Kontrolle der Einhaltung, Beschwerdeinstanzen und Sanktionsmechanismen nicht staatlich, sondern in der Regel privatwirtschaftlich finanziert werden.
4
Sachverhalte mit Bezug zur Informationstechnologie eignen sich in be- 5 sonderer Weise zur Selbstregulierung, da die technische und gesellschaftliche Entwicklung in diesem Bereich eine besonders hohe Dynamik aufweist und komplexe Detailkenntnisse zur Durchdringung der Regelungsmaterie notwendig sind. Der Gesetzgeber sieht sich aufgrund der schnellen Entwicklung der Regelungsmaterie oftmals mit bereits gefestigten technischen und sozialen Gegebenheiten konfrontiert, die im Nachhinein nur noch schwer zu regulieren sind. Ein reaktives und ineffi1 2 3 4 5
Roßnagel/Roßnagel, Handbuch Datenschutzrecht, Teil 3.6 Rz. 3. So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 38a BDSG Rz. 2. Roßnagel/Roßnagel, Handbuch Datenschutzrecht, Teil 3.6 Rz. 1. Diesbzgl. zur Internet Governance Christiansen, MMR 2000, 123. So z.B. die Bestrebungen zur Reformierung des EG-Datenschutzrichtlinie, siehe Reding, ZD 2011, 1 (2). 6 So auch Simitis/Bizer, § 38a BDSG Rz. 9; Taeger/Gabel/Kinast, § 38a BDSG Rz. 4.
Hullen 921
BDSG § 38a
Datenverarbeitung nicht-öffentlicher Stellen
zientes gesetzgeberisches Handeln lässt sich in vielen Fällen vermeiden, wenn Vorgaben durch die Akteure selbst – u.U. innerhalb hoheitlicher Rahmenbedingungen – proaktiv, z.B. gleichzeitig mit der Entwicklung eines neuen Internetdienstes, erlassen werden. 6 Kritik wird sowohl an der gesetzliche Ausgestaltung als auch an der praktische Umsetzung der Norm geübt. Zu Recht werden dem Gesetzgeber Versäumnisse bei der Ausgestaltung der regulierten Selbstregulierung vorgeworfen, die die Inanspruchnahme der Prüfung durch die Aufsichtsbehörden und die damit für alle Beteiligten entstehende „Win-Win-Situation“ unterbinden. Auf bundesdeutscher Ebene existiert bislang kein nach Abs. 2 geprüftes Verhaltensregelwerk. Weder Rechtsfolgen der Prüfung noch Befugnisse und Pflichten der Aufsichtsbehörde wurden gesetzlich ausgestaltet1. Auch Regelungen zur Bindungswirkung geprüfter Verhaltenskodizes gegenüber den Aufsichtsbehörden und inhaltlich-qualitative Anforderungen an abnahmefähige Regelwerke wurden vergessen. 7 Obwohl die Selbstregulierung als tragende Säule des Datenschutzes angesehen wird2, wurde noch kein einziges Regelwerk von den Aufsichtsbehörden i.S.v. Abs. 2 anerkannt. Dies liegt u.a. in der föderalen Struktur der Datenschutzaufsicht und den dementsprechend uneinheitlichen Auffassungen der Datenschutzbehörden in Bezug auf die inhaltlichen Anforderungen, die an ein Regelwerk i.S.d. Abs. 1 zu stellen sind, begründet. Die zuständigen Behörden beschränken sich oftmals nicht auf eine Prüfung auf Übereinstimmung mit geltendem Recht, sondern versuchen, eigene Interessen durchzusetzen und durch die Versagung der Anerkennung Einfluss auf den Inhalt der Regelwerke zu nehmen3. Da bei Meinungsverschiedenheiten kein Schlichtungsverfahren oder eine Schiedsstelle vorgesehen ist, kann den Vorlageberechtigten oftmals nur geraten werden, die Verhaltensregeln ohne Anerkennung i.S.v. Abs. 2 zu implementieren. 8 Aktuelle Vorhaben der Selbstregulierung der IT- und Medienbranche finden sich im Bereich der Verwendung von Cookies4 (zum Begriff siehe § 13 TMG Rz. 13), der Sozialen Netzwerke5 und der Panorama-Bilder1 Simitis/Petri, § 38a BDSG Rz. 6. 2 Roßnagel/Roßnagel, Handbuch Datenschutzrecht, Kap. 1 Rz. 47. 3 So auch Taeger/Gabel/Kinast, § 38a BDSG Rz. 21, der zutreffend eine Freiwilligkeit bei einer Einflussnahme dieser Art in Frage stellt. 4 Siehe BT-Drucks. 17/5707, S. 44. 5 Hier ist eine entsprechende Selbstregulierung durch den Verein der Freiwilligen Selbstkontrolle der Multimediaanbieter (FSM) geplant, vgl. Pressemitteilung
922 Hullen
Verhaltensregeln zur Förderung der Durchführung
§ 38a BDSG
dienste („Street View“)1. Im Telekommunikationsbereich hat der Gesetzgeber ausdrücklich die Möglichkeit der Selbstregulierung der Transparenz- und Informationspflichten durch TK-Anbieter vorgesehen, siehe § 45n Abs. 4 Satz 2 TKG n.F.2. Auch im Bereich der Netzneutralität bieten sich Selbsregulierungsvorhaben an. III. Regulierte Selbstregulierung im Datenschutz Erfolgt die Selbstregulierung in einem staatlich vorgegebenen (d.h. ge- 9 setzlich festgelegten) Rahmen, so wird von regulierter Selbstregulierung oder Co-Regulierung3 gesprochen. Dieser Ansatz wurde, wenn auch mit geringem Selbstregulierungsspielraum für die Normadressaten, für die Förderung des Datenschutzes gewählt. Während Abs. 1 die Vorlageberechtigung und den Beurteilungsmaßstab für die Verhaltensregelungen festlegt, regelt Abs. 2 das behördliche Anerkennungsverfahren. Der Mehrwert des Verfahrens nach Abs. 2 soll in einer Qualitätsbestätigung oder in einem Gütesiegel zu sehen sein4, welches Rechtssicherheit für die Mitglieder der Berufsverbände und anderen Vereinigungen schafft und ihnen eine positive Außendarstellung ermöglicht. 1. Vorlegung von Verhaltensregeln (Abs. 1) a) Vorlageberechtigte Entwürfe von Verhaltensregeln können den zuständigen Aufsichtsbe- 10 hörden von Berufsverbänden und anderen Vereinigungen vorgelegt werden. Der Kreis der Vorlageberechtigten wurde weit gefasst, weder aus der Gesetzesbegründung noch aus der EG-Datenschutzrichtlinie ergeben sich diesbezügliche Einschränkungen5.
1
2
3 4 5
des BMI v. 2.11.2011, abrufbar unter http://www.bmi.bund.de/SharedDocs/Pres semitteilungen/DE/2011/11/kodex_sozialenetzwerke.html. Der „Datenschutz-Kodex für Geodatendienste“ v. 28.2.2011 ist abrufbar unter http://www.bitkom.org/files/documents/Datenschutz-Kodex_28_02_2011_mit Logos.pdf. Vgl. zum Entwurf eines Gesetzes zur Änderung telekommunikationsrechtlicher Regelungen BT-Drucks. 17/5707, S. 67 sowie Beschlussempfehlung und Bericht hierzu, BT-Drucks. 17/7521. Da in diesem Fall eine Kooperation zwischen Staat und Vereinigungen stattfindet, Roßnagel/Roßnagel, Handbuch Datenschutzrecht, Teil 3.6 Rz. 21. Däubler/Klebe/Wedde/Weichert/Weichert, § 38a BDSG Rz. 1. So auch Simitis/Petri, § 38a BDSG Rz. 10.
Hullen 923
BDSG § 38a
Datenverarbeitung nicht-öffentlicher Stellen
11 Berufsverbände sind Vereinigungen von Personen, die der gleichen Berufsgruppe angehören. Die Verbände müssen dabei Mitglieder umfassen, die im Rahmen ihrer beruflichen Tätigkeit zumindest auch mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten in Berührung kommen. Es ist nicht erforderlich, dass der Berufsverband zwangsweise alle Personen vertritt, die den jeweiligen Beruf ausüben, wie dies u.a. bei Rechtsanwalts- oder Architektenkammern der Fall ist. 12 Andere Vereinigungen i.S.d. Abs. 1 müssen Gruppen von verantwortlichen Stellen (siehe § 3 Abs. 7) vertreten. Dabei ist eine gewisse Homogenität der Mitgliederstruktur zu fordern1, wobei hieran aufgrund des Wortlauts der Norm keine strengen Maßstäbe anzulegen sind. Hierunter fallen insbesondere freiwillige Zusammenschlüsse wie regionale und nationale Wirtschaftsverbände2 (wie bspw. BITKOM oder BVDW) und Verbände von Idealvereinen (wie z.B. der Verbraucherzentrale Bundesverband e.V.)3. Der Wortlaut des Abs. 1 umfasst zudem auch Konzerne und Unternehmensgruppen, die ihre datenschutzrechtlichen Verhaltensrichtlinien auf die Vereinbarkeit mit geltendem Datenschutzrecht prüfen lassen wollen4. Weder Berufsverbände noch andere Vereinigungen müssen ihre jeweilige Bezugsgruppe z.B. in Hinblick auf Anzahl oder Gewicht der Mitglieder repräsentieren5. Dies würde dem Gesetzeszweck, der Förderung der Selbstregulierung zur Verbesserung des Datenschutzes, und dem Erwägungsgrund 61 EG-Datenschutzrichtlinie, der die Förderung selbiger im Datenschutz vorschreibt, widersprechen6. b) Verhaltensregeln 13 Vorlagefähig i.S.d. Abs. 1 sind Entwürfe für Verhaltensregeln (siehe Rz. 14) zur Förderung der Durchführung von datenschutzrechtlichen Regelungen (siehe Rz. 16).
1 2 3 4
Gola/Schomerus, § 38a BDSG Rz. 4; Simitis/Petri, § 38a BDSG Rz. 12. Däubler/Klebe/Wedde/Weichert/Weichert, § 38a BDSG Rz. 4. Simitis/Petri, § 38a BDSG Rz. 12. Däubler/Klebe/Wedde/Weichert/Weichert, § 38a BDSG Rz. 4; Taeger/Gabel/Kinast, § 38a BDSG Rz. 16, der die Vorlageberechtigung auch für Joint Ventures bejaht. 5 Bergmann/Möhrle/Herb, § 38a BDSG Rz. 4. 6 So auch Taeger/Gabel/Kinast, § 38a BDSG Rz. 18.
924 Hullen
Verhaltensregeln zur Förderung der Durchführung
§ 38a BDSG
aa) Entwürfe Die berechtigten Vereinigungen können der zuständigen Aufsichtsbehörde Entwürfe für Verhaltensregeln zur Förderung von datenschutzrechtlichen Regelungen vorlegen.
14
Dem Wortlaut des Abs. 1 nach dürfen lediglich Regelungsentwürfe den zuständigen Behörden zur Überprüfung unterbreitet werden. Hiermit wollte der Gesetzgeber zum Ausdruck bringen, dass lediglich noch nicht überprüfte Regelungen den Aufsichtsbehörden unterbreitet werden können. Bereits geprüfte Regelwerke unterfallen der Kontrolle der Aufsichtsbehörden nach § 38. Werden Änderungen an einem bereits abgenommenen Regelwerk vorgenommen, so unterfällt selbiges jedoch wieder als Entwurf der Regelungsmaterie des Abs. 11. Dass die Regelungen des Entwurfs schon ganz oder teilweise durch die Mitglieder der jeweiligen Vereinigung befolgt werden, führt nicht zu einer Versagung der Vorlageberechtigung. Auch dies würde dem Normzweck, der Erhöhung des Datenschutzes durch von Aufsichtsbehörden geprüfte Selbstregulierungskodizes, widersprechen2. Gegenteiliges lässt sich auch nicht aus der Gesetzesbegründung schließen3, die lediglich zur Prüfpflicht der Aufsichtsbehörden Stellung bezieht.
15
bb) Inhaltliche Anforderungen Welchen inhaltlichen Anforderungen der Entwurf entsprechen muss, ist umstritten. Dem Gesetzeswortlaut nach müssen die Verhaltensregelungen die Durchführung von datenschutzrechtlichen Regelungen fördern. Diese unglücklich an Art. 27 Abs. 1 angelehnte Formulierung eröffnet einen großen Interpretationsspielraum, der in der Praxis regelmäßig für Unstimmigkeiten zwischen den Vorlageberechtigten und den Aufsichtbehörden sorgt.
16
Die Regelungen sollen einen „datenschutzrechtlichen Mehrwert“4 bieten müssen, wobei unklar ist, wann ein solcher Mehrwehrt anzunehmen ist. Teilweise wird eine Konkretisierung der gesetzlichen Datenschutzregelungen gefordert, wobei die Verhaltensregelungen die gesetzlichen Vorgaben nicht nur bereichsspezifisch abbilden und das Datenschutzrecht hinsichtlich Regelungstiefe und -breite nicht unterschreiten dür-
17
1 2 3 4
Simitis/Petri, § 38a BDSG Rz. 19. So auch Taeger/Gabel/Kinast, § 38a BDSG Rz. 19. BT-Drucks. 14/4329, S. 46. Simitis/Petri, § 38a BDSG Rz. 16. m.w.N.
Hullen 925
BDSG § 38a
Datenverarbeitung nicht-öffentlicher Stellen
fen1. Andererseits wird die Übereinstimmung des Regelwerks mit geltendem Datenschutzrecht für ausreichend erachtet2. In der Praxis ist problematisch, dass die Aufsichtsbehörden selbst unterschiedliche Beurteilungsmaßstäbe anlegen3, was bei einer gemeinsamen Abstimmung im „Düsseldorfer Kreis“ oftmals zu einer uneinheitlichen Meinung bzgl. der inhaltlichen Abnahmefähigkeit des vorgelegten Regelwerks führt4. 18 Einen Mehrwert bieten Verhaltensregeln immer dann, wenn sie der Förderung datenschutzrechtlicher Regelungen dienen. Dies ist jedoch dann nicht gegeben, wenn die Verhaltensregeln im Widerspruch zum geltenden Datenschutzrecht stehen5. Von einer Förderung kann auch dann ausgegangen werden, wenn das gesetzliche, materiell-rechtlich festgeschriebene Datenschutzniveau nicht erhöht wird, sondern bspw. verständlicher dargestellt und somit leichter anwend- und besser durchführbar gemacht wird6. Dies kann gerade in einer auf eine bestimmte Branche zugeschnittene Auswahl und Aufbereitung datenschutzrechtlicher Regelungen, bspw. durch eine verwendergerechte Darstellung der mitunter kaum für rechtlich Versierte verständlichen Datenschutzregelungen bestehen. Bei der Beurteilung der Frage, wann geltende Datenschutzregeln durch einen Verhaltenskodex gefördert werden, ist daher ein großzügiger Maßstab anzulegen. Dies gilt insbesondere auch, um Wertungswidersprüche zwischen der (Ex-ante-)Prüfung im Rahmen des § 38a und der (Ex-Post-)Überprüfung nach § 38 zu vermeiden. Auch der Normzweck, der auf die Förderung der Implementierung überprüfter Regelwerke abzielt, würde durch weiterreichende Anforderungen als die Prüfung der Übereinstimmung des Regelwerks mit geltendem Recht konterkariert werden. Die reine Wiedergabe gesetzlicher Regelungen wird jedoch in der Regel keinen fördernden Charakter aufweisen7.
1 2 3 4
So Däubler/Klebe/Wedde/Weichert/Weichert, § 38a BDSG Rz. 2. Gola/Schomerus, § 38a BDSG Rz. 5. Simitis/Petri, § 38a BDSG Rz. 16 Fn. 22. Kritisch zur Beurteilungspraxis durch die Aufsichtsbehörden auch Taeger/Gabel/Kinast, § 38a BDSG Rz. 21. 5 Simitis/Petri, § 38a BDSG Rz. 19. 6 So auch Abel, RDV 2003, 11, 12; Taeger/Gabel/Kinast, § 38a BDSG Rz. 21; Simitis/Petri, § 38a BDSG Rz. 17. 7 So auch Bergmann/Möhrle/Herb, § 38a BDSG Rz. 8.
926 Hullen
Verhaltensregeln zur Förderung der Durchführung
§ 38a BDSG
c) Zuständige Aufsichtsbehörde Die Entwürfe nach Abs. 1 sind der zuständigen Aufsichtsbehörde vor- 19 zulegen, deren Zuständigkeit sich nach § 38 Abs. 1 (sachlich) bzw. Abs. 6 (örtlich) bestimmt. Bei länderübergreifenden Bezügen wird in der Praxis die zuständige Aufsichtsbehörde formell das Prüfverfahren übernehmen. Die Aufsichtsbehörden werden jedoch im „Düsseldorfer Kreis“ eine gemeinsame Postion bzgl. der Vereinbarkeit der Regelwerke mit geltendem Datenschutzrecht erarbeiten. Dies führt in der Praxis aufgrund unterschiedlicher Auffassungen zu den inhaltlichen Anforderungen, die an die Regelwerke zu stellen sind (siehe bereits oben Rz. 16), zu erheblichen Problemen1. 2. Überprüfung der Vereinbarkeit mit geltendem Datenschutzrecht (Abs. 2) Die zuständige Aufsichtsbehörde (siehe oben Rz. 19) ist verpflichtet, den 20 Entwurf der Verhaltensregeln zu prüfen, wenn dieser durch den Vorlageberechtigten (siehe oben Rz. 10) eingereicht und in rechtlicher, technischer und organisatorischer Hinsicht ausreichend begründet wurde. Der Entwurf ist auf Verlangen der Aufsichtsbehörden zu erläutern2. Die Überprüfung der Verhaltensregeln findet im Wege eines formellen 21 Verwaltungsverfahrens statt, welches mit Einreichung des begründeten Entwurfs (siehe oben Rz. 14) und der Stellung eines Antrags (§ 22 VwVfG) auf dessen Überprüfung auf Übereinstimmung mit den geltenden datenschutzrechtlichen Vorgaben beginnt3. Lediglich hierauf erstreckt sich die Prüfungskompetenz der zuständigen Aufsichtsbehörde (siehe oben Rz. 19). Diese kann weitere Personen oder Stellen, deren rechtliche Interessen durch das Anerkennungsverfahren berührt werden könnten, z.B. Mitglieder der vorlageberechtigten Vereinigung4, am Verfahren beteiligen (siehe § 13 Abs. 2 VwVfG sowie Art. 27 Abs. 2 Satz 3 EG-Datenschutzrichtlinie). Das Verwaltungsverfahren endet mit einem feststellenden Verwaltungsakt, der die Vereinbarkeit mit geltendem Datenschutzrecht feststellt5. Da mit der Überprüfung regelmäßig eine komplexe recht-
1 2 3 4 5
Simitis/Petri, § 38a BDSG Rz. 21. BT-Drucks. 14/4329, S. 46. Gola/Schomerus, § 38a BDSG Rz. 5. Simitis/Petri, § 38a BDSG Rz. 23. Bergmann/Möhrle/Herb, § 38a BDSG Rz. 18; Simitis/Petri, § 38a BDSG Rz. 25.
Hullen 927
BDSG § 38a
Datenverarbeitung nicht-öffentlicher Stellen
liche Prüfung des Regelwerks verbunden ist, liegt nicht nur eine bloße Auskunft der Behörde, sondern ein rechtlich bindendes Handeln mit Regelungscharakter vor1. 22 Die Feststellung, dass der Regelentwurf mit geltendem datenschutzrechtlichen Vorgaben in Einklang steht, ist für die Verfahrenbeteiligten, aber auch für andere Behörden bindend2. Ein (ablehnender) Verwaltungsakt muss nach § 39 VwVfG mit einer entsprechenden Begründung versehen werden. Dem Antragsteller steht gegen die Feststellung der (vermeintlichen) Unvereinbarkeit der Verhaltensregeln mit geltendem Datenschutzrecht der Rechtsweg gem. § 40 VwGO offen. 23 Eine Pflicht zur Veröffentlichung des Ergebnisses des Anerkennungsverfahrens durch die prüfende Behörde ist gesetzlich nicht vorgesehen. Dem Vorlageberechtigen bleibt es unbenommen, auf eigene Initiative die Tatsache der Anerkennung i.S.v. Abs. 2 und das entsprechende Regelwerk zu veröffentlichen. Die Frage, ob die prüfende Aufsichtsbehörde berechtigt ist, die geprüften und anerkannten Verhaltensregeln zu veröffentlichen (etwa im Tätigkeitsbericht nach § 38 Abs. 1 Satz 6), u.U. sogar gegen den Willen des Vorlageberechtigten, wird nach h.M. bejaht3. IV. Europaweit geltende Verhaltensregelungen 24 Entwürfe für gemeinschaftliche Verhaltensregeln, d.h. solche, die europaweite Geltung beanspruchen, können gem. Art. 27 Abs. 3 EG-Datenschutzrichtlinie der Artikel-29-Datenschutzgruppe (bestehend aus den Vertretern der nationalen Datenschutzbehörden, dem Europäischen Datenschutzbeauftragten und einem Vertreter der EU-Kommission) vorgelegt werden. Im Gegensatz zu Verhaltensregeln, die lediglich unter § 38a fallen, wurden gemeinschafliche Regelwerke bereits erfolgreich nach § 27 Abs. 3 EG-Datenschutzrichtlinie geprüft und angenommen (so der Kodex der Federation of European Direct Marketing)4. 25 Diese prüft die Verhaltenskodizes auf Übereinstimmung mit den Vorgaben aller einzelstaatlichen rechtlichen Regelungen zum Datenschutz.
1 Ausführlich Hoeren, RDV 2011, 1. 2 Siehe Taeger/Gabel/Kinast § 38a BDSG Rz. 29 m.w.N.; Simitis/Petri, § 38a BDSG Rz. 25. 3 So z.B. Gola/Schomerus, § 38a BDSG Rz. 7; Simitis/Petri, § 38a Rz. 27 m.w.N.; Taeger/Gabel/Kinast, § 38a BDSG Rz. 32. 4 Gola/Schomerus, § 38a BDSG Rz. 9.
928 Hullen
Zweckbindung bei Berufs- oder Amtsgeheimnis
§ 39 BDSG
Zudem wird überprüft, ob Verhaltensregeln „ausreichende Qualität und Kohärenz aufweisen und genügenden zusätzlichen Nutzen für die Richtlinien und andere geltende Datenschutzrechtsvorschriften liefern, insbesondere, ob der Entwurf der Verhaltensregeln ausreichend auf die spezifischen Fragen und Probleme des Datenschutzes in der Organisation oder dem Sektor ausgerichtet ist, für die er gelten soll, und für diese Fragen und Probleme ausreichend klare Lösungen bietet“1.
Vierter Abschnitt Sondervorschriften Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen (1) 1Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, dürfen von der verantwortlichen Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat. 2In die Übermittlung an eine nicht-öffentliche Stelle muss die zur Verschwiegenheit verpflichtete Stelle einwilligen.
39
(2) Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung des Zwecks durch besonderes Gesetz zugelassen ist. I. Einführung . . . . . . . . . . . . . . . .
1
II. Anwendungsbereich . . . . . . . . 1. Adressaten . . . . . . . . . . . . . . . . 2. Berufs- und Amtsgeheimnis .
2 2 5
IV. Einwilligung des Geheimnisträgers (Abs. 1 Satz 2) . . . . . . . . 13 V. Durchbrechung der Zweckbindung (Abs. 2) . . . . . . . . . . . . 14
III. Reichweite der Zweckbindung . . . . . . . . . . . . . . . . . . . . . 11 Schrifttum: Giesen, Zum Begriff des Offenbarens nach § 203 StGB im Falle der Einschaltung privatärztlicher Verrechnungsstellen, NStZ 2012, 122; Redeker, Datenschutz auch bei Anwälten – aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis, NJW 2009, 554; Weichert, Datenschutz auch bei Anwälten?, NJW 2009, 550.
1 Artikel-29-Datenschutzgruppe, WP 13 v. 10.9.1998, S. 4, abrufbar unter http:// ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp13_de.pdf.
Hullen/Plath 929
Zweckbindung bei Berufs- oder Amtsgeheimnis
§ 39 BDSG
Zudem wird überprüft, ob Verhaltensregeln „ausreichende Qualität und Kohärenz aufweisen und genügenden zusätzlichen Nutzen für die Richtlinien und andere geltende Datenschutzrechtsvorschriften liefern, insbesondere, ob der Entwurf der Verhaltensregeln ausreichend auf die spezifischen Fragen und Probleme des Datenschutzes in der Organisation oder dem Sektor ausgerichtet ist, für die er gelten soll, und für diese Fragen und Probleme ausreichend klare Lösungen bietet“1.
Vierter Abschnitt Sondervorschriften Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen (1) 1Personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung gestellt worden sind, dürfen von der verantwortlichen Stelle nur für den Zweck verarbeitet oder genutzt werden, für den sie sie erhalten hat. 2In die Übermittlung an eine nicht-öffentliche Stelle muss die zur Verschwiegenheit verpflichtete Stelle einwilligen.
39
(2) Für einen anderen Zweck dürfen die Daten nur verarbeitet oder genutzt werden, wenn die Änderung des Zwecks durch besonderes Gesetz zugelassen ist. I. Einführung . . . . . . . . . . . . . . . .
1
II. Anwendungsbereich . . . . . . . . 1. Adressaten . . . . . . . . . . . . . . . . 2. Berufs- und Amtsgeheimnis .
2 2 5
IV. Einwilligung des Geheimnisträgers (Abs. 1 Satz 2) . . . . . . . . 13 V. Durchbrechung der Zweckbindung (Abs. 2) . . . . . . . . . . . . 14
III. Reichweite der Zweckbindung . . . . . . . . . . . . . . . . . . . . . 11 Schrifttum: Giesen, Zum Begriff des Offenbarens nach § 203 StGB im Falle der Einschaltung privatärztlicher Verrechnungsstellen, NStZ 2012, 122; Redeker, Datenschutz auch bei Anwälten – aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis, NJW 2009, 554; Weichert, Datenschutz auch bei Anwälten?, NJW 2009, 550.
1 Artikel-29-Datenschutzgruppe, WP 13 v. 10.9.1998, S. 4, abrufbar unter http:// ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp13_de.pdf.
Hullen/Plath 929
BDSG § 39
Sondervorschriften
I. Einführung 1 § 39 ist eine Sondervorschrift zu den allgemeinen Regelungen des BDSG, durch die personenbezogene Daten, die einem Berufs- oder Amtsgeheimnis unterliegen, im Fall ihrer Weitergabe einer besonders strengen Zweckbindung unterstellt werden. Sinn und Zweck der Norm ist eine Erweiterung des originären Amts- bzw. Berufsgeheimnisses und der damit verbundenen Beschränkungen auf weitere Adressaten1. Zu beachten ist, dass das Zweckbindungsgebot nicht greift, wenn der Betroffene in eine darüber hinaus gehende Verwendung wirksam eingewilligt hat. II. Anwendungsbereich 1. Adressaten 2 Adressat des § 39 ist nicht die zur Geheimniswahrung verpflichtete Person oder Stelle selbst, sondern diejenige Stelle, der die Daten „zur Verfügung gestellt“ wurden. Die Norm richtet sich dementsprechend sowohl an Stellen, die Daten infolge einer Übermittlung (§ 3 Abs. 4 Nr. 3) empfangen haben, als auch an alle anderen Stellen, die auf sonstige, berechtigte Weise Zugang zu den Daten erhalten haben und über diese „verfügen“. Damit fällt insbesondere auch die interne Weitergabe von Daten – z.B. durch den Betriebsarzt – in den Anwendungsbereich des § 392. Es kommt lediglich darauf an, dass die Daten durch die zur Verschwiegenheit verpflichtete Stelle – oder ihren Berufsgehilfen gemäß § 203 Abs. 3 Satz 23 – weitergegeben wurden. § 39 setzt dabei voraus, dass die Weitergabe nach Maßgabe der allgemeinen Regelungen des BDSG oder eines Spezialgesetzes zulässig war, und ist dementsprechend keine Erlaubnisnorm. 3 Grundsätzlich unerheblich ist, ob die empfangende Stelle öffentlich oder nicht-öffentlich ist. Allerdings ist umstritten, ob bei der Datenverwendung durch nicht-öffentliche Stellen ein Dateibezug notwendig ist, vgl.
1 Ebenso Simitis/Dammann, § 39 BDSG Rz. 1; Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 1. 2 Gola/Schomerus, § 39 BDSG Rz. 2; Däubler/Klebe/Wedde/Weichert/Weichert, § 39 BDSG Rz. 2; Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 15; Bergmann/ Möhrle/Herb, § 39 BDSG Rz. 12; zur Weitergabe i.R.d. der Datenschutzkontrolle von Daten, die dem anwaltlichen Berufsgeheimnis unterliegen Weichert, NJW 2009, 550 (551 ff.) sowie Redeker, NJW 2009, 554. 3 Ausführlich hierzu § 11 Rz. 74.
930 Plath
Zweckbindung bei Berufs- oder Amtsgeheimnis
§ 39 BDSG
§ 1 Abs. 2 Nr. 3. Dagegen wird eingewandt, dass eine derartige Beschränkung zu einer nicht vertretbaren Beschneidung des Anwendungsbereichs des § 39 und demnach des Geheimnisschutzes führen würde1. Nach der hier vertretenen Ansicht ist dem jedoch nicht zu folgen: Die Anwendbarkeit des § 39 setzt voraus, dass das BDSG als solches Anwendung findet, was jedoch nicht der Fall ist, wenn die Voraussetzungen des § 1 Abs. 2 Nr. 3 schon gar nicht erfüllt sind2. Teilweise wird deshalb vermittelnd vertreten, dass der Anwendungsbereich des § 39 auf die Verwendung solcher Daten zu erweitern sei, die entsprechend § 27 Abs. 2 offensichtlich aus einer automatisierten Verarbeitung entnommen worden sind. Auch diese Ansicht ist jedoch aufgrund des eindeutigen Wortlauts des § 27, der sich ausschließlich auf den Dritten Abschnitt des BDSG (§§ 27–38a) bezieht, abzulehnen3. Damit sind nur solche nicht-öffentliche Stellen Normadressaten des § 39, die Daten mit Hilfe von automatischen Datenverarbeitungsanlagen bzw. in oder aus nicht automatisierten Dateien verarbeiten oder nutzen. Dagegen ist § 39 nach der hier vertretenen Ansicht nicht auf die Ver- 4 wendung von Daten i.R.e. Auftragsdatenverarbeitung (§ 11) anwendbar, da der Auftragnehmer die Daten weisungsgebunden verwendet und demnach nicht über sie „verfügen“ kann4. Grundsätzlich zur Vereinbarkeit von Auftragsdatenverarbeitungen mit Geheimhaltungspflichten vgl. § 11 Rz. 9 ff., 78 ff. 2. Berufs- und Amtsgeheimnis § 39 setzt weiter voraus, dass die weitergebende Stelle bezüglich der be- 5 troffenen Daten zur Wahrung eines Berufs- oder Amtsgeheimnisses verpflichtet ist. Der Anwendungsbereich der Norm entspricht dem des § 1 Abs. 3 Satz 2, der die Anwendbarkeit besonderer Geheimhaltungspflichten neben dem BDSG normiert5 Damit greift § 39 nur, wenn die Geheimhaltungspflicht gesetzlich begründet ist. Unerheblich ist dagegen,
1 So im Ergebnis Simitis/Dammann, § 39 BDSG Rz. 16 mit Verweis darauf, dass auch i.R.d. allgemeinen Zweckbindungsregelungen kein Dateibezug gefordert sei. 2 Im Ergebnis ebenso Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 12; Bergmann/ Möhrle/Herb, § 39 BDSG Rz. 5. 3 Ebenso Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 13. 4 Ebenso Gola/Schomerus, § 39 BDSG Rz. 9; Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 17; Bergmann/Möhrle/Herb, § 39 BDSG Rz. 27. 5 Ausführlich hierzu § 1 Rz. 39 ff.
Plath 931
BDSG § 39
Sondervorschriften
ob der zur Geheimhaltung Verpflichtete selbst verantwortliche Stelle i.S.d. BDSG ist (z.B. weil seine Tätigkeit gar nicht erst in den Anwendungsbereich des BDSG gemäß § 1 Abs. 2 fällt)1. 6 Als zentrale Geheimhaltungsvorschrift gilt § 203 StGB, der den Verrat von Privatgeheimnissen unter Strafe stellt. Damit zählen jedenfalls die Angehörigen der in § 203 Abs. 1 StGB aufgezählten Berufsgruppen zu den beruflichen Geheimnisträgern i.S.d. § 39 (z.B. Angehörige von Heilberufen, Rechtsanwälte, Notare, Steuerberater, Berater in bestimmten Beratungsstellen usw.). 7 Als Träger von Amtsgeheimnissen sind die in § 203 Abs. 2 StGB aufgezählten Personen anzusehen, insbesondere alle Amtsträger. Zu beachten ist, dass die beruflichen und amtlichen Geheimhaltungspflichten des § 203 Abs. 1 und 2 StGB entsprechend auch für den Datenschutzbeauftragten gelten, § 203 Abs. 2a StGB. Über den strafrechtlichen Geheimnisschutz hinaus wurden einige Berufs- und Amtsgeheimnisse auch (ergänzend) spezialgesetzlich geregelt, z.B. das Anwaltsgeheimnis (§ 43a BRAO), das Notargeheimnis (§ 18 BNotO), das Steuergeheimnis (§ 30 AO), das Sozialgeheimnis (§ 35 SGB I), das Meldegeheimnis (§ 5 MRRG), das Adoptionsgeheimnis (§ 1758 BGB), das Fernmeldegeheimnis (§ 88 TKG) sowie das Geschäfts- und Betriebsgeheimnis (§ 17 UWG), vgl. § 1 Rz. 20 ff. 8 Keine Geheimhaltungspflichten i.S.d. § 39 sind das (schuldrechtlich begründete) Bankgeheimnis, das allgemeine Amtsgeheimnis gemäß § 30 VwVfG, das Datengeheimnis nach § 5 sowie eventuelle Zeugnisverweigerungs- oder Schweigerechte2. 9 Zu beachten ist, dass § 39 nur auf personenbezogene Daten anwendbar ist, deren Verwendung, insbesondere deren Verarbeitung, im Zusammenhang mit der Ausübung einer solchen Berufs- oder Amtspflicht steht3. Damit fallen z.B. die Weitergabe von Patientendaten, die ein Arzt erhoben hat4, oder von Mandantendaten, die ein Rechtsanwalt verarbei-
1 Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 12; Simitis/Dammann, § 39 BDSG Rz. 13. 2 Vgl. Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 6; Simitis/Dammann, § 39 BDSG Rz. 8, 11; Bergmann/Möhrle/Herb, § 39 BDSG Rz. 9. 3 Gola/Schomerus, § 39 BDSG Rz. 3; Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 14. 4 Zur Weitergabe von Daten durch Ärzte an privatärztliche Verrechnungsstellen Giesen, NStZ 2012, 122 (125, 127).
932 Plath
Zweckbindung bei Berufs- oder Amtsgeheimnis
§ 39 BDSG
tet hat, in den Anwendungsbereich der Norm. Keine Anwendung findet § 39 hingegen z.B. auf Daten, die im Zusammenhang mit der reinen Organisation einer Praxis oder einer Kanzlei stehen. Die Weitergabe von Daten, die unter Verletzung eines Berufs- oder 10 Amtsgeheimnisses erhoben, verarbeitet oder genutzt wurden, ist generell unzulässig, so dass der Anwendungsbereich des § 39 gar nicht erst eröffnet ist1. III. Reichweite der Zweckbindung Der Verwendungszweck ist, soweit keine ausdrückliche Festlegung 11 durch den Geheimnisträger erfolgt, objektiv und einzelfallbezogen zu ermitteln. Dabei sind insbesondere übliche oder gesetzlich anerkannte Zwecke zu beachten. Das Zweckbindungsgebot des § 39 betrifft jede Form der Verarbeitung oder Nutzung der zur Verfügung gestellten Daten, insbesondere auch ihre weitere Übermittlung. Zu beachten ist jedoch, dass nachfolgende Empfänger der Daten nicht selbst Adressaten des § 39 werden, da die Vorschrift nur dann greift, wenn die Daten durch die zur Verschwiegenheit verpflichteten Stelle selbst weitergegeben wurden. § 39 entfaltet also keine „Kettenwirkung“2. Als Sondervorschrift geht § 39 allen anderen Regelungen zur Zweckbin- 12 dung vor, so dass auch keine Zweckänderung, beispielsweise nach Maßgabe der §§ 14 Abs. 3 bzw. 28 Abs. 5 Satz 2, vorgenommen werden kann. Eine Ausnahme zu diesem Grundsatz sieht lediglich Abs. 2 vor (s.u. Rz. 14). Dagegen gelten die Sonderregelungen zum Umgang mit besonderen Arten personenbezogener Daten (sog. sensible Daten, § 3 Abs. 9) neben § 39 fort3. IV. Einwilligung des Geheimnisträgers (Abs. 1 Satz 2) Wie bereits festgestellt, umfasst das Zweckbindungsgebot insbesondere auch die Weiterübermittlung der geschützten Daten durch den Normadressaten an einen Dritten. Erfolgt eine solche Übermittlung an eine nicht-öffentliche Stelle, so muss der „Weiter“-Übermittler die Einwil-
1 Simitis/Dammann, § 39 BDSG Rz. 17. 2 Vgl. Simitis/Dammann, § 39 BDSG Rz. 26; Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 5. 3 Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 4.
Plath 933
13
BDSG § 40
Sondervorschriften
ligung des Geheimnisträgers einholen. Der zur Verschwiegenheit verpflichtete Geheimnisträger darf die Einwilligung seinerseits nur erteilen, wenn die Übermittlung im Einklang mit seinem Berufs- oder Amtsgeheimnis steht1. Unklar ist dabei, welchen Mehrwert die Einwilligungsregelung des Abs. 1 Satz 2 hat: Die Vereinbarkeit der Übermittlung mit der Berufs- oder Amtspflicht des Geheimnisträgers wird bereits durch die Erstreckung der Zweckbindung auf den Übermittler gewährleistet2. V. Durchbrechung der Zweckbindung (Abs. 2) 14 Gemäß Abs. 2 ist eine Durchbrechung des in Abs. 1 normierten strengen Zweckbindungsgrundsatzes nur zulässig, wenn und soweit die Datenverwendung zu einem anderen Zweck spezialgesetzlich zugelassen wird. Da das BDSG in einem solchen Fall sowieso aufgrund seiner Subsidiarität zurücktritt, kommt Abs. 2 lediglich eine deklaratorische Funktion zu (vgl. § 1 Abs. 3 Satz 1). Als besondere Regelung i.S.d. Abs. 2 sind insbesondere Auskunftspflichten, z.B. gegenüber staatlichen Stellen, anzusehen3. Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen
40
(1) Für Zwecke der wissenschaftlichen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet oder genutzt werden.
(2) 1Die personenbezogenen Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist. 2Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. 3Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.
1 Taeger/Gabel/Mackenthun, § 39 BDSG Rz. 2; Gola/Schomerus, § 39 BDSG Rz. 6; Däubler/Klebe/Wedde/Weichert/Weichert, § 39 BDSG Rz. 2. 2 Ebenso kritisch Gola/Schomerus, § 39 BDSG Rz. 5; a.A. Simitis/Dammann, § 39 BDSG Rz. 30, der in dieser Zusatzvoraussetzung eine notwendige Schutzverstärkung sieht. 3 Vgl. Gola/Schomerus, § 39 BDSG Rz. 7 m.w.N.; Däubler/Klebe/Wedde/Weichert/Weichert, § 39 BDSG Rz. 3.
934 Plath/Frey
Verarbeitung und Nutzung durch Forschungseinrichtungen
§ 40 BDSG
(3) Die wissenschaftliche Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn 1. der Betroffene eingewilligt hat oder 2. dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist. I. Einführung . . . . . . . . . . . . . . . .
1
II. Adressaten . . . . . . . . . . . . . . . .
4
III. Besondere Zweckbindung (Abs. 1) . . . . . . . . . . . . . . . . . . .
7
IV. Anonymisierung und Pseudonymisierung (Abs. 2) . . . . . .
9
V. Veröffentlichung der Forschungsergebnisse (Abs. 3) . . . 11 VI. Verweise/Kontext . . . . . . . . . . 12 VII. Rechtsfolgen . . . . . . . . . . . . . . . 16
Schrifttum: Graalmann-Scheerer, Die Übermittlung personenbezogener Informationen zu Forschungszwecken, NStZ 2005, 434; Kilian, Medizinische Forschung und Datenschutzrecht – Stand und Entwicklung in der Bundesrepublik Deutschland und in der Europäischen Union, NJW 1998, 787; Krupp/Preissl, Die Neufassung des BDSG und die wissenschaftliche Forschung, CR 1989, 121; Luttenberger/Reischl/Schröder/Stürzebecher, Datenschutz in der pharmakogenetischen Forschung – eine Fallstudie, DuD 2004, 356; Mand, Biobanken für die Forschung und informationelle Selbstbestimmung, MedR 2005, 565.
I. Einführung Die Norm regelt, unter welchen besonderen Voraussetzungen perso- 1 nenbezogene Daten von Forschungseinrichtungen zu Forschungszwecken verwendet werden dürfen1. Sie gewährt der wissenschaftlichen Forschung damit keine eigenständige Erlaubnis zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Ob die Daten überhaupt erhoben, verarbeitet und genutzt werden dürfen, richtet sich nach den allgemeinen Erlaubnisnormen (also nach § 14 Abs. 2 Nr. 9 für öffentliche Stellen bzw. nach § 28 Abs. 2 Nr. 3, Abs. 6 Nr. 4 für nicht-öffentliche Stellen). Geregelt werden lediglich spezielle zusätzliche Voraussetzungen für die Verarbeitung und Nutzung dieser Daten2. Die Arbeit mit personenbezogenen Daten durch Forschungseinrichtungen steht im Spannungsfeld zwischen der in Art. 5 Abs. 3 GG garantierten Freiheit der Wissenschaft und Forschung und dem Grundrecht des 1 Zur Parallelproblematik der Datenübermittlung zu kriminologischen Forschungszwecken im Strafverfahren Graalmann-Scheerer, NStZ 2005, 434. 2 Ausführlich zur Entwicklung der Norm Simitis/Simitis, § 40 BDSG Rz. 1 ff.
Plath/Frey 935
2
BDSG § 40
Sondervorschriften
Einzelnen auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG1. 3 § 40 versucht hier einen Ausgleich zu finden: Der Forschung wird einerseits eine besondere Zweckbindung (Abs. 1) bei ihrer Arbeit mit personenbezogenen Daten abverlangt, andererseits eine Privilegierung für die Veröffentlichung von Forschungsergebnissen zugestanden (Abs. 3). Darüber hinaus wird spezifiziert, wie die Forschung das allgemeine Prinzip der Datensparsamkeit (vgl. § 3a) konkret umzusetzen hat, nämlich durch Anonymisierung und Pseudonymisierung der Daten (Abs. 2). II. Adressaten 4 § 40 richtet sich an Forschungseinrichtungen. Die verantwortliche Stelle (vgl. § 3 Abs. 7) muss gemäß Abs. 1 personenbezogene Daten für die wissenschaftliche Forschung2 erhoben oder gespeichert haben. Es muss sich um eine (privatrechtlich oder öffentlich-rechtlich organisierte) Institution handeln, die sich (nicht notwendig ausschließlich) der Wissenschaft widmet. Darunter fallen etwa Hochschulen der Bundeswehr, Max-Planck-Institute3 wie auch Forschungsabteilungen in Unternehmen. 5 Wesentlich ist, dass die Forschung unabhängig und (etwa in einem Unternehmen) in einer abgetrennten Einheit durchgeführt wird. Die Finanzierung der Forschung durch Drittmittel muss diese Unabhängigkeit nicht stören. Im Rahmen von Marktanalysen wird zu Recht darauf hingewiesen, dass es darauf ankommen wird, ob ein privates oder ein unabhängiges Institut beauftragt wird, und ob der Auftrag sich vorrangig an kommerziellen Interessen orientiert4. Für letztere Alternative gilt § 305.
1 Zu diesem Konflikt ausführlich Gola/Schomerus, § 40 BDSG Rz. 3 ff. m.w.N. sowie Kilian, NJW 1998, 787 (788). 2 Zum Begriff der Forschung vgl. BVerfGE 35, 79 ff. 3 Der Anwendungsbereich erstreckt sich allein auf Forschungsinstitute als Bundeseinrichtungen, andernfalls ist der Landesgesetzgeber zuständig. Zu den zahlreichen bereichsspezifischen Regelungen vgl. ausführlich Simitis/Simitis, § 40 BDSG Rz. 19 ff. 4 So z.B. Gola/Schomerus, § 40 BDSG Rz. 9. 5 Gola/Schomerus, § 40 BDSG Rz. 9; a.A. Taeger/Gabel/Mester, § 40 BDSG Rz. 6: Solche Forschungsvorhaben unterliegen wegen der kommerziell ausgerichteten Unternehmenspolitik nicht dem § 40; ebenso Simitis/Simitis, § 40 BDSG Rz. 36 ff.
936 Plath/Frey
Verarbeitung und Nutzung durch Forschungseinrichtungen
§ 40 BDSG
Einzelne Wissenschaftler sind keine Normadressaten, wie sich aus der Überschrift der Norm (nicht jedoch zwingend aus ihrem Text) ergibt1.
6
III. Besondere Zweckbindung (Abs. 1) Die Durchführung des Forschungsvorhabens unterliegt einer strikten 7 Zweckbindung: Für die Zwecke der Forschung erhobene und gespeicherte personenbezogene Daten dürfen demnach ausschließlich für ebendiese Forschungszwecke verarbeitet und genutzt werden. Gibt es hingegen eine speziellere Erlaubnisnorm oder liegt eine Einwilligung des Betroffenen vor, dann dürfen die Daten auch für andere Zwecke als Forschungszwecke verwendet werden. Im Rahmen dieser Zweckbindung ist es durchaus denkbar, dass Daten 8 von einem Forschungsinstitut an ein anderes übermittelt werden. Dies verbietet § 40 nicht2. Im Übrigen können die personenbezogenen Daten zu unterschiedlichen Forschungszwecken verwendet werden – der Wortlaut spricht allgemein nur von „Zwecken der Forschung“. Verarbeitung und Nutzung müssen sich folglich gerade nicht auf ein spezifisches Forschungsprojekt beziehen (im Gegensatz zu den Regelungen in zahlreichen Landesdatenschutzgesetzen)3. IV. Anonymisierung und Pseudonymisierung (Abs. 2) Abs. 2 konkretisiert das allgemeine datenschutzrechtliche Prinzip der Datensparsamkeit und Datenvermeidung (vgl. § 3a). Nach Abs. 2 Satz 1 müssen die erhobenen personenbezogenen Daten (§ 3 Abs. 6) anonymisiert werden, sobald dies nach dem Forschungszweck möglich ist4. Bis zu diesem Zeitpunkt sind die personenbezogenen Daten nach Abs. 2 Satz 2 zu pseudonymisieren (§ 3 Abs. 6a)5. Im Rahmen eines Forschungsvorhabens sind also zunächst eindeutige, identifizierende Merkmale einer 1 Wie hier Gola/Schomerus, § 40 BDSG Rz. 7; Taeger/Gabel/Mester, § 40 BDSG Rz. 4; a.A. Däubler/Klebe/Wedde/Weichert/Weichert, § 40 BDSG Rz. 4. 2 Vgl. Bergmann/Möhrle/Herb, § 40 BDSG Rz. 14. 3 Dazu ausführlich Simitis/Simitis, § 40 BDSG Rz. 47 ff. 4 Zur „Anonymität“ von unbeschrifteten Proben mit körperlichen Stoffen, insbesondere im Hinblick auf die DNA Mand, MedR 2005, 565 (567); kritisch zur Sinnhaftigkeit dieses Erfordernisses im Hinblick auf die Aussagekraft der Daten Krupp/Preissl, CR 1989, 121 (124). 5 Zur Entscheidung für eine Pseudonymisierung (und somit gegen eine Anonymisierung) der Daten in der pharmakogenetischen Forschung Luttenberger/ Reischl/Schröder/Stürzebecher, DuD 2004, 356 (357).
Plath/Frey 937
9
BDSG § 40
Sondervorschriften
Person (wie der Name) gesondert von den zu verarbeitenden Datensätzen zu speichern. Dies erfolgt mittels einer sog. File-Trennung1 bzw. Codierung2. Eine solche gesonderte Speicherung kann beispielsweise im Rahmen von Langzeitstudien erforderlich sein, bei denen immer wieder auf Datensätze bestimmter Personen zurückgegriffen wird3. 10 In dem Moment, in dem der Forschungszweck die Kenntnis der personenbezogenen Daten nicht mehr rechtfertigt, sind diese zu anonymisieren. Zu beachten ist, dass dies die Löschung der Identifikationsmerkmale voraussetzt4. V. Veröffentlichung der Forschungsergebnisse (Abs. 3) 11 Die Forschungseinrichtung darf die personenbezogenen Daten nur veröffentlichen, wenn der Betroffene gemäß § 4a darin eingewilligt hat, oder wenn dies für die zeitgeschichtliche Forschung unerlässlich ist. Im Rahmen der Einwilligung gilt: Der Betroffene ist insbesondere über Zweck und Umfang der Veröffentlichung im Voraus zu informieren. Die Erleichterung des § 4a Abs. 2 (Verzicht auf die Schriftform) soll für die Veröffentlichung nicht gelten5. VI. Verweise/Kontext 12 Für Zwecke der wissenschaftlichen Forschung kann gemäß § 4a Abs. 2 von der Schriftform der Einwilligung abgesehen werden. Als besonderer Grund i.S.d. § 4 Abs. 1 Satz 3 muss dann die Gefährdung der wissenschaftlichen Forschung durch die Schriftform vorliegen. Zu beachten ist, dass diese Formerleichterung nicht für die Einwilligung in die Veröffentlichung von Forschungsergebnissen gilt, s.o. Rz. 11. 13 Im Falle der Speicherung und Übermittlung personenbezogener Daten besteht eine Benachrichtigungspflicht des Betroffenen nach den §§ 19a, 33. Diese entfällt gem. § 33 Abs. 2 Satz 1 Nr. 5 dann, wenn die Speicherung oder Übermittlung für Zwecke der wissenschaftlichen Forschung 1 Vgl. Simitis/Simitis, § 40 BDSG Rz. 74. 2 Vgl. Gola/Schomerus, § 40 BDSG Rz. 14. 3 Vgl. Däubler/Klebe/Wedde/Weichert/Weichert, § 40 BDSG Rz. 9; zur Erforderlichkeit einer Pseudonymisierung zu Zwecken des „Follow-up“ Mand, MedR 2005, 565, 568. 4 Gola/Schomerus, § 40 BDSG Rz. 14; Simitis/Simitis, § 40 BDSG Rz. 71. 5 Siehe dazu Simitis/Simitis, § 40 BDSG Rz. 80; Däubler/Klebe/Wedde/Weichert/ Weichert, § 40 BDSG Rz. 12.
938 Plath/Frey
Erhebung, Verarbeitung und Nutzung durch die Medien
§ 41 BDSG
erforderlich ist und eine Benachrichtigung des Betroffenen einen unverhältnismäßigen Aufwand erfordern würde. Die verantwortliche Stelle muss hierzu konkret vortragen, andernfalls unterliegt sie der Benachrichtigungspflicht1. Die Zulässigkeit der Erhebung der personenbezogenen Daten richtet 14 sich nach § 13 (für öffentliche Stellen) bzw. nach § 28 (für private Forschungseinrichtungen). Bei der Übermittlung der Daten gelten die §§ 14 Abs. 1, 15 Abs. 1 (für die Übermittlung zwischen öffentlichen Stellen) bzw. die §§ 14 Abs. 1, 16 Abs. 1 (für die Übermittlung von öffentlicher Stelle an eine private Forschungseinrichtung). Die Übermittlung von privaten Forschungseinrichtungen an andere Stellen bemisst sich nach § 28 Abs. 2 Nr. 3 bzw. § 28 Abs. 6 Nr. 4. In den Landesdatenschutzgesetzen befinden sich Regelungen, die der Grundstruktur des § 40 entsprechen, allerdings inhaltlich breiter angelegt sind und sich daher in Nuancen unterscheiden. So verzichten einige Landesgesetze zwar auf die strenge Zweckbindung, beschränken die Nutzung der Daten allerdings auf ein bestimmtes Forschungsvorhaben2.
15
VII. Rechtsfolgen Eine Nutzung der personenbezogenen Daten für andere als Forschungs- 16 zwecke kann gemäß §§ 43 Abs. 2 Nr. 5 und Nr. 6 als Ordnungswidrigkeit geahndet werden und ist gemäß § 44 Abs. 1 strafbewehrt, wenn der Verstoß vorsätzlich gegen Entgelt oder in Schädigungsabsicht erfolgt. Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien
41
(1) Die Länder haben in ihrer Gesetzgebung vorzusehen, dass für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Unternehmen und Hilfsunternehmen der Presse ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken den Vorschriften der §§ 5, 9 und 38a entsprechende Regelungen einschließlich einer hierauf bezogenen Haftungsregelung entsprechend § 7 zur Anwendung kommen.
1 LG Ulm v. 1.12.2004 – 1 S 89/04, MMR 2005, 265. 2 Vgl. etwa § 27 HmbDSG; dazu ausführlich Simitis/Simitis, § 40 BDSG Rz. 88 ff.
Plath/Frey 939
BDSG § 41
Sondervorschriften
(2) Führt die journalistisch-redaktionelle Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch die Deutsche Welle zur Veröffentlichung von Gegendarstellungen des Betroffenen, so sind diese Gegendarstellungen zu den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten selbst. (3) 1Wird jemand durch eine Berichterstattung der Deutschen Welle in seinem Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft über die der Berichterstattung zugrunde liegenden, zu seiner Person gespeicherten Daten verlangen. 2Die Auskunft kann nach Abwägung der schutzwürdigen Interessen der Beteiligten verweigert werden, soweit 1. aus den Daten auf Personen, die bei der Vorbereitung, Herstellung oder Verbreitung von Rundfunksendungen berufsmäßig journalistisch mitwirken oder mitgewirkt haben, geschlossen werden kann, 2. aus den Daten auf die Person des Einsenders oder des Gewährsträgers von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil geschlossen werden kann, 3. durch die Mitteilung der recherchierten oder sonst erlangten Daten die journalistische Aufgabe der Deutschen Welle durch Ausforschung des Informationsbestandes beeinträchtigt würde. 3Der Betroffene kann die Berichtigung unrichtiger Daten verlangen. (4) 1Im Übrigen gelten für die Deutsche Welle von den Vorschriften dieses Gesetzes die §§ 5, 7, 9 und 38a. 2Anstelle der §§ 24 bis 26 gilt § 42, auch soweit es sich um Verwaltungsangelegenheiten handelt. I. Einführung . . . . . . . . . . . . . . . .
1
II. Medienprivileg (Abs. 1) . . . . . . 1. Anwendungsbereich . . . . . . . . a) Persönlicher Anwendungsbereich . . . . . . . . . . . . . . . . . b) Sachlicher Anwendungsbereich . . . . . . . . . . . . . . . . .
4 5 5
2. Vorgaben für die Landesgesetzgebung . . . . . . . . . . . . . . 14 III. Deutsche Welle (Abs. 2–4) . . . 15 IV. Verweise/Kontext . . . . . . . . . . 22
9
Schrifttum: Caspar, Datenschutz im Verlagswesen: Zwischen Kommunikationsfreiheit und informationeller Selbstbestimmung, NVwZ 2010, 1451; Dörr, Freies Wort, freies Bild und freie Berichterstattung vs. Datenschutz? Die Fortentwicklung der kommunikativen Freiheit durch den Datenschutz, ZUM 2004, 536; Eberle, Medien und Datenschutz – Antinomien und Antipathien, MMR 2008, 508; Feldmann, Datenschutz und Meinungsfreiheit: Regulierung ohne BDSG, AnwBl. 2011, 250; Gounalakis/Klein, Zulässigkeit von personenbezogenen Bewertungsplattformen – Die „Spickmich“-Entscheidung des BGH vom 23.6.2009, NJW 2010, 566; Groß, Zur Pressefreiheit, VR 2005, 261; Kloepfer, Datenschutz in
940 Plath/Frey
Erhebung, Verarbeitung und Nutzung durch die Medien
§ 41 BDSG
Redaktionen, AfP 2005, 118; Härting, Datenschutz im Internet – Gesetzgeberischer Handlungsbedarf, BB 2010, 839; Ott, Die Entwicklung des Suchmaschinenund Hyperlinkrechts im Jahr 2010, WRP 2011, 655; Schrader, Datenschutz und Medienfreiheit, DuD 2000, 68; Thomale, Die Datenverarbeitung zu journalistisch-redaktionellen Zwecken durch Telemedien, AfP 2009, 107; Weichert, Datenschutz bei Internetveröffentlichungen, VuR 2009, 323; Weichert, Datenschutz und Meinungsfreiheit: Regulierung im BDSG, AnwBl. 2011, 252.
I. Einführung § 41 beinhaltet zwei Regelungskomplexe, die weitestgehend mit der Verwendung personenbezogener Daten in Medienunternehmen im Zusammenhang stehen.
1
Zum einen normiert Abs. 1 in Bezug auf die Verwendung personenbezo- 2 gener Daten durch Unternehmen der Presse eine Rahmenvorschrift für die Länder1. Die Presse wird insoweit privilegiert, als nur einzelne datenschutzrechtliche Regelungen wie etwa das Datengeheimnis (§ 5) auf sie Anwendung finden. Das Aufeinandertreffen einer freien Presse mit dem Anspruch des Einzelnen auf den Schutz seiner persönlichen Daten zwingt den Gesetzgeber zu einem besonderen Ausgleich zwischen Pressefreiheit (Art. 5 Abs. 1 Satz 2 GG)2 und allgemeinem Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG). Diesen Ausgleich fordert gleichfalls das Europarecht (vgl. Art. 9 EG-Datenschutzrichtlinie)3. Der Bundesgesetzgeber löst das Spannungsverhältnis, indem er die Presse von der Einhaltung der Datenschutzvorschriften des BDSG weitgehend freistellt. Gemeinhin ist daher vom „Medienprivileg“ die Rede4. Der 1 Der Bundesgesetzgeber hat nach Art. 75 Abs. 1 Nr. 2 GG a.F. (der nach Art. 125a Abs. 1 Satz 1 GG auch nach der Föderalismusreform 2006 als Bundesrecht fortwirkt) im Bereich der Presse lediglich eine Rahmenkompetenz, siehe dazu m.w.N. Taeger/Gabel/Westphal, § 41 BDSG Rz. 10. Zur historischen Entwicklung der Norm vgl. Taeger/Gabel/Westphal, § 41 BDSG Rz. 2 ff. sowie Simitis/Dix, § 41 BDSG Rz. 1 ff. 2 Ausführlich und grundsätzlich zur Pressefreiheit Groß, VR 2005, 261 ff. 3 Nach Art. 9 der RL 95/46/EG ist für die Verarbeitung personenbezogener Daten, die „allein zu journalistischen, künstlerischen oder literarischen Zwecken erfolgt“ ein Ausgleich zwischen dem Recht der freien Meinungsfreiheit und dem Recht auf Privatsphäre herzustellen. Zur Frage, ob § 41 Abs. 1 BDSG die Richtlinie europarechtskonform umsetzt, vgl. Simitis/Dix § 41 BDSG Rz. 6. 4 Vgl. nur Gola/Schomerus, § 41 BDSG Rz. 4; der BGH spricht von einer „Sonderstellung der Medien“, MMR 2009, 608 (610) (spickmich.de). Der Begriff „Medienprivileg“ wird mitunter kritisiert, vgl. Simitis/Dix, § 41 BDSG Rz. 2, wie auch Taeger/Gabel/Westphal, § 41 BDSG Rz. 14 ff.: Der Begriff Privileg würde dabei nicht hinreichend zum Ausdruck bringen, dass es um einen Aus-
Plath/Frey 941
BDSG § 41
Sondervorschriften
BGH hat dies unlängst damit gerechtfertigt, dass journalistisches Arbeiten „ohne die Erhebung, Verarbeitung und Nutzung personenbezogener Daten auch ohne Einwilligung der jeweils Betroffenen nicht möglich“ sei1. 3 Zum anderen normieren die Abs. 2–4 (wie auch § 42) besondere datenschutzrechtliche Regelungen für die Deutsche Welle2. Die Deutsche Welle ist als einzige Rundfunkanstalt des Bundes für den Auslandsrundfunk zuständig3. II. Medienprivileg (Abs. 1) 4 Im Rahmen des sog. „Medienprivilegs“ werden die Länder lediglich verpflichtet, bestimmte datenschutzrechtliche Regelungen als Mindeststandard4 zu erlassen, den die Presse einhalten muss. Dies bedeutet im Umkehrschluss: (i) Der Betroffene kann, soweit das Medienprivileg greift, nicht die allgemeinen Rechte nach §§ 33 ff. geltend machen; (ii) die Presse bedarf keiner gesetzlichen Erlaubnisnorm oder einer Einwilligung (vgl. den Grundsatz nach § 4 Abs. 1), um personenbezogene Daten zu verwenden. Die Presse unterliegt nicht der staatlichen Kontrolle durch die Aufsichtsbehörden5.
1
2 3
4 5
gleich zweier gleichrangiger Verfassungsgüter, d.h. nicht um eine Privilegierung, sondern um praktische Konkordanz gehe. Das BVerfG betont immer wieder den Stellenwert der freien Presse als konstituierend für die freiheitlich-demokratische Grundordnung und bezeichnet dabei auch die Geheimhaltung der Informationsquellen und das Vertrauensverhältnis zu den Informanten als unentbehrlich (vgl. etwa BVerfG, NJW 2007, 1117 – Cicero), so dass man durchaus von einer Privilegierung sprechen kann, so auch Caspar, NVwZ 2010, 1452, Fn. 1; vgl. auch Gola/Schomerus, § 41 BDSG Rz. 4: Die Presse darf nicht in ihrem Wesensgehalt beeinträchtigt werden. So der BGH v. 23.6.2009 – VI ZR 196/08, MMR 2009, 608 (610) – spickmich.de; zu der dennoch laut gewordenen Kritik des Presserats an der Unterwerfung der freien Presse unter das Datenschutzrecht Schrader, DuD 2000, 68. Grundsätzlich zum Spannungsverhältnis zwischen Rundfunkfreiheit und informationeller Selbstbestimmung Dörr, ZUM 2004, 536 (539 ff.). Die Deutsche Welle ist nach § 1 Abs. 1 DWG eine Anstalt des öffentlichen Rechts und damit eine öffentliche Stelle i.S.d. §§ 1 Abs. 2 Nr. 1, 2 Abs. 1 BDSG. Vgl. BT-Drucks. 14/4329, S. 46. Vgl. dazu auch Simitis/Dix, § 41 BDSG Rz. 2.
942 Plath/Frey
Erhebung, Verarbeitung und Nutzung durch die Medien
§ 41 BDSG
1. Anwendungsbereich a) Persönlicher Anwendungsbereich Adressaten des Abs. 1 sind ausschließlich Unternehmen oder Hilfs- 5 unternehmen der Presse1. Das Privileg des Abs. 1 ist demnach nicht auf Vertreter anderer Medien anwendbar, so dass insbesondere der öffentlich-rechtliche und der private Rundfunk aus dem Anwendungsbereich der Norm herausfallen2. Dem Bundesgesetzgeber fehlt hier die Gesetzgebungskompetenz; die jeweiligen Regelungen finden sich in den Rundfunkstaatsverträgen3, in den Landesdatenschutz- und in den Landesrundfunkgesetzen4. Zu den Unternehmen der Presse gehören alle Stellen, die bei der Erstel- 6 lung von Printmedien mitwirken. Dies sind insbesondere die Verlage (z.B. Zeitungs-, Zeitschriften- und Buchverlage), aber auch Journalisten, professionell-journalistische Blogger5, Fotografen und Buchautoren6. Zu den Hilfsunternehmen der Presse gehören dagegen alle Stellen, auf deren Mitwirkung die Presseunternehmen angewiesen sind, um ihren journalistisch-redaktionellen Zweck zu erfüllen. Unter diesen Begriff fallen insbesondere Nachrichtenagenturen7, Pressekorrespondenten und
1 Die Definition der Presse entspricht dem formellen Pressebegriff gem. Art. 5 Abs. 1 Satz 2 GG, vgl. Simitis/Dix, § 41 BDSG Rz. 9; auf inhaltliche, d.h. qualitative Maßstäbe kommt es nicht an. 2 Das datenschutzrechtliche Schutzniveau unterscheidet sich in Bezug auf Presse und Rundfunk, was vielfach kritisiert wird, vgl. dazu Taeger/Gabel/Westphal, § 41 BDSG Rz. 19 m.w.N.; Eberle, MMR 2008, 508 (511); Caspar, NVwZ 2010, 1451 (1452); Kloepfer, AfP 2005, 118. 3 Für den privaten Rundfunk gilt zunächst § 47 RStV: Verwiesen wird auf die entsprechenden Normen des TMG (§§ 11–15 TMG). Normiert wird gleichzeitig auch ein Auskunfts- und Berichtigungsanspruch, vgl. dazu Hahn/Vesting, § 47 RStV Rz. 7 ff. Für den öffentlich-rechtlichen Rundfunk gelten diese Bestimmungen nicht, vgl. Bergmann/Möhrle/Herb, Teil III MMuD, Rz. 4.2.2. Daneben trifft § 57 RStV in Bezug auf das Angebot von Telemedien durch privaten und öffentlich-rechtlichen Rundfunk und Presse inhaltsgleiche Regelungen zu § 41 BDSG, vgl. Hahn/Vesting, § 57 RStV Rz. 4 ff. 4 Vgl. etwa § 41 Abs. 1 NDR-StV, wonach das HmbDSG auch für den NDR gilt; § 49 Abs. 1 WDR-Gesetz verweist auf das Datenschutzgesetz in NRW; für den privaten Rundfunk auf Länderebene vgl. etwa § 37 Medienstaatsvertrag HSH, der wiederum auf § 47 RStV verweist. 5 Ebenso Simitis/Dix, § 41 BDSG Rz. 11. 6 So auch Taeger/Gabel/Westphal, § 41 BDSG Rz. 22; Simitis/Dix, § 41 BDSG Rz. 11. 7 Vgl. etwa § 7 Abs. 2 Satz 1 HmbPG.
Plath/Frey 943
7
BDSG § 41
Sondervorschriften
Materndienste1. Es kommt nicht auf die Einbindung dieser Hilfsunternehmen in eine redaktionelle Organisationsstruktur, sondern vielmehr auf den konkreten journalistisch-publizistischen Zweck der Datenverarbeitung durch diese Hilfsunternehmen an2. Damit fallen Unternehmen, die rein unterstützende Funktionen wahrnehmen, ohne dass diese einen Beitrag zur journalistisch-redaktionellen Pressetätigkeit i.e.S. leisten (z.B. Zusteller), nicht unter das Medienprivileg nach Abs. 1. 8 Privilegiert sind dagegen (auch pressefremde) Unternehmen, soweit sie publizistisch tätig sind. Dies bedeutet, dass sich beispielsweise auch die Herausgeber einer Werks- oder Vereinszeitung auf Abs. 1 berufen können3. b) Sachlicher Anwendungsbereich 9 Das Unternehmen muss personenbezogene Daten ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken erheben, verarbeiten oder nutzen. Dieses Merkmal ist aufgrund der hohen Bedeutung der Pressefreiheit weit auszulegen4. Damit ist es ausreichend, aber auch erforderlich, dass die (geplante) Veröffentlichung zumindest ein Mindestmaß an journalistischer Aufbereitung (Berichterstattung, Meinungsbildung, Recherche) bietet. Publikationen, die keine redaktionellen Zwecke verfolgen, wie z.B. Telefon-, Branchen- und Adressverzeichnisse, aber auch unaufbereitete Anzeigenblätter, sind demzufolge nicht privilegiert5. 1 Taeger/Gabel/Westphal, § 41 BDSG Rz. 22; Bergmann/Möhrle/Herb, § 41 BDSG Rz. 17; Simitis/Dix, § 41 BDSG Rz. 2 Grabitz/Hilf/Brühann, Sekundärrecht A. EG-Verbraucher- und Datenschutzrecht, Art. 9 Rz. 7; vgl. auch EuGH v. 16.12.2008 – C-73/07, Rz. 58, CR 2009, 229 – Satamedia: Das Privileg gilt nicht nur für Medienunternehmen, sondern für jeden, der journalistisch tätig ist. 3 Dies ist umstritten, a.A. Schaffland/Wilfang, § 41 BDSG Rz. 6. Unter den formellen Pressebegriff fallen diese Tätigkeiten eindeutig, sie genießen das Privileg eben nur im Rahmen ihrer redaktionellen Tätigkeit; enger Bergmann/Möhrle/Herb, § 41 BDSG Rz. 16 sowie Simitis/Dix, § 41 BDSG Rz. 11: Es bedarf einer abgetrennten Organisationseinheit. 4 A.A. Groß, VR 2005, 261, 266, wonach das Medienprivileg im Hinblick auf die Bedeutung der informationellen Selbstbestimmung eher restriktiv auszulegen ist. 5 Vgl. Gola/Schomerus § 41 BDSG Rz. 10; ebenso Groß, VR 2005, 261 (266); auch die Veröffentlichung von unveränderten und nicht redaktionell bearbeiteten amtlichen Mitteilungen fällt nicht unter Abs. 1, vgl. Simitis/Dix, § 41 BDSG Rz. 10; entsprechend auch in den Landespressegesetzen, vgl. etwa § 7 Abs. 3 Nr. 1 HmbPG.
944 Plath/Frey
Erhebung, Verarbeitung und Nutzung durch die Medien
§ 41 BDSG
Unter das Privileg fällt der gesamte Prozess der journalistisch-redaktionellen oder literarischen Arbeit, von der Informationsbeschaffung bis zur Veröffentlichung selbst. Dabei ist es unerheblich, ob es tatsächlich zu einer Veröffentlichung kommt.
10
Die personenbezogenen Daten müssen ausschließlich für die redaktio- 11 nelle Arbeit verwendet werden und für die Öffentlichkeit bestimmt sein1. Die Verwendung von Daten, die auch oder nur Zwecken der Abwicklung, Verwaltung oder Vermarktung dienen (beispielsweise die Verwendung von Personal-, Abonnenten- oder Lieferantendaten) ist nicht privilegiert2. Die Dokumentation und Archivierung personenbezogener Daten zu publizistischen Zwecken ist hingegen privilegiert. Der BGH hat digitale Pressedatenbanken unter den Schutz des Presseprivilegs gestellt3. Umstritten ist, ob auch die „elektronische Presse“ selbst in den Anwen- 12 dungsbereich des § 41 fällt. Diese Frage beschäftigte die Gerichte in jüngerer Zeit wiederholt, da von ihrer Beantwortung abhängt, ob die allgemeinen Normen des BDSG – insbesondere die §§ 28, 29 – anwendbar sind. Voraussetzung für das Eingreifen des Medienprivilegs gemäß § 41 ist in jedem Fall, dass eine journalistisch-redaktionelle Aufarbeitung der verwendeten personenbezogenen Daten erfolgt4. Im Kern steht also die Abgrenzung zwischen der reinen Übermittlung bzw. bloßen Zusammenstellung von Daten im Internet und deren redaktionell-inhaltlicher Aufbereitung infrage. In diesem Zusammenhang hat der BGH eine Privilegierung gemäß Abs. 1 der Datenverwendung durch das Lehrerbewer-
1 An Auflagenhöhe und Verbreitungsgrad sind keine hohen Anforderungen zu stellen, vgl. Gola/Schomerus § 41 BDSG Rz. 10. 2 Vgl. dazu auch Caspar, NvWZ 2010, 1451 (1454 f.), der zu Recht darauf hinweist, dass insoweit das Medienprivileg eng auszulegen ist; Gola/Schomerus, § 41 BDSG Rz. 8 u. 10. 3 BGH v. 15.12.2009 – VI ZR 227/08, CR 2010, 184 = NJW 2010, 757 (759) – Sedlmayr I (unter Anwendung des Medienprivilegs in § 17 Abs. 1 Deutschlandradio-Staatsvertrag; BGH v. 9.2.2010 – VI ZR 244/08, NJW 2010, 2432 (2435) – Sedlmayr II (unter Anwendung des Medienprivilegs in § 57 Abs. 1 RStV; BGH v. 20.4.2010 – VI ZR 245/08, NJW 2010, 2728 (2730) – Sedlmayr III (unter Anwendung des Medienprivilegs in § 57 Abs. 1 RStV); kritisch Simitis/Dix, § 41 BDSG Rz. 17 wie auch Caspar, NVwZ 2010, 1451 81455. 4 BGH, MMR 2009, 608 (610) (spickmich.de). Nach Simitis/Dix, § 41 BDSG Rz. 9 müssen Telemediendienste darüber hinaus auch die Datenschutzregelungen für Mediendienste einhalten. Dies kann allerdings nur für Bestands- und Nutzungsdaten gelten, für Inhaltsdaten gilt das Medienprivileg abschließend.
Plath/Frey 945
BDSG § 41
Sondervorschriften
tungsportal „spickmich.de“ abgelehnt1. Der BGH urteilte, dass die bloße automatische Auflistung fremder redaktioneller Beiträge noch keine eigene journalistisch-redaktionelle Gestaltung sei2. Damit war der Weg frei für die Anwendbarkeit des BDSG, hier des § 293. Hingegen hat das LG Köln ein Internetportal, das vorhandenes Bildmaterial mit historischen und architektonischen Informationen verknüpft („Bilderbuch Köln“), unter das Medienprivileg gestellt und diesem gerade eine solche „eigenständige meinungsbildende Wirkung für die Allgemeinheit“ attestiert4. Um das datenschutzrechtliche Medienprivileg zu genießen, muss das Angebot also einen journalistisch-redaktionellen Mehrwert aufweisen können5. Es geht also darum, redaktionelle von allgemeinen Meinungsäußerungen, also die Pressefreiheit von der Meinungsäußerungsfreiheit abzugrenzen6. Andernfalls besteht das Risiko, dass Datenbanken oder Internetforen unter Berufung auf das Medienprivileg leichtfertig die Einhaltung datenschutzrechtlicher Vorschriften umgehen könnten7. 1 Kritisch generell zur Anwendung des § 41 BDSG auf Bewertungsportale im Internet Simitis/Dix, § 41 BDSG Rz. 11: Das Medienprivileg sei kein allgemeines „Meinungsprivileg“; bezweifelt wird darüber hinaus, ob es einer Anknüpfung an § 41 BDSG überhaupt bedarf, nachdem § 57 Abs. 1 RStV die speziellere Regelung für das Angebot von Telemedien durch die Presse beinhalte, vgl. Greve/ Schärdel, MMR 2009, 613. Für die Frage, ob § 41 BDSG die Anwendung der datenschutzrechtlichen Normen sperrt, erscheint es allerdings richtig, zunächst den Begriff der Presse im Sinne der bundesrechtlichen Rahmenvorschrift zu definieren. 2 Zustimmend Roggenkamp, K&R 2009, 565; Gounalakis/Klein, NJW 2010, 566 (568); Spindler/Schuster, § 41 BDSG Rz. 1; kritisch vor dem Hintergrund, dass insbesondere Social Media wie Twitter oder Facebook heutzutage eine erhebliche Bedeutung für die Meinungsbildung haben Feldmann, AnwBl. 2011, 250 (251, 252); vor diesem Hintergrund fordert Weichert die Einführung einer eigenständigen Norm für die Meinungskundgabe im Internet am Vorbild des § 29a BDSG, AnwBl. 2011, 252 ff. 3 Vgl. dazu näher § 29 BDSG Rz. 25. 4 LG Köln, MMR 2010, 278 (279) (Bilderbuch Köln); dieser Ansicht folgt auch Härting, und kommt zu dem Schluss, dass mit dieser Argumentation auch der Internetdienst Google Street View unter das Medienprivileg falle, BB 2010, 839 (843); a.A. zu Google Street View Ott, WRP 2011, 655 (684). 5 Vgl. dazu auch Roggenkamp, K&R 2009, 565 und Weichert, VuR 2009, 323 (324): „Privilegiert sind im Bereich des Internets nur Online-Verlage mit redaktionellen Strukturen“. 6 So Weichert, VuR 2009, 323 (325). 7 So zu Recht Simitis/Dix, § 41 BDSG Rz. 11; vgl. auch den Beschluss des Düsseldorfer Kreises vom 18.4.2008, abrufbar unter http://www.bfdi.bund.de/DE/ Entschliessungen/DuesseldorferKreis/DKreis_node.html.
946 Plath/Frey
Erhebung, Verarbeitung und Nutzung durch die Medien
§ 41 BDSG
Soweit Angebote der „elektronischen Presse“ als Telemediendienste zu 13 qualifizieren sind, müssen u.U. die Regelungen des TMG beachtet werden. Dieser Umstand wirkt sich jedoch nicht auf die Anwendbarkeit des Medienprivilegs gemäß Abs. 1 aus, da sich die vorrangige Anwendbarkeit der Regelungen des TMG, insbesondere der §§ 12 ff. TMG, lediglich auf die Verwendung von Daten beschränkt, die im Zusammenhang mit der Erbringung des Telemediendienstes selbst in Verbindung stehen (z.B. die Verwendung von Anmeldedaten). Die Verwendung von Inhaltsdaten1 richtet sich dagegen nach den allgemeinen Regelungen des BDSG, so dass auf eine Verwendung personenbezogener Daten durch Telemediendienste, die im Zusammenhang mit journalistisch-redaktionellen Tätigkeiten steht, weiterhin § 41 anwendbar ist. 2. Vorgaben für die Landesgesetzgebung Die Länder müssen Vorschriften erlassen, die den § 5 (Datengeheimnis), 14 § 9 (Technische und organisatorische Maßnahmen), § 38a (Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen) entsprechen und eine § 7 (Schadensersatz) entsprechende Haftungsregelung enthalten. Dem sind die Länder grundsätzlich (wenn auch minimalistisch2) nachgekommen3. Darüber hinaus gibt es berufsethische Maßstäbe im Pressekodex des Deutschen Presserats4. Dort sind zahlreiche Richtlinien mit Bezug zum Datenschutzrecht niedergelegt, wie etwa zur Datenübermittlung zu journalistisch-redaktionellen Zwecken (Richtlinie 5.3). Schließlich regelt die Beschwerdeordnung des Deutschen Presserats ausdrücklich auch die Möglichkeit der Beschwerde des Einzelnen beim Deutschen Presserat im Falle einer Verletzung des Datenschutzrechts durch ein Presseunternehmen5.
1 Zur Abgrenzung vgl. TMG-Kommentierung, dort § 12 Rz. 20, § 14 Rz. 2 ff. und § 15 Rz. 12. 2 So zu Recht Kloepfer, AfP 2005, 118. 3 Vgl. etwa § 11a HmbPG, Art. 10a BayPrG; ausführlich dazu Simitis/Dix, § 41 BDSG Rz. 24 ff. § 57 RStV schließt die Lücke für das Angebot von Mediendiensten durch Presse und Rundfunk, vgl. dazu Thomale, AfP 2009, 105. 4 Abrufbar unter http://www.presserat.info/inhalt/der-pressekodex/einfuehrung. html. Presseverbände haben diesem Pressekodex zugestimmt, es handelt sich um eine freiwillige Selbstverpflichtung. 5 Vgl. dazu Kloepfer, AfP 2005, 118; kritisch Taeger/Gabel/Westphal, § 41 BDSG Rz. 29 ff.
Plath/Frey 947
BDSG § 41
Sondervorschriften
III. Deutsche Welle (Abs. 2–4) 15 Die Abs. 2–4 erweitern die Rechte des Betroffenen im Falle von Persönlichkeitsrechtsverletzungen durch eine Berichterstattung der Deutschen Welle um spezifische datenschutzrechtliche Ansprüche. Der Betroffene hat einen Anspruch auf die Speicherung von Gegendarstellungen (Abs. 2) sowie einen Auskunfts- und einen Berichtigungsanspruch (Abs. 3). 16 Im Lichte der verfassungsrechtlich garantierten Pressefreiheit unterscheiden sich diese Ansprüche von den allgemeinen Ansprüchen im BDSG und können erst dann geltend gemacht werden, wenn eine Rechtsverletzung bereits eingetreten ist1. Diese speziellen Normen verdrängen damit die §§ 19 ff. (Rechte des Betroffenen gegenüber öffentlichen Stellen). 17 Abs. 2 flankiert den presserechtlichen Gegendarstellungsanspruch. Hat jemand einen solchen Anspruch auf Gegendarstellung, so muss die Deutsche Welle dies im Kontext mit der Speicherung der entsprechenden personenbezogenen Daten vermerken. Mit dem Namen einer Person wird also beispielsweise vermerkt, dass diese Person wegen eines Berichts einen Anspruch auf Gegendarstellung geltend gemacht hat. Dies soll Wiederholungsfälle verhindern. In der journalistischen Praxis sind derartige (Sperr-)Vermerke üblich. Abs. 2 räumt nun dem Betroffenen gegenüber der Deutschen Welle einen Rechtsanspruch darauf ein. Der Vermerk muss gespeichert werden, bis die entsprechenden personenbezogenen Daten gelöscht werden. 18 Abs. 3 gewährt dem Betroffenen ein Auskunftsrecht über seine von der Deutschen Welle gespeicherten personenbezogenen Daten. Darüber hinaus kann der Betroffene die Berichtigung unrichtiger Daten verlangen. 19 Inhalt des Auskunftsanspruchs sind allein die personenbezogenen Daten, die der Berichterstattung zugrundeliegen. Anders als nach § 19 (Auskunftsanspruch gegenüber öffentlich-rechtlichen Stellen) erstreckt sich der Anspruch nicht auf die Auskunft über die Herkunft und die Empfänger der Daten. 1 Nach Taeger/Gabel/Westphal, § 41 BDSG Rz. 40 soll es einen Anspruch auf Auskunft auch und bereits dann geben, wenn konkrete Anhaltspunkte für eine persönlichkeitsrechtsverletzende Berichterstattung vorliegen. Gegen eine entsprechende Anwendung der Norm spricht allerdings, dass der Auskunftsanspruch ausdrücklich eng gefasst ist und damit eine Analogie systematisch ausschließt.
948 Plath/Frey
Datenschutzbeauftragter der Deutschen Welle
§ 42 BDSG
Grenze des Auskunftsanspruchs sind der Schutz der eigenen Redakteure 20 sowie der Informantenschutz. Die Deutsche Welle kann die Auskunft im Rahmen einer Interessenabwägung verweigern, wenn sie damit auch ihre jeweiligen Redakteure (Nr. 1) oder andere Nachrichtenquellen (Nr. 2) preisgeben würde. Schließlich besteht auch dann ein Auskunftsverweigerungsrecht, wenn die Deutsche Welle sich insgesamt in ihrer journalistischen Arbeit beeinträchtigt sieht (Nr. 3). Abs. 4 Satz 1 legt fest, welche Vorschriften des BDSG weiterhin auf die 21 Deutsche Welle Anwendung finden. Es handelt sich um § 5 (Datengeheimnis), § 7 (Schadensersatz), § 9 (Datensicherung) und § 38a (Verhaltensregeln). Abs. 4 Satz 2 bestimmt schließlich, dass der Bundesbeauftragte für den Datenschutz (vgl. §§ 23 ff.) keine Zuständigkeit für die Deutsche Welle hat. Die Deutsche Welle hat ihren eigenen Datenschutzbeauftragten (vgl. § 42) und dies sowohl für ihre inhaltliche Arbeit als auch für ihre Verwaltungsaufgaben. IV. Verweise/Kontext Die Regelungen des RStV (§ 47 RStV, § 57 RStV) gehen dem § 41 BDSG vor, soweit sie sich auf den Umgang mit personenbezogenen Daten beziehen (vgl. § 1 Abs. 3 BDSG).
22
Das Presseprivileg schließt zwar die Anwendung der allgemeinen datenschutzrechtlichen Normen aus, lässt aber die zivilrechtlichen Ansprüche, die dem Betroffenen wegen der Verletzung seines Persönlichkeitsrechts zustehen, unberührt.
23
Datenschutzbeauftragter der Deutschen Welle (1) 1Die Deutsche Welle bestellt einen Beauftragten für den Datenschutz, der an die Stelle des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit tritt. 2Die Bestellung erfolgt auf Vorschlag des Intendanten durch den Verwaltungsrat für die Dauer von vier Jahren, wobei Wiederbestellungen zulässig sind. 3Das Amt eines Beauftragten für den Datenschutz kann neben anderen Aufgaben innerhalb der Rundfunkanstalt wahrgenommen werden.
42
(2) 1Der Beauftragte für den Datenschutz kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz. 2Er ist in Ausübung dieses Amtes unabhängig und nur dem
Plath/Frey 949
BDSG § 42
Sondervorschriften
Gesetz unterworfen. 3Im Übrigen untersteht er der Dienst- und Rechtsaufsicht des Verwaltungsrates. (3) Jedermann kann sich entsprechend § 21 Satz 1 an den Beauftragten für den Datenschutz wenden. (4) 1Der Beauftragte für den Datenschutz erstattet den Organen der Deutschen Welle alle zwei Jahre, erstmals zum 1. Januar 1994 einen Tätigkeitsbericht. 2Er erstattet darüber hinaus besondere Berichte auf Beschluss eines Organes der Deutschen Welle. 3Die Tätigkeitsberichte übermittelt der Beauftragte auch an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. (5) 1Weitere Regelungen entsprechend den §§ 23 bis 26 trifft die Deutsche Welle für ihren Bereich. 2Die §§ 4f und 4g bleiben unberührt. I. Einführung . . . . . . . . . . . . . . . .
1
II. Stellung und Aufgaben . . . . . .
2
III. Verweise/Kontext . . . . . . . . . . 11
Schrifttum: Binder, Rundfunk Berlin-Brandenburg: Senderfusion als Vorbild der Länderfusion?, LKV 2003, 355; Dörr, Freies Wort, freies Bild und freie Berichterstattung vs. Datenschutz? Die Fortentwicklung der kommunikativen Freiheit durch den Datenschutz, ZUM 2004, 536; Hein, Rundfunkspezifische Aspekte des neuen Bundesdatenschutzgesetzes, NJW 1991, 2614; Neue Rundfunkfinanzierung – neue Datenschutzprobleme? – Datenschutzrechtliche Normen im neuen Rundfunkbeitragsstaatsvertrag, MMR 2011, 232; vgl. auch die Literaturhinweise zu § 41.
I. Einführung 1 Der Auslandsrundfunk Deutsche Welle hat einen eigenen Datenschutzbeauftragten1. Dieser tritt an die Stelle des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und übernimmt dessen Aufgaben, womit die Staatsferne des Rundfunks bestätigt wird2.
1 Einen guten Überblick über die Stellung und die Aufgaben der verschiedenen Datenschutzbeauftragten auf Bundes- und Landesebene und in den Medienanstalten geben Bergmann/Möhrle/Herb, § 42 BDSG Rz. 42 ff. 2 Zur Entwicklung der Norm vgl. Taeger/Gabel/Westphal, § 42 BDSG Rz. 3 m.w.N.; vgl. auch Hein, NJW 1991, 2614; grundsätzlich zum Spannungsverhältnis zwischen Rundfunkfreiheit und informationeller Selbstbestimmung Dörr, ZUM 2004, 536 (539 ff.).
950 Plath/Frey
Datenschutzbeauftragter der Deutschen Welle
§ 42 BDSG
II. Stellung und Aufgaben Nach Abs. 1 Satz 2 wählt der Verwaltungsrat der Deutschen Welle den Datenschutzbeauftragten auf Vorschlag des Intendanten für einen Zeitraum von vier Jahren (Wiederwahl zulässig)1.
2
Der Datenschutzbeauftragte ist nach Abs. 2 Satz 2 unabhängig und in dieser Funktion keinen Weisungen, sondern allein dem Gesetz unterworfen. Dies bedeutet, dass er insoweit keiner Fachaufsicht, sondern allein der Rechtsaufsicht unterliegt2. Darüber hinaus muss auch gewährleistet werden, dass das Verfahren zu seiner Ernennung ebenfalls staatsfern ist3.
3
Diskutiert wird, ob die Ausübung der Rechtsaufsicht europarechts- 4 konform ist. Denn Art. 28 der EG-Datenschutzrichtlinie spricht von „völliger Unabhängigkeit“ der Kontrollstellen4. Nach der hier vertretenen Meinung ist allerdings die Ausübung der Rechtsaufsicht mit der EG-Datenschutzrichtlinie vereinbar. Denn die Rechtsaufsicht impliziert nicht mehr als die Gesetzmäßigkeit (nicht die Zweckmäßigkeit) des Handelns und steht einer unabhängigen Stellung nicht entgegen5. Richtigerweise wird man die Rechtsaufsicht allerdings auf eine Evidenzbzw. Willkürkontrolle beschränken müssen6. Im Übrigen (also soweit er keine datenschutzrechtliche Kontrolle ausübt) unterliegt der Datenschutzbeauftragte der Fach- und Rechtsaufsicht des Verwaltungsrates (Abs. 2 Satz 3).
5
Er kann neben seiner datenschutzrechtlichen Funktion auch weitere 6 Aufgaben innerhalb der Deutschen Welle innehaben (vgl. Abs. 1 Satz 3)7. Im Übrigen kann er, muss aber nicht Angestellter der Deutschen Welle
1 2 3 4 5
Vgl. auch Hein, NJW 1991, 2614. Vgl. Gola/Schomerus, § 42 BDSG Rz. 3a; Dörr, ZUM 2004, 536 (543 ff.). Dörr, ZUM 2004, 536 (545). Zum Meinungsstreit vgl. Taeger/Gabel/Westphal, § 42 BDSG Rz. 12 ff. Im Übrigen ist bereits fraglich, was unter einer „völligen Unabhängigkeit“ zu verstehen ist, da der Begriff „völlig“ nicht technisch verstanden werden kann. 6 So Taeger/Gabel/Westphal, § 42 BDSG Rz. 31. 7 Kritisch zum „Teilzeitmodell“ Simitis/Walz, § 42 BDSG Rz. 2. Der Begriff „Amt“ im Wortlaut des Gesetzes ist im Übrigen untechnisch zu verstehen, denn es handelt sich nicht um ein öffentlich-rechtliches Amtsverhältnis, vgl. Bergmann/Möhrle/Herb, § 42 BDSG Rz. 17.
Plath/Frey 951
BDSG § 42
Sondervorschriften
sein. Denkbar ist auch ein externer Datenschutzbeauftragter (entsprechend § 4f Abs. 2)1. 7 Die Deutsche Welle erlässt Regelungen entsprechend der §§ 23–26, um die Stellung ihres Datenschutzbeauftragten konkret auszugestalten. Der Verweis auf die §§ 4f und 4g bedeutet, dass die Deutsche Welle dabei die Stellung ihres Datenschutzbeauftragten entsprechend den allgemeinen Regelungen ausgestalten muss2. Nach anderer Ansicht soll der Verweis der Deutschen Welle die Möglichkeit geben, weitere interne Datenschutzbeauftragte zu benennen3. 8 Der Datenschutzbeauftragte kontrolliert die Einhaltung datenschutzrechtlicher Normen, sowohl in der redaktionellen Arbeit der Deutschen Welle als auch in Verwaltungsangelegenheiten4. Aufgrund des Medienprivilegs nach § 41 kontrolliert er damit im journalistisch-redaktionellen Bereich nur die §§ 5, 7, 9, 38a und die §§ 41, 42 (vgl. § 41 Abs. 4). Die Deutsche Welle bietet nach § 3 Abs. 1 DWG auch Telemedien an. Insoweit muss der Datenschutzbeauftragte auch die für Telemedien einschlägigen Datenschutzregelungen kontrollieren5. 9 Jedermann kann sich entsprechend der Regelung des § 21 an den Datenschutzbeauftragten wenden (Abs. 3). Vorgetragen werden muss also eine eigene Rechtsverletzung6. 10 Der Datenschutzbeauftragte übermittelt sowohl den Organen der Deutschen Welle (also gem. § 24 DW-Gesetz dem Rundfunkrat, dem Verwaltungsrat und dem Intendanten) als auch dem Bundesbeauftragten für den Datenschutz alle zwei Jahre seinen Tätigkeitsbericht (Abs. 4). Im 1 Zur Vermeidung von Interessenkonflikten vgl. Bergmann/Möhrle/Herb, § 42 BDSG Rz. 18 ff. und Taeger/Gabel/Westphal, § 42 BDSG Rz. 6 ff. 2 Wie hier Simitis/Walz, § 42 BDSG Rz. 8; Hein, NJW 1991, 2614; zur umstrittenen Frage, wie die Verweisung auszulegen ist vgl. Taeger/Gabel/Westphal, § 42 BDSG Rz. 20 m.w.N. 3 So Bergmann/Möhrle/Herb, § 42 BDSG Rz. 41; Däubler/Klebe/Wedde/Weichert/Wedde, § 42 BDSG Rz. 1 und 7; dies hat die Deutsche Welle getan, sie hat einen Datenschutzbeauftragten und einen betrieblichen Beauftragten für den Datenschutz, vgl. das Organigramm unter „Organisation“ auf der Webseite http://www.dw-world.de. 4 Zur Besonderheit bei der Datenschutzkontrolle der GEZ durch den Rundfunkbeauftragten für den Datenschutz und durch den Landesdatenschutzbeauftragten Herb, MMR 2011, 232 (233). 5 Vgl. Simitis/Walz, § 42 BDSG Rz. 4. Auch im Übrigen sind spezielle Vorschriften wie etwa das TKG zu beachten. 6 Das DWG regelt die Anrufung in § 20 als lex specialis, so dass § 42 Abs. 3 BDSG überflüssig ist, vgl. Bergmann/Möhrle/Herb, § 42 BDSG Rz. 3.
952 Plath/Frey
Informationspflicht bei unrechtmäßiger Kenntniserlangung
§ 42a BDSG
Wege der europarechtskonformen Auslegung ist dieser Bericht auch zu veröffentlichen (vgl. Art. 28 Abs. 5 Satz 2 EG-Datenschutzrichtlinie)1. III. Verweise/Kontext Die Rundfunkanstalten der Länder verfügen über eigene Datenschutzbeauftragte, vgl. z.B. § 41 Abs. 2 NDR-Staatsvertrag2. Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten
42a
1Stellt
eine nichtöffentliche Stelle im Sinne des § 2 Absatz 4 oder eine öffentliche Stelle nach § 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte 1. besondere Arten personenbezogener Daten (§ 3 Absatz 9), 2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen, 3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. 2Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. 3Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. 4Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. 5Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund
1 Der aktuelle Bericht ist unter http://www.dw-world.de/popups/popup_pdf/ 0„3185036,00.pdf abrufbar. 2 Vgl. auch Binder, LKV 2003, 355 (358) zur Datenschutzkontrolle nach dem RBB-StV.
Plath/Frey/Hullen 953
11
BDSG § 42a
Sondervorschriften
der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. 6Eine Benachrichtigung, die der Benachrichtigungspflichtige erteilt hat, darf in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen ihn oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des Benachrichtigungspflichtigen nur mit Zustimmung des Benachrichtigungspflichtigen verwendet werden. I. Einführung . . . . . . . . . . . . . . . .
1
II. Benachrichtigungspflichtige Stelle (Satz 1) . . . . . . . . . . . . . .
3
III. Voraussetzungen . . . . . . . . . . . 1. Besonders sensible Daten (Satz 1 Nr. 1–4). . . . . . . . . . . . . 2. Anhaltspunkte für Kenntniserlangung und Beeinträchtigung (Satz 1) . . . . . . . . . . . . .
5 5
IV. Benachrichtigungspflicht (Satz 1, 2–5) . . . . . . . . . . . . . . . . 10 1. Benachrichtigung des Betroffenen (Satz 2, 3 und 5) . . . . . . . 11 2. Benachrichtigung der Aufsichtsbehörde (Satz 4) . . . . . . . 16 V. Verwertungsverbot und Sanktionen (Satz 6) . . . . . . . . . . . . . . 17
6
Schrifttum: Duisberg/Picot, Rechtsfolgen von Pannen in der Datensicherheit, CR 2009, 823; Eckhardt/Schmitz, Informationspflicht bei „Datenschutzpannen, DuD 2010, 390; Dorn, Informationspflicht bei Datenschutzpannen: Wie geht man mit § 42a BDSG um?, DSB 7+8 2011, S. 16; Ernst, Datenverlust und die Pflicht zur Öffentlichkeit, DuD 2010, 472; Hanloser, Europäische Security Breach Notification: Änderung des § 42a BDSG erforderlich?, DSB 2010, Nr. 3, 8; Höhne, Benachrichtigungspflichten bei unrechtmäßiger Kenntniserlangung von Daten durch Dritte – Informationspflichten bei Datenpannen nach der BDSG-Novelle II gemäß § 42a BDSG, § 15a TMG und § 93 Abs. 3 TKG, jurisPR-ITR 20/2009 Anm. 3; Hornung, Informationen über „Datenpannen“ – Neue Pflichten für datenverarbeitende Unternehmen, NJW 2010, 1841; Regnery, Datenleck beim Zoll: Forderung nach Security Breach Notice für Behörden, ZD 1/2011, VIII; Robrecht, Überblick über wesentliche Neuerungen der BDSG-Novelle II, ZD 2011, 23; Spies, USA: Pflichtmitteilungen bei einem Bruch der Datensicherheit, MMR 2008, Heft 5, S. XIX.
I. Einführung 1 Die Norm statuiert eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von besonders sensiblen personenbezogenen Daten und (drohender) schwerwiegender Beeinträchtigung von Rechten oder schutzwürdigen Interessen der Betroffenen. Die Informationspflicht trifft hier-
954 Hullen
Informationspflicht bei unrechtmäßiger Kenntniserlangung
§ 42a BDSG
bei lediglich nichtöffentliche Stellen und gleichgestellte öffentlich-rechtliche Wettbewerbsunternehmen (siehe unten Rz. 3). Neben der Pflicht, Betroffene und zuständige Aufsichtsbehörde unver- 2 züglich zu informieren, müssen dem Betroffenen zudem Handlungsempfehlungen zur Schadensminimierung übermittelt werden. Die Aufsichtsbehörde ist über mögliche nachteilige Folgen und über getroffene Gegenmaßnahmen zu informieren. Neben Information und Schadensbegrenzung bezweckt die Regelung eine Präventivwirkung durch Publizität. Wer verpflichtet wird, Datenpannen aufzudecken, wird im Vorfeld regelmäßig höhere Maßstäbe zu ihrer Verhinderung anlegen1. Die Norm, die am 1.9.2009 in Kraft trat, geht auf einen Vorschlag der Europäischen Union zur Änderung der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation2 sowie auf vergleichbare Regelungen im US-amerikanischen Recht zur Data oder Security Breach Notification zurück3. Bereichsspezifische Benachrichtigungspflichten finden sich in § 15a TMG und § 109a TKG4. II. Benachrichtigungspflichtige Stelle (Satz 1) Zur Informierung über die unrechtmäßige Kenntniserlangung von Da- 3 ten sind gem. Abs. 1 Halbs. 1 nichtöffentliche Stellen nach § 2 Abs. 4 (siehe dort Rz. 15) sowie öffentlich-rechtliche Wettbewerbsunternehmen nach § 27 Abs. 1 Satz 1 Nr. 2 (siehe § 27 Rz. 19) verpflichtet. Die Einschränkung des Adressatenkreises wird zu Recht kritisiert5. Es ist nicht einzusehen, warum das Schutzbedürfnis der Betroffenen bei Datenpannen öffentlicher Stellen anders zu beurteilen ist als bei einer unrechtmäßigen Kenntniserlangung von sensiblen Daten, die bei nichtöffentlichen Stellen gespeichert sind6.
1 2 3 4
So auch Däubler/Klebe/Wedde/Weichert/Weichert, § 42a BDSG Rz. 2. KOM(2007) 698 endg., S. 36. Ausführlich Roßnagel/Dix, § 42a BDSG Rz. 1. Siehe zum Verhältnis zu anderen Vorschriften sowie zur allgemeinen Schadensminderungspflicht Taeger/Gabel/Gabel, § 42a BDSG Rz. 3. 5 Siehe z.B. Regnery, ZD 1/2011, VIII und Hornung, NJW 2010, 1841 (1842), der zu Recht auf den Widerspruch zu den Regelungen in TMG und TKG hinweist, deren Anwendungsbereich insoweit nicht eingeschränkt ist. 6 So auch Schaar, Zwei Jahre Informationspflichten bei Datenpannen, PM 30/2011 v. 31.8.2011, der eine Erstreckung der Informationspflichten auch auf staatliche Stellen fordert.
Hullen 955
BDSG § 42a
Sondervorschriften
4 Eine eigenständige Benachrichtigungspflicht für Auftragsdatenverarbeiter i.S.v. § 11 besteht nicht. Zum einen legt Abs. 1 fest, dass Daten, die unrechtmäßig zur Kenntnis Dritter gelangt sind, bei der nichtöffentlichen Stelle bzw. bei dem öffentlich-rechtlichen Wettbewerbsunternehmen selbst gespeichert sein müssen („… bei ihr gespeicherte … Daten“)1. Zum anderen sind die Pflichten, die den datenverarbeitenden Auftragnehmer treffen, in § 11 Abs. 4 aufgezählt. Ein Verweis auf § 42a wurde trotz Anregung des Bundesrates nicht aufgenommen2. Im Außenverhältnis bleibt also der Auftraggeber verantwortlich, wobei der Auftragnehmer verpflichtet ist, diesen über etwaige Datenpannen zu informieren (siehe auch § 11 Abs. 2 Satz 2 Nr. 8). III. Voraussetzungen 1. Besonders sensible Daten (Satz 1 Nr. 1–4) 5 Die Informationspflichten werden nur bei unrechtmäßiger Kenntniserlangung der in Satz 1 Nr. 1–4 abschließend aufgezählten Arten besonders sensibler Daten ausgelöst. Hierbei handelt es sich zum einen um besondere Arten personenbezogener Daten i.S.v. § 3 Abs. 9 (Nr. 1, siehe hierzu auch § 3 Rz. 76). Auch personenbezogene Daten, die einem Berufsgeheimnis unterfallen (Nr. 2), gehören zum Anwendungsbereich der Norm (siehe auch § 39 Rz. 5). Dies sind z.B. Daten, die einem Arzt, Rechtsanwalt oder Steuerberater anvertraut wurden. Zudem fallen Daten, die in Zusammenhang mit (dem Verdacht auf) strafbare Handlungen oder Ordnungswidrigkeiten (Nr. 3) anfallen in den Anwendungsbereich der Norm. Gleiches gilt aufgrund des hohen Schadensrisikos3 auch für Daten über Bank- und Kreditkartenkonten4 (Nr. 4; bspw. Banknamen, Konto- und Kreditkartennummer, Daten zum Online-Banking). 2. Anhaltspunkte für Kenntniserlangung und Beeinträchtigung (Satz 1) 6 Die verantwortliche Stelle, die Daten nach Satz 1 Nr. 1–4 speichert, muss tatsächliche Anhaltspunkte dafür haben, dass eine unrechtmäßige Kenntniserlangung durch Dritte erfolgt ist. Die Hinweise können dabei aus eigenem betrieblichem Umfeld, insbesondere vom Beauftragten für den Datenschutz (siehe § 4g) vom Betroffenen oder von Strafverfolgungs1 2 3 4
Roßnagel/Dix, § 42a BDSG Rz. 3. BT-Drucks. 16/12011, S. 41. Ähnlich Gola/Schomerus, § 42a BDSG Rz. 3. Ausführlich hierzu Roßnagel/Dix, § 42a BDSG Rz. 5.
956 Hullen
Informationspflicht bei unrechtmäßiger Kenntniserlangung
§ 42a BDSG
behörden stammen. Unerheblich ist, ob die Daten dabei unrechtmäßig i.S.v. § 3 Abs. 4 Nr. 3 übermittelt wurden oder ob Dritte in sonstiger Weise (bspw. durch das Eindringen in ein Computersystem oder das Auffinden eines verlorenen Datenträgers) Kenntnis erlangen. Über die unrechtmäßige Kenntnisnahme der Daten muss bei der ver- 7 antwortlichen Stelle keine absolute Gewissheit herrschen1. Jedoch ist die bloße Möglichkeit einer Kenntnisnahme nicht ausreichend2. Erst, wenn tatsächliche Anhaltspunkte auf eine hohe Wahrscheinlichkeit der Kenntnisnahme schließen lassen, wird die Benachrichtigungspflicht ausgelöst3. Im Zweifelsfall ist jedoch von einer Kenntnisnahme der sensiblen Daten auszugehen, um den Zweck der gesetzlichen Regelung nicht ins Leere laufen zu lassen4. Eine Kenntnisnahme der Daten lässt sich in aller Regel vermeiden, wenn die Daten dem Stand der Technik entsprechend stark verschlüsselt wurden, insbesondere wenn diese auf mobilen Datenträgern gespeichert wurden. Zudem muss eine Beeinträchtigung der Rechte oder schutzwürdigen 8 Interessen der Betroffenen drohen oder bereits eingetreten sein. Ob eine solche Beeinträchtigung droht, ist anhand der Art der sensiblen Daten und der (potentiellen) Auswirkungen der Kenntniserlangung durch Dritte zu beurteilen. Hierbei sind nicht nur drohende oder bereits eingetretene materielle Schäden zu beachten, wie z.B. im Falle der unberechtigten Kenntnisnahme von Kreditkartendaten, sondern auch soziale Nachteile, die durch eine unrechtmäßige Verwendung der Daten eintreten können (bspw. im Falle des Identitätsbetrugs)5. Die Einschätzung, ob eine konkrete6 schwerwiegende Beeinträchtigung 9 der Rechte und schutzwürdigen Interessen des Betroffenen droht, ist aufgrund einer Gefahrenprognose der verantwortlichen Stelle vorzunehmen. Hierbei ist zum Zeitpunkt des Bekanntwerdens der (mutmaßlichen) Kenntniserlangung eine Bewertung anhand eines objektiven Maßstabs unter Einbeziehung aller bekannten Tatsachen und Anhaltspunkte vorzunehmen7. Hierbei ist zu beachten, dass die Anforderungen an die
1 2 3 4
Taeger/Gabel/Gabel, § 42a BDSG Rz. 17. Taeger/Gabel/Gabel, § 42a BDSG Rz. 17. Roßnagel/Dix, § 42a BDSG Rz. 8 mit Beispielen. Roßnagel/Dix, § 42a BDSG Rz. 8, im Ergebnis auch Dorn, DSB 2011, 7+8 S. 18. 5 BT-Drucks. 16/12011, S. 34. 6 Vgl. Eckhardt/Schmitz, DuD 2010, 390 (392). 7 Taeger/Gabel/Gabel, § 42a BDGS Rz. 20.
Hullen 957
BDSG § 42a
Sondervorschriften
Eintrittswahrscheinlichkeit umso geringer sind, je schwerer die zu befürchtende Beeinträchtigung beim Betroffenen ausfallen wird1. IV. Benachrichtigungspflicht (Satz 1, 2–5) 10 Nach Satz 1 der Norm sind zuständige Aufsichtsbehörde (regelmäßig nach § 38, bei Post- und Telekommunikationsbehörden der BfDI nach § 24) und Betroffene im Falle der unrechtmäßigen Kenntniserlangung der Daten (siehe oben Rz. 6) unverzüglich, d.h. ohne schuldhaftes Zögern (§ 121 BGB) der zuständigen Stelle2 – unter Einbeziehung des Beauftragten für den Datenschutz – über die Datenpanne zu informieren. 1. Benachrichtigung des Betroffenen (Satz 2, 3 und 5) 11 Das Erfordernis der unverzüglichen Benachrichtigung des Betroffenen wird durch Satz 2 eingeschränkt. Ein schuldhaftes Zögern ist zum einen dann nicht gegeben, wenn Datensicherungspflichten (Variante 1) oder Interessen der Strafverfolgung (Variante 2) einer Bekanntgabe gegenüber dem Betroffenen entgegen stehen. Aufgrund der Verschwiegenheitspflicht der Aufsichtsbehörden gilt diese Einschränkung nur für die Benachrichtigung des Betroffenen. Variante 1 bezweckt die Möglichkeit der Behebung des Datenlecks vor Bekanntgabe an eine Vielzahl von Personen3. Hierdurch soll verhindert werden, dass es zu einem weiteren Ausnutzen etwaiger Sicherheitslücken und somit zu einer Schadensvertiefung kommen kann. Die Behebung der Sicherheitslücken muss umgehend und ihrerseits ohne schuldhaftes Zögern erfolgen4. Variante 2 stellt sicher, dass die Benachrichtigung nicht zu einer Beeinträchtigung der Strafverfolgung bei Datenverlusten mit strafrechtlich relevantem Hintergrund führt5. Bestehen Zweifel über die strafrechtliche Relevanz des Datenschutzverstoßes, sollte frühzeitig eine Stellungnahme der Strafverfolgungsbehörden eingeholt werden6. Die Information des Betroffenen hat im Fall des Satzes 2 vorläufig zu unterbleiben7. 12 Satz 3 legt den Inhalt der Benachrichtigung des Betroffenen fest. Dieser ist über die Art der unrechtmäßigen Kenntniserlangung zu unterrichten, 1 2 3 4 5 6 7
Roßnagel/Dix, § 42a BDSG Rz. 9; Taeger/Gabel, § 42a BDGS Rz. 20. BT-Drucks. 16/12011, S. 34. BT-Drucks. 16/12011, S. 34. Roßnagel/Dix, § 42a BDSG Rz. 12. BT-Drucks. 16/12011, S. 34. Taeger/Gabel/Gabel, § 42a BDSG Rz. 23. Däubler/Klebe/Wedde/Weichert/Weichert, § 42a BDSG Rz. 10.
958 Hullen
Informationspflicht bei unrechtmäßiger Kenntniserlangung
§ 42a BDSG
also darüber, wie die Daten Dritten unberechtigt zur Kenntnis gelangt sind (bspw. interne Weitergabe von Datenbeständen, Verlust von Datenträgern, Hackerangriffe etc.). Darüber hinaus sind Handlungsempfehlungen zur Schadensminimierung auszusprechen, wie bspw. die Installation von Software-Updates zum Schließen einer kritischen Sicherheitslücke, die Kontrolle von Kontoauszügen auf unberechtigte Abbuchungen1 oder das Austauschen von Passwörtern oder Chipkarten2. Die Benachrichtigung muss dabei für den Betroffenen verständlich gestaltet sein, wobei die Anforderungen je nach Adressatenkreis (bspw. technische Laien oder Computerexperten) variieren können, wobei zur Vermeidung von „Trittbrettfahrern“ keinesfalls alle technischen Details der Datenpanne offengelegt werden müssen3. Darüber hinaus sollte den Betroffenen mitgeteilt werden, welche Arten 13 von Daten Dritten zur Kenntnis gelangt sind, soweit dies nicht aus den Umständen des Datenverlustes selbst ersichtlich ist. Diese verantwortliche Stelle ist hierzu nicht gesetzlich verpflichtet, doch wird das Vertrauen des Betroffenen in eine ordnungsgemäße Datenverarbeitung noch stärker beeinträchtigt, wenn lediglich mitgeteilt wird, dass ein Datenleck vorlag, nicht hingegen, welche Daten betroffen sind4. Auch eine Benachrichtigung über Maßnahmen, die die verantwortliche Stelle zur Wiederherstellung der Datensicherheit getroffen hat, ist regelmäßig sinnvoll5. Die Form der Benachrichtigung des Betroffenen ist nicht vorgeschrie- 14 ben. Zweckmäßig ist jedoch eine Information in Textform (§ 126b BGB), z.B. durch die Versendung von E-Mails6. Die Benachrichtigung der Betroffenen kann mit einem unverhältnismäßigen Aufwand an Kosten und Zeit einhergehen. Dies gilt insbesondere dann, wenn die Kontaktdaten einer Vielzahl von Betroffenen nicht ohne weiteres zu ermitteln sind. In diesem Fall befreit Satz 5 der Norm die verantwortliche Stelle vom Erfordernis der Individualbenachrichtigung, wenn die Öffentlichkeit durch halbseitige Anzeigen, die in mindestens zwei bundesweit erscheinenden Tageszeitungen7 oder durch gleich wirksame Maßnahmen informiert wird. Bei letzteren ist abhängig 1 2 3 4 5 6 7
Taeger/Gabel/Gabel, § 42a BDSG Rz. 24. Roßnagel/Dix, § 42a BDSG Rz. 14. Simitis/Dix, § 42a BDSG Rz. 12. So auch Taeger/Gabel/Gabel, § 42a BDSG Rz. 24. Simitis/Dix, § 42a BDSG Rz. 16. Siehe z.B. Hornung, NJW 2010, 1841 (1843). Zur Kritik an dieser Vorgabe Simitis/Dix, § 42a BDSG Rz. 17 m.w.N.
Hullen 959
15
BDSG § 42a
Sondervorschriften
vom Adressatenkreis z.B. an eine Bekanntgabe über soziale Netzwerke, einschlägige Blogs oder Nachrichtenportale im Internet zu denken. Sind die Auswirkungen des Datenlecks lediglich regional begrenzt, kommt auch eine Veröffentlichung in einer Zeitung mit entsprechend eingeschränktem Verbreitungsgebiet in Betracht1. 2. Benachrichtigung der Aufsichtsbehörde (Satz 4) 16 Die zuständige Aufsichtsbehörde muss gem. Satz 4 zwecks Beurteilung der Gefährdungslage nicht nur über die Art des Datenlecks und eine Darlegung möglicher nachteiliger Folgen informiert werden, sondern auch über die von der verantwortlichen Stelle ergriffenen Gegenmaßnahmen. Anhand letzterer Information soll die Aufsichtsbehörde zudem beurteilen können, ob die Datenpanne bereits beseitigt wurde2. Die Ausnahmen des Satzes 2 bzgl. der Pflicht zur sofortigen Benachrichtigung gelten hier nicht. Ebenso wenig kann die Pflicht der Benachrichtigung der Aufsichtsbehörden durch eine Veröffentlichung der relevanten Informationen in der Tagespresse (siehe oben Rz. 15) erfüllt werden3. V. Verwertungsverbot und Sanktionen (Satz 6) 17 Satz 6 statuiert ein strafrechtliches Verwertungsverbot, das demjenigen zugute kommt, der der Benachrichtigungspflicht unterliegt. Ähnliche Regelungen finden sich auch in anderen Vorschriften, z.B. in § 97 Abs. 1 Satz 2 InsO. Durch das Verwertungsverbot wird der Konflikt zwischen dem Nemo-tenetur-Grundsatz, nach dem niemand an seiner eigenen Strafverfolgung mitwirken muss, und der als Ordnungswidrigkeit behandelten, unterlassener Mitteilung nach Satz 1 aufgelöst4. Bei juristischen Personen kommt Satz 6 regelmäßig keine Bedeutung zu, eine Ausnahme besteht bspw. bei der Ein-Mann-GmbH5. 18 Nach § 43 Abs. 2 Nr. 7, Abs. 3 kann derjenige, der Aufsichtsbehörde oder Betroffene nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig informiert, zur Zahlung eines Bußgeldes von bis zu 300 000 Euro verpflichtet werden.
1 2 3 4
Bergmann/Möhrle/Herb, § 42a BDSG Rz. 16; Simitis/Dix, § 42a BDSG Rz. 17. BT-Drucks. 16/12011, S. 35. Taeger/Gabel/Gabel, § 42a BDSG Rz. 27. Siehe BT-Drucks. 16/12011, S. 35, die jedoch durch ein Redaktionsversehen von dem Betroffenen statt von dem Benachrichtigungspflichtigen spricht. 5 Ausführlich Taeger/Gabel/Gabel, § 42a BDSG Rz. 31.
960 Hullen
§ 43 BDSG
Bußgeldvorschriften
Fünfter Abschnitt Schlussvorschriften Bußgeldvorschriften
43 1.
2.
2a. 2b.
3.
3a. 4. 4a. 5.
6.
7. 7a.
(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig entgegen § 4d Abs. 1, auch in Verbindung mit § 4e Satz 2, eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, entgegen § 4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6, einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, entgegen § 10 Absatz 4 Satz 3 nicht gewährleistet, dass die Datenübermittlung festgestellt und überprüft werden kann, entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt, entgegen § 28 Abs. 4 Satz 2 den Betroffenen nicht, nicht richtig oder nicht rechtzeitig unterrichtet oder nicht sicherstellt, dass der Betroffene Kenntnis erhalten kann, entgegen § 28 Absatz 4 Satz 4 eine strengere Form verlangt, entgegen § 28 Abs. 5 Satz 2 personenbezogene Daten übermittelt oder nutzt, entgegen § 28a Abs. 3 Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht, entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise ihrer glaubhaften Darlegung nicht aufzeichnet, entgegen § 29 Abs. 3 Satz 1 personenbezogene Daten in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse aufnimmt, entgegen § 29 Abs. 3 Satz 2 die Übernahme von Kennzeichnungen nicht sicherstellt, entgegen § 29 Abs. 6 ein Auskunftsverlangen nicht richtig behandelt,
Becker 961
BDSG § 43
Schlussvorschriften
7b. entgegen § 29 Abs. 7 Satz 1 einen Verbraucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, 8. entgegen § 33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt, 8a. entgegen § 34 Absatz 1 Satz 1, auch in Verbindung mit Satz 3, entgegen § 34 Absatz 1a, entgegen § 34 Absatz 2 Satz 1, auch in Verbindung mit Satz 2, oder entgegen § 34 Absatz 2 Satz 5, Absatz 3 Satz 1 oder Satz 2 oder Absatz 4 Satz 1, auch in Verbindung mit Satz 2, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder entgegen § 34 Absatz 1a Daten nicht speichert, 8b. entgegen § 34 Abs. 2 Satz 3 Angaben nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt, 8c. entgegen § 34 Abs. 2 Satz 4 den Betroffenen nicht oder nicht rechtzeitig an die andere Stelle verweist, 9. entgegen § 35 Abs. 6 Satz 3 Daten ohne Gegendarstellung übermittelt, 10. entgegen § 38 Abs. 3 Satz 1 oder Abs. 4 Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder eine Maßnahme nicht duldet oder 11. einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 zuwiderhandelt. (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet, 2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält, 3. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft, 4. die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht, 5. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1, die übermittelten Daten für andere Zwecke nutzt, 5a. entgegen § 28 Absatz 3b den Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig macht,
962 Becker
§ 43 BDSG
Bußgeldvorschriften
5b. entgegen § 28 Absatz 4 Satz 1 Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung verarbeitet oder nutzt, 6. entgegen § 30 Absatz 1 Satz 2, § 30a Absatz 3 Satz 3 oder § 40 Absatz 2 Satz 3 ein dort genanntes Merkmal mit einer Einzelangabe zusammenführt oder 7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht. (3) 1Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden. 2Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. 3Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden. I. Einführung . . . . . . . . . . . . . . . .
1
II. Täterschaft . . . . . . . . . . . . . . . .
6
III. Verfahrensverstöße (Abs. 1) . .
8
V. Rechtswidrigkeit und Schuld (Vorsatz, Fahrlässigkeit) . . . . . 13 VI. Verfahren, Bußgeld. . . . . . . . . . 15
IV. Materiell-rechtliche Verstöße (Abs. 2) . . . . . . . . . . . . . . . . . . . 11 Schrifttum: Barton, „Beihilfe durch Unterlassen“? – Zur strafrechtlichen Verantwortung des betrieblichen Datenschutzbeauftragten i.S.d. §§ 13, 27 StGB bei Nichterfüllung seiner gesetzlichen Pflichten, RDV 2010, 247; Bestmann, „Und wer muß zahlen?“ – Datenschutzrecht im Internet – die Bußgeldvorschriften, K&R 2003, 496; Binder, Computerkriminalität und Datenfernübertragung, RDV 1995, 116; Erbs/Kohlhaas, Strafrechtliche Nebengesetze, Bundesdatenschutzgesetz, 183. Ergänzungslieferung Januar 2011; Forst, Grundfragen der Datenschutz-Compliance, DuD 2010, 160; Holländer, Datensündern auf der Spur. Bußgeldverfahren ungeliebtes Instrument der Datenschutzaufsichtsbehörden?, RDV 2009, 215; Pätzel, Zur Offenkundigkeit von Halterdaten, NJW 1999, 3246; Weichert, Datenschutzstrafrecht – ein zahnloser Tiger?, NStZ 1999, 490; Wybitul/ Reuling, Umgang mit § 44 BDSG im Unternehmen, CR 2010, 829.
I. Einführung Die Bußgeld- und Strafvorschriften des BDSG sind vor allem für private 1 Unternehmen relevant. Obwohl Bußgeld- und Strafverfahren auf der Grundlage der §§ 43, 44 bis heute – verglichen mit der überragenden Rolle der Datenverarbeitung für das Wirtschaftsleben – eher selten sind, ist die Bedeutung der §§ 43, 44 in der Unternehmenswirklichkeit nicht zu unterschätzen. Während die zivilrechtlichen Sanktionen von Datenschutzverstößen aus Sicht der Unternehmen ein geringeres DrohpotenBecker 963
BDSG § 43
Schlussvorschriften
zial haben und „kalkulierbar“ erscheinen (vgl. dazu § 7 Rz. 1), ist die Sorge vor Bußgeld- und Strafverfahren, ihren Folgen für die Unternehmensleitung und ihrer negativen Öffentlichkeitswirkung groß. Auch der mit einem Bußgeld- oder Strafverfahren mittelbar verbundene wirtschaftliche „Schaden“ kann beträchtlich sein1. Dabei geht es weniger um das Bußgeld selbst (zur Höhe unten Rz. 17). Vor allem Aufwand und Kosten für Maßnahmen, um nach einem Datenschutzskandal in kurzer Zeit und umfassend auf „Musterschüler“-Niveau zu gelangen, sind häufig enorm2. Dies auch deshalb, weil im Rahmen von nachfolgenden Prüfungen durch die Behörden regelmäßig weitere Missstände aufgedeckt und bemängelt werden, die über den Anlass des ursprünglichen Verfahrens weit hinausgehen können. 2 Es wird überwiegend vertreten, dass die Bußgeldtatbestände vor allem des § 43 Abs. 2 und die darauf aufbauende Strafnorm des § 44 als allgemeine datenschutzrechtliche Regelungen auch über die Verletzung von Bestimmungen des BDSG hinaus für die Verletzung sonstigen materiellen Datenschutzrechts anwendbar sind, soweit dem nicht in Bezug auf die konkrete Norm die Subsidiarität des BDSG entgegensteht3. Dem ist jedoch zu widersprechen. Sofern der Gesetzgeber keine hinreichend eindeutige und klare Verweisungsnorm in ein datenschutzrechtliches Nebengesetz aufgenommen hat4, fehlt es an einer rechtsstaatlichen Grundlage zur Anwendung von bußgeld- oder strafrechtlichen Sanktionen5. 3 Als sanktionswürdig stellen sich in der Ahndungspraxis der Behörden vor allem der achtlose Umgang mit Daten und der Datensicherheit, die
1 Rechtlich sind die Aufwendungen zur Herstellung eines gesetzeskonformen Zustands selbstverständlich kein Schaden und können weder beim „Verursacher“ liquidiert werden noch kann sich das Unternehmen hiergegen versichern. 2 Vgl. nur TB LfD Berlin 2009, LT-Drucks. 16/3377, S. 118 ff. (Deutsche Bahn); 5. TB NÖB Baden-Württemberg 2007/2009, LT-Drucks. 14/4963, S. 20 f. (Discounter-Kette); zu Compliance-Maßnahmen im Datenschutz Forst, DuD 2010, 160 ff. 3 Gola/Schomerus, § 43 BDSG Rz. 18; Simitis/Ehmann, § 43 BDSG Rz. 18 ff.; kritisch, aber im Ergebnis zustimmend Roßnagel/Bär, Handbuch Datenschutzrecht, 2003, Teil 5.7 Rz. 6. 4 Fraglich z.B. § 21g Abs. 4 EnWG, der zwar ausdrücklich auf § 43 Bezug nimmt, aber lediglich davon spricht, die Regelung sei zu „beachten“. 5 Vgl. BVerfG v. 8.3.1990 – 2 BvR 1463/88, NStZ 1990, 394; BVerfG v. 6.5.1987 – 2 BvL 11/85, BVerfGE 75, 329; Göhler/Gürtler, OWiG, 16. Aufl. 2012, Vor § 1 Rz. 17, 18.
964 Becker
Bußgeldvorschriften
§ 43 BDSG
Nichtmeldung von Datenlecks, die eine Gefahrenlage (z.B. für Kontendaten) verursachen (siehe auch Kommentierung zu § 42a), die missbräuchliche Nutzung von Mitarbeiterdaten (z.B. durch Videoüberwachung) und die bewusst unberechtigte Kommerzialisierung von Verbraucherdaten dar. Für das Verständnis der Ahndungspraxis1 von besonderer Bedeutung ist 4 das – bisherige – Selbstverständnis der zuständigen Landesdatenschutzbehörden in Bezug auf die Verhängung von Bußgeldern. Die Behörden sehen ihre Aufgabe in erster Linie gerade nicht darin, hohe Bußgelder oder überhaupt Bußgelder zu verhängen2. Die Behörden sehen vielmehr ihre Beratungsfunktion im Vordergrund (vgl. auch § 4d Abs. 6 Satz 3, § 4g Abs. 1 Satz 2, § 38 Abs. 1 Satz 2, § 38a Abs. 2). Auch wenn die repressive Tätigkeit bei sich bessernder Personalausstattung mehr in den Vordergrund rückt, begnügen sich die Behörden vielfach bewusst mit Hinweisen zu erforderlichen Maßnahmen und der Umsetzungskontrolle durch Vor-Ort-Prüfungen3. Bisher wird dementsprechend nur vereinzelt von Seiten der Behörden der ausdrückliche Wille bekundet, verstärkt auch das bußgeld- und strafrechtliche Instrumentarium zu nutzen, um allfälligen Datenschutzverstößen entgegenzuwirken4. Andererseits sind die Behörden ausdrücklich um eine weitere Professionalisierung der Bußgeldpraxis bemüht; der Düsseldorfer Kreis hat offenbar eine Arbeitsgruppe Sanktionen eingerichtet, die vom Berliner Beauftragten für Datenschutz und Informationsfreiheit geleitet wird5. Generalpräventive
1 Zur historischen Entwicklung und „Fallzahlen“, vgl. Simitis/Ehmann, § 43 BDSG Rz. 79 ff. 2 Vgl. z.B. 23. TB LfD Hamburg 2010/2011, LT-Drucks. 20/3570, S. 197 („Bußgeldverhängung steht nicht im Vordergrund der Aufsichtstätigkeit“); 20. TB LfD Niedersachen 2009/2010, LT-Drucks. 16/4240, S. 62, 64 („zunächst Verfolgung eines kooperativen Ansatzes“, „primär verfolgte Zweck der Beratung“); 22. TB LfD Rheinland-Pfalz 2008/2009, LT-Drucks. 15/4300, S. 49 („Einleitung von OWi-Verfahren nur dann, wenn Datenschutzverstöße mit der verantwortlichen Stelle nicht geklärt und nicht freiwillig beseitigt werden konnten“); 5. TB NÖB Sachen-Anhalt 2009/2011, S. 33 („Bußgeldverfahren nicht im Vordergrund“, „mehr Interesse daran, durch Aufklärung und Beratung datenschutzgerechtes Verhalten künftig sicherzustellen, als Verstöße in der Vergangenheit zu ahnden.“). 3 20. TB LfD Niedersachen 2009/2010, LT-Drucks. 16/4240, S. 27. 4 Z.B. Tätigkeitsbericht LfD Berlin 2011, S. 153 („Bußgeld- sowie Strafverfahren sind daher wichtige Instrumente, um Verstöße gegen Datenschutzvorschriften zu sanktionieren.“). 5 Vgl. TB LfD Berlin 2011, S. 153.
Becker 965
BDSG § 43
Schlussvorschriften
Aspekte rücken dabei zunehmend stärker in den Vordergrund1. Naturgemäß wird ein besonderes Augenmerk auf größeren Unternehmen und Unternehmen in besonders sensiblen Branchen (Banken, Versicherungen, Gesundheitswesen, Marktforschung und Marketing, Call-Center) liegen. Es ist auch davon auszugehen, dass künftig vermehrt von der Möglichkeit einer Verbandsstrafe Gebrauch gemacht werden wird, ggf. gestützt auf eine Aufsichtspflichtverletzung (§§ 30, 130 OWiG)2. Ferner ist zu erwarten, dass Datenschutzbehörden in Einzelfall die Einleitung von Bußgeldverfahren auch dazu verwenden, um die Bereitwilligkeit von Unternehmen zu fördern, Verhaltensänderungen vorzunehmen oder entsprechende „Vereinbarungen“ zu treffen3. 5 Die EG-Datenschutzrichtlinie überlässt den Mitgliedstaaten die geeignete Sanktionierung von Datenschutzverstößen4. Die Art der Sanktionen ist nicht vorgegeben, der deutsche Gesetzgeber hat insoweit einen weiten Gestaltungsspielraum5. II. Täterschaft 6 Dem § 43 liegt der allgemeine Täterbegriff des Ordnungswidrigkeitenrechts zu Grunde. Es gilt der Einheitstäterbegriff, der nicht zwischen Täterschaft, Anstiftung und Beihilfe unterscheidet (§ 14 Abs. 1 Satz 1 OWiG)6. Das unterschiedliche Maß der Beteiligung wird in erster Linie auf der Rechtsfolgenseite bei der Zumessung des Bußgeldes oder im Rahmen des Opportunitätsprinzips (§ 47 Abs. 1 OWiG) berücksichtigt7. Es ist nicht erforderlich, dass der Täter zu einer verantwortlichen Stelle (§ 3 Abs. 7) gehört; beide Absätze des § 43 sind zunächst „Jedermann“-Tatbestände8. Allerdings muss der Täter oder Beteiligte i.S.d. § 14 OWiG die besonderen täterbezogenen Merkmale des jeweiligen Tatbestandes 1 20. TB LfD Niedersachen 2009/2010, LT-Drucks. 16/4240, S. 62; TB LfD Berlin 2009, LT-Drucks. 16/3377, S. 73 f.; Holländer, RDV 2009, 215 (222). 2 Vgl. TB LfD Berlin 2011, S. 154. 3 23. TB LfD Hamburg 2010/2011, LT-Drucks. 20/3570, S. 166 („Nach Einleitung des Bußgeldverfahrens ist es uns in längeren Verhandlungen gelungen, mit [dem Social-Media-Anbieter] eine Vereinbarung zu erzielen, die … zu erheblichen Verbesserungen für den Datenschutz geführt hat.“). 4 Art. 24 der EG-Datenschutzrichtlinie. 5 Vgl. EuGH v. 7.1.2004 – Rs. C-60/02, Slg. 2004, I-651, Rz. 61, 62 m.w.N.; umfassend auch Simitis/Ehmann, § 43 BDSG Rz. 4 ff.; Roßnagel/Bär, Handbuch Datenschutzrecht, Teil 5.7 Rz. 6. 6 Erbs/Koolhaas/Ambs, Strafrechtliche Nebengesetze, § 43 BDSG Rz. 28. 7 Göhler/Gürtler, OWiG, § 14 Rz. 1, 2; Bohnert, OWiG, § 14 Rz. 1. 8 Gola/Schomerus, § 43 BDSG Rz. 17; Bestmann, K&R 2003, 496 (497).
966 Becker
Bußgeldvorschriften
§ 43 BDSG
erfüllen (z.B. Zuständigkeit für die Beantwortung von Auskunftsverlangen, § 43 Abs. 1 Nr. 7a i.V.m. § 29 Abs. 6)1. Die Bußgelddrohung richtet sich gegen die natürliche Person, welche die verbotene Handlung (§ 1 Abs. 1 OWiG) vornimmt oder das Gebotene unterlässt (§ 8 OWiG)2. Über die Regelungen des § 30 OWiG bzw. § 130 OWiG haftet ggf. jedoch auch das Unternehmen für die datenschutzrechtliche Ordnungswidrigkeit und unterliegt selbst der Bußgelddrohung, wenn eine betriebsbezogene Pflicht verletzt wurde3. Voraussetzung ist, dass entweder ein Organ oder ein sonstiger Repräsentant der juristischen Person gehandelt hat (§ 30 Abs. 1 OWiG) oder seine Aufsichtspflicht über die Mitarbeiter verletzt hat und hierdurch die Ordnungswidrigkeit ermöglicht wurde (§ 130 Abs. 1 OWiG). Der Datenschutzbeauftragte ist nicht Organ i.S.d. §§ 9, 30 OWiG. Auch 7 eine Haftung des Unternehmens für Fehlverhalten des Datenschutzbeauftragten auf der Grundlage des § 130 OWiG erscheint problematisch, weil es gerade zu den Eigenschaften des betrieblichen Datenschutzbeauftragten gehört, dass er fachlich unabhängig und insoweit weisungsfrei4 ist (§ 4f Abs. 3 Satz 2 BDSG; Art. 18 Abs. 2 EG-Datenschutzrichtlinie). Umgekehrt kann aber der Datenschutzbeauftragte, wenn er sich zum Komplizen von Datenschutzverstößen macht, selbst „Teilnehmer“ und damit Täter unter dem Einheitstäterbegriff sein5. Die Unterlassungsverantwortlichkeit (§ 8) wirft dabei besondere Fragen auf. Im Hinblick auf die grundlegende Entscheidung BGHSt 54, 44 (Compliance-Verantwortlicher) stellt sich die Frage, unter welchen Voraussetzungen Datenschutzverantwortliche im Unternehmen und insbesondere auch der betriebliche Datenschutzbeauftragte durch Nichteingreifen in die strafrechtliche Verantwortung geraten6. Der Datenschutzbeauftragte ist dabei grundsätzlich „Überwachergarant“, d.h. ihn trifft grundsätzlich eine Einschreitenspflicht, wenn er die Gefahr von Datenschutzverstößen erkennt (vgl. § 4g Abs. 1 Satz 1 – „wirkt auf die Einhaltung hin“)7. Die Diskussion hierzu steht noch am Anfang.
1 Vgl. OLG Celle v. 14.6.1995 – 2 Ss (OWi) 185/95, RDV 1995, 244 (245); Erbs/ Koolhaas/Ambs, Strafrechtliche Nebengesetze, § 43 BDSG Rz. 4. 2 Erbs/Koolhaas/Ambs, Strafrechtliche Nebengesetze, § 43 BDSG Rz. 4. 3 Göhler/Gürtler, OWiG, § 130 Rz. 18; Bohnert, OWiG, § 130 Rz. 25. 4 Gola/Schomerus, § 4f BDSG Rz. 48 ff. 5 Simitis/Ehmann, § 43 BDSG Rz. 25, 26; Gola/Schomerus, § 43 BDSG Rz. 17. 6 Vgl. allgemein Göhler/Gürtler, OWiG, § 30 Rz. 14 m.w.N.; speziell zum Datenschutzbeauftragten umfassend Barton, RDV 2010, 247 ff. 7 Barton, RDV 2010, 247, 248, 252.
Becker 967
BDSG § 43
Schlussvorschriften
III. Verfahrensverstöße (Abs. 1) 8 Die Regelungen des § 43 Abs. 1 betreffen Verstöße gegen die im Einzelnen aufgezählten Vorschriften, bei denen es sich ganz überwiegend um verfahrensbezogene Regelungen oder formale Anforderungen handelt. Eine Ausnahme bilden insoweit lediglich Nr. 4 und Nr. 6, welche Regelungen mit offenkundig materiellen Gehalt in Bezug nehmen1 (§ 28 Abs. 5 Satz 2 – Zweckbindungsgrundsatz bei der Übermittlung, § 29 Abs. 3 Satz 1 – Aufnahme in Verzeichnisse gegen den erkennbaren Willen des Betroffenen), die aber aus nicht erkennbaren Gründen vom Gesetzgeber als weniger wesentlich angesehen wurden. 9 Eine großer Teil der Tatbestände des § 43 Abs. 2 ist erst durch die drei BDSG-Novellen aus 2009 in das Gesetz gelangt (Nr. 2a, 2b, 3a, 4a, 7a, 7b, 8a, 8c)2. Insoweit ist das Rückwirkungsverbot zu beachten (vgl. §§ 3, 4 OWiG), sofern mit Blick auf die dreijährige Verjährung (unten Rz. 19) ältere Fälle noch Gegenstand von Verfahren werden könnten. Relevant ist das Rückwirkungsverbot auch dort, wo alte Sachverhalte bis in die Gegenwart andauern. Dies ist etwa der Fall im Hinblick auf die Einhaltung des geänderten § 11 bei Auftragserteilungen vor dem 1.9.2009. Für Altverträge kommt eine Anwendung des § 43 Abs. 1 Nr. 2b nicht in Betracht (oben § 11 Rz. 19)3, auch wenn die Vertragsparteien nicht gehindert sind, den geänderten Anforderungen durch Vertragsanpassung freiwillig nachzukommen. Ebenfalls keine Rückwirkung entfaltet § 43 Abs. 1 Nr. 3 soweit er sich auf die geänderte Fassung des § 28 Abs. 4 Satz 2 bezieht, der seit der Novelle v. 14.8.2009 bzw. dem Ablauf der Übergangsfrist (§ 47) verlangt, dass auch bei Begründung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses auf das Widerspruchsrecht gemäß § 28 Abs. 4 Satz 1 hinzuweisen ist. Dies lässt sich bei vor dem Inkrafttreten der Regelung begründeten Schuldverhältnissen naturgemäß nicht mehr nachholen. 10 Im Übrigen kommt es für die Anwendung des § 43 Abs. 1 auf die in Bezug genommenen Regelungen an. § 43 Abs. 1 enthält insoweit BlankettTatbestände4. Auf die jeweilige Kommentierung wird verwiesen5. 1 2 3 4
So zu Recht Simitis/Ehmann, § 43 BDSG Rz. 30. Zu den einzelnen Tatbeständen umfassend Holländer, RDV 2009, 215 (216 ff.). Gola/Schomerus, § 11 BDSG Rz. 28; § 43 BDSG Rz. 6b. Roßnagel/Bär, Handbuch Datenschutzrecht, 2003, Teil 5.7 Rz. 6; siehe auch Göhler/Gürtler, OWiG, Vor § 1 Rz. 17. 5 Vgl. auch Erbs/Koolhaas/Ambs, Strafrechtliche Nebengesetze, § 43 BDSG Rz. 5 ff.; Simitis/Ehmann, § 43 BDSG Rz. 32 ff.; Gola/Schomerus, § 43 BDSG Rz. 4 ff.
968 Becker
Bußgeldvorschriften
§ 43 BDSG
IV. Materiell-rechtliche Verstöße (Abs. 2) Die Regelungen des § 43 Abs. 2 nehmen die verschiedenen materiell- 11 rechtlichen Bestimmungen des BDSG in Bezug. Zugleich sind die Tatbestände des § 43 Abs. 2 Anknüpfungspunkt für die Strafandrohung des § 44. Die Verwendung des Merkmals „unbefugt“ in Nr. 1, 2 oder 3 gibt lediglich das allgemeine Deliktsmerkmal wieder. Daten, die „allgemein zugänglich sind“, sind gemäß der Definition des § 10 Abs. 5 Satz 2 solche, die jedermann sei es ohne oder nach vorheriger Anmeldung in offenen Datenbanken zur Verfügung stehen (dazu § 10 Rz. 32; § 28 Rz. 76 ff.). Der Begriff ist jedoch in § 43 Abs. 2 weiter zu verstehen. Ein Verstoß scheidet auch bei sonstigen offenkundigen Daten aus1. Sind solche allgemein zugänglichen oder offenkundigen Daten Gegenstand der Taten in Nr. 1 bis 4 entfällt der strafwürdige Unwertgehalt. Auch für die Anwendung des § 43 Abs. 2 kommt es auf die jeweils in Be- 12 zug genommen Regelungen an, auf deren Kommentierung verwiesen wird2. V. Rechtswidrigkeit und Schuld (Vorsatz, Fahrlässigkeit) Ein Verstoß gegen die in § 43 Abs. 1, 2 festgelegten Tatbestände indiziert 13 die Rechtswidrigkeit. Das Merkmal „unbefugt“ in Abs. 2 Nr. 1, 2 oder 3 gibt lediglich das allgemeine Deliktsmerkmal der Rechtswidrigkeit wieder (oben Rz. 11). Die allgemeinen Grundsätze des Ordnungswidrigkeiten- und des Strafrechts zum Notstand und zur Notwehr sind anwendbar (§§ 15, 16 OWiG; §§ 32, 34 StGB), dürften aber kaum praktisch werden. Auch sonstige Befugnisnormen außerhalb des BDSG können die Tatbestandlichkeit eines Verstoßes entfallen lassen3. Die Ordnungswidrigkeiten gemäß § 43 Abs. 1 und 2 können vorsätzlich 14 oder fahrlässig begangen werden. Ähnlich wie im Rahmen der Schadensersatzhaftung (§ 7 Rz. 18) stellt sich die Frage, welche Auswirkungen es 1 BGH v. 22.6.2000 – 5 StR 268/99, NStZ 2000, 596; BayObLG v. 18.1.1999 – 5 St RR 173-98, RDV 1999, 124; OLG Hamburg v. 22.1.1998 – I-4/98, RDV 1998, 216 (217); dazu Weichert, NStZ 1999, 490; vgl. zur „Offenkundigkeit“ Pätzel, NJW 1999, 3246. 2 Vgl. auch Erbs/Koolhaas/Ambs, Strafrechtliche Nebengesetze, § 43 BDSG Rz. 19 ff.; Simitis/Ehmann, § 43 BDSG Rz. 53 ff.; Gola/Schomerus, § 43 BDSG Rz. 19 ff. 3 Siehe AG Tiergarten v. 5.10.2006 – 317 OWi 3235/05, NJW Spezial 2007, 47 = DSB 2007, 19 (Zulässigkeit der Auskunftsverweigerung durch Rechtsanwalt unter Berufung auf Anwaltsgeheimnis).
Becker 969
BDSG § 43
Schlussvorschriften
für die Frage des Vorsatzes oder der Fahrlässigkeit bzw. des Vorliegens eines Verbotsirrtums (§ 11 Abs. 2 OWiG) hat, wenn der betriebliche Datenschutzbeauftragte im Rahmen seiner Hinzuziehung zu dem Ergebnis kommen ist, dass z.B. eine Auftragsdatenverarbeitung ordnungsgemäß beauftragt ist (§ 43 Abs. 1 Nr. 2b i.V.m. § 11 Abs. 2 Satz 2) oder die Übermittlung an einen Dritten befugt ist (§ 43 Abs. 2 Nr. 1 i.V.m. § 28 Abs. 1 Satz 1). Auch in Bezug auf die Vorschriften der §§ 43, 44 gehört es richtigerweise zur Konzeption des BDSG, dass dem betrieblichen Datenschutzbeauftragten und seinem Rat eine besondere Rolle im Rahmen der Richtigkeitskontrolle zukommt und die nach bestem Gewissen erteilte Zustimmung oder Freigabe entlastend wirken müsste. Soweit ersichtlich hat diese Frage in behördlichen Entscheidungen bisher keine Rolle gespielt. Dies vielleicht nicht zuletzt deshalb, weil in den Fällen ahndungswürdiger Verstöße ein betrieblicher Datenschutzbeauftragter gar nicht involviert war. In der Praxis der Unternehmen stellt sich die Frage jedoch häufig und sollte dahin zu beantworten sein, dass sich die Mitarbeiter eines Unternehmens auch im Rahmen der §§ 43, 44 auf die positive Stellungnahme des Datenschutzbeauftragten verlassen können, wenn dieser auf der Grundlage angemessene Informationen einen Sachverhalt geprüft hat1. VI. Verfahren, Bußgeld 15 Zuständig für die Verfolgung ist mangels gesetzlicher Regelungen im BDSG das fachlich zuständige Bundesministerium des Innern im Fall der Ausführung des Gesetzes durch die Bundesbehörden (§ 36 Abs. 1 Nr. 2b OWiG). Für nicht-öffentliche Stellen, d.h. vor allem für die privaten Unternehmen, ist jeweils die oberste Landesbehörde zuständig (§ 36 Abs. 1 Nr. 2a OWiG). Die Länder haben durchgängig davon Gebrauch gemacht, die Zuständigkeit auf die nach dem BDSG zuständigen Aufsichtsbehörden zu übertragen (§ 36 Abs. 2 Satz 1 OWiG i.V.m. § 38 BDSG)2. Zuständig für die Verhängung von Bußgeldern gegenüber Unternehmen sind mithin die Landesdatenschutzbeauftragten. Die örtliche Zuständigkeit ist nach § 37 OWiG zu bestimmen. Da „Tatort“ in der Regel der Sitz des Unternehmens ist, wird ein Verfahren zumeist vom Landesdatenschutzbeauftragten am Sitz des Unternehmens geführt. Bei Betroffenheit mehrer Länder koordinieren sich die Landesdatenschutzbehörden3. 1 Vgl. allgemein zur Problematik Göhler/Gürtler, OWiG, § 11 Rz. 23 ff., 26b. 2 Vgl. z.B. für Nordrhein-Westfalen § 34 Abs. 3(b) DSG NRW. 3 Vgl. zum Fall einer Discounter-Kette: 15. TB NÖB Brandenburg 2008/2009, LTDrucks. 5/1803, S. 23 f.; 9. TB LfD Mecklenburg-Vorpommern 2008/2009, LTDrucks. 5/3844, S. 113 f.
970 Becker
Bußgeldvorschriften
§ 43 BDSG
Die Verfolgung von datenschutzrechtlichen Ordnungswidrigkeiten un- 16 terliegt dem allgemeinen Opportunitätsprinzip (§ 47 OWiG). Die zuständige Behörde kann ein Bußgeld verhängen, muss dies jedoch nicht (dazu oben Rz. 4). Vor Erlass eines Bußgeldbescheides ist der Betroffene anzuhören (§ 54 OWiG) und kann Akteneinsicht verlangen (§ 49 Abs. 1 OWiG). Ergeht ein Bußgeldbescheid (§ 66 OWiG) ist hiergegen innerhalb von zwei Wochen nach Zugang der Einspruch zulässig (§§ 67 ff. OWiG). Die Höhe der Geldbuße ist bei den vorsätzlichen Verfahrensverstößen 17 gemäß § 43 Abs. 1 auf 50 000 Euro begrenzt (§ 43 Abs. 3 Satz 1) und bei vorsätzlichen materiell-rechtlichen Verstößen des § 43 Abs. 2 auf 300 000 Euro (§ 43 Abs. 3 Satz 2). Im Falle fahrlässiger Begehung halbieren sich diese Höchstgrenzen (§ 17 Abs. 2 OWiG). Die Begrenzung gilt je Tat, mehrere Geldbußen können aber zusammentreffen; dabei findet keine Gesamtstrafenbildung wie bei § 53 StGB statt, sondern es gilt das Kumulationsprinzip (§ 20 OWiG)1. Bußgelder im unteren fünfstelligen Bereich sind eher die Regel2. Höhere Bußgelder sind eher selten, mit medienwirksamen Ausnahmen in Fällen lange andauernder oder systematischer Verstöße durch große Unternehmen. Die aus den Medien bekannten Fälle schöpfen den Bußgeldrahmen weitgehend aus und kommen durch Kumulation mehrere Bußgelder zu erheblichen Beträgen: ca. 1,1 Mio. Euro gegenüber der Deutschen Bahn (mehrere unzulässiger Mitarbeiter-Screenings)3; zwischen 10 000 und 310 000 Euro (insgesamt ca. 1,46 Mio. Euro) für 35 Gesellschaften einer Discounter-Kette (unzulässige Videoüber- und Detektivüberwachung von Mitarbeitern)4; insgesamt 137 000 Euro für zwei Unternehmen einer Drogeriekette (unzulässige Mitarbeiterkartei)5; 300 000 Euro für eine Auskunftei (beharrlicher Verstoß gegen Meldepflicht)6; 200 000 Euro für eine Sparkasse (unzulässige Zugriffe auf Kundendaten durch Außendienstmitarbeiter)7; 120 000 Euro 1 Zum Ganzen Göhler/Gürtler, OWiG, Vor § 19 Rz. 1 ff., § 19 Rz. 2, § 20 Rz. 2. 2 Vgl. z.B. 34. TB LfD Bremen 2011, LT-Drucks. 18/302, S. 58; 23. TB LfD Hamburg 2010/2011, LT-Drucks. 20/3570, S. 198; 24. TB NÖB Hessen 2010, LTDrucks. 18/4569, S. 7; 20. TB LfD Niedersachen 2009/2010, LT-Drucks. 16/4240, S. 63; 5. TB NÖB Sachsen 2009/10, LT-Drucks. 5/7447, S. 147; vgl. auch AG Bremerhaven, RDV 1987, 91 (92) (Beispiel einer Bagatellverurteilung). 3 TB LfD Berlin 2009, LT-Drucks. 16/3377, S. 118 ff.; 23. TB BfDI Bund 2009/10, BT-Drucks. 17/5200, S. 134 f. 4 15. TB NÖB Brandenburg 2008/2009, LT-Drucks. 5/1803, S. 23 f.; 9. TB LfD Mecklenburg-Vorpommern 2008/2009, LT-Drucks. 5/3844, S. 113 f. 5 Vgl. Simitis/Ehmann, § 43 BDSG Rz. 84. 6 32. TB LfD Bremen 2009, LT-Drucks. 17/1240, S. 76. 7 23. TB LfD Hamburg 2010/2011, LT-Drucks. 20/3570, S. 185.
Becker 971
BDSG § 43
Schlussvorschriften
für eine Bank (unzulässige Zugriffe auf Kundendaten durch Handelsvertreter)1; 80 000 Euro für einen großen Fleischverarbeiter (unzulässige Videoüberwachung von Mitarbeitern, teils in Sozialräumen)2; 60 000 Euro für einen Zahlungsdienstleister (unzulässige Weitergabe von Zahlungsdaten an Schwesterunternehmen)3. Bei der Bemessung der Geldbuße gegen das Unternehmen wirkt es sich im allgemeine positiv aus, wenn sich der betreffende Täter bzw. das Unternehmen gegenüber der Behörde kooperativ verhalten, zur Aufklärung der Umstände beitragen und sich um eine schnellstmögliche Abstellung der Datenschutzverstöße sowie Folgenbeseitigung bemühen4. Im Übrigen kommt es darauf an, ob es sich um einen formellen oder materiellen Verstoß handelt, wie groß das Ausmaß der Verletzung ist (Anzahl der Betroffenen, mögliche Folgen für die Betroffenen), ob es sich um einen Einzelfall oder eine Wiederholungstat handelt, wie die wirtschaftlichen Verhältnisse der beschuldigten Stelle sind und ob sich die beschuldigte Stelle einsichtig zeigt5. 18 Das BDSG sieht außerdem in Entsprechung zu § 17 OWiG eine Gewinnabschöpfung vor, die zu einem Überschreiten der grundsätzlichen Höchstbeträge führen kann (§ 43 Abs. 3 Satz 2, 3). In der Praxis scheint die Regelung bisher keinerlei Rolle zu spielen, obwohl sich gerade in Fällen unzulässiger Kommerzialisierung von personenbezogenen Daten die Gewinnabschöpfung geradezu aufdrängt. Das Verhältnis der Regelung zur Gewinnabschöpfung gemäß § 17 Abs. 4 OWiG ist unklar. Richtigerweise kann es sich nur um eine klarstellende Wiederholung halten, die entbehrlich gewesen wäre und die Anwendung des § 17 Abs. 4 nur bestätigt, aber nicht verdrängt. Dementsprechend bestehen auch keine Bedenken gegen die Anwendung der Gewinnabschöpfung im Rahmen einer Verbandsstrafe für datenschutzrechtliche Delikte gemäß §§ 30 Abs. 3, 17 Abs. 4 OWiG. Ebenso ist auch § 18 OWiG zu etwaigen Zahlungserleichterungen anwendbar. Der abzuschöpfende wirtschaftliche Vorteil umfasst nicht nur in Geld bestehende Vorteile, sondern auch andere messbare Vorteile, z.B. die Verbesserung der Marktsituation, Kosteneinsparungen etc.6. Ein Schätzung der Vorteile ist zulässig7. Zulässig ist in diesem Zusammenhang auch eine isolierte Verbandsstrafe (§ 30 Abs. 4 Satz 1 OWiG), mit der der Gewinn beim Unternehmen abgeschöpft wird. Insoweit kann ein 1 2 3 4 5 6 7
20. TB LfD NRW 2009/2010, Landtags-Vorlage 15/615, S. 30. 19. TB LfD NRW 2008, Landtags-Vorlage 14/2440, S. 108. Pressemitteilung LfD NRW v. 12.9.2011. Vgl. z.B. 23. TB LfD Hamburg 2010/2011, LT-Drucks. 20/3570, S. 187. 20. TB LfD Niedersachen 2009/2010, LT-Drucks. 16/4240, S. 62. Göhler/Gürtler, OWiG, 16. Aufl. 2012, § 17 Rz. 40. Göhler/Gürtler, OWiG, 16. Aufl. 2012, § 17 Rz. 45.
972 Becker
§ 44 BDSG
Strafvorschriften
Bußgeldbescheid auch dann gegen die verantwortliche juristische Person ergeben, wenn der verantwortliche Mitarbeiter oder Beteiligte (§ 14 OWiG) bzw. die verantwortliche Aufsichtsperson (§ 130 OWiG) nicht benannt werden kann, aber die Tat als tatsächlicher Vorgang zweifelsfrei zu beschreiben ist und die Betriebsbezogenheit der Pflichtverletzung feststeht (sog. anonyme Verbandsgeldbuße)1. Ordnungswidrigkeiten nach § 43 verjähren sowohl bei vorsätzlicher als 19 auch bei fahrlässiger Begehung drei Jahre nach Begehung der Tat, weil in beiden Begehungsformen das Bußgeld über 15 000 Euro liegt (§ 31 Abs. 2 Nr. 1, Abs. 3 i.V.m. § 17 Abs. 2 OWiG). Strafvorschriften
44
(1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) 1Die Tat wird nur auf Antrag verfolgt. 2Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Aufsichtsbehörde. I. Einführung . . . . . . . . . . . . . . . .
1
II. Tatbestandsmerkmale . . . . . .
2
III. Vorsatz . . . . . . . . . . . . . . . . . . .
4
IV. Strafantrag, Zuständigkeit, Verjährung . . . . . . . . . . . . . . . .
5
Schrifttum: Siehe Schrifttum zu § 43.
I. Einführung Die Regelung knüpft an die Bußgeldtatbestände des § 43 Abs. 2 an und 1 erhebt sie zu Straftaten, wenn die weiteren Voraussetzungen des § 44 Abs. 1 vorliegen. Es handelt sich insoweit um eine Qualifikation des § 43 Abs. 2 (unechter Mischtatbestand). Hinsichtlich der Anwendung des § 43 Abs. 2 wird auch die Kommentierung zu § 43 verwiesen (siehe insbesondere Rz. 11 f.). Die Strafandrohung beträgt Freiheitsstrafe bis zu zwei Jahre oder Geldstrafe. Es handelt sich mithin um ein Vergehen (§ 12 Abs. 2 StGB), der Versuch ist deshalb mangels ausdrücklicher An1 Müller-Gugenberger/Bieneck/Schmid, Wirtschaftsstrafrecht, § 30 Rz. 192 ff.; Göhler/Seitz, OWiG, § 66 Rz. 47.
Becker 973
BDSG § 44
Schlussvorschriften
ordnung durch das Gesetz nicht strafbar (§ 23 Abs. 1 StGB). Hinsichtlich der Verbandshaftung gemäß §§ 30, 130 OWiG gelten die Ausführungen zu § 43 weitgehend entsprechend (§ 43 Rz. 17). II. Tatbestandsmerkmale 2 Zur Verwirklichung der Tatbestandsmerkmale des § 43 Abs. 2 hinzutreten muss, dass der Täter gegen Entgelt oder in Bereicherungs- bzw. Schädigungsabsicht handelt. Der Begriff des Entgelts ist in § 11 Abs. 1 Nr. 9 StGB näher bestimmt und bedeutet „jede in einem Vermögensvorteil bestehende Gegenleistung“. Das Vorliegen einer „Gegenleistung“ setzt eine entsprechende Vereinbarung voraus; auf das tatsächliche Gewähren der Gegenleistung kommt es nicht an1. Die vorgesehene Gegenleistung muss sich dabei konkret auf die Tathandlung beziehen. So ist z.B. der Arbeitslohn, den ein Mitarbeiter erhält, kein Lohn für den von ihm bei seiner Tätigkeit begangenen Datenschutzverstoß, sondern dient der allgemeinen Abgeltung seiner Arbeitsleistung2. 3 Während das Merkmal der Schädigungsabsicht durch seine überschießende Innentendenz und den negativen Gehalt des Erfolges eine gewisse Begrenzung auf strafwürdiges Verhalten beinhaltet3, führt die Qualifikation des § 43 Abs. 2 durch die Merkmale der „Entgeltlichkeit“ oder der „Bereicherungsabsicht“ in der Unternehmenspraxis zu erheblichen Zweifelfragen. Versteht man die Regelung weit, führt praktisch jeder Verstoß gegen § 43 Abs. 2 im Unternehmen zu einem Strafbarkeitsrisiko. Denn in einem weiteren Sinne ist jedes Unternehmen „entgeltlich“ oder „in Bereicherungsabsicht“ tätig, weil es schlicht auf das Erwirtschaften von Gewinnen ausgerichtet ist. Die sich daraus ergebenden Folge einer „per se“-Strafbarkeit der im Unternehmen begangenen Datenschutzverstöße erscheint aber schon deshalb unangemessen, weil der Normzweck des § 44 darin gesehen wird, eine erhöhte kriminelle Energie zu ahnden, die in der Erfüllung der Merkmale zum Ausdruck kommen soll4. Da das BDSG jedoch mit den nicht-öffentlichen Stellen5 (§ 2 Abs. 4 Satz 1) unter Ausklammerung der persönlichen und familiären Tätigkeiten (§ 1 Abs. 2 Nr. 3) in aller erster Linie den unternehmeri1 Gola/Schomerus, § 44 BDSG Rz. 5; Simitis/Ehmann, § 44 BDSG Rz. 5; Wybitul/Reuling, CR 2010, 829 (831). 2 Wybitul/Reuling, CR 2010, 829 (831). 3 Vgl. Wybitul/Reuling, CR 2010, 829 (831 f.). 4 Simitis/Ehmann, § 44 BDSG Rz. 1; Bestmann, K&R 2003, 496 (497). 5 Zur Auslegung des Begriffs Simitis/Ehmann, § 2 BDSG Rz. 115 ff.
974 Becker
Strafvorschriften
§ 44 BDSG
schen Verkehr anspricht, ist die Erfüllung des Merkmals eher der Regelfall als Ausdruck einer besonderen kriminellen Energie. Es erscheint daher angebracht, die Merkmale der „Entgeltlichkeit“ und der „Bereicherungsabsicht“ in der Weise eng auszulegen, dass zwischen dem inkriminierten Verhalten und der „Entgeltlichkeit“ bzw. der „Bereicherungsabsicht“ eine unmittelbare Verbindung zu verlangen ist1, wie sie etwa beim unbefugten Verkauf von Kundendaten gegeben ist, nicht aber beim rechtswidrigen Abruf einer Kreditauskunft aufgrund eines Abwägungsfehlers im Einzelfall2. Ausreichend ist im Übrigen Drittbereicherungsabsicht (vgl. Wortlaut des § 43 Abs. 1: „sich oder einen anderen“). III. Vorsatz Eine Strafbarkeit gemäß § 44 setzt eine Vorsatztat voraus. D.h. der Täter 4 muss die maßgeblichen Umstände kennen, aus denen sich die Verwirklichung der jeweiligen Tatbestandsmerkmale ergibt. Die „Bereicherungsabsicht“ bzw. die „Schädigungsabsicht“ setzen ferner eine überschiedene Innentendenz voraus, die über den bloßen bedingten Vorsatz hinausgeht3. IV. Strafantrag, Zuständigkeit, Verjährung Verstöße gemäß § 44 Abs. 1 werden nur auf Antrag verfolgt (§ 44 Abs. 2 Satz 1). Das Fehlen des Strafantrags begründet ein Verfahrenshindernis4. Das Strafantragsrecht steht nicht nur dem Betroffenen (§ 3 Abs. 1) und der verantwortlichen Stelle zu (§ 3 Abs. 7), sondern wird auch im öffentlichen Interesse dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und der gemäß § 38 oder sonstigen Vorschriften zuständigen Aufsichtsbehörde eingeräumt (§ 44 Abs. 2)5. Die Antragsfrist beträgt gemäß § 77b Abs. 1, 2 StGB drei Monate ab Kenntnis von der Tat 1 A.A. Simitis/Ehmann, § 44 BDSG Rz. 6, der auch einen „mittelbaren“ Vermögensvorteil genügen lassen will; siehe auch Erbs/Koolhaas/Ambs, Strafrechtliche Nebengesetze, § 44 BDSG Rz. 2. 2 Vgl. auch die Fälle bei Simitis/Ehmann, § 43 BDSG Rz. 57, die alle offenbar nur Gegenstand von Bußgeldverfahren, aber nicht von Strafverfahren waren. 3 Vgl. Gola/Schomerus, § 44 BDSG Rz. 7; enger Simitis/Ehmann, § 44 BDSG Rz. 7. 4 BGH v. 22.6.2000 – 5 StR 268/99, NStZ 2000, 596. 5 Für die Ausweitung auf eine Verfolgbarkeit von Amts wegen: Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Ein modernes Datenschutzrecht für das 21. Jahrhundert, Eckpunkte v. 18.3.2010, BT-Drucks. 17/5200, S. 196, 203.
Becker 975
5
BDSG § 45
Übergangsvorschriften
und dem Täter. Ein eigenes Tätigwerden der Staatsanwaltschaft ohne einen solchen Antrag ist ausgeschlossen. 6 Für die Verfolgung einer Straftat nach § 44 ist die Staatsanwaltschaft zuständig. Ergibt sich der Verdacht im Laufe der Prüfungen durch die Landesdatenschutzbehörde, gibt diese das Verfahren an die Staatsanwaltschaft insoweit ab (§ 41 Abs. 1 OWiG). Die Straftat wird vorrangig verfolgt und verdrängt die im Rahmen derselben prozessualen Tat begangenen Ordnungswidrigkeiten (§ 21 Abs. 1 OWiG). Die Straftat des § 44 kann insbesondere in Konkurrenz zu den allgemeinen Vertraulichkeits- und Computerdelikten stehen (§§ 202a, 203, 263a StGB)1. 7 Die Tat verjährt fünf Jahre nach Vollendung bzw. dem Eintritt des Taterfolges (§§ 78 Abs. 3 Nr. 4, 78a StGB).
Sechster Abschnitt Übergangsvorschriften Laufende Verwendungen
45
1Erhebungen,
Verarbeitungen oder Nutzungen personenbezogener Daten, die am 23. Mai 2001 bereits begonnen haben, sind binnen drei Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen. 2Soweit Vorschriften dieses Gesetzes in Rechtsvorschriften außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr zur Anwendung gelangen, sind Erhebungen, Verarbeitungen oder Nutzungen personenbezogener Daten, die am 23. Mai 2001 bereits begonnen haben, binnen fünf Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen. Schrifttum: Schneider, Die Übergangsregelungen des neuen BDSG, DuD 2002, 717.
1 Zu Konkurrenzen vgl. Erbs/Koolhaas/Ambs, Strafrechtliche Nebengesetze, § 44 BDSG Rz. 4; Binder, RDV 1995, 116 (119 ff.) (zur Vorgängerbestimmung des § 44).
976 Becker
BDSG § 45
Übergangsvorschriften
und dem Täter. Ein eigenes Tätigwerden der Staatsanwaltschaft ohne einen solchen Antrag ist ausgeschlossen. 6 Für die Verfolgung einer Straftat nach § 44 ist die Staatsanwaltschaft zuständig. Ergibt sich der Verdacht im Laufe der Prüfungen durch die Landesdatenschutzbehörde, gibt diese das Verfahren an die Staatsanwaltschaft insoweit ab (§ 41 Abs. 1 OWiG). Die Straftat wird vorrangig verfolgt und verdrängt die im Rahmen derselben prozessualen Tat begangenen Ordnungswidrigkeiten (§ 21 Abs. 1 OWiG). Die Straftat des § 44 kann insbesondere in Konkurrenz zu den allgemeinen Vertraulichkeits- und Computerdelikten stehen (§§ 202a, 203, 263a StGB)1. 7 Die Tat verjährt fünf Jahre nach Vollendung bzw. dem Eintritt des Taterfolges (§§ 78 Abs. 3 Nr. 4, 78a StGB).
Sechster Abschnitt Übergangsvorschriften Laufende Verwendungen
45
1Erhebungen,
Verarbeitungen oder Nutzungen personenbezogener Daten, die am 23. Mai 2001 bereits begonnen haben, sind binnen drei Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen. 2Soweit Vorschriften dieses Gesetzes in Rechtsvorschriften außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr zur Anwendung gelangen, sind Erhebungen, Verarbeitungen oder Nutzungen personenbezogener Daten, die am 23. Mai 2001 bereits begonnen haben, binnen fünf Jahren nach diesem Zeitpunkt mit den Vorschriften dieses Gesetzes in Übereinstimmung zu bringen. Schrifttum: Schneider, Die Übergangsregelungen des neuen BDSG, DuD 2002, 717.
1 Zu Konkurrenzen vgl. Erbs/Koolhaas/Ambs, Strafrechtliche Nebengesetze, § 44 BDSG Rz. 4; Binder, RDV 1995, 116 (119 ff.) (zur Vorgängerbestimmung des § 44).
976 Becker
Weitergeltung von Begriffsbestimmungen
§ 46 BDSG
Die Regelung ist durch Zeitablauf gegenstandslos geworden. Seit dem 1 23.5.2006 unterliegen alle relevanten Datenverarbeitungsvorgänge dem BDSG, auch soweit sie am 23.5.2001 bereits begonnen waren1. Weitergeltung von Begriffsbestimmungen (1) 1Wird in besonderen Rechtsvorschriften des Bundes der Begriff Datei verwendet, ist Datei 1. eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten Merkmalen ausgewertet werden kann (automatisierte Datei), oder 2. jede sonstige Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden kann (nicht automatisierte Datei). 2Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, dass sie durch automatisierte Verfahren umgeordnet und ausgewertet werden können.
46
(2) 1Wird in besonderen Rechtsvorschriften des Bundes der Begriff Akte verwendet, ist Akte jede amtlichen oder dienstlichen Zwecken dienende Unterlage, die nicht dem Dateibegriff des Absatzes 1 unterfällt; dazu zählen auch Bild- und Tonträger. 2Nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen. (3) 1Wird in besonderen Rechtsvorschriften des Bundes der Begriff Empfänger verwendet, ist Empfänger jede Person oder Stelle außerhalb der verantwortlichen Stelle. 2Empfänger sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. Schrifttum: Haslach, Unmittelbare Anwendung der EG-Datenschutzrichtlinie, DuD 1998, 693; Ramm, § 46 BDSG – Eine Übergangsvorschrift?, DuD 2007, 431.
Bis 2001 enthielt das BDSG in § 3 Abs. 2 a.F. eine Definition der „Datei“ und in § 3 Abs. 3 eine Definition der „Akte“. „Empfänger“ waren in § 5
1 Eine Kommentierung der Vorschrift enthält bis zur 6. Auflage Simitis/Dammann, BDSG, 6. Aufl. 2006, § 45; siehe auch Schneider, DuD 2002, 717.
Becker 977
1
BDSG § 47
Übergangsvorschriften
Abs. 3 Satz 2 Nr. 3 a.F. definiert. Diese Begriffsbestimmungen wurden im Zuge der Novelle von 2001 (Gesetz v. 18. Mai 2001, BGBl. I Nr. 23, S. 904 ff.) geändert: Der Begriff der Akte wird seither nicht mehr definiert1. Der Dateibegriff und der Begriff des Empfängers wurden mit der Novelle geändert (siehe nunmehr § 2 Abs. 2 Satz 2; § 3 Abs. 8 Satz 1). Da der Gesetzgeber nicht auch gleichzeitig sämtliche datenschutzrechtlichen Vorschriften außerhalb des BDSG anpasste, welche diese Begriffe verwendeten, schuf er die Übergangsvorschrift des § 46, in der die alten Begrifflichkeiten für diesen Zweck und bis zur Anpassung der entsprechenden Gesetze aufrecht erhalten werden. Sofern durch die Verwendung der alten Definitionen bereichsspezifische Regelungen der EG-Datenschutzrichtlinie widersprechen sollten, wären diese richtlinienkonform auszulegen2. Obwohl vielfach gefordert3, hat der Gesetzgeber seit 2001 keinen Anlauf unternommenen, die datenschutzrechtlichen Begrifflichkeiten in den einzelnen Gesetzen zu konsolidieren. Übergangsregelung
47
Für die Verarbeitung und Nutzung vor dem 1. September 2009 erhobener oder gespeicherter Daten ist § 28 in der bis dahin geltenden Fassung weiter anzuwenden 1. für Zwecke der Markt- oder Meinungsforschung bis zum 31. August 2010, 2. für Zwecke der Werbung bis zum 31. August 2012. I. Einführung . . . . . . . . . . . . . . . .
1
II. Gegenwärtige Bedeutung der Norm . . . . . . . . . . . . . . . . . . . . .
3
Schrifttum: Plath/Frey, Direktmarketing nach der BDSG-Novelle: Grenzen erkennen, Spielräume optimal nutzen, BB 2009, 1762; Wronka, Reglementierung des Adresshandels im novellierten BDSG, RDV 2010, 159.
I. Einführung 1 Durch die am 1.9.2009 in Kraft getretene BDSG-Novelle II hat der Erlaubnistatbestand des § 28 tief greifende Änderungen erfahren, die insbesondere die Verwendung von Daten zu Werbezwecken betreffen: So
1 Vgl. Gola/Schomerus, § 3 Rz. 22. 2 Haslach, DuD 1998, 693; Gola/Schomerus, § 46 BDSG Rz. 2. 3 Siehe nur Ramm, DuD 2007, 431.
978 Becker/Plath
Übergangsregelung
§ 47 BDSG
wurde das „alte Listenprivileg“ weitgehend eingeschränkt bzw. neu gefasst und von einem Transparenzgebot flankiert (§ 28 Abs. 3 Satz 4), und die Anforderungen an die Form der Einwilligung wurden verschärft (§ 28 Abs. 3a)1 Da diese Veränderungen die Wirtschaft dazu zwingen, die Verwendung von Daten zu Markt- und Meinungsforschungs- sowie zu Werbezwecken umfassend umzustellen, hatte der Gesetzgeber in § 47 eine Übergangsregelung getroffen, die eine Anpassung an die neuen gesetzlichen Bedingungen ermöglichen sollte. Die Übergangsfrist ist für die Verwendung von Daten zu Zwecken der Markt- und Meinungsforschung (Nr. 1) am 31.8.2010, für die Verwendung von Daten zu Werbezwecken (Nr. 2) am 31.8.2012 abgelaufen.
2
II. Gegenwärtige Bedeutung der Norm Seit Ablauf der Übergangsfrist beschränkt sich die aktuelle Bedeutung des § 47 auf die ex-post Beurteilung bereits abgeschlossener Vorgänge.
3
Die Übergangsregelung galt ausweislich des Wortlauts für alle perso- 4 nenbezogenen Daten, die vor dem 1.9.2009 – und demnach spätestens am 31.8.2009 – zu Zwecken der Markt- und Meinungsforschung bzw. der Werbung erhoben, also durch aktives Tun der verantwortlichen Stelle beschafft wurden2. Eine spätere Speicherung der Daten nach diesem Stichtag war unschädlich, sofern die verantwortliche Stelle nicht anders als im Wege der Erhebung, also z.B. durch freiwillige Mitteilung des Betroffenen, Kenntnis von den später gespeicherten Daten erlangt hat. Zu beachten ist, dass die Geltung des § 28 n.F. sich nicht rückwirkend auf die Zulässigkeit der Erhebung, sondern nur auf die Zulässigkeit der weiteren Verwendung auswirkte. Fraglich war, ob sich im Falle der Übermittlung von Daten, die in den An- 5 wendungsbereich des § 47 fielen, auch der Empfänger auf die Übergangsregelung berufen konnte, mit der Folge, dass auch dieser die Regelung des § 28 a.F. anwenden durfte. In diesem Fall hätte das ursprünglich Erhebungsdatum solchen übermittelten Daten gewissermaßen „angehaftet“ und bis zum Ablauf der Übergangsfrist eine Anwendung des § 28 a.F. gerechtfertigt. Für eine Fortwirkung des erstmaligen Erhebungs- bzw. Speicherungsdatums sprach v.a. die Intention des Gesetzgebers, einen Bestandsschutz alter Daten dadurch herbeizuführen, dass der Wirtschaft
1 Ausführlich hierzu § 28 Rz. 154 ff. 2 Vgl. § 3 Rz. 30; Simitis/Dammann, § 3 BDSG Rz. 102.
Plath 979
BDSG § 47
Übergangsvorschriften
die Weiternutzung auch solcher Daten weiter ermöglicht wurde, deren Verwendung nach § 28 n.F. nicht mehr rechtmäßig gewesen wäre. 6 Strittig war des weiteren auch, ob die Übergangsregelung des § 47 trotz des eindeutigen Wortlauts auch für die Verwendung von Daten nach Maßgabe des § 29 n.F. galt, der in weiten Teilen auf § 28 n.F. verweist. Dafür sprach zunächst der Sinn und Zweck des § 47, der Wirtschaft eine Anpassung an die neuen Regelungen zu ermöglichen1. Dieses Interesse bestand auch, sogar in besonderem Maße, bei Stellen, die geschäftsmäßig Daten übermitteln2. Darüber hinaus war § 28 n.F. auf die Verwendung zu Werbezwecken von Daten, die vor dem 1.9.2009 erhoben wurden, gar nicht anwendbar. Ein Verweis durch § 29 auf eine Norm, die im konkreten Sachverhalt keine Anwendung fand, konnte vom Gesetzgeber jedoch nicht gewollt sein3. Damit umfasste die Übergangsregelung des § 47 nach der hier vertretenen Ansicht auch die Verweise des § 29 auf § 284. 7 Schließlich stellte sich die Frage, ob Einwilligungen, die vor dem Stichtag und unter den Voraussetzungen des § 28 a.F. erteilt wurden, wirksam blieben. Dafür sprach insbesondere, dass die nachträgliche Entwertung einer zuvor wirksam erteilten Einwilligung mit Auswirkung auf zukünftige Rechtsbeziehungen einer verfassungsrechtlich bedenklichen Rückwirkung des Gesetzes gleich käme5. § 47 wirkte sich demnach nur auf die Zulässigkeit zukünftiger Datenverwendungen i.R.d. Erlaubnistatbestands von § 28 n.F. aus und ließ die Wirksamkeit einmal erteilter Einwilligungen unberührt6.
1 Vgl. auch zum vergleichbaren Interesse der Wirtschaft im Bereich des Adresshandels Taeger/Gabel/Taeger, § 47 BDSG Rz. 8. 2 Gegen diese Ansicht spricht sich Simitis/Ehmann mit der Begründung aus, dass der Gesetzgeber bewusst zwischen Adresshändlern und Werbenden unterscheiden wollte, § 47 BDSG Rz. 13. 3 Plath/Frey, BB 2009, 1762 (1767). 4 A.A. angesichts des eindeutigen Wortlauts Wronka, RDV 2010, 159 (162), der hierin jedoch eine ungerechtfertigte Benachteiligung des Adresshandels gegenüber der restlichen Werbewirtschaft sieht. 5 Vgl. zum Problem der Rückwirkung Simitis/Ehmann, § 47 BDSG Rz. 2 f. 6 Ebenso Plath/Frey, BB 2009, 1762 (1767).
980 Plath
Bericht der Bundesregierung
§ 48 BDSG
Bericht der Bundesregierung
48
1Die
Bundesregierung berichtet dem Bundestag 1. bis zum 31. Dezember 2012 über die Auswirkungen der §§ 30a und 42a, 2. bis zum 31. Dezember 2014 über die Auswirkungen der Änderungen der §§ 28 und 29. 2Sofern sich aus Sicht der Bundesregierung gesetzgeberische Maßnahmen empfehlen, soll der Bericht einen Vorschlag enthalten. Der Gesetzgeber1 ging bei der zweiten BDSG-Novolle 2009 davon aus, dass es im Hinblick auf die – umstrittenen – neuen Vorschriften für die Erhebung und Verwendung personenbezogener Daten für Zwecke des Adresshandels, der Werbung (§§ 28, 29 BDSG) und der Markt- und Meinungsforschung (§ 30a) sowie die neu eingeführten Informationspflichten der verantwortlichen Stelle in Fällen, in denen Dritte unrechtmäßig Kenntnis von personenbezogenen Daten erlangt haben (§ 42a), einer kurzfristigen Evaluierung bedürfe. Die Sorge bezog sich dabei offenbar in erster Linie auf etwaige negative Auswirkungen auf die Wirtschaft und weniger auf die Belange der Betroffenen2. Bei Redaktionsschluss lag ein entsprechender Bericht der Bundesregierung noch nicht vor.
1 BT-Drucks. 16/13657, S. 23. 2 BT-Drucks. 16/13657, S. 23.
Becker 981
1
Telemediengesetz (TMG) vom 26. Februar 2007 (BGBl. I, S. 179), zuletzt geändert durch Gesetz vom 31. Mai 2010 (BGBl. I, S. 692) (Auszug)
Einleitung I. Das Telemediendatenschutzrecht als Teil des Telemediengesetzes . . . . . . . . . . . . . . . II. Ausgewählte praktische Problemstellungen . . . . . . . . . 1. Datenschutznormen als Marktverhaltensregelung . . . .
2 5
2. Das Konzept des Verbots mit Erlaubnisvorbehalt. . . . . . . . . . 8 3. Datenschutz und Meinungsfreiheit. . . . . . . . . . . . . . . . . . . . 11 III. Ausblick . . . . . . . . . . . . . . . . . . 12
6
Der Umgang mit personenbezogenen Daten im Bereich der Telemedien, 1 d.h. insbesondere dem World Wide Web, steht in der Praxis unter dem Eindruck zweier medienspezifischer Phänomene. Zum einen ist eine außerordentliche „Mitteilungsfreudigkeit“ natürlicher Personen im Netz zu verzeichnen. So haben nach einer repräsentativen Umfrage im Auftrag des BITKOM e.V. 27 Millionen Bundesbürger, also jeder zweite Internetnutzer (53 %), ein persönliches Online-Profil. Die Mehrheit dieser Personen veröffentlicht ihre persönlichen Angaben, Gedanken oder Fotos in einer Online-Community (48 %)1. Zum anderen ist die Sensibilität gegenüber (vermeintlich) datenschutzrechtlich relevanten Handlungen stark gestiegen. Themen wie die Zulässigkeit von Google Street View, Vorratsdatenspeicherung, Anwendungen und Datenschutzbedingungen sozialer Netzwerke, Bundestrojaner, aber auch Datenschutzpannen bei Unternehmen sind inzwischen „tagesschautauglich“. Nach der o.g. Umfrage des BITKOM e.V.2 sind 72 % der Befragten der Auffassung, dass der Staat strengere Regeln für den Datenschutz erlassen müsse.
1 Pressemitteilung des BMELV Nr. 39 v. 8.2.2011. 2 BITKOM e.V., „Datenschutz im Internet“, 2011, abrufbar unter http://www.bit kom.org/files/documents/BITKOM_Publikation_Datenschutz_im_Internet.pdf.
Hullen/Roggenkamp 983
TMG
Einleitung
I. Das Telemediendatenschutzrecht als Teil des Telemediengesetzes 2 Die Zulässigkeit und Grenzen der „internetbezogenen“ Datenverarbeitung richten sich de lege lata nur teilweise nach dem BDSG. Im vierten Abschnitt des Telemediengesetzes (TMG)1 finden sich bereichsspezifische Regelungen für die sog. Interaktionsebene zwischen den Anbietern von Telemedien und Nutzern (zum Anwendungsbereich näher § 11 Rz. 2 ff.), die den allgemeinen Regeln des BDSG vorgehen: das Telemediendatenschutzrecht. Das Telemediengesetz selbst regelt neben dem telemedienspezifischen Datenschutz (§§ 11–15a TMG) die Zulassungsfreiheit und Informationspflichten von Anbietern von Telemedien (§§ 4–6 TMG) und die „Verantwortlichkeit“ der Diensteanbieter (§§ 7–10 TMG)2. Außerdem enthält es Bestimmungen zum Anwendungsbereich, Begriffsbestimmungen und Bußgeldregelungen. 3 Das TMG ist eine nur teilweise modernisierte Melange aus verschiedenen Gesetzen, insbesondere dem früheren Teledienstegesetz (TDG) und dem Teledienstedatenschutzgesetz (TDDSG). Letzteres galt lange Zeit als fortschrittliche Regelung, da es einen schlanken, knappen Rechtsrahmen bot und durch wegweisende Regelungen zum Systemdatenschutz eine fruchtbare Grundlage für die Entwicklung des „kommerziellen Internets“ darstellte3. Im Wesentlichen wurden die Regelungen des TDDSG aus dem Jahr 1997 in das TMG aus dem Jahr 2007 übernommen. Gleichzeitig wurde die Chance für eine bereits zu jenem Zeitpunkt fällige grundsätzliche Reform des Internet-Datenschutzes vertan4. 4 Das Telemediendatenschutzrecht vermag – wie auch das BDSG – längst nicht mehr das notwendige Fundament der Rechtssicherheit für die aktuellen Entwicklungen der Praxis zu bilden. Insbesondere für Entwicklungen im Bereich User-Generated-Content-Plattformen und sozialer Netzwerke sowie des alltäglichen (internationalen) Datenaustauschs zwischen den Diensteanbietern hält es kaum passende Lösungsansätze bereit. Folge ist die eingangs kritisierte Rechtsunsicherheit sowohl auf Seiten des Bürgers, der nicht mehr weiß, was mit „seinen“ Daten (hierzu sogleich) geschieht, als auch auf Seiten der Diensteanbieter, die den Datenschutz zunehmend als Hemmschuh bei der Entwicklung neuer 1 2 3 4
Gesetz v. 26.2.2007, BGBl. I 2007, S. 179. Hierzu ausführlich Heckmann/Roggenkamp, Kap. 10. Vgl. Roßnagel, NVwZ 2007, 743 (743). So z.B. Hoeren, NJW 2007, 801 (804); im Einzelnen zu den wenigen Neuerungen Schöttler, jurisPR-ITR 7/2007 Anm. 4.
984 Hullen/Roggenkamp
TMG
Einleitung
Geschäftsmodelle begreifen, weil regelmäßig nicht eindeutig erkennbar ist, welcher Umgang mit personenbezogenen Daten (noch) zulässig ist. Die Datenschutzdebatte lässt zeitweise an Sachlichkeit vermissen. Befindlichkeiten der jeweiligen Beteiligten (Datenschutzbehörden, Wirtschaft, Gesetzgeber) scheinen dabei zum Teil einer interessengerechten Problemlösung übergeordnet zu werden. Vielversprechende Ansätze zur Regelung einzelner Problemfelder (z.B. durch „Privacy by default“) sind bislang zwischen den Fronten der verschiedenen Interessenvertreter zerrieben worden1. II. Ausgewählte praktische Problemstellungen In der Praxis stellen sich, neben den in der Einzelkommentierung ange- 5 sprochenen Sachverhalten, insbesondere die folgenden Fragen: 1. Datenschutznormen als Marktverhaltensregelung Ob Datenschutzregelungen ein marktverhaltensregelnder Charakter zu- 6 kommt, ist hoch umstritten. Bejahte man pauschal einen Marktbezug datenschutzrechtlicher Normen, wären Verstöße regelmäßig als unlauteres Handeln i.S.v. § 4 Nr. 11 UWG einzuordnen und könnten durch das Instrumentarium des § 8 Abs. 1 UWG sanktioniert werden. Insbesondere könnten Diensteanbieter, die in einem Wettbewerbsverhältnis zueinander stehen, Datenschutzverstöße durch Abmahnungen und einstweilige Verfügungen regulieren. Zahlreiche bis heute ungeklärte Rechtsfragen (bspw. nach dem Personenbezug von IP-Adressen) könnten auf diesem Wege schneller und effizienter geklärt werden, als es bislang der Fall ist. Diese Möglichkeit der effizienten Unterbindung von unlauteren Wettbe- 7 werbsvorteilen durch Missachtung des Datenschutzrechts2, die gleichzeitig auch einen Beitrag zur Verringerung des allseits beklagten Vollzugsdefizits im Bereich des Datenschutzrechts3 leisten könnte, ist indes nicht gegeben. Ob einer Datenschutzregelung marktverhaltensregelnder Charakter zukommt, ist vielmehr im Einzelfall zu ermitteln. Die Rechtsprechung der Instanzgerichte ist widersprüchlich4. Grundsätzlich wohnt den datenschutzrechtlichen Regelungen des TMG ein Markt1 2 3 4
Vgl. zur BR-Drucks. 156/11 z.B. Roggenkamp, jurisPR-ITR 13/2011 Anm. 2. Siehe hierzu auch Huppertz/Ohrmann, CR 2011, 449. Z.B. Härting, BB 2010, 839 (842). Einen Überblick bietet Hullen, MMR 2011, 387 (388).
Hullen/Roggenkamp 985
TMG
Einleitung
bezug inne, da die meisten in den Anwendungsbereich des TMG fallenden Internetseiten zu unmittelbar oder mittelbar wirtschaftlichen Zwecken eingerichtet wurden1. Oftmals wird ein Marktbezug in der Praxis aber pauschal und ohne nähere Begründung mit dem Hinweis darauf, dass das Recht auf informationelle Selbstbestimmung alleiniges Schutzziel des Datenschutzes sei, abgelehnt2. Dem kann zumindest bei der Verletzung von Normen wie dem § 15 Abs. 3 TMG, der ausdrücklich eine Verwendung von Daten zu Werbezwecken legitimiert, nicht gefolgt werden. Der Nutzer soll gerade in seiner Eigenschaft als Markteilnehmer vor Eingriffen in sein Recht auf informationelle Selbstbestimmung durch Diensteanbieter, die kommerzielle Internetseiten betreiben, geschützt werden. Obwohl einzelne Regelungen des TMG einen marktverhaltensregelnden Charakter aufweisen, ist insgesamt kaum mit einer Selbstregulierung des Marktes durch die Geltendmachung lauterkeitsrechtlicher Ansprüche zu rechnen. 2. Das Konzept des Verbots mit Erlaubnisvorbehalt 8 Das Konzept des Verbotsprinzips mit Erlaubnisvorbehalt ist, zumindest im nicht-öffentlichen Bereich, zunehmender Kritik ausgesetzt3. Das BVerfG hat bereits imVolkszählungsurteil festgestellt, dass es einen absoluten Datenschutz nicht geben kann: „Der Einzelne hat nicht ein Recht im Sinne einer absoluten, uneinschränkbaren Herrschaft über ‚seine‘ Daten; er ist vielmehr eine sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit. Information, auch soweit sie personenbezogen ist, stellt ein Abbild sozialer Realität dar, das nicht ausschließlich dem Betroffenen allein zugeordnet werden kann. […] Grundsätzlich muß daher der Einzelne Einschränkungen seines Rechts auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse hinnehmen.“4. 9 Das Verbotsprinzip bringt die sich im nicht-öffentlichen Bereich gegenüberstehenden Schutzgüter, das allgemeine Persönlichkeitsrecht in der Ausgestaltung des Rechts auf informationelle Selbstbestimmung auf der einen, sowie Meinungsäußerungs- und Informationsfreiheit auf der an-
1 So auch Taeger/Gabel/Moos, Einleitung TMG Rz. 1. 2 Kritisch hierzu Hullen, AnwZert ITR 2/2011, Anm. 2; siehe auch Schröder ZD 2012, 193. 3 Schneider, AnwBl. 2011, 233. 4 BVerfG v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, NJW 1984, 419 (422) – Volkszählung.
986 Hullen/Roggenkamp
Einleitung
TMG
deren Seite, nur unzureichend in Einklang1. Dies zeigt sich u.a. in einer stetigen Nachbesserung von Ausnahmetatbeständen. Diese haben das Datenschutzrecht zu einem unübersichtlichen Regelwerk2 anwachsen lassen, welches die gesellschaftliche Realität im Internetzeitalter nur durch ein hohes Maß an Normenunklarheit zu beschreiben weiß. Ein sich rapide wandelndes gesellschaftliches Informations- und Kommunikationsverhalten ist durch ein starres Verbotsprinzip nur schwer zu regulieren. Dies zeigt sich deutlich in den kontroversen rechtlichen Einordnung von Telediensten wie Bewertungsplattformen im Internet („spickmich.de“)3, Social Plug-Ins („Like-Button“)4 oder Panorama-Bilderdiensten („Street View“).
10
3. Datenschutz und Meinungsfreiheit Das Internet dient – das wird aus den vorgenannten Beispielen deutlich 11 – nicht mehr nur vornehmlich der Information des Einzelnen. Vielmehr wird kommuniziert, interagiert und in großem Umfang Meinungsbildung „betrieben“. Bevor eine Kaufentscheidung getroffen wird, konsultieren viele Deutsche einschlägige Plattformen. Erfahrungen mit Produkten, Orten, Dienstleistungen werden mitgeteilt und über Social Media Plattformen verteilt5. Nicht selten sind von diesen Meinungsäußerungen Dritte (z.B. Ärzte, Lehrer, Dienstleister jeglicher Art) betroffen, über die im Netz berichtet wird und die auf entsprechenden Portalen bewertet werden. Aus datenschutzrechtlicher Perspektive werden unentwegt personenbezogene Daten erhoben, gespeichert und übermittelt. Dass dieser Dauerkonflikt zwischen informationeller Selbstbestimmung und Meinungsäußerungsfreiheit, die sowohl dem Äußernden als auch der Plattform zukommt, durch das geltende Recht nicht hinreichend abgebildet wird, zeigt der Fall der Personenbewertungsplattform spickmich.de6. Bei dieser konnten die aus §§ 29 Abs. 2 Satz 4, 4d und 33 BDSG resultierenden Pflichten des Betreibers, die faktisch zu einer
1 Forgó, MMR 2010, 218. 2 Roßnagel, MMR 2005, 73. 3 BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593 – spickmich.de m. Anm. Roggenkamp, K&R 2009, 565. 4 Hierzu Ernst, NJOZ 2010, 1917; siehe auch KG v. 29.4.2011 – 5 W 88/11, K&R 2011, 418 m. Anm. Krieg und Hullen, MMR 2011, 387. 5 Zu den mit gefälschten Bewertungen zusammenhängenden Problemen Krieg/ Roggenkamp, K&R 2010, 689. 6 BGH v. 23.6.2009 – VI ZR 196/08, CR 2009, 593 – spickmich.de.
Hullen/Roggenkamp 987
TMG § 11
Datenschutz
„Verunmöglichung“ des Geschäftsmodells geführt hätten, nur durch verfassungskonforme Auslegung1 reduziert werden. III. Ausblick 12 Im Januar 2012 hat die EU-Kommission Vorschläge für eine Reform der EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) aus dem Jahr 1995 vorgelegt2. Ziel der vorgeschlagenen Datenschutz-Grundverordnung3 ist die vollständige Harmonisierung des europäischen Datenschutzrechts4. Nach Auffassung der zuständigen Vizepräsidentin der EU-Kommission, Viviane Reding5, soll die Datenschutz-Grundverordnung einen „modernen, stabilen, kohärenten und umfassenden Datenschutz-Rechtsrahmen für die Europäische Union“ bereitstellen. Das rechtliche Umfeld für Unternehmen und den öffentlichen Sektor soll „wesentlich vereinfacht“ werden6.
Abschnitt 4 Datenschutz Anbieter-Nutzer-Verhältnis
11
(1) Die Vorschriften dieses Abschnitts gelten nicht für die Erhebung und Verwendung personenbezogener Daten der Nutzer von Telemedien, soweit die Bereitstellung solcher Dienste 1. im Dienst- und Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken oder 2. innerhalb von oder zwischen nicht öffentlichen Stellen oder öffentlichen Stellen ausschließlich zur Steuerung von Arbeits- oder Geschäftsprozessen erfolgt.
1 Im Detail dazu Ballhausen/Roggenkamp, K&R 2008, 403 (408 f.). 2 KOM(2012) 11, Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung). 3 Hierzu Hornung, ZD 2012, 99; Schneider/Härting, ZD 2012, 199; Kühling, EuZW 2012, 281. 4 Angesichts der Entscheidung EuGH v. 24.11.2011 – C-468/10 und C-469/10 – ASNEF (hierzu Schüßler, jurisPR-ITR 2/2012 Anm. 3) wird die Notwendigkeit einer Verordnung zu diesem Zweck hinterfragt. Die Regelungskompetenz der EU hinterfragt Giesen, CR 2012, 550. 5 Reding, ZD 2012, 195. 6 Eingehend zur Thematik Hullen, AnwZert ITR 13/2012, Anm. 2.
988 Hullen/Roggenkamp
§ 11 TMG
Anbieter-Nutzer-Verhältnis
(2) Nutzer im Sinne dieses Abschnitts ist jede natürliche Person, die Telemedien nutzt, insbesondere um Informationen zu erlangen oder zugänglich zu machen. (3) Bei Telemedien, die überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, gelten für die Erhebung und Verwendung personenbezogener Daten der Nutzer nur § 15 Absatz 8 und § 16 Absatz 2 Nummer 4. I. Allgemeines . . . . . . . . . . . . . . . II. 1. 2. 3.
Anwendungsbereich . . . . . . . . Telemedien . . . . . . . . . . . . . . . Anbieter-Nutzer-Verhältnis . . Personenbezogene Daten (Abs. 1) . . . . . . . . . . . . . . . . . . . 4. Nutzer (Abs. 1 i.V.m. Abs. 2) . 5. Ausgenommene Dienste (Abs. 1) . . . . . . . . . . . . . . . . . . .
1 2 2 10 13 14 16
a) Zur Tätigkeitsausübung notwendige Dienste (Abs. 1 Nr. 1) . . . . . . . . . . . . 17 b) Steuerung von Arbeitsoder Geschäftsprozessen (Abs. 1 Nr. 2) . . . . . . . . . . . . 18 6. TK-Dienste (Abs. 3) . . . . . . . . . 19 III. Grenzüberschreitende Sachverhalte . . . . . . . . . . . . . . . 20
Schrifttum: Bender/Kahlen, Neues Telemediengesetz verbessert den Rechtsrahmen für Neue Dienste und Schutz vor Spam-Mails, MMR 2006, 590; Brosch/ Hennrich, Der Personenbezug von IP-Adressen bei IPv6, AnwZert ITR 21/2011, Anm. 2; Ernst, Social Plugins: Der „Like-Button“ als datenschutzrechtliches Problem, NJOZ 2010, 1917; Heidrich/Wegener, Sichere Datenwolken – Cloud Computing und Datenschutz, MMR 2010, 803; Hoeren, Anonymität im Web – Grundfragen und aktuelle Entwicklungen, ZRP 2010, 251; Jotzo, Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. Bei grenzüberschreitendem Datenverkehr?, MMR 2009, 232; Krieg, Twitter und Recht, K&R 2010, 73; Krüger/Maucher, Ist die IP-Adresse wirklich ein personenbezogenes Datum? Ein falscher Trend mit großen Auswirkungen auf die Praxis, MMR 2011, 433; Roßnagel/ Jandt, Rechtskonformes Direktmarketing – Gestaltungsanforderungen und neue Strategien für Unternehmen, MMR 2011, 86; Sachs, Datenschutzrechtliche Bestimmbarkeit von IP-Adressen, CR 2010, 547; Schmitz, Übersicht über die Neuregelung des TMG und des RStV, K&R 2007, 135; Stadler, Verstoßen Facebook und Google Plus gegen deutsches Recht?, ZD 2011, 57; Schleipfer, Das 3-Schichten-Modell des Multimediadatenschutzrechts, DuD 2004, 727; Schöttler, Das neue Telemediengesetz (Teil 4) – Datenschutz, jurisPR-ITR 7/2007 Anm. 4; Schüßler, Facebook und der Wilde Westen – soziale Netzwerke und Datenschutz, in: Taeger (Hrsg.), Digitale Evolution, 2010, S. 233.
I. Allgemeines Im vierten Abschnitt des Telemediengesetzes (TMG) finden sich spezi- 1 fische Regelungen zum Datenschutzrecht für den Bereich der so genann-
Hullen/Roggenkamp 989
TMG § 11
Datenschutz
ten Telemedien. § 11 legt den Anwendungsbereich dieses Telemediendatenschutzrechts fest. II. Anwendungsbereich 1. Telemedien 2 Das TMG, und somit auch der Abschnitt zum Datenschutz, adressiert grundsätzlich (zu Einschränkungen siehe sogleich) alle Anbieter von Telemedien (zu grenzüberschreitenden Sachverhalten siehe unten Rz. 20). 3 Ausweislich § 1 Abs. 1 Satz 2 TMG ist das TMG nicht auf private Stellen beschränkt, sondern gilt für alle Anbieter einschließlich der öffentlichen Stellen. Ein spezifischer, auf öffentliche Stellen zugeschnittener Datenschutzteil wie im BDSG existiert nicht. 4 Telemedien sind in § 1 Abs. 1 Satz 1 TMG legaldefiniert als „alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 24 des Telekommunikationsgesetzes, die ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen, telekommunikationsgestützte Dienste nach § 3 Nr. 25 des Telekommunikationsgesetzes oder Rundfunk nach § 2 des Rundfunkstaatsvertrages sind“. 5 Der Begriff der elektronischen Informations- und KommunikationsDienste (IuK-Dienste) steht als Oberbegriff über den Telekommunikationsdiensten (TK-Dienste), dem Rundfunk und den Telemediendiensten1. 6 IuK-Dienste, die nicht ausschließlich TK-Dienste oder Rundfunk (vgl. § 2 RStV) umfassen, sind als Telemedien einzustufen. Das sind in der Praxis alle Dienste, die die elektronische Bereitstellung von Inhalten zum Gegenstand haben, also vor allem Webseiten und andere im Internet erhältliche Inhaltsangebote2. Die Gesetzesbegründung nennt beispielhaft E-Commerce-Angebote wie Online-Shops, Video on Demand (soweit nicht als Fernsehdienst einzustufen), „Instrumente zur Datensuche, zum Zugang zu Daten oder zur Datenabfrage“ und Werbe-E-Mails3. Daneben sind Angebote wie Meinungsforen, Bewertungsplattformen, elektronische Anzeigenmärkte, Soziale Netzwerke, Internetbankingportale, Auktionsplattformen, Weblogs, Chatrooms, Online-Gewinnspiele, Online1 BT-Drucks. 16/3078, S. 13. 2 Spindler/Schuster/Holznagel/Ricke, § 1 TMG Rz. 4. 3 BT-Drucks. 16/3078, S. 13 f.
990 Hullen/Roggenkamp
Anbieter-Nutzer-Verhältnis
§ 11 TMG
Glücksspiel, Online-Meinungsumfragen, Sharehoster, Newsgroups, E-Government-Plattformen unproblematisch als Telemediendienste zu klassifizieren. Eine Interaktionsmöglichkeit des Nutzers ist nicht notwendig. Auch Dienste, die nur einseitig Informationen verbreiten (z.B. Werbeseiten) sind Telemediendienste1. Wie der Diensteanbieter sein Angebot technisch umsetzt, ist unerheb- 7 lich. Insbesondere müssen keine eigenen Server betrieben werden. Ausreichend ist es, wenn der Diensteanbieter über den Inhalt und das Bereithalten des Angebots bestimmen kann2. Daher sind Angebote, die auf bereits bestehenden Plattformen errichtet werden, ebenfalls als eigenständige Telemedien einzustufen. So ist z.B. ein Auktionsangebot auf einer Auktionsplattform3, der Betrieb eines Unterangebots auf einer Verkaufsplattform (z.B. Amazon marketplace, eBay Shops), eine Unternehmensseite in einem sozialen Netzwerk (z.B. eine sog. Fanpage4 bei Facebook, ein Twitteraccount5 oder ein eigener YouTube-Kanal) als eigenständiger Telemediendienst einzustufen. Reine Individualkommunikationsdienste (§ 3 Nr. 25 TKG – z.B. Sprach- 8 mehrwertdienste) sind hingegen mit dem TMG ausdrücklich aus dem Bereich der Telemedien herausgenommen worden. Die bis dahin bestehende Unklarheit, ob diese den TK-Diensten und zugleich den Telebzw. Mediendiensten zuzurechnen sind, sollte hierdurch beseitigt werden6. Gleiches gilt für TK-Dienste, die sich in der Übertragung von Signalen über Telekommunikationsnetze erschöpfen. Diese beurteilen sich ausschließlich nach dem TKG. TK-Dienste, die lediglich überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, also neben der Übertragungsdienstleistung noch eine inhaltliche Dienstleistung anbieten, wie der Internet-Zugang und die E-Mail-Übertragung, sollen zugleich als Telemediendienste i.S.d. TMG eingeordnet werden. Die Datenschutzregelungen des TMG gelten für sie jedoch nicht (vgl. unten zu § 11 Abs. 3). Reine Internet-Telefonie (Voice over Internet Protocol – VoIP) ist nicht als Telemediendienst einzuordnen, so-
1 OLG Düsseldorf v. 18.12.2007 – I-20 U 17/07, MMR 2008, 682 (683). 2 OLG Düsseldorf v. 18.12.2007 – I-20 U 17/07, MMR 2008, 682 (683); Heidrich/ Wegener, MMR 2010, 803 (805). 3 Z.B. OLG Frankfurt a.M. v. 6.3.2007 – 6 U 115/06, MMR 2007, 379. 4 Vgl. LG Aschaffenburg v. 19.8.2011 – 2 HK O 54/11, juris m. Anm. Schüßler, jurisPR-ITR 23/2011, Anm. 4. 5 Krieg, K&R 2010, 73 (74 f.); Krieg, AnwZert ITR 10/2009, Anm. 3. 6 BT-Drucks. 16/3078, S. 13.
Hullen/Roggenkamp 991
TMG § 11
Datenschutz
lange kein äußerlich erkennbarer Unterschied zur herkömmlichen leitungsgebundenen Telefonie besteht1. 9 Cloud Computing Dienste können grundsätzlich den Regelungen des TMG unterfallen2, da die Übertragung von Signalen, so sie überhaupt durch den Diensteanbieter selbst vorgenommen wird, regelmäßig nur eine Nebenleistung zu den bereitgestellten Inhalten oder Speicherkapazitäten ist3. Erst wenn die überwiegende Dienstleistung in der Übertragung von Signalen über TK-Netze besteht, was z.B. im Falle von Infrastructure-as-a-Service (IaaS) denkbar ist, findet das TMG bzw. die TMG-Datenschutzregelungen keine bzw. nur eingeschränkte Anwendung. 2. Anbieter-Nutzer-Verhältnis 10 Der Anwendungsbereich des Telemediendatenschutzes ist auf das Verhältnis zwischen Telemediendiensteanbieter und Nutzer beschränkt. Ist der Betroffene nicht Nutzer (zum Begriff s.u. Rz. 14) des jeweiligen Telemediendienstes, greift das subsidiäre (vgl. § 1 Abs. 3 BDSG) BDSG4. 11 Für die Frage ob die §§ 11 ff. TMG Anwendung finden, ist es irrelevant, von wem bzw. aus welcher Quelle der Diensteanbieter die Daten des Betroffenen erhalten hat. Ebenso wenig ist ausschlaggebend, ob der Diensteanbieter bereits über den Betroffenen vorliegende Daten (z.B. aus einem anderen Nutzungsverhältnis) verwendet. Ob der konkrete Umgang mit diesen Daten zulässig ist, bestimmt sich nach den Regelungen des TMG (vgl. z.B. zur Zusammenführung von Nutzungsdaten über die Inanspruchnahme verschiedener Telemedien § 15 Abs. 2 TMG). 12 Im Übrigen erfolgt die Abgrenzung der Anwendungsbereiche der unterschiedlichen datenschutzrechtlichen Regelungen, in Betracht kommen BDSG, TMG und TKG, nach dem sog. Schichtenmodell5. Bei diesem wird der Umgang mit Daten im Internet auf drei Ebenen unterschieden: 1 BT-Drucks. 16/3078, S. 13. 2 So der Anwendungsbereich des TMG eröffnet ist, hat zur datenschutzrechtlichen Einordnung die Abgrenzung nach dem sog. Schichtenmodell zu erfolgen. Hierzu näher Rz. 12. 3 Heidrich/Wegener, MMR 2010, 803 (805); a.A. Spindler/Schuster/Spindler/ Nink, § 14 TMG Rz. 4. 4 Jandt, MMR 2006, 652 (656). 5 Ernst, NJOZ 2010, 1917 (1918); Schaar, Datenschutz im Internet, 2002, Rz. 247 ff.; Ballhausen/Roggenkamp, K&R 2008, 403 (407); Heckmann/Heckmann, Kap. 9 Rz. 39 f.; ausführlich Schleipfer, DuD 2004, 727 ff.
992 Hullen/Roggenkamp
§ 11 TMG
Anbieter-Nutzer-Verhältnis
der Telekommunikationsebene bzw. Transportebene, der Interaktionsebene und der Inhaltsebene. Die Telekommunikationsebene umfasst den gesamten technischen „Unterbau“ der Kommunikation im Internet, d.h. z.B. die Leitungen, Netzknoten, aber auch E-Mail-Dienste1. Die einschlägigen datenschutzrechtlichen Regelungen für diese technische Ebene finden sich in den §§ 91 ff. TKG. Die dem vierten Abschnitt des TMG zuzuordnende Interaktionsebene bezeichnet die Ebene auf der Nutzer und Diensteanbieter interagieren, also z.B. der Webauftritt eines Diensteanbieters. Sie umfasst alle mit der Nutzung des Dienstes unmittelbar in Zusammenhang stehenden personenbezogenen Daten. Die Inhaltsebene schließlich umfasst alle Daten, die im Rahmen des Dienstes anfallen bzw. letztlich nur mittels des Dienstes ausgetauscht werden. Dabei handelt es sich beispielsweise um die Bestellung bestimmter Waren, die Lieferadresse oder die Kreditkartendaten des Kunden die im Kontext des Einkaufs bei einem Online-Shop erhoben werden. Der Umgang mit diesen Daten unterliegt dem Regime des BDSG2. Können personenbezogene Daten sowohl der Interaktions- als auch der Inhaltsebene zugerechnet werden, ist auch die datenschutzrechtliche Behandlung geteilt. Das vorherrschende Rechtsregime zur Beurteilung der Zulässigkeit des Umgangs mit den Daten folgt aus dessen Zweckrichtung. Wird also beispielsweise der Name des Nutzers für Zwecke der Interaktion erhoben (z.B. als Benutzername) und genutzt, findet das TMG Anwendung. Wird der Name (auch) für den Zweck der Lieferung von Waren benötigt, bestimmt sich die datenschutzrechtliche Zulässigkeit der Erhebung und Verwendung nach dem BDSG, da der Zweck der Inhaltsebene zuzurechnen ist. 3. Personenbezogene Daten (Abs. 1) Auch das Telemediendatenschutzrecht regelt – wie das BDSG – nur den 13 Umgang mit personenbezogenen Daten. Es findet keine Anwendung auf sonstige, z.B. anonymisierte Daten. Im Bereich des TMG kommen die gleichen datenschutzrechtlichen Grundsätze wie im BDSG zur Anwendung. Daher meint der Begriff personenbezogene Daten entsprechend § 3 Abs. 1 BDSG auch im TMG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“3. Einzelangaben sind Informationen, die sich auf eine bestimmte natürliche Person beziehen, oder geeignet sind, einen Bezug zu 1 Schaar, Datenschutz im Internet, 2002, Rz. 249. 2 Ballhausen/Roggenkamp, K&R 2008, 403 (407). 3 Siehe hierzu auch die Kommentierung bei § 3 BDSG (Rz. 4 ff.).
Hullen/Roggenkamp 993
TMG § 11
Datenschutz
ihr herzustellen1. Es muss sich bei der Information um eine Information über den Betroffenen selbst oder über einen auf ihn beziehbaren Sachverhalt handeln, wobei „Mischinformationen“ möglich sind2. Wesentliches Element ist die Personenbeziehbarkeit des jeweiligen Datums. Diese ist nur dann gegeben, wenn sich das Datum auf eine bestimmte oder zumindest bestimmbare Person beziehen lässt. Wann dies der Fall ist, ist umstritten (vgl. zum Streitstand ausführlich die Kommentierung zu § 12 Rz. 5 ff. sowie § 3 Abs. 1 BDSG Rz. 14 ff.). 4. Nutzer (Abs. 1 i.V.m. Abs. 2) 14 Das Telemediendatenschutzrecht soll den einzelnen Nutzer eines Telemediendienstes vor den Gefahren schützen, die eine Verarbeitung seiner personenbezogenen Daten im Internet mit sich bringen kann. Im Rahmen der Gesetzgebung wurde es für erforderlich gehalten, in § 11 Abs. 2 TMG eine „für den Bereich des Datenschutzes notwendige Klarstellung“ zum Nutzerbegriff vorzunehmen, indem er festlegt, dass Nutzer i.S.d. Telemediendatenschutzrechts nur natürliche Personen sein können3. Damit wird gleichzeitig der Nutzerkreis enger gezogen als durch § 2 Nr. 3 TMG, der auch juristische Personen umfasst, sofern sie Telemedien nutzen um insbesondere Informationen zu erlangen oder zugänglich zu machen. 15 Für die Einstufung als Nutzer ist es unerheblich, ob ein Vertragsverhältnis zwischen Nutzendem und Diensteanbieter vorliegt oder ob die Inanspruchnahme bewusst oder gewissermaßen „im Verborgenem“ erfolgt4. Maßgeblich ist, ob eine natürliche Person ein Telemedium tatsächlich in Anspruch nimmt5. 5. Ausgenommene Dienste (Abs. 1) 16 Nach Absatz 1 gelten die telemedienrechtlichen Datenschutzbestimmungen nicht für die Erhebung und Verwendung personenbezogener Daten der Nutzer von Telemedien, soweit die Bereitstellung solcher Dienste im Dienst- und Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken erfolgt. Gleiches gilt, wenn die Bereitstellung der Telemediendienste innerhalb von oder zwischen nicht öffent1 2 3 4 5
Gola/Schomerus, § 3 BDSG, Rz. 3. Gola/Schomerus, § 3 BDSG, Rz. 5. BT-Drucks. 16/3078, S. 15. Heckmann/Heckmann, Kap. 9 Rz. 105 f. Spindler/Schuster/Spindler/Nink, § 11 TMG Rz. 13.
994 Hullen/Roggenkamp
Anbieter-Nutzer-Verhältnis
§ 11 TMG
lichen Stellen oder öffentlichen Stellen ausschließlich zur Steuerung von Arbeits- oder Geschäftsprozessen erfolgt. a) Zur Tätigkeitsausübung notwendige Dienste (Abs. 1 Nr. 1) Im Dienst- und Arbeitsverhältnis zu beruflichen Zwecken bereitgestell- 17 te Telemediendienste sind alle vom abhängig Beschäftigten genutzten Dienste, die für die Ausübung seiner Tätigkeit notwendig sind. Hierunter fallen z.B. Produkt- und Kundendatenbanken, Kalender, elektronische Akten und E-Learning-Plattformen. Die Bereitstellung muss ausschließlich für berufliche oder dienstliche Zwecke erfolgen und zulässig sein. Wird beispielsweise ein Mitarbeiterforum angeboten, welches auch privat genutzt werden darf, findet Telemediendatenschutzrecht Anwendung1. Ausschlaggebend ist die Festlegung des Arbeitgebers bzw. Dienstherren. Wenn die Nutzung der bereitgehaltenen Dienste für private Zwecke verboten wurde2, kommt das TMG auch dann nicht zur Anwendung, wenn Beschäftigte diese zu privaten Zwecken nutzen3. b) Steuerung von Arbeits- oder Geschäftsprozessen (Abs. 1 Nr. 2) Zur Steuerung von Arbeits- und Geschäftsprozessen verwendete Teleme- 18 dien unterliegen mit Blick auf die Erhebung und Verwendung personenbezogener Nutzerdaten ebenfalls nicht dem Telemediendatenschutz. Als Arbeits- und Geschäftsprozesse werden alle Abläufe innerhalb einer Organisation oder zwischen Organisationen verstanden, die mit Hilfe einer Informationsinfrastruktur kontrolliert werden und dazu beitragen sollen, ein Arbeits- oder Geschäftsziel zu erreichen4. Die Nutzung derartiger Dienste z.B. durch Mitarbeiter eines fremden Unternehmens richtet sich nach BDSG5. 6. TK-Dienste (Abs. 3) In § 11 Abs. 3 hat der Gesetzgeber mit dem TMG eine Ergänzung zum Geltungsbereich der Datenschutzbestimmungen bei Telemediendiensten, die zugleich dem TK-Datenschutz unterliegen, geschaffen6. Um 1 Heckmann/Heckmann, Kap. 9 Rz. 98. 2 Zu Regelungsmöglichkeiten der privaten Nutzung von E-Mail, Internet und TK und ihrer Durchsetzung instruktiv Braun/Spiegl, AiB 2008, 393. 3 Hoeren/Sieber/Schmitz, Teil 16.2 Rz. 89. 4 Heckmann, Kap. 9, Rz. 100. 5 Spindler/Schuster/Spindler/Nink, § 11 TMG Rz. 12. 6 BT-Drucks. 16/3078, S. 15.
Hullen/Roggenkamp 995
19
TMG § 11
Datenschutz
Rechtsklarheit und eine bessere Handhabung der Datenschutzvorschriften für diese Anbieter zu ermöglichen1, sind bis auf die Möglichkeit der Datenverarbeitung zur Bekämpfung von missbräuchlichen Nutzungen (§ 15 Abs. 8) und die dazugehörigen Sanktionen (§ 16 Abs. 2 Nr. 4) datenschutzrechtliche Regelungen des TMG nicht anwendbar. Für diese Mischangebote, exemplarisch genannt werden Internet-Access-Provider sowie Anbieter von E-Mail-Übertragung2, gelten im Übrigen die Datenschutzvorschriften des TKG. III. Grenzüberschreitende Sachverhalte 20 In § 3 Abs. 1 und 2 TMG ist das sog. Herkunftslandsprinzip niedergelegt, welches besagt, dass niedergelassene Diensteanbieter (§ 2a TMG) nur den rechtlichen Anforderungen ihres Niederlassungsstaates unterliegen, auch wenn sie ihre Dienste in anderen Staaten innerhalb des Geltungsbereichs der ECRL (also die EU-Mitgliedstaaten und die EWRStaaten3) anbieten4. Ausdrücklich vom Herkunftslandsprinzip nicht erfasst ist aber nach § 3 Abs. 3 Nr. 4 TMG das „für den Schutz personenbezogener Daten geltende Recht“. Daraus folgt, dass sich die Anwendung der Datenschutzvorschriften des vierten Abschnitts des TMG im internationalen Kontext nach den allgemeinen Kollisionsvorschriften des BDSG richtet5. Der § 1 Abs. 5 BDSG regelt also auch die internationale Anwendbarkeit der §§ 11 ff. TMG6. 21 Es ist somit auch (siehe Kommentierung zu § 1 BDSG Rz. 49 ff.) im Bereich des Telemediendatenschutzrechts zunächst zu differenzieren, ob die verantwortliche Stelle ihren Sitz in einem EU/EWR-Mitgliedstaat hat oder in einem sog. Drittstaat. 22 Hat der Diensteanbieter seinen Sitz in einem EU/EWR-Staat, gilt das Datenschutzrecht des Sitzstaates (Sitzprinzip), es sei denn es existiert eine Niederlassung in der Bundesrepublik Deutschland. In diesem Fall wäre auch das deutsche Datenschutzrecht anwendbar. Nach dem EuGH 1 BT-Drucks. 16/3078, S. 15 f. 2 BT-Drucks. 16/3078, S. 15. 3 Vgl. Beschl. des Gemeinsamen EWR-Ausschusses Nr. 91/2000 v. 27.10.2000 zur Änderung des Anhangs XI (Telekommunikationsdienste) des EWR-Abkommens, ABl. Nr. L 007 v. 11.1.2001, S. 13–14. 4 Heckmann/Heckmann, Kap. 1, Rz. 148; MüKo-BGB/Martiny, 5. Aufl. 2010, § 3 TMG Rz. 7. 5 Taeger/Gabel/Moos, TMG Einführung Rz. 11. 6 Jotzo, MMR 2009, 232 (234).
996 Hullen/Roggenkamp
Anbieter-Nutzer-Verhältnis
§ 11 TMG
umfasst der Begriff der Niederlassung die tatsächliche Ausübung einer wirtschaftlichen Tätigkeit mittels einer festen Einrichtung auf unbestimmte Zeit1. Das Vorhalten technischer Einrichtungen (z.B. die Anmietung von Servern) reicht für die Annahme einer Niederlassung nicht aus2. Auch die Nutzung dieser Einrichtungen zum Umgang mit personenbezogenen Daten (z.B. Zwischenspeicherung von Nutzungsdaten) ist für die Annahme einer tatsächlichen Ausübung einer wirtschaftlichen Tätigkeit noch nicht ausreichend3. Befindet sich der Sitz des Diensteanbieters in einem Drittstaat außerhalb der EU bzw. des EWR kommt es für die Anwendbarkeit des TMGDatenschutzrechts auf den Ort der Datenverarbeitung an (sog. Territorialitätsprinzip)4. In diesem Fall reicht es aus, wenn auf einem in der Bundesrepublik Deutschland bereitgehaltenen Server Daten erhoben, verarbeitet oder genutzt werden5. Die reine Durchleitung von Daten genügt hingegen nicht, vgl. § 1 Abs. 5 Satz 4 BDSG.
23
Auch der Einsatz von Cookies und Java-Skripten, die jeweils auf dem 24 Rechner des Nutzers gespeichert bzw. ausgeführt werden, soll nach einer Ansicht eine Datenverarbeitung im Inland darstellen6. Dies würde jedoch dazu führen, dass auch Diensteanbieter deutsches Datenschutzrecht beachten müssten, die gar nicht die Intention haben, den deutschen Markt zu bedienen, weil es nur darauf ankäme, dass ein deutscher Nutzer auf ihr Angebot zugreift. Dafür gibt es keinen sachlichen Grund. Nur wenn sich das Telemedienangebot aus objektiver Sicht auch an Nutzer in Deutschland richtet, ist eine Unterwerfung unter das TMGDatenschutzrecht gerechtfertigt. Als Indizien hierfür können z.B. ein deutschsprachiges Angebot oder eine deutsche Top-Level-Domain (.de) dienen7.
1 EuGH v. 25.7.1991 – C-221/89, Factortame, 1991, Slg I-3905, Rz. 20. 2 Taeger/Gabel/Moos, TMG Einführung Rz. 14; Artikel-29-Datenschutzgruppe, Arbeitspapier 56 v. 30.5.2002, S. 9. 3 Vgl. Beispiel der Artikel-29-Datenschutzgruppe, Arbeitspapier 56 v. 30.5.2002, S. 9; a.A. Jotzo, MMR 2009, 232 (234). 4 Taeger/Gabel/Moos, TMG Einführung Rz. 15; Gola/Schomerus, § 1 BDSG Rz. 29. 5 Taeger/Gabel/Moos, TMG Einführung Rz. 15; Däubler/Klebe/Wedde/Weichert/ Weichert, § 1 BDSG Rz. 19. 6 Taeger/Gabel/Moos, TMG Einführung Rz. 15. 7 Vgl. Däubler/Klebe/Wedde/Weichert/Weichert, § 1 BDSG Rz. 19.
Hullen/Roggenkamp 997
TMG § 12
Datenschutz
Grundsätze
12
(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. (2) Der Diensteanbieter darf für die Bereitstellung von Telemedien erhobene personenbezogene Daten für andere Zwecke nur verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. (3) Soweit nichts anderes bestimmt ist, sind die jeweils geltenden Vorschriften für den Schutz personenbezogener Daten anzuwenden, auch wenn die Daten nicht automatisiert verarbeitet werden. I. Einführung . . . . . . . . . . . . . . . .
1
II. Rechtmäßigkeit der Datenerhebung und -verwendung (Abs. 1) . . . . . . . . . . . . . . . . . . . 2 1. Verbotsprinzip . . . . . . . . . . . . . 4 2. Personenbezogene Daten . . . . 5 a) Allgemeines . . . . . . . . . . . . 5 b) Personenbezug von IPAdressen . . . . . . . . . . . . . . . 10
3. Bereitstellung von Telemedien . . . . . . . . . . . . . . . . . . . . . . 18 4. Erlaubnistatbestände . . . . . . . . 19 5. Einwilligung . . . . . . . . . . . . . . . 21 III. Zweckbindungsgrundsatz (Abs. 2). . . . . . . . . . . . . . . . . . . . 24 IV. Nicht-automatisierte Datenverarbeitung (Abs. 3) . . . . . . . . 32
Schrifttum: Bull, Persönlichkeitsschutz im Internet: Reformeifer mit neuen Ansätzen, NVwZ 2011, 257; Eckhardt, IP-Adressen als personenbezogenes Datum – neues Öl ins Feuer, CR 2011, 339; Härting, Datenschutz zwischen Transparenz und Einwilligung, CR 2011, 169; Hoeren, Google Analytics – datenschutzrechtlich unbedenklich?, ZD 2011, 3; Karg, Die Rechtsfigur des personenbezogenen Datums – Ein Anachronismus des Datenschutzes?, ZD 2012, 255; Krüger/Maucher, Ist die IP-Adresse wirklich ein personenbezogenes Datum? Ein falscher Trend mit großen Auswirkungen auf die Praxis, MMR 2011, 433; Lorenz, Datenschutzrechtliche Einordnung der IP-Adresse, jurisPR-ITR 15/2011 Anm. 2; Meyerdierks, Sind IP-Adressen personenbezogene Daten?, MMR 2009, 8; Piltz, Der Like-Button von Facebook, CR 2011, 657; Plath/Frey, Online-Marketing nach der BDSG-Novelle, CR 2009, 613; Schneider/Härting, Warum wir ein neues BDSG brauchen, ZD 2011, 63; Voigt, Datenschutz bei Google, MMR 2009, 377; Voigt/ Alich, Facebook-Like-Button und Co. – Datenschutzrechtliche Verantwortlichkeit der Webseitenbetreiber, NJW 2011, 3541; Wegener/Heidrich, Neuer Standard – Neue Herausforderungen: Ipv6 und Datenschutz, CR 2011, 479; Wieczorek, Informationsbasiertes Persönlichkeitsrecht, DuD 2011, 476.
998 Hullen/Roggenkamp
Grundsätze
§ 12 TMG
I. Einführung Die Norm legt die Voraussetzungen für die rechtmäßige Erhebung und 1 Verwendung von personenbezogenen Daten zur Bereitstellung von Telemedien fest. Abs. 1 statuiert dabei ein Verbot mit Erlaubnisvorbehalt. Die Erhebung und Verwendung der Daten bedarf zu ihrer Zulässigkeit entweder der Legitimation durch einen gesetzlichen Erlaubnistatbestand oder der Einwilligung des Nutzers. Darüber hinaus bestimmt die Norm, dass Daten, die für die Bereitstellung von Telemedien erhoben wurden, nur für diese Zwecke verwendet werden dürfen, soweit keine gesetzliche Ausnahme von diesem Zweckbindungsgrundsatz eingreift oder der Nutzer in die Zweckänderung eingewilligt hat (Abs. 2). Abs. 3 stellt klar, dass allgemeine Datenschutzvorschriften, insbesondere die des BDSG, gelten, soweit das TMG keine spezielleren Regelungen enthält1. Die Norm setzt Art. 7 (Zulässigkeit der Datenverarbeitung) und 6 Abs. 1 (Zweckbindung) der EG-Datenschutzrichtlinie in nationales Recht um. II. Rechtmäßigkeit der Datenerhebung und -verwendung (Abs. 1) Abs. 1 enthält die wesentlichen Grundregeln des telemedienbezogenen 2 Datenschutzes, insbesondere das Verbot, Daten ohne Einwilligung des Nutzers oder einschlägigen Erlaubnistatbestand zu erheben und zu verwenden sowie die Begrenzung des Anwendungsbereichs auf Daten, die einen Personenbezug aufweisen. „Erheben“ meint gem. § 3 Abs. 3 BDSG „das Beschaffen von Daten über 3 den Betroffenen“, d.h. im Bereich des Telemediendatenschutzes über den Nutzer (siehe § 3 BDSG Rz. 30). Während im TDDSG noch von einer Verarbeitung (§ 3 Abs. 4 BDSG, siehe dort Rz. 34) und Nutzung (§ 3 Abs. 5 BDSG, siehe dort Rz. 53) der Daten gesprochen wurde, wurden im TMG aus Gründen der Vereinfachung beide Handlungen unter dem Begriff der Verwendung zusammengefasst. Eine inhaltliche Änderung ergab sich hierdurch jedoch nicht2. 1. Verbotsprinzip Abs. 1 enthält den datenschutzrechtlichen Grundsatz, dass die Erhebung 4 bzw. Verwendung von Daten mit Personenbezug (vgl. auch § 3 BDSG Rz. 4 ff.) verboten sind, soweit keine gesetzliche Legitimation in Form 1 Roßnagel/Schulz, Recht der Multimedia-Dienste, § 1 TDDSG Rz. 55. 2 BT-Drucks. 16/3078, S. 16.
Hullen/Roggenkamp 999
TMG § 12
Datenschutz
eines Erlaubnistatbestands greift oder eine Einwilligung des Nutzers vorliegt. Die Regelung entspricht somit den allgemeinrechtlichen Vorgaben des § 4 Abs. 1 BDSG (siehe dort Rz. 2 ff.). 2. Personenbezogene Daten a) Allgemeines 5 Das Datenverarbeitungsverbot mit Erlaubnisvorbehalt erstreckt sich nur auf personenbezogene Daten i.S.v. § 3 Abs. 1 BDSG (siehe dort Rz. 4 ff.). Hiernach fallen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person in den Anwendungsbereich des § 12 Abs. 1. Ein Personenbezug liegt vor, wenn die jeweiligen Daten, gleich welcher Art oder Qualität, einem Individuum zugeordnet werden können. Umstritten ist dabei, unter welchen Vorraussetzungen von einer Bestimmbarkeit der Person, auf die sich die jeweiligen Daten beziehen, auszugehen ist (zum Streitstand siehe § 3 BDSG Rz. 4). 6 Legt man einen subjektiven oder relativen Maßstab an, ist eine Bestimmbarkeit nur dann gegeben, wenn der Diensteanbieter in der Lage ist, mit den ihm normalerweise zur Verfügung stehenden Hilfsmitteln unter vernüftigem Aufwand die Daten einem bestimmten Individuum zuordnen zu können. Kann er diese Zuordnung unter den genannten Bedingungen nicht selbst vornehmen, ist ein Personenbezug mangels Bestimmbarkeit durch den Diensteanbieter zu verneinen. Irrelevant ist es nach dieser Auffassung, dass ein Dritter die Person bestimmen könnte, weil sie über zusätzliches Wissen verfügt, die ihr diese Zuordnung ermöglicht. Das führt dazu, dass dasselbe Datum (z.B. eine IP-Adresse) für einen Diensteanbieter (z.B. einen Webseitenbetreiber) mangels Möglichkeit, den Individualbezug selbst herzustellen keinen, für einen anderen Diensteanbieter (z.B. den die IP-Adresse vergebenden Access-Provider) aber sehr wohl einen Personenbezug aufweisen kann1 7 Einem objektiven oder absoluten Verständnis der Bestimmbarkeit nach ist für die Beurteilung, ob ein Datum personenbezogen ist oder nicht, entscheidend, ob dieses durch einen beliebigen Dritten einem Individuum zugeordnet werden könnte2. Personenbezogen ist ein Datum nach 1 Z.B. Gola/Schomerus, § 3 BDSG Rz. 10; Roßnagel/Scholz, MMR 2000, 721 (722); Meyerdierks, MMR 2009, 8 (12); Voigt/Alich, NJW 2011, 3541 (3542 m.w.N.), siehe auch unten Rz. 10 ff. 2 Däubler/Klebe/Wedde/Weichert/Weichert, § 3 BDSG Rz. 13.
1000 Hullen/Roggenkamp
Grundsätze
§ 12 TMG
dieser Auffassung immer dann, wenn es durch irgendjemanden einer bestimmten Person zugeordnet werden kann. Ob auch derjenige, der die Daten verarbeitet, die Möglichkeit hat, die Zuordnung zum jeweiligen Individuum nachvollziehen zu können, ist irrelevant. Die absolute Auffassung kann mit Blick auf den Zweck des Datenschut- 8 zes nicht überzeugen. Nur wenn derjenige, der die Daten erhebt und verwendet, einen Personenbezug herstellen kann, ist das allgemeine Persönlichkeitsrecht des Nutzers gefährdet. Die absolute Auffassung führt zu einer Erstreckung des Datenschutzrechts auf Lebenssachverhalte, die mangels realer Möglichkeit der Zuordnung von Daten zu Individuen keine Gefährdung des allgemeinen Persönlichkeitsrechts darstellen. Ein pauschales Verbot der Datenverarbeitung ist in diesen Fällen nicht zu rechtfertigen. Die Anhänger der absoluten Auffassung folgen selbiger häufig aus Gründen eines wohlwollend weit verstandenen Datenschutzes1. Die Erstreckung des Schutzbereichs der Datenschutzregelungen auf jegliche Daten, die in irgendeiner Weise einer natürlichen Person zugeordnet werden könnten, ist jedoch kein haltbarer Ansatz, da ein generelles Verbot die Möglichkeit eines gerechten Interessenausgleichs erheblich erschwert. Vielmehr obliegt es dem Gesetzgeber zu definieren, welche Bereiche aus Gründen des Persönlichkeitsschutzes zu reglementieren ist, wobei in Einzelfällen auch der Schutz nicht-personenbezogener Daten angezeigt sein kann2. Häufig wird Erwägungsgrund 26 der EG-Datenschutzrichtlinie als Argu- 9 mentationsgrundlage für die absolute Auffassung herangezogen. Danach sind bei der Entscheidung, ob eine Person bestimmbar ist, auch Mittel eines Dritten, die vernünftigerweise zur Individualisierung der Person verwendet werden könnten, zu berücksichtigen. Hieraus lässt sich jedoch nicht zwangsläufig folgern, dass das bloße Vorhandensein solcher Mittel eines Dritten zur Bejahung eines Personenbezugs ausreicht, wenn derjenige, der die Daten verarbeitet, nicht tatsächlich in der Lage ist, das Individuum, auf das sich die zu verarbeitenden Daten beziehen, mit Hilfe des Dritten zu identifizieren3.
1 Vgl. auch Voigt, MMR 2009, 377 (379). 2 So auch Krüger/Maucher, MMR 2011, 433 (437). 3 So im Ergebnis auch Taeger/Gabel/Buchner, § 3 BDSG Rz. 12; Meyerdierks, MMR 2009, 8 (12); Krüger/Maucher, MMR 2011, 433 (437).
Hullen/Roggenkamp 1001
TMG § 12
Datenschutz
b) Personenbezug von IP-Adressen 10 Weder die eine, noch die andere Meinung kann momentan als vorherrschend bezeichnet werden1. Im Bereich des Telemediendatenschutzes ist die Klärung der Frage nach dem Personenbezug insbesondere bei IPAdressen praktisch relevant, da vor allem Betreiber von Webseiten diese aus unterschiedlichsten Gründen (z.B. zu Zwecken des Webtrackings2 bzw. zur Nutzungsanalyse) über den Nutzungsvorgang hinaus samt Zugriffszeit in sog. Logfiles speichern bzw. „loggen“. Eine IP-Adresse wird dem Anschluss eines Internetnutzers in der Regel bei jedem Verbindungsaufbau durch den Access-Provider zugewiesen, weshalb auch von einer „dynamischen“ IP-Adresse gesprochen wird3. Daneben existieren auch „statische“ IP-Adressen, die dauerhaft einem bestimmten Anschluss (meist von juristischen Personen4) zugewiesen sind. 11 Über die IP-Adresse ist der Anschluss bzw. der dahinterstehende Computer eindeutig durch Telemediendienste addressier- und erreichbar, da jede IP-Adresse zu jedem Zeitpunkt jeweils nur einem Computer zugeteilt wird5. Mit Hilfe der Informationen IP-Adresse, Uhrzeit und Kalenderdatum, also Informationen, die in den oben erwähnten Logfiles vorhanden sind, kann theoretisch herausgefunden werden, über wessen Anschluss zu einem bestimmten Zeitpunkt ein bestimmtes Telemedienangebot (bis hin zu einer bestimmten Webseite) aufgerufen wurde. 12 De facto ist dies dem Betreiber eines Telemediendienstes bei dynamischen IP-Adressen jedoch nur möglich, wenn er die entsprechenden Informationen vom Access-Provider, der die IP-Adresse einem bestimmten Anschluss zugeteilt hat, erhält. An diesem Punkt setzen die Vertreter der relativen Auffassung an, die einer IP-Adresse dann den Personenbezug absprechen wollen, wenn sie durch einen Diensteanbieter erhoben und verwendet wird, der nicht mit dem die IP-Adresse vergebenden Access1 Zum Meinungsstand siehe Plath/Frey, CR 2009, 613 (615). 2 Zu Google Analytics vgl. die Kommentierung zu § 15 Rz. 10. 3 Dies ist insbesondere dadurch bedingt, dass „nur“ knapp 4,3 Milliarden IPAdressen der aktuellen Version IPv4 vorhanden sind. Den einzelnen Providern wird ein bestimmter Adressenblock zugewiesen, mit welchem sie „haushalten“ müssen. Im Rahmen der neuen Version IPv6 wird dieses Problem nicht mehr bestehen, weil dann 340 Sextillionen IPv6-Adressen zur Verfügung stehen. Es wird also theoretisch möglich sein, jedem mit dem Internet verbundenem Gerät dauerhaft eine IP-Adresse zuzuteilen. Hierzu näher Freund/Schnabel, MMR 2011, 495 ff. 4 Spindler/Schuster/Spindler/Nink, § 11 TMG Rz. 8. 5 Vgl. Meyerdierks, MMR 2009, 8 (8 f.).
1002 Hullen/Roggenkamp
Grundsätze
§ 12 TMG
Provider in Verbindung steht1. Der Diensteanbieter ist regelmäßig nicht in der Lage, den hinter der IP-Adresse stehenden Anschlussinhaber zu bestimmen, weshalb die Voraussetzung der „Bestimmbarkeit“ einer natürlichen Person i.S.d. § 3 Abs. 1 BDSG nicht gegeben wäre. Die Sichtweise derjenigen, die einen Personenbezug von IP-Adressen relativ, also abhängig von den Möglichkeiten des Diensteanbieters betrachten wollen, ist angesichts der mitunter bestehenden praktischen Notwendigkeit einer weitergehenden Nutzung der IP-Adresse, z.B. im Rahmen der Bannerwerbung2, auch in ihrer Motivation verständlich und nachvollziehbar. Dies gilt insbesondere vor dem Hintergrund, dass die in der Realität nur theoretische Gefährdung des Rechts auf informationelle Selbstbestimmung des Betroffenen gering erscheint.
13
In der Praxis ist zu beachten, dass eine gewichtige Gegenmeinung IPAdressen als personenbezogenes Datum einordnet und dementsprechend die Zulässigkeit ihrer Erhebung und Verwendung stets dem Regime des Datenschutzrechts unterordnet3. Insbesondere vertritt sowohl das Bundesministerium der Justiz4, der Düsseldorfer Kreis5, der Arbeitskreis Medien der Datenschutzbeauftragten von Bund und Ländern6 und die Artikel-29-Datenschutzgruppe7 diese Auffassung. Mit Blick auf Erwägungsgrund 26 der EG-Datenschutzrichtlinie8 wird argumentiert,
14
1 Krüger/Maucher, MMR 2011, 433 (436); Meyerdierks, MMR 2009, 8 (9 f.); Köcher, MMR 2007, 800 (801); Eckhardt, K&R 2007, 602 (602 f.); OLG Hamburg v. 3.11.2010 – 5 W 126/10, CR 2011, 126; AG München v. 30.9.2008 – 133 C 5677/08, MMR 2008, 860. 2 Krüger/Maucher, MMR 2011, 433 (439). 3 AG Berlin-Mitte v. 27.3.2007 – 5 C 314/06, CR 2008, 194 m. zust. Anm. Krieg, jurisPR-ITR 14/2007, Anm. 2; VG Wiesbaden v. 27.2.2009 – 6 K 1045/08.Wi, K&R 2009, 354; Karg, MMR 2011, 345 (346); Maaßen, GRUR-Prax 2010, 536 (536); Kitz, GRUR 2003, 1014 (1018); Nordemann/Dustmann, CR 2004, 380 (386); Spindler/Dorschel, CR 2005, 38 (44). 4 Schreiben an die Landesjustizverwaltungen v. 2.2.2009 – R B 3 – zu 4104/8 – 1 – R5 39/2008. 5 Vgl. Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich am 26./27. November 2009 in Stralsund. 6 Arbeitskreis Medien, Orientierungshilfe zum Umgang mit personenbezogenen Daten bei Internetdiensten, Punkt 3.1 (Zugangs-Anbieter). 7 Artikel-29-Datenschutzgruppe, Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen, WP 148, S. 9. 8 Dieser lautet „Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien fin-
Hullen/Roggenkamp 1003
TMG § 12
Datenschutz
dass es für die Beurteilung der Bestimmbarkeit nicht nur auf die individuellen Möglichkeiten der speichernden Stelle ankommen soll (siehe bereits oben Rz. 9). 15 Der BGH hat sich bislang bei der Frage, ob IP-Adressen personenbezogene Daten sind, nicht positioniert1. Der 1. Senat lehnte in der Entscheidung „Sommer unseres Lebens“ einen Personenbezug ab, da die IPAdresse einem Internet-Anschluss zugeordnet werden kann, nicht jedoch auf die Person schließen lässt, die diesen Anschluss auch tatsächlich nutzt2. Auch der 3. Senat hat diese Frage nicht entschieden, als er zu beurteilen hatte, wie lange IP-Adressen vom TK-Dienstleiter zu Abrechnungs- und Wartungszwecken gespeichert werden dürfen3. Der Personenbezug von (dynamischen) IP-Adressen stand hier außer Frage, da der (TK-)Diensteanbieter, der die IP-Adressen vergab, die Zuordnung zu einer bestimmten, ihm namentlich bekannten Anschlussinhaber selbst vornehmen konnte. Der EuGH lässt in seiner Entscheidung „Scarlet Extended SA“ die Frage unbeantwortet, ob IP-Adressen generell als personenbezogenes Datum eingeordnet werden müssen. In dem zugrunde liegenden Fall handelte es sich um IP-Adressen, deren Personenbezug problemlos vom Access-Provider selbst hergestellt werden konnte4. 16 Eine nicht von einer Einwilligung oder Rechtsnorm gedeckte Erhebung und Verwendung von IP-Adressen ist somit in der Praxis aufgrund fehlender höchstrichterlicher Entscheidung risikobehaftet5. Zu befriedigen vermag dieses Ergebnis, welches einmal mehr zeigt, dass das „tradierte“ Datenschutzrecht den Anforderungen der Interaktion und Kommunikation im Zeitalter von Social Media und Web 2.0 nicht gerecht wird, nicht. Klarheit würde hier eine, freilich vom Gesetzgeber zu schaffende Regelung, die Speicherung von IP-Adressen zu bestimmten Zwecken zulässt, solange und soweit keine legitimen Interessen des Betroffenen entgegenstehen.
1 2 3 4 5
den keine Anwendung auf Daten, die derart anonymisiert sind, daß die betroffene Person nicht mehr identifizierbar ist.“ (Hervorhebung nur hier). Unzutreffend Karg, MMR 2011, 345 (345). BGH v. 12.5.2010 – I ZR 121/08, NJW 2010, 2061 (2062) – Sommer unseres Lebens. BGH v. 13.1.2011 – III ZR 146/10, MMR 2011, 341–345 – Speicherung dynamischer IP-Adressen. EuGH v. 24.11.2011 – C-70/10, Scarlet Extended SA. Vgl. aber auch die jüngeren Tendenz in der Rechtsprechung: OLG Hamburg v. 3.11.2010 – 5 W 126/10, CR 2011, 126–127.
1004 Hullen/Roggenkamp
Grundsätze
§ 12 TMG
Im Zuge der anstehenden Einführung von IP-Adressen der Version IPv6 17 ist zu erwarten, dass die heutige Praxis der dynamischen IP-Adressvergabe endet. Jedes Endgerät kann eine statische IP-Adresse erhalten. Diese statischen IP-Adressen der Version IPv6 werden auf Grund der stark erhöhten Möglichkeiten, die dahinter stehende Person zu identifizieren, in der Regel als personenbezogene Daten anzusehen sein1. Sollte hingegen die Praxis der dynamischen IP-Adressenvergabe fortgesetzt werden, bleibt es bei der o.g. Rechtsunklarheit. 3. Bereitstellung von Telemedien Das Datenverarbeitungsverbot mit Erlaubnisvorbehalt des § 12 Abs. 1 18 gilt nur für personenbezogene Daten, die zur Bereitstellung von Telemedien erhoben und verwendet werden. Telemedien sind gemäß § 1 Abs. 1 Satz 1 TMG alle „elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 24 des Telekommunikationsgesetzes, die ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen, telekommunikationsgestützte Dienste nach § 3 Nr. 25 des Telekommunikationsgesetzes oder Rundfunk nach § 2 des Rundfunkstaatsvertrages sind“ (siehe hierzu auch § 11 Rz. 2 ff.). Durch die Verwendung des Begriffs der Bereitstellung wollte der Gesetzgeber klarstellen, dass § 12 Abs. 1 auch zur Anwendung kommt, wenn das jeweilige Telemedium, bspw. nach entsprechender vertraglicher Bindung, vom Nutzer gar nicht in Anspruch genommen wird. Die noch in § 3 TDDSG verwendete Formulierung „zur Durchführung von Telediensten“ war insofern missverständlich2. 4. Erlaubnistatbestände Im TMG finden sich verschiedene Normen, die die Erhebung und Ver- 19 wendung von personenbezogenen Daten zur Bereitstellung von Telemediendiensten erlauben, ohne dass es hierfür auf eine Einwilligung des Nutzers ankommt. Die wichtigsten Erlaubnistatbestände finden sich in § 14 Abs. 1 zur Erhebung und Verwendung von Bestandsdaten sowie in § 15 Abs. 1 zur Erhebung und Verwendung von Nutzungs- und Abrechnungsdaten.
1 Freund/Schnabel, MMR 2011, 495 (497); Hoeren, ZRP 2010, 251 (252 f.); Brosch/Hennrich, AnwZert ITR 21/2011, Anm. 2. Ausführlich zu den neuen Identifizierungsmöglichkeiten Wegener/Heidrich, CR 2011, 479 (483 ff.). 2 BT-Drucks. 16/3078, S. 16.
Hullen/Roggenkamp 1005
TMG § 12
Datenschutz
20 Andere Rechtsvorschriften, also solche außerhalb des TMG, können ebenfalls eine Erlaubnis i.S.d. Abs. 1 enthalten. Diese Rechtsvorschriften müssen sich jedoch ausdrücklich auf Telemedien beziehen (sog. Zitiergebot). Hierdurch wollte der Gesetzgeber das Verhältnis zwischen bereichsspezifischen Telemedien-Datenschutzregeln und denen des allgemeinen Datenschutzes im BDSG deutlicher herausstellen1. Wenn und soweit die bereichspezifischen Normbereiche des TMG eröffnet sind, handelt es sich um abschließende Regelungen. Die Anwendbarkeit von Erlaubnisnormen des BDSG, die sich nicht ausdrücklich auf Telemedien beziehen, ist somit ausgeschlossen. Dies gilt jedoch nicht für personenbezogene Daten wie Inhaltsdaten, die nicht „zur Bereitstellung von Telemedien“ erhoben oder verwendet werden, da die Subsidiaritätswirkung nur bei echter Tatbestandskonkurrenz eingreift2. 5. Einwilligung 21 Als gleichwertige Alternative zu den dargestellten Erlaubnistatbeständen kann die rechtmäßige Erhebung und Verwendung personenbezogener Daten auch aufgrund der Einwilligung des Nutzers erfolgen. Hierdurch wird es dem Diensteanbieter u.a. ermöglicht, Bestands- und Nutzungsdaten zu anderen als den in §§ 14 und 15 festgelegten Zwecken zu verwenden. 22 Die Einwilligung des Nutzers muss den Vorgaben des § 4a BDSG3 entsprechen. Dieser bestimmt, dass die Einwilligung nur wirksam ist, wenn sie auf der freien Entscheidung des Betroffenen beruht. Der Betroffene ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie ggf. auf die Folgen der Verweigerung der Einwilligung hinzuweisen. § 13 Abs. 2 (siehe § 13 Rz. 17) eröffnet abweichend zu § 4a Abs. 1 Satz 2 BDSG ausdrücklich die Möglichkeit, die Einwilligung unter den dort genannten Voraussetzungen elektronisch zu erklären, wovon im Rahmen der Nutzung von Telemedien regelmäßig Gebrauch gemacht wird4. 23 Teilweise wird die Auffassung vertreten, dass die Einholung einer Einwilligung zur Erhebung und Verwendung personenbezogener Daten ausscheide, falls die Datenverarbeitung schon durch einen Erlaubnistat-
1 2 3 4
Spindler/Schuster/Spindler/Nink, § 12 TMG Rz. 4. Taeger/Gabel/Moos, § 12 TMG Rz. 17 m.w.N. Siehe auch die Kommentierung zu § 4a BDSG Rz. 23 ff. Spindler/Schuster/Spindler/Nink, § 12 TMG Rz. 3.
1006 Hullen/Roggenkamp
Grundsätze
§ 12 TMG
bestand legitimiert ist1. Durch die Möglichkeit der flankierenden Einwilligung werde dem Nutzer die Fehlvorstellung vermittelt, dass er über die Zulässigkeit der Erhebung und Verwendung seiner Daten frei entscheiden könne, obwohl die Datenverarbeitung bereits durch einen gesetzlichen Erlaubnistatbestand legitimiert sei2. Oftmals ist der Diensteanbieter jedoch auf die Einholung einer zusätzlichen, absichernden Einwilligung angewiesen, um sich überhaupt datenschutzrechtlich einwandfrei verhalten zu können. Dies gilt insbesondere in den vielfältigen Konstellationen, in denen (gerichtlich) ungeklärt ist, ob eine Datenerhebung bzw. -verwendung ohne Einwilligung überhaupt datenschutzrechtlich gestattet ist oder nicht. Fehlvorstellungen der Nutzer über die Möglichkeit der freien Entscheidung über die Datenverarbeitung trotz einschlägigem Erlaubnistatbestands lassen sich durch einen entsprechenden Hinweis, dass die Datenverarbeitung auch bei versagter Einwilligung aufgrund gesetzlicher Regelungen legitimiert sein kann, ausräumen3. III. Zweckbindungsgrundsatz (Abs. 2) Abs. 2 enthält den Grundsatz der Zweckbindung der (rechtmäßig) erhobenen Daten. Hiernach dürfen personenbezogene Daten grundsätzlich nur zu dem Zweck verwendet werden, zu dem sie auch erhoben wurden.
24
Personenbezogene Daten, die für die Bereitstellung von Telemedien er- 25 hoben wurden, dürfen demnach nicht zu einem unbestimmten Zweck und somit „auf Vorrat“ gespeichert werden. Gleiches gilt für die Verwendung zu einem Zweck, der nicht dem des jeweils einschlägigen Erlaubnistatbestands (siehe oben Rz. 19 f.) bzw. dem Zweck, in den der Nutzer eingewilligt hat (siehe oben Rz. 21 ff.), entspricht4. Das enge Zweckbindungsgebot rechtfertigt sich dadurch, dass die Ver- 26 wendung bestimmter personenbezogener Daten in einem anderen Kontext einen ungleich stärkeren Eingriff in das allgemeine Persönlichkeitsrecht des Nutzers darstellen kann5. Die kurzzeitige Verwendung
1 2 3 4 5
Zum Streitstand siehe Schneider/Härting, ZD 2011, 63 (65). Simitis/Sokol, § 4 BDSG Rz. 6. Vgl. auch § 28 BDSG Rz. 9. Hoeren/Sieber/Schmitz, Multimedia-Recht, Teil 16.2 Rz. 130. So auch BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, MMR 2008, 315 (317 f.) – Online-Durchsuchung.
Hullen/Roggenkamp 1007
TMG § 12
Datenschutz
von Standortdaten zur Einblendung standortbezogener Werbung1 auf Smartphones weist beispielsweise eine andere Qualität auf, als die weitere Verwendung dieser Daten zur Erstellung eines langfristigen Bewegungsprofils des Nutzers. 27 Der Zweckbindungsgrundsatz ist für die Sicherung des Rechts auf informationelle Selbstbestimmung von grundlegender Bedeutung. Nur derjenige, der den Verwendungszweck seiner Daten kennt, kann selbst entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden2. Zudem steigert die strenge Zweckbindung das Vertrauen in die Datenverarbeitung mittels informationstechnischer Systeme, die allgegenwärtig und in ihrer Bedeutung für die Persönlichkeitsentfaltung nicht zu unterschätzen sind3. Nutzer müssen sich darauf verlassen können, dass die personenbezogenen Daten, die sie Diensteanbietern zur Bereitstellung von Telemedien anvertrauen (müssen), nur zu den vorgegebenen Zwecken verwendet werden. Da im Rahmen der Nutzung hochkomplexer vernetzter Systeme einmal preisgegebene Daten vom Nutzer allein nicht mehr zu kontrollieren oder zu löschen sind, ist der Stellenwert des Zweckbindungsgrundsatzes nicht zu unterschätzen. 28 Personenbezogene Daten, die für die Bereitstellung von Telemedien erhoben wurden, d.h. insbesondere Bestands- sowie Nutzungs- und Abrechnungsdaten, dürfen für andere Zwecke nur verwendet werden, soweit dies durch das TMG, ein anderes Gesetz oder den Nutzer gestattet wird. 29 Gesetzliche Regelungen, die eine Änderung des Verwendungszwecks der personenbezogenen Daten, die für die Bereitstellung von Telemedien erhoben wurden, erlauben, finden sich lediglich im TMG. Hierbei handelt es sich zum einen um § 14 Abs. 2 und § 15 Abs. 5 Satz 4 TMG, die die Verwendung von Bestands- bzw. Nutzungs- und Abrechnungsdaten zu Zwecken der Auskunftserteilung gestatten (vgl. § 14 Rz. 16 ff.). Auch § 15 Abs. 8, der die Verwendung der Nutzungs- und Abrechnungsdaten zu Zwecken der Rechtsverfolgung regelt, stellt eine gesetzliche Erlaubnis zur zweckfremden Datenverwendung dar. Schließlich wird § 15 Abs. 4 Satz 2, der die Sperrung von Abrechnungsdaten bei Erfüllung von 1 Hierzu ausführlich Rammos, K&R 2011, 692 (695). 2 Vgl. BVerfG v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, NJW 1984, 419 (421) – Volkszählung. 3 So auch BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, juris Rz. 156 – Online-Durchsuchung.
1008 Hullen/Roggenkamp
§ 12 TMG
Grundsätze
Aufbewahrungspflichten regelt, als ein entsprechender Erlaubnistatbestand zur Zweckänderung angesehen1. Vorschriften außerhalb des TMG, die eine Zweckänderung legitimieren, 30 sind bislang nicht ersichtlich. Solche Regelungen müssten sich aufgrund des nun in Abs. 1 festgeschriebenen Zitiergebots ausdrücklich auf Telemedien beziehen2. Ob zivilrechtliche Auskunftsansprüche, die z.B. aus dem Grundsatz von Treu und Glauben abgeleitet werden und sich nicht ausdrücklich auf Telemedien beziehen, trotzdem zu erfüllen sind, ist umstritten, im Ergebnis aber zu bejahen (hierzu näher § 14 Rz. 20 ff.). Auf Zweckänderungsvorschriften im eigentlichen Sinne, insbesondere auf die des BDSG, kann mangels Bezugs auf Telemedien nicht zurückgegriffen werden3. Neben der gesetzlich legitimierten Zweckänderung steht es dem Nutzer frei, in eine solche einzuwilligen. Insofern gelten die Grundsätze der Einwilligung i.S.d. Abs. 1 (siehe oben Rz. 21).
31
IV. Nicht-automatisierte Datenverarbeitung (Abs. 3) Abs. 3 stellt klar, dass allgemeine Datenschutzregeln, also inbs. die des BDSG, gelten, soweit das TMG keine telemedienspezifischen Regelungen trifft4. Dies gilt jedoch nur, „soweit nichts anderes bestimmt ist“. Da eine andere Bestimmung bislang nicht existiert, besitzt diese Ausnahmeregelung keine Relevanz5.
32
Die Bestimmungen des TMG sollen dabei auch im Falle einer nicht-au- 33 tomatisierten Datenverarbeitung (siehe hierzu § 3 Abs. 2 Satz 1 BDSG) zur Anwendung kommen6. Die Fälle, in denen telemedienbezogene Daten papiergestützt verarbeitet werden, dürften jedoch höchst selten sein. Die praktische Relevanz dieser Regelung ist daher gering7.
1 2 3 4
Taeger/Gabel/Moos, § 12 TMG Rz. 20. Anders noch § 3 Abs. 2 TDDSG. Heckmann/Heckmann, § 12 TMG Rz. 176. So die Begründung zum nahezu identischen § 1 Abs. 2 TDDSG, BT-Drucks. 13/7385. 5 Taeger/Gabel/Moos, § 13 TMG Rz. 24. 6 Heckmann/Heckmann, § 12 TMG Rz. 178. 7 Taeger/Gabel/Moos, § 13 TMG Rz. 23.
Hullen/Roggenkamp 1009
TMG § 13
Datenschutz
Pflichten des Diensteanbieters (1) 1Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. 2Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. 3Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.
13
(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass 1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, 2. die Einwilligung protokolliert wird, 3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und 4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. (3) 1Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 2 Nr. 4 hinzuweisen. 2Absatz 1 Satz 3 gilt entsprechend. (4) 1Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. der Nutzer die Nutzung des Dienstes jederzeit beenden kann, 2. die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des Satzes 2 gesperrt werden, 3. der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann, 4. die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können, 5. Daten nach § 15 Abs. 2 nur für Abrechnungszwecke zusammengeführt werden können und
1010 Hullen/Roggenkamp
§ 13 TMG
Pflichten des Diensteanbieters
6. Nutzungsprofile nach § 15 Abs. 3 nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können. 2An die Stelle der Löschung nach Satz 1 Nr. 2 tritt eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen. (5) Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen. (6) 1Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. 2Der Nutzer ist über diese Möglichkeit zu informieren. (7) 1Der Diensteanbieter hat dem Nutzer nach Maßgabe von § 34 des Bundesdatenschutzgesetzes auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen. 2Die Auskunft kann auf Verlangen des Nutzers auch elektronisch erteilt werden. I. Einführung . . . . . . . . . . . . . . . .
1
II. Pflicht zur Unterrichtung (Abs. 1) . . . . . . . . . . . . . . . . . . . 3 1. Allgemeine Informationspflicht (Satz 1) . . . . . . . . . . . . . 4 2. Unterrichtung bei Möglichkeit nachträglicher Nutzeridentifizierung (Satz 2) . . . . . . 13 III. Einwilligung (Abs. 2). . . . . . . . 1. Eindeutige und bewusste Einwilligung (Abs. 2 Nr. 1). . . . . . 2. Protokollierung der Einwilligung (Abs. 2 Nr. 2) . . . . . . . . 3. Jederzeitige Abrufmöglichkeit (Abs. 2 Nr. 3) . . . . . . . . . . 4. Widerrufsmöglichkeit (Abs. 2 Nr. 4) . . . . . . . . . . . . . . 5. Beweislast/Double-Opt-in . . .
17 18 25 26 27 28
IV. Hinweis auf Möglichkeit des Widerrufs (Abs. 3) . . . . . . . . . . 30
V. Technische und organisatorische Vorkehrungen durch den Diensteanbieter (Abs. 4) . . . . . 1. Jederzeitiger Nutzungsabbruch (Nr. 1) . . . . . . . . . . . . . 2. Löschungspflicht (Nr. 2) . . . . . 3. Vertraulichkeitsschutz (Nr. 3) 4. Getrennte Datenverwendung (Nr. 4). . . . . . . . . . . . . . . . . . . . . 5. Zusammenführung von Abrechnungsdaten (Nr. 5) . . . . . . 6. Re-Identifizierung bei Nutzerprofilen (Nr. 6) . . . . . . . . . . .
31 33 34 35 36 37 38
VI. Weitervermittlung an andere Diensteanbieter (Abs. 5) . . . . . 39 VII. Anonyme und pseudonyme Nutzungsmöglichkeit (Abs. 6). . . . . . . . . . . . . . . . . . . . 40 VIII. Auskunftspflicht (Abs. 7) . . . . 44 IX. Sanktionen . . . . . . . . . . . . . . . . 47
Schrifttum: Albrecht, Anonyme oder pseudonyme Nutzung sozialer Netzwerke? – Ein Beitrag zu § 13 Abs. 6 Satz 1 TMG, AnwZert ITR 1/2011, Anm. 2; Brosch, Die Umsetzung der Cookie-Richtlinie, AnwZert ITR 16/2011, Anm. 2; Eckhardt,
Hullen/Roggenkamp 1011
TMG § 13
Datenschutz
Datenschutzerklärungen und Hinweise auf Cookies, ITRB 2005, 46; Fischl, Ein neues Rezept für Kekse?, K&R 2011, Heft 6, Editorial; Gennen/Kremer, Social Networks und der Datenschutz, ITRB 2011, 59; Härting, Datenschutz zwischen Transparenz und Einwilligung, CR 2011, 169; Habermalz, Die datenschutzrechtliche Einwilligung des Beschäftigten, JurPC Web-Dok. 132/2011; Heckmann, Smart Life – Smart Privacy Management, K&R 2011, 1; Iraschko-Luscher/Kiekenbeck, Datenschutz im Internet – Widerspruch oder Herausforderung?, RDV 2010, 261; Krieg, „Like-Button“ nicht wettbewerbswidrig, K&R 2011, 356; Lienemann, What’s the Way the Cookie Crumbles? Umsetzung der E-Privacy Richtlinie in der Europäischen Union, K&R 2011, 609; Krüger/Maucher, Ist die IP-Adresse wirklich ein personenbezogenes Datum?, MMR 2011, 433; Raabe/Lorenz, Die datenschutzrechtliche Einwilligung im Internet der Dienste, DuD 2011, 279; Roggenkamp, Elektronische Einwilligung in Datenverarbeitung, AnwZert ITR 22/2011, Anm. 2; Roggenkamp, Neue datenschutzrechtliche Pflichten für User Generated Content Plattformen? – Der Gesetzentwurf des Bundesrates zur Änderung des TMG vom 17.6.2011 (BR-Drucks. 156/11); Roßnagel/Scholz, Datenschutz durch Anonymität und Pseudonymität – Rechtsfolgen der Verwendung anonymer und pseudonymer Daten, MMR 2000, 721; Schröder, Datenschutzrechtliche Fragen beim Einsatz von Flash-Cookies – Ist ein rechtssicherer Einsatz von Cookies vor dem Hintergrund der EU-Privacy-Richtlinie möglich?, ZD 2011, 59; Schulz, Privacy by Design, CR 2012, 204; Stadler, Verstoßen Facebook und Google Plus gegen deutsches Recht?, ZD 2011, 57; Wieczorek, Informationsbasiertes Persönlichkeitsrecht, DuD 2011, 476; Zscherpe, Anforderungen an die datenschutzrechtliche Einwilligung im Internet, MMR 2004, 723.
I. Einführung 1 In § 13 TMG werden grundlegende Handlungspflichten des Diensteanbieters statuiert. Im Einzelnen handelt es sich um die Verpflichtung zur umfassenden Unterrichtung der Nutzer über die Erhebung und Verwendung ihrer personenbezogen Daten (sog. Datenschutzerklärung – Abs. 1), die Voraussetzungen für elektronische Einwilligungserklärungen einschließlich flankierender Hinweispflichten (Abs. 2 und 3), zwingend zu treffende technische und organisatorische Maßnahmen (Abs. 4), die Anzeigepflicht bei Weitervermittlung zu einem anderen Diensteanbieter (Abs. 5), die Ermöglichung der anonymen oder pseudonymen Nutzung und Bezahlung des Dienstes (Abs. 6) sowie die Auskunftspflicht (Abs. 7). 2 § 13 setzt verschiedene Regelungen der EG-Datenschutzrichtlinie um, insbesondere Art. 10 (Informationspflicht), Art. 7 (Einwilligung), Art. 17 (technisch-organisatorischen Maßnahmen) und Art. 12 (Auskunftsrecht).
1012 Hullen/Roggenkamp
Pflichten des Diensteanbieters
§ 13 TMG
II. Pflicht zur Unterrichtung (Abs. 1) Abs. 1 regelt die Unterrichtungspflicht des Diensteanbieters und soll 3 dem Nutzer einen umfassenden Überblick über die Datenerhebung und -verwendung ermöglichen. Zeitpunkt, Umfang und Form der Information durch den Diensteanbieter sollen den „besonderen Risiken der Datenverarbeitung im Netz“ Rechnung tragen1. Die Unterrichtungspflicht soll für Transparenz2 sorgen und den Nutzer in die Lage versetzen, sein Recht auf informationelle Selbstbestimmung auszuüben und dessen Wahrung durch den Diensteanbieter kontrollieren zu können3. Bestrebungen, zusätzliche Informationspflichten, wie die Benennung Dritter, an die personenbezogene Daten (zulässigerweise) übermittelt werden dürfen, über die zuständige Aufsichtsbehörde und besondere Hinweise bei der Nutzung von Sozialen Netzwerken, konnten nicht im TMG verankert werden4. 1. Allgemeine Informationspflicht (Satz 1) Durch Abs. 1 Satz 1 wird dem Diensteanbieter die Pflicht auferlegt, den 4 Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung seiner personenbezogen Daten zu informieren. Zusammen mit der Angabe, ob solche Daten in Staaten, die nicht dem Anwendungsbereichs der EG-Datenschutzrichtlinie unterfallen, verarbeitet werden, stellt die Unterrichtung nach Abs. 1 Satz 1 die sog. Datenschutzerklärung dar. Wird dieser Pflicht nicht nachgekommen, ist die Datenverarbeitung unzulässig. Der Inhalt der Datenschutzerklärung muss wahr und vollständig sein, 5 d.h. erschöpfend über Art, Umfang und Zweck der Erhebung und Verarbeitung informieren5. Sinnvollerweise kann dabei auf die in § 3 Abs. 3 bis 6a BDSG normierten Schritte der Datenerhebung- und -verwendung zurückgegriffen werden.
1 BT-Drucks. 13/7385, S. 22. 2 BT-Drucks. 14/6098, S. 28, zur zentralen Bedeutung der Transparenz im Datenschutz vgl. auch Wieczorek, DuD 2011, 476, 480. 3 So auch Spindler/Schuster/Spindler/Nink, § 15 TMG Rz. 3. 4 Ein entsprechender Gesetzesantrag des Landes Hessen wurde auf Bundesebene abgelehnt. Zu den überwiegend begrüßenswerten Änderungsvorschlägen siehe BR-Drucks. 156/11, ausführlich hierzu Roggenkamp, jurisPR-ITR 13/2011, Anm. 2. 5 Siehe Taeger/Gabel/Moos, § 13 TMG Rz. 5.
Hullen/Roggenkamp 1013
TMG § 13
Datenschutz
6 In welchem Detaillierungsgrad die Datenarten anzugeben sind, ist nicht normiert. Jedoch empfiehlt es sich aus Gründen der Transparenz, die zu erhebenden Daten möglichst einzeln aufzuzählen. Weniger detaillierte Begriffe zur Beschreibung der Datenarten können jedoch gewählt werden, wenn dies der Beibehaltung der Übersichtlichkeit und Verständlichkeit der Datenschutzerklärung dient und das Recht auf informationelle Selbstbestimmung des Nutzers hierdurch nicht beeinträchtigt wird. Der in der Praxis noch immer zu findende pauschale Verweis auf die Einhaltung der rechtlichen Regelungen zum Datenschutz genügt der Informationspflicht aus Abs. 1 Satz 1 in keinem Fall1. 7 Weiterhin verpflichtet Satz 1 den Diensteanbieter, die Nutzer darüber zu informieren, ob deren personenbezogene Daten in Staaten, die nicht dem Anwendungsbereich der EG-Datenschutzrichtlinie unterfallen, verarbeitet werden. Insofern besteht ein besonderes Informationsbedürfnis, da bei Staaten, die nicht der EG-Datenschutzrichtlinie unterfallen – dies sind alle Staaten außerhalb des EWR – nicht automatisch von einem annehmbar hohen Datenschutzniveau ausgegangen werden kann2. Ausreichend ist dabei die Benennung des Staates (bzw. der Staaten), in dem die Verarbeitung erfolgt. Informationen über die jeweils geltenden Regelungen zum Datenschutz sind nicht verpflichtend3. 8 Die Information des Nutzers nach Abs. 1 Satz 1 hat „in allgemein verständlicher Form“ zu erfolgen. Über die konkrete Form und Gestalt sowie die Auffindbarkeit, z.B. auf einer Webseite, trifft das Gesetz keine Aussage. Die Gestaltung liegt im Ermessen des Diensteanbieters4. Eine Orientierung bietet insofern § 5 Abs. 1 TMG, der bestimmt, dass das Impressum eines Diensteanbieters leicht erkennbar und unmittelbar erreichbar sein soll5. Leicht erkennbar sind die nach Abs. 1 Satz 1 zur Verfügung zu stellenden Informationen (bzw. der Link, der auf selbige verweist), wenn diese z.B. mit „Datenschutzerklärung“, „Datenschutzhinweise“ oder bei englischsprachigen Nutzern zusätzlich mit „Privacy Policy“ überschrieben sind6. Als unmittelbar erreichbar gilt eine Information in der Regel, wenn sie durch spätestens zwei Klicks auf die ent-
1 2 3 4 5 6
Heckmann/Heckmann, Kap. 9 Rz. 193. BT-Drucks. 14/6098, S. 28. Taeger/Gabel/Moos, § 13 TMG Rz. 5. Scholz, S. 325; Heckmann/Heckmann, Kap. 9 Rz. 202. Vgl. hierzu auch § 13 Abs. 1 TMG-E, BR-Drucks. 156/11, S. 7. Siehe Taeger/Gabel/Moos, § 13 TMG Rz. 5.
1014 Hullen/Roggenkamp
Pflichten des Diensteanbieters
§ 13 TMG
sprechenden Links auffindbar ist1. Eine Verpflichtung zur Vorhaltung eines direkten Links auf die Datenschutzerklärung besteht jedoch nicht2. Die Datenschutzerklärung muss sprachlich so gestaltet sein, dass sie 9 dem „objektiven Empfänger“ die vorgeschriebenen Informationen tatsächlich verständlich macht. Unnötige juristische oder technische Fachbegriffe sind zu vermeiden3 oder so zu erläutern, dass sie auch für Laien verständlich sind. Die Informationen des Abs. 1 Satz 1 müssen zeitlich „zu Beginn des 10 Nutzungsvorgangs“ zur Verfügung gestellt werden. Vor Inkrafttreten des EEG4 waren Nutzer lediglich „vor der Erhebung“ personenbezogener Daten zu belehren. Durch die Vorverlagerung des Zeitpunkts der Information auf den Beginn des Nutzungsvorgangs wollte der Gesetzgeber sicherstellen, dass im Falle einer „automatischen Erhebung von Nutzerdaten“, die bereits bei Abruf des Telemediums vor einer für den Nutzer erkennbaren Datenerhebung stattfindet, eine Unterrichtung gewährleistet ist5. Gemäß Abs. 1 Satz 3 ist müssen die Informationen für den Nutzer jeder- 11 zeit abrufbar sein. „Jederzeit“ bedeutet, dass die Informationen während der Dauer des Nutzungs- bzw. Vertragsverhältnisses bereit gehalten werden müssen. Eine zeitlich darüber hinaus gehende, dauerhafte Protokollierung ist nicht erforderlich6. § 13 Abs. 1 ist keine Marktverhaltensvorschrift i.S.d. § 4 Nr. 11 UWG sondern eine wertneutrale Ordnungsvorschrift7. Eine fehlende oder unvollständige Unterrichtung wirkt sich regelmäßig nicht auf das kommerzielle Verhalten des Besuchers der Website aus8. 1 BGH v. 20.3.2006 – I ZR 228/03, WRP 2006, 1507, 1510 – Anbieterkennzeichnung im Internet. 2 LG Essen v. 4.6.2003 – 44 O 18/03, DuD 2004, 312, 313. 3 Heckmann/Heckmann, § 13 TMG Rz. 202. 4 Gesetz über rechtliche Rahmenbedingungen für den elektronischen Geschäftsverkehr, siehe BT-Drucks. 14/6098. 5 BT-Drucks. 14/6098, S. 28. 6 Ausführlich hierzu Spindler/Schuster/Spindler/Nink, § 13 TMG Rz. 5. 7 Spindler/Schuster/Spindler/Nink, § 13 TMG Rz. 2; KG v. 29.4.2011 – 5 W 88/11, CR 2011, 468; Schüßler, jurisPR-ITR 12/2011 Anm. 2; vgl. zum TDDSG bereits LG München v. 23.7.2003 – 1 HK O 1755/03, DuD 2004, 53; LG Essen, v. 4.6.2003 – 44 O 18/03; DuD 2004, 312. Insgesamt zum Problemkreis Datenschutz und Marktverhaltensregelung Hullen, MMR 2011, 387, 388 sowie § 1 Rz. 15. 8 Schüßler, jurisPR-ITR 12/2011 Anm. 2.
Hullen/Roggenkamp 1015
12
TMG § 13
Datenschutz
2. Unterrichtung bei Möglichkeit nachträglicher Nutzeridentifizierung (Satz 2) 13 Abs. 1 Satz 2 verpflichtet den Diensteanbieter, den Nutzer bei Verwendung eines automatisierten Verfahrens darüber zu informieren, ob durch ein solches Daten erhoben und verwendet werden. Dies gilt bereits dann, wenn zu diesem Zeitpunkt noch kein Personenbezug vorliegt, eine spätere Identifizierung des Nutzers, also die nachträgliche Herstellung des Personenbezugs, jedoch möglich ist. Die Regelung findet hauptsächlich bei der Verwendung sog. Cookies Anwendung. Dies sind kleine Dateien, die auf dem Endgerät des Nutzers lokal gespeichert werden und beliebige Informationen enthalten können, die in bestimmten Intervallen an den Diensteanbieter zurückübermittelt werden1. 14 Cookies werden in großem Ausmaß im Rahmen der Nutzung von Telemedien verwendet und sind grundsätzlich als datenschutzrechtlich neutral zu bewerten2. In einem Cookie lassen sich bspw. die vom Nutzer aufgerufenen Seiten, ausgeführten Aktionen und Nutzungszeiten speichern. Werden diese Daten dauerhaft (persistent) und nicht nur vorübergehend (temporär) vorgehalten, können sukzessiv umfangreiche Profile über das Surf-Verhalten des Nutzers erstellt werden. Identifiziert sich der Nutzer zu einem späteren Zeitpunkt gegenüber dem Diensteanbieter, bspw. durch die Erstellung eines Nutzerkontos unter Angabe seines Klarnamens, weisen auch die anonymen erhobenen Profilinformationen einen Personenbezug auf. Unabhängig von der Frage der rechtlichenen Zulässigkeit der Profilbildung (siehe hierzu auch § 15 Rz. 18) schreibt Abs. 1 Satz 2 vor, dass Nutzer über jeden im Hintergrund ablaufenden Datenverarbeitungsvorgang und die Möglichkeit der späteren Identifizierung zu informieren ist, da hier aufgrund der mangelnden Erkennbarkeit der Abläufe der automatisierten Verfahren ein besonderes Bedürfnis nach Transparenz besteht. 15 Auch die Information über die Möglichkeit der nachträglichen Nutzeridentifizierung muss für den Nutzer jederzeit abrufbar sein (siehe hierzu oben Rz. 11). 16 Art. 5 Abs. 3 der Datenschutzrichtlinie für die elektronische Kommunikation (E-Privacy-RL)3 fordert eine Opt-in-Lösung für die Verwendung 1 Zu den technischen Spezifikationen siehe IETF, HTTP State Management Mechanism, RFC 6265. 2 So z.B. auch Schröder, ZD 2011, 59, 60. 3 Geändert durch Art. 2 Nr. 5 RL 2009/136/EG vom 25.11.2009. Hierzu näher Lienemann, K&R 2011, 609.
1016 Hullen/Roggenkamp
Pflichten des Diensteanbieters
§ 13 TMG
von Cookies. Hiernach muss bei der Speicherung von oder dem Zugriff auf Informationen, die im Endgerät eines Nutzers gespeichert sind, regelmäßig eine Einwilligung des Nutzers vorliegen. Wie eine solche Einwilligung eingeholt werden kann ist im Einzelnen streitig. Mit Blick auf Erwägungsgrund 66 der E-Privacy-RL1 kann es als ausreichend angesehen werden, wenn der Nutzer die Möglichkeit hat, die Verwendung von Cookies durch entsprechende Browsereinstellungen zu unterbinden2. Der Gesetzgeber hat sich noch im Rahmen der jüngsten Änderungen des TKG ausdrücklich gegen eine Umsetzung der europarechtlichen Vorgaben ausgesprochen und beobachtet vorerst entsprechende Selbstregulierungsaktivitäten der Internetwirtschaft3. Vereinzelt wird daher auch von einer unmittelbaren Wirkung der E-Privacy-RL ausgegangen, wonach die dort festgeschriebenen Grundsätze unmittelbar zur Anwendung kommen sollen. III. Einwilligung (Abs. 2) Auch im Telemediendatenschutzrecht gilt der allgemeine Grundsatz, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig ist, soweit ein Gesetz dies erlaubt oder anordnet oder der Betroffene (hier der Nutzer) zuvor eingewilligt hat (vgl. hierzu § 12 Rz. 21 und § 4 BDSG Rz. 1) Während jedoch die Einwilligung nach § 4a Abs. 1 Satz 2 BDSG grundsätzlich schriftlich erteilt werden muss, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist, gestattet der gegenüber § 4a BDSG speziellere § 13 Abs. 2 ausdrücklich die elektronische Erklärung der Einwilligung. Dies gilt allerdings nur unter der Voraussetzung, dass der Diensteanbieter sicherstellt, dass der Nutzer eine eindeutige und bewusste Einwilligung erteilt (Abs. 2 Nr. 1), dass die Einwilligung protokolliert wird (Abs. 2 Nr. 2), dass der Nutzer die Einwilligung jederzeit abrufen (Abs. 2 Nr. 3) und dass er sie jederzeit mit ex-nunc Wirkung widerrufen kann (Abs. 2 Nr. 4). Wird ei-
1 Dort heißt es u.a. „Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.“ 2 Problematisch ist die (konkludente) Einwilligung im Falle der Verwendung sog. Flash-Cookies, vgl. Schröder, ZD 2011, 59, 61. 3 Siehe BT-Drucks. 17/5707, S. 44.
Hullen/Roggenkamp 1017
17
TMG § 13
Datenschutz
ne der Voraussetzungen nicht erfüllt, liegt keine wirksame elektronische Einwilligung vor1. 1. Eindeutige und bewusste Einwilligung (Abs. 2 Nr. 1) 18 Das Erfordernis der eindeutigen und bewussten Erteilung ist zentrales Element der elektronischen Einwilligung. Es soll, wie es § 4 Abs. 2 TDDSG noch ausdrücklich verlangte, eine eindeutige und bewusste Handlung des Nutzers zur Erteilung notwendig sein2. Eine solche muss zunächst nach außen objektiv als Erklärungshandlung erkennbar sein. Des Weiteren müssen sowohl Handlungsbewusstsein, Erklärungswille und Geschäftswille als subjektive Elemente der Erklärungshandlung vorliegen3. Um diesen Willen entwickeln zu können, muss der Nutzer über die geplante Verwendung hinreichend informiert werden (sog. „informierte Einwilligung“4). 19 Der Nutzer muss erkennen können, worauf sich seine Einwilligung genau bezieht. Dazu ist es erforderlich, dass er weiß, dass er eine Erklärung bezüglich der Verwendung seiner personenbezogenen Daten abgibt und welche seiner Daten zu welchem Zweck verwendet werden sollen. Ausreichend ist ein Verfahren, bei welchem der Nutzer zur Einwilligung eine Schaltfläche anklicken muss, welche ihm verdeutlicht, dass er eine datenschutzrechtlich relevante Erklärung über die Verwendung seiner Daten abgibt. Dies kann z.B. im Rahmen eines Anklickfeldes und der Bezeichnung „Hiermit willige ich in die in der Datenschutzerklärung näher beschriebene Verwendung meiner Daten ein“ geschehen (sog. „Opt-in“). Insofern besteht auf Seiten des Diensteanbieters ein gewisser Umsetzungsspielraum5. Die in Bezug genommene Datenschutzerklärung, aus welcher sich konkret ergeben muss, zu welchen Handlungen die Zustimmung erteilt wird, ist hierbei im Kontext (z.B. durch Verlinkung) verfügbar zu machen6. 20 Die Einwilligungserklärung kann vom Diensteanbieter formularmäßig vorgegeben werden. In diesem Fall handelt es sich nach Auffassung des BGH um AGB, die sich an den entsprechenden Regelungen der §§ 305 ff. 1 Vgl. LG Hamburg v. 7.8.2009 – 324 O 650/08, VuR 2009, 433. 2 Taeger/Gabel/Moos, § 13 TMG Rz. 17; Heckmann/Heckmann, Kap. 9, Rz. 217; Spindler/Schuster/Spindler/Nink, § 13 TMG Rz. 6; jew. m.w.N. 3 LG Potsdam v. 10.3.2005 – 12 O 287/04, juris Rz. 32. 4 LG Potsdam v. 10.3.2005 – 12 O 287/04, juris Rz. 33. 5 Heckmann/Heckmann, Kap. 9, Rz. 219. 6 Ähnlich der Vorschlag von Härting, Rz. 61.
1018 Hullen/Roggenkamp
Pflichten des Diensteanbieters
§ 13 TMG
BGB messen lassen müssen1. Dies gilt dann nicht, wenn die Einwilligungserklärung nicht im Zusammenhang mit einem Vertragsverhältnis steht und auch kein entsprechender Anschein gesetzt wird. Wird z.B. bei einem Gewinnspiel zumindest der Eindruck erweckt, dass eine Einwilligung Voraussetzung für die Teilnahme ist, handelt es sich um AGB. Ist hingegen erkennbar, dass eine Einwilligung freiwillig und unabhängig von der Gewinnmöglichkeit ist, finden die §§ 305 ff. BGB keine Anwendung2. Wenn die vom Diensteanbieter vorformulierte Einwilligungserklärung – 21 in welcher die beabsichtigte Datenverwendung beschrieben wird – in die AGB des Diensteanbieters integriert werden soll, ist der Nutzer deutlich darauf hinzuweisen, dass er durch Akzeptieren der AGB auch eine Einwilligung in die in der Datenschutzerklärung beschriebene Erhebung und Verwendung personenbezogener Daten erklärt. Dies kann durch eine grafische Hervorhebung (Fettdruck, Umrandung der relevanten Textstellen) geschehen. Der Abschnitt der AGB welche die entsprechenden Ausführungen enthält, ist zudem separat zu verlinken3 Eine bisweilen geforderte „bestätigende Wiederholung des Übermittlungsbefehls“4 ist nicht notwendig, um sicherzustellen, dass der Nutzer das für eine Erklärung ausreichende Erklärungsbewusstsein entwickelt. Der einmalige Klick genügt. Ein durchschnittlich verständiger Nutzer muss nicht zwei Mal auf die Relevanz seiner Handlung hingewiesen werden. Das Erklärungsbewusstsein wird hierdurch weder erhöht noch erst hervorgerufen. Es empfiehlt sich jedoch aus Gründen der Beweisführungssicherung, eine Bestätigung der Erklärung im Rahmen eines „Double-Opt-in“-Verfahrens anzufordern (hierzu BDSG § 4a Rz. 56 und sogleich unter Rz. 28).
1 BGH v. 16.7.2008 – VIII ZR 348/06, BB 2008, 2426, 2427 – Payback. 2 KG v. 26.8.2010 – 23 U 34/10, K&R 2011, 269 m. Anm. Voigt. 3 Taeger/Gabel/Moos, § 13 TMG Rz. 19; vgl. auch § 28 Abs. 3a BDSG, § 28 BDSG Rz. 166 ff. 4 Zscherpe, MMR 2004, 723, 726; Rasmussen, DuD 2002, 406, 408; OLG Brandenburg v. 10.1.2006 – 7 U 52/05, MMR 2006, 405. Danach musste der Nutzer zunächst z.B. ein Häkchen neben den Text „Ich willige in die Verarbeitung und Nutzung meiner personenbezogenen Daten gemäß der vorstehenden Datenschutzerklärung ein“ setzen und sodann noch einmal eine Schaltfläche anklicken, die mit dem Text „Ich akzeptiere und willige ein“ beschriftet war, vgl. Darstellung bei Heckmann/Heckmann, Kap. 9, Rz. 220.
Hullen/Roggenkamp 1019
22
TMG § 13
Datenschutz
23 Ob die vom BGH1 im Rahmen der Einwilligung nach § 4a BDSG für rechtmäßig erachtete Möglichkeit des Opt-outs („hier klicken, falls die Einwilligung nicht erteilt wird“) auch im Rahmen der elektronisch erklärten Einwilligung unter dem TMG gilt, ist umstritten2. Moniert wird bei dieser Variante das Fehlen einer eindeutigen Handlung3. Mit Blick auf den gegenüber dem TDDSG geänderten Text der Einwilligungserfordernisse im TMG, der eine Handlung gerade nicht mehr explizit fordert, sowie den Wortlaut von Art. 2 Buchst. h der EG-Datenschutzrichtlinie kommt nach hier vertretener Auffassung eine Opt-out-Lösung auch im Bereich des TMG-Datenschutzes in Betracht. In Art. 2 Buchst. h der EG-Datenschutzrichtlinie wird als „Einwilligung der betroffenen Person“ jede Willensbekundung genannt. In seiner Payback-Entscheidung hat der BGH dementsprechend für § 4a BDSG zutreffend festgehalten, dass die Einwilligung gerade nicht „aktiv“ erklärt werden müsse. Es muss nur verhindert werden, dass der durchschnittliche (nicht der „sorglose“) Verbraucher die Einwilligung übersieht4. Wieso eine „einfache und deutlich gestaltete Abwahlmöglichkeit“ im Online-Bereich abweichend vom „Offline-Bereich“ nicht ausreichen soll, ist nicht ersichtlich. Dies gilt umso mehr als § 13 Abs. 2 dazu dient, Telemedienanbietern eine erleichterte Form der Einholung der Einwilligung zu ermöglichen5. In der Praxis ist freilich mit Blick auf die bislang fehlende richterliche Klärung der Übertragbarkeit zu einem Opt-in-Verfahren zu raten. 24 Für den Bereich der unzumutbaren Belästigung durch E-Mail-Werbung scheidet eine Opt-out-Lösung jedoch aus, da es insofern an einer im Rahmen von § 7 Abs. 2 Nr. 3 UWG notwendigen ausdrücklichen Einwilligung mangelt6. 2. Protokollierung der Einwilligung (Abs. 2 Nr. 2) 25 Die abgegebene Einwilligung ist zu protokollieren. Das bedeutet, dass Zeitpunkt der Einwilligung, Inhalt und Identität des Erklärenden festzuhalten sind. Die Anforderung ist als Zielvorgabe formuliert, daher 1 BGH v. 16.7.2008 – VIII ZR 348/06, BB 2008, 2426 – Payback. Näher dazu siehe die Kommentierung zu § 4a BDSG Rz. 56. 2 Als zulässig erachtet von Hanloser, CR 2008, 715; Spindler/Schuster/Spindler/ Nink, § 13 TMG Rz. 6; ablehnend Taeger/Gabel/Moos, § 13 TMG Rz. 21. 3 Taeger/Gabel/Moos, § 13 TMG Rz. 21. 4 BGH v. 16.7.2008 – VIII ZR 348/06, BB 2008, 2426, 2428 – Payback. 5 Spindler/Schuster/Spindler/Nink, § 13 TMG Rz. 6. 6 BGH v. 16.7.2008 – VIII ZR 348/06, BB 2008, 2426, 2428 f. – Payback.
1020 Hullen/Roggenkamp
§ 13 TMG
Pflichten des Diensteanbieters
sind Art und Weise der Protokollierung (z.B. konkrete technische Vorgaben) nicht vorgegeben worden. In der Praxis ist es im Rahmen des regelmäßig verwendeten Double-Opt-in-Verfahrens ausreichend, wenn die Bestätigungsnachricht des Nutzers gespeichert oder anderweitig (z.B. durch Ausdruck) festgehalten wird, da sich aus ihr Zeitpunkt und Erklärender ergibt. 3. Jederzeitige Abrufmöglichkeit (Abs. 2 Nr. 3) Dem Nutzer soll es jederzeit möglich sein, den Inhalt seiner Erklärung 26 abzurufen. Die Möglichkeit des Online-Abrufs (z.B. im Kontext der sowieso vorzuhaltenden Datenschutzerklärung) wird zwar regelmäßig die praktikabelste sein, ist aber nicht zwingend notwendig. Ausreichend ist die „Abforderbarkeit“, der auch durch eine Übersendung einer E-Mail auf entsprechende Aufforderung des Nutzers hin nachgekommen werden kann1. Bereitzuhalten ist der Text, der Gegenstand der konkreten Einwilligung im jeweiligen Einzelfall gewesen ist. 4. Widerrufsmöglichkeit (Abs. 2 Nr. 4) Mit Wirkung für die Zukunft darf der Nutzer seine Einwilligung jeder- 27 zeit widerrufen. Der Diensteanbieter hat technisch und organisatorisch sicherzustellen, dass dies jederzeit möglich ist. Eine bestimmte Form ist für den Widerruf nicht vorgegeben. Der Diensteanbieter darf die Möglichkeiten des Widerrufs nicht auf eine bestimmte Form (z.B. ausschließlich per Fax) beschränken. Ein elektronisch erklärter Widerruf, bspw. durch eine einfache E-Mail, ist dementsprechend auch dann ausreichend, wenn die Einwilligung ursprünglich in einer anderen Form erteilt wurde2. 5. Beweislast/Double-Opt-in Da der Diensteanbieter aus der Einwilligung ein Recht zur Nutzung der Daten herleiten möchte, trägt er für das Vorliegen die Darlegungs- und Beweislast3. Um dem Einwand begegnen zu können, dass ein unbekannter Dritter statt des vermeintlichen Nutzers die Einwilligung er1 Taeger/Gabel/Moos, § 13 TMG Rz. 23; vgl. auch bereits BT-Drucks. 12/6098, S. 28. 2 Spindler/Schuster/Spindler/Nink, § 13 TMG Rz. 7. 3 Heckmann/Heckmann, Kap. 9 Rz. 216; OLG Bamberg v. 12.5.2005 – 1 U 143/04, MMR 2006, 481, 482; Taeger/Gabel/Moos, § 13 TMG Rz. 16.
Hullen/Roggenkamp 1021
28
TMG § 13
Datenschutz
teilt hat1, bietet sich regelmäßig das sog. „Double-Opt-in“-Verfahren zur „Beweissicherung“ an. Im Gegensatz zum einfachen „Opt-in“-Verfahren, bei welchem sich die Einwilligungsprozedur regelmäßig im Klicken des entsprechenden Buttons erschöpft, erhält der Einwilligende beim „Double-Opt-in“-Verfahren nach dem Klick eine Nachricht2 mit der Aufforderung, einen Bestätigungs-Link anzuklicken. Erst durch diese zweite Bestätigunghandlung wird der Einwilligungsprozess abgeschlossen. Auf diese Weise wird insbesondere verhindert, dass Dritte die E-Mail-Adresse des Nutzers ohne dessen Einverständnis verwenden. Reagiert der Empfänger nicht auf die Nachricht, ist das als Versagung der Einwilligungserteilung anzusehen3. 29 Nach Auffassung des BGH4 kann ein elektronisch durchgeführtes Double-opt-in-Verfahren ein tatsächlich fehlendes Einverständnis von Verbrauchern mit Werbeanrufen nicht ersetzen5. Gehe ein Teilnahmeantrag elektronisch ein, so könne dessen Absender durch eine E-Mail um Bestätigung seines Teilnahmewunsches gebeten werden. Nach Eingang der erbetenen Bestätigung könne angenommen werden, dass der Antrag tatsächlich von der angegebenen E-Mail-Adresse stamme. Habe der Verbraucher durch Setzen eines Häkchens in dem Teilnahmeformular bestätigt, dass er mit der Übersendung von Werbung einverstanden sei, sei grundsätzlich hinreichend dokumentiert, dass er in E-Mail-Werbung an diese E-Mail-Adresse ausdrücklich eingewilligt habe6. Der Werbende habe mit einem solchen Verfahren ausreichend sichergestellt, dass es nicht aufgrund von Falscheingaben zu einer Versendung von E-Mail-Werbung komme7. Das schließe es aber nicht aus, dass sich der Verbraucher auch nach Bestätigung seiner E-Mail-Adresse im Double-opt-in-Verfahren noch darauf berufen könne, dass er die unter dieser Adresse abgesandte Einwilligung in E-Mail-Werbung nicht abgegeben habe. Dafür trage er allerdings die Darlegungslast. Könne der Verbraucher darlegen, dass die Bestätigung nicht von ihm stamme, sei die Werbezusendung auch dann
1 Vgl. z.B. OLG Bamberg v. 12.5.2005 – 1 U 143/04, MMR 2006, 481. 2 Die Zusendung sog. Bestätigungsmails kann nach zutreffender Auffassung nicht als SPAM eingestuft werden, AG München v. 16.11.2006 – 161 C 29330/06, NJW-RR 2007, 547; AG Berlin-Mitte v. 11.6.2008 – 21 C 43/08, MMR 2009, 144. 3 Vgl. AG Berlin-Mitte v. 11.6.2008 – 21 C 43/08, MMR 2009, 144. 4 BGH v. 10.2.2011 – I ZR 164/09, CR 2011, 581 m. abl. Anm. Sassenberg. 5 BGH v. 10.2.2011 – I ZR 164/09, juris Rz. 36. 6 BGH v. 10.2.2011 – I ZR 164/09, juris Rz. 37 m.w.N. 7 BGH v. 10.2.2011 – I ZR 164/09, juris Rz. 37.
1022 Hullen/Roggenkamp
§ 13 TMG
Pflichten des Diensteanbieters
wettbewerbswidrig, wenn die E-Mail-Adresse im Double-opt-in-Verfahren gewonnen wurde1. IV. Hinweis auf Möglichkeit des Widerrufs (Abs. 3) Die Möglichkeit des Widerrufs muss dem Nutzer nicht nur de facto gewährt werden (hierzu oben Rz. 27), er muss auch ausdrücklich vor Abgabe der Erklärung nach Abs. 2 auf diese Möglichkeit hingewiesen werden. Der Hinweis muss entsprechend Abs. 2 Nr. 3 jederzeit für den Nutzer abrufbar sein.
30
V. Technische und organisatorische Vorkehrungen durch den Diensteanbieter (Abs. 4) Abs. 4 regelt die technischen und organisatorischen Datenschutzmaß- 31 nahmen, die vom Diensteanbieter im Rahmen der Bereitstellung von Telemedien zu treffen sind. Dem Nutzer muss ermöglicht werden, die Nutzung des Telemediums jederzeit zu beenden (Nr. 1). Weiterhin wird dem Diensteanbieter aufgegeben, Nutzungsdaten unmittelbar nach Nutzungsende zu löschen bzw. zu sperren (Nr. 2). Darüber hinaus muss dem Nutzer ermöglicht werden, Telemedien in Anspruch zu nehmen, ohne dass Dritte hiervon Kenntnis nehmen können (Nr. 3). Werden verschiedene Telemedien durch die gleiche Person genutzt, müssen deren personenbezogene Daten getrennt verwendet werden können (Nr. 4). Daneben hat der Diensteanbieter sicherzustellen, dass personenbezogene Daten über die Nutzung verschiedener Telemedien nur für Abrechnungszwecke zusammen geführt werden können (Nr. 5). Schließlich muss gewährleistet sein, dass im Falle der Verwendung pseudonymisierter Nutzungsprofile eine Re-Identifizierung des Nutzers ausgeschlossen ist (Nr. 6). Abs. 4 ist eine Ausprägung des Prinzips des Systemdatenschutzes, der 32 ebenfalls in § 3a BDSG verankert ist. Hiernach sind Datenverarbeitungsanlagen wie Computersysteme und Software möglichst schon so zu konzipieren, dass sie nur diejenigen Datenverarbeitungsfunktionen ausführen können, die rechtlich zum jeweiligen Zweck zulässig sind. Dieser Ansatz erfährt unter der Bezeichnung Privacy by Design zunehmende Beachtung2.
1 BGH v. 10.2.2011 – I ZR 164/09, juris Rz. 38. 2 Näher hierzu Schulze, CR 2012, 204.
Hullen/Roggenkamp 1023
TMG § 13
Datenschutz
1. Jederzeitiger Nutzungsabbruch (Nr. 1) 33 Gemäß Satz 1 Nr. 1 muss der Diensteanbieter sicherstellen, dass der Nutzer die Inanspruchnahme des Dienstes jederzeit beenden kann. Dies ist z.B. dann gewährleistet, wenn mit dem Schließen des Browsers der Nutzungsvorgang tatsächlich beendet und nicht im Hintergrund weiter ausgeführt wird1. Regelmäßig bedarf es bei der Telemediennutzung im Internet keiner besonderen technischen Vorkehrungen, da die Kommunikation zwischen Anbieter und Nutzer von beiden Seiten jederzeit beendet werden kann, falls keine besondere (Schad-)Software eingesetzt wird2. 2. Löschungspflicht (Nr. 2) 34 Daten über den Ablauf des Zugriffs oder über die sonstige Nutzung des Telemediums sind unmittelbar nach Beendigung des jeweiligen Nutzungsvorgangs zu löschen, soweit keine gesetzliche oder individuelle Legitimation zur weiteren Verwendung vorliegt. Satz 1 Nr. 2 schreibt vor, dass der Diensteanbieter entsprechende technisch-organisatorische Maßnahmen zu treffen hat. Das Verschieben von Daten in einen „virtuellen Papierkorb“ ist hierfür nicht ausreichend, wenn die Daten hieraus zumindest vorübergehend unbeschränkt abrufbar bleiben3. Nach Satz 2 sind jedoch Daten, die nicht gelöscht werden müssen, zu sperren (siehe hierzu die Definition in § 3 Abs. 4 Nr. 4 BDSG). 3. Vertraulichkeitsschutz (Nr. 3) 35 Telemedien müssen so in Anspruch genommen werden können, dass Dritte hiervon keine Kenntnis erlangen, falls dies nicht vom Nutzer gewünscht oder dem entsprechenden Angebot immanent ist. Dies bedeutet im Wesentlichen, dass Diensteanbieter ihre interne Datenverarbeitung in technisch-organisatorischer Hinsicht sichern müssen4. Die entsprechenden Pflichten folgen dabei schon aus § 9 BDSG samt Anlage, insbesondere aus den dort festgeschriebenen technisch-organisatorischen Maßnahmen der Zugangskontrolle (Anlage Nr. 2) und der Zugriffskontrolle (Anlage Nr. 3).
1 2 3 4
Ähnlich Heckmann/Heckmann, Kap. 9 Rz. 238. Hoeren/Sieber/Schmitz, Teil 16.2 Rz. 153. Heckmann/Heckmann, § 13 TMG Rz. 244. Taeger/Gabel/Moos, § 13 TMG Rz. 32.
1024 Hullen/Roggenkamp
§ 13 TMG
Pflichten des Diensteanbieters
4. Getrennte Datenverwendung (Nr. 4) Werden verschiedene Telemedien von demselben Nutzer in Anspruch 36 genommen, muss der Diensteanbieter sicherstellen, dass die personenbezogenen Daten über die Nutzung getrennt verwendet werden können. Das Trennungsgebot soll verhindern, dass Anbieter umfangreiche dienstübergreifende Nutzerprofile anlegen, die personenbezogene Daten von Nutzungsvorgängen verschiedener Telemedien vereinen. Hierbei muss insbesondere durch eine entsprechende Gestaltung der IT-Systeme, die zur Diensterbringung genutzt werden, eine getrennte Datenverwaltung gewährleistet werden1. Dies kann z.B. durch eine physisch (z.B. auf verschiedenen Servern erfolgende), als auch durch eine logisch (d.h. programmtechnisch umgesetzt) getrennte Verarbeitung der auf das jeweilige Telemedium bezogenen Daten erfolgen2. 5. Zusammenführung von Abrechnungsdaten (Nr. 5) Soweit es für die Abrechnung von verschiedenen Telemedien notwendig 37 ist, Abrechnungsdaten eines Nutzers zusammenzuführen, ist dies nach § 15 Abs. 2 zulässig (vgl. § 15 Rz. 31). Satz 1 Nr. 5 verpflichtet den Diensteanbieter dazu, technisch-organisatorische Vorkehrungen zu treffen, die eine Zusammenführung zu anderen Zwecken, soweit diese nicht durch andere gesetzliche Regelungen oder durch eine Einwilligung gedeckt sind, verhindern. Die Vorgabe kann z.B. durch entsprechende Arbeitsanweisung an Mitarbeiter oder die Gestaltung von Hard- und Software, die eine Zusammenführung der Daten vermeiden, eingehalten werden3. 6. Re-Identifizierung bei Nutzerprofilen (Nr. 6) Zu den in § 15 Abs. 3 festgelegten Zwecken dürfen Diensteanbieter 38 pseudonymisierte Nutzungsprofile erstellen, soweit der Nutzer dem nicht widersprochen hat (siehe § 15 Rz. 18). Satz 1 Nr. 6 gibt dem Dienstebetreiber auf, durch technisch-organisatorische Maßnahmen sicherzustellen, dass die Nutzer, über die ein pseudonymisiertes Profil erstellt wurde, nicht re-identifiziert werden können. Diese Vorgabe steht im
1 Siehe auch Hoeren/Sieber/Schmitz, Teil 16.2 Rz. 157; Taeger/Gabel/Moos, § 13 TMG Rz. 34. 2 Heckmann/Heckmann, Kap. 9 Rz. 255. 3 Heckmann/Heckmann, Kap. 9 Rz. 258; Hoeren/Sieber/Schmitz, Teil 16.2 Rz. 158.
Hullen/Roggenkamp 1025
TMG § 13
Datenschutz
Konflikt zum Recht des Nutzers, Auskunft über die zu seinem Pseudonym gespeicherten Daten zu erhalten (siehe unten Rz. 44). Dieser Pflicht kann der Diensteanbieter nur nachkommen, wenn er in diesem Fall ausnahmsweise das Pseudonym auflöst und den Nutzer re-identifiziert. Über die Re-Identifizierung ist der Nutzer nach seinem Auskunftsverlangen zu informieren (siehe Rz. 45)1. In allen anderen Fällen ist die Zuordnungsregel, die die Verknüpfung zwischen Nutzer und Pseudonym ermöglicht, besonders zu sichern, bspw. durch entsprechende Verschlüsselungsmechanismen. VI. Weitervermittlung an andere Diensteanbieter (Abs. 5) 39 Der Diensteanbieter muss dem Nutzer anzeigen, wenn er ihn an einen anderen Diensteanbieter „weitervermittelt“. Darunter ist das Weiterleiten des Nutzers auf das Angebot eines anderen Diensteanbieters zu verstehen, z.B. wenn durch Klick auf einen Link beim Angebot www.abc.de ein Telemedium des Anbieters der Webseite www.xyz.de aufgerufen wird. Als ausreichend wird hierbei angesehen, dass in der Adresszeile des Browsers angezeigt wird, dass und auf welcher neuen Webpräsenz sich der Nutzer nunmehr befindet2. Erfolgt eine solche Anzeige nicht, z.B. weil das Angebot des anderen Diensteanbieters im eigentlichen Dienst integriert ist, so hat ein gesonderter Hinweis zu erfolgen3. VII. Anonyme und pseudonyme Nutzungsmöglichkeit (Abs. 6) 40 Nach Abs. 6 ist der Diensteanbieter verpflichtet, die Nutzung von Telemedien sowie ihre Bezahlung anonym (vgl. § 3 Abs. 6 BDSG) oder unter Pseudonym (vgl. § 3 Abs. 6a BDSG) zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu unterrichten. Diese Verpflichtung ist mehr als nur ein „praktisch inhaltsloser ‚Datenschutz-Programmsatz‘“4. Zwar ist es technisch für den Diensteanbieter stets notwendig, den Nutzer für den Nutzungszeitraum über die IP-Adresse zu „identifizieren“ (zur Frage ob IP-Adressen personenbezogene Daten sind, siehe § 12 Rz. 10 ff.). Die Verpflichtung betrifft aber auch die konkrete Ausgestaltung der Nutzerbeziehung und
1 2 3 4
So auch Spindler/Schuster/Spindler/Nink, § 13 TMG Rz. 17. Hoeren/Sieber/Schmitz, Teil 16.2 Rz. 159. Hoeren/Sieber/Schmitz, Teil 16.2 Rz. 159. So Hoeren/Sieber/Schmitz, Teil 16.2 Rz. 163.
1026 Hullen/Roggenkamp
Pflichten des Diensteanbieters
§ 13 TMG
Gestaltung des Dienstes1. Hier ist für jeden Einzelfall zu prüfen, ob eine pseudonyme oder gar anonyme Nutzung möglich und zumutbar ist. Die Zumutbarkeit der Ermöglichung der pseudonymen bzw anonymen Nutzung2 ist im Rahmen einer auf den konkreten Fall bezogenen Verhältnismäßigkeitsprüfung zu ermitteln, bei der das Interesse des Anbieters, mit dem Recht des Nutzers auf informationelle Selbstbestimmung abzuwägen ist3.
41
Problemfälle sind z.B. die Notwendigkeit unter einem „Klarnamen“, al- 42 so dem bürgerlichen Namen zu agieren (sog. Klarnamenzwang). Gerade im sog. Social Web besteht mitunter das legitime Bedürfnis4, Äußerungen zumindest unter einem Pseudonym zu veröffentlichen. Regelmäßig hat der Diensteanbieter dem Nutzer die Möglichkeit einzuräumen, gegenüber anderen Nutzern unter einem beliebigen „Nutzernamen“ zu agieren. Eine Verpflichtung zur Verwendung des Klarnamens auf der Nutzer-Nutzer-Ebene ist bei sozialen Netzwerkdiensten mit vornehmlich privatem Charakter (z.B. Twitter, Facebook, Google+), nicht ohne weitere Begründung mit vermeintlicher „Unzumutbarkeit“ einer anonymen oder pseudonymen Nutzung zu rechtfertigen5. Die Offenlegung des bürgerlichen Namens ist auch für die Finanzierung durch Werbung nicht erforderlich. Diese wird auf den jeweiligen Aktionskontext bzw. freiwillige Angaben des Nutzers (z.B. zu „Interessen und Hobbys“) abgestimmt. Ob der Dienst ohne Angabe der Klarnamens für den Nutzer tatsächlich „nützlich“ sein kann, steht grundsätzlich im nicht abdingbaren Ermessen des Nutzers6. Nur wenn das gesamte Geschäftsmodell des sozialen Netzwerks evident auf der Offenlegung der Identität beruht, z.B. im Fall von sozialen Netzwerken mit (fast) ausschließlich berufsbezogener Prägung (z.B. Xing, LinkedIn), kommt eine Unzumutbarkeit der Zulassung von Pseudonymen in Betracht7. 1 Schnabel/Freund, CR 2010, 718, 719; Albrecht, AnwZert ITR 1/2011, Anm. 2; a.A. Taeger/Gabel/Moos, § 13 TMG Rz. 41. 2 Hierzu allgemein Roßnagel/Scholz, MMR 2000, 721. 3 Heckmann/Heckmann, Kap. 9 Rz. 278; Spindler/Schuster/Spindler/Nink, § 13 TMG Rz. 10. 4 Vgl. BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 – spickmich.de – Rz. 38; Ballhausen/Roggenkamp, K&R 2008, 403, 406. 5 Vgl. Ballhausen/Roggenkamp, K&R 2008, 403, 406; Stadler, ZD 2011, 57, 58. 6 A.A. Heckmann/Heckmann, Kap. 9 Rz. 281 der auf eventuell vorhandene Privatsphäreeinstellungen verweist. 7 Vgl. Schnabel/Freund, CR 2010, 718, 719; Krieg, AnwZert ITR 24/2008 Anm. 3; sehr weit Heckmann/Heckmann, Kap. 9 Rz. 281; zu eng Albrecht, AnwZert ITR 1/2011, Anm. 2.
Hullen/Roggenkamp 1027
TMG § 13
Datenschutz
43 Von der Frage der Zumutbarkeit der Verwendung von Klarnamen ist die Notwendigkeit der Identifikation gegenüber dem Diensteanbieter selbst zu unterscheiden1. Schon auf Grund der Haftungsrisiken unter dem Aspekt der Störerhaftung für Diensteanbieter und dem legitimen Bedürfnis, im Falle von Rechtsverletzungen durch Nutzer bei diesen Regress nehmen zu können, ist es in der Regel zulässig zu verlangen, dass sich Nutzer auch bei „kostenlosen“ Diensten gegenüber dem Diensteanbieter identifizieren. VIII. Auskunftspflicht (Abs. 7) 44 Ein besonders wichtiges Recht des Nutzers ist das Recht auf Erteilung von Auskünften über die personenbezogenen Daten und pseudonymisierten Profile nach § 15 Abs. 3 (siehe dort Rz. 18), die der Diensteanbieter über ihn gespeichert hat. Zum einen sorgt die Auskunft für Transparenz, da der Nutzer erst beurteilen kann, ob sich der Diensteanbieter im Rahmen seiner rechtlichen Vorgaben bewegt, wenn ihm bekannt ist, ob und welche Daten gespeichert wurden. Daneben dient der Auskunftsanspruch der etwaigen Vorbereitung und Geltendmachung von weiteren Ansprüchen, bspw. auf Löschung, Berichtigung und Schadenersatz2. Das in Abs. 7 Satz 1 verankerte Auskunftsrecht über personenbezogene Daten, die dem Anwendungsbereich des TMG unterfallen, verweist dabei im Detail auf die Regelungen in § 34 BDSG3. § 13 Abs. 7 greift außerhalb des Verhältnisses zwischen Nutzer und Diensteanbieter, also für Fälle, in denen Dritte Auskünfte über Nutzerdaten begehren, nicht4. 45 Die Geltendmachung des Auskunftsanspruchs ist weder förmlich, noch inhaltlich an das Vorliegen bestimmter Voraussetzungen geknüpft. Es muss lediglich auf Grund konkreter Umstände in Betracht kommen, dass einschlägige Daten beim Diensteanbieter vorhanden sind5. Der Auskunftsanspruch kann mündlich, schriftlich oder durch elektronische Kommunikation geltend gemacht werden. Es muss weder ein besonderes Interesse noch ein sonstiger Grund vorliegen oder geltend gemacht werden. Gemäß § 34 Abs. 5 Satz 1 BDSG ist die Auskunft vom Diensteanbieter für den Nutzer grundsätzlich kostenfrei. Die Auskünfte sind 1 2 3 4 5
Vgl. auch Stadler, ZD 2011, 57, 58. Spindler/Schuster/Spindler/Nink, § 13 TMG Rz. 16. Ausführlich Taeger/Gabel/Moos, § 13 TMG Rz. 51. OLG Hamm v. 12.9.2011 – I-3 U 196/10, K&R 2011, 733. LG Ulm v. 1.12.2004 – 1 S 89/04, MMR 2005, 265, 266.
1028 Hullen/Roggenkamp
Bestandsdaten
§ 14 TMG
umfangreich und vollständig zu erteilen. Für den Fall, dass keine personenbezogenen Daten gespeichert sind, muss der Nutzer hierüber ebenfalls informiert werden. Begehrt der Nutzer eine Auskunft über den Inhalt seines pseudonymisierten Profils, so ist er vor der Zusammenführung von Nutzername und Pseudonym darüber zu informieren, dass eine Re-Identifizierung stattfindet. Erst wenn der Nutzer weiterhin entsprechende Auskünfte verlangt, sind diese zu erteilen1. Gemäß Satz 2 kann die Auskunft auf Verlangen des Nutzers auch elektronisch, in der Regel also per E-Mail, bei großen Datenbeständen aber auch auf Datenträgern, sofern von deren Lesbarkeit durch den Nutzer auszugehen ist, erteilt werden.
46
IX. Sanktionen Diensteanbieter, die gegen ihre Informationspflichten nach Abs. 1 Satz 1 oder 2 verstoßen, handeln gemäß § 16 Abs. 2 Nr. 2 ordnungswidrig. Gleiches gilt für ein Verstoß gegen die Regelungen in Abs. 4 Satz 1 Nr. 1–5, der ebenfalls nach § 16 Abs. 2 Nr. 3 also Ordnungswidrigkeit mit einer Geldbuße von bis zu fünfzigtausend Euro geahndet werden kann. Bestandsdaten
14
(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind (Bestandsdaten). (2) Auf Anordnung der zuständigen Stellen darf der Diensteanbieter im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes oder des Bundeskriminalamtes im Rahmen seiner Aufgabe zur Abwehr von Gefahren des internationalen Terrorismus oder zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist.
1 So auch Heckmann/Heckmann, § 13 TMG Rz. 296; Spindler/Schuster/Spindler/Nink, § 13 TMG Rz. 166.
Hullen/Roggenkamp 1029
47
TMG § 14 I. Einführung . . . . . . . . . . . . . . . . II. Erhebung und Verwendung von Bestandsdaten (Abs. 1). . . 1. Anwendungsbereich . . . . . . . . 2. Inhalts- und Telekommunikationsdaten . . . . . . . . . . . . . .
Datenschutz 1 2 2 5
III. Erhebung und Verwendung von Bestandsdaten (Abs. 1). . . 8 1. Bestandsdaten . . . . . . . . . . . . . 9 2. Erforderlichkeit . . . . . . . . . . . . 12
3. Löschungspflicht . . . . . . . . . . . 15 IV. 1. 2. 3. 4.
Auskunftserteilung (Abs. 2) . . Auskunftserlaubnis . . . . . . . . . Zur Auskunft Berechtigte . . . . Auskunftszwecke . . . . . . . . . . Anordnung der zuständigen Stellen . . . . . . . . . . . . . . . . . . . . 5. Rechtmäßigkeit der Anordnung. . . . . . . . . . . . . . . . . . . . . .
16 16 18 20 23 25
V. Rechtsfolgen/Sanktionen . . . . 28
Schrifttum: Bäcker, Starkes Recht und schwache Durchsetzung, ZUM 2008, 381; Jandt, Location Based Services im Fokus des Datenschutzes, K&R 2008, 723; Karg, Rechtsgrundlagen für den Datenschutz in sozialen Netzwerken, K&R 2011, 453; Rammos, Datenschutzrechtliche Aspekte verschiedener Arten „verhaltensbezogener“ Onlinewerbung, K&R 2011, 692; Roßnagel, Das Telemediengesetz – Neuordnung für Informations- und Kommunikationsdienste, NVwZ 2007, 743; Spindler, „Die Tür ist auf“ Europarechtliche Zulässigkeit von Auskunftsansprüchen gegenüber Providern, GRUR 2008, 574; Voigt, Datenschutz bei Google, MMR 2009, 377; Voigt/Alich, Facebook-Like-Button und Co. – Datenschutzrechtliche Verantwortlichkeit der Webseitenbetreiber, NJW 2011, 3541.
I. Einführung 1 Die Regelung des § 14 Abs. 1 erlaubt es Diensteanbietern i.S.v. § 2 Satz 1 Nr. 1, personenbezogene Daten ohne Einwilligung des Nutzers zu erheben und zu verwenden, sofern dies im Zusammenhang mit Verträgen über die Nutzung von Telemedien erforderlich ist. Die Norm ist somit ein Erlaubnistatbestand gem. § 12 Abs. 1 für die Erhebung und Verwendung sog. Bestandsdaten1. Darüber hinaus stellt die Vorschrift in Abs. 2 klar, dass u.a. im Rahmen der Strafverfolgung und Gefahrenabwehr bestehende Auskunftsansprüche nicht aufgrund datenschutzrechtlicher Bestimmungen vom Diensteanbieter zurückgewiesen werden können2. Die Norm übernimmt den Regelungsgehalt der Vorgängervorschriften des § 5 TDDSG bzw. § 19 Abs. 1 MDStV. Abs. 1 entspricht inhaltlich § 28 Abs. 1 Satz 1 Nr. 1 BDSG, der u.a. die Zulässigkeit der Verarbeitung personenbezogener Inhaltsdaten zum Zwecke der Vertragsbegründung und -abwicklung regelt. § 14 beruht nicht unmittelbar auf europarecht-
1 Die auch als Vertrags- oder Grunddaten bezeichnet werden könnten, vgl. Taeger/Gabel/Zscherpe, § 14 TMG Rz. 12. 2 BT-Drucks. 16/3078, S. 16.
1030 Hullen/Roggenkamp
§ 14 TMG
Bestandsdaten
lichen Vorgaben, jedoch sind die Grundgedanken der Regelung in der EG-Datenschutzrichtlinie enthalten1. II. Erhebung und Verwendung von Bestandsdaten (Abs. 1) 1. Anwendungsbereich Abs. 1 ist in sachlicher Hinsicht nur auf solche personenbezogene Daten 2 anwendbar, die im Rahmen der Anbahnung und Abwicklung von Verträgen, die die Nutzung von Telemedien zum Gegenstand haben, erforderlich sind (Bestandsdaten). Werden Telemedien lediglich zur Interaktion zwischen Diensteanbieter und Nutzer eingesetzt, ohne dass es inhaltlich um die Nutzung von Telemedien geht, fallen die dabei ausgetauschten (Inhalts-)Daten (z.B. über in einem Internet-Shop gekaufte Waren) nicht in den Anwendungsbereich der Regelung (siehe unten Rz. 5). Beispiele: Um die Nutzung von Telemedien geht es u.a. bei Verträgen 3 zwischen Nutzern und Plattformbetreibern, bspw. bei Verkaufs- und Auktionsportalen, die vom Nutzer eine Verkaufsgebühr o.ä. verlangen, bei der kostenpflichtigen Nutzung von Datenbanken sowie bei Verträgen über Online-Spiele, Download-Inhalte und On-Demand-Streamingangebote. Lineare Streaming-Dienste, bei denen der Nutzer den Zeitpunkt des Beginns der Übertragung von einzelnen Ton- oder Videobeiträgen nicht individuell bestimmen, sondern nur in eine bereits laufende Sendung einsteigen kann, können als Rundfunk in den Anwendungsbereich des RStV fallen2. Auch dann gilt § 14 Abs. 1 über die Verweisung in § 47 Abs. 1 RStV entsprechend. Auch Gratisangebote (bspw. Foren, Newsdienste und Soziale Netzwerke) fallen in den Anwendungsbereich, wenn zwischen Anbieter und Nutzer ein entsprechender Nutzungsvertrag, bspw. über die Einhaltung bestimmter Verhaltensregeln im Rahmen der Telemediennutzung, abgeschlossen wurde. Abs. 1 gilt für Diensteanbieter, die in einem Vertragsverhältnis mit dem 4 Nutzer stehen bzw. die einen Abschluss eines Vertrages über die Inanspruchnahme von Telemedien beabsichtigen. Abs. 1 unterfallen dabei nur Diensteanbieter, deren Angebot einen Vertragsschluss überhaupt voraussetzt. Die Nutzung von Diensten wie Nachrichtenportalen, die ohne Ansehen der individuellen Person einer breiten Masse von Nutzern kostenlos zur Verfügung gestellt werden, setzt regelmäßig keine 1 Taeger/Gabel/Zscherpe, § 14 TMG Rz. 5. 2 Spindler/Schuster/Holznagel/Kibele, § 2 RStV Rz. 51a.
Hullen/Roggenkamp 1031
TMG § 14
Datenschutz
vertragliche Beziehung zwischen Anbieter und Nutzer voraus. Jedoch können auch Anbieter von kostenlos abrufbaren Telemediendiensten ein legitimes Interesse an einem Vertragsschluss haben1. Dies gilt insbesondere dann, wenn zwischen den Parteien bestimmte Verhaltensregeln, z.B. im Rahmen von Nutzungsbedingungen, rechtsverbindlich vereinbart werden sollen. Regelmäßig ist dies der Fall, wenn durch die Inanspruchnahme des Dienstes Rechte Dritter beeinträchtigt werden können, wie typischerweise bei der Nutzung von Foren, Videoportalen oder Sozialen Netzwerken. Auch bei der Festlegung des Leistungsgegenstandes eines kostenlos zur Verfügung gestellten Angebots liegt ein Interesse an der Herbeiführung einer rechtsverbindlichen Regelung zumindest auch vor, wenn neben dem kostenlosen ein entgeltpflichtiger Premium-Dienst zur Verfügung gestellt wird. „Scheinverträge“, die der Abfischung personenbezogener Nutzerdaten und offensichtlich nicht der Nutzung von Telemedien dienen, unterfallen hingegen nicht dem Anwendungsbereich des Abs. 1. 2. Inhalts- und Telekommunikationsdaten 5 Werden Telemedien lediglich als Kommunikationsmittel der Vertragsparteien genutzt, ohne dass es dabei um eine vertragsgegenständliche Nutzung der Telemedien selbst geht, so fallen keine Bestandsdaten i.S. des § 14 an. Abs. 1 legitimiert lediglich die Erhebung und Verwendung von personenbezogenen Daten in Verträgen „über die Nutzung von Telemedien“, nicht die Verarbeitung aller durch Telemedien anfallenden Vertragsdaten per se. Letztere Daten werden auch als (vertragsbezogene) Inhaltsdaten bezeichnet. Hierzu zählen bspw. personenbezogene Daten in Verträgen über Waren, die in Internet-Shops und Online-Auktionen geschlossen werden2, Verträge über Reiseleistungen3 (Online-Buchung von Flug- und Bahntickets, Hotelübernachtungen etc.) sowie sonstige, nicht telemedienbezogene Dienstleistungen. Inhaltsdaten unterfallen den allgemeinen Regelungen des BDSG, wobei aufgrund des nahezu identischen Regelungsgehalts des § 28 Abs. 1 Satz 1 Nr. 1 BDSG (siehe dort Rz. 15) die Erhebung und Verwendung dieser Vertragsdaten regelmäßig unproblematisch sein wird4. Gleiches gilt für kommunikationsbezogene Inhaltsdaten wie etwa Produktbewertungen oder Nutzerbeiträge in Sozialen Netzwerken (siehe § 15 Rz. 12). 1 2 3 4
Heckmann/Heckmann, Kap. 9 Rz. 305. Spindler/Schuster/Spindler/Nink, § 14 TMG Rz. 5. Heckmann/Heckmann, Kap. 9 Rz. 303. Taeger/Gabel/Zscherpe, § 14 Rz. 25.
1032 Hullen/Roggenkamp
§ 14 TMG
Bestandsdaten
Bestandsdaten sind weiterhin von solchen abzugrenzen, die die Telekommunikations- bzw. Transportebene1 betreffen (siehe hierzu auch § 11 Rz. 12). Dies sind solche personenbezogene Daten, die für die vertragliche Inanspruchnahme eines Telekommunikationsdienstes i.S.v. § 3 Nr. 24 TKG, bspw. im Rahmen eines Vertrags mit einem Internet-Access-Provider, erforderlich sind. Für personenbezogene Daten dieser Art gelten die besonderen Regelungen des TKG, insbesondere § 95 TKG. Dies gilt auch für telekommunikationsgestützte Dienste i.S.d. § 3 Nr. 25 TKG („0900er“-Rufnummern). Auf Verträge über gleichzeitig erbrachte Telemedien- und Telekommunikationsdienste sind die in § 11 Abs. 3 genannten Regelungen des TMG anwendbar, wenn die Leistung überwiegend in der Übertragung von Signalen über Telekommunikationsnetze besteht. Für die Veranstaltung und Verbreitung von Rundfunk gilt Abs. 1 über die Verweisung in § 47 RStV entsprechend.
6
Die klarstellende Regelung des Abs. 2 bezieht sich dem Wortlaut nach nur auf Bestandsdaten, aufgrund der Verweisung in § 15. Abs. 4 Satz 4 sind jedoch auch Nutzungs- und Abrechnungsdaten mit umfasst.
7
III. Erhebung und Verwendung von Bestandsdaten (Abs. 1) Abs. 1 erlaubt es dem Diensteanbieter, Bestandsdaten des Nutzers auch 8 ohne dessen Einwilligung zu erheben und zu verwenden (siehe oben Rz. 2). Der Gesetzgeber hat dabei in Abs. 1 definiert, was unter dem Begriff der Bestandsdaten zu verstehen ist, ohne diese abschließend aufzuzählen. Die Erhebung und Verwendung dieser Daten für andere als die in Abs. 1 genannten Zwecke kommt dabei nur in Betracht, wenn der Nutzer hierin eingewilligt hat oder ein Auskunftsverlangen i.S.v. § 13 Abs. 7 vorliegt (Zweckbindungsgrundsatz). Andere datenschutzrechtliche Normen können die Erhebung und Verwendung von Bestandsdaten zu anderen Zwecken nicht legitimieren2, da Erlaubnistatbestände grundsätzlich abschließende Regelungen enthalten und andere Vorschriften, die sich ausdrücklich auf die (zweckfremde) Verwendung von Bestandsdaten beziehen, nicht existieren (Zitiergebot, siehe § 12 Rz. 20)3.
1 Hierzu Holznagel/Enaux/Nienhaus, Telekommunikationsrecht, Rz. 658. 2 Vgl. Spindler/Schuster/Spindler/Nink, § 14 TMG Rz. 5. 3 Hoeren/Sieber/Schmitz, Teil 16.2 Rz. 168.
Hullen/Roggenkamp 1033
TMG § 14
Datenschutz
1. Bestandsdaten 9 Bestandsdaten sind gemäß der Legaldefinition in Abs. 1 personenbezogene Daten eines Nutzers, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind. Diese Daten könnten folglich auch als Grund- oder Vertragsdaten bezeichnet werden1. Abs. 1 beinhaltet sowohl die Voraussetzungen für die rechtmäßige Erhebung bzw. Nutzung von Bestandsdaten, als auch deren Begriffsbestimmung2. Dies ist an sich unproblematisch, jedoch stellen Erlaubnistatbestand und Definition auf die Erforderlichkeit der Datenerhebung bzw. -verwendung im Zusammenhang mit dem Vertragsschluss ab. Unklar bleibt hierbei, nach welchen Kriterien eine solche Erforderlichkeit zu beurteilen ist (siehe hierzu unten Rz. 12). 10 Die Vorschrift lässt offen, welche personenbezogenen Daten als Bestandsdaten zu klassifizieren sind. Der Gesetzgeber hat auf eine abschließende Aufzählung verzichtet3, da sich die Frage, ob personenbezogene Daten des Nutzers in den Anwendungsbereich des Abs. 1 fallen, aufgrund der großen Vielfalt der Telemedienangebote nur im Einzelfall anhand des jeweiligen Vertragszwecks beantworten lässt. 11 Typische Bestandsdaten sind z.B. Name, Anschrift, Telefonnummer und E-Mail-Adresse des Nutzers, Login-In Daten wie Nutzername und Passwort, Abrechnungsmodalitäten wie Einzelabrechnung oder Nutzungspauschale (Flatrate) sowie Zahlungsart (Vorausüberweisung, Kreditkartenzahlung, Rechnung etc.) und -zeitraum sowie weitere vertragsabhängige Leistungsmerkmale. IP-Adressen werden, soweit sie als personenbezogene Daten zu qualifizieren sind (hierzu ausführlich § 12 Rz. 5 ff.), zumeist als Nutzungsdaten i.S.v. § 15 Abs. 1 zu qualifizieren sein (siehe § 15 Rz. 2). Jedoch kommt auch eine Einordnung als Bestandsdatum in Betracht, z.B. wenn die Nutzung eines Telemediums vertraglich an eine bestimmte (statische) IP-Adresse gekoppelt wird. 2. Erforderlichkeit 12 Die Datenerhebung und -verwendung muss für die Begründung, inhaltliche Ausgestaltung oder Änderung des Nutzungsvertrags erforderlich sein. Dem Wortlaut nach verfügt der Diensteanbieter über die Möglich1 So Taeger/Gabel/Zscherpe, § 14 TMG Rz. 12. 2 Spindler/Schuster/Nink, § 14 TMG Rz. 2. 3 BT-Drucks. 16/3078, S. 24.
1034 Hullen/Roggenkamp
Bestandsdaten
§ 14 TMG
keit, durch eine entsprechende Vertragsgestaltung festzulegen, welche Daten der Nutzer angeben muss, damit ein Vertragsschluss überhaupt zustande kommt. In der Literatur besteht jedoch weitgehend Einigkeit darüber, dass eine rein subjektive, aus Sicht des Diensteanbieters erfolgende Festlegung des Maßstabs der Erforderlichkeit ausscheidet1. Eine in das Belieben des Diensteanbieters gestellte Datenerhebung wird durch Abs. 1 nicht gestattet. Umstritten ist hingegen, ob Abs. 1 nur in den Fällen, in denen deren Erhebung und Verwendung im Rahmen des Vertragsschlusses unerlässlich ist, greift2 oder ob den Diensteanbietern ein gewisser Spielraum bei der Vertragsgestaltung und somit bei der Festlegung, welche Daten erforderlich i.S.d. Abs. 1 sind, verbleibt3. Legt man den Begriff der Erforderlichkeit eng aus, so sind viele Angaben des Nutzers wie die einer Telefonnummer oder auch der E-Mail-Adresse nicht von Abs. 1 gedeckt, da deren Erhebung regelmäßig nicht zwingend zur Begründung, Ausgestaltung oder Änderung des Vertragsverhältnisses notwendig ist. Dem Wortlaut des Abs. 1 zufolge muss die Erhebung der personenbezo- 13 genen Daten des Nutzers zur Vertragsabwicklung erforderlich, nicht jedoch unerlässlich sein4. Der Begriff der Erforderlichkeit überlässt den Vertragsparteien – anders als im öffentlichen Bereich (vgl. § 13 BDSG Rz. 5 f.) – einen gewissen Gestaltungsspielraum, der über den Bereich des zwingend Notwendigen hinausgeht. Dadurch wird dem Grundsatz der Privatautonomie entsprochen und ein übermäßiger Eingriff in das in Recht auf informationelle Selbstbestimmung des Nutzers vermieden5. Erforderlich sind also nicht nur zwingend notwendige Daten des Nutzers, sondern auch solche, die der Sicherung der ordnungsgemäßen Vertragsdurchführung vernünftigerweise dienen können6 Eine entsprechende Beurteilung hat sich im Einzelfall am jeweiligen Vertragszweck zu orientieren.
1 Roßnagel/Dix, Recht der Multimedia-Dienste, § 5 TDDSG Rz. 36; Spindler/ Schuster/Spindler/Nink, § 14 TMG Rz. 4. 2 Siehe hierzu Taeger/Gabel/Zscherpe, § 14 TMG Rz. 29. 3 Hoeren/Sieber/Schmitz, Teil 16.2 Rz. 172; Taeger/Gabel/Zscherpe, § 14 TMG Rz. 30. 4 Widersprüchlich sind hingegen Wortlaut von Gesetzestext („erforderlich“) und Begründung des Gesetzesentwurfs des TDDSG („unerlässlich“), vgl. BTDrucks. 13/7385, S. 24. 5 Hoeren/Sieber/Schmitz, Teil 16.2 Rz. 173. 6 Vgl. hierzu auch die Auslegung des Begriffs in § 28 Abs. 1 Satz 1 Nr. 1 BDSG, Rz. 19 ff.
Hullen/Roggenkamp 1035
TMG § 14
Datenschutz
14 So ist beispielsweise die Abfrage der Prüfnummer (Card Validation Code) einer Kreditkarte bei entsprechender Zahlungsart im Rahmen der Abwicklung eines Kaufvertrags nicht zwingend notwendig, zur Verhinderung von Missbrauchsfällen ist sie aber regelmäßig erforderlich1. Schließen Nutzer und Diensteanbieter hingegen einen Vertrag über ein unentgeltlich zur Verfügung gestellten Dienst ab, so wäre die Erhebung der Zahlungsdaten nicht erforderlich. Das Verlangen nach Angabe des Vor- und Zunamens des Nutzers sowie ggf. einer Adresse kann jedoch bei Diensten wie Sozialen Netzwerken oder Internetforen als erforderlich angesehen werden, um im Falle von Rechtsverletzungen des Nutzers bei diesem Rückgriff nehmen zu können. Im Rahmen kostenloser Informationsangebote wie z.B. Nachrichtenportalen scheidet Abs. 1 als Erlaubnistatbestand für die Erhebung und Verwendung personenbezogener Daten bei mangelndem Rechtsbindungswillen der Parteien und Fehlen eines entsprechenden Vertragsverhältnisses aus. Jedoch können auch kostenlose Angebote von Abs. 1 erfasst sein, bspw. wenn der Diensteanbieter im Rahmen einer Forennutzung vertragliche Verhaltensregeln vereinbart (siehe oben Rz. 3 f.)2. 3. Löschungspflicht 15 Bestandsdaten sind zu löschen, sobald diese nicht mehr zur Abwicklung des Vertragsverhältnisses benötigt werden. Das ergibt sich aus dem in Abs. 1 festgeschriebenen Grundsatz der Erforderlichkeit und der Zweckbindung (siehe oben Rz. 8). Dem Nutzer steht ein entsprechender Löschungsanspruch zu3. Die Abwicklung des Vertragsverhältnisses umfasst auch die Regelung aller denkbaren nachvertraglichen Ansprüche4. Aufbewahrungspflichten, z.B. aus der AO, können der Löschung der Bestandsdaten entgegenstehen. In diesem Fall sind die Daten jedoch zu sperren.
1 So Taeger/Gabel/Zscherpe, § 14 TMG Rz. 31. 2 Taeger/Gabel/Zscherpe, § 14 Rz. 36. 3 Ein solcher Anspruch wird tlw. aus dem Erforderlichkeitsprinzip des Abs. 1, teilweise auch aus § 20 Abs. 2 BDSG hergeleitet, vgl. Heckmann/Heckmann, Kap. 1.14 Rz. 14; offen gelassen durch OLG Bamberg, CR 2006, 274. 4 Taeger/Gabel/Zscherpe, § 14 TMG Rz. 38.
1036 Hullen/Roggenkamp
Bestandsdaten
§ 14 TMG
IV. Auskunftserteilung (Abs. 2) 1. Auskunftserlaubnis In Abs. 2 wird klargestellt, dass Diensteanbieter befugt sind, Auskünfte über Bestandsdaten gegenüber den in Abs. 2 benannten Empfängern zu erteilen. Ausweislich § 15 Abs. 5 Satz 4 findet die Norm für den Bereich der Nutzungs- und Abrechnungsdaten entsprechende Anwendung.
16
Es handelt sich nicht etwa um einen Auskunftsanspruch, sondern viel- 17 mehr um eine datenschutzrechtliche Auskunftserlaubnis, die gerade das Gegenstück zum Auskunftsanspruch ist1. Ein Anbieter von Telemediendiensten darf Auskünfte nur dann erteilen, wenn eine Anordnung der zuständigen Stelle diese von ihm fordert2. Aus dem Wort „darf“ kann nicht gefolgert werden, dass die Erteilung der Auskunft in einem solchen Fall noch im Ermessen des Diensteanbieters steht. Die vom Bundesrat geforderte Klarstellung3 durch eine imperative Formulierung („hat … Auskunft zu erteilen“) wurde versäumt. Der rechtmäßig an den Diensteanbieter herangetragene Auskunftsanspruch darf nicht aus datenschutzrechtlichen Erwägungen zurückgewiesen werden4. 2. Zur Auskunft Berechtigte Zum Kreis der zur Auskunft Berechtigten zählen grundsätzlich alle 18 Diensteanbieter, die dem Datenschutzrecht des TMG vollumfänglich unterliegen (siehe hierzu § 11 Rz. 2 ff.). In der Praxis betrifft der § 14 Abs. 2 zumeist die sog. Hostprovider, also Diensteanbieter, die „für einen Nutzer“ Inhalte speichern (vgl. § 10 TMG). Zu den Hostprovidern zählen nicht nur die Diensteanbieter, die Speicherplatz für Webseiten vermieten. Auch User-Generated-Content-Plattformen sind – mit Blick auf die Speicherung der nutzergenerierten Inhalte – als Hostprovider einzustufen5. Zu den zur Auskunft Berechtigten gehören damit z.B. auch Betreiber von Internetforen6, Foto- und Videoplattformbetreiber, Betreiber sozialer Netzwerke, Anbieter von Blogplattformen7, Betreiber 1 2 3 4 5
Spindler, CR 2007, 239 (243); Moos, K&R 2008, 137 (141). Roßnagel, NVwZ 2007, 743 (748). Stellungnahme des Bundesrates vom 22.9.2006 in BT-Drucks. 16/3078, S. 18 f. BT-Drucks. 16/3078, S. 16. Taeger/Gabel/Zscherpe, § 14 TMG Rz. 47; Spindler, CR 2007, 239 (243); Moos, K&R 2008, 137 (141). 6 Spindler, CR 2007, 239 (243). 7 Z.B. blogger.com. Blogbetreiber sind nur mit Blick auf die Kommentarfunktion als Hostprovider einzustufen.
Hullen/Roggenkamp 1037
TMG § 14
Datenschutz
nutzergenerierter Online-Nachschlagewerke1 und Betreiber von Bewertungsplattformen (auch wenn diese in ein E-Commerce-Angebot eingebunden sind). Ebenfalls umfasst sind Plattformen, über welche Nutzer mit anderen Nutzern Verträge schließen können (z.B. Auktionsplattformen wie eBay oder Online-Kleinanzeigen-Diensteanbieter), da diese ebenfalls Inhalte „für einen Nutzer“ speichern. 19 Die praktisch ebenfalls hochrelevanten Auskunftsersuchen gegenüber Internet-Access-Providern richten sich hingegen (nur) nach dem TKG2. Das folgt aus § 11 Abs. 3, nach dem der Geltungsbereich der TMG-Datenschutzbestimmungen bei Telemediendiensten, die zugleich dem Telekommunikationsdatenschutz unterliegen, zu Gunsten der speziellen TKG-Regelungen (§ 113 TKG) beschränkt ist3. § 14 TMG gilt für diese Diensteanbieter nicht4. 3. Auskunftszwecke 20 In § 14 Abs. 2 findet sich eine Aufzählung der Zwecke, für die – soweit erforderlich – eine Auskunft erteilt werden darf, namentlich: Strafverfolgung, Gefahrenabwehr durch die Polizeibehörden der Länder, Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes oder des Bundeskriminalamtes im Rahmen seiner Aufgabe zur Abwehr von Gefahren des internationalen Terrorismus sowie Durchsetzung der Rechte am geistigen Eigentum. 21 Diese Aufzählung ist abschließend. Eine analoge Anwendung soll ausscheiden, da es sich bei § 14 Abs. 2 um eine Ausnahmeregelung handelt, die keine Erweiterung über den ausdrücklich genannten Anwendungsbereich hinaus finden soll5. Das bedeutet, dass eine Auskunftserteilung zum Zwecke der (zivilrechtlichen) Verfolgung von Rechtsverletzungen, die nicht zur Durchsetzung von Rechten des geistigen Eigentums erfolgt, grundsätzlich unzulässig sein soll6. Ein Rückgriff auf die §§ 242, 259 BGB7 sowie auf Ermächtigungsnormen des BDSG soll ebenfalls aus1 2 3 4 5 6
Bekanntestes Beispiel ist die Wikipedia. Vgl. Taeger/Gabel/Zscherpe, § 14 TMG Rz. 49. Siehe auch die Kommentierung zu § 11 TMG Rz. 19. Taeger/Gabel/Zscherpe, § 14 TMG Rz. 48 f. AG München v. 3.2.2011 – 161 C 24062/10. Gabel/Wicklein, MMR 2008, 485 (487) (Anm. zu LG Stuttgart v. 11.1.2008 – 8 O 357/07, MMR 2008, 485). 7 Für den es zudem eines Rechtsverhältnisses des Verletzten zum Plattformbetreiber bedürfte.
1038 Hullen/Roggenkamp
Bestandsdaten
§ 14 TMG
scheiden, da es sich nicht um Regelungen handelt, die sich – wie § 12 Abs. 1 TMG es verlangt – explizit auf Telemedien beziehen1. Dem Verletzten verbleibt daher als Rechtsschutzmöglichkeit nur die Einleitung eines Strafverfahrens, in dessen Rahmen er im Wege der Akteneinsicht (§ 406e Abs. 1 StPO) die gewünschten Daten erlangen kann2. Es ist indes nicht ersichtlich, wieso z.B. bei einer Verletzung des Urhe- 22 berrechts (z.B. durch rechtswidrige öffentliche Zugänglichmachung eines Fotos in einem Internetforum) ein Auskunftsanspruch gegenüber dem Diensteanbieter möglich sein soll, bei einer Persönlichkeitsrechtsverletzung (z.B. Beleidigung im Internetforum) aber nicht3. Im Lichte des Art. 3 Abs. 1 GG und dem Gebot der Gewährung effektiven Rechtsschutzes4 ist eine entsprechende Anwendung des § 14 Abs. 2 auf andere Rechtsverletzungen daher als zulässig anzusehen. Dafür spricht auch, dass die Möglichkeit der Geltendmachung eines Auskunftsanspruchs zur Durchsetzung von „Rechten am geistigen Eigentum“ im Zuge der Umsetzung der Enforcement-Richtlinie eingefügt wurde5. Es erscheint nicht ausgeschlossen, dass der Gesetzgeber die o.g. Diskrepanz übersehen und die Notwendigkeit der gleichberechtigten Behandlung anderer Rechtsverletzungen nicht bedacht hat. Den Gesetzesmaterialien ist keine Auseinandersetzung mit dieser Frage zu entnehmen. 4. Anordnung der zuständigen Stellen Voraussetzung für die Auskunftserteilung ist eine „Anordnung“ der „zuständigen Stellen“. Sie erfolgt nach Maßgabe der hierfür geltenden Bestimmungen (StPO, Bundes- und Landesverfassungsschutzgesetze, Bundesnachrichtendienstgesetz, Gesetz über den Militärischen Abschirmdienst)6.
23
Bezüglich Auskunftsersuchen von Privaten, die zur Durchsetzung ihrer Rechte Auskunft verlangen, ist der Gesetzeswortlaut unpassend, da eine „Anordnung“ bzw. die „zuständige Stellen“ mit öffentlichen Stellen i.S.d. § 2 Abs. 1 BDSG in Verbindung gebracht wird7. Eine „Anordnung“
24
1 AG München v. 3.2.2011 – 161 C 24062/10, MMR 2011, 417; Moos, K&R 2008, 137 (141); Gabel/Wicklein, MMR 2008, 485 (487). 2 So ausdrücklich das AG München v. 3.2.2011 – 161 C 24062/10, MMR 2011, 417. 3 Kritisch auch Spindler, CR 2007, 239 (243). 4 Vgl. auch LG Stuttgart v. 11.1.2008 – 8 O 357/07, MMR 2008, 485. 5 Spindler/Schuster/Spindler/Nink, § 14 TMG Rz. 8. 6 BT-Drucks. 16/3078, S. 16. 7 Heckmann/Heckmann, Kap. 9 Rz. 327.
Hullen/Roggenkamp 1039
TMG § 14
Datenschutz
durch eine öffentliche Stelle erfolgt jedoch regelmäßig nur in Fällen, in denen ein Rückgriff auf Verkehrsdaten notwendig ist (z.B. Auskunft über die Identität des Anschlussinhabers hinter einer bestimmten IPAdresse, die einem bestimmten Anschluss zu einem bestimmten Zeitpunkt zugeordnet war). Mit Blick auf den besonderen Schutz dieser Daten, sowohl durch Art. 10 GG als auch durch § 88 TKG, darf eine Auskunft nur erteilt werden, wenn eine vorherige richterliche Anordnung über die Zulässigkeit der Verwendung der Verkehrsdaten erteilt wurde, die der Verletzte zuvor bei dem jeweils zuständigen Landgericht beantragen muss1. Eine solche richterliche Anordnung (besser: Auskunftsgestattung) ist jedoch in Fällen, in denen ein solcher Rückgriff auf Verkehrsdaten nicht notwendig ist (z.B. Auskunft über Identität des unter dem Pseudonym XY handelnden Plattformnutzers), nicht vorgesehen und auch nicht erforderlich (vgl. z.B. § 101 Abs. 2 Nr. 3, Abs. 3 UrhG). Aus dem Wortlaut des § 14 Abs. 2 TMG wird allerdings mitunter geschlossen, dass direkte Auskunftsansprüche des Privaten gegenüber dem Diensteanbieter ausgeschlossen sein sollen2. Das würde aber zu der absurden Situation führen, dass derjenige, der Auskunft in einem Fall verlangt, in dem ein Rückgriff auf Verkehrsdaten notwendig ist, besser gestellt ist als derjenige, der „nur“ Auskunft über Bestandsdaten begehrt. Letzterer müsste die Strafverfolgungsbehörden bemühen, um die gewünschte Auskunft über die Akteneinsicht des Verletzten zu erhalten. Zudem ist zu berücksichtigen, dass ein Richtervorbehalt für Auskunftsansprüche zur Durchsetzung der Ansprüche wegen Verletzung geistigen Eigentums, in denen die Auskunftserteilung nicht unter Verwendung von Verkehrsdaten erfolgt, vom Gesetzgeber bewusst nicht vorgesehen wurde3. Dementsprechend kann auch eine Privatperson eine Auskunftserteilung gegenüber dem Diensteanbieter „anordnen“. Sie ist „zuständige Stelle“, wenn sie in ihren Rechten am geistigen Eigentum betroffen ist4.
1 Vgl. § 101 Abs. 9 UrhG, § 140b Abs. 9 PatG, § 24b Abs. 9 GebrMG, § 19 Abs. 9 MarkenG, § 46 Abs. 9 GeschmMG sowie § 37b Abs. 9 SortschG – geschaffen im Rahmen der Umsetzung der Enforcement-Richtlinie 2004/48/EG. 2 Heckmann/Heckmann, Kap. 9 Rz. 327. 3 Vgl. die überzeugende Begründung in BT-Drucks. 16/5048, S. 38. 4 Taeger/Gabel/Zscherpe, § 14 TMG Rz. 50; Spindler/Schuster/Spindler/Nink, § 14 Rz. 6.
1040 Hullen/Roggenkamp
§ 14 TMG
Bestandsdaten
5. Rechtmäßigkeit der Anordnung Die datenschutzrechtliche Verantwortung für die Zulässigkeit der zu 25 Auskunftszwecken erfolgenden Datenübermittlung liegt bei der öffentlichen Stelle, die die Übermittlung angeordnet hat1. Die Rechtmäßigkeit der Anordnung selbst ergibt sich nicht aus § 14 Abs. 2 TMG, der selbst keine Anspruchsgrundlage darstellt (s.o.), sondern aus den jeweils anwendbaren materiellrechtlichen Ermächtigungs- bzw. Anspruchsgrundlagen. Der Diensteanbieter muss die Rechtmäßigkeit des Auskunftsverlangens einer öffentlichen Stelle nicht überprüfen. „Entsprechendes“ soll nach der Gesetzesbegründung für den Fall gelten, 26 dass keine Anordnung einer öffentlichen Stelle vorliegt, sondern eine Privatperson Auskunft begehrt2. Diese Feststellung ist zu pauschal. Eine private bzw. nicht-öffentliche Stelle unterliegt im Gegensatz zu öffentlichen Stellen nicht den Bindungen des Art. 20 Abs. 3 GG. Jedem noch so kruden Datenbegehren müsste entsprochen werden. Richtigerweise darf ein Diensteanbieter die von einer privaten Stelle angeforderten Daten nur dann übermitteln, wenn entweder eine richterliche Gestattung vorliegt oder der Anfordernde die dem Auskunftsanspruch zugrunde liegenden Tatsachen hinreichend substantiiert vorträgt. In Anlehnung an die Rechtsprechung des BGH zur Haftung der Internetdiensteanbieter für Fehlverhalten Dritter ist die Rechtsverletzung, zu deren Verfolgung die Daten benötigt werden, so weit wie möglich zu substantiieren. Ein Tätigwerden des Diensteanbieters ist nur veranlasst, wenn die Geltendmachung des Auskunftsanspruchs so konkret gefasst ist, dass der Rechtsverstoß auf der Grundlage der Behauptungen des Betroffenen unschwer – das heißt ohne eingehende rechtliche und tatsächliche Überprüfung – bejaht werden kann3. Das bedeutet, dass z.B. bei einer behaupteten Markenrechtsverletzung sowohl die Nachweise über die Markenrechte vor- als auch die vermeintlich rechtsverletzende Handlung darzulegen ist. Nur wenn auf Basis dieser Angaben eine Rechtsverletzung „klar“ erkennbar ist, ist der Diensteanbieter gegenüber der privaten Stelle zur Herausgabe befugt.
1 BT-Drucks. 16/3078, S. 16. 2 BT-Drucks. 16/3078, S. 16. 3 BGH v. 25.10.2011 – VI ZR 93/10, CR 2012, 103.
Hullen/Roggenkamp 1041
27
TMG § 15
Datenschutz
V. Rechtsfolgen/Sanktionen 28 Verstöße gegen Abs. 1 stellen gem. § 16 Abs. 2 Nr. 4 eine Ordnungswidrigkeit dar und können mit einer Geldbuße von bis zu fünfzigtausend Euro geahndet werden. Nutzungsdaten (1) 1Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). 2Nutzungsdaten sind insbesondere 1. Merkmale zur Identifikation des Nutzers, 2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und 3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.
15
(2) Der Diensteanbieter darf Nutzungsdaten eines Nutzers über die Inanspruchnahme verschiedener Telemedien zusammenführen, soweit dies für Abrechnungszwecke mit dem Nutzer erforderlich ist. (3) 1Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. 2Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. 3Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. (4) 1Der Diensteanbieter darf Nutzungsdaten über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind (Abrechnungsdaten). 2Zur Erfüllung bestehender gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsfristen darf der Diensteanbieter die Daten sperren. (5) 1Der Diensteanbieter darf an andere Diensteanbieter oder Dritte Abrechnungsdaten übermitteln, soweit dies zur Ermittlung des Entgelts und zur Abrechnung mit dem Nutzer erforderlich ist. 2Hat der Diensteanbieter mit einem Dritten einen Vertrag über den Einzug des Entgelts geschlossen, so darf er diesem Dritten Abrechnungsdaten übermitteln, soweit es für diesen Zweck erforderlich ist. 3Zum Zwecke der Marktforschung anderer Diensteanbieter dürfen anonymisierte Nutzungsdaten übermittelt werden. 4§ 14 Abs. 2 findet entsprechende Anwendung. 1042 Hullen/Roggenkamp
§ 15 TMG
Nutzungsdaten
(6) Die Abrechnung über die Inanspruchnahme von Telemedien darf Anbieter, Zeitpunkt, Dauer, Art, Inhalt und Häufigkeit bestimmter von einem Nutzer in Anspruch genommener Telemedien nicht erkennen lassen, es sei denn, der Nutzer verlangt einen Einzelnachweis. (7) 1Der Diensteanbieter darf Abrechnungsdaten, die für die Erstellung von Einzelnachweisen über die Inanspruchnahme bestimmter Angebote auf Verlangen des Nutzers verarbeitet werden, höchstens bis zum Ablauf des sechsten Monats nach Versendung der Rechnung speichern. 2Werden gegen die Entgeltforderung innerhalb dieser Frist Einwendungen erhoben oder diese trotz Zahlungsaufforderung nicht beglichen, dürfen die Abrechnungsdaten weiter gespeichert werden, bis die Einwendungen abschließend geklärt sind oder die Entgeltforderung beglichen ist. (8) 1Liegen dem Diensteanbieter zu dokumentierende tatsächliche Anhaltspunkte vor, dass seine Dienste von bestimmten Nutzern in der Absicht in Anspruch genommen werden, das Entgelt nicht oder nicht vollständig zu entrichten, darf er die personenbezogenen Daten dieser Nutzer über das Ende des Nutzungsvorgangs sowie die in Absatz 7 genannte Speicherfrist hinaus nur verwenden, soweit dies für Zwecke der Rechtsverfolgung erforderlich ist. 2Der Diensteanbieter hat die Daten unverzüglich zu löschen, wenn die Voraussetzungen nach Satz 1 nicht mehr vorliegen oder die Daten für die Rechtsverfolgung nicht mehr benötigt werden. 3Der betroffene Nutzer ist zu unterrichten, sobald dies ohne Gefährdung des mit der Maßnahme verfolgten Zweckes möglich ist. I. Einführung . . . . . . . . . . . . . . . . II. 1. 2. 3.
Nutzungsdaten (Abs. 1) . . . . . Allgemeines . . . . . . . . . . . . . . . Nutzungsdaten . . . . . . . . . . . . Exkurs: Nutzung von Tracking-Tools. . . . . . . . . . . . . a) Verhältnis zu Inhaltsdaten b) Verhältnis zu Verkehrsdaten. . . . . . . . . . . . . . . . . . . 4. Erforderlichkeit . . . . . . . . . . . .
III. 1. 2. 3.
Nutzungsprofile (Abs. 3) . . . . . Pseudonymisierung . . . . . . . . Zweckbindung. . . . . . . . . . . . . Widerspruchsrecht . . . . . . . . .
1 2 2 4 10 12 14 15 18 24 28 30
IV. Verwendung von Abrechnungsdaten (Abs. 2, 4 bis 7) . . 31 1. Abrechnungsdaten . . . . . . . . . 31
2. Zusammenführung von Nutzungsdaten. . . . . . . . . . . . . 3. Erforderlichkeit . . . . . . . . . . . . 4. Übermittlung zu Abrechnungszwecken (Abs. 5 Satz 1 und 2). . . . . . . . . . . . . . . . . . . . . 5. Übermittlung zu Zwecken der Marktforschung (Abs. 5 Satz 3) . . . . . . . . . . . . . . . . . . . . 6. Weitergabe von Nutzungsdaten bei Auskunftsansprüchen (Abs. 5 Satz 4) . . . . . . . . .
32 33
37
41
43
V. Missbrauchsverfolgung (Abs. 8). . . . . . . . . . . . . . . . . . . . 44 VI. Sanktionen . . . . . . . . . . . . . . . . 48
Hullen/Roggenkamp 1043
TMG § 15
Datenschutz
Schrifttum: Bauer, Personalisierte Werbung auf Social Community-Websites, MMR 2008, 435; Lange, Neue Marketingstrategien im Internet- ökonomische und rechtliche Analyse, BB 2002, 561; Lerch/Krause/Hotho/Roßnagel/Stumme, Social Bookmarking-Systeme – die unerkannten Datensammler – Ungewollte personenbezogene Datenverarbeitung?, MMR 2010, 454; Härting, Datenschutz im Internet – Gesetzgeberischer Handlungsbedarf, BB 2010, 839; Rammos, Datenschutzrechtliche Aspekte verschiedener Arten „verhaltensbezogener“ Onlinewerbung, 692; Roßnagel/Scholz, Datenschutz durch Anonymität und Pseudonymität – Rechtsfolgen der Verwendung anonymer und pseudonymer Daten, MMR 2000, 721; Spindler, Das neue Telemediengesetz – Konvergenz in sachten Schritten, CR 2007, 239; Venzke, Social Media Marketing – Eine datenschutzrechtliche Orientierungshilfe, DuD 2011, 387.
I. Einführung 1 In § 15 ist der Umgang mit sog. Nutzungs- und Abrechnungsdaten geregelt. Abs. 1 legt als Erlaubnisnorm fest, wann der Diensteanbieter zur Erhebung und Verwendung von Nutzungsdaten befugt ist. Die Voraussetzungen zur Erstellung anonymisierter Nutzungsprofile gibt Abs. 3 vor. Daten, die der Diensteanbieter zu Abrechnungszwecken benötigt, werden von Abs. 2, 4, 5, 6 und 7 adressiert. Ein Schutzinstrument gegen Missbrauch des Telemedienangebots durch Nutzer wird dem Diensteanbieter mit der Regelung in Abs. 8 an die Hand gegeben. II. Nutzungsdaten (Abs. 1) 1. Allgemeines 2 Abs. 1 regelt, wann sog. Nutzungsdaten durch einen Diensteanbieter ohne vorhergehende Einwilligung des Nutzers erhoben und verwendet werden dürfen. Zudem enthält § 15 Abs. 1 eine Legaldefinition der Nutzungsdaten (hierzu sogleich) sowie eine nicht abschließende Auflistung von Beispielen für Nutzungsdaten. 3 Adressat der Norm sind alle Diensteanbieter i.S.d. § 2 Satz 1 Nr. 1 TMG, also „jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt“ sowie bei audiovisuellen Mediendiensten auf Abruf „jede natürliche oder juristische Person, die die Auswahl und Gestaltung der angebotenen Inhalte wirksam kontrolliert“ (vgl. § 11 Rz. 2 ff.). Ob zwischen Nutzer und Diensteanbieter ein Vertragsverhältnis besteht, ist im Gegensatz zu § 14 TMG irrelevant1. 1 Spindler/Schuster/Spindler/Nink, § 15 TMG Rz. 2.
1044 Hullen/Roggenkamp
Nutzungsdaten
§ 15 TMG
2. Nutzungsdaten Was Nutzungsdaten i.S.d. TMG sind, ist auf Grund der unglücklichen 4 Fassung der „Legaldefinition“, in welcher die Zulässigkeitsvoraussetzungen der Erhebung und Verwendung mit einer Begriffsbestimmung vermengt wurden, nicht offensichtlich. Aus der gesonderten (ebenfalls verunglückten) „Legaldefinition“ der Abrechnungsdaten in Abs. 4 folgt zunächst, dass es sich bei Nutzungsdaten um alle Daten handelt, die entweder zur Ermöglichung der Inanspruchnahme des jeweiligen Telemediendienstes oder zu Abrechnungszwecken genutzt werden könnten. Es kommt also hier, wie auch bei den Bestandsdaten (§ 14 Abs. 1), allein auf die abstrakte Eignung an. Die Erforderlichkeit der Erhebung oder Verwendung dieser Daten, die individuell und auf den konkreten Fall bezogen zu prüfen ist, ist für die Frage der Zulässigkeit, nicht aber für die grundsätzliche datenschutzrechtliche Einordnung relevant1. Die Nutzbarkeit personenbezogener Daten zu beiden vorgenannten Zwecken wird regelmäßig gegeben sein, ist aber nicht zwingend2. Ebenso ist es denkbar, dass Nutzungsdaten gleichzeitig auch als Bestandsdaten (§ 14 Abs. 1) eingestuft werden können, da sie (auch) für die Begründung und inhaltliche Ausgestaltung des Vertragsverhältnisses erforderlich sind3.
5
Eine – nicht abschließende4 – Auflistung typischer Nutzungsdaten ent- 6 hält § 15 Abs. 1 Satz 2. Genannt werden Merkmale zur Identifikation des Nutzers (Nr. 1), Angaben über Beginn, Ende und Umfang der jeweiligen Nutzung (Nr. 2) sowie Angaben über die vom Nutzer in Anspruch genommenen Telemedien (Nr. 3). Als Merkmale zur Identifikation des Nutzers kommen zunächst Benut- 7 zername und Passwort, E-Mailadressen oder (statische) IP-Adressen5 in Betracht6. Je nach Ausgestaltung des Dienstes können auch andere personenbezogene Daten zur Identifikation des Nutzers (z.B. Geburtsdatum, Adresse, Kundennummer etc.) genutzt werden. Insbesondere bei 1 Heckmann/Heckmann, Kap. 9 Rz. 347. 2 Vgl. Spindler/Schuster/Spindler/Nink, § 15 TMG Rz. 2. 3 Heckmann/Heckmann, Kap. 9 Rz. 343; Spindler/Schuster/Spindler/Nink, § 15 TMG Rz. 2; Taeger/Gabel/Zscherpe, § 15 TMG Rz. 16; Karg/Fahl, K&R 2011, 453 (458). 4 BT-Drucks. 14/6098, S. 29. 5 Zur Frage, ob IP-Adressen stets als personenbezogene Daten einzustufen sind, siehe § 12 Rz. 10. 6 Heckmann/Heckmann, Kap. 9 Rz. 343; Spindler/Schuster/Spindler/Nink, § 15 TMG Rz. 2.
Hullen/Roggenkamp 1045
TMG § 15
Datenschutz
Telemediendiensten, die nur nach Altersverifikation1 nutzbar sind (vgl. § 4 Abs. 2 JMStV), fällt auch die Abfrage von Daten, die auf dem „neuen Personalausweis“ gespeichert sind (z.B. Angabe ob ein bestimmtes Alter über- oder unterschritten wird, § 18 Abs. 3 Satz 2 Nr. 10 PAuswG), unter § 15 Abs. 1. Auch vom Diensteanbieter selbst generierte Daten, z.B. eine Session-ID oder sonstige, in einem persistenten Cookie (siehe hierzu § 13 Rz. 14) abgelegte nutzerindividualisierende Informationen, die zur Identifikation des Nutzers während des Nutzungsvorgangs dienen, sind als Nutzungsdatum einzuordnen2. 8 Beginn, Ende und Umfang der Nutzung des oder der Telemediendienste (Nr. 2) als auch Angaben über die vom Nutzer in Anspruch genommenen Dienste (Nr. 3) sind ebenfalls als Nutzungsdaten einzustufen. Daneben können in Cookies gespeicherten Daten, z.B. über die vom Nutzer aufgerufenen Artikel in einem Online-Shop, Nutzungsdaten sein. Auch ein sog. Clickstream, also der aufgezeichnete Verlauf des Besuchs einer Webseite, ist als Nutzungsdatum einzustufen, wenn er zur Ermöglichung der Inanspruchnahme oder Abrechnung des Dienstes geeignet ist. 9 Eine datenschutzrechtliche Relevanz entfalten all diese Daten (und ihre Erhebung bzw. Verwendung) jedoch nur, wenn sie zusätzlich das Merkmal der Personenbeziehbarkeit erfüllen. Wird diese durch technische Maßnahmen von vorneherein ausgeschlossen, findet § 15 TMG keine Anwendung (zu lediglich pseudonymisierten Nutzungsprofilen unten Rz. 18). So ist beispielsweise die Aufzeichnung eines Clickstreams (siehe oben Rz. 8) datenschutzrechtlich irrelevant, wenn von Anfang an, z.B. durch entsprechende technische Maßnahmen ausgeschlossen ist, dass dieser einem bestimmten Nutzer zugeordnet werden kann. Es handelt sich in diesem Fall um anonyme, nicht aber um personenbezogene Daten. Dementsprechend ist es datenschutzrechtlich z.B. zulässig, die Suchanfragen von Nutzern zu erheben, zu speichern und auszuwerten, wenn dies getrennt von den konkreten Nutzerkonten oder sonstigen „personenbeziehbaren“ Nutzermerkmalen (z.B. IP-Adresse) erfolgt. Auch hierbei muss ausgeschlossen sein, dass ein Personenbezug nachträglich vom Diensteanbieter hergestellt werden kann3. 1 Hierzu Altenhain/Heitkamp, K&R 2009, 619. 2 Karg/Fahl, K&R 2011, 453 (458). 3 Im Gegensatz hierzu kommt es beim Setzen sog. Cookies nicht darauf an, ob diese einen Personenbezug aufweisen oder nicht, da Art. 5 Abs. 3 der E-PrivacyRichtlinie (Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates v. 12.7.2002) nur von der „Speicherung von Informationen“ spricht.
1046 Hullen/Roggenkamp
Nutzungsdaten
§ 15 TMG
3. Exkurs: Nutzung von Tracking-Tools Zur besseren Analyse des Nutzerverhaltens setzen Diensteanbieter häu- 10 fig Webtracking-Tools ein (z.B. Google Analytics)1. Diese erheben in der Grundeinstellung eine Vielzahl von Nutzungsdaten und leiten sie zur Auswertung automatisiert an einen Server des Tool-Anbieters weiter, bei dem häufig unklar ist, ob er sich ggf. im (nichteuropäischen) Ausland befindet. Zu den erhobenen Daten gehört regelmäßig auch die IP-Adresse des jeweiligen Nutzers. Da die deutschen Datenschutzbehörden die IP-Adresse als personenbezogenes Datum (und nicht als Pseudonym i.S.d. § 15 Abs. 3) ansehen, wird von diesen insbesondere die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) nur mit bewusster, eindeutiger Einwilligung als zulässig angesehen. Zudem seien die Vorgaben des BDSG zur Auftragsdatenverarbeitung durch die verantwortliche Stelle einzuhalten. Sollte eine solche Einwilligung nicht vorliegen, sei die IPAdresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist2. Letzteres ist – je nach Ausgestaltung des jeweiligen Tracking-Tools – möglich, falls z.B. die letzten Ziffern der auszuwertenden IP-Adressen gelöscht werden können. Nach Auffassung u.a. des Hamburgischen Beauftragten für den Daten- 11 schutz3 soll die Nutzung dieser Funktion allein nicht ausreichend sein, um eine Datenschutzkonformität der Datenerhebung sicherzustellen. Zusätzlich müsste mit dem Trackinganbieter ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden. Des Weiteren müssten die Nutzer der Webseite im Rahmen der Datenschutzerklärung über die Erhebung und Verwendung seiner Daten durch den Tracking-Dienstleister aufgeklärt und auf ihr Widerspruchsrecht hingewiesen werden. Diese Auffassung geht über die Anforderungen des Datenschutzrechts und die oben zitierten Vorgaben des Düsseldorfer Kreises bzgl. der Erhebung von Nutzungsdaten hinaus. Wird die IP-Adresse spätestens vor der Speicherung (idealerweise schon vor bzw. im Rahmen der Erhebung) technisch dergestalt verkürzt, dass ein Personenbezug dauerhaft für niemanden
1 Zu den technischen Grundlagen vgl. Ott, K&R 2009, 308, 308 f. sowie Hoeren, ZD 2011, 3 (3). 2 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009. 3 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, „Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen“, vom September 2011.
Hullen/Roggenkamp 1047
TMG § 15
Datenschutz
mehr herstellbar ist, ist der Anwendungsbereich des Datenschutzrechts nicht eröffnet, da keine personenbezogenen Daten (mehr) vorliegen. Im Falle der Anonymisierung von Tracking-Daten sind sowohl Hinweise in der Datenschutzerklärung als auch ein Vertrag über die Auftragsdatenverarbeitung i.S.d. § 11 BDSG entbehrlich1. In der Praxis bietet es sich unter dem Aspekt der Vertrauensbildung und Transparenz gleichwohl an, auf den Einsatz eines Tracking-Tools hinzuweisen. a) Verhältnis zu Inhaltsdaten 12 Von den Nutzungsdaten sind die sog. Inhaltsdaten zu trennen2. Hierzu zählen alle personenbezogenen Daten, die der Nutzer und der Diensteanbieter zwar online austauschen, die aber gerade nicht die Inanspruchnahme des Telemediendienstes ermöglichen oder für die Abrechnung des Telemediendienstes erforderlich sind3. Darunter fallen zunächst alle Daten, die sich auf den Erwerb von Waren oder Dienstleistungen beziehen, der über bloße Nutzung des Telemediums hinausgeht4. Beispielsweise sind die im Rahmen eines Online-Kaufs erhobenen Daten wie Anschrift des Kunden, bestellte Ware, Zahlungsweise für die Abwicklung des Kaufs, nicht aber für die Nutzung des Online-Shops erforderlich und daher als Inhaltsdaten einzustufen5. Die Zulässigkeit des Umgangs mit Inhaltsdaten ist mangels Spezialregelung im TMG stets nach dem BDSG zu beurteilen6 (zur Abgrenzung der Anwendungsbereiche von TMG, TKG und BDSG vgl. § 11 Rz. 2 ff.). 13 Nutzergenerierte Inhalte im Social Media Bereich (z.B. Nutzerangaben zu Hobbys, Lieblingsfilmen, Religion etc. und Postings in sozialen Netzwerke, Bewertungen in Bewertungsplattformen, Videos auf Videoplattformen usw.) ermöglichen nicht die Inanspruchnahme des Dienstes, sondern stellen die Inanspruchnahme selbst dar. Es handelt sich nicht um Nutzungs-, sondern um Inhaltsdaten7. Der Umgang mit ihnen ist
1 So auch Heckmann/Heckmann, Kap. 9 Rz. 547; Kirsch, MMR-Aktuell 2011, 313724. 2 Taeger/Gabel/Zscherpe, § 15 TMG Rz. 25; Spindler/Schuster/Spindler/Nink, § 15 TMG Rz. 3; Jandt/Laue, K&R 2006, 320. 3 Vgl. Taeger/Gabel/Zscherpe, § 14 TMG Rz. 19 f. 4 Taeger/Gabel/Zscherpe § 15 TMG Rz. 25. 5 Vgl. Heckmann/Heckmann, Kap. 9 Rz. 165. 6 Jandt/Roßnagel, MMR 2011, 637 (639); Heckmann/Heckmann, Kap. 9 Rz. 164; Schaar, Datenschutz im Internet, Rz. 246; Ernst, NJOZ 2010, 1917 (1918). 7 Karg/Fahl, K&R 2011, 453 (458).
1048 Hullen/Roggenkamp
Nutzungsdaten
§ 15 TMG
nach zutreffender Auffassung1 ebenfalls nach dem BDSG, hier kommen insbesondere § 28 und § 29 BDSG2 in Betracht, zu beurteilen3. b) Verhältnis zu Verkehrsdaten Ebenfalls von den Nutzungsdaten abzugrenzen sind die sog. Verkehrs- 14 daten. Hierbei handelt es sich um Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden (§ 3 Nr. 30 TKG). Verkehrsdaten betreffen den Telekommunikationsvorgang selbst und berühren das Fernmeldegeheimnis (Art. 10 Abs. 1 GG, § 88 TKG). Die Zulässigkeit ihrer Erhebung und Nutzung richtet sich nicht nach dem TMG, sondern vornehmlich nach dem TKG. Verkehrsdaten dürfen nur zu eingeschränkten Zwecken erhoben und genutzt werden (§§ 96 f., 100 TKG). Im Rahmen der Strafverfolgung dürfen sie nur auf richterliche Anordnung (§§ 100g Abs. 2, 100b Abs. 1 StPO) ermittelt werden4. 4. Erforderlichkeit Die Erhebung und Verwendung der Nutzungsdaten ohne Einwilligung 15 der Nutzer muss entweder zur Ermöglichung der Inanspruchnahme oder zur Abrechnung von Telemedien erforderlich sein, damit sie datenschutzrechtlich zulässig ist. Ob eine Erforderlichkeit vorliegt, ist anhand des konkreten Einzelfalles und der einzelnen Nutzungshandlung zu beurteilen, wobei der gesamte Vorgang der Datenverwendung zu betrachten ist5. In Fällen, in denen die Erhebung und Verwendung von Nutzungsdaten lediglich für den Zugang zum Dienst notwendig ist, ist eine dauerhafte 1 Jandt/Roßnagel, MMR 2011, 637 (639); Karg/Fahl, K&R 2011, 453 (458); i.Erg. ebenso Schüßler, in: Taeger (Hrsg.), Digitale Evolution, OLWIR 2010, 233 (244); a.A. Spindler/Schuster/Spindler/Nink, § 15 TMG Rz. 5a; Bauer, MMR 2008, 435 (436), der die Anwendung des TMG für interessengerechter hält, da die gesamte Datenerhebung und -verwendung sich im Rahmen von Telemediendiensten abspiele. 2 Der BGH hat im Fall der Bewertungsplattform spickmich.de (BGH v. 23.6.2009 – VI ZR 196/08, NJW 2009, 2888 – spickmich.de) die Frage nicht aufgeworfen und ohne Begründung das BDSG herangezogen. 3 Siehe Jandt/Roßnagel, MMR 2011, 637 (639) zu Social Networks; Ballhausen/ Roggenkamp, K&R 2008, 403 (407) zu Bewertungsplattformen. 4 Hierzu Lorenz, jurisPR-ITR 15/2011, Anm. 2 (zu BGH v. 13.1.2011 – III ZR 146/10, CR 2011, 178). 5 Taeger/Gabel/Zscherpe, § 15 TMG Rz. 30, Spindler/Schuster/Spindler/Nink, § 15 TMG Rz. 5.
Hullen/Roggenkamp 1049
16
TMG § 15
Datenschutz
Speicherung unzulässig, da sie für die weitere Inanspruchnahme des Dienstes gerade nicht erforderlich ist. So ist etwa für das Aufrufen einer Webseite die Erhebung der IP-Adresse (zur Frage, ob es sich hierbei um personenbezogene Daten handelt siehe § 12 Rz. 10) des Aufrufenden (also des Nutzers) bereits aus technischen Gründen zwingend notwendig1. Eine dauerhafte Speicherung über den Nutzungsvorgang hinaus ist hingegen regelmäßig nicht erforderlich. 17 Alle Nutzungsdaten, die zur Ermöglichung der Inanspruchnahme erhoben und verwendet, für die Abrechnung desselben aber nicht benötigt werden, sind spätestens nach Ende des Nutzungsvorgangs zu löschen oder zu sperren (vgl. auch § 13 Abs. 4 Nr. 2, § 15 Abs. 4 e contrario), falls keine anderweitige Berechtigung vorliegt2. Das betrifft insbesondere sog. Clickstreams und Cookies mit Personenbezug, deren Verwendung eine Einwilligung der Nutzer nach § 12 Abs. 1 TMG voraussetzt. III. Nutzungsprofile (Abs. 3) 18 Abs. 3 regelt die Zulässigkeit der Erstellung pseudonymisierter Nutzungsprofile durch den Diensteanbieter. Nutzungsprofile ermöglichen es dem Diensteanbieter, das Surf-Verhalten der Nutzer zu analysieren. Hierdurch lässt sich z.B. in Erfahrung bringen, welche (Unter-)Seiten wann und wie lange besucht, welche Links angeklickt und welche andere Internetseiten zuvor genutzt wurden. Der Diensteanbieter kann etwa in Erfahrung bringen, welche Inhalte und Produkte den Nutzer besonders interessieren, welche Werbebanner beachtet werden und ob sein Angebot benutzergerecht gestaltet ist. Durch die systematische Erfassung des Nutzerverhaltens3 in Profilen können Produktvorschläge, basierend auf den zuvor ermittelten und gespeicherten Seitenaufrufen, aber auch auf den jeweiligen Nutzer zugeschnittene Werbung und sonstige Inhalte, z.B. Nachrichtenbeiträge, angezeigt werden. 19 Die Erstellung von Nutzungsprofilen liegt oftmals im Interesse des Nutzers, sei es, dass diese Grundlage des in Anspruch genommenen Angebots bilden (bspw. bei Sozialen Netzwerken) oder dass diese nützliche Hinweise auf einschlägige Waren oder Produkte, die bspw. den Kunden eines Internetshops interessieren könnten, ermöglichen. 1 Vgl. Heckmann/Heckmann, Kap. 9 Rz. 348. 2 Vgl. Taeger/Gabel/Zscherpe, § 15 TMG Rz. 29 und 31. 3 So auch Bauer, MMR 2008, 435 (437); Taeger/Gabel/Zscherpe, § 15 TMG Rz. 58; ähnlich Spindler/Schuster/Spindler/Nink, § 15 TMG Rz. 7, die dabei auf die Wiedergabe eines Teilbilds der Persönlichkeit abstellt.
1050 Hullen/Roggenkamp
Nutzungsdaten
§ 15 TMG
Durch extensive Profile können Diensteanbieter, insbesondere solche, 20 die unterschiedliche Telemedien wie Social-Media-Dienste, Internetshops, Informationsportale, Suchmaschinen oder Software-as-a-Service aus einer Hand betreiben, tiefe Einblicke in die Privatsphäre der Nutzer gewinnen. Dies gilt umso mehr, falls Nutzungsprofile um Standortdaten, durch die der Aufenthaltsort des Nutzers festgestellt werden kann, erweitert werden. Im Extremfall kann hierdurch gewissermaßen ein „gläserner Nutzer“ geschaffen werden1, dessen Verhalten durch ein „virtuelles Schlüsselloch“2 vom Diensteanbieter überwacht werden kann. Falls angebotene Inhalte, wie z.B. Nachrichten auf entsprechenden Online-Plattformen, auf das zuvor erfasste Nutzerverhalten abgestimmt werden, birgt dies die Gefahr eines monothematischen, selektiven Informationsangebots, falls der zugrundeliegende Mechanismus nicht transparent ausgestaltet ist. Dies ist bspw. dann der Fall, wenn Newsportale oder soziale Netzwerke Inhalte aufgrund der vom Nutzer zuvor besuchten Seiten auswählen und somit eine Vorauswahl der übermittelten Inhalte stattfindet, von der der Nutzer keine Kenntnis erlangt. Der Gesetzgeber hat die Erstellung von Nutzungsprofilen ohne Einwilligung des Nutzers daher engen Grenzen unterworfen, die das Recht auf informationelle Selbstbestimmung der Nutzer und das berechtigte wirtschaftliche Interesse der Diensteanbieter an der Auswertung der Inanspruchnahme der Telemedien in Einklang bringen sollen3. Nutzungsprofile dürfen nur zu bestimmten Zwecken, unter Verwendung von Pseudonymen und nur dann erstellt werden, wenn der Nutzer nach entsprechendem Hinweis der Profilbildung nicht widersprochen hat.
21
Vom Erlaubnistatbestand des Abs. 3 werden lediglich Nutzungsdaten 22 i.S.d. Abs. 1 erfasst. Für die Erstellung und Verwendung von Profilen, die Inhaltsdaten umfassen, muss die Einwilligung des Nutzers vorliegen4 oder ein Erlaubnistatbestand des BDSG, hier kommt insbesondere § 28 Abs. 1 Nr. 1 BDSG in Betracht, einschlägig sein. Wird hingegen ein anonymes Profil erstellt, welches z.B. mit einer be- 23 stimmten IP-Adresse verknüpft ist, ohne dass diese IP-Adresse wiederum einer konkret bestimmbaren Person zugeordnet werden kann (zur
1 2 3 4
Vgl. Lange, BB 2002, 561 (562). Siehe Härting, BB 2010, 839 (840). Siehe BT-Drucks. 13/7385, S. 24. Heckmann/Heckmann, Kap. 9 Rz. 358; Hoeren/Sieber/Schmitz, Rz. 216.
Teil 16.2
Hullen/Roggenkamp 1051
TMG § 15
Datenschutz
Frage, ob es sich bei IP-Adressen um personenbezogene Daten handelt siehe § 12 Rz. 10), so findet das TMG schon keine Anwendung1. 1. Pseudonymisierung 24 Nutzungsprofile dürfen ausschließlich bei Verwendung von Pseudonymen2 erstellt werden (Abs. 3 Satz 1). Hiermit ist nach § 3 Abs. 6a das „Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren“ gemeint. Pseudonyme können durch Kenntnis der entsprechenden Verknüpfungsregel wieder einer bestimmten Person zugeordnet werden (siehe § 3 BDSG Rz. 61). Im Gegensatz dazu ist es bei anonymisierten Daten nicht bzw. nur unter unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft möglich, diese einer individualisierbaren Person zuzuordnen. Durch die Verwendung von Pseudonymen wird es dem Diensteanbieter ermöglicht, einzelne Nutzungsdaten einem bereits bestehenden Profil hinzuzufügen3. Als Alternative zur pseudonymisierten Profilbildung bieten sich anonymisierte Profile an, deren Datensätze bestenfalls schon bei der Erhebung keinerlei Personenbezug aufweisen und daher nicht in den Anwendungsbereich des TMG fallen. Hierdurch kann sowohl die Zweckbindung als auch die Beschränkung auf Nutzungsdaten i.S.v. § 15 Abs. 1 überwunden werden4. 25 Da der Diensteanbieter in der Regel selbst die Zuordnungsregeln kennt, besteht die Möglichkeit, Pseudonyme und dazugehörige Profildaten einer bestimmten Person zuzuordnen und somit eine Re-Identifizierung vorzunehmen. Dieses Vorgehen wird ausdrücklich durch § 15 Abs. 3 Satz 3 untersagt. 26 Flankiert wird das Zusammenführungsverbot des § 15 Abs. 3 Satz 3 durch die Vorgabe, mittels technischer und organisatorischer Vorkehrungen sicherzustellen, dass Nutzungsprofile nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammen geführt werden können (§ 13 Abs. 4 Satz 1 Nr. 6). Der Gesetzgeber folgt hier dem Grundsatz des Systemdatenschutzes5, d.h. des Konzepts des „Datenschutzes durch Tech1 Siehe dazu auch die Ausführungen zum Targeting unter Rz. 29. 2 Zum Konzept der Pseudonymisierung von Daten allgemein, Roßnagel/Scholz, MMR 2000, 721 (724). 3 Taeger/Gabel/Zscherpe, § 15 TMG Abs. 65. 4 Ausführlich Hoeren/Sieber/Schmitz, Teil 16.2 Rz. 223. 5 Siehe BT-Drucks. 14/6098, S. 28.
1052 Hullen/Roggenkamp
§ 15 TMG
Nutzungsdaten
nik“1 bzw. des Privacy-by-Design. Wie diese technisch-organisatorische Zielvorgabe konkret umzusetzen ist, wird nicht vorgegeben2. Das Zusammenführungsverbot des Abs. 3 Satz 3 steht in Konflikt mit 27 dem Auskunftsrecht des Nutzers nach § 13 Abs. 7 (siehe dort Rz. 44 ff.). Eine Auskunftserteilung ist nur durch Zusammenführung der Profildaten mit den Daten, die die Identifizierung des Nutzers ermöglichen, durchführbar. Dieser Konflikt wird durch eine Pflicht des Diensteanbieters zur Aufklärung des Nutzers über die Folgen des Auskunftsverlangens gelöst3. Begehrt der Nutzer trotz Hinweises auf die Zusammenführung erneut Auskunft, so dürfen die Profildaten ausnahmsweise mit der dazugehörigen Person zum Zwecke der Auskunftserteilung verknüpft werden. 2. Zweckbindung Nutzungsprofile i.S.d. Abs. 3 dürfen nur zu den abschließend im Gesetz 28 definierten Zwecken erstellt werden. Der strenge Zweckbindungsgrundsatz fand sich noch nicht im TDDSG 1997. Nach Auffassung des Gesetzgebers ergab sich die Zweckbindung aus den Vorgaben der EG-Datenschutzrichtlinie und wurde im Zuge der Umsetzung der Richtlinie in nationales Recht im TDDSG 2001 festgeschrieben4. Abs. 3 Satz 1 enthält eine abschließende Aufzählung der Zwecke, zu de- 29 nen Nutzungsprofile angelegt und verwendet5 werden dürfen, nämlich zu solchen der Werbung, Marktforschung und bedarfsgerechten Gestaltung der Telemedien. Die Verwendung von Profildaten zur Werbung dient dazu, den Nutzer aufgrund seines Surfverhaltens möglichst zielgenau ansprechen und bewerben zu können (Behavioral Targeting)6. Durch eine nutzerspezifische Abstimmung kommt diesen Werbemaßnahmen eine potentiell effektivere Wirkung zu als zufällig eingeblendeten oder kontextbezogenen Anzeigen. Diensteanbieter können daher entsprechend höhere Einnahmen erzielen. Marktforschung kann als Beobachtung des Nutzerverhaltens für Zwecke, die übergreifend einer Gruppe von Anbietern zugutekommen sollen (Bonus- oder Kundenbindungsprogramme),
1 2 3 4 5 6
Roßnagel/Federrath/Pfitzmann, Kap. 2.2 Rz. 7. Hierzu näher Schulz, CR 2012, 204. Spindler/Schuster/Spindler/Nink, § 15 TMG Rz. 7a. Siehe BT-Drucks. 14/6098, S. 30. Zutreffend Taeger/Gabel/Zscherpe, § 15 TMG Abs. 66. Ausführlich hierzu Rammos, K&R 2011, 692.
Hullen/Roggenkamp 1053
TMG § 15
Datenschutz
beschrieben werden1. Denkbar ist jedoch auch eine Verwendung der Marktforschungsergebnisse zu eigenen Zwecken des Diensteanbieters, z.B. zur Weiterentwicklung der eigenen Produktpalette, zur Abschätzung des Bedarfs oder zur Beobachtung eines Trends. Die bedarfsgerechte Gestaltung eines Telemediums erlaubt es generell, die angebotenen Telemedien zu optimieren und u.a. personalisierte Inhalte anzubieten, bspw. thematisch auf das Surfverhalten abgestimmte Artikel in einem Nachrichtenportal. 3. Widerspruchsrecht 30 Der Profilerstellung kann der Nutzer jederzeit widersprechen (Abs. 3 Satz 1). Auch diese (Opt-Out-)Regelung wurde erst im Rahmen der Umsetzung der EG-Datenschutzrichtlinie eingeführt. Der Nutzer kann dieses Recht nur wahrnehmen, wenn er zu Beginn des Nutzungsvorgangs auf die Möglichkeit des Widerspruchs hingewiesen wurde (siehe hierzu § 13 Rz. 27). Eine entsprechende Hinweispflicht des Diensteanbieters ist in Abs. 3 Satz 2 festgeschrieben. Nach Widerspruch ist es dem Diensteanbieter untersagt, weitere Profile zu erstellen bzw. bestehende fortzuführen und zu nutzen. Der Widerspruch des Nutzers wirkt jedoch ex-nunc, so dass die Rechtmäßigkeit der zuvor erstellten und verwendeten Profile nicht rückwirkend entfällt2. IV. Verwendung von Abrechnungsdaten (Abs. 2, 4 bis 7) 1. Abrechnungsdaten 31 Ein Unterfall der Nutzungsdaten nach § 15 Abs. 1 sind die sog. Abrechnungsdaten. Nach der – ebenfalls verunglückten – Legaldefinition in § 15 Abs. 4 handelt es sich hierbei um Nutzungsdaten, die „für Zwecke der Abrechnung mit dem Nutzer erforderlich sind“. Da die Erforderlichkeit der Nutzung zur Abrechnung jedoch kein Tatbestandsmerkmal ist, sondern die Zulässigkeit der Verwendung bedingt, sind hierunter alle Nutzungsdaten zu verstehen, die für Zwecke der Abrechnung mit dem Nutzer dienen können.
1 So Bauer, MMR 2008, 435 (437). 2 Heckmann/Heckmann, Kap. 9 Rz. 367; Taeger/Gabel/Zscherpe, § 15 Abs. 56.
1054 Hullen/Roggenkamp
§ 15 TMG
Nutzungsdaten
2. Zusammenführung von Nutzungsdaten Nach § 15 Abs. 2 ist die Zusammenführung von Nutzungsdaten ver- 32 schiedener Telemediendienste zulässig, wenn und soweit dies zu Abrechnungszwecken erforderlich ist. Das betrifft insbesondere die Fälle, in denen ein Diensteanbieter mehrere unterschiedliche Dienste (z.B. Auktionsplattform, Meinungsforum, Pay-Per-View-Plattform) betreibt und eine einheitliche Rechnung erstellen will. Im Umkehrschluss ist die Zusammenführung für andere Zwecke unzulässig. 3. Erforderlichkeit Ob der Diensteanbieter Abrechnungsdaten „über das Ende des Nutzungs- 33 vorgangs hinaus“ verwenden darf, hängt davon ab, ob sie für die Abrechnung des konkreten Vertragsverhältnisses erforderlich sind1. Gleiches gilt für die Zulässigkeit der Zusammenführung von Nutzungsdaten verschiedener Telemediendienste zu Abrechnungszwecken. Bei der Frage nach der Erforderlichkeit ist, auf Grund der Sensibilität der Daten, ein strenger Maßstab anzulegen. So ist es beispielsweise bei Flatrate-Diensten (z.B. Video-On-Demand, 34 Software-as-a-Service, Sharehoster) regelmäßig nicht erforderlich (und dementsprechend grundsätzlich unzulässig), den Zeitpunkt, die Dauer und das Volumen von Zugriffen zu speichern, wenn der Nutzer nicht ausnahmsweise einen Einzelnachweis i.S.d. § 15 Abs. 6 verlangt2. Ist dies der Fall, dann dürfen Anbieter, Zeitpunkt, Dauer, Art, Inhalt und Häufigkeit bestimmter von einem Nutzer in Anspruch genommener Telemedien zum Zwecke der Erstellung dieses Nachweises gespeichert werden. Ist der Einzelnachweis erstellt und versandt, sind die Daten bei Bestehen einer Flatrate zu löschen. Ein Bedürfnis zur weiteren Speicherung besteht nicht. Lediglich in Fällen, in denen die o.g. Daten als Grundlage für die Ab- 35 rechnung des Dienstes dienen, dürfen sie bis zum Ablauf des sechsten Monats nach Versendung der Rechnung gespeichert werden (§ 15 Abs. 7 Satz 1). Werden gegen die Forderung des Diensteanbieters innerhalb dieser sechs Monate Einwendungen erhoben oder begleicht der Nutzer trotz Zahlungsaufforderung die Abrechnung nicht, dürfen die Abrechnungsdaten nach § 15 Abs. 7 Satz 2 gespeichert werden, bis die Einwendungen abschließend geklärt sind oder die Entgeltforderung beglichen 1 Spindler/Schuster/Spindler/Nink, § 15 TMG Rz. 9. 2 Spindler/Schuster/Spindler/Nink, § 15 TMG Rz. 9.
Hullen/Roggenkamp 1055
TMG § 15
Datenschutz
ist. Die Abrechnung selbst (ohne Nachweis der Einzelverbindungen) muss nicht gelöscht werden, die Sperrung der relevanten Dateien reicht aus (§ 15 Abs. 7 i.V.m. § 257 HGB sowie § 147 AO)1. 36 Die Frage, ob die Speicherung der einem Nutzer zugewiesenen dynamischen IP-Adressen sowie Zugangszeiten im Falle eines Internetaccess-Providing-Vertrags mit einer nutzungsunabhängigen Flatrate zulässig ist, bemisst sich nicht nach § 15 Abs. 4, sondern nach den datenschutzrechtlichen Regelungen des TKG (§ 11 Abs. 3 iVm. §§ 91 ff. TKG)2. 4. Übermittlung zu Abrechnungszwecken (Abs. 5 Satz 1 und 2) 37 § 15 Abs. 5 regelt die ausnahmsweise Zulässigkeit der Übermittlung von Abrechnungsdaten an Dritte zu Zwecken der Abrechnung der Diensterbringung (Satz 1 und 2) sowie zu Marktforschungszwecken in anonymisierter Form (Satz 3). Gemäß Abs. 5 Satz 4 ist § 14 Abs. 2 entsprechend anwendbar, wodurch klargestellt wird, dass Diensteanbieter die dort genannten Auskunftsansprüche zu erfüllen haben (siehe § 14 Rz. 16 ff.). 38 Gemäß Satz 1 dürfen Abrechungsdaten an andere Diensteanbieter oder Dritte übermittelt werden, soweit dies zur Ermittlung des Entgelts und zur Abrechnung mit dem Nutzer erforderlich ist. Ein solcher Fall liegt bspw. dann vor, wenn der Nutzer die vom Content-Provider bereitgestellten Telemedien bei seinem Access-Provider bezahlt3. Gleiches gilt nach Satz 2 für den Fall, dass der Diensteanbieter einen Dritten mit der Einziehung der Forderungen gegenüber dem Nutzer betraut, wie dies bspw. im Wege der Rechnungsstellung (Fakturierung) oder des Inkassos erfolgt4. Erfasst ist dabei lediglich die Abrechnung der Inanspruchnahme des Telemediums selbst, nicht hingegen die Entgeltzahlungen für Waren oder Dienstleistungen, die mittels des Telemediums, z.B. über einen Internetshop, vom Nutzer bezogen wurden5. Für die Abrechnung von Waren und Dienstleistungen, die nicht die Bereitstellung bzw. Nutzung von Telemedien umfassen, sind die Regelungen des BDSG einschlägig. 1 Spindler/Schuster/Spindler/Nink, § 15 TMG Rz. 11. 2 Siehe hierzu auch BGH v. 13.1.2011 – III ZR 146/10, MMR 2011, 341 m. Anm. Karg. 3 Taeger/Gabel/Zscherpe, § 15 TMG Rz. 81. 4 Hoeren/Sieber/Schmitz, Teil 16.2 Rz. 231; Spindler/Schuster/Spindler/Nink, § 15 TMG Rz. 12. 5 Scholz, S. 250.
1056 Hullen/Roggenkamp
Nutzungsdaten
§ 15 TMG
Abs. 5 gilt nicht für die Auftragsdatenverarbeitung bei der Abwicklung des Zahlungsverkehrs, da hier regelmäßig keine „Dritten“ involviert sind, vgl. § 3 Abs. 8 Satz 3 BDSG1. Die Weitergabe von Daten an den Auftragsdatenverarbeiter stellt keine Übermittlung i.S.v. Abs. 5 dar, da der Auftragsdatenverarbeiter der Sphäre des Auftraggebers zugerechnet wird2.
39
Zulässig ist die Übermittlung, soweit sie zu Abrechnungszwecken erfor- 40 derlich ist. Die Erforderlichkeit bestimmt sich nach den gleichen Maßstäben, die auch für den Diensteanbieter gemäß Abs. 1 und 4 selbst gelten (siehe oben Rz. 15, 33). Hierbei ist der Grundsatz des Abs. 6 zu beachten, wonach Einzelnachweise (bspw. über Zeitpunkt, Dauer oder Inhalt der in Anspruch genommenen Telemedien) nur an den Dritten übermittelt werden dürfen, soweit der Nutzer dies verlangt hat (siehe oben Rz. 34)3. 5. Übermittlung zu Zwecken der Marktforschung (Abs. 5 Satz 3) Abs. 5 Satz 3 gestattet die Übermittlung anonymisierter Abrechnungs- 41 daten zu Zwecken der Marktforschung an andere Diensteanbieter. Als Marktforschung kann dabei „die Erkundung des Marktes einschließlich seiner Trends, Entwicklungsmöglichkeiten und ihrer Grenzen als auch die Abschätzung der Chancen bestimmter Angebote“4 verstanden werden. Vor Übermittlung der Abrechnungsdaten müssen diese anonymisiert, d.h. der Personenbezug nach der in § 3 Abs. 6 BDSG (siehe dort Rz. 57) benannten Art und Weise aufgehoben werden. Anonymisierte Daten unterfallen wegen des fehlenden Personenbezugs 42 grundsätzlich nicht dem Datenschutzrecht, weshalb die Notwendigkeit der Regelung des Satz 3 auf den ersten Blick nicht ersichtlich ist. Die Erforderlichkeit erklärt sich aus dem Umstand, dass der Diensteanbieter, der die Daten übermittelt, u.U. auch nach der Übermittlung die Möglichkeit hat, die für den Übermittlungsempfänger anonymen Daten wieder einem bestimmten Nutzer zuzuordnen. Nach dem absoluten Verständnis der Bestimmbarkeit einer Person (siehe § 12 Rz. 5 ff.) lägen in 1 Anders allerdings dann, wenn ein Dienstleister außerhalb der EU/EWR in Anspruch genommen wird. 2 A.A. Hoeren/Sieber/Schmitz, Teil 16.2. Rz. 232, der entweder eine Funktionsübertragung als auch eine Auftragsdatenverarbeitung als Grundlage für Rechnungsstellung und Forderungseinzug als notwendig erachtet. 3 Taeger/Gabel/Zscherpe, § 15 TMG Rz. 79. 4 Roßnagel/Dix/Schaar, § 6 TDDSG Rz. 193.
Hullen/Roggenkamp 1057
TMG § 15
Datenschutz
diesem Fall auch nach der Anonymisierung durch den Diensteanbieter personenbezogene Daten beim Übermittlungsempfänger vor, was durch Satz 3 gestattet wird1. 6. Weitergabe von Nutzungsdaten bei Auskunftsansprüchen (Abs. 5 Satz 4) 43 Abs. 5 Satz 2 erklärt die Regelung des § 14 Abs. 2 auf Abrechnungsdaten entsprechend anwendbar. Hierdurch wird klargestellt, dass Diensteanbieter berechtigte Auskunftsansprüche erfüllen müssen, die sich aus allgemeinen zivilrechtlichen oder Sondervorschriften ergeben können (siehe § 14 Rz. 16 ff.). V. Missbrauchsverfolgung (Abs. 8) 44 Abs. 8 erlaubt es Diensteanbietern, bei einem Verdacht auf Inanspruchnahme der Telemedien durch Nutzer, die sich der Entgeltpflicht entziehen wollen, Nutzerdaten – soweit erforderlich – für Zwecke der Rechtsverfolgung zu speichern und zu nutzen. Die praktische Relevanz ist, auch in Hinblick auf die Nähe zur Regelung des Abs. 7 Satz 2, als eher gering einzustufen2. 45 Voraussetzung einer Speicherberechtigung nach Abs. 8 sind tatsächliche Anhaltspunkte dafür, dass ein Nutzer einen Dienst in der Absicht in Anspruch nimmt, das hierfür vorgesehene Entgelt nicht (oder nicht vollständig) zu zahlen. Die tatsächlichen Anhaltspunkte müssen bereits vor der Speicherung und Nutzung i.S.v. Abs. 8 vorliegen, eine verdachtsunabhängige (Vorrats-)Datenspeicherung wird durch die Regelung nicht legitimiert. Ab welchem Wahrscheinlichkeitsgrad ein entsprechender Tatverdacht zu bejahen ist, ist weder vom Gesetzgeber noch gerichtlich entschieden worden3. Aufgrund des Wortlauts ist mehr als ein bloßer Verdacht zu fordern. Die tatsächlichen Anhaltpunkte sind vom Diensteanbieter auf geeignete Weise, bspw. durch Ausdrucke, zu dokumentieren. 46 Soweit die Speicherung und Verwendung der Nutzungs- bzw. Abrechnungsdaten zur Durchsetzung der Ansprüche des Diensteanbieters gegenüber dem Nutzer erforderlich ist, darf er diese verarbeiten, insbesondere an Strafverfolgungsbehörden übermitteln und in sonstiger Weise zu 1 Taeger/Gabel/Zescherpe, § 15 TMG Rz. 84. 2 Vgl ausführlich Hoeren/Sieber/Schmitz, Teil 16.2 Rz. 247. 3 Taeger/Gabel/Zscherpe, § 15 TMG Rz. 92.
1058 Hullen/Roggenkamp
Informationspflicht bei unrechtmäßiger Kenntniserlangung
§ 15a TMG
diesem Zwecke über das Ende des Nutzungsvorgangs sowie über die in Abs. 7 festgelegte Speicherdauer hinaus nutzen1. Bestätigt sich der Tatverdacht nicht oder werden die Daten nicht mehr zur Rechtsverfolgung benötigt, sind sie unverzüglich, d.h. ohne schuldhaftes Zögern, (vgl. § 121 Abs. 1 BGB) zu löschen. Der Nutzer ist von der anlassbezogenen Verwendung seiner Daten zu unterrichten, sobald der von Abs. 8 legitimierte Zweck der Rechtsverfolgung nicht (mehr) gefährdet ist. Sollte eine Benachrichtigung nicht oder nur unter weitergehenden Eingriffen in das allgemeine Persönlichkeitsrecht des Nutzers möglich und unverhältnismäßig sein, so kann von einer Information abgesehen werden2. Das ist zum Beispiel in Fällen denkbar, in denen zu Rechtsverfolgungszwecken gespeicherte Daten, deren Personenbezug bis zum Wegfall des Tatverdachts noch nicht hergestellt wurde, mit dem Klarnamen des Nutzers ausschließlich zu Benachrichtigungszwecken zusammengeführt werden müssten.
47
VI. Sanktionen Eine von § 15 Abs. 1 Satz 1 oder Abs. 8 Satz 1 oder 2 nicht gedeckte Er- 48 hebung und Verwendung personenbezogener Daten sowie das nicht (rechtzeitige) Löschen kann als Ordnungswidrigkeit mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden, § 16 Abs. 2 Nr. 4, Abs. 3. Gleiches gilt gemäß § 16 Abs. 2 Nr. 5, Abs. 3 für das Zusammenführen von pseudonymisierten Profildaten mit individualisierbaren Personen, was durch § 15 Abs. 3 Satz 3 untersagt ist. Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten
15a
Stellt der Diensteanbieter fest, dass bei ihm gespeicherte Bestands- oder Nutzungsdaten unrechtmäßig übermittelt worden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Nutzers, gilt § 42a des Bundesdatenschutzgesetzes entsprechend.
1 Roßnagel/Dix/Schaar, § 6 TDDSG Rz. 244. 2 So auch Roßnagel/Dix/Schaar, § 6 TDDSG Rz. 248.
Hullen/Roggenkamp 1059
TMG § 15a I. Einführung . . . . . . . . . . . . . . . . II. Telemedienspezifische Voraussetzungen der Informationspflicht. . . . . . . . . 1. Unrechtmäßige Kenntniserlangung von Bestands- oder Nutzungsdaten . . . . . . . . . . . .
Datenschutz 1
3
2. Schwerwiegende Rechts- oder Interessenbeeinträchtigung . .
7
III. Rechtsfolgen . . . . . . . . . . . . . . .
8
IV. Sanktionen . . . . . . . . . . . . . . . .
9
4
Schrifttum: Siehe Schrifttum zu § 42a BDSG.
I. Einführung 1 § 15a TMG statuiert eine Informationspflicht des Diensteanbieters im Falle von Datenpannen („Security Breaches“), die eine unrechtmäßige Übermittlung bzw. sonstige unrechtmäßige Kenntniserlangung von Nutzer- oder Bestandsdaten umfasst. Drohen hierdurch schwerwiegende Beeinträchtigungen von Rechten oder schutzwürdigen Interessen des Nutzers, ist dieser sowie die zuständige Aufsichtsbehörde gem. den Vorgaben des § 42a BDSG, der die Benachrichtigungspflicht im allgemeinen Datenschutzrecht vorschreibt, zu informieren (siehe auch § 42a BDSG Rz. 1). Durch die Regelung soll präventiv der Datenschutz durch die Diensteanbieter gestärkt und Nutzer sowie Aufsichtsbehörden nach einer Datenpanne in die Lage versetzt werden, eine Schadensvertiefung zu vermeiden1. 2 Durch den Verweis findet die Regelung des § 42a BDSG auch im bereichsspezifischen Telemediendatenschutz Anwendung. Regelungstechnisch hat sich der Gesetzgeber hierbei für eine Rechtsfolgenverweisung entschieden, wobei der auf Bestands- und Nutzungsdaten zugeschnittene Tatbestand in § 15a die umfangreichen Rechtsfolgen in § 42a Satz 2–5 BDSG auslöst2. II. Telemedienspezifische Voraussetzungen der Informationspflicht 3 Die Informationspflicht des § 15a wird ausgelöst, wenn Bestands- oder Nutzungsdaten unrechtmäßig übermittelt worden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. Zudem muss die (konkrete) Gefahr bestehen, dass der Nutzer hierdurch in schwerer Weise in seinen Rechten oder schutzwürdigen Interessen beeinträchtig 1 So auch zu § 42a BDSG Gola/Schomerus, § 42a BDSG Rz. 1. 2 Heckmann/Heckmann, Kap. 9 Rz. 421.
1060 Hullen/Roggenkamp
Informationspflicht bei unrechtmäßiger Kenntniserlangung
§ 15a TMG
wird. Die Informationspflicht des Diensteanbieters wird dabei erst dann ausgelöst, wenn dieser die Datenschutzverletzung anhand tatsächlicher Anhaltspunkte, z.B. aufgrund von Hinweisen aus der IT-Abteilung oder von Strafverfolgungsbehörden, feststellt1. Eine (auch fahrlässige) Unkenntnis der Datenpanne löst keine Informationspflicht aus2. 1. Unrechtmäßige Kenntniserlangung von Bestands- oder Nutzungsdaten Voraussetzung einer Informationspflicht des Diensteanbieters (vgl. § 11 Rz. 10) ist die unrechtmäßige Übermittlung von bei diesem gespeicherten Bestands- oder Nutzungsdaten oder eine unrechtmäßige Kenntniserlangung dieser Daten auf sonstige Weise.
4
Der Anwendungsbereich ist weiter gefasst als der des § 42a BDSG, da der 5 Begriff des Diensteanbieters i.S.v. § 2 Nr. 1 TMG nicht nur öffentlichrechtliche Wettbewerbsunternehmen, sondern sämtliche öffentlichen Stellen umfasst (siehe auch § 42a BDSG Rz. 3)3. Die Norm bezieht sich nur auf die unrechtmäßige Übermittlung oder Kenntniserlangung von Bestands- oder Nutzungsdaten. Hiermit sind die in den jeweiligen Erlaubnisnormen (§ 14 Abs. 1 bzw. § 15 Abs. 1 Satz 1) definierten Datenarten gemeint4. Auch Abrechnungsdaten werden als Unterfall der Nutzungsdaten mit erfasst5. § 15a hat auch in dieser Hinsicht einen äußerst weiten Anwendungsbereich6. Der § 42a BDSG ist auf die dort in Satz 1 abschließend aufgezählten Arten besonders sensibler Daten beschränkt. Bestands- oder Nutzungsdaten die der Diensteanbieter bei sich, also in 6 seinem Herrschaftsbereich gespeichert hat, müssen unrechtmäßig übermittelt, d.h. an Dritte weiter gegeben oder durch Dritte eingesehen oder abgerufen (vgl. § 3 Abs. 4 Satz 2 Nr. 3 BDSG) worden sein (siehe auch § 42a Rz. 6). Die tatbestandliche Alternative, die unrechtmäßige Kenntniserlangung auf sonstige Weise (siehe hierzu § 42a Rz. 7), umfasst hingegen auch „verloren gegangene“ oder „gestohlene“ Daten (bspw. solche auf portablen Datenträgern), wobei es auf die tatsächliche Kenntniser1 Siehe BT-Drucks. 16/12011, S. 34 und Hoeren/Sieber/Schmitz, Kap. 16.2 Rz. 278. 2 Heckmann/Heckmann, Kap. 9 Rz. 427. 3 Taeger/Gabel/Moos, § 15a TMG Rz. 4. 4 Heckmann/Heckmann, Kap. 9 Rz. 424; Taeger/Gabel/Moos, § 15a TMG Rz. 5; Höhne, jurisPR-ITR 20/2009 Anm. 3. 5 Taeger/Gabel/Moos, § 15a TMG Rz. 5. 6 Taeger/Gabel/Moos, § 15a TMG Rz. 5.
Hullen/Roggenkamp 1061
TMG § 15a
Datenschutz
langung durch den Dritten – gleich auf welche Weise diese herbeigeführt wird – ankommt1. 2. Schwerwiegende Rechts- oder Interessenbeeinträchtigung 7 Voraussetzung für die Annahme des Bestehens einer Informationspflicht ist des Weiteren eine drohende schwerwiegende Beeinträchtigung für Rechte oder schutzwürdige Interessen (siehe hierzu § 42a Rz. 8) des betroffenen Nutzers. Erforderlich ist eine konkrete Gefahr für die Rechte bzw. Interessen des Nutzers2. Eine solche ist dann gegeben, wenn im konkreten Fall die hinreichende Wahrscheinlichkeit besteht, dass in absehbarer Zeit die Rechte oder Interessen des Nutzers beeinträchtigt werden. Bei der Beurteilung der Frage, ob die drohende Beeinträchtigung schwerwiegend ist, besteht ein größerer Beurteilungsspielraum als im Rahmen des Anwendungsbereichs des § 42a BDSG. Im Falle einer „Datenpanne“ ist aufgrund der dort genannten besonders sensiblen Datenarten eine schwerwiegende Bedrohung von Rechten und Interessen regelmäßig eher anzunehmen als bei reinen Bestandsdaten (wie bspw. dem Namen des Nutzers)3. III. Rechtsfolgen 8 Sind die Voraussetzungen des § 15a erfüllt, so ist der betroffenen Nutzer sowie die zuständige Aufsichtsbehörde für den Datenschutz von der Datenpanne unverzüglich, d.h. ohne schuldhaftes Zögern (§ 121 Abs. 1 BGB), zu unterrichten. Hierbei sind die Maßgaben des § 42a Satz 2–5 BDSG einzuhalten (siehe oben Rz. 2). Welche Datenschutzbehörde zuständig ist, regeln die §§ 24 und 38 BDSG. Eine Pflicht zur Benachrichtigung des betroffenen Nutzers besteht einschränkend erst dann, wenn der Diensteanbieter angemessene Maßnahmen zum Datenschutz treffen konnte und die Information des Nutzers eine etwaige Strafverfolgung nicht (mehr) beeinträchtigt (hierzu § 42a Rz. 4). Als Mittel zur Benachrichtigung der Nutzer wird im Bereich des Telemediendatenschutzes eine Veröffentlichung auf einschlägigen Internetseiten bzw. solcher, mit hoher Breitenwirkung dann in Betracht kommen, wenn eine individuelle Benachrichtigung der betroffenen Nutzer einen unverhältnismäßig hohen Aufwand bedeuten würde4. 1 2 3 4
Heckmann/Heckmann, Kap. 9 Rz. 425. Vgl. Heckmann/Heckmann, Kap. 9 Rz. 426. Taeger/Gabel/Moos, § 15a TMG Rz. 6. Siehe Taeger/Gabel/Moos, § 15a TMG Rz. 8.
1062 Hullen/Roggenkamp
Informationspflicht bei unrechtmäßiger Kenntniserlangung
§ 15a TMG
IV. Sanktionen Eine Verletzung der telemedienspezifischen Informationspflichten des 9 § 15a ist im Gegensatz zu einem Verstoß gegen die Pflichten aus § 42a BDSG nicht bußgeldbewehrt. Die unterlassene Aufnahme von § 15a in den Bußgeldkatalog des § 16 kann nur als gesetzgeberisches Versehen angesehen werden, da nicht ersichtlich ist, warum ein Verstoß im Bereich des herkömmlichen Datenschutzes sanktionswürdig ist, entsprechende Versäumnisse bei Datenpannen mit Telemedienbezug hingegen nicht1. Eine zivilrechtliche Haftung kann sich aus § 823 Abs. 2 BGB i.V.m. § 15a als Verbotsgesetz ergeben2.
1 So auch Heckmann/Heckmann, Kap. 9 Rz. 435 und Taeger/Gabel/Moos, § 15a TMG Rz. 9. 2 Siehe Heckmann/Heckmann, Kap. 9 Rz. 435.
Hullen/Roggenkamp 1063
Telekommunikationsgesetz (TKG) vom 22. Juni 2004 (BGBl. I, S. 1190), zuletzt geändert durch Gesetz vom 3. Mai 2012 (BGBl. I, S. 958) (Auszug)
Teil 7 Fernmeldegeheimnis, Datenschutz, Öffentliche Sicherheit Abschnitt 1 Fernmeldegeheimnis Fernmeldegeheimnis (1) 1Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. 2Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.
88
(2) 1Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. 2Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist. (3) 1Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. 2Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. 3Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht. 4Die Anzeigepflicht nach § 138 des Strafgesetzbuches hat Vorrang. (4) Befindet sich die Telekommunikationsanlage an Bord eines Wasseroder Luftfahrzeugs, so besteht die Pflicht zur Wahrung des Geheimnisses nicht gegenüber der Person, die das Fahrzeug führt, oder gegenüber ihrer Stellvertretung. Jenny
1065
TKG § 88
Fernmeldegeheimnis
I. Einführung . . . . . . . . . . . . . . . .
1
II. Geschützte Sachverhalte (Abs. 1) . . . . . . . . . . . . . . . . . . .
4
III. Geschützte Personen . . . . . . .
9
IV. Verpflichtete Personen (Abs. 2) . . . . . . . . . . . . . . . . . . . 13 V. Verhaltenspflichten (Abs. 3). . 18 VI. Eingriffsbefugnisse . . . . . . . . . 19 1. Im Rahmen des TKG . . . . . . . 19
2. Anforderungen an sonstige Eingriffsnormen (§ 88 Abs. 3 Satz 3) . . . . . . . . . . . . . . . . . . . . 20 VII. Sonderproblem: Archivierung von und Zugriff auf E-Mails von Beschäftigten . . . . . . . . . . 21 VIII. Sonderregelung für Luft- und Seeverkehr (Abs. 4) . . . . . . . . . 24 IX. Rechtsfolgen/Sanktionen . . . . 25 X. Verweise/Kontext . . . . . . . . . . 27
Schrifttum: Arndt/Fetzer/Scherer (Hrsg.), TKG, Kommentar, 2008; Barton, E-Mail-Kontrolle durch Arbeitgeber, CR 2003, 839; Beck’scher TKG-Kommentar, hrsg. v. Geppert/Piepenbrock/Schütz/Schuster, 3. Aufl. 2006; Bohnert, OWiG, Kommentar, 3. Aufl. 2010; Durner, Fernmeldegeheimnis und informationelle Selbstbestimmung als Schranken urheberrechtlicher Sperrverfügungen im Internet?, ZUM 2010, 833; Erbs/Koolhaas, Strafrechtliche Nebengesetze, 190. Aufl. 2012, Loseblatt; Fischer, Arbeitnehmerschutz beim E-Mail-Verkehr, ZD 2012, 265; Fülbier/Splittgerber, Keine (Fernmelde-)Geheimnisse vor dem Arbeitgeber, NJW 2012, 1995; Göhler, Ordnungswidrigkeitengesetz, 16. Aufl. 2012; Gola/Schomerus, BDSG, Kommentar, 11. Aufl. 2012; Härting, E-Mail und Telekommunikationsgeheimnis, CR 2007, 311; Härting, Beschlagnahme und Archivierung von E-Mail, CR 2009, 581; Heun (Hrsg.), Handbuch Telekommunikationsrecht, 2. Aufl. 2007; Krüger, Anmerkung zu BVerfG, Beschluss vom 16.6.2009 – 2 BvR 902/06, MMR 2009, 680; Lensdorf, E-Mail Archivierung: Zwingend oder „nice to have“?, CR 2008, 332; Maunz/Dürig, Grundgesetz, Loseblatt; Müller-Gugenberger/Bieneck (Hrsg.), Wirtschaftsstrafrecht, 5. Aufl. 2011; Roßnagel, Handbuch Datenschutzrecht, 2003; Säcker (Hrsg.), Berliner Kommentar zum Telekommunikationsgesetz, 2. Aufl. 2009; Scheurle/Mayen, TKG, Kommentar, 2. Aufl. 2008; Simitis (Hrsg.), Bundesdatenschutzgesetz, 7. Aufl. 2011; Spindler/Schuster, Recht der elektronischen Medien, 2. Aufl. 2011; Störing, Anmerkung zu LAG Berlin-Brandenburg 4 Sa 2132/10, CR 2011, 614; Taeger/Gabel (Hrsg.), Kommentar zum BDSG und zu den Datenschutzvorschriften des TKG und TMG, 2010; Wächter, Datenschutz im Unternehmen, 3. Aufl. 2003; Wybitul, Handbuch – Datenschutz im Unternehmen, 2011; Wybitul, Interne Ermittlungen auf Aufforderung von US-Behörden – ein Erfahrungsbericht, BB 2009, 606; Wybitul, Neue Spielregeln bei E-MailKontrollen durch den Arbeitgeber, ZD 2011, 69.
I. Einführung 1 Die Vorschrift verschafft dem Fernmeldegeheimnis aus Art. 10 GG im Verhältnis zwischen den Telekommunikationsunternehmen und deren Mitarbeitern einerseits und den Nutzern von Telekommunikationsdiensten andererseits Geltung. Die Regelung war mit weitgehend glei1066 Jenny
Fernmeldegeheimnis
§ 88 TKG
chem Wortlaut auch schon als § 85 im TKG-1996 und zuvor als § 10 im Gesetz über Fernmeldeanlagen enthalten. Flankiert wird die Norm durch § 206 StGB, der die Verletzung des Fernmeldegeheimnisses durch Inhaber und Beschäftigte von Unternehmen, die geschäftsmäßig Telekommunikationsdienste erbringen, sowie auch durch Mitarbeiter von Aufsichtsbehörden (etwa der Bundesnetzagentur) strafrechtlich als Vergehen sanktionierbar macht. Zusammen sollen § 88 TKG und § 206 StGB den Schutzauftrag des Staates umsetzen, der sich aus Art. 10 GG ergibt. Anders als zu Zeiten, in denen Telekommunikationsdienste durch staatliche Monopolisten erbracht wurden, gilt der Art. 10 GG heute nicht mehr unmittelbar im Verhältnis zwischen Telekommunikationskunden und Dienstleistern1. Die Vorschrift des § 88 TKG beschreibt die vom Fernmeldegeheimnis geschützten Sachverhalte, konkretisiert unter Rückgriff auf die Definitionen in § 3 TKG den verpflichteten Personenkreis und enthält einzelne Erlaubnistatbestände und Verhaltensregeln für die Verpflichteten. Die Wahrung des Fernmeldegeheimnisses gehört nach § 2 Abs. 2 Nr. 1 TKG zu den Regulierungszielen des Gesetzes, wobei aber auch die Wahrung der Interessen der öffentlichen Sicherheit ein gleichrangiges weiteres Regulierungsziel ist (§ 2 Abs. 2 Nr. 9 TKG). Das Fernmeldegeheimnis aus Art. 10 GG schützt im Verhältnis zwi- 2 schen Staat und Bürgern die unkörperliche Übermittlung von Informationen an individuelle Empfänger mit Hilfe des Telekommunikationsverkehrs vor einer Kenntnisnahme durch die öffentliche Gewalt2. Dies soll verhindern, dass der Meinungs- und Informationsaustausch über Telekommunikationsmittel deswegen unterbleibt oder nach Form und Inhalt verändert verläuft, weil die Beteiligten befürchten müssen, dass staatliche Stellen sich in die Kommunikation einschalten und Kenntnisse über die Kommunikationsbeziehungen und Kommunikationsinhalte gewinnen3. Vom grundrechtlichen Schutz des Art. 10 Abs. 1 GG erfasst sind dabei nicht nur die Kommunikationsinhalte, sondern auch die Vertraulichkeit der näheren Umstände des Kommunikationsvorgangs. Dazu gehört insbesondere auch, ob, wann und wie oft zwischen welchen Personen oder Telekommunikationseinrichtungen Telekom-
1 Siehe Spindler/Schuster/Eckhardt, § 88 TKG Rz. 2; Arndt/Fetzer/Scherer/Ellinghaus, § 88 TKG Rz. 2 und Rz. 6 sowie BerlKommTKG/Klesczewski, § 88 Rz. 9. 2 Vgl. BVerfGE 125, 260 (309) m.w.N. 3 Vgl. BVerfGE 100, 313 (359); 107, 299 (313).
Jenny
1067
TKG § 88
Fernmeldegeheimnis
munikationsverkehr stattgefunden hat oder versucht worden ist1. Diese Elemente lassen sich in § 88 TKG für das Verhältnis zwischen Teilnehmern und Diensteanbieter wiederfinden. In der verfassungsrechtlichen Literatur wird angesichts der kontinuierlich steigenden Anzahl an Eingriffen in das Fernmeldegeheimnis inzwischen thematisiert, ob das Fernmeldegeheimnis als Grundrecht entwertet sei2. Angesichts dessen und der Ausführungen unten bei Rz. 15, 21 ff. könnte man auf den Gedanken kommen, die hauptsächliche Bedeutung des Fernmeldegeheimnisses liege heute nicht mehr im Verhältnis Staat-Bürger, sondern im Verhältnis Arbeitgeber-Beschäftigte. 3 Neben Art. 10 GG beruht der gesetzliche Schutz des Fernmeldegeheimnisses auch auf völker- und unionsrechtlichen Vorgaben. Zu nennen sind hier Art. 8 der Allgemeinen Erklärung der Menschenrechte vom 10.12.1948, Art 17 des Internationalen Pakts über bürgerliche und politische Rechte und Art. 8 der Europäischen Menschenrechtskonvention auf völkerrechtlicher Ebene sowie auf unionsrechtlicher Ebene Art. 7 der Charta der Grundrechte der Europäischen Union und schließlich Art. 5 der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)3. Hiernach haben die Mitgliedsstaaten die Vertraulichkeit der mit öffentlichen Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen Nachrichten und der damit verbundenen Verkehrsdaten durch innerstaatliche Vorschriften sicherzustellen und das Mithören, Abhören und Speichern sowie andere Arten des Abfangens oder Überwachens von Nachrichten und der damit verbundenen Verkehrsdaten ohne Einwilligung der betroffenen Nutzer zu untersagen. Eingriffe in das Fernmeldegeheimnis sollen aber auf gesetzlicher Grundlage nach Maßgabe des Art. 15 der Richtlinie namentlich aus Gründen der öffentlichen Sicherheit und der Strafverfolgung möglich sein.
1 St. Rspr. des BVerfG, siehe z.B. BVerfGE 67, 157 (172); 100, 313 (358); 107, 299 (312 f.); 125, 260 (309) und zuletzt Beschl. v. 24.1.2012 – 1 BvR 1299/05, NJW 2012, 1419 = CR 2012, 245. 2 Siehe Maunz/Dürig/Durner, Art. 10 GG Rz. 6 m.w.N. 3 Siehe zu den völker- und unionsrechtlichen Vorgaben Maunz/Dürig/Durner, Art. 10 GG Rz. 24–40 sowie Heun/Eckhardt, Teil L Rz. 5.
1068 Jenny
Fernmeldegeheimnis
§ 88 TKG
II. Geschützte Sachverhalte (Abs. 1) Abs. 1 des § 88 TKG beschreibt die vom Fernmeldegeheimnis geschütz- 4 ten Informationen und Sachverhalte. Das ist zunächst der Inhalt einzelner Telekommunikationsvorgänge, also etwa der Inhalt von Telefongesprächen, Telefaxen oder von E-Mails. Geschützt sind weiter die näheren Umstände von konkreten1 Telekommunikationsvorgängen, wozu insbesondere die Tatsache gehört, ob jemand an einem solchen Vorgang beteiligt ist oder war, bzw. Verbindungsversuche unternommen hat. Die geschützten näheren Umstände von Telekommunikationsvorgängen lassen sich damit in der Formel zusammenfassen, wer wann mit wem wie fernmeldetechnisch kommuniziert oder dies versucht hat. Im Rahmen des TKG sind insbesondere die Verkehrsdaten („Daten, die 5 bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden“, § 3 Nr. 30 TKG) sowie auch die aus diesen zur Rechnungsstellung extrahierten Abrechnungsdaten (vgl. § 97 TKG) bedeutsam, die jeweils Informationen über nähere Umstände einzelner Telekommunikationsvorgänge enthalten. Das TKG enthält insoweit eigene Erlaubnistatbestände in §§ 96 ff., nach denen die Diensteanbieter diese Daten zu bestimmten Zwecken verwenden dürfen, etwa zur Entgeltermittlung und -abrechnung, für das Angebot von so genannten Diensten mit Zusatznutzen (Neudeutsch „Location based services“, § 98 TKG), für die Erstellung von Einzelverbindungsnachweisen (§ 99 TKG), die Bekämpfung von Störungen und Missbräuchen (§ 100 TKG) und die Mitteilung ankommender Verbindungen (umgangssprachlich: „Fangschaltung“, § 101 TKG). Nicht dem Fernmeldegeheimnis unterfallen demgegenüber die Bestandsdaten2, solange nicht auf Verkehrsdaten zurückgegriffen wird, um sie zu ermitteln und beauskunften3. Bestandsdaten sind nach § 3 Nr. 3 TKG die „Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden“. Unter Telekommunikation ist in diesem Zusammenhang gemäß der Definition in § 3 Nr. 22 TKG der „technische Vorgang des Aussendens, 1 Siehe BVerfG v. 24.1.2012 – 1 BvR 1299/05 – Rz. 113, NJW 2012, 1419 (1421) = CR 2012, 245 (Verfassungsbeschwerde zu §§ 111–113 TKG). 2 BVerfG v. 24.1.2012 – 1 BvR 1299/05 – Rz. 113, NJW 2012, 1419 (1421) = CR 2012, 245. 3 BVerfG v. 24.1.2012 – 1 BvR 1299/05 – Rz. 116, NJW 2012, 1419 (1422) = CR 2012, 245.
Jenny
1069
6
TKG § 88
Fernmeldegeheimnis
Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen“ zu verstehen. „Telekommunikationsanlagen“ sind ihrerseits nach § 3 Nr. 23 TKG „technische Einrichtungen oder Systeme, die als Nachrichten identifizierbare elektromagnetische oder optische Signale senden, übertragen, vermitteln, empfangen, steuern oder kontrollieren können.“ Der Schutz des Fernmeldegeheimnisses greift damit, wenn Nachrichten von Diensteanbietern (dazu unten Rz. 13) über Telekommunikationsanlagen transportiert werden. 7 Geschützt wird dabei nach wohl herrschender Ansicht1 grundsätzlich nur Individualkommunikation, nicht jedoch Massenkommunikation. Allerdings ist in Zeiten einer Konvergenz der Netze und Inhalte eine Abgrenzung nicht immer einfach2. Nach der jüngeren Rechtsprechung des BVerfG ist das Fernmeldegeheimnis immer dann betroffen, wenn auf Informationen zu konkreten Telekommunikationsvorgängen zugegriffen wird3. Der Inhalt von Massenmedien als solcher ist damit nicht geschützt, aber wenn auf Verkehrsdaten zugegriffen wird, um festzustellen, ob ein bestimmter Nutzer bestimmte Massenmedien in Anspruch genommen hat, ist das Fernmeldegeheimnis betroffen. Dasselbe gilt bei der Beauskunftung von Bestandsdaten, wenn zur Ermittlung des Teilnehmers auf dessen Verkehrsdaten (konkret auf Aufzeichnungen zur Zuordnung dynamischer IP-Nummern) zugegriffen wird4. 8 Die zeitliche Reichweite des Fernmeldegeheimnisses wurde in der Vergangenheit auf die Dauer des Telekommunikationsvorgangs beschränkt5. Mit anderen Worten, nach Abschluss des Kommunikationsvorgangs bei den Beteiligten vorhandene Daten und Unterlagen zu Kommunikationsvorgängen (wie ausgedruckte Faxe, auf PCs gespeicherte E-Mails oder auch auf Endgeräten noch vorhandene Daten zu eingegangenen Anrufen und gewählten Nummern) sollten nicht dem Fernmeldegeheimnis unter-
1 Siehe Maunz/Dürig/Durner, Art. 10 GG Rz. 92; BerlKommTKG/Klesczewski, § 88 Rz. 12; BeckTKGKomm/Bock, § 88 Rz. 12. Anscheinend abweichend allerdings Heun/Eckhardt, Teil L Rz. 15, der auch Tele- und Mediendienste als geschützte Inhalte versteht. 2 Siehe BerlKommTKG/Klesczewski, § 88 Rz. 12; BeckTKGKomm/Bock, § 88 Rz. 12. 3 BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07 – Rz. 183, NJW 2008, 822 (825) (zur sog. Online-Durchsuchung) sowie v. 24.1.2012 – 1 BvR 1299/05 – Rz. 116, NJW 2012, 1419 (1422) (Verfassungsbeschwerde zu §§ 111–113 TKG). 4 BVerfG v. 24.1.2012 – 1 BvR 1299/05 – Rz. 116, NJW 2012, 1419 (1422) (Verfassungsbeschwerde zu §§ 111–113 TKG). 5 Maunz/Dürig/Durner, Art. 10 GG Rz. 96 m.w.N.
1070 Jenny
Fernmeldegeheimnis
§ 88 TKG
liegen. Hiervon ist das BVerfG jedoch in der jüngeren Rechtsprechung tendenziell abgekommen. So hat das BVerfG in einem Kammerbeschluss vom 4.2.2005 angenommen, dass das Auslesen von Verbindungsdaten eines beschlagnahmten Mobiltelefons in den Schutzbereich von Art. 10 GG eingreife1. Dies wurde jedoch im Urteil vom 2.3.2006 wieder revidiert2. Hiernach endet der Schutz des Fernmeldegeheimnisses, wenn die von ihm geschützten Informationen beim Kommunikationsteilnehmer angekommen und der Übertragungsvorgang beendet ist. Denn dann bestehen die spezifischen Gefahren der räumlich distanzierten Kommunikation, vor denen das Fernmeldegeheimnis schützen soll, nicht mehr. Die Beteiligten haben es dann selbst in der Hand, die Informationen in geeigneter Weise vor dem Zugriff Dritter zu schützen. Diese Überlegung kann allerdings für beim Diensteanbieter verbleibende Verkehrsdaten nicht gelten, denn diese gelangen nie abschließend in den Herrschaftsbereich des Teilnehmers. Bei E-Mails, die beim E-Mail-Anbieter gespeichert sind, ist das Gericht dann aber in dem Urteil vom 6.6.2009 einen abweichenden Weg gegangen und hat den Zugriff durch die Strafverfolgungsbehörden beim E-Mail-Provider als Eingriff in Art. 10 GG bewertet3. Die E-Mails seien nicht im Herrschaftsbereich des Teilnehmers angekommen und damit dem Zugriff beim und durch den Provider offen. Die spezifische Gefährdungslage und der Zweck der Freiheitsverbürgung von Art. 10 Abs. 1 GG bestünden demnach weiter. Dies überzeugt nicht so ganz. Denn dem Nutzer eines E-Mail-Dienstes mit Speicherung beim Provider steht frei, jede E-Mail nach Lektüre zu löschen. Und die Entscheidung für einen E-Mail-Dienst, bei dem die Nachrichten beim Provider gespeichert werden, ist bereits Ausdruck einer entsprechenden autonomen Disposition des Teilnehmers4. Schließlich differenziert das BVerfG in seiner Betrachtung nicht zwischen den zwei unterscheidbaren Dienstleistungen der Übermittlung von Nachrichten einerseits und deren dauerhafter Aufbewahrung andererseits. Die Archivierung von Daten in der neuerdings vielzitierten Cloud ist seitens des Anbieters kein Telekommunikationsdienst, sondern ein davon zu unterscheidender IT-
1 BVerfG (3. Kammer des Zweiten Senats) v. 4.2.2005 – 2 BvR 308/04, NJW 2005, 1637 (1639) = CR 2005, 799. 2 BVerfG v. 2.3.2006 – 2 BvR 2099/04, NJW 2006, 976 (978) = CR 2006, 383. 3 BVerfG v. 16.6.2009 – 2 BvR 902/06, NJW 2009, 2431 (2432 f.) = CR 2009, 584. 4 Auf gleicher Linie wie hier Krüger, MMR 2009, 680 ff., der darüber auch die Aussagen des Gerichts zu den strafprozessualen Eingriffsmöglichkeiten kritisch würdigt. Kritisch auch Härting, CR 2009, 581 (583), der vom „Fernmeldegeheimnis light“ spricht.
Jenny
1071
TKG § 88
Fernmeldegeheimnis
Dienst. Die Speicherung von empfangenen und versendeten E-Mails beim Diensteanbieter ist dem vergleichbar1. III. Geschützte Personen 9 Der geschützte Personenkreis wird in § 88 TKG nicht definiert. Die Auslegung ergibt, dass neben natürlichen auch juristische Personen und rechtsfähige Personengesellschaften als Anwender von Telekommunikation geschützt sind2. Dies ergibt sich zum einen aus § 91 Abs. 1 Satz 2 TKG, wonach die Regelungen zum Telekommunikationsdatenschutz auch für juristische Personen und rechtsfähige Personengesellschaften gelten, soweit Einzelangaben dem Fernmeldegeheimnis unterliegen. Zum zweiten folgt dies daraus, dass Art. 10 GG in Verbindung mit Art. 19 Abs. 3 GG auch juristische Personen schützt3. 10 Geschützt werden durch das Fernmeldegeheimnis alle am Telekommunikationsvorgang Beteiligten, also bei einem einfachen Telefonat Anrufer und Angerufener, bei Telefonaten mit mehreren Beteiligten (etwa Konferenzschaltungen) alle davon oder bei E-Mails mit mehreren Adressaten alle Empfänger4. Hieraus leitet die wohl herrschende Meinung ab, dass Eingriffe nur dann auf eine Einwilligung oder einen Verzicht gestützt werden können, wenn alle Beteiligten einwilligen5. Auch das BVerfG hat in der sog. Fangschaltungsentscheidung den Standpunkt eingenommen, dass ein Gesprächsteilnehmer nicht mit Wirkung für den anderen auf das Fernmeldegeheimnis verzichten könne6. Mit dieser Entscheidung wandte sich das BVerfG gegen die seinerzeit noch vorherrschende Auffassung im Schrifttum, die mit der Erwägung begründet war, dass die am Kommunikationsvorgang Beteiligten im Ver1 Skepsis zur Begründung des Gerichts äußert auch Maunz/Dürig/Durner, Art. 10 GG Rz. 99. 2 So auch BerlKommTKG/Klesczewski § 88 Rz. 9, in Heun/Eckardt, Teil L Rz. 47. 3 Maunz/Dürig/Durner, Art. 10 GG Rz. 102. 4 So Spindler/Schuster/Eckhardt, § 88 TKG Rz. 14. Auf gleicher Linie vermutlich auch Scheurle/Mayen/Zerres, § 88 TKG Rz. 15; BerlKommTKG/Klesczewski, § 88 Rz. 10 und BeckTKGKomm/Bock, § 88 Rz. 19, die jeweils nur Konstellationen mit zwei am Kommunikationsvorgang Beteiligten ansprechen. 5 So Maunz/Dürig/Durner, Art. 10 GG Rz. 127; Spindler/Schuster/Eckhardt, § 88 TKG Rz. 15; Scheurle/Mayen/Zerres, § 88 TKG Rz. 15; BerlKommTKG/ Klesczewski, § 88 Rz. 10; BeckTKGKomm/Bock, § 88 Rz. 19 und Arndt/Fetzer/ Scherer/Ellinghaus, § 88 TKG Rz. 11. 6 BVerfG v. 25.3.1992 – 1 BvR 1430/88, BVerfGE 85, 386 = NJW 1992, 1875 (1876).
1072 Jenny
Fernmeldegeheimnis
§ 88 TKG
hältnis zueinander nicht an das Fernmeldegeheimnis gebunden sind1. Wenn der Zweck des Fernmeldegeheimnisses darin liege, Kommunikationsvorgänge und -inhalte gegen staatliche Zugriffe abzuschirmen, sei jede staatliche Einschaltung, die nicht im Einverständnis mit beiden Kommunikationspartnern erfolge, Grundrechtseingriff. Die gegenteilige Auffassung verkenne Bedeutung und Tragweite von Art. 10 GG, weil sie ihren Blick allein auf den Diensteanbieter in der Rolle des an dem Kommunikationsvorgang oder -inhalt nicht interessierten technischen Helfers für den belästigten Fernsprechteilnehmer richte und dabei die in der Gesprächsbeobachtung liegende Gefahr einer Grundrechtsverletzung der anderen Gesprächsteilnehmer wie auch die Gefahr der Sammlung, Verwertung und Weitergabe der Informationen zu anderen Zwecken als dem Schutz belästigter Fernsprechteilnehmer aus den Augen verliere2. Abweichend von der herrschenden Meinung wird hier der Standpunkt 11 vertreten, dass die Einwilligung eines Beteiligten ausreichend ist, um einen Eingriff in das Fernmeldegeheimnis auszuschließen. Denn es will nicht so recht einleuchten, worin der Unterschied liegt, wenn einerseits ein Kommunikationsbeteiligter Inhalt oder nähere Umstände der Kommunikation weitergibt und andererseits ein Kommunikationsbeteiligter einem Dritten gestattet, hiervon selbst Kenntnis zu nehmen. Im ersten Fall soll kein Eingriff in das Fernmeldegeheimnis vorliegen, weil die Beteiligten einander nicht auf Wahrung des Fernmeldegeheimnisses verpflichtet sind3, im zweiten Fall hingegen schon. „Geben“ ist vielleicht seliger als „nehmen“, aber kann dieser Unterschied für die Frage, ob ein Eingriff in das Fernmeldegeheimnis vorliegt, wirklich entscheidend sein? Hinzu kommt, dass die Sichtweise der herrschenden Meinung, wonach nur die Einwilligung aller Beteiligten einen Eingriff in das Fernmeldegeheimnis ausschließen könne, zu Abgrenzungsproblemen und womöglich zu unangemessenen Ergebnissen führen kann. Eine trennscharfe Abgrenzung zwischen Eingriff in das Fernmeldegeheimnis einerseits und erlaubter Offenlegung von dem Fernmeldegeheimnis unterliegenden Sachverhalten durch einen Beteiligten ist nicht möglich4. Und 1 Siehe die Nachweise des BVerfG v. 25.3.1992 – 1 BvR 1430/88, BVerfGE 85, 386 = NJW 1992, 1875 (1876) sowie bei Maunz/Dürig/Durner, Art. 10 GG Rz. 127. 2 BVerfG v. 25.3.1992 – 1 BvR 1430/88, BVerfGE 85, 386 = NJW 1992, 1875 (1876). 3 Dass die Beteiligten nicht das Fernmeldegeheimnis zu wahren haben, ist herrschende Meinung, siehe nur Maunz/Dürig/Durner, Art. 10 GG Rz. 127 und in Heun/Eckhardt, Teil L Rz. 18. 4 Maunz/Dürig/Durner, Art. 10 GG Rz. 128 f.
Jenny
1073
TKG § 88
Fernmeldegeheimnis
wenn man ernsthaft darüber diskutieren muss, ob das Herausfiltern von Spam-E-Mail das Fernmeldegeheimnis zu Lasten des Absenders verletzen kann1, ist dies ein starkes Indiz, dass der dogmatische Ansatzpunkt nicht stimmt. Im entschiedenen Fall zur sog. Fangschaltung, also nach heutigem Recht dem Mitteilen ankommender Verbindungen nach § 101 TKG, verdient das BVerfG trotzdem Zustimmung. Denn jeder Beteiligte kann nur soweit über das Fernmeldegeheimnis disponieren, wie seine Kenntnis reicht. Und die Fangschaltung dient gerade dazu, dem Angerufenen Kenntnis über die Rufnummer und damit die Identität des Anrufers zu verschaffen. 12 Schutzlos gestellt werden die übrigen Teilnehmer eines Kommunikationsvorgangs durch die Einwilligung eines Beteiligten auch sonst nicht. Vielmehr können sie sich dann auf das allgemeine Persönlichkeitsrecht und insbesondere das Recht auf informationelle Selbstbestimmung berufen2. IV. Verpflichtete Personen (Abs. 2) 13 Das Fernmeldegeheimnis zu wahren haben nach Abs. 2 alle Diensteanbieter. Dies ist nach § 3 Nr. 6 TKG „jeder, der ganz oder teilweise geschäftsmäßig a) Telekommunikationsdienste erbringt oder b) an der Erbringung solcher Dienste mitwirkt.“ „Geschäftsmäßiges Erbringen von Telekommunikationsdiensten“ ist nach § 3 Nr. 10 TKG bereits beim „nachhaltige(n) Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht“ gegeben. Es läge nahe, weiter für die Auslegung die Definition von „Telekommunikationsdiensten“ in § 3 Nr. 24 TKG3 heranzuziehen4. Dies würde jedoch nicht berücksichtigen, dass diese Definition Entgeltlichkeit als Regelfall für das Vorliegen eines „Telekommunikationsdienstes“ voraussetzt, während „geschäftsmäßiges Erbringen von Telekommunikationsdiensten“ gerade auch ohne Gewinnerzielungsabsicht erfolgen kann5. Alles in Allem sind die Definitionen des Gesetzes an dieser entscheidenden Stelle leider widersprüchlich und verwirrend6. 1 Siehe nur Härting, CR 2007, 311 (316). 2 Maunz/Dürig/Durner, Art. 10 GG Rz. 130. 3 „in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen“. 4 So z.B. Wybitul, ZD 2011, 69 (71). 5 Siehe mit ausführlicher Herleitung Heun/Eckhardt, Teil B Rz. 10 ff. 6 Zu Recht kritisch dazu Stamer/Kuhnke, § 32 Rz. 95.
1074 Jenny
Fernmeldegeheimnis
§ 88 TKG
In der Praxis ist daneben die Definition der Verpflichteten in § 206 StGB 14 bedeutsam; nicht zuletzt deshalb, weil die wirklich kniffligen Probleme zum Fernmeldegeheimnis in aller Regel bei der Beantwortung der Frage auftreten, ob ein bestimmter Sachverhalt nach § 206 StGB strafbar sein könnte. Nach jener Norm hat das Fernmeldegeheimnis zu wahren, wer „Inhaber oder Beschäftigter eines Unternehmens [ist], das geschäftsmäßig […] Telekommunikationsdienste erbringt“. Ob sich aus der abweichenden Formulierung im StGB ein engerer Kreis an Verpflichteten ergibt als nach den Definitionen des TKG1, ist unklar, aber offenbar noch nie praktisch relevant geworden. Verstanden werden sowohl die Definitionen nach TKG als auch die nach StGB übereinstimmend dahingehend, dass nicht nur „klassische“ Telekommunikationsanbieter wie die Deutsche Telekom AG das Fernmeldegeheimnis wahren müssen, sondern auch alle, die dauerhaft anderen Telekommunikation ermöglichen, also etwa Hotels, Krankenhäuser, sonstige Betreiber von Nebenstellenanlagen2 und unter bestimmten Voraussetzungen nach wohl h.M. auch Arbeitgeber bzw. Dienstherren. Wer als Arbeitgeber bzw. öffentlich-rechtlicher Dienstherr seinen Beschäftigten die Nutzung von Telekommunikation für private Zwecke gestattet, bietet damit Dritten nachhaltig (d.h. auf Dauer3) Telekommunikation an. Ein Arbeitgeber ist dann als Diensteanbieter i.S.v. § 88 TKG bzw. als geschäftsmäßig Telekommunikationsdienste erbringendes Unternehmen i.S.d. § 206 StGB anzusehen und an das Fernmeldegeheimnis gebunden4. Diese Ansicht kann sich auch auf die Entstehungsgeschichte der Norm stützen. In den Gesetzesmaterialien zu der Vorläufervorschrift (§ 85 TKG-1996) heißt es wörtlich: „Dem Fernmeldegeheimnis unterliegen damit […] Nebenstellenanlagen in Betrieben und Behörden, soweit sie den Beschäftigten zur privaten Nutzung zur Verfügung gestellt sind.“5.
1 Für denkbar hält dies Arndt/Fetzer/Scherer/Ellinghaus, § 88 TKG Rz. 34. 2 Aufzählung von in Arndt/Fetzer/Scherer/Ellinghaus, § 88 TKG Rz. 24. 3 BeckTKGKomm/Bock, § 88 Rz. 23; Spindler/Schuster/Eckhardt, § 88 TKG Rz. 17. 4 Siehe nur BeckTKGKomm/Bock, § 88 Rz. 24; Spindler/Schuster/Eckhardt, § 88 TKG Rz. 18; Barton, CR 2003, 839 (840); Härting, CR 2007, 311 (312) sowie OLG Karlsruhe v. 10.1.2005 – 1 Ws 152/04, MMR 2005, 178, 180. A.A. demgegenüber neuerdings LAG Berlin-Brandenburg, NZA-RR 2011, 342 = CR 2011, 611 mit der nicht näher begründeten Behauptung, das Gegenteil sei h.M. Der Verweis auf LAG Niedersachsen, NZA-RR 2010, 406 trägt nicht, da die Aussagen dort sich auf abgespeicherte E-Mails beziehen, nicht jedoch auf die Stellung als Diensteanbieter an sich. 5 Siehe BT-Drucks. 13/3609, S. 53 (dort zu § 82 des Gesetzentwurfs).
Jenny
1075
15
TKG § 88
Fernmeldegeheimnis
Neuere Stimmen in der Literatur1, die in diesen Konstellationen die Geltung des Fernmeldegeheimnisses anzweifeln, sind daher nicht einfach mit einer historischen Auslegung des Gesetzes in Einklang zu bringen. Nach verbreiteter Ansicht genügt es nicht, wenn ein Arbeitgeber die private Nutzung verbietet, um sich der Geltung des Fernmeldegeheimnisses zu entziehen. Erforderlich soll vielmehr sein, dass das Verbot auch überwacht bzw. durchgesetzt wird2. Dies läuft allerdings darauf hinaus, Arbeitgebern Anreize zur Überwachung von Mitarbeitern und deren Nutzung von dienstlicher Telekommunikation zu schaffen. Das kann schwerlich i.S.d. Schutzgüter des Fernmeldegeheimnisses sein. Die Ansicht, Arbeitgeber müssten die private Nutzung dienstlicher Telekommunikationsmittel nicht nur verbieten, sondern dies auch kontrollieren, um sich dem Fernmeldegeheimnis zu entziehen, ist deshalb abzulehnen. 16 Nicht an das Fernmeldegeheimnis gebunden sind demgegenüber die an Fernmeldevorgängen Beteiligten, denn geschützt werden soll nicht das Vertrauen der Beteiligten zueinander, sondern das Vertrauen in die Vertraulichkeit gegenüber Dritten, namentlich den Diensteanbietern3. Zu diesen Beteiligten gehören auch die Anbieter von Telemedien- und Rundfunkdiensten, denn sie sind insoweit Teilnehmer bzw. Nutzer von Telekommunikation. 17 Abschließend sei noch angemerkt, dass über die Formulierung des Mitwirkens an der Erbringung der Dienste in § 3 Nr. 6 TKG bzw. den Verweis auf Beschäftigte eines verpflichteten Unternehmens in § 206 StGB auch alle Beschäftigten und sonstigen Erfüllungsgehilfen das Fernmeldegeheimnis wahren müssen. Ferner ist über § 88 Abs. 2 Satz 2 klargestellt, dass die Verpflichtung auch nach Ende der Stellung als Diensteanbieter bzw. Mitwirkender fortdauert. V. Verhaltenspflichten (Abs. 3) 18 Nach Abs. 3 dürfen die auf das Fernmeldegeheimnis Verpflichteten sich oder anderen nur insoweit Kenntnis von dem Fernmeldegeheimnis unterliegenden Inhalten und Umständen verschaffen, wie es zur Diensteerbringung erforderlich ist. Unter Diensteerbringung wird dabei auch der Schutz der Telekommunikationsanlagen und Netze verstanden. Nähe1 So z.B. Wybitul, ZD 2011, 69 (71) sowie Fülbier/Splittgerber, NJW 2012, 1995 (1999) sowie Stamer/Kuhnke, § 32 Rz. 95 ff. 2 In diese Richtung tendiert z.B. Heun/Eckhardt, Teil L Rz. 77. 3 Siehe BVerfG v. 25.3.1992 – 1 BvR 1430/88, BVerfGE 85, 386 = NJW 1992, 1875 (1876) sowie Maunz/Dürig/Durner, Art. 10 GG Rz. 127, jeweils m.w.N.
1076 Jenny
Fernmeldegeheimnis
§ 88 TKG
res dazu findet sich in § 109 TKG. Allerdings enthalten die §§ 96 ff. TKG eine ganze Reihe von Erlaubnistatbeständen für den Umgang mit dem Fernmeldegeheimnis unterliegenden Daten, so dass als zweifelhaft erscheint, ob § 88 Abs. 3 Satz 1 daneben noch einen eigenen Anwendungsbereich haben kann1. Allerdings lässt sich nicht kategorisch ausschließen, dass in Zukunft noch Dienste erfunden werden, die in den §§ 96 ff. nicht abgebildet sind und deren Erbringung einen Umgang mit dem Fernmeldegeheimnis unterliegenden Daten oder Inhalten voraussetzt. Erlangte Kenntnisse unterliegen einer strikten Zweckbindung (Satz 2). Ihre Verwendung bzw. Weitergabe an andere ist nur zulässig, soweit das TKG oder eine andere Norm dies vorsehen und dabei ausdrücklich auf Telekommunikationsvorgänge Bezug nehmen (sog. „kleines Zitiergebot“). VI. Eingriffsbefugnisse 1. Im Rahmen des TKG Erlaubnisse zu Eingriffen in das Fernmeldegeheimnis finden sich im 19 TKG in § 88 Abs. 3 Satz 4, Abs. 4 und außerdem in § 64 TKG und den §§ 96 ff. § 64 Abs. 1 TKG erlaubt es Bediensteten der Bundesnetzagentur bei Aktivitäten, die der Sicherstellung der Frequenzordnung dienen, sich Kenntnisse von den näheren Umständen von Telekommunikationsvorgängen zu verschaffen und in besonderen Fällen in Aussendungen hineinzuhören. In der Sache geht es dort um die Überwachung des Funkverkehrs, um ungenehmigte Funkaussendungen ausfindig zu machen und zu unterbinden. § 88 Abs. 3 Satz 4 TKG verweist auf die Anzeigepflicht für Straftaten nach § 138 StGB und verpflichtet dazu, etwa erlangte Kenntnisse zur Planung von durch jene Vorschrift erfasste Straftaten zur Anzeige zu bringen. Die Datenschutzbestimmungen des TKG in §§ 96 ff. enthalten eine Reihe von Erlaubnissen zum Umgang mit dem Fernmeldegeheimnis unterliegenden Daten für Zwecke wie Diensteerbringung, Rechnungsstellung, Missbrauchsbekämpfung usw. Auf die Kommentierungen dort sei an dieser Stelle verwiesen. 2. Anforderungen an sonstige Eingriffsnormen (§ 88 Abs. 3 Satz 3) § 88 Abs. 3 Satz 3 TKG verbietet den auf das Fernmeldegeheimnis Verpflichteten, Kenntnisse über geschützte Sachverhalte zu anderen Zwecken als der Diensteerbringung im weiteren Sinne (also einschließlich 1 Dies verneint BerlKommTKG/Klesczewski, § 88 Rz. 25.
Jenny
1077
20
TKG § 88
Fernmeldegeheimnis
des Schutzes der technischen Systeme) zu verwenden oder Dritten zu offenbaren, es sei denn, das TKG oder andere Rechtsvorschriften sehen dies vor und beziehen sich dabei ausdrücklich auf Telekommunikationsvorgänge. Mit diesem sog. „kleinen Zitiergebot“ sollte nach den Gesetzesmaterialien erreicht werden, dass staatliche Stellen nur dann auf dem Fernmeldegeheimnis unterliegende Informationen zugreifen können, wenn sie dafür eine Ermächtigungsgrundlage haben, die konkret auf Telekommunikationsvorgänge Bezug nimmt1. Laut Durner soll das kleine Zitiergebot deshalb auch nur für staatliche Eingriffe gelten, nicht aber etwa für zivilrechtliche Auskunftsansprüche2. Damit wird Art. 19 Abs. 2 Satz 1 GG auf einfachgesetzlicher Ebene wiederholt. Bemerkenswert ist in diesem Zusammenhang allerdings, dass das BVerfG in seinem Urteil vom 16.6.2009 zur Beschlagnahme von E-Mails die Vorschriften zur Beschlagnahme in §§ 94 ff. StPO, welche nicht auf Telekommunikationsvorgänge Bezug nehmen, als Rechtsgrundlage gebilligt hat. Diese Vorschriften unterlägen als vorkonstitutionelles Recht nicht dem Zitiergebot nach Art. 19 GG3. Allerdings muss man dem BVerfG zugute halten, dass es keine Superrevisionsinstanz ist, und deshalb die Verfassungsbeschwerde nicht wegen eines Verstoßes gegen § 88 Abs. 3 Satz 3 TKG Erfolg haben konnte. VII. Sonderproblem: Archivierung von und Zugriff auf E-Mails von Beschäftigten 21 Mit dem Aufkommen von E-Mails als massenhaft eingesetztes Kommunikationsmittel entstand als neues Thema die Archivierung und der Zugriff auf die Archive. Anders als das flüchtige am Telefon gesprochene Wort sind E-Mail-Nachrichten geeignet, in Papierform oder auf Datenträgern dauerhaft aufbewahrt zu werden. Im geschäftlichen Kontext bestehen sogar oft Aufbewahrungspflichten. Diese folgen etwa aus § 238 Abs. 2 und § 257 Abs. 1 Nr. 2 und Nr. 3 HGB, wonach kaufmännische Unternehmen empfangene und versendete Handelsbriefe aufzubewahren haben. Ferner verlangt § 147 Abs. 1 Nr. 2 und 3 AO die Aufbewahrung aller Geschäftsbriefe sowie Nr. 5 die Aufbewahrung aller sonstigen steuerlich bedeutsamen Unterlagen. Hierzu gehören in Zeiten, in denen viele geschäftliche Beziehungen per E-Mail gepflegt werden, auch
1 Siehe BT-Drucks. 13/3609, S. 53. 2 Durner, ZUM 2010, 833 (837). 3 BVerfG v. 16.6.2009 – 2 BvR 902/06, NJW 2009, 2431 (2435) = CR 2009, 584.
1078 Jenny
Fernmeldegeheimnis
§ 88 TKG
E-Mails1. Gleichzeitig können nach dem oben Rz. 15 Gesagten die Inhalte von E-Mails als Inhalte von Telekommunikation dem Fernmeldegeheimnis unterliegen, wenn sie über dienstliche E-Mail-Konten versendet oder empfangen werden, deren private Nutzung gestattet ist. Mit der bloßen Archivierung von E-Mails ist es dabei noch nicht getan. In bestimmten Konstellationen müssen die gespeicherten E-Mails auch Dritten zugänglich gemacht werden, etwa bei Steuerprüfungen oder im Rahmen gerichtlicher Auseinandersetzungen. Als besonders brisant haben sich dabei Anfragen US-amerikanischer Behörden erwiesen, etwa der Börsenaufsicht (Securities and Exchange Commission, SEC) bei der Untersuchung von Verdachtsfällen auf Insiderhandel oder internationale Korruption. Von Letzterem betroffen sind typischerweise in den Vereinigten Staaten börsennotierte Unternehmen. Die SEC verlangt im Rahmen solcher Untersuchungen immer wieder die Vorlage und/oder Auswertung aller E-Mails bestimmter Personen2. Der Arbeitgeber kann sich hier dem Risiko aussetzen, entweder einen nach § 206 StGB strafbewehrten Bruch des Fernmeldeheimnisses zu begehen, oder Anordnungen der SEC zu verletzen. Im Ergebnis besteht in diesen Konstellationen weitgehend Einigkeit da- 22 rüber, dass Arbeitgeber – soweit für betrieblichen Zwecke erforderlich und angemessen – den E-Mail-Verkehr von Arbeitnehmern archivieren und auch zur Kenntnis nehmen und an Dritte weitergeben dürfen. Es sind jedenfalls noch keine Fälle bekannt geworden, in denen ein Arbeitgeber dafür strafrechtlich oder durch Aufsichtsbehörden belangt worden wäre3. Die Frage ist jedoch, wie dieses Ergebnis tragfähig begründet werden kann. – Das LAG Berlin-Brandenburg stellt sich in seinem Urteil vom 16.2.2010 auf den Standpunkt, Arbeitgeber seien auch bei erlaubter Privatnutzung nicht an das Fernmeldegeheimnis gebunden4. Diese 1 Siehe Lensdorf, CR 2008, 332; Pahlke/König, Abgabenordnung, § 147 Rz. 11; Wiedmann in Ebenroth/Boujong/Joost/Strohn, Handelsgesetzbuch, § 257 Rz. 15. 2 Siehe Wybitul, Interne Ermittlungen auf Aufforderung von US-Behörden – ein Erfahrungsbericht, BB 2009, 606 sowie den Sachverhalt, der dem Beschluss des VGH Kassel v. 19.5.2009 – 6 A 2672/08.Z, NJW 2009, 2470 = CR 2009, 605, zugrunde lag. 3 Der Beschluss des OLG Karlsruhe v. 10.1.2005 – 1 Ws 152/04, MMR 2005, 179 = CR 2005, 288 betraf nicht die Einsichtnahme oder Weitergabe, sondern das Filtern unerwünschter E-Mails. 4 LAG Berlin-Brandenburg v. 16.2.2010 – 4 Sa 2132/10, NZA-RR 2011, 342 = CR 2011, 611. Auf gleicher Linie z.B. Wybitul, ZD 2011, 69 (71).
Jenny
1079
TKG § 88
Fernmeldegeheimnis
Ansicht ist indessen vom LAG nicht tragfähig begründet1 und den oben bei Rz. 15 genannten Zweifeln ausgesetzt. – Mehrere Urteile stellen darauf ab, dass der Schutz des Fernmeldegeheimnisses mit dem Zugang ende, da die Nachrichten dann in den Herrschaftsbereich des Empfängers gelangt seien2. Diese Argumentation sieht sich aber dem Einwand ausgesetzt, dass auf Systemen des Arbeitgebers gespeicherte E-Mails sich tatsächlich nicht vollständig im Herrschaftsbereich des Arbeitnehmers befinden3. Die entschiedenen Fälle zeichneten sich gerade dadurch aus, dass Arbeitgeber sich ohne Mitwirkung der Beschäftigten Zugriff auf deren E-Mails verschafft hatten. Deshalb wirken die diesbezüglichen Passagen in den zitierten Urteilen gekünstelt, wenn argumentiert wird, dass die E-Mails aufgrund der Sicherung der Mailbox mit Passwort im Herrschaftsbereich des Empfängers angekommen seien. Tragfähig kann diese Argumentation deshalb allenfalls dann sein, wenn der Arbeitgeber auf Dateien zugreift, welche die Mitarbeiter tatsächlich kontrollieren und zum Beispiel um private Nachrichten bereinigen konnten4. Umgekehrt kann diese Argumentation nicht verlässlich helfen, wenn Nachrichten von einem zentralen E-Mail-Server, der nicht von den betroffenen Mitarbeitern kontrolliert wird, abgerufen werden. – Härting argumentiert, Arbeitnehmer und Kommunikationspartner würden bei E-Mail-Verkehr über dienstliche E-Mail-Postfächer (also etwa [email protected]) eine konkludente Einwilligung in die Kenntnisnahme durch den Arbeitgeber erteilen. Denn beide rechneten damit, dass auch der Arbeitgeber vom Inhalt der Nachrichten erfährt5. Richtig ist daran, dass dienstliche Nachrichten von beiden Seiten auch für den Arbeitgeber gedacht sind. Deshalb dürfte es auch zu den arbeitsvertraglichen Pflichten gehören, dem Arbeitgeber den dienstlichen E-Mail-Verkehr nicht vorzuenthalten. Allerdings geht 1 Siehe nur Fülbier/Splittgerber, NJW 2012, 1995 (1999), Fischer, ZD 2012, 265 (268) sowie Störing, Urteilsanmerkung, CR 2011, 614. 2 So das LAG Berlin-Brandenburg als Alternativbegründung im Urt. v. 16.2.2011 – 4 Sa 2132/10, NZA-RR 2011, 342 (343 f.) sowie LAG Niedersachsen v. 31.5.2010 – 12 Sa 875/10, NZA-RR 2010, 406 (408) unter Berufung auf VGH Kassel v. 19.5.2009 – 6 A 2672/08, NRW 2009, 2470 (2471) und aus der Literatur etwa Fischer, ZD 2012, 265 (269) sowie Stamer/Kuhnke, § 32 Rz. 104 ff. 3 So Heun/Eckhardt, Teil L Rz. 89 und Störing, CR 2011, 616. 4 Das VG Frankfurt (Vorinstanz des VGH Kassel in o.g. Fall) ging ersichtlich von einer derartigen Konstellation aus, siehe VG Frankfurt v. 6.11.2008 – 1 K 628/08, WM 2009, 948 (950) unter Rz. 31. 5 Härting, CR 2007, 311 (312, 313).
1080 Jenny
Fernmeldegeheimnis
§ 88 TKG
mit dieser Argumentation einher, dass das Fernmeldegeheimnis im Arbeitsverhältnis zu einem „Fernmeldegeheimnis light“1 reduziert wird. Das Fernmeldegeheimnis gilt zwar, aber hindert den Arbeitgeber nicht, Nachrichten zur Kenntnis zu nehmen, soweit es für betriebliche Zwecke erforderlich ist. Im Ergebnis gelten dann die Maßstäbe des § 32 Abs. 1 BDSG, der aber nicht dem „kleinen Zitiergebot“ des § 88 Abs. 3 Satz 3 TKG genügt. Dennoch erscheint dieser Argumentationsansatz als der Beste. Er hat sich allerdings bislang noch nicht durchgesetzt und wurde leider auch von der Rechtsprechung in den einschlägigen Fällen noch nicht aufgegriffen. Als Fazit bleibt festzuhalten, dass eine vollends überzeugende Lösung 23 der Problematik bislang nicht existiert und wohl angesichts der Gesetzeslage, die zwar einerseits anscheinend die Geltung des Fernmeldegeheimnisses anordnet, aber andererseits keine ausdrückliche Regelung für die vorliegende Konstellation trifft2, auch nicht entwickelt werden kann. Als praktische Lösung scheint es ratsam, entweder vorsichtshalber die private E-Mail-Nutzung zu verbieten oder die Arbeitnehmer aufzufordern, private Nachrichten nach Versand bzw. Kenntnisnahme unverzüglich aus ihren Postfächern zu entfernen. Wenn ohne Mitwirkung oder gegen den Willen von Arbeitnehmern auf ihre Nachrichten zugegriffen wird, sollte der Zugriff nicht über einen zentralen E-Mail-Server erfolgen, sondern über die Postfächer der Mitarbeiter. Denn dann kann man sich auf die oben referierten Entscheidungen berufen und argumentieren, dass die Nachrichten im Herrschaftsbereich der Mitarbeiter angekommen sind und somit nicht mehr dem Fernmeldegeheimnis unterliegen. VIII. Sonderregelung für Luft- und Seeverkehr (Abs. 4) Diese Regelung erlaubt es dem Bordfunker, den Flug- oder Schiffskapitän über den Inhalt des Funkverkehrs zu informieren. Die Regelung ist Ausdruck der Einschätzung des Gesetzgebers, der Kapitän müsse allen sicherheitsrelevanten Funkverkehr kennen3. Da allerdings der Bordfunk selbst mangels Drittbezug kein Telekommunikationsdienst ist, kann man an der Erforderlichkeit der Regelung zweifeln4. 1 Diesen Ausdruck prägt Härting im Zusammenhang mit der Entscheidung des BVerfG zum Zugriff auf E-Mail beim Diensteanbieter (BVerfG v. 16.6.2009 – 2 BvR 902/06, NJW 2009, 2431 = CR 2009, 584) in CR 2009, 581 (583). 2 Zu Recht kritisiert dies z.B. Störing, CR 2011, 614. 3 Siehe zuletzt BT-Drucks. 17/7521, S. 118 auch bezüglich der Ausweitung auf Binnenschiffe mit dem Gesetz vom 3.5.2012. 4 So Scheurle/Mayen/Zerres, § 88 Rz. 33.
Jenny
1081
24
TKG § 88
Fernmeldegeheimnis
IX. Rechtsfolgen/Sanktionen 25 § 206 StGB stellt die Verletzung des Fernmeldegeheimnisses unter Strafe. Allerdings ist die Vorschrift insoweit enger als § 88 TKG, als sie die bloße unerlaubte Kenntnisnahme nicht erfasst, sondern erst die Weitergabe geschützter Informationen an Dritte. Weiter als § 88 ist dafür § 206 Abs. 2 Nr. 2 StGB, der auch das Unterdrücken von Sendungen unter Strafe stellt, während § 88 TKG und auch Art. 10 GG dies nicht regeln. Je nach Sachverhalt würde eine Unterdrückung von Nachrichten durch Diensteanbieter sich telekommunikationsrechtlich als Vertragsverstoß darstellen, der nach § 206 Abs. 2 Nr. 2 StGB sanktioniert werden kann. 26 Die Staf- und Bußgeldvorschriften des TKG enthalten darüber hinaus keine Sanktionstatbestände für Verstöße gegen § 88. Einzelne datenschutzrechtliche Verhaltenspflichten im Zusammenhang mit Verkehrsdaten sind aber bußgeldbewehrt. Dazu sei auf die Einzelkommentierung der §§ 90 ff. TKG verwiesen. Außerdem enthält § 115 TKG eine umfassende Rechtsgrundlage für Anordnungen zur Durchsetzung von Pflichten nach dem 7. Teil des Gesetzes (Fernmeldegeheimnis, Datenschutz, Öffentliche Sicherheit). Schließlich verschafft § 44 TKG dem Betroffenen bei Verstößen gegen § 88 TKG Ansprüche auf Unterlassung und Schadensersatz, wobei in schweren Fällen auch an Schmerzensgeld zu denken wäre1. X. Verweise/Kontext 27 Weitere Verhaltensregeln und Einschränkungen des Fernmeldegeheimnisses finden sich im TKG außer im 7. Teil noch punktuell in der Vorschrift des § 64 TKG. Danach dürfen sich Bedienstete der Bundesnetzagentur bei der Überwachung von Frequenznutzungen Kenntnisse von den näheren Umständen eines Telekommunikationsvorgangs verschaffen und in besonderen Fällen auch Aussendungen abhören. 28 Daneben existieren weitere Ermächtigungsnormen für Eingriffe in das Fernmeldegeheimnis zu Zwecken der öffentlichen Sicherheit, Strafverfolgung und für die Nachrichtendienste. Zu nennen sind insoweit als praktisch wichtigste Vorschriften die Strafprozessordnung (§§ 98, 100a ff.) und das Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (sog. Artikel 10-Gesetz – G 10). Für Näheres dazu sei hier auf die Fachliteratur zum Strafprozessrecht verwiesen. 1 BeckTKGKomm/Bock, § 88 Rz. 62.
1082 Jenny
§ 91 TKG
Anwendungsbereich
Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsanlagen
89
[nicht kommentiert]
Missbrauch von Sende- oder sonstigen Telekommunikationsanlagen
90
[nicht kommentiert]
Abschnitt 2 Datenschutz Anwendungsbereich (1) 1Dieser Abschnitt regelt den Schutz personenbezogener Daten der Teilnehmer und Nutzer von Telekommunikation bei der Erhebung und Verwendung dieser Daten durch Unternehmen und Personen, die geschäftsmäßig Telekommunikationsdienste in Telekommunikationsnetzen, einschließlich Telekommunikationsnetzen, die Datenerfassungs- und Identifizierungsgeräte unterstützen, erbringen oder an deren Erbringung mitwirken. 2Dem Fernmeldegeheimnis unterliegende Einzelangaben über Verhältnisse einer bestimmten oder bestimmbaren juristischen Person oder Personengesellschaft, sofern sie mit der Fähigkeit ausgestattet ist, Rechte zu erwerben oder Verbindlichkeiten einzugehen, stehen den personenbezogenen Daten gleich.
91
(2) Für geschlossene Benutzergruppen öffentlicher Stellen der Länder gilt dieser Abschnitt mit der Maßgabe, dass an die Stelle des Bundesdatenschutzgesetzes die jeweiligen Landesdatenschutzgesetze treten. I. Einführung . . . . . . . . . . . . . . . .
1
II. Verpflichtete Personen . . . . . .
4
III. Geschützter Personenkreis . .
7
IV. Geregelte Sachverhalte/ Abgrenzung zu Telemedien-Datenschutz . . . . . . . . . .
9
V. Rückgriff auf allgemeines Datenschutzrecht . . . . . . . . . . 12
VI. Datenverarbeitung im Auftrag durch und für Diensteanbieter . . . . . . . . . . . . . . . . . . . 14 1. Telekommunikationsunternehmen als Auftragsdatenverarbeiter . . . . . . . . . . . . . . . . . 14 2. Auftragsdatenverarbeitung für Telekommunikationsunternehmen . . . . . . . . . . . . . . 18
Jenny
1083
TKG § 91
Datenschutz
Schrifttum: Eckhardt/Schmitz, Datenschutz in der TKG-Novelle, CR 2012, 436; Ohlenburg, Der neue Telekommunikationsdatenschutz – Eine Darstellung von Teil 7 Abschnitt 2 TKG, MMR 2004, 431; Pokutnev/Schmid, Die TKG-Novelle 2012 aus datenschutzrechtlicher Sicht, CR 2012, 360; Schmitz, Telefonanlagenfunktionen „im Netz“ des TK-Providers – Vertragsgestaltung unter einer datenschutzrechtlichen Gemengelage nach TKG, TMG und BDSG, ZD 2011, 104.
I. Einführung 1 Die Norm legt den Anwendungsbereich der bereichsspezifischen Datenschutzvorschriften des TKG fest. Sie definiert die insoweit verpflichteten und betroffenen Personen und erweitert dabei für Angaben, die dem Fernmeldegeheimnis unterliegen, den Schutz auf juristische Personen und Personengesellschaften, für die ansonsten das Datenschutzrecht nicht gilt (vgl. § 3 Abs. 1 BDSG). 2 Ihren heutigen Wortlaut hat die Norm durch das Gesetz zur Änderung telekommunikationsrechtlicher Vorschriften vom 3.5.2012 erhalten. In das TKG selbst übernommen wurden die bereichsspezifischen Datenschutzvorschriften mit dem TKG vom 22.6.2004. Unter dem vorigen TKG1 waren die bereichsspezifischen Datenschutzvorschriften noch auf die Verordnungsebene delegiert und nacheinander in mehreren Verordnungen2 geregelt, wobei sich die Grundzüge bereits auf die erste TDSV aus 1991 zurückführen lassen. 3 In unionsrechtlicher Hinsicht wird der bereichsspezifische Telekommunikations-Datenschutz maßgeblich durch die Datenschutzrichtlinie für elektronische Kommunikation3 geprägt, die auch einzelne Begriffsbestimmungen vorgibt. Darauf wird nachfolgend am jeweils einschlägigen Ort eingegangen.
1 Telekommunikationsgesetz v. 25.7.1996 (BGBl. I, S. 1120), nachfolgend als „TKG-1996“ bezeichnet. 2 Erst in der Verordnung über den Datenschutz bei Dienstleistungen der Deutschen Bundespost TELEKOM (TELEKOM-Datenschutzverordnung – TDSV) aus 1991 (BGBl. I, S. 1390), dann durch die Telekommunikationsdienstunternehmen-Datenschutzverordnung – TDSV v. 12.7.1996 (BGBl. I, S. 982) und schließlich durch die Telekommunikations-Datenschutzverordung – TDSV v. 18.12.2000 (BGBl I, S. 1740). 3 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates v. 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, Amtsblatt Nr. L 201 vom 31.7.2002 S. 0037–0047, zuletzt geändert durch Art. 2 ÄndRL 2009/136/EG v. 25.11.2009 (ABl. Nr. L 337, S. 11).
1084 Jenny
Anwendungsbereich
§ 91 TKG
II. Verpflichtete Personen Die bereichsspezifischen Datenschutzregeln des Telekommunikations- 4 rechts gelten nach Abs. 1 Satz 2 für „Unternehmen und Personen, die geschäftsmäßig Telekommunikationsdienste in Telekommunikationsnetzen, einschließlich Telekommunikationsnetzen, die Datenerfassungsund Identifizierungsgeräte unterstützen, erbringen oder an deren Erbringung mitwirken.“ „Geschäftsmäßiges Erbringen von Telekommunikationsdiensten“ ist in § 3 Nr. 10 TKG als das „nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht“ definiert. Wer dies tut oder daran mitwirkt wird in § 3 Nr. 6 als „Diensteanbieter“ bezeichnet. Im Ergebnis gilt der Telekommunikationsdatenschutz damit für alle Diensteanbieter i.S.d. Gesetzes1. Der Anwendungsbereich deckt sich damit mit dem des Fernmeldegeheimnisses in § 88, so dass auf die Erläuterungen dazu (Rz. 13 bis 17) verwiesen werden kann. Dies gilt nach wohl h.M. auch für die Einbeziehung von Arbeitgebern bzw. Dienstherren in den Kreis der Verpflichteten, wenn sie ihren Beschäftigten die private Nutzung gestatten2. Der Satzteil „in Telekommunikationsnetzen, einschließlich Telekom- 5 munikationsnetzen, die Datenerfassungs- und Identifizierungsgeräte unterstützen“ wurde durch das Gesetz vom 3.5.2012 in die Norm eingefügt. Er könnte dahingehend missverstanden werden, dass nur solche Diensteanbieter, die ihre Dienste in selbst kontrollierten Netzen erbringen, von der Vorschrift erfasst wären. Diese Möglichkeit zur Fehlinterpretation entsteht durch die nachträgliche Einfügung des Satzteils. Die Einfügung soll jedoch klarstellen, dass die Datenschutzvorschriften des TKG auch für solche Netze gelten, die „Datenerfassungs- und Identifizierungsgeräte unterstützen“3. Gemeint ist hier unter anderem die RFID-Technologie4, die in der Gesetzesbegründung genannt wird5. Dies geht zurück auf den geänderten Art. 3 EG-Datenschutzrichtlinie für
1 2 3 4
Vgl. nur Heun/Eckardt, Teil L Rz. 154. Siehe Heun/Eckhardt, Teil L Rz. 156. Siehe Pokutnev/Schmid, CR 2012, 360 (362). Definition nach der vom Bundeswirtschaftsministerium geförderten Website www.rfdiatlas.de: „RFID ist eine Technologie für die berührungslose Datenübertragung auf der physikalischen Basis elektromagnetischer Wechselfelder, also Radiowellen. Herzstück der RFID-Technologie ist ein RFID-Transponder. Dieser winzige Computerchip mit Antenne wird auf verschiedenen Objekten angebracht und enthält einen Nummerncode, zum Beispiel den Elektronischen Produktcode. Gelesen wird der Zahlencode mit einem Lesegerät.“ 5 BT-Drucks. 17/5707, S. 79.
Jenny
1085
TKG § 91
Datenschutz
elektronische Kommunikation, wobei in Erwägungsgrund Nr. 56 der Änderungsrichtlinie1 ebenfalls auf RFID abgestellt wird. Eine Verengung des Anwendungsbereichs von § 91 Abs. 1 Satz 1 mit einem Ausschluss von Resellern aus dem Anwendungsbereich war demnach also nicht beabsichtigt2. Ob die Einfügung den Anwendungsbereich tatsächlich erweitert, ist ebenfalls anzuzweifeln. Denn es bleibt dabei, dass nur wer nachhaltig Telekommunikation für Dritte anbietet dem Anwendungsbereich unterliegt, was etwa bei einem selbst betriebenen RFID-System nicht der Fall wäre. Und wer einen Dritten das dazugehörige Funknetz betreiben ließe, wäre selbst geschützter Nutzer und nicht an den TKGDatenschutz gebunden3. 6 Hinzuweisen ist darauf, dass einzelne Vorschriften des Abschnitts 2 von Teil 7 des TKG auch Dienste regeln, die keine Telekommunikationsdienste im engeren Sinne sind. Dies gilt etwa für das Erteilen von Auskünften nach § 105 oder auch für mithilfe von Standortdaten nach § 98 bereitgestellte Dienste mit Zusatznutzen. Auskunftsdienste4 werden in § 3 Nr. 2a des Gesetzes definiert, Dienste mit Zusatznutzen5 in § 3 Nr. 5. Beides sind sog. telekommunikationsgestützte Dienste6 i.S.d. § 3 Nr. 257 oder Telemediendienste8, jedoch keine Telekommunikationsdienste, weil ihr Schwerpunkt nicht in der Signalübermittlung liegt. Näheres dazu bei § 98 und § 105. 1 Richtlinie 2009/136/EG v. 25.11.2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz, ABl. EG NR. L 337 v. 18.12.2009 S. 11 (29). 2 So auch Eckhardt/Schmitz, CR 2011, 436 (438). 3 Eckhardt/Schmitz, CR 2011, 436 (437). 4 „bundesweit jederzeit telefonisch erreichbare Dienste, insbesondere des Rufnummernbereichs 118, die ausschließlich der neutralen Weitergabe von Rufnummer, Name, Anschrift sowie zusätzlichen Angaben von Telekommunikationsnutzern dienen. Die Weitervermittlung zu einem erfragten Teilnehmer oder Dienst kann Bestandteil des Auskunftsdienstes sein.“ 5 „jeder Dienst, der die Erhebung und Verwendung von Verkehrsdaten oder Standortdaten in einem Maße erfordert, das über das für die Übermittlung einer Nachricht oder die Entgeltabrechnung dieses Vorganges erforderliche Maß hinausgeht.“ 6 Spindler/Schuster/Holznagel/Ricke, § 3 TKG Rz. 36. 7 „Dienste, die keinen räumlich und zeitlich trennbaren Leistungsfluss auslösen, sondern bei denen die Inhaltsleistung noch während der Telekommunikationsverbindung erfüllt wird.“ 8 So für Location Based Services Heun/Eckhardt Teil L Rz. 152.
1086 Jenny
Anwendungsbereich
§ 91 TKG
III. Geschützter Personenkreis Die Datenschutzvorschriften des TKG schützen Teilnehmer und Nut- 7 zer. Beides sind im TKG in § 3 Nr. 14 und Nr. 20 legaldefinierte Begriffe1, wobei die Definitionen aus Art. 2 Rahmenrichtlinie2 stammen. Teilnehmer ist, wer Telekommunikation aufgrund Vertrag mit einem Dienstanbieter verwendet, d.h. der Kunde, Nutzer jeder sonstige Anwender3. Ähnlich wie bei dem oben bei Rz. 5 angesprochen Satzteil zu Telekommunikationsnetzen hat das Gesetz vom 3.5.2012 beide Legaldefinitionen ergänzt und damit Unklarheiten verursacht. Hinzugekommen ist bei beiden Definitionen die Bezugnahme auf „öffentlich zugängliche Telekommunikationsdienste“ i.S.d. neuen § 3 Nr. 17a4 anstelle von Telekommunikationsdiensten. Dies lässt sich so verstehen, dass nur noch Anwender öffentlich angebotener Dienste dem TKG-Datenschutz unterfallen sollen. Dies ist jedoch aus teleologischen Erwägungen abzulehnen; auch Anwender von Diensten, die nicht öffentlich angeboten werden (insbesondere Firmennetzwerke usw.) bleiben vom bereichsspezifischen Datenschutz des TKG geschützt5. Die Legaldefinitionen von Teilnehmer und Nutzer umfassen auch juris- 8 tische Personen, wobei dies bei der Definition von Nutzer als weitere Änderung mit dem Gesetz vom 3.5.2012 eingeführt wurde. Auch dies
1 § 3 Nr. 14: „Nutzer“ [ist] jede natürliche oder juristische Person, die einen öffentlich zugänglichen Telekommunikationsdienst für private oder geschäftliche Zwecke in Anspruch nimmt oder beantragt, ohne notwendigerweise Teilnehmer zu sein. § 3 Nr. 20: „Teilnehmer“ [ist] jede natürliche oder juristische Person, die mit einem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten einen Vertrag über die Erbringung derartiger Dienste geschlossen hat. 2 Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7.3.2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (ABl. Nr. L 108 S. 33), zuletzt geändert durch Art. 1 ÄndRL 2009/140/EG vom 25.11.2009 (ABl. Nr. L 337 S. 37). Als besondere Pointe enthält die Datenschutzrichtlinie für elektronische Kommunikation in Art. 1 eine eigenständige Definition von „Nutzer“, wo nur natürliche Personen genannt werden. 3 Heun/Eckhardt, Teil L Rz. 111. 4 § 3 Nr. 17a: „ ‚öffentlich zugängliche Telekommunikationsdienste‘ der Öffentlichkeit zur Verfügung stehende Telekommunikationsdienste.“ 5 Wie hier Pokutnev/Schmid, CR 2012, 360 (361). Zweifelnd bezüglich des Schutzes von Teilnehmern nicht-öffentlicher Netze allerdings Eckhardt/ Schmitz, CR 2011, 436 (437), die im Übrigen absolut zu Recht die Verworrenheit der Definitionen kritisieren.
Jenny
1087
TKG § 91
Datenschutz
beruht auf der Rahmenrichtlinie1. Dies könnte zu der Fehlannahme verleiten, dass der Telekommunikationsdatenschutz umfassend auch für juristische Personen gelten soll. Indessen sind nach Satz 1 nur personenbezogene Daten geschützt, was i.S.v. § 3 Abs. 1 BDSG zu verstehen ist, so dass von Satz 1 nur natürliche Personen erfasst werden2. Der Schutz juristischer Personen und rechtsfähiger Personengesellschaften ergibt sich vielmehr weiterhin aus Abs. 1 Satz 2. Danach stehen dem Fernmeldegeheimnis unterfallende Einzelangaben bestimmter oder bestimmbarer juristischer Personen und Personengesellschaften den personenbezogenen Daten gleich. Damit fallen die Bestandsdaten von juristischen Personen und Personengesellschaften aus dem Schutz der datenschutzrechtlichen Vorschriften heraus3, während alle Daten zu konkreten Kommunikationsvorgängen als nähere Umstände der Telekommunikation geschützt sind. IV. Geregelte Sachverhalte/Abgrenzung zu Telemedien-Datenschutz 9 Diensteanbieter und damit nach dem oben bei Rz. 4 ff. Gesagten dem Telekommunikations-Datenschutz unterworfen ist, wer ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt (§ 3 Nr. 6). Geschäftsmäßiges Erbringen von Telekommunikationsdiensten ist das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht (§ 3 Nr. 10). Telekommunikation ist gemäß § 3 Nr. 22 der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen, also technischen Einrichtungen oder Systemen, die als Nachrichten identifizierbare eletromagnetische oder optische Signale senden, übertragen, vermitteln, empfangen, steuern oder kontrollieren können (§ 3 Nr. 23). Zusammengefasst lässt sich sagen, dass Diensteanbieter Anderen das Senden und Empfangen von Nachrichten mittels fernmeldetechnischer Mittel anbieten. Mitwirkende sind Beschäftigte und sons1 Als besondere Pointe enthält die Datenschutzrichtlinie für elektronische Kommunikation in Art. 1 eine eigenständige Definition von „Nutzer“, wo nur natürliche Personen genannt werden. Der Gesetzgeber musste jedoch die Definition aus der Rahmenrichtlinie umsetzen, da der Begriff Nutzer wie auch der Begriff Teilnehmer im TKG noch mehrmals in anderen Zusammenhängen verwendet wird. Vielleicht wäre es besser gewesen, in einem der zwei Anwendungsfälle den Begriff Nutzer beispielsweise durch „Anwender“ oder „Benutzer“ zu ersetzen. 2 Siehe Pokutnev/Schmid, CR 2012, 360 (361) und Eckhardt/Schmitz, CR 2011, 436 sowie zum alten Recht Heun/Eckardt, Teil L Rz. 113. 3 Heun/Eckardt, Teil L Rz. 116.
1088 Jenny
Anwendungsbereich
§ 91 TKG
tige (externe) Erfüllungsgehilfen von Diensteanbietern1. Daraus lässt sich ableiten, dass der Telekommunikations-Datenschutz dann und soweit gilt, wie Nachrichten Dritter fernmeldetechnisch transportiert werden, wenn dies nicht nur vorübergehend angeboten wird. Da aber Telemedien und auch Rundfunk auf der telekommunikativen 10 Übermittlung von Nachrichten beruhen, ist eine Abgrenzung vorzunehmen. Reine Telekommunikationsdienste, d.h. Dienste, die ausschließlich Signalübertragung umfassen, und telekommunikationsgestützte Dienste unterfallen dabei von vornherein nicht dem TMG, sondern nur dem TKG (§ 1 Abs. 1 TMG). Telemediendienste, die überwiegend in der Signalübertragung über Telekommunikationsnetze bestehen, unterliegen nur stark eingeschränkt den Datenschutzvorschriften des TMG (§ 11 Abs. 3 TMG), ansonsten vollumfänglich dem TKG. Die Differenzierung kann damit vorgenommen werden zwischen erstens der fernmeldetechnischen Nachrichtenübermittlung (TKG), zweitens den mithilfe von Telekommunikation angebotenen Diensten (TMG) und drittens den zur Verfügung gestellten Inhalten (BDSG)2. TMG-Dienste und Inhalte unterliegen außerdem aus Sicht des TKG-Diensteanbieters als Inhalte von Telekommunikation dem Fernmeldegeheimnis, was aber nicht bedeutet, dass deren Anbieter das Fernmeldegeheimnis zu waren hätten; das Gegenteil ist der Fall (siehe oben § 88 Rz. 16). Gängige Einzelfälle und Dienste sind danach wie folgt zu würdigen3: – Telekommunikation sind (reiner) Internet-Zugang, IP-Nummern4, Voice-over-IP-Telefonie über das Internet und die Transport-Funktionalität von E-Mail. – Location Based Services sollen nach Eckhardt dem TMG unterfallen, wobei je nach Gestaltung aber auch eine Betrachtung als telekommunikationsgestützter Dienst denkbar ist. – Die Anwendungsebene von E-Mails, d.h. die Benutzeroberfläche zur inhaltlichen Aufbereitung, ist dem TMG zuzuweisen.
1 Taeger/Gabel/Munz, § 91 TKG Rz. 9. 2 Siehe Taeger/Gabel/Munz, § 91 TKG Rz. 7 und Heun/Eckhardt, Teil L Rz. 126. 3 Siehe Taeger/Gabel/Moos, § 11 TMG Rz. 30 ff.; Taeger/Gabel/Munz, § 91 TKG Rz. 7 und Heun/Eckardt, Teil L Rz. 147 ff. jeweils m.w.N. 4 IP-Nummern sind übrigens auch Nummern i.S.v. §§ 3 Nr. 13, 66 ff. TGK, siehe Heun/Jenny, Teil E Rz. 4.
Jenny
1089
11
TKG § 91
Datenschutz
V. Rückgriff auf allgemeines Datenschutzrecht 12 Neben den bereichsspezifischen Regeln des TKG sind auch die Bestimmungen des BDSG anwendbar. Das folgt aus § 1 Abs. 3 BDSG1. In ihrem spezifischen Anwendungsbereich verdrängen dabei die Erlaubnistatbestände die allgemeineren Tatbestände des BDSG. Aus dem BDSG anwendbar sind die §§ 1–11 sowie 19–21 bzw. 33–352. Demgegenüber werden die Rechtsgrundlagen der Datenverarbeitung nach §§ 12–18 bzw. 27–32 BDSG für die nach TKG geschützten Daten durch die dafür geltenden Sondervorschriften verdrängt. Dies dürfte entgegen Munz3 auch für § 32 BDSG gelten, soweit im Beschäftigungsverhältnis die private Nutzung betrieblicher Telekommunikationsanlagen gestattet ist (vgl. oben Rz. 4). Denn dann sind die Beschäftigten Nutzer von geschäftsmäßig erbrachten Telekommunikationsdiensten, so dass für ihre Bestands- und Verkehrsdaten die Bestimmungen des TKG gelten. Das soll allerdings nicht heißen, dass dann für die ganze Personalakte § 95 TKG gelten würde; das wäre abwegig, denn die Personalakte wird nicht geführt, um den Beschäftigten Telekommunikationsdienste zur Verfügung zu stellen. 13 Für geschlossene Benutzergruppen öffentlicher Stellen der Länder gilt eine Sonderregel nach Abs. 2, wonach bei ihnen nicht das BDSG, sondern das jeweilige Landesdatenschutzgesetz zur Anwendung kommt. Grund hierfür ist, dass für öffentliche Stellen der Länder generell nicht das BDSG gilt, sondern die Sonderdatenschutzgesetze (siehe § 1 Abs. 2 Ziff. 2 BDSG). Mit dem Begriff der geschlossenen Benutzergruppe werden Dienste und Netze bezeichnet, die sich nicht an beliebige Teilnehmer richten, sondern nur einer vordeterminierten Gruppe potentieller Kunden angeboten werden. Beispiele wären der Betrieb eines Konzernnetzes durch eine KonzernIT GmbH, die allen Konzerngesellschaften ihre Dienste anbietet oder auch ein Netz ausschließlich für alle Schulen in einem Bundesland. Solche Netze bzw. Dienste können auch Übergänge in öffentliche Netze haben, sind aber dann öffentlich4. Die vorliegen1 Siehe Ohlenburg, MMR 2004, 431 (432); Heun/Eckhardt, Teil L Rz. 160; Taeger/Gabel/Munz, § 91 TKG Rz. 4. 2 Taeger/Gabel/Munz, § 91 TKG Rz. 4. 3 Taeger/Gabel/Munz, § 91 TKG Rz. 5. 4 Siehe zum Begriff Heun, Teil A Rz. 57 und Heun/Eckardt, Teil B Rz. 22 ff. Wenn beide sich gegen die Möglichkeit von Übergängen in öffentliche Netze aussprechen, ist das wohl so zu verstehen, dass ein Übergang das Netz bzw. den Dienst zu einem öffentlichen macht. Anders als nach dem TKG-1996 ist jedoch nach dem TKG-2004 ein Gegensatz zwischen öffentlichen Netzen und
1090 Jenny
Anwendungsbereich
§ 91 TKG
de Ausnahmebestimmung war schon in § 1 Abs. 2 der TDSV1 enthalten und es ist nicht ersichtlich, dass der Gesetzgeber den damaligen Rechtszustand2, der den Übergang zu öffentlichen Netzen und Diensten erlaubte, ändern wollte. Zudem sind manche Regeln zu geschlossenen Benutzergruppen im 2. Abschnitt von Teil 7 des TKG nur plausibel, wenn die diesbezüglichen Netze einen Übergang in öffentliche Netze aufweisen3. VI. Datenverarbeitung im Auftrag durch und für Diensteanbieter 1. Telekommunikationsunternehmen als Auftragsdatenverarbeiter In jüngerer Zeit ist in der Beratungspraxis eine Zunahme von Anfragen 14 zum Thema Auftragsdatenverarbeitung durch Telekommunikationsunternehmen zu beobachten. Typischer Fall ist die Forderung großer Kunden (etwa Unternehmen für deren Firmennetzwerk oder auch Anbieter von Telemediendiensten) an ihre Telekommunikationsdienstleister, einen Vertrag nach § 11 BDSG abzuschließen. In manchen Fällen geschieht dies zwar unreflektiert, etwa wenn wie bei allen IT-Beschaffungsvorgängen ein Mustervertrag nach § 11 BDSG Teil der Ausschreibungsunterlagen ist, aber in anderen Fällen fällt es den Telekommunikationsunternehmen schwerer, sich diesem Ansinnen zu verschließen. Allerdings ist die Einordnung mancher Grenzfälle in der Praxis noch ungeklärt und Stellungnahmen in der Fachliteratur sind noch dünn gesät4. Zugleich handelt es sich hierbei um eine den TK-Datenschutz übergreifende Thematik, die auch mit dem Anwendungsbereich der bereichsspezifischen Vorschriften zusammenhängt, so dass eine Darstellung an dieser Stelle angezeigt ist. Ausgelöst wird die zunehmende Bedeutung des Themas zum einen 15 durch die nach den bekannten Datenschutzskandalen gestiegene Sensibilität der Kunden, zum anderen durch die Ausdehnung der Angebots-
1 2 3
4
Diensten einerseits und solchen für geschlossene Benutzergruppen andererseits nicht mehr vorhanden. Der Begriff taucht nur noch beim TK-Datenschutz auf. Telekommunikations-Datenschutzverordung – TDSV vom 18.12.2000 (BGBl I, S. 1740). Dazu Heun, Teil A Rz. 56. Beispiel § 102 Abs. 3, der geschlossene Benutzergruppen von Pflichten im Zusammenhang mit Werbeanrufen ausnimmt. Es erscheint wenig plausibel, dass gerade für den seltenen Fall unerwünschter konzerninterner Belästigung mit Werbeanrufen eine Regelung getroffen werden sollte. Zu erwähnen ist insoweit Schmitz, ZD 2011, 104.
Jenny
1091
TKG § 91
Datenschutz
portfolios seitens der Telekommunikationsunternehmen. So werden inzwischen von diesen neben klassischen Telekommunikationsangeboten auch Dienste wie der Betrieb von Helpdesks, Leistungen im Bereich ITSicherheit oder auch die technische Betreuung von Endgeräten angeboten. 16 Die Abgrenzung, ob eine Auftragsdatenverarbeitung vorliegt oder das Telekommunikationsunternehmen mit Daten als verantwortliche Stelle umgeht, hat dabei an zwei Grundlinien zu erfolgen. Wo erstens ein Diensteanbieter mit Bestands- und Verkehrsdaten wie von den §§ 91 ff. TKG vorgesehen umgeht, ist er verantwortliche Stelle und nicht Auftragsdatenverarbeiter. Wo umgekehrt die telekommunikaktionsspezifischen Datenschutzvorschriften Grenzen setzen, etwa bei der Übermittlung von Protokolldaten1, kommt nur eine Lösung als Auftragsdatenverarbeitung in Betracht, wobei auf Seiten des Kunden auch immer zu fragen wäre, ob dessen Datenerhebung gerechtfertigt werden kann. Und wo zweitens die Leistung des Telekommunikationsunternehmens in der Übermittlung von Nachrichten bzw. Inhalten besteht, erbringt es Telekommunikationsdienste, nicht jedoch eine Datenverarbeitung im Auftrag des Kunden. Die übermittelten Nachrichten bzw. Inhalte unterliegen dem Fernmeldegeheimnis, was bei einer Tätigkeit als Auftragsdatenverarbeiter nicht der Fall wäre, da der Auftragsdatenverarbeiter eines Telekommunikationsteilnehmers insoweit kein Diensteanbieter i.S.d. TKG ist. 17 Auf dieser Basis lassen sich einige in der Beratungspraxis oder Literatur thematisierte Fälle wie folgt einordnen: – Helpdesk: Mitarbeiter von Kunden melden Störungen und Probleme im Firmennetz. Die Verarbeitung ihrer Daten (etwa Name und Rufnummer) ist dem Diensteanbieter nach § 100 TKG gestattet. Keine Auftragsdatenverarbeitung. – Sprachboxen: Netzseitige Anrufbeantworter und dergleichen. Es handelt sich um einen Telekommunikationsdienst nach § 107 TKG2. – Content Delivery Networks: Hier handelt es sich um Netzwerke, welche die Verteilung von Inhalten in möglichst großer netztopologischer Nähe zum Nutzer ermöglichen sollen, um damit die Ladezeiten von Internet-Inhalten zu verringern. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat in seiner Bewertung der Reichweitenanalyse von Facebook den Standpunkt eingenommen, insoweit handele es sich um eine Auftragsdatenver1 Siehe Schmitz, ZD 2011, 104 (106 f.). 2 BeckTKG-Komm/Wittern, § 107 Rz. 2; Schmitz; ZD 2011, 104 (105).
1092 Jenny
Anwendungsbereich
§ 91 TKG
arbeitung für Facebook, leider jedoch ohne genaue Subsumtion1. Indessen dient ein Content Delivery Network der Übermittlung von Inhalten und damit der Telekommunikation. Der Auftraggeber, typischerweise ein Mediendiensteanbieter wie z.B. Facebook, ist Teilnehmer des Telekommunikationsvorgangs, die Nutzer des Telemedienangebots sind zugleich Nutzer von Telekommunikation. Zudem lassen sich solche Netze als Nachrichtenübermittlungssysteme mit Zwischenspeicherung i.S. § 107 TKG verstehen. Es liegt damit für den Austausch von Inhalten zwischen dem Kunden (also z.B. Facebook) und dessen Nutzern keine Auftragsdatenverarbeitung vor, sondern ein Telekommunikationsdienst. – Betrieb von Routern und sonstigen Endgeräten: In der Praxis tauchen Konstellationen auf, bei denen der Telekommunikationsanbieter den Betrieb von kundenseitig installierten Geräten wie etwa Routern übernimmt. Hier liegt es nahe, an Auftragsdatenverarbeitung bzw. Prüfung oder Wartung von Datenverarbeitungsanlagen nach § 11 Abs. 5 BDSG zu denken. In bestimmten Ausgestaltungen lässt sich diese Aktivität aber auch als Teil des Netzbetriebes verstehen. Wenn der Netzbetreiber den Router bzw. das Gerät vollständig kontrolliert und für die Signalübermittlung steuert, dann übt er damit die Funktionsherrschaft2 über sein Netz aus. In solchen Fällen ist vertraglich auch regelmäßig vorgesehen, dass die Kunden jegliche Einwirkung auf die Geräte zu unterlassen haben. Aus Sicht des Diensteanbieters befinden sich die Geräte dann diesseits der Demarkationslinie zwischen Netz und Kunde. – Betreuung von Geräten bei Kollokation: Bei Kollokations- und Telehousingdiensten wird teilweise auch eine Betreuung der Geräte durch den Dienstleister offeriert. Das Spektrum reicht von einfachen mechanischen Tätigkeiten in Einzelfällen bis zum Systemzugriff. Kollokation als Unterbringung von Geräten in Rechenzentren der Netzbetreiber ist allerdings schon per se keine Telekommunikation. Wo die Gerätebetreuung die Kriterien des § 11 Abs. 5 BDSG erfüllt, also ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden
1 ULD, Reichweitenanalyse, S. 17. 2 Funktionsherrschaft ist ein rechtshistorischer Begriff, der umschreibt, was einen Netzbetreiber ausmacht, nämlich das „Ausüben der rechtlichen und tatsächlichen Kontrolle […] über die Gesamtheit der Funktionen, die zur Erbringung von Telekommunikationsdienstleistungen […] über Telekommunikationsnetze unabdingbar zur Verfügung gestellt werden müssen.“ (§ 3 Nr. 2 TKG-1996).
Jenny
1093
TKG § 91
Datenschutz
kann, muss die Vertragsbeziehung nach § 11 BDSG ausgestaltet werden. – Sicherheitsdienstleistungen: In Erweiterung ihrer Produktportfolios erbringen Telekommunikationsunternehmen zunehmend auch Dienstleistungen auf dem Feld der IT-Sicherheit. Beispiele wären der Betrieb von Firewalls oder auch die Aktualisierung von Virenschutzsoftware auf Kundengeräten. Wenn dabei mit personenbezogenen Daten umgegangen bzw. dies nicht ausgeschlossen werden kann, liegt die Anwendung von § 11 BDSG nahe. Bei einem Bezug zum Netzbetrieb kann indessen auch § 109 Abs. 2 TKG eingreifen, wonach Anbieter öffentlicher Dienste bzw. Betreiber öffentlicher Netze technische Schutzmaßnahmen gegen Störungen von Telekommunikationsnetzen und -diensten treffen müssen. Die Abgrenzung, ob hier noch eine Tätigkeit als Diensteanbieter/Netzbetreiber oder eine ITDienstleistung für Kunden vorliegt, lässt sich vornehmen über die vertragliche Ausgestaltung – was extra berechnet wird ist wohl eher nicht bloßer Netzbetrieb – sowie auch über das Sicherheitskonzept nach § 109 Abs. 4 TKG. Maßnahmen, die dort aufgeführt sind, wären dem Netzbetrieb zuzuordnen. – Protokolldaten: Seitens der Kunden wird gelegentlich der Wunsch nach umfassenden Protokolldaten über ab- und eingehenden Verkehr geäußert. Hier stoßen die Diensteanbieter aus Sicht des TK-Datenschutzes auf das Problem, dass die Verwendung von Verkehrsdaten in § 96 Abs. 2 zum Schutz der Nutzer streng limitiert ist, weil die Daten dem Fernmeldegeheimnis unterliegen. So darf selbst ein Teilnehmer, der für eingehende Anrufe zu zahlen hat, vom Diensteanbieter keinen vollständigen Einzelverbindungsnachweis der eingehenden Anrufe erhalten; die Nummern der Anrufer sind gemäß § 97 Abs. 1 Satz 7 um die letzten drei Stellen zu kürzen. In solcherlei Konstellationen mag eine Ausgestaltung als Auftragsdatenverarbeitung für den Kunden eine Lösung bieten, etwa wenn der Kunde bei abweichender Gestaltung selbst imstande wäre, die betreffenden Daten zu erhalten1. 2. Auftragsdatenverarbeitung für Telekommunikationsunternehmen 18 Bei Berufsgeheimnisträgern wie Ärzten und Anwälten sowie bei Banken und Versicherungen stellt sich die Frage, ob und wie diese Datenver1 Siehe Schmitz, ZD 2011 104 (107), mit dem Beispiel einer Telefonanlage, die eingehende Anrufe protokolliert, soweit die Rufnummer des Anrufers nicht unterdrückt wird.
1094 Jenny
Anwendungsbereich
§ 92 TKG
arbeitungsaufträge erteilen dürfen1. Für die Telekommunikationsbranche wird dies demgegenüber soweit ersichtlich nicht thematisiert, obwohl auch für sie mit dem Fernmeldegeheimnis eine Art strafbewehrtes Berufsgeheimnis besteht. Auch das TKG hilft hier nur begrenzt weiter. Stellenweise (etwa in § 97 Abs. 1 Satz 5) wird § 11 erwähnt, ohne dass klar würde, ob dies ein Sonderfall oder Ausdruck eines allgemeinen Prinzips wäre. Letzteres ist der Fall. Ableiten lässt sich dies daraus, dass Fernmelde- 19 geheimnis und telekommunikationsspezifischer Datenschutz nicht nur für den gelten, der Telekommunikationsdienste erbringt, sondern auch für daran Mitwirkende. Dies umfasst nicht nur Beschäftigte, sondern auch externe Dienstleister. Der Gesetzgeber akzeptiert damit implizit, dass die Erbringung von Telekommunikation eine hochspezialisierte Tätigkeit ist, bei der auch auf externen Sachverstand zurückgegriffen werden muss, etwa bei der Wartung von Netztechnik und IT-Systemen. Im Gegenzug werden die externen Dienstleister wie Erbringer und deren Beschäftigte gesetzlich auf die Wahrung von Fernmeldegeheimnis und Datenschutz verpflichtet.
92
(weggefallen)
Aufgehoben durch Gesetz vom 3.5.2012 (BGBl. I, S. 958). Kommentierung Nach dieser Vorschrift2 galt bei der Übermittlung personenbezogener 1 Daten ins Ausland eine strenge Zweckbindung. Zulässige Zwecke waren lediglich Diensteerbringung, Rechnungsstellung und -versendung sowie Missbrauchsbekämpfung. Die Norm wurde durch das Gesetz vom 3.5.2012 aufgehoben. Motiviert war dies von dem Bestreben, den Telekommunikationssektor mit anderen Branchen gleich zu behandeln3. 1 Siehe oben Plath/Frey, § 11 BDSG Rz. 58 ff., 71 ff., 77 ff. 2 Die Norm lautete: „An ausländische nicht öffentliche Stellen dürfen Diensteanbieter personenbezogene Daten nach Maßgabe des Bundesdatenschutzgesetzes nur übermitteln, soweit es für die Erbringung von Telekommunikationsdiensten, für die Erstellung oder Versendung von Rechnungen oder für die Missbrauchsbekämpfung erforderlich ist.“ 3 BT-Drucks. 17/5707, S. 79.
Jenny
1095
TKG § 93
Datenschutz
Insoweit gelten seitdem uneingeschränkt die Anforderungen bzw. Möglichkeiten nach §§ 4b und 4c BDSG. Praktisch relevant wird hier insbesondere bei internationaler Telekommunikation § 4c Abs. 1 Nr. 2 BDSG, denn für die Schaltung der Verbindungen ist regelmäßig auch eine Übermittlung von Rufnummern bzw. IP-Nummern erforderlich. Der Diensteanbieter darf diese Daten an den ausländischen Zusammenschaltungspartner übermitteln, um die Verbindung herzustellen. Dies war allerdings schon unter Geltung des § 92 TKG möglich, da diese Datenübermittlung zur Diensteerbringung gehörte. Informationspflichten (1) 1Diensteanbieter haben ihre Teilnehmer bei Vertragsabschluss über Art, Umfang, Ort und Zweck der Erhebung und Verwendung personenbezogener Daten so zu unterrichten, dass die Teilnehmer in allgemein verständlicher Form Kenntnis von den grundlegenden Verarbeitungstatbeständen der Daten erhalten. 2Dabei sind die Teilnehmer auch auf die zulässigen Wahl- und Gestaltungsmöglichkeiten hinzuweisen. 3Die Nutzer sind vom Diensteanbieter durch allgemein zugängliche Informationen über die Erhebung und Verwendung personenbezogener Daten zu unterrichten. 4Das Auskunftsrecht nach dem Bundesdatenschutzgesetz bleibt davon unberührt.
93
(2) Unbeschadet des Absatzes 1 hat der Diensteanbieter in den Fällen, in denen ein besonderes Risiko der Verletzung der Netzsicherheit besteht, die Teilnehmer über dieses Risiko und, wenn das Risiko außerhalb des Anwendungsbereichs der vom Diensteanbieter zu treffenden Maßnahme liegt, über mögliche Abhilfen, einschließlich der für sie voraussichtlich entstehenden Kosten, zu unterrichten. (3) Im Fall einer Verletzung des Schutzes personenbezogener Daten haben die betroffenen Teilnehmer oder Personen die Rechte aus § 109a Absatz 1 Satz 2 in Verbindung mit Absatz 2. I. Einführung . . . . . . . . . . . . . . . .
1
II. Allgemeine Informationspflichten nach Abs. 1 . . . . . . .
2
III. Informationspflicht bei Risiken der Netzsicherheit (Abs. 2) . . . . . . . . . . . . . . . . . . .
1096 Jenny
IV. Verletzung des Schutzes personenbezogener Daten (Abs. 3). . . . . . . . . . . . . . . . . . . .
9
V. Rechtsfolgen/Sanktionen . . . . 10 VI. Verweise/Kontext . . . . . . . . . . 11 8
Informationspflichten
§ 93 TKG
Schrifttum: Bäcker, Die Betroffenenauskunft im Telekommunikationsrecht, MMR 2009, 803; Eckhardt/Schmitz, Datenschutz in der TKG-Novelle, CR 2011, 436; Ohlenburg, Der neue Telekommunikationsdatenschutz, MMR 2004, 431; Pokutnev/Schmid, Die TKG-Novelle 2012 aus datenschutzrechtlicher Sicht, CR 2012, 360
I. Einführung Die Vorschrift regelt allgemeine Informationspflichten der Dienstean- 1 bieter gegenüber ihren Teilnehmern und Nutzern1 Absatz 1 enthält generelle Informationspflichten, Absatz 2 spezielle Pflichten im Falle besonderer Risiken einer Verletzung der Netzsicherheit, Absatz 3 mit dem Verweis auf den neuen § 109a eine Rechtsgrundverweisung2 darauf. Absatz 1 der Norm beruht weitgehend auf der Vorläufervorschrift des § 3 Abs. 5 TDSV3. Absatz 2 ist eine fast wörtliche Übernahme von Art. 4 Abs. 2 der Datenschutzrichtlinie für elektronische Kommunikation4. Absatz 3 wurde mit dem Gesetz vom 3.5.2012 geändert und verweist nunmehr auf § 109a, der einen einheitlichen Pflichtenkatalog für die Fälle einer Verletzung des Schutzes personenbezogener Daten schaffen soll5. II. Allgemeine Informationspflichten nach Abs. 1 Diensteanbieter gehen beim Erbringen ihrer Dienstleistungen mit Da- 2 ten ihrer Kunden (Teilnehmer, § 3 Nr. 20) wie auch mit Daten sonstiger am Telekommunikationsverkehr Beteiligter (Nutzer, § 3 Nr. 14) um. Demgemäß bedarf es einer Abstufung der Informationspflichten6. Sätze 1 und 2 der Vorschrift betreffen die Informationspflichten gegenüber Teilnehmern, Satz 3 die Pflichten gegenüber Nutzern. Satz 4 verweist ergänzend auf das Auskunftsrecht nach § 34 BDSG.
1 Zu den Begrifflichkeiten „Diensteanbieter“, „Teilnehmer“ und „Nutzer“ siehe die Kommentierung zu § 91, Rz. 4 und 7 f. 2 Eckhardt/Schmitz, CR 2011, 436 (438). 3 BT-Drucks. 15/2316, S. 88. 4 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, Amtsblatt Nr. L 201 vom 31/07/2002, 0037 – 0047, zuletzt geändert durch Art. 2 ÄndRL 2009/136/EG vom 25.11.2009 (ABl. Nr. L 337, S. 11). 5 Siehe BT-Drucks. 17/5707, S. 79. 6 Ohlenburg, MMR 2004, 431 (432); Heun/Eckhardt, Teil L Rz. 169.
Jenny
1097
TKG § 93
Datenschutz
3 Satz 1 der Vorschrift ist wohl weitgehend selbsterklärend. Teilnehmer sind (spätestens) bei Vertragsschluss über Art, Umfang, Ort und Zweck der Erhebung und Verwendung ihrer personenbezogenen Daten zu unterrichten. Aufgrund der Regelung in § 91 Abs. 1 Satz 2 gilt dies auch für Teilnehmer, die keine natürlichen Personen sind. Die Information erfolgt in der Praxis regelmäßig über einen entsprechenden Abschnitt in den Vertragsformularen bzw. beim Online-Vertragsschluss über ein Hinweisfenster, dessen Kenntnisnahme der Neu-Teilnehmer zu bestätigen hat. Schwierig ist allerdings die Erteilung der Informationen bei Call-byCall-Angeboten. Hier bleibt wohl nur eine Veröffentlichung der Informationen zusammen mit den geltenden AGB im Amtsblatt der BNetzA nach § 305a Nr. 2b) BGB als Lösung1. 4 Sofern der Diensteanbieter Standortdaten2 erhebt und verwendet, hat er darüber zu informieren, welche Arten von Standortdaten für welche Zwecke verarbeitet werden (können) und wie lange diese gespeichert bleiben3. Weiter ist über eine allfällige Übermittlung der Daten an Dritte zur Bereitstellung von Diensten mit Zusatznutzen4 durch diese zu informieren5. 5 Die in Satz 2 angesprochenen Wahl- und Gestaltungsmöglichkeiten beziehen sich im Wesentlichen auf die Gestaltung von Einzelverbindungsnachweisen (§ 99 Abs. 1 Sätze 1 und 2) sowie die Aufnahme in Teilnehmerverzeichnisse (§ 104) und die Modalitäten der Auskunfterteilung über den Teilnehmer (§ 105). Bis zur Einführung der Vorratsdatenspeicherung hatten Teilnehmer außerdem die Option, ihre Verkehrsdaten sofort nach Rechnungsstellung ganz oder teilweise löschen zu lassen 1 So auch BeckTKGKomm/Büttgen, § 93 Rz. 53. 2 Dies sind „Daten, die in einem Telekommunikationsnetz oder von einem Telekommunikationsdienst erhoben oder verwendet werden und die den Standort des Endgeräts eines Endnutzers eines öffentlich zugänglichen Telekommunikationsdienstes angeben“ (§ 3 Nr. 19). 3 So BT-Drucks. 15/2316, S. 88 (dort zu § 91 des Gesetzentwurfs). 4 Das ist „jeder Dienst, der die Erhebung und Verwendung von Verkehrsdaten oder Standortdaten in einem Maße erfordert, das über das für die Übermittlung einer Nachricht oder die Entgeltabrechnung dieses Vorgangs erforderliche Maß hinausgeht“ (§ 3 Nr. 5). 5 BT-Drucks. 15/2316, S. 88. Nach Art 9 Abs. 1 Satz 2 der Datenschutzrichtlinie für elektronische Kommunikation soll dies allerdings nur für Standortdaten gelten, die keine Verkehrsdaten sind („andere Standortdaten als Verkehrsdaten“), also laut Erwägungsgrund 35 der Richtlinie Standortdaten, die genauer sind, als es für die Nachrichtenübermittlung erforderlich wäre. Ob die Gesetzesbegründung des TKG hier bewusst oder unbewusst weitergehende Anforderungen formuliert, ist nicht klar.
1098 Jenny
Informationspflichten
§ 93 TKG
(§ 97 Abs. 4 in der Fassung vom 25.6.2004); diese Option ist jedoch mit der Gesetzgebung zur Vorratsdatenspeicherung entfallen und bislang nicht wieder eingeführt worden. Die Nutzerinformation nach Satz 3 soll an allgemein zugänglicher Stelle publiziert werden. Hier würde sich wohl eine Veröffentlichung auf der Website des Diensteanbieters1 anbieten, und zwar an leicht auffindbarer Stelle2. Die in den Gesetzesmaterialien3 vorgeschlagene Veröffentlichung in Teilnehmerverzeichnissen dürfte demgegenüber häufig daran scheitern, dass viele Diensteanbieter keine solchen Verzeichnisse herausgeben. Adressat der Hinweise ist nicht der einzelne Nutzer, sondern die Nutzerschaft im Allgemeinen. Dementsprechend können die Hinweise auch abstrakter gefasst werden als die nach Satz 14.
6
Satz 4 der Vorschrift verweist ergänzend auf das Auskunftsrecht gem. 7 § 34 BDSG. Bei genauerer Analyse zeigt sich indessen, dass bei der Beauskunftung von Verkehrsdaten Einschränkungen zu machen sind5. Das TKG enthält eine Reihe von Vorschriften, wonach Teilnehmer von Diensteanbietern Informationen zu sie betreffenden Verkehrsdaten verlangen können. Dabei sind in mehrfacher Hinsicht Beschränkungen vorgesehen, um Interessen der Diensteanbieter wie auch der Kommunikationspartner zu wahren. So können Einzelverbindungsnachweise gem. § 45e TKG nur mit Wirkung für die Zukunft verlangt werden. Es sind nur Verbindungen aufzunehmen, für die der Teilnehmer entgeltpflichtig ist. Weiter darf der Einzelverbindungsnachweis nach § 99 Verbindungen zu bestimmten Beratungsstellen nicht ausweisen; dies zum Schutze von Mitbenutzern des Anschlusses. Nur wo eingehende Anrufe vom Teilnehmer zu bezahlen sind, dürfen ihm die Daten der Anrufer zur Verfügung gestellt werden, und auch dann nur in anonymisierter Form mit Kürzung der letzten drei Ziffern der Rufnummern (§ 99 Abs. 1 Satz 7). Weiter gelten für eine sog. Fangschaltung nach § 101 TKG strenge Anforderungen. Und schließlich haben Nutzer im Gegensatz zu Teilnehmern keine Ansprüche nach dem TKG auf Beauskunftung ihrer Verkehrsdaten. All diese Beschränkungen würden ausgehebelt, wenn man Teilnehmern und Nutzern auf Grundlage von § 34 BDSG ein Auskunftsrecht bezüglich ihrer 1 BeckTKGKomm/Büttgen, § 93 Rz. 54. 2 Eine leichte Auffindbarkeit solcher Informationen auf Websites der Diensteanbieter scheint nach den nicht-repräsentativen Feststellungen des Verfassers allerdings nicht üblich zu sein. 3 BT-Drucks. 15/2316, S. 88. 4 Spindler/Schuster/Eckhardt, § 93 Rz. 9. 5 Siehe umfassend zum Thema Bäcker, MMR 2009, 803.
Jenny
1099
TKG § 93
Datenschutz
Verkehrsdaten zuerkennen würde. Deshalb muss man davon ausgehen, dass bei Verkehrsdaten § 34 BDSG von den genannten spezielleren Vorschriften des TKG verdrängt wird. Im Falle der Wiedereinführung der Vorratsdatenspeicherung stünde man dann allerdings vor der Frage, ob eine derartige Beschränkung von Auskunftsansprüchen mit den Grundrechten der Teilnehmer vereinbar wäre1. Dem Gesetzgeber wäre zu raten, ggf. Regelungen zu dieser Thematik vorzusehen. III. Informationspflicht bei Risiken der Netzsicherheit (Abs. 2) 8 Die Regelung in Abs. 2 soll Art 4 Abs. 2 der Datenschutzrichtlinie für elektronische Kommunikation umsetzen, und übernimmt deren Wortlaut fast wörtlich. Angesichts der Vagheit der Tatbestandsmerkmale2, die auch nicht legaldefiniert sind, ist nicht recht zu erkennen, wie und wann die Norm angewendet werden soll. Erwägungsgrund 20 der Richtlinie verweist dazu beispielhaft auf „offene Netz[e] wie das Internet oder den analogen Mobilfunk“ als Fälle, wo der Richtliniengeber solche Risiken sieht. Da nach dem Wortlaut die Risiken „besonders“, also vom Normalfall abweichend sein müssen, besteht nur in Ausnahmefällen eine Hinweispflicht und auch dann nur dann, wenn die besonderen Risiken für den Diensteanbieter bei gebotener Sorgfalt erkennbar sind3. IV. Verletzung des Schutzes personenbezogener Daten (Abs. 3) 9 Der mit Gesetz vom 3.5.2012 neu gefasste Abs. 3 für Fälle einer Verletzung des Schutzes personenbezogener Daten verweist auf den neu gefassten § 109a. Als „Verletzung des Schutzes personenbezogener Daten“ ist gem. § 3 Nr. 30a „eine Verletzung der Datensicherheit, die zum Verlust, zur unrechtmäßigen Löschung, Veränderung, Speicherung, Weitergabe oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher Telekommunikationsdienste verarbeitet werden sowie der unrechtmäßige Zugang zu diesen“ zu verstehen. Aufgrund der Gleichstellung in § 91 Abs. 1 Satz 2 gilt die Vorschrift auch für dem Fernmeldegeheimnis unterliegende Informationen juristischer Personen. Zu beachten ist, dass § 93 Abs. 3 für alle Diensteanbieter gilt, § 109a hingegen nur für Anbieter öffentlich zu1 Ausführlich dazu Bäcker, MMR 2009, 803 (805 ff.). 2 Zu recht kritisch dazu auch Heun/Eckhardt, Teil L Rz. 173. 3 Auf gleicher Linie Heun/Eckhardt, Teil L Rz. 174.
1100 Jenny
§ 94 TKG
Einwilligung im elektronischen Verfahren
gänglicher Telekommunikationsdienste1. Damit gelten für alle Diensteanbieter die in § 93 Abs. 3 genannten Teile von § 109a, der Rest hingegen nur für solche Diensteanbieter, die öffentlich zugängliche Dienste anbieten2. V. Rechtsfolgen/Sanktionen Die Missachtung der Informationspflichten nach § 93 Abs. 1 und Abs. 2 ist nicht bußgeldbewehrt. Die BNetzA kann jedoch nach § 115 Anordnungen zur Einhaltung der Vorschrift treffen und mit Zwangsmitteln durchsetzen. Bußgeldbewehrt ist allerdings gem. § 149 Abs. 1 Nr. 21 bis 21c die Missachtung einzelner Pflichten nach § 109a, auf den § 93 Abs. 3 verweist.
10
VI. Verweise/Kontext Ergänzende Informationspflichten für bestimmte Konstellationen sind in §§ 96 Abs. 4, 98 Abs. 1 Satz 2, 99 Abs. 3, 100 Abs. 2 Satz 3 und Abs. 4 Satz 4, 101 Abs. 4 sowie 105 Abs. 2 enthalten. Einwilligung im elektronischen Verfahren
94 1. 2. 3. 4.
Die Einwilligung kann auch elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass der Teilnehmer oder Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, die Einwilligung protokolliert wird, der Teilnehmer oder Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und der Teilnehmer oder Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
I. Einführung . . . . . . . . . . . . . . . .
1
II. Kommentierung . . . . . . . . . . . .
2
1 „Öffentlich zugängliche Telekommunikationsdienste“ sind laut § 3 Nr 17a „der Öffentlichkeit zur Verfügung stehende Telekommunikationsdienste“. Aha. In der Praxis werden Dienste dann als öffentlich angesehen, wenn der Teilnehmerkreis unbestimmt ist, siehe näher Heun, Teil A Rz. 53. 2 Pokutnev/Schmid, CR 2012, 360 (364). Enger allerdings Eckhardt/Schmitz, CR 2011, 436 (441) die nur Anbieter öffentlich zugänglicher Telekommunikationsdienste als verpflichtet ansehen.
Jenny
1101
11
TKG § 94
Datenschutz
I. Einführung 1 Die Vorschrift regelt die elektronische Einwilligung in die Verarbeitung geschützter Daten. Vorläuferbestimmungen1 fanden sich in § 4 TDSV2 sowie § 4 Abs. 2 und 3 TDDSG3. II. Kommentierung 2 Die Vorschrift ist im Wortlaut bis auf das Wort „auch“ identisch mit § 13 Abs. 2 TMG. Es ergeben sich für die Einholung der elektronischen Einwilligungserklärung damit keine inhaltlichen Besonderheiten gegenüber jener Norm, so dass auf die Kommentierung dazu verwiesen werden kann. Es fehlt allerdings die Hinweispflicht auf das Widerrufsrecht, wie sie in § 13 Abs. 3 TMG enthalten ist, woraus gefolgert werden kann, dass im Anwendungsbereich der Norm eine derartige Hinweispflicht nicht besteht4. Ergänzend gelten die allgemeinen datenschutzrechtlichen Anforderungen an die Einwilligung aus § 4a BDSG. 3 Fraglich könnte allerdings sein, ob die Norm neben § 13 Abs. 2 TMG überhaupt einen eigenen Anwendungsbereich haben kann. Es ist nicht recht zu sehen, wie eine elektronische Einwilligung eingeholt werden soll, ohne dabei einen Telemediendienst anzubieten5. Immerhin eliminiert die Regelung allfällige Zweifel daran, ob bezüglich der Verarbeitung von Telekommunikationsdaten eine elektronische Einwilligung in Betracht kommt. Eine Ausnahme von § 94 enthält § 98 Abs. 1 Satz 4 TKG für bestimmte Standortdaten. Dort muss die Einwilligung „ausdrücklich, gesondert und schriftlich“ erteilt werden. Näheres dazu bei § 98 TKG Rz. 9.
1 Ausführlich zur Entstehungsgeschichte und Vorläufernormen BeckTKGKomm/Büttgen, § 94 Rz. 1–3. 2 Telekommunikations-Datenschutzverordung – TDSV vom 18.12.2000 (BGBl I, S. 1740). 3 Gesetz über den Datenschutz bei Telediensten vom 22.7.1997 (BGBl. I, S. 1870, 1871 f.). 4 So Heun/Eckardt, Teil L Rz. 186. 5 Arndt/Fetzer/Scherer/Fetzer, § 94 Rz. 9 schlägt insoweit den Versand der Einwilligungserklärung auf physischem Datenträger (CD-ROM, USB-Stick) vor. Dann kann man allerdings auch gleich eine schriftliche Einwilligungserklärung schicken.
1102 Jenny
Vertragsverhältnisse
§ 95 TKG
Vertragsverhältnisse (1) 1Der Diensteanbieter darf Bestandsdaten erheben und verwenden, soweit dieses zur Erreichung des in § 3 Nr. 3 genannten Zweckes erforderlich ist. 2Im Rahmen eines Vertragsverhältnisses mit einem anderen Diensteanbieter darf der Diensteanbieter Bestandsdaten seiner Teilnehmer und der Teilnehmer des anderen Diensteanbieters erheben und verwenden, soweit dies zur Erfüllung des Vertrages zwischen den Diensteanbietern erforderlich ist. 3Eine Übermittlung der Bestandsdaten an Dritte erfolgt, soweit nicht dieser Teil oder ein anderes Gesetz sie zulässt, nur mit Einwilligung des Teilnehmers.
95
(2) 1Der Diensteanbieter darf die Bestandsdaten der in Absatz 1 Satz 2 genannten Teilnehmer zur Beratung der Teilnehmer, zur Werbung für eigene Angebote, zur Marktforschung und zur Unterrichtung über einen individuellen Gesprächswunsch eines anderen Nutzers nur verwenden, soweit dies für diese Zwecke erforderlich ist und der Teilnehmer eingewilligt hat. 2Ein Diensteanbieter, der im Rahmen einer bestehenden Kundenbeziehung rechtmäßig Kenntnis von der Rufnummer oder der Postadresse, auch der elektronischen, eines Teilnehmers erhalten hat, darf diese für die Versendung von Text- oder Bildmitteilungen an ein Telefon oder an eine Postadresse zu den in Satz 1 genannten Zwecken verwenden, es sei denn, dass der Teilnehmer einer solchen Verwendung widersprochen hat. 3Die Verwendung der Rufnummer oder Adresse nach Satz 2 ist nur zulässig, wenn der Teilnehmer bei der Erhebung oder der erstmaligen Speicherung der Rufnummer oder Adresse und bei jeder Versendung einer Nachricht an diese Rufnummer oder Adresse zu einem der in Satz 1 genannten Zwecke deutlich sichtbar und gut lesbar darauf hingewiesen wird, dass er der Versendung weiterer Nachrichten jederzeit schriftlich oder elektronisch widersprechen kann. (3) 1Endet das Vertragsverhältnis, sind die Bestandsdaten vom Diensteanbieter mit Ablauf des auf die Beendigung folgenden Kalenderjahres zu löschen. 2§ 35 Abs. 3 des Bundesdatenschutzgesetzes gilt entsprechend. (4) 1Der Diensteanbieter kann im Zusammenhang mit dem Begründen und dem Ändern des Vertragsverhältnisses sowie dem Erbringen von Telekommunikationsdiensten die Vorlage eines amtlichen Ausweises verlangen, wenn dies zur Überprüfung der Angaben des Teilnehmers erforderlich ist. 2Er kann von dem Ausweis eine Kopie erstellen. 3Die Kopie ist vom Diensteanbieter unverzüglich nach Feststellung der für den Vertragsabschluss erforderlichen Angaben des Teilnehmers zu vernichten.
Jenny
1103
TKG § 95
Datenschutz
4Andere
als die nach Absatz 1 zulässigen Daten darf der Diensteanbieter dabei nicht verwenden.
(5) 1Die Erbringung von Telekommunikationsdiensten darf nicht von einer Einwilligung des Teilnehmers in eine Verwendung seiner Daten für andere Zwecke abhängig gemacht werden, wenn dem Teilnehmer ein anderer Zugang zu diesen Telekommunikationsdiensten ohne die Einwilligung nicht oder in nicht zumutbarer Weise möglich ist. 2Eine unter solchen Umständen erteilte Einwilligung ist unwirksam. I. Einführung . . . . . . . . . . . . . . . .
1
II. Anwendungsbereich . . . . . . . . 2 1. Grundregeln zum Umgang mit Bestandsdaten (Abs. 1) . . . 2 2. Umgang mit Bestandsdaten für Werbung usw. (Abs. 2). . . . 5 3. Löschungspflicht und -frist nach Ende der Kundenbeziehung (Abs. 3) . . . . . . . . . . . . . . 11
4. Recht zur Ausweiskontrolle (Abs. 4). . . . . . . . . . . . . . . . . . . . 12 5. Koppelungsverbot (Abs. 5) . . . 14 6. Einschränkung für juristische Personen und Personengesellschaften . . . . . . . . . . . . . . . . . . . 15 III. Rechtsfolgen/Sanktionen . . . . 16 IV. Verweise/Kontext . . . . . . . . . . 17
Schrifttum: Eckhardt, Datenschutzrichtlinie für elektronische Kommunikation – Auswirkungen auf Werbung mittels elektronischer Post, MMR 2003, 557; Kessel/ Jüttner, Pflicht zur Erhebung wahrer Kundendaten bei Prepaid-Produkten?, K&R 2008, 413; Ohlenburg, Der neue Telekommunikationsdatenschutz – Eine Darstellung von Teil 7 Abschnitt 2 TKG, MMR 2004, 431
I. Einführung 1 Die Vorschrift regelt den Umgang der Diensteanbieter mit Bestandsdaten der Teilnehmer1 Ihr Absatz 2 setzt dabei Art. 13 der Datenschutzrichtlinie für Elektronische Kommunikation2 um.
1 Zu den Begrifflichkeiten „Diensteanbieter“ und „Teilnehmer“ siehe Kommentierung zu § 91 Rz. 4 und 7 f. 2 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. Nr. L 201, S. 37, zuletzt geändert durch Art. 2 ÄndRL 2009/136/EG vom 25.11.2009, ABl. Nr. L 337, S. 11.
1104 Jenny
Vertragsverhältnisse
§ 95 TKG
II. Anwendungsbereich 1. Grundregeln zum Umgang mit Bestandsdaten (Abs. 1) Abs. 1 der Vorschrift enthält die Grundregeln für den Umgang mit 2 Bestandsdaten. Dies sind Daten von Teilnehmern, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung von Vertragsverhältnissen über Telekommunikationsdienste erhoben werden (§ 3 Nr. 3). Solche Daten dürfen für die in § 3 Nr. 3 genannten Zwecke erhoben und verarbeitet werden (Satz 1). Es ist unschwer erkennbar, dass die Begriffsbestimmung in § 3 Nr. 3 einerseits und die Regelung des Satz 1 andererseits zirkulär sind. Angesichts der Unbestimmtheit von Geschäfts- und Vertriebsmodellen sowie Diensteangeboten ist allerdings eine abschließende Festlegung, welche Daten für die Vertragsbegründung und -abwicklung erforderlich sein könnten, schwerlich möglich1. Oft werden zu den Bestandsdaten die nach § 111 Abs. 1 zu erhebenden Angaben2 gehören, wobei allerdings bei Prepaid-Geschäftsmodellen selbst diese Angaben für den Diensteanbieter nur von geringem Interesse sind. Weiter gehören bei allen entgeltlichen Diensten Angaben zur Rechnungsstellung und Zahlungsabwicklung zu den Bestandsdaten. Zusammenfassend sind zu den erlaubterweise erhobenen und verwendeten Bestandsdaten alle Angaben zu rechnen, die nach dem jeweils erbrachten Dienst und einschlägigen Geschäftsmodell für die Begründung und Durchführung des Vertragsverhältnisses förderlich sind3. Keine Bestandsdaten sind jedoch dynamisch (d.h. für den einzelnen Kommunikationsvorgang) vergebene IP-Nummern, weil zu deren Ermittlung auf dem Fernmeldegeheimnis unterliegende Verkehrsdaten zugegriffen werden muss4. 1 So auch Heun/Eckhardt, Teil L Rz. 199. 2 Dies sind: 1. die Rufnummern und anderen Anschlusskennungen, 2. Namen und Anschrift des Anschlussinhabers, 3. bei natürlichen Personen deren Geburtsdatum, 4. bei Festnetzanschlüssen auch die Anschrift des Anschlusses, 5. in Fällen, in denen neben einem Mobilfunkanschluss auch ein Mobilfunkendgerät überlassen wird, die Gerätenummer dieses Gerätes sowie 6. das Datum des Vertragsbeginns. 3 Spindler/Schuster/Eckhardt, § 95 Rz. 3; BeckTKGKomm/Büttgen, § 95 Rz. 5. 4 BerlKommTKG/Klesczewski, § 95 Rz. 3 und § 113 Rz. 6 mit weiteren Nachweisen auch zu gegenteiligen Auffassungen, die durch die Entscheidungen des BVerfG vom 24.1.2012 – 1 BvR 1299/05, MMR 2012, 410 = CR 2012, 245 sowie des BGH vom 19.4.2012 – I ZB 80/11, NJW 2012, 2958 = CR 2012, 600, überholt sein dürften.
Jenny
1105
TKG § 95
Datenschutz
3 Satz 2 erlaubt mehreren Diensteanbietern den Austausch von Bestandsdaten ihrer Teilnehmer, soweit dies zur Vertragsabwicklung zwischen den Diensteanbietern erforderlich ist. Hier geht es vor allem um offene (d.h. ohne vorherigen Vertragsschluss erbrachte) call-by-call-Dienste, die normalerweise durch den Diensteanbieter in Rechnung gestellt werden, bei dem der Teilnehmer seinen Anschluss hat. Der Teilnehmer ist bei solchen Gestaltungen Kunde, also Teilnehmer, beider Dienstanbieter. Für den Austausch von Abrechnungsdaten zwischen Diensteanbietern enthalten § 97 Abs. 1 Satz 2 und Abs. 5 flankierende Regelungen. 4 Bei Satz 3 mit seiner Aussage zur Übermittlung von Bestandsdaten ist nicht ganz klar, ob er letztlich nur das allgemeine datenschutzrechtliche Verbot mit Erlaubnisvorbehalt wiederholt1, oder aber immerhin klarstellt, dass hier ein Vorbehalt des formellen Gesetzes gilt und also z.B. Rechtsverordnungen nicht als Erlaubnistatbestände in Betracht kommen2. 2. Umgang mit Bestandsdaten für Werbung usw. (Abs. 2) 5 Abs. 2 regelt den Umgang mit Bestandsdaten zur Werbung für eigene Angebote, Beratung, Marktforschung und das Mitteilen von Gesprächswünschen anderer Nutzer. Die Regelung soll mit ihren Sätzen 2 und 3 Art 13 Abs. 2 der Datenschutzrichtlinie für elektronische Kommunikation umsetzen3. Insoweit steht die Vorschrift neben § 7 Abs. 2 und 3 UWG sowie § 28 Abs. 3 bis 4 BDSG. Es ist allerdings anzuzweifeln, ob es sinnvoll oder gar geboten ist, für den Telekommunikationssektor Sonderregeln zu dieser Thematik vorzusehen. Strenger als diese allgemeinen Regelungen ist § 95 Abs. 2 beispielsweise im Hinblick auf Postwerbung, für die nach § 7 Abs. 2 und 3 UWG keine Restriktionen gelten. 6 Satz 1 der Vorschrift enthält die Grundregel, wonach die Verwendung von Bestandsdaten für die genannten Zwecke nur mit Einwilligung der Teilnehmer gestattet ist (sog. Opt-in). Für Mitteilungen anderer Art, etwa nach dem TKG vorgesehene Kundeninformationen, gilt die Regelung nicht4. Mit dem Einwilligungserfordernis ist der Rückgriff auf andere Erlaubnisnormen, namentlich § 28 Abs. 3 bis 4 BDSG, abgeschnitten5. 1 2 3 4 5
So Spindler/Schuster/Eckhardt, § 95 Rz. 6. So BeckTKGKomm/Büttgen, § 95 Rz. 11. BT-Drucks. 15/2679, S. 17. Spindler/Schuster/Eckhardt, § 95 Rz. 10. Spindler/Schuster/Eckhardt, § 95 Rz. 11.
1106 Jenny
Vertragsverhältnisse
§ 95 TKG
Sätze 2 und 3 erhält eine Ausnahme zu Satz 1, wonach die Verwendung 7 von Bestandsdaten für Zwecke der Werbung usw. ohne Einwilligung des Teilnehmers erlaubt ist (sog. Opt-out). Erlaubt ist hiernach die Versendung von Text- und Bildmitteilung, nicht jedoch von Sprachnachrichten oder Anrufen1, an die Rufnummer oder „Postadresse“ des Kunden. Die Rufnummer ist in § 3 Nr. 18 TKG definiert als „Nummer, durch deren Wahl im öffentlich zugänglichen Telefondienst eine Verbindung zu einem bestimmten Ziel aufgebaut werden kann“. Postadresse meint die Postanschrift sowie auch die Adresse für elektronische Post. Die Kenntnis von Telefonnummer und Postadresse muss der Diensteanbieter rechtmäßig erlangt haben, d.h. in datenschutzrechtlich zulässiger Weise. In aller Regel verfügen Diensteanbieter über diese Kenntnisse rechtmäßigerweise nach § 95 Abs. 1. Fraglich ist in der Auslegung von § 95 Abs. 2 Sätze 2 und 3, ob für die 8 Verwendung der Daten eine Kundenbeziehung überhaupt zustande gekommen sein muss und ob sie noch andauern muss. Dabei legt das Wort „bestehenden“ im Normtext eine enge Auslegung nahe, wonach die Kundenbeziehung zum Zeitpunkt der Sendung von Nachrichten mit Werbung usw. noch bestehen muss2, was einen vorherigen Vertragsschluss voraussetzt. Wenn man jedoch annimmt, dass die Richtlinie eine Vollharmonisierung anstrebt3, dann könnte bereits die Erlangung von Anschrift und Rufnummer bei der Anbahnung einer letztlich (noch) nicht zustande gekommenen Geschäftsbeziehung ausreichen4. Jedoch spricht die Richtlinie auch von „Kunden“, was auch so verstanden werden kann, dass eine aktive Kundenbeziehung zumindest in der Vergangenheit bestanden haben muss. Zulässig sind Sendungen nach Abs. 2 jedoch nur, wenn der Teilnehmer 9 bei der Datenerhebung sowie bei jeder Sendung auf seine Widerspruchsmöglichkeit hingewiesen wird. Der Hinweis muss „deutlich sichtbar und gut lesbar“ erfolgen und die Aussage enthalten, dass der Teilnehmer jederzeit schriftlich oder elektronisch der Zusendung weiterer Nachrichten widersprechen kann. Eckhardt will aus dem Wortlaut folgern, dass es genügen soll, auf eine der zwei Widerspruchsmöglichkeiten (schriftlich oder elektronisch) hinzuweisen5. Das erscheint gewagt. Zuzustimmen 1 Heun/Eckhardt, Teil L Rz. 281. 2 So BeckTKGKomm/Büttgen, § 95 Rz. 22; Scheurle/Mayen/Kannenberg, § 95 Rz. 33. 3 Eckhardt, MMR 2003, 557 (560). 4 So Heun/Eckhardt, Teil L Rz. 286. 5 Heun/Eckhardt, Teil L Rz. 288 und Spindler/Schuster/Eckhardt, § 95 Rz. 16.
Jenny
1107
TKG § 95
Datenschutz
ist ihm aber darin, dass auch ein Widerspruch des Empfängers in anderer Form, z.B. fernmündlich, zu beachten ist1, und zwar in der Praxis schon deshalb, weil § 7 UWG keine Formerfordernisse an den Widerspruch knüpft. Der Wortlaut von Satz 3 wird von manchen2 als Formerfordernis für den Widerspruch verstanden, doch bezieht sich die Formulierung auf den Inhalt des Hinweises, nicht auf die eigentliche Form des Widerspruchs. Der Hinweis sollte auch angeben, an welche Anschrift allfällige Widersprüche zu richten wären, denn sonst wäre er für den Teilnehmer wenig hilfreich. Aufgrund der Limitierung von SMS auf 160 Zeichen entsteht weiter das Problem, wie man die eigentliche Nachricht und den Hinweis sinnvoll in einer Sendung unterbringen kann3. Der Normgeber hatte indessen wohl nicht die Absicht, den Versand von SMS nach Abs. 2 Satz 2 generell zu unterbinden. Daher muss es zulässig sein, den Hinweis zum Widerspruch in einer weiteren SMS unterzubringen, die der Nachricht mit Werbung, Marktforschung etc. unmittelbar folgt. 10 § 95 Abs. 2 verdrängt die Regeln des allgemeinen Datenschutzrechts für die Verwendung von Kundendaten für Zwecke der Werbung, Marktforschung usw. Anwendbar bleiben jedoch die lauterkeitsrechtlichen Bestimmungen des § 7 UWG4. 3. Löschungspflicht und -frist nach Ende der Kundenbeziehung (Abs. 3) 11 Abs. 3 enthält eine eigene Löschungsfrist für Bestandsdaten. Sie sind mit Ablauf des Jahres zu löschen, das auf die Beendigung der Kundenbeziehung folgt. D.h., unverzüglich nach dem 31.12.2012 sind die Bestandsdaten aller Kunden zu löschen, deren Kundenbeziehungen zwischen dem 1.1.2011 und dem 31.12.2011 beendet worden sind. Satz 2 enthält jedoch einen Vorbehalt für § 35 Abs. 3 BDSG, so dass in der Praxis wegen der längeren Aufbewahrungsfristen nach dem Abgaben- und Steuerrecht in aller Regel zunächst für die Dauer dieser Aufbewahrungsfristen eine Sperrung der Bestandsdaten statt einer Löschung zu erfolgen hat. Immerhin sind die gesperrten Daten dann allen weiteren Zugriffsmöglichkeiten entzogen, so etwa auch Auskunftsersuchen an Sicher-
1 Heun/Eckhardt, Teil L Rz. 288. 2 Etwa BeckTKGKomm/Büttgen, § 95 Rz. 23. 3 Ohlenburg, MMR 2004, 431 Fn. 36 bezweifelt deshalb die generelle Einsetzbarkeit von SMS für solche Nachrichten. 4 Heun/Eckardt, Teil L Rz. 289.
1108 Jenny
Vertragsverhältnisse
§ 95 TKG
heitsbehörden nach §§ 112, 113 TKG1. In der Praxis kommt es durchaus vor, dass sich Polizeibehörden nach solchen veralteten Bestandsdaten erkundigen. Derartige Anfragen sind wegen § 95 Abs. 3 in Verbindung mit § 38 Abs. 8 BDSG abschlägig zu bescheiden. § 111 Abs. 4 TKG, der die Vorhaltung von Daten für solche Auskünfte betrifft, sorgt insoweit für einen Gleichlauf der Speicherfristen. 4. Recht zur Ausweiskontrolle (Abs. 4) Telekommunikationsunternehmen treten gegenüber ihren Kunden häu- 12 fig in Vorleistung und haben deshalb ein Interesse, die Identität der Kunden zu verifizieren. Dies ist auch für die Durchführung von Bonitätsprüfungen wichtig2. Deshalb gestattet Abs. 4 den Diensteanbietern, sich zur Identitätsprüfung amtliche Ausweise vorlegen zu lassen. Dies sind Personalausweise und Reisepässe. Von solchen Dokumenten dürfen auch Kopien erstellt werden, die dann unverzüglich, also ohne schuldhaftes Zögern im Sinne von § 121 BGB3, nach Abschluss der Identitätsprüfung zu vernichten sind. Nach Satz 4 dürfen aus Ausweisdokumenten jedoch nur die nach Abs. 1 zulässigen Daten erhoben werden, d.h. nicht etwa die Körpergröße oder Augenfarbe, die beide für einen Vertragsschluss über Telekommunikationsdienstleistungen irrelevant sind4. Von weit geringerem Interesse ist die Identität des Teilnehmers dem- 13 gegenüber bei Prepaid-Produkten, die vor allem im Mobilfunkbereich gängig sind. Deshalb sind in der Praxis bei diesen Angeboten die Bemühungen der Diensteanbieter um eine Identitätsfeststellung auch häufig wenig intensiv, zumal es offenbar Nachfrage nach anonymen bzw. unter Pseudonym nutzbaren Angeboten gibt. Dies hat zu Konflikten zwischen der BNetzA und diversen Mobilfunkanbietern geführt, da die BNetzA zu Unrecht5 aus § 111 TKG eine Pflicht der Anbieter zur Identitätsfeststellung ableitet, dabei die Ausweiskontrolle als das am besten geeignete Mittel erachtet6 und neuerdings auch mit Bußgeldverfahren gegen Diensteanbieter vorgeht, wenn sie bei diesen unzutreffende Kunden1 Nach diesen Vorschriften können Sicherheitsbehörden Auskunft zu Bestandsdaten von Teilnehmern erhalten. 2 BeckTKGKomm/Büttgen, § 95 Rz. 28. 3 BeckTKGKomm/Büttgen, § 95 Rz. 30. 4 Siehe nur Spindler/Schuster/Eckhardt, § 95 Rz. 24 und BeckTKGKomm/Büttgen § 95 Rz. 32. 5 Kessel/Jüttner, K&R 2008, 413. 6 Mitteilung 152/2008, ABl. BNetzA 2008, S. 238.
Jenny
1109
TKG § 95
Datenschutz
daten feststellt. Noch unter dem TKG 1996 war der Versuch der Behörde, über eine Allgemeinverfügung eine Pflicht zur Ausweiskontrolle festzulegen, vom Bundesverwaltungsgericht gestoppt worden1. Aus Sicht des Datenschutzes kann man sich allerdings fragen, ob eine Ausweiskontrolle bei Prepaid-Produkten nach § 95 Abs. 1 überhaupt zulässig wäre. Denn wenn der Diensteanbieter kein Vorleistungsrisiko eingeht, dann ist für ihn die Identität des Kunden letztlich uninteressant und deren Überprüfung mithin für die Vertragsbegründung und -Abwicklung nicht erforderlich2. 5. Koppelungsverbot (Abs. 5) 14 Abs. 5 enthält ein eingeschränktes Koppelungsverbot, wonach der Vertragsschluss über Telekommunikationsdienste unter bestimmten Voraussetzungen nicht von der Einwilligung in die Verwendung von Bestandsdaten über die in § 95 Abs. 1 genannten Zwecke hinaus abhängig gemacht werden darf. Dies gilt dann, wenn die fraglichen Telekommunikationsdienste nicht in zumutbarer Weise ohne eine solche Einwilligung verfügbar sind. Die Vorschrift wurde mit dem Gesetz vom 14.8.20093 geändert, um klarzustellen, dass es für die Alternativen auf den Gesamtmarkt ankommt. Wenn also auf dem Gesamtmarkt kein zumutbares Angebot des fraglichen Dienstes ohne Einwilligung gibt, dann ist das Einwilligungsverlangen des Anbieters unzulässig und eine gleichwohl erteilte Einwilligung nach Satz 2 unwirksam4. Die Vorschrift flankiert damit § 28 Abs. 3b BDSG. 6. Einschränkung für juristische Personen und Personengesellschaften 15 Zu beachten ist, dass bei Teilnehmern, die keine natürlichen Personen sind, der bereichsspezifische Telekommunikationsdatenschutz nur für dem Fernmeldegeheimnis unterliegende Sachverhalte gilt5. Bestandsdaten unterliegen in aller Regel nicht dem Fernmeldegeheimnis, so dass die Vorschrift insoweit nur für Teilnehmer gilt, die natürliche Personen sind6. 1 BVerwG v. 22.10.2003 – 6 C 23/02, BVerwGE 119, 123 = CR 2004, 103. 2 Auf gleicher Linie BVerwG v. 22.10.2003 – 6 C 23/02, BVerwGE 119, 123 = CR 2004, 103. 3 Gesetz zur Änderung datenschutzrechtlicher Vorschriften, BGBl. I 2009, S. 2814. 4 Spindler/Schuster/Eckhardt, § 95 Rz. 26. 5 Siehe bei § 91 Rz. 8. 6 Siehe bei § 91 Rz. 8.
1110 Jenny
Verkehrsdaten
§ 96 TKG
III. Rechtsfolgen/Sanktionen Die Missachtung der Regelungen des Abs. 2 ist gem. § 149 Abs. 1 Nr. 16 i.V.m. § 149 Abs. 2 mit Bußgeld bis zu 300 000 Euro bedroht.
16
IV. Verweise/Kontext Die Anforderungen von § 7 UWG gelten bei Werbemaßnahmen ergän- 17 zend zu § 95 Abs. 2. § 96 Abs. 3 und 4 erlauben mit Einwilligung auch die Verwendung von Verkehrsdaten für Werbezwecke. Die Verwendung von Bestandsdaten für Teilnehmerverzeichnisse und Auskunftsdienste wird durch §§ 104 und 105 geregelt. Auskünfte zu Bestandsdaten für die Strafverfolgung und geheimdienstliche Zwecke sind nach §§ 111 ff. TKG zusammen mit einschlägigen Befugnisnormen in der StPO bzw. den Rechtsgrundlagen nachrichtendienstlicher Tätigkeit vorgesehen. Verkehrsdaten (1) 1Der Diensteanbieter darf folgende Verkehrsdaten erheben, soweit dies für die in diesem Abschnitt genannten Zwecke erforderlich ist: 1. die Nummer oder Kennung der beteiligten Anschlüsse oder der Endeinrichtung, personenbezogene Berechtigungskennungen, bei Verwendung von Kundenkarten auch die Kartennummer, bei mobilen Anschlüssen auch die Standortdaten, 2. den Beginn und das Ende der jeweiligen Verbindung nach Datum und Uhrzeit und, soweit die Entgelte davon abhängen, die übermittelten Datenmengen, 3. den vom Nutzer in Anspruch genommenen Telekommunikationsdienst, 4. die Endpunkte von festgeschalteten Verbindungen, ihren Beginn und ihr Ende nach Datum und Uhrzeit und, soweit die Entgelte davon abhängen, die übermittelten Datenmengen, 5. sonstige zum Aufbau und zur Aufrechterhaltung der Telekommunikation sowie zur Entgeltabrechnung notwendige Verkehrsdaten. 2Diese Verkehrsdaten dürfen nur verwendet werden, soweit dies für die in Satz 1 genannten oder durch andere gesetzliche Vorschriften begründeten Zwecke oder zum Aufbau weiterer Verbindungen erforderlich ist. 3Im Übrigen sind Verkehrsdaten vom Diensteanbieter nach Beendigung der Verbindung unverzüglich zu löschen.
96
Jenny
1111
TKG § 96
Datenschutz
(2) Eine über Absatz 1 hinausgehende Erhebung oder Verwendung der Verkehrsdaten ist unzulässig. (3) 1Der Diensteanbieter darf teilnehmerbezogene Verkehrsdaten, die vom Anbieter eines öffentlich zugänglichen Telekommunikationsdienstes verwendet werden, zum Zwecke der Vermarktung von Telekommunikationsdiensten, zur bedarfsgerechten Gestaltung von Telekommunikationsdiensten oder zur Bereitstellung von Diensten mit Zusatznutzen im dazu erforderlichen Maß und im dazu erforderlichen Zeitraum nur verwenden, sofern der Betroffene in diese Verwendung eingewilligt hat. 2Die Daten der Angerufenen sind unverzüglich zu anonymisieren. 3Eine zielnummernbezogene Verwendung der Verkehrsdaten durch den Diensteanbieter zu den in Satz 1 genannten Zwecken ist nur mit Einwilligung der Angerufenen zulässig. 4Hierbei sind die Daten der Anrufenden unverzüglich zu anonymisieren. (4) 1Bei der Einholung der Einwilligung ist dem Teilnehmer mitzuteilen, welche Datenarten für die in Absatz 3 Satz 1 genannten Zwecke verarbeitet werden sollen und wie lange sie gespeichert werden sollen. 2Außerdem ist der Teilnehmer darauf hinzuweisen, dass er die Einwilligung jederzeit widerrufen kann. I. Einführung . . . . . . . . . . . . . . . .
1
II. Anwendungsbereich . . . . . . . . 1. Begriff und Arten von Verkehrsdaten . . . . . . . . . . . . . . . . 2. Verpflichtete und geschützte Personen . . . . . . . . . . . . . . . . . . 3. Beschränkung der Verwendungszwecke (Abs. 1 Satz 1 und 2, Abs. 2) . . . . . . . . . . . . . .
2 2 3
4. Pflicht zur Löschung (Abs. 1 Satz 3) . . . . . . . . . . . . . . . . . . . . 5. Teilnehmer- und zielnummernbezogene Verkehrsdaten (Abs. 3 und 4) . . . . . . . . . . . . . .
5
9
III. Rechtsfolgen/Sanktionen . . . . 11 IV. Verweise/Kontext . . . . . . . . . . 12
4
Schrifttum: Breyer, (Un-)Zulässigkeit einer anlasslosen, siebentägigen Vorratsdatenspeicherung – Grenzen des Rechts auf Anonymität, MMR 2011, 573; Gola/ Klug/Reif, Datenschutz- und presserechtliche Bewertung der Vorratsdatenspeicherung, NJW 2007, 2599; Ladeur, Der Auskunftsanspruch aus § 101 UrhG und seine Durchsetzung – Zivilrechtsanwendung ohne Methode und jenseits der Drittwirkung der Grundrechte, NJOZ 2010, 1606; Ohlenburg, Der neue Telekommunikationsdatenschutz – Eine Darstellung von Teil 7 Abschnitt 2 TKG, MMR 2004, 431.
1112 Jenny
Verkehrsdaten
§ 96 TKG
I. Einführung Die Vorschrift enthält Grundregeln für den Umgang der Diensteanbieter 1 mit Verkehrsdaten. Sie setzt Art. 6 der Datenschutzrichtlinie für Elektronische Kommunikation1 um. Ergänzt wird die Vorschrift durch weitere Normen in den §§ 97 bis 101 TKG, die jeweils Sonderregeln für bestimmte Verwendungszwecke enthalten. II. Anwendungsbereich 1. Begriff und Arten von Verkehrsdaten § 3 Nr. 30 TKG definiert Verkehrsdaten als „Daten, die bei der Erbrin- 2 gung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden“. Sprachlich, aber wohl nicht inhaltlich abweichend definiert die Datenschutzrichtlinie für elektronische Kommunikation in Art. 2b) Verkehrsdaten als „Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein elektronisches Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden“. Abs. 1 enthält eine Aufzählung von Verkehrsdaten, die für die Zwecke des Teil 7, Abschnitt 2 TKG erhoben und verwendet werden dürfen. Die Aufzählung ist nicht abschließend (vgl. Abs. 1 Nr. 5), kann dies aber angesichts der nicht abzusehenden technischen Entwicklung von Telekommunikationsdiensten und -netzen auch nicht sein. Abs. 1 Nr. 5 schafft deshalb die nötige Flexibilität2 um etwa bei neuartigen Diensten dort erforderliche Verkehrsdaten zu erheben und zu speichern. Verkehrsdaten enthalten Informationen zu konkreten Telekommunikationsvorgängen und unterliegen daher dem Fernmeldegeheimnis3. 2. Verpflichtete und geschützte Personen Die Vorschrift verpflichtet Diensteanbieter, also nach § 3 Nr. 6 jeden, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt4 Zu diesen Mitwirkenden gehören insbesondere auch die 1 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. Nr. L 201, S. 37, zuletzt geändert durch Art. 2 ÄndRL 2009/136/EG vom 25.11.2009 (ABl. Nr. L 337, S. 11). 2 Ohlenburg, MMR 2004, 431 (433). 3 Siehe dazu näher Kommentierung zu § 88 Rz. 5. 4 Siehe dazu näher Kommentierung zu § 91 Rz. 4 f.
Jenny
1113
3
TKG § 96
Datenschutz
Netzbetreiber, die Netze für (andere) Diensteanbieter betreiben und insoweit Vorleistungen für diese erbringen. Die Vorschrift schützt alle am Telekommunikationsverkehr Beteiligten, also in der Terminologie des TKG die Teilnehmer und die Nutzer. Da die Verkehrsdaten sich auf Sachverhalte beziehen, die dem Fernmeldegeheimnis unterliegen, werden auch Teilnehmer und Nutzer geschützt, die keine natürlichen Personen sind1. 3. Beschränkung der Verwendungszwecke (Abs. 1 Satz 1 und 2, Abs. 2) 4 Angesichts der Sensibilität der dem Fernmeldegeheimnis unterliegenden Verkehrsdaten ist der Umgang mit ihnen streng limitiert. Regelungstechnisch wird dabei nach den Phasen des Umgangs mit Daten unterschieden. Erhoben werden dürfen Verkehrsdaten gem. der Einleitung von Abs. 1 Satz 1 nur zu den in Abschnitt 2 von Teil 7 des Gesetzes genannten Zwecken. Tatsächlich geschieht dies bei der Erbringung von Telekommunikationsdiensten, denn dabei entstehen die Verkehrsdaten. Satz 2 und Abs. 2 limitieren sodann die Verwendung der bei der Erbringung von Diensten generierten Verkehrsdaten, die hiernach nur für die Zwecke des Abschnitts Datenschutz, den Aufbau weiterer Verbindungen oder für sonstige gesetzlich begründete Zwecke benutzt werden dürfen. Hinsichtlich des Verweises auf solche sonstigen gesetzlich begründeten Zwecke ist die fehlende Konkretheit der Norm kritisch zu sehen2. Allerdings stellt die Vorschrift klar, dass ein Rückgriff auf allgemeine datenschutzrechtliche Erlaubnistatbestände des BDSG in § 28 ff. nicht in Betracht kommt, um die Verwendung von Verkehrsdaten zu rechtfertigen. Und es gilt zumindest hinsichtlich staatlicher Zugriffe das sog. kleine Zitiergebot des § 88 Abs. 3 Satz 33, was der Gefahr einer schleichenden Ausweitung von Zugriffsnormen vorbeugen mag. Zu den gesetzlich vorgesehenen Zwecken gehört insbesondere die Auskunftserteilung nach § 101 Abs. 2, 9 UrhG (dazu näher unten Rz. 7 f.), wobei jene Vorschrift in ihrem Abs. 10 sogar das Zitiergebot des Art. 19 Abs. 1 Satz 2 GG erfüllt.
1 Siehe dazu näher Kommentierung zu § 91 Rz. 8. 2 So Gola/Klug/Reif, NRW 2007, 2599 (2601) und Breyer, MMR 2011, 573 (574), der die Norm aufgrund ihrer Unbestimmtheit für verfassungswidrig hält. 3 Dazu siehe Kommentierung zu § 88 Rz. 20.
1114 Jenny
Verkehrsdaten
§ 96 TKG
4. Pflicht zur Löschung (Abs. 1 Satz 3) Wenn Verkehrsdaten nicht nach Ende der Verbindung erlaubterweise wei- 5 terverwendet werden, so sind sie nach Abs. 1 Satz 31 unverzüglich nach Beendigung der Verbindung zu löschen. „Unverzüglich“ ist dabei i.S.d. § 121 BGB als ohne schuldhaftes Zögern verstehen. Wie schnell die Löschung im konkreten Falle erfolgen muss ist dabei von technischen und organisatorischen Gegebenheiten beim Diensteanbieter abhängig2, so dass eine allgemeingültige Löschungsfrist nicht genannt werden kann. Im Hinblick auf Art. 6 Abs 1 der Datenschutzrichtlinie für elektronische Kommunikation ist der Löschungspflicht mit einer Anonymisierung der Verkehrsdaten genügt, da damit deren Personenbezug beseitigt wird3. Die harmlos klingende Regelung zur Löschung von Verkehrsdaten hat die Justiz in den letzten Jahren wie kaum eine datenschutzrechtliche Vorschrift des TKG beschäftigt. Hierfür gab es zwei Auslöser. Zum einen verlangten Kunden von ihren Internet-Diensteanbietern die Löschung von Aufzeichnungen zur laufenden Zuweisung dynamisch vergebener IP-Nummern bei Flatrate-Tarifen unmittelbar nach Ende der Verbindung. Zum anderen gab es eine Reihe von Entscheidungen dazu, wie sich die Pflicht zur kurzfristigen Löschung dieser Informationen mit dem Auskunftsanspruch nach § 101 UrhG in Einklang bringen lässt. In der genannten Auseinandersetzung zwischen Kunden und Dienstean- 6 bietern verlangen die Kunden unter Berufung auf § 96 Abs. 1 Satz 3 eine „sofortige“ Löschung der Aufzeichnungen zu dynamisch zugeteilten IPNummern nach Beendigung der Verbindung. Die vorliegende Rechtsprechung hat sich dazu inzwischen in der Tendenz auf den Standpunkt gestellt, dass eine siebentägige Speicherung dieser Informationen nach § 100 Abs. 1 TKG gerechtfertigt werden könnte4. Jene Vorschrift erlaubt es Diensteanbietern, Bestands- und Verkehrsdaten von Teilnehmern und Nutzern soweit erforderlich zum Erkennen, Eingrenzen und Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen zu erheben und zu verwenden. Allerdings liegt dieser Rechtsstreit momentan 1 Bis Februar 2010 war die Regelung des Abs. 1 S. 3 in Abs. 2 enthalten; dies als Hinweis zum Verständnis älterer Urteile und Aufsätze. 2 Spindler/Schuster/Eckhardt, § 96 TKG Rz. 6. 3 Arndt/Fetzer/Scherer/Fetzer, § 96 Rz. 12; BerlKommTKG/Klesczewski, § 96 Rz. 12. 4 BGH v. 13.1.2011 – III ZR 146/10, CR 2011, 178 sowie als Vorinstanz OLG Frankfurt v. 16.6.2010 – 13 U 105/07, CR 2011, 96 und weiter beispielsweise AG Bonn v. 5.7.2007 – 9 C 177/07, CR 2007, 46. Anders jedoch LG Darmstadt v. 25.1.2006 – 25 S 118/05, CR 2006, 249, wonach die Löschung unmittelbar nach Ende der Verbindungen zu erfolgen hat.
Jenny
1115
TKG § 96
Datenschutz
wieder bei beim OLG Frankfurt, das über die Umstände, aus denen sich die Erforderlichkeit dieser Datenverwendung ergeben soll, noch Beweis zu erheben hat1. Denn der BGH hält zwar abstrakte Gefahren für die Funktionsfähigkeit des Telekommunikationsbetriebs prinzipiell für einen ausreichenden Anlass für die Aufbewahrung von IP-Nummern, jedoch nur, wenn dies geeignet, erforderlich und im engeren Sinne verhältnismäßig ist2. Wenn allerdings zutrifft, dass mehrere große Internetzugangsanbieter ohne die beschriebene Speicherung von dynamischen IP-Nummern auskommen3, dann lässt sich an der Erforderlichkeit dieser Maßnahme zweifeln. Aber auch inhaltlich ist die genannte Auslegung des § 100 Abs. 1 TKG durch den BGH mindestens angreifbar4. Denn im Schwerpunkt stellt der BGH in seiner Argumentation auf die Gefahr ab, dass andere Netzbetreiber IP-Nummern der Beklagten für den Kommunikationsverkehr sperren könnten, um von diesen ausgehende Nachrichten mit unerwünschten Inhalten (Spam, Viren, Denialof-Service-Attacken) zu blockieren5. Solche Sperren durch andere Netzbetreiber als „Störung“ bzw. „Fehler“ der Telekommunikationsanlagen der Beklagten zu verstehen, wie es der BGH tut, erfordert eine recht weitherzige Auslegung des Normwortlauts. 7 Im Zusammenhang mit dem Auskunftsanspruch nach § 101 Abs. 2, 9 UrhG6 entstanden Probleme demgegenüber nicht aus der zu langsamen, 1 BGH v. 13.1.2011 – III ZR 146/10, CR 2011, 96 Rz. 18 ff. 2 BGH v. 13.1.2011, III ZR 146/10, CR 2011, 96 Rz. 25 ff. 3 Laut Breyer, MMR 2011, 573 (577) sollen u.a. Arcor, Freenet und Hansenet IPNummern ganz kurzfristig löschen. Er verweist zum Beleg auf eine Stellungnahme des Bundesbeauftragten für Datenschutz und Informationsfreiheit vom 10.6.2009, die jedoch unter der von Breyer angegebenen URL nicht mehr auffindbar ist. 4 Siehe ausführlich Breyer, MMR 2011, 573 (575). 5 BGH v. 13.1.2011, III ZR 146/10, CR 2011, 96 Rz. 24. 6 Die Norm lautet auszugsweise: § 101 Anspruch auf Auskunft (2) In Fällen offensichtlicher Rechtsverletzung oder in Fällen, in denen der Verletzte gegen den Verletzer Klage erhoben hat, besteht der Anspruch unbeschadet von Absatz 1 auch gegen eine Person, die in gewerblichem Ausmaß […] 3. für rechtsverletzende Tätigkeiten genutzte Dienstleistungen erbrachte oder […] es sei denn, die Person wäre nach den §§ 383 bis 385 der Zivilprozessordnung im Prozess gegen den Verletzer zur Zeugnisverweigerung berechtigt. […] Der zur Auskunft Verpflichtete kann von dem Verletzten den Ersatz der für die Auskunftserteilung erforderlichen Aufwendungen verlangen.
1116 Jenny
Verkehrsdaten
§ 96 TKG
sondern der zu schnellen Löschung von Daten zur Vergabe dynamischer IP-Nummern durch einzelne Netzbetreiber. Jene Vorschrift gibt in Urheberrechten Verletzten einen gesetzlichen Auskunftsanspruch gegen Erbringer von zur Verletzung von Urheberrechten genutzten Dienstleistungen. Praktisch geht es hier typischerweise um die unberechtigte Verbreitung von Musik- und Filmwerken in Tauschbörsen und ähnlichen Internet-Angeboten. Urheber bzw. deren Beauftragte können danach von Diensteanbietern Auskunft darüber verlangen, welche Teilnehmer Rechtsverletzungen begangen haben. Soweit für die Auskunftserteilung Verkehrsdaten verwendet werden müssen – typischerweise um festzustellen, an welchen Teilnehmer zur Tatzeit welche IP-Nummer vergeben war – bedarf es nach § 101 Abs. 9 einer richterlichen Anordnung über die Zulässigkeit dieser Verwendung. Wenn allerdings ein Diensteanbieter seine Aufzeichnungen über die Vergabe von IP-Nummern kurzfristig löscht, kommt eine derartige Anordnung unter Umständen zu spät und geht damit ins Leere. Aus datenschutzrechtlicher Sicht stellt sich in diesen Fällen die Frage, 8 ob Diensteanbieter Informationen zur Zuteilung von IP-Nummern an ihre Teilnehmer speichern dürfen, bis die richterliche Anordnung nach § 101 Abs. 9 UrhG vorliegt1. Wenn man den Text jener Norm wörtlich (3) Der zur Auskunft Verpflichtete hat Angaben zu machen über 1. Namen und Anschrift […] der Nutzer der Dienstleistungen […] (9) Kann die Auskunft nur unter Verwendung von Verkehrsdaten (§ 3 Nr. 30 des Telekommunikationsgesetzes) erteilt werden, ist für ihre Erteilung eine vorherige richterliche Anordnung über die Zulässigkeit der Verwendung der Verkehrsdaten erforderlich, die von dem Verletzten zu beantragen ist. Für den Erlass dieser Anordnung ist das Landgericht, in dessen Bezirk der zur Auskunft Verpflichtete seinen Wohnsitz, seinen Sitz oder eine Niederlassung hat, ohne Rücksicht auf den Streitwert ausschließlich zuständig. Die Entscheidung trifft die Zivilkammer. Für das Verfahren gelten die Vorschriften des Gesetzes über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend. Die Kosten der richterlichen Anordnung trägt der Verletzte. Gegen die Entscheidung des Landgerichts ist die Beschwerde statthaft. Die Beschwerde ist binnen einer Frist von zwei Wochen einzulegen. Die Vorschriften zum Schutz personenbezogener Daten bleiben im Übrigen unberührt. (10) Durch Absatz 2 in Verbindung mit Absatz 9 wird das Grundrecht des Fernmeldegeheimnisses (Artikel 10 des Grundgesetzes) eingeschränkt. 1 Hierzu gibt es eine Vielzahl von Entscheidungen, genannt seien ohne Anspruch auf Vollständigkeit OLG Hamm v. 2.11.2010 – I-4 W 119/10, MMR 2011, 193; LG Hamburg v. 20.10.2010 – 308 O 320/10, CR 2011, 448; OLG Hamburg v. 17.2.2010 – 5 U 60/09, CR 2010, 363; OLG Frankfurt a.M. v. 12.5.2009 – 11 W 21/09, CR 2010, 99.
Jenny
1117
TKG § 96
Datenschutz
interpretiert, könnte man diese Frage verneinen. Denn die Anordnung betrifft dem Wortlaut nach die Zulässigkeit der „Verwendung“ von Verkehrsdaten, wozu man auch deren vorübergehende Speicherung zählen kann (vgl. § 3 Abs. 4 und 5 BDSG). Es lässt sich also argumentieren, die zwischenzeitliche Speicherung sei unzulässig, da erst mit der gerichtlichen Entscheidung die Grundlage dafür entstehe. Solange die Anordnung nicht vorliege, dürften die Daten nicht verwendet werden, also auch nicht gespeichert. Indessen ist wohl nicht die Funktion des Richtervorbehalts in § 101 Abs. 9 UrhG, über die Zulässigkeit der Speicherung der Daten zu entscheiden, sondern über die Zulässigkeit einer Auswertung von Verkehrsdaten für die Auskunftserteilung. Vor allem aber würden § 101 Abs. 2 Nr. 3, Abs. 9 UrhG weitgehend wirkungslos gemacht, wenn man die Vorschrift derart streng interpretierte. Das wäre methodisch nicht überzeugend1. Richtiger ist daher, diese Normen so zu verstehen, dass sie dem Diensteanbieter, der hinreichend konkret und glaubhaft über bereits erfolgte oder aktuell andauernde Urheberrechtsverstöße seiner Teilnehmer informiert wird, eine Speicherung von zur Auskunftserteilung erforderlichen Verkehrsdaten (konkret von Aufzeichnungen darüber, wem bestimmte IP-Nummern zur Tatzeit zugeteilt waren) erlauben2. Die Auskunftserteilung nach § 101 Abs. 2, 9 UrhG wird dabei als gesetzlicher Zweck im Sinne von § 96 Abs. 1 Satz 3 TKG verstanden, der die Verwendung von Verkehrsdaten legitimiert und den Diensteanbieter von seiner sonst gegebenen Löschungspflicht dispensiert. Dies kann allerdings nur gelten, soweit es um vollendete Urheberrechtsverstöße geht, nicht jedoch für künftig zu besorgende Verletzungshandlungen3. 5. Teilnehmer- und zielnummernbezogene Verkehrsdaten (Abs. 3 und 4) 9 Abs. 3 enthält eine Regelung zur Verwendung von Verkehrsdaten für die Vermarktung von Telekommunikationsdiensten, zur bedarfsgerechten Gestaltung von Telekommunikationsdiensten und zur Bereitstellung von Diensten mit Zusatznutzen. Die Vorschrift erlaubt es Diensteanbietern, den Telekommunikationsverkehr ihrer Kunden auszuwerten, etwa durch Analyse von Verkehrsströmen oder Ermittlung von Kommunika1 Dazu pointiert Ladeur, NJOZ 2010, 1606. 2 So OLG Hamburg v. 17.2.2010 – 5 U 60/09, ZUM 2010, 893 (899) = CR 2010, 363. 3 OLG Hamm v. 2.11.2010 – I-4 W 119/10, MMR 2011, 193; LG Hamburg v. 20.10.2010 – 308 O 320/10, MMR 2011, 475 (476) = CR 2011, 448.
1118 Jenny
Verkehrsdaten
§ 96 TKG
tionsprofilen1, und daraus etwa Verbesserungen ihrer Angebote (bedarfsgerechte Gestaltung) oder Werbeaktivitäten (Vermarktung) abzuleiten2. Dienste mit Zusatznutzen sind dabei gem. der Definition in § 3 Nr. 5 Dienste, welche die Erhebung und Verwendung von Verkehrs- oder Standortdaten in einer Art und Weise erfordern, die über das für Nachrichtentransport oder Entgeltabrechnung erforderliche Maß hinausgehen. Näheres dazu in der Kommentierung zu § 98. Verwendet werden dürfen dabei entweder teilnehmerbezogene (Sätze 1 und 2) oder zielnummernbezogene (Sätze 3 und 4) Verkehrsdaten. Teilnehmerbezogen sind Daten zu abgehendem3, zielnummernbezogen Daten zu eingehendem4 Telekommunikationsverkehr, was sich aus den Sätzen 2 und 4 ergibt, wonach die Daten des jeweils anderen am Kommunikationsvorgang beteiligten Nutzers unverzüglich zu anonymisieren sind. Dabei kommt der Fall einer zielnummernbezogenen Auswertung dann zur Anwendung, wenn der Kunde für eingehende Anrufe entgeltpflichtig ist, wie etwa bei Anrufen zu 0800er-Nummern5. Auffallend ist, dass der Normwortlaut zwischen dem Diensteanbieter, der Daten verwenden darf, einerseits und dem Anbieter eines öffentlich zugänglichen Telekommunikationsdienstes, von dem die Daten stammen, andererseits unterscheidet. Die Norm deckt damit auch Konstellationen ab, wo Diensteanbieter und Anbieter des öffentlich zugänglichen Telekommunikationsdienstes personenverschieden sind. Erforderlich ist dabei jeweils die Einwilligung des „Betroffenen“ (Abs. 3 10 Satz 1) bzw. Angerufenen (Abs. 3 Satz 3). Weil eine Einwilligung jedwede Verwendung von Verkehrsdaten rechtfertigen kann, ist die Bedeutung von Abs. 3 gering6. Gemeint ist in beiden Fällen (Satz 1 und Satz 3) der Teilnehmer. Der „Angerufene“, dessen Verkehrsdaten zu ankommendem Telekommunikationsverkehr im Falle des Abs. 3 Satz 3 ausgewertet werden, ist typischerweise der Vertragspartner des handelnden Diensteanbieters und damit „Teilnehmer“ im Sinne der Legaldefinition von § 3 Nr. 20. Ohne Vertragsbeziehung wäre es dem Diensteanbieter, der die Daten verwenden will, wohl praktisch unmöglich, die nach Abs. 3 Satz 3 erfor1 Scheurle/Mayen/Büttgen, § 96 Rz. 14. 2 Scheurle/Mayen/Büttgen, § 96 Rz. 14. 3 Scheurle/Mayen/Büttgen, § 96 Rz. 14; Rz. 17. 4 Scheurle/Mayen/Büttgen, § 96 Rz. 15; Rz. 18. 5 Scheurle/Mayen/Büttgen, § 96 Rz. 15; Rz. 18. 6 Spindler/Schuster/Eckhardt, § 96 Rz. 8.
BerlKommTKG/Klesczewski,
§ 96
BerlKommTKG/Klesczewski,
§ 96
BerlKommTKG/Klesczewski,
§ 96
Jenny
1119
TKG § 97
Datenschutz
derliche Einwilligung des Angerufenen einzuholen. Abs. 4 enthält besondere Anforderungen an die Information, die dem Teilnehmer zur Verfügung gestellt werden muss, wenn der Diensteanbieter die Einwilligung einholt. Hier wird, wie auch in den Bußgeldtatbeständen (dazu sogleich Rz. 11) der Angerufene für die zielnummernbezogene Verwendung von Verkehrsdaten (Abs. 3 Satz 3) nicht genannt. Vermutlich ist dies ein Redaktionsversehen, denn es ist kein Grund ersichtlich, warum hier unterschiedliche Standards gelten sollen. Informiert werden muss über die verwendeten Datenarten und die Speicherdauer. Unter Datenarten sind in diesem Zusammenhang die unterschiedlichen Kategorien von Verkehrsdaten nach § 96 Abs. 1 zu verstehen1. III. Rechtsfolgen/Sanktionen 11 Einzelne Verstöße gegen § 96 sind nach § 149 Abs. 1 Nr. 16 und 17 bußgeldbewehrt. Nach Nr. 16 kann die Erhebung und Verwendung von Verkehrsdaten entgegen § 96 Abs. 2 oder Abs. 3 Satz 1 geahndet werden, nach Nr. 17 die nicht rechtzeitige Löschung von Verkehrsdaten entgegen § 96 Abs. 1 Satz 3. Nicht ausdrücklich bußgeldbewehrt ist demgegenüber eine Verwendung von zielnummernbezogenen Verkehrsdaten entgegen § 96 Abs. 3 Satz 3 oder eine unterbliebene Anonymisierung entgegen Abs. 3 Sätze 2 und 4. Die genannten Bußgeldtatbestände sehen einen Bußgeldrahmen bis 300 000 Euro vor, § 149 Abs. 2 TKG. IV. Verweise/Kontext 12 Das TKG enthält spezielle Erlaubnistatbestände für den Umgang mit Verkehrsdaten in §§ 97 (Entgeltermittlung und -abrechnung), 99 (Einzelverbindungsnachweis), 100 (Störungen und Missbrauchsbekämpfung) und 101 (Mitteilung ankommender Verbindungen) TKG. Entgeltermittlung und Entgeltabrechnung (1) 1Diensteanbieter dürfen die in § 96 Abs. 1 aufgeführten Verkehrsdaten verwenden, soweit die Daten zur Ermittlung des Entgelts und zur Abrechnung mit ihren Teilnehmern benötigt werden. 2Erbringt ein Diensteanbieter seine Dienste über ein öffentliches Telekommunikationsnetz eines fremden Betreibers, darf der Betreiber des öffentlichen Telekommunikationsnetzes dem Diensteanbieter die für
97
1 Scheurle/Mayen/Büttgen, § 96 Rz. 16.
1120 Jenny
Entgeltermittlung und Entgeltabrechnung
§ 97 TKG
die Erbringung von dessen Diensten erhobenen Verkehrsdaten übermitteln. 3Hat der Diensteanbieter mit einem Dritten einen Vertrag über den Einzug des Entgelts geschlossen, so darf er dem Dritten die in Absatz 2 genannten Daten übermitteln, soweit es zum Einzug des Entgelts und der Erstellung einer detaillierten Rechnung erforderlich ist. 4Der Dritte ist vertraglich zur Wahrung des Fernmeldegeheimnisses nach § 88 und des Datenschutzes nach den §§ 93 und 95 bis 97, 99 und 100 zu verpflichten. 5§ 11 des Bundesdatenschutzgesetzes bleibt unberührt. (2) Der Diensteanbieter darf zur ordnungsgemäßen Ermittlung und Abrechnung der Entgelte für Telekommunikationsdienste und zum Nachweis der Richtigkeit derselben folgende personenbezogene Daten nach Maßgabe der Absätze 3 bis 6 erheben und verwenden: 1. die Verkehrsdaten nach § 96 Abs. 1, 2. die Anschrift des Teilnehmers oder Rechnungsempfängers, die Art des Anschlusses, die Zahl der im Abrechnungszeitraum einer planmäßigen Entgeltabrechnung insgesamt aufgekommenen Entgelteinheiten, die übermittelten Datenmengen, das insgesamt zu entrichtende Entgelt, 3. sonstige für die Entgeltabrechnung erhebliche Umstände wie Vorschusszahlungen, Zahlungen mit Buchungsdatum, Zahlungsrückstände, Mahnungen, durchgeführte und aufgehobene Anschlusssperren, eingereichte und bearbeitete Reklamationen, beantragte und genehmigte Stundungen, Ratenzahlungen und Sicherheitsleistungen. (3) 1Der Diensteanbieter hat nach Beendigung der Verbindung aus den Verkehrsdaten nach § 96 Abs. 1 Nr. 1 bis 3 und 5 unverzüglich die für die Berechnung des Entgelts erforderlichen Daten zu ermitteln. 2Diese Daten dürfen bis zu sechs Monate nach Versendung der Rechnung gespeichert werden. 3Für die Abrechnung nicht erforderliche Daten sind unverzüglich zu löschen. 4Hat der Teilnehmer gegen die Höhe der in Rechnung gestellten Verbindungsentgelte vor Ablauf der Frist nach Satz 2 Einwendungen erhoben, dürfen die Daten gespeichert werden, bis die Einwendungen abschließend geklärt sind. (4) Soweit es für die Abrechnung des Diensteanbieters mit anderen Diensteanbietern oder mit deren Teilnehmern sowie anderer Diensteanbieter mit ihren Teilnehmern erforderlich ist, darf der Diensteanbieter Verkehrsdaten verwenden. (5) Zieht der Diensteanbieter mit der Rechnung Entgelte für Leistungen eines Dritten ein, die dieser im Zusammenhang mit der Erbringung von Telekommunikationsdiensten erbracht hat, so darf er dem Dritten BeJenny
1121
TKG § 97
Datenschutz
stands- und Verkehrsdaten übermitteln, soweit diese im Einzelfall für die Durchsetzung der Forderungen des Dritten gegenüber seinem Teilnehmer erforderlich sind. I. Einführung . . . . . . . . . . . . . . . .
1
II. Anwendungsbereich . . . . . . . . 1. Umgang mit Bestands- und Verkehrsdaten durch Diensteanbieter (Abs. 1 Satz 1, Abs. 2, Abs. 3) . . . . . . . . . . . . . 2. Datenaustausch zwischen Diensteanbietern und mit Netzbetreibern (Abs. 1 Satz 2, Abs. 4) . . . . . . . . . . . . . . . . . . . .
2
2
3. Auftragsverhältnisse über Entgelteinziehung (Abs. 1 Sätze 3 bis 5) . . . . . . . . . . . . . . . 7 4. Einzug von Entgelten Dritter (Abs. 5). . . . . . . . . . . . . . . . . . . . 12 III. Sanktionen . . . . . . . . . . . . . . . . 16 IV. Zusammenhang mit anderen Vorschriften . . . . . . . . . . . . . . . 17
6
Schrifttum: Neumann, Abtretung von Telekommunikationsentgeltforderungen an Inkassounternehmen, CR 2012, 235; Sassenberg, Anzeige und Übermittlung der A-Rufnummer, CR 2011, 502; Schmitz, Abrechnung von tk-gestützten Diensten nach § 97 TKG, CR 2012, 577; Schmitz, Der Vertragspartner ohne Daten – Datenweitergabe an die Erbringer von telekommunikationsgestützten Diensten, ZD 2012, 8; Vander, Verwendung von Verkehrsdaten und mehrstufiges Forderungsinkasso bei Mehrwertdiensten, K&R 2012, 577
I. Einführung 1 Die Vorschrift regelt den Umgang mit Verkehrs- und Bestandsdaten für die Entgeltermittlung und -abrechnung (Rechnungsstellung). Sie betrifft dabei zusammen mit § 98 die datenschutzrechtliche Seite der Thematik. Die Aspekte des Kundenschutzes werden durch die §§ 45f bis 45j TKG geregelt. Die Norm setzt zugleich Art. 6 Abs. 2 der Datenschutzrichtlinie für elektronische Kommunikation1 um. Als wesentliche Änderung seit dem Inkrafttreten des TKG ist die Streichung des Abs. 4 durch das Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG2 zu nennen. Dieser frühere Abs. 4 gab zuvor Teilnehmern die Option, eine vollständige oder teilweise Lö-
1 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. Nr. L 201, S. 37, zuletzt geändert durch Art. 2 ÄndRL 2009/136/EG vom 25.11.2009 (ABl. Nr. L 337, S. 11). 2 Gesetz vom 21.12.2007 (BGBl. I, S. 3198).
1122 Jenny
Entgeltermittlung und Entgeltabrechnung
§ 97 TKG
schung der Verkehrsdaten zu angewählten Zielnummern unmittelbar nach Rechnungsstellung zu verlangen. Durch die mit jenem Gesetz eingeführte Vorratsdatenspeicherung wurde diese Option allerdings uninteressant, lebt jedoch durch die Feststellung der Nichtigkeit von §§ 113a, 113b nicht automatisch wieder auf. Dazu bräuchte es vielmehr eine entsprechende gesetzliche Regelung, die bislang fehlt. II. Anwendungsbereich 1. Umgang mit Bestands- und Verkehrsdaten durch Diensteanbieter (Abs. 1 Satz 1, Abs. 2, Abs. 3) Abs. 1 Satz 1 enthält die allgemeine Erlaubnis zur Verwendung von Be- 2 stands- und Verkehrsdaten für die Rechnungsstellung. Abs. 2 konkretisiert, welche Daten hierfür erhoben und verwendet werden dürfen. Abs. 3 macht Vorgaben für den Abrechnungsprozess. Verwendet werden dürfen demnach gem. § 96 Abs. 1 erhobene Verkehrs- 3 daten (Abs. 2 Nr. 1), für die Rechnungserstellung erforderliche Bestandsdaten (vgl. § 95) und rechnungsrelevante Angaben (Entgelteinheiten, Datenmengen, Entgelte) (Abs. 2 Nr. 2) sowie sonstige für die Entgeltabrechnung relevante Umstände, wozu insbesondere Informationen zur Zahlungsabwicklung gehören (Abs. 2 Nr. 3). Die Aufzählung in Abs. 2 Nr. 3 ist dabei nicht abschließend1, und schafft damit Flexibilität für unterschiedliche Geschäfts- und Abrechnungsmodelle. Aus den Vorgaben für die Verbindungspreisberechnung in § 45g Abs. 12 lässt sich ableiten, welche Daten der Gesetzgeber im Regelfall für entgelt- und abrechnungsrelevant erachtet. Vorgaben für den Prozess der Rechnungsstellung enthält Abs. 3. Danach 4 hat der Diensteanbieter unverzüglich nach Beendigung einer jeden Ver-
1 Heun/Eckhardt, Teil L Rz. 224. 2 § 45g Abs. 1 lautet: „Bei der Abrechnung ist der Anbieter von öffentlich zugänglichen Telekommunikationsdiensten verpflichtet, 1. die Dauer und den Zeitpunkt zeitabhängig tarifierter Verbindungen von öffentlich zugänglichen Telekommunikationsdiensten unter regelmäßiger Abgleichung mit einem amtlichen Zeitnormal zu ermitteln, 2. die für die Tarifierung relevanten Entfernungszonen zu ermitteln, 3. die übertragene Datenmenge bei volumenabhängig tarifierten Verbindungen von öffentlich zugänglichen Telekommunikationsdiensten nach einem nach Absatz 3 vorgegebenen Verfahren zu ermitteln […]“.
Jenny
1123
TKG § 97
Datenschutz
bindung aus den Verkehrsdaten nach § 96 Abs. 1 Nr. 1 bis 3 und Nr. 5 die für die Rechnungsstellung benötigten Angaben zu ermitteln. § 96 Abs. 1 Nr. 4 (Endpunkte festgeschalteter Verbindungen, deren Beginn und Ende nach Datum und Uhrzeit und, soweit entgeltrelevant, übermittelte Datenmengen) fehlt in dieser Aufzählung, vermutlich weil der Gesetzgeber annimmt, dass diese Angaben stets für die Abrechnung erforderlich sind1. Nicht abrechnungsrelevante Verkehrsdaten sind unverzüglich zu löschen, während die abrechnungsrelevanten Verkehrsdaten sechs Monate gespeichert bleiben dürfen (Abs. 3 Satz 2), im Falle von Beanstandungen auch länger bis zur abschließenden Klärung (Abs. 3 Satz 4). Unverzüglich ist dabei i.S.v. § 121 BGB als ohne schuldhaftes Zögern zu verstehen2. Eine konkrete Zeitangabe hierfür ist nicht möglich, weil die Abrechnungssysteme, organisatorischen Gegebenheiten, Tarife und Geschäftsmodelle der Diensteanbieter zu unterschiedlich sind. Allerdings geht es zu weit, die Filterung der nicht abrechnungsrelevanten Verkehrsdaten erst während des turnusmäßigen Rechnungslaufes durchzuführen3. Dies liefe darauf hinaus, eine Vielzahl nicht entgeltrelevanter Verkehrsdaten bis zu einen Monat zu speichern, was angesichts der Sensibilität solcher Daten nicht angemessen ist. Insoweit ist den Diensteanbietern zuzumuten, dem Stand der Technik entsprechende Systeme einzusetzen, die diese Auswertung zeitnah durchführen können4. Die Löschungspflicht schließt freilich nicht aus, Verkehrsdaten für andere Zwecke vorzuhalten, etwa für Zwecke nach § 1005. 5 Die Erlaubnis zum Umgang mit Daten nach § 97 gilt stets nur für abrechnungsrelevante Daten, also Bestands- und Verkehrsdaten, die der Diensteanbieter auf Grundlage der vertraglichen Vereinbarungen mit dem Teilnehmer benötigt, um die Entgelte berechnen, in Rechnung stellen und einziehen zu können. Benötigt werden dabei nur solche Daten, die für die Entgeltabrechnung unverzichtbar sind6. So sind bei Flatrate-Angeboten weder Verkehrsvolumina noch Informationen zur dynamischen Vergabe von IP-Nummern abrechnungsrelevant, so dass
1 Die Gesetzesmaterialien in BT-Drucks. 15/2316, S. 89 sind zu diesem Punkt unergiebig. 2 Heun/Eckhardt, Teil L Rz. 226. 3 So aber BerlKommTKG/Klesczewski, § 97 Rz. 9. 4 Scheurle/Mayen/Büttgen, § 97 Rz. 7. 5 Dazu Kommentierung zu § 96 Rz. 6. 6 So sinngemäß BGH v. 13.1.2011 – III ZR 146/10, CR 2011, 96 Rz. 13 mit der Aussage, dass Daten nur dann benötigt werden, wenn es kein milderes Mittel als ihre Verwendung gibt.
1124 Jenny
Entgeltermittlung und Entgeltabrechnung
§ 97 TKG
die Speicherung dieser Angaben nach Verbindungsende nicht über § 97 gerechtfertigt werden kann1. 2. Datenaustausch zwischen Diensteanbietern und mit Netzbetreibern (Abs. 1 Satz 2, Abs. 4) Im für den Wettbewerb geöffneten Telekommunikationsmarkt werden 6 Telekommunikationsverbindungen häufig netz- und diensteanbieterübergreifend hergestellt. Damit die beteiligten Diensteanbieter und Netzbetreiber sowohl untereinander als auch mit ihren Teilnehmern ordnungsgemäß abrechnen können, müssen sie auch entgeltrelevante Verkehrsdaten untereinander austauschen können. Dies erlauben die Regelungen in Abs. 1 Satz 2 zwischen Netzbetreibern und Diensteanbietern sowie Abs. 4 zwischen Diensteanbietern. Während die Verwendung und Übermittlung von Verkehrsdaten nach Abs. 4 auf die abrechnungsrelevanten Daten beschränkt ist, erlaubt Abs. 1 Satz 2 es dem Netzbetreiber, dem jeweiligen Diensteanbieter alle erhobenen Verkehrsdaten zu übermitteln2. Der Netzbetreiber weiß in aller Regel nicht, welche Verkehrsdaten der Diensteanbieter für die Abrechnung mit seinen Teilnehmern benötigt – dies hängt von den verabredeten Tarifen (etwa Flatrate oder volumenabhängig) ab – so dass er zu einer Filterung der nicht entgeltrelevanten Verkehrsdaten nicht imstande wäre. 3. Auftragsverhältnisse über Entgelteinziehung (Abs. 1 Sätze 3 bis 5) Die Sätze 3 bis 5 des Abs. 1 enthalten Regelungen dazu, dass ein Dritter 7 für den Diensteanbieter Rechnungen erstellt und/oder Entgelte einzieht. Dies ist zulässig (Satz 3), wenn der Dritte vertraglich zur Wahrung des Fernmeldegeheimnisses sowie der Bestimmungen der §§ 93, 95 bis 97, 99 und 100 verpflichtet wird (Satz 4). § 11 BDSG soll hiervon unberührt bleiben (Satz 5), wodurch laut den Gesetzesmaterialien3 klargestellt werden soll, dass die Sätze 3 und 4 jene Vorschrift ergänzen, aber nicht ersetzen. Dies ist allerdings schief, weil in den Fällen des § 11 BDSG keine Übermittlung von Daten erfolgt und der Beauftragte deshalb nicht als Dritter anzusehen ist4.
1 2 3 4
So LG Darmstadt v. 25.1.2006 – 25 S 118/05, CR 2006, 249. Heun/Eckhardt, Teil L Rz. 218. BT-Drucks. 15/2316, S. 89. Heun/Eckhardt, Teil L Rz. 220.
Jenny
1125
TKG § 97
Datenschutz
8 Problematisch an diesen Regelungen ist die Frage, ob sie auch eine Abtretung der Entgeltforderung an den Dritten erlauben. Mehrere Instanzgerichte haben dies verneint1, während die überwiegende Auffassung in der Literatur2 dies bejaht. Mit Beschl. v. 16.2.2012 hat der BGH diese Frage dem EuGH zur Vorabentscheidung vorgelegt3. Problematisch an der Abtretung wäre, dass nach § 402 BGB der Zedent dem Zessionar alle für die Durchsetzung der Forderungen nötigen Auskünfte und Unterlagen zur Verfügung stellen müsste. Forderungen für Telekommunikationsentgelte sind regelmäßig nur mithilfe von Verkehrsdaten durchsetzbar, so dass der Diensteanbieter diese einem Zessionar übermitteln müsste, wofür datenschutzrechtlich ein Erlaubnistatbestand nötig wäre. 9 Der BGH hält nach nationalem Recht eine Abtretung für zulässig. Er meint, der Normwortlaut von § 97 Abs. 1 Satz 3 („Einzug des Entgelts“) sei nicht zwingend dahingehend auszulegen, dass der Dritte lediglich mit Einzugsermächtigung des Diensteanbieters die Forderung einziehen dürfe4. Die Vorschrift solle insbesondere kleinen Anbietern helfen, indem sie von dem Aufwand des Entgelteinzugs entlastet würden. Datenschutzrechtliche Belange des betroffenen Teilnehmers würden bei einer Abtretung nicht stärker beeinträchtigt als bei einer bloßen Einziehungsermächtigung, da der Dritte letztlich dieselben Daten erhalte. Dem Einwand, ein Zessionar könnte die Forderung weiter abtreten und damit den Kreis der Empfänger der entgeltrelevanten Daten erweitern, tritt der BGH mit dem Argument entgegen, dem Zessionar sei eine Abtretung nicht möglich, da ihm § 97 Abs. 1 Satz 3 die Weitergabe der relevanten Daten nicht erlaube5. Auch die Gesetzesmaterialien sprächen schließlich für die Abtretbarkeit, da der Verordnungsgeber der TDSV-20006, aus welcher die Regelung ursprünglich stammt, anscheinend hiervon ausging7. Allerdings unterläuft dem BGH in seinen Überlegungen zur Weiterabtretung durch den 1 Neben weiteren AG Hamburg-Altona v. 8.8.2006 – 316 C 59/06, CR 2007, 238; AG Meldorf v. 21.7.2011 – 81 C 241/11, CR 2012, 258; AG Bremen v. 20.10.2011 – 9 C 0430/11, ZD 2012, 42. 2 Etwa Arndt/Fetzer/Scherer/Fetzer, § 97 Rz. 6; BerlKommTKG/Klesczewski § 97 Rz. 6; Neumann, CR 2012, 235 (236) mit weiteren Nachweisen. 3 BGH v. 16.2.2012 – III ZR 200/11, CR 2012, 255 = K&R 2012, 280 = ZD 2012, 229. Das Verfahren hat beim EuGH das Aktenzeichen C-119/12. 4 BGH v. 16.2.2012 – III ZR 200/11, CR 2012, 255 = K&R 2012, 280 = ZD 2012, 229 Rz. 17. 5 BGH v. 16.2.2012 – III ZR 200/11, CR 2012, 255 = K&R 2012, 280 = ZD 2012, 229 Rz. 18. 6 Dazu Rz. 2 zu § 91. 7 BGH v. 16.2.2012 – III ZR 200/11, CR 2012, 255 = K&R 2012, 280 = ZD 2012, 229 Rz. 19.
1126 Jenny
Entgeltermittlung und Entgeltabrechnung
§ 97 TKG
Dritten wohl ein Denkfehler, denn für diesen gilt § 97 Abs. 1 Satz 3 jedenfalls nicht unmittelbar. Begründen lässt sich dieses Ergebnis aber wohl auch nach allgemeinem Datenschutzrecht unter Verweis auf den generell geltenden Schutz von Verkehrsdaten1. Mit Urt. v. 14.6.20122 hat der BGH inzwischen seine Auffassung bekräftigt, wonach dem Dritten eine Weiterabtretung bzw. Weitergabe von Verkehrsdaten3 nicht erlaubt sei, und dabei erneut zur Begründung auf § 97 Abs. 1 Satz 3 abgestellt. Zur Vorlage an den EuGH sah sich der BGH durch Art. 6 Abs. 2 und 5 der 10 Datenschutzrichtlinie für elektronische Kommunikation veranlasst. Kritisch ist hier vor allem Abs. 5, wonach die Verarbeitung von Verkehrsdaten nur durch Personen erfolgen darf, die auf Weisung des Netzbetreibers und Diensteanbieters handeln und dabei „für Gebührenabrechnungen oder Verkehrsabwicklung, Kundenanfragen, Betrugsermittlung, die Vermarktung der elektronischen Kommunikationsdienste oder für die Bereitstellung eines Dienstes mit Zusatznutzen zuständig sind“. Insbesondere in dem Weisungserfordernis sieht der BGH ein mögliches Hindernis für die von ihm vertretene Auslegung, denn jedenfalls bei einer nicht auf Inkasso beschränkten Zession wäre eine Bindung an Weisungen des Zedenten nicht gegeben4. Wie der EuGH über die Vorlage entscheidet, bleibt abzuwarten. Denkbar sind folgende Lösungsmöglichkeiten: – Aus dem Weisungserfordernis folgt, dass lediglich eine Datenverarbeitung im Auftrag gestattet ist, oder, weniger einschränkend, dass nur eine Einzugsermächtigung und eventuell eine (treuhänderische) Inkassozession möglich ist. Aus Sicht der Branche wohl die schlechteste Lösung. – Die Bindungen nach Abs. 1 Satz 4, die im der Vorlage zugrunde liegenden Fall beachtet worden waren, genügen, um das Weisungserfordernis des Art. 6 Abs. 5 zu erfüllen5. – Mit den in Art. 6 Abs. 5 Datenschutzrichtlinie für elektronische Kommunikation genannten Personen sind lediglich die Beschäftig1 Neumann, CR 2012, 235 (241). 2 BGH v. 14.6.2012 – III ZR 227/11, NJW 2012, 2582 (2583) = CR 2012, 584. Dazu Schmitz, CR 2012, 577. 3 Im entschiedenen Fall hatte der Zessionar die Forderung nicht etwa weiter abgetreten, sondern der Klägerin eine Einzugsermächtigung erteilt. 4 BGH v. 16.2.2012 – III ZR 200/11, CR 2012, 255 = K&R 2012, 280 = ZD 2012, 229 Rz. 27 f. 5 Dafür plädiert der BGH im Beschluss v. 16.2.2012 – III ZR 200/11, CR 2012, 255 = K&R 2012, 280 = ZD 2012, 229 Rz. 27.
Jenny
1127
11
TKG § 97
Datenschutz
ten des Diensteanbieters gemeint, mit anderen Worten, es geht in der Regelung darum, im Betrieb des Diensteanbieters den Zugriff auf Verkehrsdaten auf mit den genannten Aufgaben befasste und weisungsgebundene Mitarbeiter zu beschränken1. 4. Einzug von Entgelten Dritter (Abs. 5) 12 Diensteanbieter ziehen mit ihren Rechnungen gelegentlich auch Entgelte für Leistungen Dritter ein. Typische Fälle sind etwa call-by-call, Auskunftsdienste2 oder Mehrwertdienste3. Grundlage hierfür ist § 45h TKG4. Beteiligt sind an solchen Beziehungen typischerweise der Teilnehmer (Rechnungsempfänger), sein Teilnehmernetzbetreiber (Diensteanbieter, bei dem der Teilnehmer seinen Teilnehmeranschluss unterhält, dieser stellt die Rechnung nach § 45h), der Dritte (Erbringer der abzurechnenden Leistungen) und schließlich dessen Diensteanbieter5.
1 In diese Richtung argumentiert wohl Neumann, CR 2012, 235 (243), wenn er von einem engen Verständnis der personalen Beschränkung spricht. 2 § 3 Nr 2a TKG definiert Auskunftsdienste als „bundesweit jederzeit telefonisch erreichbare Dienste, insbesondere des Rufnummernbereichs 118, die ausschließlich der neutralen Weitergabe von Rufnummer, Name, Anschrift sowie zusätzlichen Angaben von Telekommunikationsnutzern dienen. Die Weitervermittlung zu einem erfragten Teilnehmer oder Dienst kann Bestandteil des Auskunftsdienstes sein.“ 3 Neuerdings lt. § 3 Nr. 17b. als „Premium-Dienste“ bezeichnet. Dies sind „Dienste, insbesondere der Rufnummernbereiche (0)190 und (0)900, bei denen über die Telekommunikationsdienstleistung hinaus eine weitere Dienstleistung erbracht wird, die gegenüber dem Anrufer gemeinsam mit der Telekommunikationsdienstleistung abgerechnet wird und die nicht einer anderen Nummernart zuzurechnen ist“. 4 Siehe hierzu Heun/Sörup Teil K Rz. 102 ff. § 45h Abs. 1 lautet im hier relevanten Teil: „Soweit ein Anbieter von öffentlich zugänglichen Telekommunikationsdiensten dem Teilnehmer eine Rechnung stellt, die auch Entgelte für Leistungen Dritter ausweist, muss die Rechnung des Anbieters in einer hervorgehobenen und deutlich gestalteten Form Folgendes enthalten: 1. die konkrete Bezeichnung der in Rechnung gestellten Leistungen, 2. die Namen und ladungsfähigen Anschriften beteiligter Anbieter von Netzdienstleistungen, 3. einen Hinweis auf den Informationsanspruch des Teilnehmers nach § 45p, 4. die kostenfreien Kundendiensttelefonnummern der Anbieter von Netzdienstleistungen und des rechnungsstellenden Anbieters, unter denen der Teilnehmer die Informationen nach § 45p erlangen kann, 5. die Gesamthöhe der auf jeden Anbieter entfallenden Entgelte.“ 5 Vgl. Schmitz, CR 2012, 577 (578).
1128 Jenny
Entgeltermittlung und Entgeltabrechnung
§ 97 TKG
Der Teilnehmer kann dann mit befreiender Wirkung die Entgelte für derartige Leistungen an seinen Teilnehmernetzbetreiber bezahlen (§ 45h Abs. 1 Satz 3), der diese dann an die anderen Beteiligten auskehrt. Der Teilnehmernetzbetreiber ist dabei nicht etwa Vertragspartner des Teilnehmers für die Erbringung dieser Leistungen. Dies ist vielmehr deren Anbieter1, in der Terminologie des Abs. 5 der Dritte. Wenn der Teilnehmer für den abgerechneten Dienst nicht bezahlt, ist es deshalb Sache des Dritten, das Entgelt einzuziehen und nötigenfalls einzuklagen. Für den Nachweis seiner Forderung benötigt der Dritte Bestands- und Verkehrsdaten. § 97 Abs. 5 verschafft dem Teilnehmernetzbetreiber datenschutzrechtlich die Erlaubnis, in diesen Einzelfällen dem Dritten die insoweit nötigen Daten zu übermitteln.
13
Offen lässt die Vorschrift aber, auf welcher datenschutzrechtlichen Grundlage der Dritte die ihm überlassenen Bestands- und Verkehrsdaten verwendet. Mit Urt. v. 14.6.2012 hat der BGH entschieden, dass für ihn § 97 „entsprechend“ gelten soll2. Der BGH leitet daraus weiter ab, dass die oben (Rz. 9) beschriebenen Einschränkungen für die Abtretung und insbesondere das Verbot der Kettenabtretung auch für solche Forderungen anwendbar sein sollen. Der Dritte (im entschiedenen Fall Anbieter eines Premium-Dienstes i.S.d. § 3 Nr. 17a TKG) sei zwar kein Diensteanbieter i.S.d. datenschutzrechtlichen Vorschriften des TKG, sondern Anbieter eines telekommunikationsgestützten Dienstes gem. § 3 Nr. 25 TKG3, weil der Schwerpunkt der erbrachten Leistung nicht in der Nachrichtenübermittlung liege4. § 97 soll gleichwohl auf Grundlage einer an Sinn und Zweck der Vorschrift orientierten Auslegung anwendbar sein, weil der Dritte für seine Abrechnung und den Einzug der Forderung auf Bestands- und Verkehrsdaten angewiesen sei5. Die Ansicht des BGH hat in mehreren Aufsätzen Zustimmung gefunden6.
14
1 BGH v. 28.7.2005 – III ZR 3/05, NJW 2005, 3636 = CR 2005, 864. In diesem Punkt zustimmend Schmitz, CR 2012, 577 (578) sowie Vander, K&R 2012, 577 (578). 2 BGH v. 14.6.2012 – III ZR 227/11, NJW 2012, 2582 = CR 2012, 584. 3 Telekommunikationsgestützte Dienste sind hiernach „Dienste, die keinen räumlich und zeitlich trennbaren Leistungsfluss auslösen, sondern bei denen die Inhaltsleistung noch während der Telekommunikationsverbindung erfüllt wird“. 4 BGH v. 14.6.2012 – III ZR 227/11, NJW 2012, 2582 = CR 2012, 584 Rz. 13. 5 BGH v. 14.6.2012 – III ZR 227/11, NJW 2012, 2582 = CR 2012, 584 Rz. 14. 6 Vander, K&R 2012 S. 577 (578); Schmitz, CR 2012, 577; schon vor der BGHEntscheidung hat Schmitz diese Ansicht in ZD 2012, 8 (10) vertreten.
Jenny
1129
TKG § 97
Datenschutz
15 Die Ansicht des BGH ist jedoch problembehaftet. Um eine Vorschrift analog anwenden zu können1, müsste eine planwidrige Regelungslücke aufgezeigt werden, was der BGH unterlässt. Dazu wäre darzulegen, warum nicht andere Rechtsgrundlagen und hier insbesondere §§ 28 ff. BDSG2 für den Umgang des Dritten mit den ihm zulässigerweise nach § 97 Abs. 5 vom Teilnehmernetzbetreiber überlassenen Daten gelten können. Wenn das TKG den Dritten des Abs. 5 auch als Diensteanbieter verstünde, wäre die Datenübermittlung an ihn für Abrechnungszwecke bereits ein Fall des Abs. 4 und § 97 Abs. 5 damit überflüssig. Die Behandlung des Dritten als Diensteanbieter i.S.v. § 97 TKG kann außerdem für den Teilnehmer Konsequenzen haben, die seinen durch die Datenschutzregeln des TKG geschützten Interessen abträglich sind. Denn einem Diensteanbieter i.S.d. Datenschutzvorschriften des TKG darf beispielsweise auch bei vom Teilnehmer aktivierter Rufnummernunterdrückung dessen Rufnummer übermittelt werden3. Während ein Dritter i.S.v. § 97 Abs. 5, der kein Diensteanbieter ist, die Daten des Teilnehmers nur im Einzelfall erhält, wenn die Entgelteinziehung nach § 45h nicht gelingt, ist der Datenaustausch zwischen Diensteanbietern nach § 97 Abs. 4 jedenfalls in der Grundtendenz weniger restriktiv. Weiter sieht § 99 Abs. 1 Satz 7 für Fälle, in denen ein Teilnehmer die Entgelte für ankommende Anrufe trägt, einen anonymisierten Einzelverbindungsnachweis vor. Auch dies lässt sich bei einer Behandlung des Dritten als Diensteanbieter möglicherweise umgehen4, was übrigens auch Gegenstand einer Auseinandersetzung zwischen der BNetzA und einem TK-Anbieter ist5. III. Sanktionen 16 Verstöße gegen die Löschungspflicht nach Abs. 3 Satz 2 sind gem. § 149 Abs. 1 Nr. 17, Abs. 2 mit Bußgeld bis zu 300 000 Euro bedroht. Die unerlaubte Offenbahrung von dem Fernmeldegeheimnis unterliegenden Verkehrsdaten kann außerdem nach § 206 Abs. 1 StGB strafbar sein.
1 Der BGH spricht in der Begründung von einer „entsprechenden“ Anwendung des § 97. 2 Das TMG gilt für telekommunikationsgestützte Dienste nicht, siehe § 1 Abs. 1 Satz 1 TMG. 3 Sassenberg, CR 2011, 502 (505). 4 Schmitz, ZD 2012, 8 (11). 5 Schmitz, ZD 2012, 8 (9).
1130 Jenny
Standortdaten
§ 98 TKG
IV. Zusammenhang mit anderen Vorschriften Die kundenschutzrechtlichen Aspekte der Entgeltermittlung und -abrechnung sind in den §§ 45f bis 45j TKG geregelt. § 99 enthält datenschutzrechtliche Vorgaben für die Erstellung von Einzelverbindungsnachweisen, die dem Kunden ermöglichen sollen, die Korrektheit der Abrechnung zu überprüfen. Standortdaten (1) 1Standortdaten, die in Bezug auf die Nutzer von öffentlichen Telekommunikationsnetzen oder öffentlich zugänglichen Telekommunikationsdiensten verwendet werden, dürfen nur im zur Bereitstellung von Diensten mit Zusatznutzen erforderlichen Umfang und innerhalb des dafür erforderlichen Zeitraums verarbeitet werden, wenn sie anonymisiert wurden oder wenn der Teilnehmer dem Anbieter des Dienstes mit Zusatznutzen seine Einwilligung erteilt hat. 2In diesen Fällen hat der Anbieter des Dienstes mit Zusatznutzen bei jeder Feststellung des Standortes des Mobilfunkendgerätes den Nutzer durch eine Textmitteilung an das Endgerät, dessen Standortdaten ermittelt wurden, zu informieren. 3Dies gilt nicht, wenn der Standort nur auf dem Endgerät angezeigt wird, dessen Standortdaten ermittelt wurden. 4Werden die Standortdaten für einen Dienst mit Zusatznutzen verarbeitet, der die Übermittlung von Standortdaten eines Mobilfunkendgerätes an einen anderen Teilnehmer oder Dritte, die nicht Anbieter des Dienstes mit Zusatznutzen sind, zum Gegenstand hat, muss der Teilnehmer abweichend von § 94 seine Einwilligung ausdrücklich, gesondert und schriftlich gegenüber dem Anbieter des Dienstes mit Zusatznutzen erteilen. 5In diesem Fall gilt die Verpflichtung nach Satz 2 entsprechend für den Anbieter des Dienstes mit Zusatznutzen. 6Der Anbieter des Dienstes mit Zusatznutzen darf die erforderlichen Bestandsdaten zur Erfüllung seiner Verpflichtung aus Satz 2 nutzen. 7Der Teilnehmer muss Mitbenutzer über eine erteilte Einwilligung unterrichten. 8Eine Einwilligung kann jederzeit widerrufen werden.
98
(2) Haben die Teilnehmer ihre Einwilligung zur Verarbeitung von Standortdaten gegeben, müssen sie auch weiterhin die Möglichkeit haben, die Verarbeitung solcher Daten für jede Verbindung zum Netz oder für jede Übertragung einer Nachricht auf einfache Weise und unentgeltlich zeitweise zu untersagen.
Jenny
1131
17
TKG § 98
Datenschutz
(3) Bei Verbindungen zu Anschlüssen, die unter den Notrufnummern 112 oder 110 oder der Rufnummer 124 124 oder 116 117 erreicht werden, hat der Diensteanbieter sicherzustellen, dass nicht im Einzelfall oder dauernd die Übermittlung von Standortdaten ausgeschlossen wird. (4) Die Verarbeitung von Standortdaten nach den Absätzen 1 und 2 muss auf das für die Bereitstellung des Dienstes mit Zusatznutzen erforderliche Maß sowie auf Personen beschränkt werden, die im Auftrag des Betreibers des öffentlichen Telekommunikationsnetzes oder öffentlich zugänglichen Telekommunikationsdienstes oder des Dritten, der den Dienst mit Zusatznutzen anbietet, handeln. I. Einführung . . . . . . . . . . . . . . . . II. 1. 2. 3.
Anwendungsbereich . . . . . . . . Standortdaten . . . . . . . . . . . . . Dienste mit Zusatznutzen . . . Anbieter von Diensten mit Zusatznutzen . . . . . . . . . . . . . .
1 2 2 4 5
4. Verhältnis zu § 96 Abs. 3 TKG . . . . . . . . . . . . . . . . . . . . . . 6 5. Materielle Anforderungen für den Umgang mit Standortdaten . . . . . . . . . . . . . . . . . . . . . 7 6. Notrufe (Abs. 3) . . . . . . . . . . . . 12 III. Sanktionen . . . . . . . . . . . . . . . . 13
Schrifttum: Heun, Der Referentenentwurf zur TKG-Novelle 2011, CR 2011, 152; Jandt, Datenschutz bei Location Based services – Voraussetzungen und Grenzen der rechtmäßigen Verwendung von Postionsdaten; MMR 2007, 74; Pokutnev/ Schmid, Die TKG-Novelle 2012 aus datenschutzrechtlicher Sicht, CR 2012, 360; Steidle, Datenschutz bei Nutzung von Location Based Services im Unternehmen, MMR 2009, 167
I. Einführung 1 Die Vorschrift regelt den Umgang mit Standortdaten für die Erbringung sog. Dienste mit Zusatznutzen. Sie setzt Art. 9 der Datenschutzrichtlinie für elektronische Kommunikation1 um.
1 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. Nr. L 201, S. 37, zuletzt geändert durch Art. 2 ÄndRL 2009/136/EG vom 25.11.2009 (ABl. Nr. L 337, S. 11).
1132 Jenny
Standortdaten
§ 98 TKG
II. Anwendungsbereich 1. Standortdaten Der Begriff der Standortdaten wird in § 3 Nr. 19 TKG definiert. Es han- 2 delt sich hiernach um „Daten, die in einem Telekommunikationsnetz oder von einem Telekommunikationsdienst erhoben oder verwendet werden und die den Standort des Endgeräts eines Endnutzers eines öffentlich zugänglichen Telekommunikationsdienstes angeben“. Neu eingeführt wurde mit dem Gesetz vom 3.5.2012 die Wendung, wonach auch „von einem Telekommunikationsdienst“ erhobene und verwendete Daten erfasst sind. Dies geht auf die gleichlautende Änderung des Art. 2c) der Datenschutzrichtlinie für elektronische Kommunikation durch die Änderungsrichtlinie 2009/136/EG zurück. Leider sprechen die Erwägungsgründe der Änderungsrichtlinie die Motivation für diese Änderung nicht an. Die Erweiterung kann jedenfalls so verstanden werden, dass davon auch Telekommunikationsinhalte, die sich auf den Standort beziehen, erfasst werden. Wenn danach ein Smartphone mittels des eingebauten GPS-Empfängers seinen Standort ermittelt und diese Angaben dann übermittelt, wäre dies ein Standortdatum1. Denn vom Endgerät ausgehende Nachrichten an einen Dritten sind als Inhalt der Telekommunikation zu verstehen. Auch der am Telefon gesprochene Satz „ich bin in der xy-Straße“ wäre dann ein Standortdatum. Ein engeres und genau am Wortlaut „von einem Telekommunikationsdienst“ orientiertes Verständnis würde demgegenüber darauf abstellen, dass gerade der Telekommunikationsdienst als solcher Angaben zum Standort des Endgerätes erhebt oder verwendet. Denn Mobilfunkdienste verwenden zur Herstellung der Verbindung stets auch Angaben zur Funkzelle, in die Mobiltelefone eingebucht sind. Allerdings wären das bereits in einem Telekommunikationsnetz verwendete Daten, so dass die Ergänzung des Normtextes dann weitgehend bedeutungslos wäre. Da jedoch die Missachtung von § 98 nach § 149 Nr. 17a und 17b bußgeldbewehrt ist, muss man den Wortlaut der Norm und also auch die zugrunde liegende Begriffsbestimmung eng auslegen. Deshalb kann man nur solche Angaben, die vom Anbieter eines Telekommunikationsdienstes erhoben und dann von diesem oder einem Anbieter von Diensten mit Zusatznutzen verwendet werden, als Standortdaten i.S.d. § 3 Nr. 19 TKG verstehen. Dadurch wird der Anwendungsbereich von § 98 1 So anscheinend Pokutnev/Schmid, CR 2012, 360 (365) und Heun, CR 2011, 152 (160). Wenn das Endgerät seinen Standort übermittelt, ist das ein Telekommunikationsinhalt.
Jenny
1133
3
TKG § 98
Datenschutz
TKG zwar weiter eingeschränkt, als es dem Gesetzgeber womöglich vorschwebte1, aber immerhin die Dienste erfasst, die auf den Angaben der Funkzelle und nicht auf GPS beruhen2. 2. Dienste mit Zusatznutzen 4 Die von § 98 TKG geregelten Angebote sind „Dienste mit Zusatznutzen“, also Dienste, welche „die Erhebung und Verwendung von Verkehrsdaten oder Standortdaten in einem Maße erforder[n], das über das für die Übermittlung einer Nachricht oder die Entgeltabrechnung dieses Vorganges erforderliche Maß hinausgeht“. In der Praxis geht es hier um Angebote, die entweder den Standort von Endgeräten ermitteln oder in Bezug auf den Standort Informationen zur Verfügung stellen, etwa Hinweise zu in der Nähe befindlichen Gaststätten oder sonstigen Lokalitäten von Interesse. Derartige Dienste sind keine Telekommunikationsdienste, sondern je nach Ausgestaltung telekommunikationsgestützte Dienste i.S.v. § 3 Nr. 25 oder Telemediendienste i.S.d. TMG. Im allgemeinen Sprachgebrauch werden solche Angebote auch neudeutsch als „location based services“ bezeichnet, wobei angesichts der Sperrigkeit und Vagheit der Wendung „Dienst mit Zusatznutzen“ kaum erwartet werden kann, dass diese Bezeichnung in den allgemeinen Sprachgebrauch übergeht. Der Gesetzgeber ist hier dem Wortlaut der Datenschutzrichtlinie für elektronische Kommunikation gefolgt. 3. Anbieter von Diensten mit Zusatznutzen 5 § 98 bezeichnet als Verpflichteten nicht den Diensteanbieter i.S.d. TKG3, sondern den Anbieter des Dienstes mit Zusatznutzen. Da bei solchen Diensten nicht der Transport von Nachrichten im Vordergrund steht, sondern die Leistung in der Nachricht selbst besteht, handelt es sich nicht um Telekommunikationsdienste. Deshalb wird von § 98 TKG ein Personenkreis reguliert, für den das TKG sonst nicht gilt.
1 Siehe die Begründung zum Regierungsentwurf BT-Drucks. 17/5707, S. 79. 2 Solche gibt es durchaus, etwa www.trackyourkid.de. 3 Dies ist, wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, § 3 Nr. 6 TKG. Siehe dazu die Kommentierung zu § 88 Rz. 13 ff. und § 91 Rz. 4 ff.
1134 Jenny
Standortdaten
§ 98 TKG
4. Verhältnis zu § 96 Abs. 3 TKG Neben § 98 enthält auch § 96 Abs. 3 Regelungen für das Angebot von 6 Diensten mit Zusatznutzen. Jene Vorschrift erlaubt dem Diensteanbieter, Verkehrsdaten mit Einwilligung des Teilnehmers für das Erbringen solcher Dienste zu verwenden. Verkehrsdaten sind mit Standortdaten nicht deckungsgleich, denn nicht alle Daten mit Standortbezug, die in Mobilfunknetzen ermittelt werden können1, sind für das Aufbauen von Verbindungen erforderlich. Verwendet der Diensteanbieter für einen Dienst mit Zusatznutzen lediglich Verkehrsdaten, so kann dies auf § 96 Abs. 3 gestützt werden. Wenn hingegen Standortdaten verwendet werden, die keine Verkehrsdaten sind, oder gar ein anderer Anbieter des Dienstes mit Zusatznutzen ist, gilt § 98. Dies lässt sich auch auf die Datenschutzrichtlinie für elektronische Kommunikation zurückführen, die in Art. 6 Abs. 3 Dienste des Diensteanbieters mit Zusatznutzen auf Grundlage von Verkehrsdaten und in Art. 9 Dienste mit Zusatznutzen auf Grundlage von Standortdaten, die keine Verkehrsdaten sind („andere Standortdaten als Verkehrsdaten“), regelt2. Wie ihrem Erwägungsgrund Nr. 35 entnommen werden kann, hat diese Richtlinie mit ihrer Differenzierung vor allem solche Standortinformationen im Auge, die genauer sind, als zur Erbringung von Telekommunikationsdiensten erforderlich3. Da jedoch sowohl bei § 96 Abs. 3 als auch bei § 98 bei Personenbezug der verwendeten Informationen die Einwilligung des Teilnehmers erforderlich ist, besteht in der Sache kein materieller Unterschied zwischen den Vorschriften. 5. Materielle Anforderungen für den Umgang mit Standortdaten Satz 1 erlaubt den Umgang mit Standortdaten für das Erbringen von 7 Diensten mit Zusatznutzen entweder mit Einwilligung des Teilnehmers oder in anonymisierter Form. Wenn das Gesetz hier von „Verarbeiten“ spricht, umfasst dies das Erheben, Verarbeiten und Nutzen der Daten und ist, da die Norm hier den Wortlaut der Datenschutzrichtlinie für elektronische Kommunikation übernimmt4, weiter zu verstehen als nach § 3 Abs. 4 BDSG. Nach den Sätzen 2 und 3 ist der Nutzer des Endgeräts, dessen Standort für den Dienst festgestellt wird, per Textnachricht über jede Positionsbestimmung zu informieren, es sei denn, der 1 Siehe zu den Methoden der GSM-Ortung den entsprechenden Beitrag auf Wikipedia. 2 Jandt, MMR 2007, 74 (75). 3 Heun/Eckhardt, Teil L Rz. 262. 4 Jandt, MMR 2007, 74 (75); Heun/Eckhardt, Teil L Rz. 270.
Jenny
1135
TKG § 98
Datenschutz
Standort wird lediglich auf dem Endgerät angezeigt. Nutzer ist hier die Person, die das Gerät mit sich führt und nicht notwendigerweise der Teilnehmer1. Diese Vorgabe soll Transparenz für den Nutzer schaffen. 8 Für die Einwilligung zuständig ist in allen Fällen der Teilnehmer als Vertragspartner des Anbieters. Der Anbieter kann in der Praxis nicht wissen, ob der Teilnehmer das Endgerät selbst mit sich führt, weshalb ihm nicht zugemutet werden kann, die Einwilligung des Nutzers einzuholen. Ähnlich wie beim Einzelverbindungsnachweis (§ 99 Abs. 3 S. 3) lässt das Gesetz deshalb die Einwilligung des Teilnehmers genügen, der dafür aber verpflichtet ist, etwaige Mitbenutzer zu informieren (Satz 7). Die Einwilligung ist jederzeit widerruflich (Abs. 1 Satz 8) und daneben sollen Teilnehmer nach Abs. 2 auch die Option haben, den Umgang mit Standortdaten temporär zu unterbinden. 9 In jüngerer Zeit sind Dienste aufgekommen, deren Gegenstand die Ermittlung des Standortes Anderer ist2. Der Anbieter des Dienstes verwendet Standortdaten, um die Position des von dem Anderen mitgeführten Endgerätes zu ermitteln und sie seinem Kunden mitzuteilen. Dies hat zu den Regelungen in den Sätzen 4 und 5 des Absatzes 1 geführt, die zunächst im TKG nicht enthalten waren3, und die so auch nicht in der Datenschutzrichtlinie für elektronische Kommunikation vorgesehen sind. Danach muss die Einwilligung des Teilnehmers in den Umgang mit Standortdaten für solche Dienste „ausdrücklich, gesondert und schriftlich“ erfolgen. Das Erfordernis einer schriftlichen Einwilligung setzt Vertriebsmodellen im E-Commerce und damit einer spontanen Bestellung Grenzen. Der Nutzer ist auch hier über jede durchgeführte Positionsbestimmung per Textnachricht zu informieren. Nach dem bis zum 10.5.2012 geltenden Rechtszustand war demgegenüber nur bei jeder fünften Positionsbestimmung eine entsprechende Nachricht vonnöten, so dass die Rechtslage hier zum Schutz der Nutzer nunmehr deutlich strenger ist. 10 Angemerkt sei allerdings, dass manche dieser Angebote nicht auf Standortdaten i.S.d. TKG beruhen, sondern auf Apps, die in Smartphones eingebaute GPS-Empfänger aktivieren. GPS ist kein Telekommunikati1 Zu den Begrifflichkeiten siehe § 91 Rz. 7. 2 Solche Angebote sind z.B. zu finden unter www.handyorten-kostenlos.de, http://mobilspionage.de, www.handyorten.de, www.trackyourfriend.de und www.handylocation.com. 3 Erste Regelungen hierzu wurden durch das erste Gesetz zur Änderung des Telekommunikationsgesetzes und des Gesetzes über die elektromagnetische Verträglichkeit von Betriebsmitteln vom 29.7.2009 (BGBl. I, S. 2409) eingeführt.
1136 Jenny
Standortdaten
§ 98 TKG
onsdienst und es werden auch keine Daten in einem Telekommunikationsnetz oder von einem Telekommunikationsdienst verwendet. Denn GPS übermittelt keine Nachrichten für die Nutzer, sondern teilt dem Empfangsgerät lediglich die Standorte von Satelliten zu bestimmten Zeiten mit. Die Positionsbestimmung erfolgt dann auf dieser Grundlage im Empfangsgerät1. Selbst wenn man das GPS-Satellitennetz als Telekommunikationsnetz ansieht2, sind die von den Satelliten gesendeten Daten nicht in diesem Netz verwendete Daten, sondern von ihm übermittelte Nachrichten, die ihrerseits nicht den Standort des Endgeräts angeben, sondern dem Gerät die Standortbestimmung ermöglichen. Abs. 4 wiederholt für den Umgang mit Standortdaten die auch schon in 11 Abs. 1 Satz 1 enthaltene Beschränkung auf das erforderliche Maß. Außerdem ist wird der Kreis der Personen, die auf Seiten der Netzbetreiber, Diensteanbieter und Anbieter der Dienste mit Zusatznutzen Zugang zu Standortdaten haben, limitiert. Die Regelung ist Art. 9 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation nachgebildet. 6. Notrufe (Abs. 3) Die Regelung des Abs. 3 gehört eigentlich nicht in den Bereich des Da- 12 tenschutzes, sondern den der öffentlichen Sicherheit in § 108. Beim Anruf von Notrufnummern werden gem. § 108 Abs. 1 Satz 3 Nr. 2 regelmäßig Angaben zum Standort des Anrufers übermittelt. Einzelheiten werden in der nach § 108 Abs. 3 erlassenen Verordnung über Notrufverbindungen sowie Richtlinien der BNetzA nach § 108 Abs. 4 festgelegt. III. Sanktionen Die Pflichten nach § 98 sind nach § 149 Abs. 1 Nr. 17a und 17b bußgeldbewehrt. Hiernach begeht eine Ordnungswidrigkeit, wer „ohne Einwilligung nach § 98 Abs. 1 Satz 2 in Verbindung mit Satz 1 Daten verarbeitet“ (Nr. 17a.) oder „entgegen § 98 Absatz 1 Satz 2, auch in Verbindung mit Satz 5, eine Information nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gibt“ (§ 149 Abs. 1 Nr. 17b). In Nr. 17a hat sich jedoch ein Redaktionsfehler eingeschlichen, weil § 98 Abs. 1 Satz 2 kein Einwilligungserfordernis enthält. Die dort gemeinte Einwilligung ist nunmehr in Satz 4 vorgesehen, aber § 149 Abs. 1 Nr. 17a wurde nicht an 1 Siehe die Beschreibung der Funktion im Beitrag „Global Positioning System“ in Wikipedia. 2 So Steidle, MMR 2009, 167 (168).
Jenny
1137
13
TKG § 99
Datenschutz
die letzten Änderungen in § 98 Abs. 1 angepasst. Es bleibt abzuwarten, ob dies noch in Bußgeldverfahren zu Schwierigkeiten führt. Im Moment dürfte eine Ahndung von Verstößen gegen § 98 Abs. 1 Satz 4 nach dem Grundsatz nulla poena sine lege (§ 3 OWiG) nicht in Betracht kommen. Einzelverbindungsnachweis (1) 1Dem Teilnehmer sind die gespeicherten Daten derjenigen Verbindungen, für die er entgeltpflichtig ist, nur dann mitzuteilen, wenn er vor dem maßgeblichen Abrechnungszeitraum in Textform einen Einzelverbindungsnachweis verlangt hat; auf Wunsch dürfen ihm auch die Daten pauschal abgegoltener Verbindungen mitgeteilt werden. 2Dabei entscheidet der Teilnehmer, ob ihm die von ihm gewählten Rufnummern ungekürzt oder unter Kürzung um die letzten drei Ziffern mitgeteilt werden. 3Bei Anschlüssen im Haushalt ist die Mitteilung nur zulässig, wenn der Teilnehmer in Textform erklärt hat, dass er alle zum Haushalt gehörenden Mitbenutzer des Anschlusses darüber informiert hat und künftige Mitbenutzer unverzüglich darüber informieren wird, dass ihm die Verkehrsdaten zur Erteilung des Nachweises bekannt gegeben werden. 4Bei Anschlüssen in Betrieben und Behörden ist die Mitteilung nur zulässig, wenn der Teilnehmer in Textform erklärt hat, dass die Mitarbeiter informiert worden sind und künftige Mitarbeiter unverzüglich informiert werden und dass der Betriebsrat oder die Personalvertretung entsprechend den gesetzlichen Vorschriften beteiligt worden ist oder eine solche Beteiligung nicht erforderlich ist. 5Soweit die öffentlich-rechtlichen Religionsgesellschaften für ihren Bereich eigene Mitarbeitervertreterregelungen erlassen haben, findet Satz 4 mit der Maßgabe Anwendung, dass an die Stelle des Betriebsrates oder der Personalvertretung die jeweilige Mitarbeitervertretung tritt. 6Dem Teilnehmer dürfen darüber hinaus die gespeicherten Daten mitgeteilt werden, wenn er Einwendungen gegen die Höhe der Verbindungsentgelte erhoben hat. 7Soweit ein Teilnehmer zur vollständigen oder teilweisen Übernahme der Entgelte für Verbindungen verpflichtet ist, die bei seinem Anschluss ankommen, dürfen ihm in dem für ihn bestimmten Einzelverbindungsnachweis die Nummern der Anschlüsse, von denen die Anrufe ausgehen, nur unter Kürzung um die letzten drei Ziffern mitgeteilt werden. 8Die Sätze 2 und 7 gelten nicht für Diensteanbieter, die als Anbieter für geschlossene Benutzergruppen ihre Dienste nur ihren Teilnehmern anbieten.
99
1138 Jenny
§ 99 TKG
Einzelverbindungsnachweis
(2) 1Der Einzelverbindungsnachweis nach Absatz 1 Satz 1 darf nicht Verbindungen zu Anschlüssen von Personen, Behörden und Organisationen in sozialen oder kirchlichen Bereichen erkennen lassen, die grundsätzlich anonym bleibenden Anrufern ganz oder überwiegend telefonische Beratung in seelischen oder sozialen Notlagen anbieten und die selbst oder deren Mitarbeiter insoweit besonderen Verschwiegenheitsverpflichtungen unterliegen. 2Dies gilt nur, soweit die Bundesnetzagentur die angerufenen Anschlüsse in eine Liste aufgenommen hat. 3Der Beratung im Sinne des Satzes 1 dienen neben den in § 203 Abs. 1 Nr. 4 und 4a des Strafgesetzbuches genannten Personengruppen insbesondere die Telefonseelsorge und die Gesundheitsberatung. 4Die Bundesnetzagentur nimmt die Inhaber der Anschlüsse auf Antrag in die Liste auf, wenn sie ihre Aufgabenbestimmung nach Satz 1 durch Bescheinigung einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts nachgewiesen haben. 5Die Liste wird zum Abruf im automatisierten Verfahren bereitgestellt. 6Der Diensteanbieter hat die Liste quartalsweise abzufragen und Änderungen unverzüglich in seinen Abrechnungsverfahren anzuwenden. 7Die Sätze 1 bis 6 gelten nicht für Diensteanbieter, die als Anbieter für geschlossene Benutzergruppen ihre Dienste nur ihren Teilnehmern anbieten. (3) 1Bei Verwendung einer Kundenkarte muss auch auf der Karte ein deutlicher Hinweis auf die mögliche Mitteilung der gespeicherten Verkehrsdaten ersichtlich sein. 2Sofern ein solcher Hinweis auf der Karte aus technischen Gründen nicht möglich oder für den Kartenemittenten unzumutbar ist, muss der Teilnehmer eine Erklärung nach Absatz 1 Satz 3 oder Satz 4 abgegeben haben. I. Einführung . . . . . . . . . . . . . . . .
1 2
4. Beratungsstellen (Abs. 2) . . . . . 5. Ausnahmen für geschlossene Benutzergruppen (Abs. 1 Satz 8, Abs. 2 Satz 7) . . . . . . . .
6
II. Anwendungsbereich . . . . . . . . 1. Begriffsbestimmung und Anforderungen (§ 45e, § 99 Abs. 1 Sätze 1, 2) . . . . . . . . . . . 2. Schutz von Mitbenutzern und Beschäftigten (Abs. 1 Sätze 3 bis 6, Abs. 3) . . . . . . . . . . . 3. Einzelverbindungsnachweis für eingehende Anrufe (Abs. 1 Satz 7). . . . . . . . . . . . . .
2
III. Sanktionen . . . . . . . . . . . . . . . .
8
IV. Zusammenhang mit anderen Vorschriften . . . . . . . . . . . . . . .
9
3
7
5
Schrifttum: Bäcker, Die Betroffenenauskunft im Telekommunikationsrecht, MMR 2009, 803; Schmitz, Telefonanlagenfunktionen im Netz des TK-Providers – Vertragsgestaltung unter einer datenschutzrechltichen Gemengelage nach TKG,
Jenny
1139
TKG § 99
Datenschutz
TMG und BDSG, ZD 2011, 104; Schmitz, Abrechnung von tk-gestützten Diensten nach § 97 TKG, CR 2012, 577.
I. Einführung 1 Die Vorschrift regelt die datenschutzrechtlichen Aspekte der Erstellung von Einzelverbindungsnachweisen. Dabei setzt sie Art. 7 der Datenschutzrichtlinie für elektronische Kommunikation1 um. Die Erstellung von Einzelverbindungsnachweisen ist daneben in kundenschutzrechtlicher Hinsicht in der Vorschrift des § 45e TKG geregelt. II. Anwendungsbereich 1. Begriffsbestimmung und Anforderungen (§ 45e, § 99 Abs. 1 Sätze 1, 2) 2 Die Kunden von Telekommunikationsdiensten haben häufig Interesse, die Richtigkeit ihrer Rechnungen nachzuprüfen. Dieses Interesse wird durch § 45e TKG geschützt, der ihnen Anspruch auf die Erteilung von Einzelverbindungsnachweisen gibt. Dabei handelt es sich um „eine nach Einzelverbindungen aufgeschlüsselte Rechnung“ (§ 45e Abs. 1 Satz 1). Der Einzelverbindungsnachweis hat zumindest die Angaben zu enthalten, die für eine Nachprüfung der Teilbeträge der Rechnung erforderlich sind. Die BNetzA hat nach § 45e Abs. 2 Satz 1 die Möglichkeit, die Angaben und die Form von Einzelverbindungsnachweisen festzulegen. Hiervon hat sie mit der Verfügung Nr. 35/2008 vom 23.4.2008 Gebrauch gemacht2. Für diesen Vorgaben entsprechende Einzelverbindungsnachweise (sog. Standardnachweise) dürfen keine Entgelte erhoben werden (§ 45e Abs. 2 Satz 2). Der Einzelverbindungsnachweis kann vom Teilnehmer nur für die Zukunft verlangt werden, womit dem Diensteanbieter die Belastung erspart werden soll, auch für die Vergangenheit entsprechende Nachweise vorlegen zu müssen. Für Verbindungen in der Vergangenheit hat der Teilnehmer aber nach § 45i Abs. 1 die Möglichkeit, entsprechende Nachweise zu erhalten, muss dazu aber binnen acht Wochen nach Zugang die Rechnung beanstanden. Der Teilnehmer hat die Wahl, ob er angerufene Nummern um die letzten drei Ziffern ver1 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. Nr. L 201, S. 37, zuletzt geändert durch Art. 2 ÄndRL 2009/136/EG vom 25.11.2009 (ABl. Nr. L 337, S. 11). 2 ABl. BNetzA Nr. 7/2008, S. 646.
1140 Jenny
Einzelverbindungsnachweis
§ 99 TKG
kürzt oder vollständig mitgeteilt erhält (§ 99 Abs. 1 Satz 2). Um kontrollieren zu können, ob Flatrate-Anbebote sich lohnen, kann der Einzelverbindungsnachweis auf Wunsch des Teilnehmers auch Daten zu pauschal abgegoltenen Verbindungen enthalten (§ 99 Abs. 1 Satz 1 letzter Halbs.), was jedoch nicht Teil der unentgeltlichen Standardnachweise ist und folglich vom Diensteanbieter berechnet werden kann1. 2. Schutz von Mitbenutzern und Beschäftigten (Abs. 1 Sätze 3 bis 6, Abs. 3) Einzelverbindungsnachweise enthalten Informationen zum Kommuni- 3 kationsverhalten aller Nutzer also auch über Mitbewohner und Beschäftigte. Sätze 3, 4 und 5 sollen deshalb sicherstellen, dass diese Personen darüber informiert sind, dass Einzelverbindungsnachweise erstellt werden. Außerdem sollen insoweit betriebliche Mitbestimmungsrechte abgesichert werden. Ob diesen Anforderungen in der Praxis durchgängig genügt wird, kann man bezweifeln2. Anders als bei Einzelverbindungsnachweisen gelten nach Abs. 1 Satz 6 die Anforderungen der Sätze 3 bis 5 nicht, wenn der Teilnehmer Rechnungen beanstandet und deshalb gem. § 45i Abs. 1 nachträglich eine Aufschlüsselung der Rechnung verlangt. Dies wird von manchen kritisiert3, die deshalb vertreten, dass in diesen Fällen die Aufschlüsselung nur in verkürzter Form der angerufenen Nummern erfolgen dürfe. Dies war anscheinend auch die Ansicht des Gesetzgebers4, die allerdings im heutigen Gesetzestext nicht (mehr) reflektiert ist. Indessen macht es einen beachtlichen qualitativen Unterschied, ob man von vornherein das Kommunikationsverhalten aller Mitbewohner und/oder Beschäftigten mit jeder Rechnung auswerten kann oder nur im Einzelfall wegen einer Beanstandung, weshalb die Kritik nicht überzeugt. Beim Einsatz von Kundenkarten, also nach § 3 Nr. 11 „Karten, mit deren Hilfe Telekommunikationsverbindungen hergestellt und personenbezogene Daten erhoben werden können“, sieht Abs. 3 eine Hinweispflicht vor. Solche Kundenkarten sind in der heutigen Praxis wohl ganz überwiegend SIM-Karten von Mobiltelefonen, die an Beschäftigte oder Angehörige ausgegeben werden. Wenn wie bei SIM-Karten ein Hinweis
1 2 3 4
Siehe Ziffer A letzter Absatz der Vfg Nr. 35/2008, ABl. BNetzA 7/2008, S. 646. BeckTKGKomm/Wittern, § 99 Rz. 12. Arndt/Fetzer/Scherer/Fetzer, § 99 Rz. 12. BT-Drucks. 15/2316, S. 90, wobei die Ausführungen dort nicht eindeutig sind und sich auf inzwischen aufgehobene Vorschriften (§ 97 Abs. 4) beziehen.
Jenny
1141
4
TKG § 99
Datenschutz
praktisch unmöglich oder unzumutbar ist, muss stattdessen nach Abs. 1 Satz 3 und 4 verfahren werden. 3. Einzelverbindungsnachweis für eingehende Anrufe (Abs. 1 Satz 7) 5 Wenn der Teilnehmer für ankommende Anrufe entgeltpflichtig ist, kann er lediglich einen gekürzten Einzelverbindungsnachweis für diese Anrufe erhalten. Dies ist Ausdruck des Rechtsgedankens des § 102, wonach der Anrufer darüber entscheiden können soll, ob seine Rufnummer dem Gesprächspartner mitgeteilt wird1. Aus Sicht von Anbietern telekommunikationsgestützer Dienste trägt die Vorschrift ihrem Interesse an der Kenntnis ihrer Kunden nicht hinreichend Rechnung, weshalb Schmitz dafür plädiert, sie als Diensteanbieter i.S.v. § 97 zu behandeln2. Durch die neuere BGH-Rechtsprechung zu § 97 hat diese Sichtweise Rückenwind erhalten3 Bei netzseitig implementierten Funktionalitäten von Telefonanlagen muss wegen Abs. 1 Satz 7 die volle Protokollierung anrufender Rufnummern als Auftragsdatenverarbeitung des Diensteanbieters für den Teilnehmer ausgestaltet werden, wobei aber § 102 zu beachten ist4. 4. Beratungsstellen (Abs. 2) 6 Zum Schutz der Vertraulichkeitsinteressen für Anrufe bei den in Abs. 2 genannten Organisationen sind diesbezügliche Informationen in Einzelverbindungsnachweisen nicht aufzuführen. Abs. 2 enthält Vorgaben, um dieses Ziel praktisch zu erreichen. 5. Ausnahmen für geschlossene Benutzergruppen (Abs. 1 Satz 8, Abs. 2 Satz 7) 7 Anbieter, die lediglich geschlossene Benutzergruppen bedienen5, werden von einzelnen Anforderungen der Abs. 1 und von Abs. 2 entlastet, da es sich hier in der Regel um kleine Anbieter handelt, die nicht überfordert werden sollen.
1 BeckTKGKomm/Wittern, § 99 Rz. 14. 2 Schmitz, ZD 2012, 8 (9f). 3 Siehe dazu und zu den Einwänden dagegen die Kommentierung zu § 97 Rz. 14 f. 4 Schmitz, ZD 2011, 104 (107) sowie Kommentierung zu § 91 Rz. 17. 5 Siehe näher Kommentierung zu § 91 Rz. 13.
1142 Jenny
Störungen und Missbrauch
§ 100 TKG
III. Sanktionen § 99 ist nicht bußgeldbewehrt. Wird trotz Anforderung kein Einzel- 8 verbindungsnachweis erteilt, so ist dies eine zivilrechtlich zu behandelnde Vertragsverletzung des Diensteanbieters. Gibt der Diensteanbieter in einem Einzelverbindungsnachweis Daten preis, die dort nicht genannt werden dürfen (etwa Anrufe zu Beratungsstellen nach Abs. 2), steht ein strafbarer Verstoß gegen das Fernmeldegeheimnis nach § 206 StGB im Raum. IV. Zusammenhang mit anderen Vorschriften Die kundenschutzrechtlichen Aspekte zum Einzelverbindungsnachweis 9 sind in § 45e TKG geregelt. Aus § 99 folgen Einschränkungen des Rechts des Betroffenen auf Auskunft über seine Verkehrsdaten, weil sonst die von dieser Vorschrift zu Gunsten der Diensteanbieter und auch anderer Nutzer vorgesehenen Grenzen ausgehebelt würden1. Störungen von Telekommunikationsanlagen und Missbrauch von Telekommunikationsdiensten
100
(1) Soweit erforderlich, darf der Diensteanbieter zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden.
(2) 1Zur Durchführung von Umschaltungen sowie zum Erkennen und Eingrenzen von Störungen im Netz ist dem Betreiber der Telekommunikationsanlage oder seinem Beauftragten das Aufschalten auf bestehende Verbindungen erlaubt, soweit dies betrieblich erforderlich ist. 2Eventuelle bei der Aufschaltung erstellte Aufzeichnungen sind unverzüglich zu löschen. 3Das Aufschalten muss den betroffenen Kommunikationsteilnehmern durch ein akustisches oder sonstiges Signal zeitgleich angezeigt und ausdrücklich mitgeteilt werden. 4Sofern dies technisch nicht möglich ist, muss der betriebliche Datenschutzbeauftragte unverzüglich detailliert über die Verfahren und Umstände jeder einzelnen Maßnahme informiert werden. 5Diese Informationen sind beim betrieblichen Datenschutzbeauftragten für zwei Jahre aufzubewahren. (3) 1Wenn zu dokumentierende tatsächliche Anhaltspunkte für die rechtswidrige Inanspruchnahme eines Telekommunikationsnetzes oder 1 Siehe dazu ausführlich Bäcker, MMR 2009, 803, sowie bei § 33 Rz. 7.
Jenny
1143
TKG § 100
Datenschutz
-dienstes vorliegen, insbesondere für eine Leistungserschleichung oder einen Betrug, darf der Diensteanbieter zur Sicherung seines Entgeltanspruchs die Bestandsdaten und Verkehrsdaten verwenden, die erforderlich sind, um die rechtswidrige Inanspruchnahme des Telekommunikationsnetzes oder -dienstes aufzudecken und zu unterbinden. 2Der Diensteanbieter darf die nach § 96 erhobenen Verkehrsdaten in der Weise verwenden, dass aus dem Gesamtbestand aller Verkehrsdaten, die nicht älter als sechs Monate sind, die Daten derjenigen Verbindungen des Netzes ermittelt werden, für die tatsächliche Anhaltspunkte den Verdacht der rechtswidrigen Inanspruchnahme von Telekommunikationsnetzen und -diensten begründen. 3Der Diensteanbieter darf aus den Verkehrsdaten und Bestandsdaten nach Satz 1 einen pseudonymisierten Gesamtdatenbestand bilden, der Aufschluss über die von einzelnen Teilnehmern erzielten Umsätze gibt und unter Zugrundelegung geeigneter Kriterien das Auffinden solcher Verbindungen des Netzes ermöglicht, bei denen der Verdacht einer rechtswidrigen Inanspruchnahme besteht. 4Die Daten anderer Verbindungen sind unverzüglich zu löschen. 5Die Bundesnetzagentur und der Bundesbeauftragte für den Datenschutz sind über Einführung und Änderung eines Verfahrens nach Satz 1 unverzüglich in Kenntnis zu setzen. (4) 1Unter den Voraussetzungen des Absatzes 3 Satz 1 darf der Diensteanbieter im Einzelfall Steuersignale erheben und verwenden, soweit dies zum Aufklären und Unterbinden der dort genannten Handlungen unerlässlich ist. 2Die Erhebung und Verwendung von anderen Nachrichteninhalten ist unzulässig. 3Über Einzelmaßnahmen nach Satz 1 ist die Bundesnetzagentur in Kenntnis zu setzen. 4Die Betroffenen sind zu benachrichtigen, sobald dies ohne Gefährdung des Zwecks der Maßnahmen möglich ist. I. Einführung . . . . . . . . . . . . . . . .
1
II. Anwendungsbereich . . . . . . . . 1. Verwendung von Bestandsund Verkehrsdaten bei Störungen und Fehlern (Abs. 1) . .
2
3
2. Aufschalten auf Verbindungen (Abs. 2) . . . . . . . . . . . . . . . . 3. Bekämpfung von Missbräuchen (Abs. 3, 4) . . . . . . . . . . . . .
8 9
III. Sanktionen . . . . . . . . . . . . . . . . 12
Schrifttum: Breyer, (Un-)Zulässigkeit einer anlasslosen, siebentägigen Vorratsdatenspeicherung – Grenzen des Rechts auf Anonymität, MMR 2011, 573; Eckhardt/Schmitz, Datenschutz in der TKG-Novelle, CR 2011, 436; Ivanov, Rechtliche Rahmenbedingungen für Provider beim Filtern, Scannen und Löschen von Spam, Späh- und Schadsoftware, Gutachten für den eco-Verband der deutschen Internetwirktschaft e.V., Dezember 2007; Ohlenburg, Der neue Telekommunikationsdatenschutz – Eine Darstellung von Teil 7 Abschnitt 2 TKG, MMR 2004,
1144 Jenny
Störungen und Missbrauch
§ 100 TKG
431; Pokutnev/Schmid, Die TKG-Novelle 2012 aus datenschutzrechtlicher Sicht, CR 2012, 360; Schuster/Sassenberg, Monitoring und Fraud Detection durch Telekommunikationsanbieter, CR 2011, 15.
I. Einführung Die Vorschrift erlaubt den Diensteanbietern und Betreibern von Tele- 1 kommunikationsanlagen, Bestands- und Verkehrsdaten zu erheben und verwenden, um gegen Störungen und Missbräuche vorzugehen. Die Norm beruht nicht unmittelbar auf europarechtlichen Vorgaben, doch geht die Datenschutzrichtlinie für elektronische Kommunikation1 in Erwägungsgrund 29 und Art. 6 Abs. 5 ersichtlich davon aus, dass Verkehrsdaten für die Zwecke des § 100 verwendet werden. § 100 wurde mit dem Gesetz vom 3.5.2012 in Abs. 2 und vor allem Abs. 3 umfassend geändert. II. Anwendungsbereich Abs. 1 regelt in allgemeiner Form den Umgang mit Bestands- und Ver- 2 kehrsdaten zur Bekämpfung von Störungen oder Fehlern an Telekommunikationsanlagen. Abs. 2 erlaubt hierfür das Aufschalten auf bestehende Verbindungen. Abs. 3 regelt die Bekämpfung von Missbräuchen unter Verwendung von Bestands- und Verkehrsdaten, Abs. 4 für den gleichen Zweck die Auswertung von Steuersignalen. 1. Verwendung von Bestands- und Verkehrsdaten bei Störungen und Fehlern (Abs. 1) Abs. 1 erlaubt den Umgang mit Bestands- und Verkehrsdaten zum Er- 3 kennen, Eingrenzen oder Beseitigen von Fehlern oder Störungen an Telekommunikationsanlagen. Bestandsdaten, Verkehrsdaten2 und Telekommunikationsanlagen sind im TKG legaldefinierte Begriffe (§ 3 Nr. 3, Nr. 30 bzw. Nr. 23 TKG). Telekommunikationsanlagen sind nach der Definition in § 3 Nr. 23 „technische Einrichtungen oder Systeme, die als Nachrichten identifizierbare elektromagnetische oder optische Signale 1 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. Nr. L 201, S. 37, zuletzt geändert durch Art. 2 ÄndRL 2009/136/EG vom 25.11.2009 (ABl. Nr. L 337, S. 11). 2 Siehe zu Bestands- und Verkehrsdaten die Kommentierung zu § 95 bzw. § 96.
Jenny
1145
TKG § 100
Datenschutz
senden, übertragen, vermitteln, empfangen, steuern oder kontrollieren können“. Fehler und Störung sind als ungewollte Beeinträchtigungen des bestimmungsgemäßen Gebrauchs der Telekommunikationsanlagen zu verstehen1. Der Umgang mit Daten ist für das Erkennen, Eingrenzen und Beseitigen gestattet, was auch Maßnahmen und Überprüfungen erlaubt, bevor Fehler oder Störungen festgestellt werden. Dies folgt auch daraus, dass das Gesetz anders als vor 2004 nicht mehr auf bereits konkret festgestellte Einzelfälle abstellt. 4 Eine Vorratsspeicherung von Daten für einen längeren Zeitraum erlaubt dies aber nicht2. Der BGH ist in seinemUrteil zur Speicherung von IPNummern3 davon ausgegangen, dass § 100 Abs. 1 die siebentägige Speicherung dieser Angaben rechtfertigen kann. Dies ist angesichts des in Abs. 1 enthaltenen Erforderlichkeitskriteriums zweifelhaft4, genauso wie die vom BGH getroffene Annahme, dass das Erkennen von Spam, Viren oder Phishing zu den Zwecken nach § 100 Abs. 1 gehört5. Diese Phänomene und die mit ihnen einhergehenden Beeinträchtigungen und Schäden betreffen in der Regel nicht die Telekommunikationsanlagen des Diensteanbieters, sondern seine Dienste (bei Spam-E-Mail) und/oder (bei Phishing bzw. Viren) Computer des Teilnehmers. Eine Ausnahme kann insoweit im Arbeitsverhältnis gelten, wo der Teilnehmer (Beschäftigter) in der Regel EDV-Anlagen des Diensteanbieters (Arbeitgeber) nutzt, da dann Systeme des Diensteanbieters diesen Gefahren ausgesetzt sind. Wenn ein Diensteanbieter ansonsten eine Filterung für Spam, Phishing und Viren durchführen möchte, sollte er sich daher um die Einwilligung der Teilnehmer bemühen, zumal fast alle Teilnehmer diese dankend erteilen werden und der entgegenstehende Wunsch mancher zu respektieren ist. 5 Fraglich ist, ob hierbei nur eigene Anlagen des Diensteanbieters erfasst sind oder auch Geräte Dritter. Für Ersteres spricht, dass § 88 Abs. 3 Satz 1 auf den Schutz der technischen Systeme der Diensteanbieter ab-
1 Arndt/Fetzer/Scherer/Fetzer, § 100 Rz. 5. Enger anscheinend Breyer, MMR 2011, 575 (575) unter Verweis auf Erwägungsgrund 29 der Datenschutzrichtlinie für elektronische Telekommunikation. Jener Wortlaut ist aber auch nicht eindeutig und lässt „technische Versehen“ als Grund ausreichen, ohne dass zwingend ein Übertragungsfehler eintreten muss. 2 Arndt/Fetzer/Scherer/Fetzer, § 100 Rz. 4. 3 BGH v. 13.1.2011 – III ZR 146/10, CR 2011, 96 Rz. 25 ff. 4 Siehe näher dazu § 96 Rz. 6. 5 Diese Ansicht wird auch im Schrifttum vertreten, siehe etwa Ivanov, eco-Gutachten S. 36.
1146 Jenny
Störungen und Missbrauch
§ 100 TKG
stellt1. Allerdings verlangt die Rechtsprechung neuerdings in anderem Zusammenhang von Diensteanbietern, die Kostenentwicklung ihrer Teilnehmer im Auge zu behalten und sie auf eine atypische Nutzung aufmerksam zu machen2. In den entschiedenen Fällen waren jeweils Fehlkonfigurationen von Routern oder Endgeräten der Teilnehmer Auslöser einer extremen Entgeltsteigerung. Diensteanbieter müssen mit anderen Worten die Entwicklung ihrer Entgeltforderungen beobachten und bei gegebenem Anlass die Teilnehmer warnen. Die Entscheidungen lassen jedoch offen, wie die dazu nötige Auswertung von Verkehrs- und Bestandsdaten (Verkehrsvolumina, Verbindungsdauer, Tarifmerkmale) vom Diensteanbieter datenschutzrechtlich gerechtfertigt werden kann. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) soll die Ansicht vertreten haben, dass eine Überwachung von Verkehrsdaten zum Erkennen eines atypischen Nutzerverhaltens unzulässig wäre3. § 100 Abs. 3 kommt als Rechtsgrundlage nicht in Betracht, da er sich auf Missbrauchsfälle bezieht, was bei einer schlichten Fehlkonfiguration von Endgeräten nicht vorliegt4. Es kommt daher in diesen Fällen nur § 100 Abs. 1 als Rechtsgrundlage in Betracht, was jedoch voraussetzt, den Anwendungsbereich auch auf Störungen und Fehler von Geräten des Teilnehmers zu erstrecken. Der Umgang mit Bestands- und Verkehrsdaten nach Abs. 1 ist stets auf 6 das für die Zweckerreichung erforderliche und verhältnismäßige Maß zu beschränken5. Dies setzt voraus, dass es keine zumutbaren und den Datenschutz weniger belastenden Alternativen gibt, um den Zweck zu erreichen6. Aus dem Erforderlichkeitskriterium folgt auch, dass für die Zwecke des Abs. 1 erhobene und verwendete Daten nach Zweckerreichung zu löschen sind7. Breyer bezweifelt die Verfassungsmäßigkeit von § 100 Abs. 1, sofern man die Norm dahingehend auslegt, dass sie eine siebentägige Vorratsspeicherung aller Internet-Verbindungsdaten erlaubt. Denn dann hätte 1 Breyer, MMR 2011, 573 (575) unter Verweis auf BGH v. 13.1.2011 – III ZR 146/10, CR 2011, 178 Rz. 29. 2 BGH v. 19.7.2012 – III ZR 71/12, CR 2012, 586; LG Bonn v. 1.6.2010 – 7 O 470/09, CR 2011, 21. Zum LG-Urteil und den aufgeworfenen datenschutzrechtlichen Fragen siehe Schuster/Sassenberg, CR 2011, 15. 3 Schuster/Sassenberg, CR 2011, 15 (17) verweisen auf eine unveröffentlichte Stellungnahme vom 29.11.2010. 4 Schuster/Sassenberg, CR 2011, 15 (18). 5 BGH v. 13.1.2011 – III ZR 146/10, CR 2011, 96 Rz. 25. 6 BGH v. 13.1.2011 – III ZR 146/10, CR 2011, 96 Rz. 19. 7 Ohlenburg, MMR 2004, 431 (437).
Jenny
1147
7
TKG § 100
Datenschutz
der Gesetzgeber nach seiner Ansicht versäumt, Anlass und Grenzen der Befugnisse nach § 100 Abs. 1 normenklar festzulegen1. Zuzustimmen ist ihm jedenfalls insoweit, als die Auslegung der Vorschrift durch den BGH im Urteil zu IP-Nummern bedenklich weit ist2. Wenn man demgegenüber in der Rechtsanwendung das Erforderlichkeitskriterium ernst nimmt und zugleich anerkennt, dass der Gesetzgeber nicht alle Einzelheiten regeln kann, bestehen keine verfassungsrechtlichen Bedenken gegen die Vorschrift. 2. Aufschalten auf Verbindungen (Abs. 2) 8 Abs. 2 erlaubt es Betreibern von Telekommunikationsanlagen und deren Beauftragten, sich erforderlichenfalls für die Durchführung von Umschaltungen sowie zum Erkennen und Eingrenzen von Störungen im Netz auf bestehende Verbindungen aufzuschalten. Da dabei Telekommunikationsinhalte zur Kenntnis genommen werden können, enthält das Gesetz eine Reihe von Vorkehrungen zum Schutz des Fernmeldegeheimnisses. Dies sind die Löschungspflicht für Aufzeichnungen, die zeitgleiche akustische oder sonstige Information der betroffenen Kommunikationsteilnehmer und, wenn dies nicht möglich ist, die Information des betrieblichen Datenschutzbeauftragten. Manche dieser Vorkehrungen sind erst mit dem Gesetz vom 3.5.2012 in die Vorschrift aufgenommen worden, um die Regelungen an die Gegebenheiten des Datenverkehrs anzupassen3. Diese Vorkehrung sichern die Inhalte zwar nicht vor Kenntnisnahme, aber mildern den Eingriff. 3. Bekämpfung von Missbräuchen (Abs. 3, 4) 9 Abs. 3 enthält Regelungen zur Missbrauchsbekämpfung und zum Umgang mit Verkehrs- und Bestandsdaten für diesen Zweck. Die Vorschrift ist durch das Gesetz vom 3.5.2012 erheblich geändert worden4. Insbe1 Breyer, MMR 2011, 573 (575). 2 Siehe näher dazu § 96 Rz. 6. Im Übrigen liegen Breyer und der BGH am weitesten bei der Bewertung des Gewichts des in Rede stehenden Eingriffs einer siebentägigen Speicherung von IP-Nummern auseinander. Der BGH bagatellisiert, Breyer dramatisiert. Die abstrakten Ausführungen des BGH zum Erforderlichkeitskriterium und zum Angemessenheitsmaßstab geben keinen Anlass zu Kritik. 3 BT-Drucks. 17/5707, S. 80. Siehe dazu auch Eckhardt/Schmitz, CR 2011, 436 (439) und Pokutnev/Schmid, CR 2012, 360 (366). 4 Siehe zu den Änderungen Eckhardt/Schmitz, CR 2011, 436 (439) und Pokutnev/Schmid, CR 2012, 360 (366).
1148 Jenny
Störungen und Missbrauch
§ 100 TKG
sondere ist nunmehr ausdrücklich klargestellt, dass es um die Sicherung der Entgeltansprüche des Diensteanbieters geht und damit Missbräuche ohne Zusammenhang mit einer Leistungserschleichung (Spam, Viren etc.), bei denen bislang eine Anwendung des Abs. 3 von manchen erwogen worden war1, kein Anwendungsfall dieser Regelung sind. Satz 1 erlaubt den Umgang mit Bestands- und Verkehrsdaten für die Miss- 10 brauchsbekämpfung, wenn konkrete, zu dokumentierende Anhaltspunkte für einen Missbrauch vorliegen. Sätze 2 und 3 enthalten zwei verschiedene Verfahren, anhand derer verdächtige Kommunikationsvorgänge und Teilnehmer ermittelt werden können. Grundlage solcher „Rasterauswertungen“ ist die Erfahrung, dass es Missbrauchsindizien im Verkehrsaufkommen gibt, wie die Dauerschaltung von Verbindungen zu Premiumdiensten oder die stark erhöhte Nutzung neuer Anschlüsse für Telefonate ins Ausland2. Satz 2 sieht dazu eine Auswertung des nach § 96 erhobenen Verkehrsdatenbestands vor, wobei die auszuwertenden Verkehrsdaten nicht älter als sechs Monate sein dürfen. Zur Fristberechnung ist nicht auf den Rechnungsversand, sondern die Verkehrsdaten selbst abzustellen, was aus dem Normwortlaut folgt3. Die Vorschrift ist aber keine Ermächtigung dafür, Verkehrsdaten sechs Monate zu speichern, sondern es ist auf anderweitig rechtmäßig gespeicherte Daten zurückzugreifen4. Satz 3 sieht demgegenüber die Bildung eines pseudonymisierten (§ 3 Abs. 6a BDSG) Gesamtdatenbestands aus nach Satz 1 ermittelten Bestands- und Verkehrsdaten vor, der dann das Identifizieren von verdächtigen Kommunikationsvorgängen ermöglicht. Daten zu nach erfolgter Prüfung unverdächtigen Kommunikationsvorgängen sind unverzüglich5 zu löschen. Die Information der BNetzA und des BfDI soll kompensieren, dass die Verwendung von Daten nach Abs. 3 ansonsten ohne externe Kontrolle stattfindet6. Die Informationspflicht bezieht sich auf Verfahren nach Satz 1, womit ein planmäßiges, systematisches Vorgehen gemeint ist7. Wenn man berücksichtigt, dass Satz 1 ein Vorgehen bei konkreten Anhaltspunkten erlaubt, hätte diese Informations-
1 So etwa Ivanov, eco-Gutachten S. 37. 2 BerlKommTKG/Klesczewski, § 101 Rz. 19. 3 Arndt/Fetzer/Scherer/Fetzer, § 100 Rz. 16. Anders BerlKommTKG/ Klesczewski, § 101 Rz. 21, der aufgrund der Gesetzesmaterialien auf den Rechnungsversand abstellen will, was jedoch am Wortlaut scheitert. 4 Arndt/Fetzer/Scherer/Fetzer, § 100 Rz. 16. 5 D.h. ohne schuldhaftes Zögern, vgl. Arndt/Fetzer/Scherer/Fetzer, § 100 Rz. 18. 6 Scheurle/Mayen/Kannenberg, § 100 Rz. 40. 7 Scheurle/Mayen/Kannenberg, § 100 Rz. 42.
Jenny
1149
TKG § 101
Datenschutz
pflicht besser zu Maßnahmen nach den Sätzen 2 und 3 gepasst, die im Grundansatz eher Züge eines systematischen Vorgehens haben. 11 Soweit es für die Missbrauchsbekämpfung unerlässlich ist, dürfen nach Abs. 4 im Einzelfall auch Steuersignale ausgewertet werden. Hierbei handelt es sich um eine Ultima-ratio-Maßnahme, da Steuersignale den Telekommunikationsinhalten zugerechnet werden (siehe Abs. 4 Satz 2), die im Übrigen keinesfalls für die Zwecke des § 100 erfasst werden dürfen. In der Sache geht es hier um Manipulationsversuche von „Hackern“ an Telekommunikationsanlagen1. Über Maßnahmen nach Abs. 4 ist die BNetzA und nach Zweckerreichung der Betroffene zu informieren. III. Sanktionen 12 Die Missachtung der Voraussetzungen von § 100 durch Diensteanbieter ist nicht eigenständig von einem Ordnungswidrigkeitstatbestand erfasst. In derartigen Fällen dürfte aber auch ein Verstoß gegen § 96 Abs. 2 vorliegen, der nach § 149 Abs. 1 Nr. 16 mit Bußgeld bis zu 300 000 Euro sanktioniert werden kann. Mitteilen ankommender Verbindungen (1) 1Trägt ein Teilnehmer in einem zu dokumentierenden Verfahren schlüssig vor, dass bei seinem Anschluss bedrohende oder belästigende Anrufe ankommen, hat der Diensteanbieter auf schriftlichen Antrag auch netzübergreifend Auskunft über die Inhaber der Anschlüsse zu erteilen, von denen die Anrufe ausgehen. 2Die Auskunft darf sich nur auf Anrufe beziehen, die nach Stellung des Antrags durchgeführt werden. 3Der Diensteanbieter darf die Rufnummern, Namen und Anschriften der Inhaber dieser Anschlüsse sowie Datum und Uhrzeit des Beginns der Verbindungen und der Verbindungsversuche erheben und verwenden sowie diese Daten seinem Teilnehmer mitteilen. 4Die Sätze 1 und 2 gelten nicht für Diensteanbieter, die ihre Dienste nur den Teilnehmern geschlossener Benutzergruppen anbieten.
101
(2) Die Bekanntgabe nach Absatz 1 Satz 3 darf nur erfolgen, wenn der Teilnehmer zuvor die Verbindungen nach Datum, Uhrzeit oder anderen geeigneten Kriterien eingrenzt, soweit ein Missbrauch dieses Verfahrens nicht auf andere Weise ausgeschlossen werden kann.
1 BerlKommTKG/Klesczewski, § 101 Rz. 25.
1150 Jenny
Mitteilen ankommender Verbindungen
§ 101 TKG
(3) Im Falle einer netzübergreifenden Auskunft sind die an der Verbindung mitwirkenden anderen Diensteanbieter verpflichtet, dem Diensteanbieter des bedrohten oder belästigten Teilnehmers die erforderlichen Auskünfte zu erteilen, sofern sie über diese Daten verfügen. (4) 1Der Inhaber des Anschlusses, von dem die festgestellten Verbindungen ausgegangen sind, ist zu unterrichten, dass über diese Auskunft erteilt wurde. 2Davon kann abgesehen werden, wenn der Antragsteller schriftlich schlüssig vorgetragen hat, dass ihm aus dieser Mitteilung wesentliche Nachteile entstehen können, und diese Nachteile bei Abwägung mit den schutzwürdigen Interessen der Anrufenden als wesentlich schwerwiegender erscheinen. 3Erhält der Teilnehmer, von dessen Anschluss die als bedrohend oder belästigend bezeichneten Anrufe ausgegangen sind, auf andere Weise Kenntnis von der Auskunftserteilung, so ist er auf Verlangen über die Auskunftserteilung zu unterrichten. (5) Die Bundesnetzagentur sowie der oder die Bundesbeauftragte für den Datenschutz sind über die Einführung und Änderung des Verfahrens zur Sicherstellung der Absätze 1 bis 4 unverzüglich in Kenntnis zu setzen. I. Einführung . . . . . . . . . . . . . . . .
1
II. Voraussetzungen der Mitteilung . . . . . . . . . . . . . . . . . . . . . .
2
III. Sanktionen . . . . . . . . . . . . . . . .
4
I. Einführung Die Vorschrift regelt die Durchführung der umgangssprachlich sog. 1 Fangschaltung1. Sie setzt Art. 10a) der Datenschutzrichtlinie für elektronische Kommunikation2 um, wonach die Mitgliedstaaten dafür zu sorgen haben, dass belästigende Anrufe zurückverfolgt werden können. II. Voraussetzungen der Mitteilung Für Fangschaltungen ist eine gesetzliche Grundlage erforderlich, da hier- 2 durch zu Lasten des Anrufers in das Fernmeldegeheimnis eingegriffen 1 Der Ausdruck ist zwar technisch überholt, wird aber wegen seiner Prägnanz trotzdem im Folgenden verwendet. Die frühere und heutige Umsetzung ist im Wikipedia-Beitrag zur Fangschaltung gut beschrieben. 2 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. Nr. L 201, S. 37, zuletzt geändert durch Art. 2 ÄndRL 2009/136/EG vom 25.11.2009 (ABl. Nr. L 337, S. 11).
Jenny
1151
TKG § 101
Datenschutz
wird1. Diese Rechtsgrundlage schafft § 101. Die Vorschrift zielt darauf ab, einen angemessenen Interessenausgleich zwischen Antragsteller und Betroffenen zu schaffen. Dabei ist bemerkenswert, dass staatliche Stellen an der Umsetzung einzelner Fangschaltungen nicht mitwirken oder diese gar kontrollieren2. Demgegenüber benötigen Strafverfolgungsbehörden für den Zugriff auf Verkehrsdaten regelmäßig eine richterliche Anordnung3. Allerdings schafft die nach Abs. 5 vorgesehene Kontrolle durch BNetzA und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) einen Ausgleich und anders als bei staatlichen Zugriffen auf Verkehrsdaten sind seit dem Fangschaltungs-Beschluss des BVerfG 19924 keine Kontroversen oder Gerichtsentscheidungen zu Maßnahmen nach § 101 bekannt geworden. 3 Gegenstand von Fangschaltungen können nur Anrufe5 sein. Dies sind Sprachtelefonate, nicht jedoch Telefaxe6, SMS oder E-Mail. Weiter kann die Einrichtung einer Fangschaltung stets nur für die Zukunft erfolgen (Abs. 1 Satz 2). Das Prozedere hat zwei Schritte: Der Teilnehmer beantragt die Fangschaltung (Abs. 1 Satz 1). Sodann teilt er unter Eingrenzung nach den in Abs. 2 genannten Kriterien mit, zu welchen danach eingegangen Anrufen er die Mitteilung der Angaben nach Satz 3 wünscht7. Dabei müssen die Darlegungen im Antrag lediglich schlüssig sein, aber ergeben, dass mindestens eine Belästigung mit Anrufen erfolgt. Beweise oder Glaubhaftmachungen sind nicht erforderlich8. Mit Blick auf das Fernmeldegeheimnis darf die Belästigungsschwelle nicht zu tief angesetzt werden, doch sollen nach Verlautbarungen der BNetzA9 und in Kommentie-
1 Siehe den Beschluss des BVerfG vom 25.3.1992 – 1 BvR 1430/88, NJW 1992, 1875 sowie § 88 Rz. 10, 11. 2 Scheurle/Mayen/Kannenberg, § 101 Rz. 11. 3 § 100g Abs. 2 i.V.m. § 100b Abs. 1 bis 4 StPO. 4 BVerfG v. 25.3.1992 – 1 BvR 1430/88, NJW 1992, 1875. 5 § 3 Nr. 1 TKG: „über einen öffentlich zugänglichen Telekommunikationsdienst aufgebaute Verbindung, die eine zweiseitige Sprachkommunikation ermöglicht“. 6 Anders der Rechtszustand bis 10.5.2012, vgl. Arndt/Fetzer/Scherer/Fetzer, 101 Rz. 5. Die Definition von Anruf in § 3 Nr. 1 wurde mit Gesetz vom 3.5.2012 geändert und stellt jetzt auf Sprachkommunikation statt auf Echtzeitverbindungen ab. 7 Arndt/Fetzer/Scherer/Fetzer, § 101 Rz. 8; Heun/Eckhardt, Teil L Rz. 298. 8 Arndt/Fetzer/Scherer/Fetzer, § 101 Rz. 4. 9 BNetzA, Themenblatt Rufnummernmissbrauch vom Juli 2012, abzurufen über die Rubrik „Verbraucherservice Telekommunikation“ auf der Website der Behörde.
1152 Jenny
Rufnummernanzeige und -unterdrückung
§ 102 TKG
rungen1 bereits Werbeanrufe ausreichen. Einrichtung der Fangschaltung und Auskunftserteilung müssen für den Antragsteller nicht kostenlos erfolgen, doch hat er die Möglichkeit, den Anrufer für die entstandenen Auslagen in Regress zu nehmen2. In der Regel wird der Teilnehmer, von dessen Anschluss beauskunftete Anrufe ausgingen, über die Auskunfterteilung nachträglich informiert. Dies obliegt dem Diensteanbieter, dessen Teilnehmer die Fangschaltung beantragt hat, weil in der Praxis nur dieser alle relevanten Informationen hat3. Von der Information kann aus den Abs. 4 Satz 2 genannten Gründen abgesehen werden, wobei als überwiegende Nachteile des Antragstellers auch die schlüssig dargestellte Gefahr einer Beweisvereitelung in Betracht kommt4. Es bietet sich an, den Betroffenen mit zeitlicher Verzögerung zu informieren, wenn durch Zeitablauf die entgegenstehenden Gründe wegfallen sind5. III. Sanktionen Die Missachtung der Voraussetzungen von § 101 durch Diensteanbieter ist nicht als Ordnungswidrigkeit sanktionierbar, doch kann in Fällen einer vorsätzlich nicht den Anforderungen genügenden Auskunft eine Straftat nach § 206 Abs. 1 StGB vorliegen. Antragsteller, die zu rechtswidrigen Fangschaltungen Anlass geben, können je nach Fallkonstellation Anstifter zu einer solchen Straftat sein, oder eine Ordnungswidrigkeit nach § 43 Abs. 2 Nr. 4 BDSG (Erschleichen von Daten) begehen. Rufnummernanzeige und -unterdrückung (1) 1Bietet der Diensteanbieter die Anzeige der Rufnummer der Anrufenden an, so müssen Anrufende und Angerufene die Möglichkeit haben, die Rufnummernanzeige dauernd oder für jeden Anruf einzeln auf einfacheWeise und unentgeltlich zu unterdrücken. 2Angerufene müssen die Möglichkeit haben, eingehende Anrufe, bei denen die Rufnummernanzeige durch den Anrufenden unterdrückt wurde, auf einfache Weise und unentgeltlich abzuweisen.
102
(2) Abweichend von Absatz 1 Satz 1 dürfen Anrufende bei Werbung mit einem Telefonanruf ihre Rufnummernanzeige nicht unterdrücken oder 1 Arndt/Fetzer/Scherer/Fetzer, § 101 Rz. 3. 2 Arndt/Fetzer/Scherer/Fetzer, § 101 Rz. 10. Ein solcher Regress war mit Anlass für den Beschluss des BVerfG vom 25.3.1992. 3 Scheurle/Mayen/Kannenberg, § 101 Rz. 36. 4 Scheurle/Mayen/Kannenberg, § 101 Rz. 44. 5 Scheurle/Mayen/Kannenberg, § 101 Rz. 48.
Jenny
1153
4
TKG § 102
Datenschutz
bei dem Diensteanbieter veranlassen, dass diese unterdrückt wird; der Anrufer hat sicherzustellen, dass dem Angerufenen die dem Anrufer zugeteilte Rufnummer übermittelt wird. (3) Die Absätze 1 und 2 gelten nicht für Diensteanbieter, die ihre Dienste nur den Teilnehmern geschlossener Benutzergruppen anbieten. (4) 1Auf Antrag des Teilnehmers muss der Diensteanbieter Anschlüsse bereitstellen, bei denen die Übermittlung der Rufnummer des Anschlusses, von dem der Anruf ausgeht, an den angerufenen Anschluss unentgeltlich ausgeschlossen ist. 2Die Anschlüsse sind auf Antrag des Teilnehmers in dem öffentlichen Teilnehmerverzeichnis (§ 104) seines Diensteanbieters zu kennzeichnen. 3Ist eine Kennzeichnung nach Satz 2 erfolgt, so darf an den so gekennzeichneten Anschluss eine Übermittlung der Rufnummer des Anschlusses, von dem der Anruf ausgeht, erst dann erfolgen, wenn zuvor die Kennzeichnung in der aktualisierten Fassung des Teilnehmerverzeichnisses nicht mehr enthalten ist. (5) Hat der Teilnehmer die Eintragung in das Teilnehmerverzeichnis nicht nach § 104 beantragt, unterbleibt die Anzeige seiner Rufnummer bei dem angerufenen Anschluss, es sei denn, dass der Teilnehmer die Übermittlung seiner Rufnummer ausdrücklich wünscht. (6) 1Wird die Anzeige der Rufnummer von Angerufenen angeboten, so müssen Angerufene die Möglichkeit haben, die Anzeige ihrer Rufnummer beim Anrufenden auf einfache Weise und unentgeltlich zu unterdrücken. 2Absatz 3 gilt entsprechend. (7) Die Absätze 1 bis 3 und 6 gelten auch für Anrufe in das Ausland und für aus dem Ausland kommende Anrufe, soweit sie Anrufende oder Angerufene im Inland betreffen. (8) Bei Verbindungen zu Anschlüssen, die unter den Notrufnummern 112 oder 110 oder der Rufnummer 124 124 oder 116 117 erreicht werden, hat der Diensteanbieter sicherzustellen, dass nicht im Einzelfall oder dauernd die Anzeige von Nummern der Anrufenden ausgeschlossen wird. I. Einführung . . . . . . . . . . . . . . . .
1
II. Überblick zur gesetzlichen Regelung. . . . . . . . . . . . . . . . . .
2
III. Einzelheiten . . . . . . . . . . . . . . .
3
Schrifttum: Köhler, Neue Regelungen zum Verbraucherschutz bei Telefonwerbung und Fernabsatzverträgen, NJW 2009, 2567; Sassenberg, Anzeige und Übermittlung der A-Rufnummer, CR 2011, 502
1154 Jenny
Rufnummernanzeige und -unterdrückung
§ 102 TKG
I. Einführung Die Vorschrift regelt die Rufnummernanzeige bzw. -unterdrückung. Dies ist ein Leistungsmerkmal in digitalen Telefonnetzen1. Die Norm setzt Art. 8 der Datenschutzrichtlinie für elektronische Kommunikation2 um.
1
II. Überblick zur gesetzlichen Regelung Rufnummernanzeige bzw. -unterdrückung werden in zwei Varianten 2 angeboten, die in Abs. 1 und Abs. 6 geregelt sind: Abs. 1 regelt die Anzeige der Rufnummer der Anrufers (auch A-Teilnehmer genannt), Abs. 6 die Anzeige der Rufnummer des Angerufenen (auch B-Teilnehmer genannt). Abs. 2 enthält eine nachträglich eingefügte Sonderregel für Werbeanrufe. Abs. 4 trägt dem Umstand Rechnung, dass Institutionen, die anonyme Beratung und Lebenshilfe per Telefon anbieten, die Rufnummer von Anrufern nicht angezeigt erhalten wollen und dies auch ihren potentiellen Gesprächspartnern mitteilen möchten. Hier besteht eine Parallele zur Regelung des § 99 Abs. 2 für den Einzelverbindungsnachweis3. Abs. 5 koppelt die Grundeinstellung für die Rufnummernanzeige bzw. -unterdrückung an den Telefonbucheintrag des Teilnehmers. Abs. 7 will der Regelung auch bei internationalem Telefonverkehr Geltung verschaffen. Abs. 8 soll bei Notrufen sicherstellen, dass deren Empfänger die Rufnummer des Teilnehmers auf jeden Fall übermittelt erhalten. III. Einzelheiten Diensteanbieter sind nicht gezwungen, ihren Teilnehmern eine Ruf- 3 nummernanzeige anzubieten. Abs. 1 und Abs. 6 knüpfen insoweit an die unternehmerische Disposition des Diensteanbieters an. Soweit ersichtlich bieten jedoch inzwischen die meisten Diensteanbieter dieses Leistungsmerkmal an. Da die Einrichtung der Rufnummernanzeige freiwillig ist, verwundert es ein wenig, dass nach Abs. 3 bzw. Abs. 6 Diensteanbieter für geschlossene Benutzergruppen4 zusätzlich die Opti1 Sassenberg, CR 2011, 502. 2 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. Nr. L 201 S. 37, zuletzt geändert durch Art. 2 ÄndRL 2009/136/EG vom 25.11.2009 (ABl. Nr. L 337, S. 11). 3 Siehe dazu § 99 Rz. 6. 4 Siehe dazu § 91 Rz. 13.
Jenny
1155
TKG § 103
Datenschutz
on erhalten, dieses Merkmal ohne die sonst in Abs. 1, Abs. 2 und Abs. 6 vorgesehenen Auflagen zu implementieren. 4 § 102 bezieht sich auf Anrufe1. Dies sind nach neuem Recht Sprachtelefonate, nicht jedoch Telefaxe2, SMS oder E-Mail. Abs. 2 gilt daher nach der Änderung der Legaldefinition in § 3 Nr. 1 TKG nicht mehr für Werbefaxe. 5 Abs. 2 wurde mit dem Gesetz zur Bekämpfung unerlaubter Telefonwerbung und zur Verbesserung des Verbraucherschutzes vom 29.7.20093 eingefügt und dann durch Gesetz vom 3.5.2012 redaktionell angepasst. Danach ist bei Werbeanrufen dem Anrufenden unter Bußgeldandrohung (§ 149 Abs. 1 Nr. 17c) untersagt, die Anzeige der Rufnummer zu unterdrücken. Die Durchsetzbarkeit in der Praxis wird allerdings nicht leicht fallen4, denn wenn die Rufnummer unterdrückt wird, hat der Angerufene zunächst keinen Ansatzpunkt, den Anrufer zu identifizieren. Vielleicht verrät sich mancher Anrufer im Verkaufsgespräch. Ansonsten mag in hartnäckigen Fällen eine Fangschaltung helfen5. Automatische Anrufweiterschaltung
103
1Der
Diensteanbieter ist verpflichtet, seinen Teilnehmern die Möglichkeit einzuräumen, eine von einem Dritten veranlasste automatische Weiterschaltung auf sein Endgerät auf einfache Weise und unentgeltlich abzustellen, soweit dies technisch möglich ist. 2Satz 1 gilt nicht für Diensteanbieter, die als Anbieter für geschlossene Benutzergruppen ihre Dienste nur ihren Teilnehmern anbieten. Kommentierung 1 Die Regelung setzt Art. 11 der Datenschutzrichtlinie für elektronische Kommunikation6 um, der allerdings keinen Vorbehalt für die technische 1 § 3 Nr. 1 TKG: „über einen öffentlich zugänglichen Telekommunikationsdienst aufgebaute Verbindung, die eine zweiseitige Sprachkommunikation ermöglicht“. 2 Die Definition von „Anruf“ in § 3 Nr. 1 wurde mit Gesetz vom 2.5.2012 geändert und stellt nunmehr auf Sprachkommunikation statt auf Echtzeitverbindungen ab. 3 BGBl. I S. 2413. 4 Köhler, NJW 2009, 2567 (2569). 5 Siehe § 101 Rz. 3. 6 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der
1156 Jenny
Auskunftserteilung
§ 105 TKG
Realisierbarkeit enthält, so dass man an der korrekten Umsetzung der Richtlinie zweifeln kann1. Die Norm bezweckt den Schutz der Teilnehmer vor von Dritten veranlassten Anrufweiterleitungen auf ihre Endgeräte. Es gibt indessen noch keinen allgemein anerkannten Standard für die Signalisierung von Anrufweiterleitungen2, so dass es für Dienstanbieter schwierig ist, den Anforderungen nach § 103 zu genügen. Zu der Vorschrift sind bislang keine Urteile, Aufsätze oder Kontroversen bekannt geworden, was für ihre geringe praktische Bedeutung spricht. Teilnehmerverzeichnisse
104
1Teilnehmer
können mit ihrem Namen, ihrer Anschrift und zusätzlichen Angaben wie Beruf, Branche und Art des Anschlusses in öffentliche gedruckte oder elektronische Verzeichnisse eingetragen werden, soweit sie dies beantragen. 2Dabei können die Teilnehmer bestimmen, welche Angaben in den Verzeichnissen veröffentlicht werden sollen. 3Auf Verlangen des Teilnehmers dürfen Mitbenutzer eingetragen werden, soweit diese damit einverstanden sind. Auskunftserteilung
105
(1) Über die in Teilnehmerverzeichnissen enthaltenen Rufnummern dürfen Auskünfte unter Beachtung der Beschränkungen des § 104 und der Absätze 2 und 3 erteilt werden.
(2) 1Die Telefonauskunft über Rufnummern von Teilnehmern darf nur erteilt werden, wenn diese in angemessener Weise darüber informiert worden sind, dass sie der Weitergabe ihrer Rufnummer widersprechen können und von ihrem Widerspruchsrecht keinen Gebrauch gemacht haben. 2Über Rufnummern hinausgehende Auskünfte über nach § 104 veröffentlichte Daten dürfen nur erteilt werden, wenn der Teilnehmer in eine weitergehende Auskunftserteilung eingewilligt hat. (3) Die Telefonauskunft von Namen oder Namen und Anschrift eines Teilnehmers, von dem nur die Rufnummer bekannt ist, ist zulässig, wenn der Teilnehmer, der in ein Teilnehmerverzeichnis eingetragen ist,
Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. Nr. L 201, S. 37, zuletzt geändert durch Art. 2 ÄndRL 2009/136/EG vom 25.11.2009 (ABl. Nr. L 337, S. 11). 1 Arndt/Fetzer/Scherer/Fetzer, § 103 Rz. 2. 2 Arndt/Fetzer/Scherer/Fetzer, § 103 Rz. 4.
Jenny
1157
TKG § 105
Datenschutz
nach einem Hinweis seines Diensteanbieters auf seine Widerspruchsmöglichkeit nicht widersprochen hat. (4) 1Ein Widerspruch nach Absatz 2 Satz 1 oder Absatz 3 oder eine Einwilligung nach Absatz 2 Satz 2 sind in den Kundendateien des Diensteanbieters und des Anbieters nach Absatz 1, die den Verzeichnissen zugrunde liegen, unverzüglich zu vermerken. 2Sie sind auch von den anderen Diensteanbietern zu beachten, sobald diese in zumutbarer Weise Kenntnis darüber erlangen konnten, dass der Widerspruch oder die Einwilligung in den Verzeichnissen des Diensteanbieters und des Anbieters nach Absatz 1 vermerkt ist. I. Einführung . . . . . . . . . . . . . . . .
1
II. Grundlagen . . . . . . . . . . . . . . .
5
III. Wahlrechte der Teilnehmer . .
7
IV. Informationsaustausch zwischen Anbietern . . . . . . . . . . . . 10
I. Einführung 1 Die §§ 104 und 105 regeln die datenschutzrechtlichen Aspekte der Herausgabe von Teilnehmerverzeichnissen sowie der Telefonauskunft. Sie setzen Art. 12 der Datenschutzrichtlinie für elektronische Kommunikation1 um. 2 Die Teilnehmerverzeichnisse und Auskunftsdienste sind Universaldienstleistungen i.S.d. § 78 TKG. Sie gehören zum Mindestangebot an Diensten mit festgelegter Mindestqualität, zu denen alle Endnutzer zu erschwinglichen Preisen Zugang haben müssen und die zur unabdingbaren Grundversorgung der Öffentlichkeit gehören (§ 78 Abs. 1). Auch dies beruht auf europarechtlichen Vorgaben, nämlich Art. 5 der Universaldienstrichtlinie2. 3 Die §§ 104 und 105 regeln nicht den Anspruch des Teilnehmers darauf, in Teilnehmerverzeichnisse aufgenommen zu werden. Dieser Anspruch ergibt sich aus § 45m TKG, wonach jeder Teilnehmer vom Anbieter seines 1 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. Nr. L 201, S. 37, zuletzt geändert durch Art. 2 ÄndRL 2009/136/EG vom 25.11.2009 (ABl. Nr. L 337, S. 11). 2 Richtlinie 2002/22/EG des Europäischen Parlaments und des Rates über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten (Universaldienstrichtlinie), ABl. Nr. L 108, S. 51, zuletzt geändert durch Art. 1 ÄndRL 2009/136/EG vom 25.11.2009 (ABl. Nr. L 337, S. 11).
1158 Jenny
Auskunftserteilung
§ 105 TKG
öffentlichen Telefondienstes verlangen kann, in ein allgemein zugängliches, nicht notwendig anbietereigenes Teilnehmerverzeichnis unentgeltlich eingetragen und auf Wunsch daraus wieder gelöscht zu werden. Eine weitere für den Gesamtkomplex relevante Vorschrift ist schließlich 4 § 47 TKG, der festlegt, zu welchen Konditionen Anbieter von Auskunftsdiensten und Herausgeber von Teilnehmerverzeichnissen die Teilnehmerdaten erhalten können. Ihr Anspruchsgegner ist jeweils der Diensteanbieter, der einem Teilnehmer eine Rufnummer zuteilt. Für die zahlbaren Entgelte ist eine nachträgliche Entgeltregulierung vorgesehen. Es handelt sich dabei um ein hochgradig konfliktträchtiges Thema, zu dem unter anderem bereits vier BGH-Urteile1 ergangen sind. II. Grundlagen Die Begriffsbestimmungen des TKG definieren Auskunftsdienste in § 3 5 Nr. 2a als „bundesweit jederzeit telefonisch erreichbare Dienste […] die ausschließlich der neutralen Weitergabe von Rufnummer, Name, Anschrift sowie zusätzlichen Angaben von Telekommunikationsnutzern dienen.“ Solche Dienste werden üblicherweise über die Vorwahl 118 erreicht und können die Weitervermittlung zu dem erfragten Teilnehmer beinhalten. Beides ist aber nicht zwingend. Die Weitergabe muss neutral erfolgen, so dass nicht etwa bestimmte Teilnehmer bevorzugt werden dürfen, wenn eine Anfrage etwa nach einer Dienstleistung mehrere Möglichkeiten zur Auskunfterteilung bietet. Teilnehmerverzeichnisse sind Verzeichnisse mit den in § 104 Abs. 1 6 Satz 1 genannten Angaben. Sie können in gedruckter oder elektronischer Form herausgegeben werden. Elektronische Form umfasst Datenträger wie CD-ROM und auch Datenbanken zum Abruf2, etwa über das Internet. Dass in ihnen auch Rufnummern der Teilnehmer aufgeführt werden, folgt aus der Natur der Sache3.
1 BGH v. 29.6.2010 – KZR 9/08, „Teilnehmerdaten IV“, CR 2010, 640; BGH v. 20.4.2010 – KZR 53/07, „Teilnehmerdaten III“, CR 2010, 444; v. 13.10.2009 – KZR 41/07, „Teilnehmerdaten II“, MMR 2010, 429; v. 13.10.2009 – KZR 34/06, „Teilnehmerdaten I“, MMR 2010, 427. 2 Arndt/Fetzer/Scherer/Fetzer, § 104 Rz. 8. Die Gegenansicht bei BerlKommTKG/ Klesczewski, § 104 Rz., wonach Abrufdienste keine Verzeichnisse seien, weil sie nicht „in ihrer Gesamtheit herausgegeben“ würden, überzeugt nicht, weil dies nicht zu den Tatbestandsmerkmalen von § 104 gehört. 3 So treffend Arndt/Fetzer/Scherer/Fetzer, § 104 Rz. 8.
Jenny
1159
TKG § 105
Datenschutz
III. Wahlrechte der Teilnehmer 7 Sowohl bei der Aufnahme in Teilnehmerverzeichnisse als auch bei der Auskunfterteilung haben Teilnehmer eine Reihe von Optionen. Zur Vereinfachung für die Diensteanbieter und die Anbieter von Auskunftsdiensten wird dabei teilweise mit Opt-out-Lösungen gearbeitet. 8 In Teilnehmerverzeichnisse werden Teilnehmer nur auf Antrag eingetragen. Der Umfang der Eintragung unterliegt ihrer Disposition. Mit deren Einverständnis können auch Mitbenutzer eingetragen werden, wenn die Teilnehmer dies wünschen. § 104 sieht für die relevanten Erklärungen keine Form vor, doch sind die Diensteanbieter aus Beweisgründen gut beraten, wenn sie die Dispositionen der Teilnehmer und etwaiger Mitbenutzer dokumentieren1. 9 Die Aufnahme in Teilnehmerverzeichnisse ist eine Weichenstellung für die Auskunftserteilung. Wenn jemand in Teilnehmerverzeichnisse eingetragen ist und nach Hinweis auf sein Widerspruchsrecht nicht widerspricht, geht das Gesetz in § 105 Abs. 2 Satz 2 davon aus, dass über seine Rufnummer Auskunft erteilt werden kann. Eine Form für den Hinweis schreibt das Gesetz nicht vor2, doch ist es ratsam, die Hinweiserteilung zu dokumentieren. Für die Auskunfterteilung über weitergehende Angaben (Anschrift, Beruf usw.) bedarf es demgegenüber einer Einwilligung. Diese kann schriftlich (§ 4a BDSG), elektronisch (§ 94 TKG) oder bei besonderen Umständen i.S.d. § 4a Abs. 1 Satz 3 BDSG auch mündlich abgegeben werden3. Für die im Gesetzgebungsverfahren kontroverse4 Inverssuche, bei der Auskunft über den Inhaber einer dem Anfragenden bekannten Rufnummer erteilt wird, gilt dann wieder eine Opt-out-Lösung, wie für die Beauskunftung selbst. Nach einem Urteil des BGH zur Inverssuche5 haben Diensteanbieter die Pflicht, Ihren Teilnehmern die Hinweise auf Widerspruchsrechte zu geben, damit durch deren Schweigen die Voraussetzungen für diese Inverssuche geschaffen werden. Dem ist zuzustimmen, weil sonst die Diensteanbieter nicht nur die Inverssuche, sondern die Auskunftserteilung insgesamt verhindern könnten, indem sie keine Hinweise auf Widerspruchsrechte erteilen. 1 Ähnlich Arndt/Fetzer/Scherer/Fetzer, § 104 Rz. 11, der deshalb Textform vorschlägt. 2 Arndt/Fetzer/Scherer/Fetzer, § 105 Rz. 9. 3 Arndt/Fetzer/Scherer/Fetzer, § 105 Rz. 10. 4 Arndt/Fetzer/Scherer/Fetzer, § 105 Rz. 11. 5 BGH v. 5.7.2007 – III ZR 316/06, CR 2007, 567.
1160 Jenny
Telegrammdienst
§ 106 TKG
IV. Informationsaustausch zwischen Anbietern Widersprüche und Einwilligungen sind nach Abs. 4 Satz 1 in den Daten- 10 banken der Diensteanbieter sowie der Auskunftsdiensteanbieter zu vermerken. Da praktisch alle Auskunftsdiensteanbieter und Herausgeber von Teilnehmerverzeichnissen mit der Telekom-Konzerngesellschaft, die deren Teilnehmerverzeichnisse herausgibt, nach § 47 Teilnehmerdaten austauschen, erfahren alle Anbieter von diesen Dispositionen der Teilnehmer. Spätestens wenn die Telekom ihre Verzeichnisse gem. § 78 Abs. 2 Nr. 3 im Jahresturnus aktualisiert hat, haben alle anderen Anbieter die zumutbare Möglichkeit zur Kenntnisnahme und müssen diese Dispositionen beachten (Abs. 4 Satz 2). Flankiert wird diese Regelung durch § 29 Abs. 3 BDSG, wonach diesbezügliche Informationen auch von Herausgebern von Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen zu beachten sind, die auf Teilnehmerverzeichnissen beruhen1. Telegrammdienst (1) 1Daten und Belege über die betriebliche Bearbeitung und Zustellung von Telegrammen dürfen gespeichert werden, soweit es zum Nachweis einer ordnungsgemäßen Erbringung der Telegrammdienstleistung nach Maßgabe des mit dem Teilnehmer geschlossenen Vertrags erforderlich ist. 2Die Daten und Belege sind spätestens nach sechs Monaten vom Diensteanbieter zu löschen.
106
(2) 1Daten und Belege über den Inhalt von Telegrammen dürfen über den Zeitpunkt der Zustellung hinaus nur gespeichert werden, soweit der Diensteanbieter nach Maßgabe des mit dem Teilnehmer geschlossenen Vertrags für Übermittlungsfehler einzustehen hat. 2Bei Inlandstelegrammen sind die Daten und Belege spätestens nach drei Monaten, bei Auslandstelegrammen spätestens nach sechs Monaten vom Diensteanbieter zu löschen. (3) 1Die Löschungsfristen beginnen mit dem ersten Tag des Monats, der auf den Monat der Telegrammaufgabe folgt. 2Die Löschung darf unterbleiben, solange die Verfolgung von Ansprüchen oder eine internationale Vereinbarung eine längere Speicherung erfordert.
1 Siehe dazu bei § 29 BDSG Rz. 96 ff.
Jenny
1161
TKG § 107
Datenschutz
Kommentierung 1 § 106 ist die einzige Vorschrift des TKG, die sich dem Telegrammdienst widmet. Selbst eine Begriffsbestimmung wird ihm in § 3 nicht gegönnt. Dieser Sachverhalt entspricht der geringen tatsächlichen Bedeutung des Dienstes in der heutigen Zeit1. Deshalb wird hier von einer weitergehenden Kommentierung abgesehen. Nachrichtenübermittlungssysteme mit Zwischenspeicherung
107
(1) Der Diensteanbieter darf bei Diensten, für deren Durchführung eine Zwischenspeicherung erforderlich ist, Nachrichteninhalte, insbesondere Sprach-, Ton-, Text- und Grafikmitteilungen von Teilnehmern, im Rahmen eines hierauf gerichteten Diensteangebots unter folgenden Voraussetzungen verarbeiten: 1. Die Verarbeitung erfolgt ausschließlich in Telekommunikationsanlagen des zwischenspeichernden Diensteanbieters, es sei denn, die Nachrichteninhalte werden im Auftrag des Teilnehmers oder durch Eingabe des Teilnehmers in Telekommunikationsanlagen anderer Diensteanbieter weitergeleitet. 2. Ausschließlich der Teilnehmer bestimmt durch seine Eingabe Inhalt, Umfang und Art der Verarbeitung. 3. Ausschließlich der Teilnehmer bestimmt, wer Nachrichteninhalte eingeben und darauf zugreifen darf (Zugriffsberechtigter). 4. Der Diensteanbieter darf dem Teilnehmer mitteilen, dass der Empfänger auf die Nachricht zugegriffen hat. 5. Der Diensteanbieter darf Nachrichteninhalte nur entsprechend dem mit dem Teilnehmer geschlossenen Vertrag löschen.
(2) 1Der Diensteanbieter hat die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um Fehlübermittlungen und das unbefugte Offenbaren von Nachrichteninhalten innerhalb seines Unternehmens oder an Dritte auszuschließen. 2Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 3Soweit es im Hinblick auf den angestrebten Schutzzweck erforderlich ist, sind die Maßnahmen dem jeweiligen Stand der Technik anzupassen.
1 Siehe dazu Scheurle/Mayen/Kannenberg, § 106 Rz. 2 sowie den Beitrag „Telegramm“ bei Wikipedia.
1162 Jenny
Nachrichtenübermittlungssysteme mit Zwischenspeicherung I. Einführung . . . . . . . . . . . . . . . .
1
II. Anwendungsbereich . . . . . . . .
2
§ 107 TKG
III. Rechtsfolgen . . . . . . . . . . . . . . .
3
I. Einführung Die Vorschrift regelt datenschutzrechtliche Aspekte des Betriebs von 1 Nachrichtenübermittlungssystemen mit Zwischenspeicherung. Sie beruht nicht auf europarechtlichen Vorgaben. Bei Diensten dieser Art werden Kommunikationsinhalte vom Diensteanbieter1 als Teil der Nachrichtenübermittlung für den Teilnehmer2 zwischengespeichert. Die Inhalte verbleiben also zumindest temporär in der Herrschaftssphäre des Diensteanbieters. Der Teilnehmer erhält durch § 107 das Recht, auf die Verarbeitung seiner Inhalte einzuwirken und dem Diensteanbieter werden Pflichten nach Abs. 2 auferlegt, um die Nachrichteninhalte zu schützen. Die Inhalte unterliegen dem Fernmeldegeheimnis, und zwar nach der Rechtsprechung des BVerfG so lange, bis sie vollständig in den Herrschaftsbereich des Teilnehmers gelangt sind3. II. Anwendungsbereich Die Vorschrift gilt für Dienste, für deren Durchführung eine Zwischen- 2 speicherung erforderlich ist. Hierzu gehören etwa Mailbox-Systeme, SMS-Angebote oder E-Mail-Dienste4. Hierzu gehören aber auch sog. Content Delivery Networks. Dies sind Netzwerke, welche die Verteilung von Inhalten in möglichst hoher netztopologischer Nähe zum Nutzer ermöglichen. Zweck ist, die Ladezeiten von Internet-Inhalten zu verringern. Dazu betreiben die Diensteanbieter geographisch verteilte Rechenzentren, so dass die Inhalte in nicht zu großer Entfernung vom Zugriffsberechtigten vorgehalten werden können5. Denn die Übermittlung großer Datenmengen zwischen Kontinenten dauert naturgemäß länger als über kleinere räumliche Entfernungen und belastet auch die Netzkapazitäten stärker. Für die von Content Delivery Networks erbrachten Dienste ist daher die Zwischenspeicherung in den regionalen Rechenzentren vonnöten.
1 2 3 4 5
Zum Begriff siehe § 88 Rz. 13. Zum Begriff siehe § 91 Rz. 7. BVerfG v. 16.6.2009 – 2 BvR 902/06, NJW 2009, 2431 (2432 f.) = CR 2009, 584. Arndt/Fetzer/Scherer/Fetzer, § 107 Rz. 3. Siehe die Beschreibung der ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 19.8.2011, S. 16 f.
Jenny
1163
TKG § 108
Öffentliche Sicherheit
III. Rechtsfolgen 3 Die Rechtsfolgen ergeben sich aus § 107 Abs. 1 Nr. 1 bis 5 und Abs. 2. Dem Teilnehmer wird ein hohes Maß an Einwirkungs- und Weisungsbefugnissen gegenüber dem Diensteanbieter eingeräumt, wie es sonst im Verhältnis Teilnehmer-Diensteanbieter nicht üblich ist. Dies deshalb, weil es um die Verarbeitung von Nachrichteninhalten geht, die dem Teilnehmer zuzurechnen sind. Der Diensteanbieter darf den Teilnehmer nach Nr. 4 auch über den Zugriff auf Nachrichten informieren. Ob der Teilnehmer dies auch verlangen kann ist eine Frage der getroffenen vertraglichen Vereinbarungen mit dem Diensteanbieter. Und ob der Teilnehmer diese Informationen erheben darf, bestimmt sich nach den für ihn einschlägigen datenschutzrechtlichen Regelungen, die auch sonst für alle Dispositionen des Teilnehmers nach den Ziffern 1 bis 5 gelten. 4 Die nach Abs. 2 zu treffenden Maßnahmen gelten in Ergänzung zu § 109 und gehen insoweit über diesen hinaus, als der Stand der Technik als Maßstab für die zu ergreifenden Schutzmaßnahmen ausdrücklich benannt wird. 5 Da die hier fraglichen Dienste als Telekommunikationsdienste in eigener Verantwortung vom Diensteanbieter erbracht werden, ist er selbst verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG. Deshalb sind Dienste der hier beschriebenen Art keine Auftragsdatenverarbeitung des Diensteanbieters für den Teilnehmer1.
Abschnitt 3 Öffentliche Sicherheit Notruf
108
[nicht kommentiert]
1 So jedoch die ULD, Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, 19.8.2011, S. 16 f. Siehe zur § 11 BDSG-Thematik für TK-Unternehmen § 91 Rz. 14 ff.
1164 Jenny
Datensicherheit
§ 109a TKG
Technische Schutzmaßnahmen
109
[nicht kommentiert]
Datensicherheit (1) 1Wer öffentlich zugängliche Telekommunikationsdienste erbringt, hat im Fall einer Verletzung des Schutzes personenbezogener Daten unverzüglich die Bundesnetzagentur und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit von der Verletzung zu benachrichtigen. 2Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten Teilnehmer oder andere Personen schwerwiegend in ihren Rechten oder schutzwürdigen Interessen beeinträchtigt werden, hat der Anbieter des Telekommunikationsdienstes zusätzlich die Betroffenen unverzüglich von dieser Verletzung zu benachrichtigen. 3In Fällen, in denen in dem Sicherheitskonzept nachgewiesen wurde, dass die von der Verletzung betroffenen personenbezogenen Daten durch geeignete technische Vorkehrungen gesichert, insbesondere unter Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens gespeichert wurden, ist eine Benachrichtigung nicht erforderlich. 4Unabhängig von Satz 3 kann die Bundesnetzagentur den Anbieter des Telekommunikationsdienstes unter Berücksichtigung der wahrscheinlichen nachteiligen Auswirkungen der Verletzung des Schutzes personenbezogener Daten zu einer Benachrichtigung der Betroffenen verpflichten. 5Im Übrigen gilt § 42a Satz 6 des Bundesdatenschutzgesetzes entsprechend.
109a
(2) 1Die Benachrichtigung an die Betroffenen muss mindestens enthalten: 1. die Art der Verletzung des Schutzes personenbezogener Daten, 2. Angaben zu den Kontaktstellen, bei denen weitere Informationen erhältlich sind, und 3. Empfehlungen zu Maßnahmen, die mögliche nachteilige Auswirkungen der Verletzung des Schutzes personenbezogener Daten begrenzen. 2In der Benachrichtigung an die Bundesnetzagentur und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit hat der Anbieter des Telekommunikationsdienstes zusätzlich zu den Angaben nach Satz 1 die Folgen der Verletzung des Schutzes personenbezogener Daten und die beabsichtigten oder ergriffenen Maßnahmen darzulegen.
Jenny
1165
TKG § 109a
Öffentliche Sicherheit
(3) 1Die Anbieter der Telekommunikationsdienste haben ein Verzeichnis der Verletzungen des Schutzes personenbezogener Daten zu führen, das Angaben zu Folgendem enthält: 1. zu den Umständen der Verletzungen, 2. zu den Auswirkungen der Verletzungen und 3. zu den ergriffenen Abhilfemaßnahmen. 2Diese Angaben müssen ausreichend sein, um der Bundesnetzagentur und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die Prüfung zu ermöglichen, ob die Bestimmungen der Absätze 1 und 2 eingehalten wurden. 3Das Verzeichnis enthält nur die zu diesem Zweck erforderlichen Informationen und muss nicht Verletzungen berücksichtigen, die mehr als fünf Jahre zurückliegen. (4) Vorbehaltlich technischer Durchführungsmaßnahmen der Europäischen Kommission nach Artikel 4 Absatz 5 der Richtlinie 2002/58/EG kann die Bundesnetzagentur Leitlinien vorgeben bezüglich des Formats, der Verfahrensweise und der Umstände, unter denen eine Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten erforderlich ist. I. Einführung . . . . . . . . . . . . . . . .
1
II. Verletzung des Schutzes personenbezogener Daten . . . . . .
3
III. Verpflichtete . . . . . . . . . . . . . .
5
IV. Benachrichtigungspflichten (Abs. 1 und Abs. 2). . . . . . . . . .
6
1. Information der BNetzA und des BfDI (Abs. 1 Satz 1) . . . . . . 7 2. Information des Betroffenen (Abs. 1 Satz 2, 3 und 4). . . . . . . 8 3. Inhalt der Benachrichtigung (Abs. 2). . . . . . . . . . . . . . . . . . . . 13 V. Sanktionen . . . . . . . . . . . . . . . . 14
Schrifttum: Eckhardt/Schmitz, Datenschutz in der TKG-Novelle, CR 2011, 436; Hanloser, Europäische Security Breach Notification, MMR 2010, 300; Pokutnev/ Schmid, Die TKG-Novelle 2012 aus datenschutzrechtlicher Sicht, CR 2012, 360.
I. Einführung 1 Die Norm tritt für den Telekommunikationssektor an die Stelle von § 42a BDSG. Sie wurde durch das Gesetz vom 3.5.2012 in das TKG eingefügt und ersetzt zusammen mit der gleichzeitigen Änderung des § 93 Abs. 3 den zuvor dort enthaltenen Verweis auf jene Vorschrift. Sie setzt Art. 4 (3) der Datenschutzrichtlinie für elektronische Kommunikation1 1 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der
1166 Jenny
Datensicherheit
§ 109a TKG
um. Die Überschrift der Vorschrift ist allerdings irreführend: Es geht in ihr nicht um Maßnahmen zur Datensicherheit, sondern um Benachrichtigungspflichten, wenn diese Maßnahmen fehlgeschlagen sind. Die Vorschrift enthält die nachfolgend näher erläuterten Benachrichti- 2 gungspflichten der Diensteanbieter bei sog. „Datenschutzpannen“. Die Diensteanbieter müssen außerdem nach Abs. 3 zu Kontrollzwecken für die Aufsichtsbehörden ein Verzeichnis führen, in dem die Vorfälle der letzten fünf Jahre zu dokumentieren sind. Weiter wird die BNetzA nach Abs. 4 ermächtigt, in sog. Leitlinien nähere Vorgaben zu Format, Verfahrensweise und den Umstände zu machen, die eine Benachrichtigung erfordern1. Daneben kann nach Art. 4 (5) der Datenschutzrichtlinie für elektronische Kommunikation auch die EU-Kommission sog. technische Durchführungsmaßnahmen erlassen, welche dieselben Punkte abdecken würden. II. Verletzung des Schutzes personenbezogener Daten Die Verletzung des Schutzes personenbezogener Daten, an welche die 3 Pflichten nach § 109a anknüpfen, ist in § 3 Nr. 30a definiert. Danach handelt es sich um „eine Verletzung der Datensicherheit, die zum Verlust, zur unrechtmäßigen Löschung, Veränderung, Speicherung, Weitergabe oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher Telekommunikationsdienste verarbeitet werden sowie der unrechtmäßige Zugang zu diesen“. Die Legaldefinition greift Art. 2h) der Datenschutzrichtlinie für elektronische Kommunikation2 auf, weicht aber teilweise im Wortlaut ab. Anders als in der a.F. von § 93 Abs. 3 werden nun alle
Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. Nr. L 201, S. 37, zuletzt geändert durch Art. 2 ÄndRL 2009/136/EG vom 25.11.2009 (ABl. Nr. L 337, S. 11). 1 Die BNetzA hat auf ihrer Website bei Inkrafttreten des Gesetzes angekündigt, solche Leitlinien erstellen zu wollen. Bislang (Ende September 2012) liegen sie jedoch nicht vor. 2 Dieser definiert die Verletzung des Schutzes personenbezogener Daten als „eine Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in der Gemeinschaft verarbeitet werden“.
Jenny
1167
TKG § 109a
Öffentliche Sicherheit
personenbezogenen Daten erfasst und nicht nur Bestands- noch Verkehrsdaten1. Erfasst werden damit auch jene Standortdaten, die keine Verkehrsdaten sind2. 4 Was eine „Verletzung der Datensicherheit“ sein soll, definiert das Gesetz nicht, und es lässt sich auch nicht aus den genannten Folgen („unrechtmäßige Verwendung“) ableiten, denn sonst wäre praktisch jeder unrechtmäßige Umgang mit personenbezogenen Daten erfasst. Es wäre nahe liegend, eine Verletzung der Datensicherheit nur bei einem unerlaubten Zugriff von außen anzunehmen, allerdings würden dabei unternehmensinterne unerlaubte Zugriffe auf Daten ausscheiden. Diese können aber auch als „unrechtmäßiger Zugang“ zu Daten verstanden und dadurch erfasst werden. Die betroffenen Daten müssen personenbezogen sein, woraus sich Einschränkungen ergeben können, wenn lediglich nicht dem Fernmeldegeheimnis unterliegende Angaben zu juristischen Personen betroffen sind3. III. Verpflichtete 5 § 109a gilt unmittelbar nur für Anbieter öffentlich zugänglicher Telekommunikationsdienste. Ferner erfasst die Definition der Verletzung des Schutzes personenbezogener Daten ihrem Wortlaut nach nur solche Daten, die „im Zusammenhang mit der Bereitstellung öffentlich zugänglicher Telekommunikationsdienste“ verarbeitet werden. Dies sind zwei Indizien, die nahe legen, dass § 109a nur für Anbieter öffentlich zugänglicher Dienste, also nach § 3 Nr. 17a Dienste, die der Öffentlichkeit angeboten werden, gelten soll4. Indessen verweist der § 93 Abs. 3 für alle Diensteanbieter auf § 109a und der Verweis auf öffentlich zugängliche Dienste ist anscheinend nicht nur in § 3 Nr. 30a einer (zu) genauen Übernahme des Wortlautes der Datenschutzrichtlinie für elektronische Kommunikation geschuldet5. Aus § 93 Abs. 3 lässt sich demnach folgende Systematik ableiten: § 109a Abs. 1 Satz 2 und Abs. 2 gelten für alle Diensteanbieter, der Rest von § 109a demgegenüber nur für solche, die öffentlich zugängliche Dienste anbieten6. 1 Eckhardt/Schmitz, CR 2011, 436 (441). 2 Also Standortdaten, die genauer sind, als zur Verkehrsabwicklung nötig, vgl. § 98 Rz. 6. 3 Siehe § 91 Rz. 8. 4 So Eckhardt/Schmitz, CR 2011, 436 (441). 5 Pokutnev/Schmid, CR 2012, 360 (364). Siehe zum gleich gelagerten Problem bei den Begriffsbestimmungen „Teilnehmer“ und „Nutzer“ § 91 Rz. 7. 6 Ebenso Pokutnev/Schmid, CR 2012, 360 (364).
1168 Jenny
Datensicherheit
§ 109a TKG
IV. Benachrichtigungspflichten (Abs. 1 und Abs. 2) § 109a schafft in seinem Abs. 1 ein abgestuftes System an Benachrichti- 6 gungspflichten und definiert in Abs. 2 die Inhalte der dabei zu gebenden Informationen. 1. Information der BNetzA und des BfDI (Abs. 1 Satz 1) Abs. 1 Satz 1 verlangt in allen Fällen einer Verletzung des Schutzes personenbezogener Daten die unverzügliche Benachrichtigung der BNetzA sowie des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI). Unverzüglich ist dabei i.S.d. § 121 BGB als ohne schuldhaftes Zögern zu verstehen1.
7
2. Information des Betroffenen (Abs. 1 Satz 2, 3 und 4) Ist anzunehmen, dass durch die Sicherheitsverletzung Teilnehmer oder 8 andere Personen schwerwiegend beeinträchtigt werden, so hat der Verpflichtete die Betroffenen zu benachrichtigen. Praktisch kann der Diensteanbieter allerdings nur die Teilnehmer, also seine Vertragspartner benachrichtigen, da er andere etwa Betroffene regelmäßig nicht kennt. Selbst wenn Mitbenutzer nach § 104 Satz 3 in Teilnehmerverzeichnissen eingetragen sind, weiß der Diensteanbieter bei einer Sicherheitsverletzung womöglich nicht, ob sie oder der Teilnehmer betroffen sind. Dies gilt zum Beispiel bei einem unerlaubten Zugriff auf Verkehrsdaten eines von mehreren genutzten Anschlusses. In diesem Falle wäre daran zu denken, alle bekannten Nutzer des Anschlusses zu benachrichtigen. Die Benachrichtigungspflicht greift, wenn schwerwiegende Beeinträch- 9 tigungen zu befürchten sind (Satz 2). Dies scheint strenger zu sein als der Wortlaut von Art. 4 (3) der Datenschutzrichtlinie für elektronische Kommunikation, der nur von Beeinträchtigungen spricht. Die Erwägungsgründe der Richtlinie 2009/136/EG zeigen aber, dass auch das Unionsrecht nicht von abweichenden Vorstellungen ausgeht. Nach deren Erwägungsgrund 61 geht es um „Identitätsdiebstahl oder -betrug, physische Schädigung, erhebliche Demütigung oder Rufschaden“, wenn im Richtlinientext von Beeinträchtigung gesprochen wird, womit eine Bagatellgrenze gezogen wird2. Dies kann als Leitlinie für die Interpretation des deutschen Gesetzestextes herangezogen werden. Eine Beeinträchti-
1 Hanloser, MMR 2010, 300 (302). 2 Hanloser, MMR 2010, 300 (301).
Jenny
1169
TKG § 109a
Öffentliche Sicherheit
gung droht ferner in aller Regel nur, wenn Unbefugte Kenntnis vom Inhalt der Daten erhalten können, nicht jedoch bei bloßem Datenverlust1. 10 Von der Benachrichtigung kann jedoch abgesehen werden, wenn in dem Sicherheitskonzept, dass Anbieter öffentlich zugänglicher Telekommunikationsdienste nach § 109 Abs. 4 zu erstellen haben, eine Sicherung der betroffenen Daten nachgewiesen wird. Dies gilt insbesondere, wenn der Nachweis geführt wird, dass die Daten gem. einem als sicher anerkannten Verschlüsselungsverfahren gespeichert worden sind. Dies klingt zunächst, als ob unter Ausblendung der Belange der Betroffenen angemessene Sicherheitsmaßnahmen belohnt werden sollen, auch wenn sie im Einzelfall nicht geholfen haben. Der Wortlaut von Art. 4 (3) der Datenschutzrichtlinie für elektronische Kommunikation legt jedoch nahe, dass damit Fälle gemeint sind, in denen zwar unbefugte Dritte auf die Daten Zugriff hatten, aber anzunehmen ist, dass sie die Sicherungen nicht überwinden konnten. Beispiel wäre das Abhandenkommen eines verschlüsselten Datenträgers. Jedenfalls müssen aber die Sicherungsmaßnahmen auf die von der Sicherheitsverletzung betroffenen Daten angewendet worden sein2, was daraus folgt, dass mittels des Sicherheitskonzepts ihre Sicherung nachgewiesen werden muss. Da Diensteanbieter, die keine Dienste für die Öffentlichkeit anbieten, nach § 109 Abs. 4 kein Sicherheitskonzept zu erstellen haben, gilt für sie die Regelung des § 109a Abs. 1 S. 3 nicht. 11 In den genannten Fällen hat nach Abs. 1 Satz 4 die BNetzA die Möglichkeit, eine Benachrichtigung der Betroffenen trotz Sicherung der betroffenen Daten anzuordnen. Entscheidungsmaßstab soll nach dem Wortlaut die Wahrscheinlichkeit nachteiliger Auswirkungen der Sicherheitsverletzung für die Betroffenen sein. Dies passt nicht recht zusammen: Wenn die Daten wirksam gesichert sind, sollte eigentlich keine Gefahr für die Belange der Betroffenen drohen. Letztlich geht es hier wohl darum, die Entscheidung des Verpflichteten nach Satz 3 einer Kontrolle durch die Behörde zu unterziehen3. 12 Die Benachrichtigung der Betroffenen soll unverzüglich erfolgen. Anders als § 42a Satz 2 BDSG enthält § 109a keinen Vorbehalt für Maßnahmen der Datensicherung oder Strafverfolgungsmaßnahmen4. Wenn allerdings ein die Informationsinteressen überwiegendes Bedürfnis nach 1 2 3 4
Hanloser, MMR 2010, 300 (302). Anders anscheinend Eckhardt/Schmitz, CR 2011, 436 (442). Eckhardt/Schmitz, CR 2011, 436 (442). Dazu Hullen, § 42a BDSG Rz. 11.
1170 Jenny
Datensicherheit
§ 109a TKG
Schließung von Datenlecks und/oder Durchführung von Strafverfolgungsmaßnahmen ohne Kenntnis der Allgemeinheit besteht, ist es wohl kein schuldhaftes Zögern, einstweilen mit der Benachrichtigung der Betroffenen zu warten. Eine Form der Benachrichtigung ist nicht vorgesehen, doch dürfte auch aus Dokumentationsgründen die Textform ratsam sein1. Anders als bei § 42a BDSG haben Verpflichtete nicht die Möglichkeit, bei unverhältnismäßigem Aufwand einer individuellen Benachrichtigung aller Betroffenen auf Anzeigen in der Tagespresse auszuweichen. 3. Inhalt der Benachrichtigung (Abs. 2) Den Inhalt der Benachrichtigung an die Betroffenen und die Aufsichts- 13 behörden legt Abs. 2 fest. Über § 42a BDSG2 geht die Vorschrift insoweit hinaus, als auch Angaben zu Kontaktstellen, bei denen weitere Informationen erhältlich sind (Abs. 2 Ziff. 2), in die Benachrichtigung aufgenommen werden sollen und die Aufsichtsbehörden nicht nur über ergriffene, sondern auch über beabsichtigte Maßnahmen zu unterrichten sind. Welche Kontaktstellen in Betracht kommen sagt die Vorschrift nicht und sie begründet auch keine Pflicht des Diensteanbieters, solche einzurichten. Wenn Informationen zu Bankkonten oder Kreditkarten in die Hände Dritter gelangen, sollten die Betroffenen an ihre Finanzdienstleister verwiesen werden, aber in anderen Fällen ist nicht recht erkennbar, welche Kontaktstellen hier zu benennen sind. V. Sanktionen Verstöße gegen die Benachrichtigungspflicht in 109a Abs. 1 Satz 1 und 14 Satz 2 TKG sind nach § 149 Abs. 1 Nr. 21a, Abs. 2 TKG mit Bußgeld bis 100 000 Euro bedroht. Weiter ist die Pflicht zum Führen des Verzeichnisses nach § 149 Abs. 1 Nr. 21b, Abs. 2 TKG mit Bußgeld bis 50 000 Euro bewehrt. Abs. 1 Satz 5 soll über den Verweis auf § 42a BDSG den sog. Nemo-Tenetur-Grundsatz sicherstellen, wonach niemand zu Selbstbelastung gezwungen ist. Die Regelung wurde erst im Gesetzgebungsverfahren eingefügt. Sie ist aber insoweit lückenhaft, als sie dem Wortlaut nach nicht für Beschäftigte des Diensteanbieters gilt und damit das Führungspersonal vor Konflikte stellen kann3. 1 So auch Hullen, § 42a BDSG Rz. 14. 2 Dazu Hullen, § 42a Rz. 12, 13. 3 Eckhardt/Schmitz, CR 2011, 436 (442).
Jenny
1171
15
TKG § 115
110 bis 114
Öffentliche Sicherheit
[nicht kommentiert]
Kontrolle und Durchsetzung von Verpflichtungen (1) 1Die Bundesnetzagentur kann Anordnungen und andere Maßnahmen treffen, um die Einhaltung der Vorschriften des Teils 7 und der auf Grund dieses Teils ergangenen Rechtsverordnungen sowie der jeweils anzuwendenden Technischen Richtlinien sicherzustellen. 2Der Verpflichtete muss auf Anforderung der Bundesnetzagentur die hierzu erforderlichen Auskünfte erteilen. 3Die Bundesnetzagentur ist zur Überprüfung der Einhaltung der Verpflichtungen befugt, die Geschäfts- und Betriebsräume während der üblichen Betriebs- oder Geschäftszeiten zu betreten und zu besichtigen.
115
(2) 1Die Bundesnetzagentur kann nach Maßgabe des Verwaltungsvollstreckungsgesetzes Zwangsgelder wie folgt festsetzen: 1. bis zu 500 000 Euro zur Durchsetzung der Verpflichtungen nach § 108 Abs. 1, § 110 Abs. 1, 5 oder Abs. 6, einer Rechtsverordnung nach § 108 Absatz 3, einer Rechtsverordnung nach § 110 Abs. 2, einer Rechtsverordnung nach § 112 Abs. 3 Satz 1, der Technischen Richtlinie nach § 108 Absatz 4, der Technischen Richtlinie nach § 110 Abs. 3 oder der Technischen Richtlinie nach § 112 Abs. 3 Satz 3, 2. bis zu 100 000 Euro zur Durchsetzung der Verpflichtungen nach den §§ 109, 109a, 112 Absatz 1, 3 Satz 4, Absatz 5 Satz 1 und 2 oder § 114 Absatz 1 und 3. bis zu 20 000 Euro zur Durchsetzung der Verpflichtungen nach § 111 Abs. 1, 2 und 4 oder § 113 Abs. 1 und 2 Satz 1. 2Bei wiederholten Verstößen gegen § 111 Abs. 1, 2 oder Abs. 4, § 112 Abs. 1, 3 Satz 4, Abs. 5 Satz 1 und 2 oder § 113 Abs. 1 und 2 Satz 1 kann die Tätigkeit des Verpflichteten durch Anordnung der Bundesnetzagentur dahin gehend eingeschränkt werden, dass der Kundenstamm bis zur Erfüllung der sich aus diesen Vorschriften ergebenden Verpflichtungen außer durch Vertragsablauf oder Kündigung nicht verändert werden darf. (3) Darüber hinaus kann die Bundesnetzagentur bei Nichterfüllung von Verpflichtungen des Teils 7 den Betrieb der betreffenden Telekommunikationsanlage oder das geschäftsmäßige Erbringen des betreffenden Telekommunikationsdienstes ganz oder teilweise untersagen, wenn mildere Eingriffe zur Durchsetzung rechtmäßigen Verhaltens nicht ausreichen.
1172 Jenny
Kontrolle und Durchsetzung von Verpflichtungen
§ 115 TKG
(4) 1Soweit für die geschäftsmäßige Erbringung von Telekommunikationsdiensten Daten von natürlichen oder juristischen Personen erhoben, verarbeitet oder genutzt werden, tritt bei den Unternehmen an die Stelle der Kontrolle nach § 38 des Bundesdatenschutzgesetzes eine Kontrolle durch den Bundesbeauftragten für den Datenschutz entsprechend den §§ 21 und 24 bis 26 Abs. 1 bis 4 des Bundesdatenschutzgesetzes. 2Der Bundesbeauftragte für den Datenschutz richtet seine Beanstandungen an die Bundesnetzagentur und übermittelt dieser nach pflichtgemäßem Ermessen weitere Ergebnisse seiner Kontrolle. (5) Das Fernmeldegeheimnis des Artikels 10 des Grundgesetzes wird eingeschränkt, soweit dies die Kontrollen nach Absatz 1 oder 4 erfordern. I. Einführung . . . . . . . . . . . . . . . .
1
II. Aufsicht durch die BNetzA (Abs. 1 und 3) . . . . . . . . . . . . . .
2
III. Kontrolle durch den BfDI (Abs. 4) . . . . . . . . . . . . . . . . . . .
8
IV. Eingriffe in das Fernmeldegeheimnis (Abs. 4) . . . . . . . . . . 13
I. Einführung Die Vorschrift regelt die Kontrolle und Durchsetzung von Pflichten 1 nach dem Teil 7 des TKG, der neben dem Datenschutz auch den Bereich der öffentlichen Sicherheit umfasst. Der Absatz 2 betrifft dabei ausschließlich explizit benannte Pflichten aus dem Bereich der öffentlichen Sicherheit und ist deshalb für den hier interessierenden Bereich des Datenschutzes nicht relevant. Die Vorschrift schafft im Bereich der Datenschutzaufsicht ein Nebeneinander von BNetzA und dem Bundesbeauftragten für Dokumentation und Informationsfreiheit (BfDI)1. II. Aufsicht durch die BNetzA (Abs. 1 und 3) Die Aufsicht durch die BNetzA ist in Abs. 1 und Abs. 3 geregelt. Dabei verschafft ihr Abs. 1 Satz 2 Auskunftsrechte. Verpflichtete sind alle Personen, die Pflichten nach dem Teil 7 des TKG haben. Hierzu gehören auch Beschäftigte der Telekommunikationsunternehmen, da die Begriffsbestimmung des Diensteanbieters in § 3 Nr. 6b) auch auf Personen verweist, die an der Erbringung von Telekommunikationsdiensten mitwir1 Im TKG ist die seit 2006 geltende Bezeichnung „Bundesbeauftragter für Datenschutz und Informationsfreiheit“ noch nicht konsequent umgesetzt worden. So auch hier.
Jenny
1173
2
TKG § 115
Öffentliche Sicherheit
ken. Anders als § 127, der Auskunftsverlangen der BNetzA in anderen Zusammenhängen regelt, enthält § 126 kein Auskunftsverweigerungsrecht für den Fall, dass die Auskunftserteilung auf eine Selbstbezichtigung hinausliefe. Insoweit sollte § 127 Abs. 8 entsprechend herangezogen werden1, wonach Auskunftspflichtige die Beantwortung von Fragen verweigern dürfen, deren Beantwortung sie oder Angehörige der Gefahr straf- oder bußgeldrechtlicher Verfolgung aussetzen würden. 3 Zur Durchführung von Kontrollbesuchen erhält die BNetzA in § 115 Abs. 1 Satz 3 ein Betretungsrecht für Geschäfts- und Betriebsräume. Durchsuchungen und Beschlagnahmen sind dabei jedoch nicht zulässig, desgleichen die Einsichtnahme und Prüfung geschäftlicher Unterlagen, was aus dem Umkehrschluss aus § 127 Abs. 4 folgt2. 4 Neben § 115 enthält das TKG auch in §§ 126 ff. weitere Aufsichts- und Ermittlungsbefugnisse, die dort um einiges ausführlicher ausformuliert sind. Das Konkurrenzverhältnis der Befugnisse zueinander ist in der Kommentarliteratur umstritten. Gesetzessystematisch am überzeugendsten wirkt die Sicht, wonach § 115, soweit er Eingriffsbefugnisse der BNetzA regelt, die auch in §§ 126 ff. enthalten sind, abschließend ist3. Jedenfalls ist aber der Anwendungsbereich von § 126 (Unternehmen) und § 127 (Betreiber von öffentlichen Telekommunikationsnetzen und Anbieter öffentlich zugänglicher Telekommunikationsdienste) enger, als der von § 115 (Diensteanbieter). 5 Abs. 1 Satz 1 verschafft der BNetzA generalklauselhaft die Möglichkeit zu Anordnungen und Maßnahmen zur Einhaltung der Vorschriften des Teils 7. Die im Gesetzestext erwähnten Rechtsverordnungen und technischen Richtlinien sind nur im Bereich der öffentlichen Sicherheit relevant, nicht jedoch für die datenschutzrechtlichen Bestimmungen. Inhalt und Umfang der Anordnungen und Maßnahmen regelt das Gesetz in Abs. 1 nicht näher, was man dahingehend verstehen kann, dass alle Verwaltungsakte und sonstigen hoheitlichen Maßnahmen, die der Verhältnismäßigkeit im weiteren Sinne genügen, in Betracht kommen. Sowohl beim „Ob“ als auch beim „Wie“ des Einschreitens hat die Behörde ein Ermessen, das sie pflichtgemäß ausüben muss4. 1 BerlKommTKG/Klesczewski, § 115 Rz. 11. 2 BerlKommTKG/Klesczewski, § 115 Rz. 12. Anderer Ansicht jedoch BeckTKGKomm/Bock, § 115 Rz. 10 sowie Scheurle/Mayen/Büttgen, § 115 Rz. 7. 3 So BerlKommTKG/Klesczewski, § 115 Rz. 12. 4 Arndt/Fetzer/Scherer/Graulich, § 115 Rz. 5; Scheurle/Mayen/Büttgen, § 115 Rz. 6.
1174 Jenny
Kontrolle und Durchsetzung von Verpflichtungen
§ 115 TKG
Abs. 3 enthält als ultima ratio zur Durchsetzung von Pflichten nach dem 7. Teil des TKG die Möglichkeit der Untersagung des Betriebs von Telekommunikationsanlagen oder des geschäftsmäßigen Erbringens von Telekommunikationsdiensten. Aus Verhältnismäßigkeitsgründen hat die BNetzA vorher alle sonstigen möglichen Maßnahmen auszuschöpfen, bevor sie zu diesem Mittel greift1.
6
Da für den Bereich des Datenschutzes Abs. 2 nicht gilt, ist für die zwangsweise Durchsetzung von Anordnungen auf das Verwaltungsvollstreckungsgesetz des Bundes zurückzugreifen2. Dabei kann das Problem entstehen, dass jenes Gesetz das Zwangsgeld auf den sowohl bezüglich der Höhe als auch hinsichtlich der Währung bemerkenswerten Betrag von zweitausend Deutsche Mark begrenzt (§ 11 Abs. 3 VwVG)3.
7
III. Kontrolle durch den BfDI (Abs. 4) Die datenschutzrechtliche Aufsicht über Unternehmen, die geschäfts- 8 mäßig Telekommunikationsdienste erbringen, liegt für dabei erhobene und verwendete Daten nach Abs. 4 beim BfDI. Sie richtet sich nicht nach § 38 ff. BDSG, sondern nach §§ 21 und 24 bis 26 BDSG. Damit soll dem BfDI die Möglichkeit zu vorbeugenden Initiativkontrollen ohne konkrete Anhaltspunkte für Rechtsverstöße eingeräumt werden4. Diese Zuständigkeit war im Gesetzgebungsverfahren umstritten5. Die 9 Aufsicht beim BfDI anzusiedeln sollte zum einen die vorher im Zuge der Aufsicht über Post und Telekom als Staatsunternehmen bei der Dienststelle entstandene Sachkunde weiter nutzbar machen, zugleich eine zentrale Anlaufstelle für die Betroffenen schaffen und dabei eine Zersplitterung der Aufsicht vermeiden6. Für den Beschäftigtendatenschutz bei Telekommunikationsunternehmen gilt diese Zuständigkeit nicht, da mit deren Daten – vom Fall der erlaubten Privatnutzung einmal abgesehen, die als geschäftsmäßige Erbringung von Telekommunikations-
1 BerlKommTKG/Klesczewski, § 115 Rz. 20; Arndt/Fetzer/Scherer/Graulich, § 115 Rz. 13. 2 BerlKommTKG/Klesczewski, § 115 Rz. 13; Arndt/Fetzer/Scherer/Graulich, § 115 Rz. 13. 3 Bemerkenswert ist auch, dass dies nur für den Datenschutz gilt, da § 115 Abs. 2 für den Bereich öffentliche Sicherheit und § 126 Abs. 5 TKG für sonstige Pflichten nach dem TKG deutlich höhere Zwangsgelder ermöglichen. 4 BT-Drucks. 13/3609, S. 57. 5 Arndt/Fetzer/Scherer/Graulich, § 115 Rz. 13. 6 Arndt/Fetzer/Scherer/Graulich, § 115 Rz. 13.
Jenny
1175
TKG § 115
Öffentliche Sicherheit
diensten der Aufsicht des BfDI unterliegt – nicht für das Erbringen von Telekommunikationsdiensten umgegangen wird1. Weiter soll eine Ausnahme für öffentliche Stellen der Länder gelten, die TK-Dienste erbringen, da diese keine Unternehmen seien2. 10 Auch wenn in § 115 Abs. 4 auf Daten „juristischer Personen“ Bezug genommen wird, beschränkt sich die Aufsicht auf die Reichweite des Schutzes von Angaben zu juristischen Personen nach dem TKG. Dieser Schutz reicht nur so weit, wie die Angaben dem Fernmeldegeheimnis unterliegen3. 11 Inhaltlich richtet sich die Kontrollen nach den §§ 21, 24 bis 26 BDSG. Eine Besonderheit ergibt sich aber daraus, dass der Bundesbeauftragte bei seiner Tätigkeit nach § 115 Abs. 4 TKG grundrechtsfähigen Privatrechtssubjekten gegenüber tritt und nicht etwa öffentlichen Stellen. Namentlich folgt daraus, dass sein Betretungsrecht aus § 24 Abs. 4 Satz 2 Nr. 2 BDSG auf die üblichen Betriebs- und Geschäftszeiten beschränkt ist4. Für Einzelheiten sei auf die Erläuterungen von Hullen zu den genannten Vorschriften des BDSG verwiesen. 12 Stellt der BfDI Verstöße fest, so kann er diese nach § 25 BDSG beanstanden. Eigene Anordnungsbefugnisse gegenüber den seiner Aufsicht nach § 115 TKG unterliegenden Unternehmen hat er nicht. Auch Bußgeldverfahren nach § 149 TKG kann nur die BNetzA einleiten (§ 149 Abs. 3). Deshalb richtet der BfDI allfällige Beanstandungen an die BNetzA, welche dann gehalten ist, nach pflichtgemäßem Ermessen über Schritte nach Abs. 1 und/oder Abs. 3 des § 115 oder auch die Einleitung von Bußgeldverfahren zu befinden5. 4. Eingriffe in das Fernmeldegeheimnis (Abs. 4) 13 Der Gesetzgeber hielt es für denkbar, dass BNetzA oder BfDI in Ausübung ihrer Aufgaben nach § 115 mit dem Fernmeldegeheimnis unterliegenden Informationen in Berührung kommen. Deshalb wird mit Abs. 4 das Zitiergebot des Art. 19 Abs. 1 Satz 2 GG erfüllt. 1 Scheurle/Mayen/Büttgen, § 115 Rz. 21. 2 Scheurle/Mayen/Büttgen, § 115 Rz. 33, wobei allerdings anscheinend übersehen wird, dass der Begriff „Unternehmen“ im TKG eigenständig definiert wird. 3 Scheurle/Mayen/Büttgen, § 115 Rz. 22; BerlKommTKG/Klesczewski, § 115 Rz. 23. 4 BerlKommTKG/Klesczewski, § 115 Rz. 24. 5 BerlKommTKG/Klesczewski, § 115 Rz. 24.
1176 Jenny
Stichwortverzeichnis Abrechnungsdaten (TKG) – Fernmeldegeheimnis § 88 TKG 5 Abrechnungsdaten (TMG) § 15 TMG 1 – Auskunftserlaubnis § 15 TMG 43 – Begriff § 15 TMG 31 – Erforderlichkeit § 15 TMG 33 ff. – Flatrate-Dienste § 15 TMG 34 – Speicherung für sechs Monate § 15 TMG 35 – Übermittlung zu Abrechnungszwecken § 15 TMG 37 ff. – Übermittlung zu Marktforschungszwecken § 15 TMG 41 f. – Zusammenführen von ~ § 15 TMG 32 Abrufverfahren, automatisierte siehe Automatisierte Abrufverfahren Abtretung – Entgeltforderung an Dritte (TKG) § 97 TKG 8 ff. Adresshandel siehe Werbung und Adresshandel AGB-Kontrolle der Einwilligung § 4a 36 ff. – Bestimmtheit § 4a 46 ff. – Grundsatz § 4a 37 f. – Hervorhebung § 4a 41 ff. – Opt-out § 4a 50 f. – Rechtsgeschäft § 4a 39 f. – Überschrift § 4a 44 f. Allgemein zugängliche Daten – automatisierte Abrufverfahren § 10 31 f. – Begriff § 29 56 ff. – keine Benachrichtigung des Betroffenen § 33 46 ff. – geschäftsmäßige Datenübermittlung § 29 54 f. – nicht-öffentliche Stellen siehe Allgemein zugängliche Daten (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) – öffentlich-rechtliche Wettbewerbsunternehmen siehe Allgemein zugängliche Daten (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) – Zweckänderung (öffentliche Stellen) § 14 13
Allgemein zugängliche Daten (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 28 75 ff. – allgemein zugängliche Daten, Begriff § 28 76 ff. – allgemein zugängliche Quellen § 28 76 – Befugnis zur Veröffentlichung § 28 80 f. – Bewertungsportale § 28 86 – Interessenabwägung § 28 82 ff. – Markt- und Meinungsforschung § 30a 17 f., 23 – Rechtsfolgen/Sanktionen § 28 222 ff. – spezialgesetzlicher Schutz § 28 78 – zum Zeitpunkt der Verwendung § 28 77 – Zweckbestimmung § 28 88 ff. – Zweckbindung, Durchbrechung § 28 93 Amtshilfe – Datenübermittlung der Aufsichtsbehörde an ausländische Aufsichtsstellen § 38 23 f. Anonymisierte Übermittlung § 30 1 ff. – Anwendungsbereich § 30 6 ff. – Datentrennung § 30 12 ff. – Datenzusammenführung § 30 16 ff. – Nichtanwendung von § 29 BDSG § 30 22 – Portofolioanalysen § 30 5 – Pseudonymisierung § 30 14 f. – Reanonymisierung § 30 3 f. – Rechtsfolgen/Sanktionen § 30 28 f. – Scoringverfahren § 30 5 – sensible Daten § 30 23 – Systematik § 30 1 f. – Verhältnis zu anderen Normen § 30 24 ff. – Zulässigkeit der Veränderung § 30 19 f. Anonymisierung – Begriff § 3 56 ff. – Datenvermeidung und Datensparsamkeit § 3a 10, 16 f., 19 ff. – Forschungseinrichtung § 40 9 f.
1177
Stichwortverzeichnis – Markt- und Meinungsforschung § 30a 28 f. – Telemediendatenschutz § 13 TMG 40 ff. – Übermittlung von Abrechnungsdaten zu Zwecken der Marktforschung (Telemedien) § 15 TMG 41 f. – als Verändern § 3 38 Anrufung der Aufsichtsbehörden – allgemeines Anrufungsrecht § 38 33 ff. Anrufung des Bundesdatenschutzbeauftragten § 21 1 ff. – Bearbeitung durch den Bundesdatenschutzbeauftragten § 21 9 ff. – beliebiges Recht, vermeintliche Verletzung § 21 6 – formelle Voraussetzungen § 21 3 f. – Jedermann-Recht § 21 2 – materielle Voraussetzungen § 21 5 ff. – öffentliche Stelle des Bundes, vermeintliche Verletzung § 21 7 – Unzuständigkeit § 21 8 – vermeintliche Rechtsverletzung § 21 5 Anrufweiterleitung § 103 TKG 1 Arbeitnehmerdatenschutz siehe Beschäftigtendatenschutz Arbeits- und Beschäftigungsverhältnisse – Beschäftigtendatenschutz siehe dort – Datengeheimnis nach Beendigung der ~s § 5 24 – öffentliche Stellen § 12 11 ff. Arbeitsverträge – zulässige Datenverwendung § 28 39 Audit siehe Datenschutzaudit Aufsichtsbehörde § 38 1 ff. – Abberufung des betrieblichen Datenschutzbeauftragten, Verlangen § 38 66 ff. – allgemeines Anrufungsrecht § 38 33 ff. – Amtshilfe gegenüber anderen EU/ EWG-Ländern § 38 23 f. – Anordnungsbefugnisse § 38 61 ff. – Anzeigepflicht § 38 36 – Auskunftspflichten der verantwortlichen Stellen § 38 42 ff.
1178
– Auskunftsverweigerungsrecht § 38 47 ff. – Ausnahmen von der Auskunftspflicht gegenüber ~ § 38 47 ff. – Benachrichtigung bei „Datenleck“ § 42a 16 – Beseitigungsanordnung § 38 62 f. – Datenaustausch zwischen den ~n § 38 21 – Datenübermittlung an ausländische ~n § 38 24 – Gewerbeordnung § 38 74 – Inhalt der Auskunftspflichten gegenüber ~ § 38 43 ff. – Kontrolle siehe Aufsichtsbehördliche Kontrolle – Kontrollrechte bei Auslandsbezug § 1 71 – Missachtung des Datenschutzbeauftragten § 4g 36 ff. – Registerführung § 38 39 ff. – steuerliche Auskunfts- und Vorlagepflichten § 38 37 – Tätigkeitsberichte § 38 30 ff. – Übertragung der Aufsicht auf die Länder § 38 70 ff. – Unterrichtung des Betroffenen bei Verstößen § 38 26 f. – Unterrichtung der Gewerbeaufsichtsbehörden § 38 29 – Unterrichtung der für Verfolgung bzw. Ahndung zuständigen Stelle § 38 28 – Unterrichtungsbefugnisse bei Verstößen § 38 25 ff. – Untersagungsanordnung § 38 64 f. – Verhältnis zum betrieblichen Datenschutzbeauftragten § 38 18 – Verhältnis zur verantwortlichen Stelle § 38 18 – „völlige Unabhängigkeit“ nach EGDatenschutzrichtlinie § 38 71 f. – Zeugnisverweigerungsrecht des Landesdatenschutzbeauftragten § 12 10 – Zuständigkeit § 38 4 f. – Zweckbindung bei eigenen Daten § 38 19 f. Aufsichtsbehördliche Kontrolle § 38 6 ff. – Ablauf § 38 16
Stichwortverzeichnis – anlassbezogene/anlasslose Kontrolle § 38 52 – Auftragsdatenverarbeiter § 38 12 – ausländische Vorschriften § 38 11 – Aussageverweigerungsrecht § 38 58 – Berufs- oder Amtsgeheimnis § 38 57 – Brief-, Post-, Fernmeldegeheimnis § 38 57 – Duldungspflicht der verantwortlichen Stelle § 38 59 f. – Durchführung § 38 15 ff. – Einhaltung der BDSG-Vorschriften § 38 7 ff. – Einsicht in geschäftliche Unterlagen vor Ort § 38 55 f. – Ermessen § 38 15 – Gegenstand der Kontrolle § 38 7 ff. – Geheimniswahrung § 38 10 – Kontrollbefugnisse § 38 50 ff. – Prüfungen und Besichtigungen vor Ort § 38 51, 53 f. – Schuldnerverzeichnisse § 38 13 – spezialgesetzliche Vorschriften § 38 9 – Stellungnahme der verantwortlichen Stelle § 38 17 – keine bei Telekommunikationsdiensten § 38 14 Auftrag – Auftragsdatenverarbeitung § 11 21 ff. Auftragsdatenverarbeitung § 11 1 ff. – Adressat bei Widerspruch gegen Werbung/Markt-/Meinungsforschung § 28 181 f. – aufsichtsbehördliche Kontrolle § 38 12 – Auftrag § 11 21 ff. – Auftraggeber im Ausland § 11 16 ff. – Auftragnehmer im Ausland § 11 11 ff. – Auftragsdatenverarbeiter kein „Dritter“ § 11 2 – Auftragskontrolle § 9 48 ff. – durch ausländisches Unternehmen in Deutschland § 1 60 – automatisierte Abrufverfahren § 10 7 – Banken § 11 58 ff. – Belehrung über Datengeheimnis § 5 21
– Belehrung über Widerspruchsrecht gegen Werbung/Markt-/Meinungsforschung § 28 191 – Call Center § 11 31 – Cloud Computing § 11 5, 46 ff. – Datenexport in Drittländer § 4b 16 ff. – Datenexport innerhalb EU/EWR § 4b 12 – Doppelfunktion des Auftragnehmers § 11 25 f. – Eigeninteresse des Auftragnehmers § 11 24 – EU-Standardvertragsklauseln § 4c 31 ff. – Funktionsübertragung § 11 27 ff. – Informationspflicht bei unrechtmäßiger Kenntniserlangung § 42a 4 – Kontrolle durch Datenschutzbeauftragten § 4g 9 – Konzern § 11 42 ff. – Letter-Shops § 11 33 f. – Marktforschungsinstitute § 11 32 – Mindestanforderungen an den Vertrag § 11 4 – Outsourcing § 11 35 ff.; § 28 65 – keine personenbezogenen Daten § 11 8 – sachlicher Anwendungsbereich § 11 7 ff. – Server-Housing § 11 9 – Telekommunikationsunternehmen als Auftragsdatenverarbeiter siehe Auftragsdatenverarbeitung (TKG) – territorialer Anwendungsbereich § 11 10 ff. – Übermittlung von Abrechnungsdaten zu Abrechnungszwecken (Telemedien) § 15 TMG 39 – Übermittlung von Beschäftigtendaten an Dritte, Abgrenzung § 32 144 – verantwortliche Stelle § 3 71 – Verantwortlichkeitsverteilung § 11 39 ff. – Verhältnis zu den Erlaubnisnormen § 11 20 – Versicherungen und Verrechnungsstellen § 11 71 ff. – Verstoß gegen Datensicherheit § 9 20
1179
Stichwortverzeichnis – zeitlicher Anwendungsbereich § 11 19 Auftragsdatenverarbeitung (TKG) – Content Delivery Networks § 91 TKG 17 – Helpdesk § 91 TKG 17 – Kollokations- und Telehousingdienste § 91 TKG 17 – Protokolldaten § 91 TKG 17 – Router oder sonstige Endgeräte, Betrieb § 91 TKG 17 – Sicherheitsdienstleistungen § 91 TKG 17 – Sprachboxen § 91 TKG 17 – durch Telekommunikationsunternehmen § 91 TKG 14 ff. – für Telekommunikationsunternehmen § 91 TKG 18 – oder Telekommunikationsunternehmen als verantwortliche Stelle § 91 TKG 16 f. Auftragskontrolle – Auftragsdatenverarbeitung § 9 48 ff. Auskunft (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 34 1 ff. – Anspruch durch Erben § 34 3 – Anspruchscharakter § 34 10 – Antragsformulare § 34 14, 20 – Anwendungsbereich § 34 7 ff. – Art der Daten, nähere Bezeichnung § 34 17 f. – Auskunft bei Scoring siehe dort – Ausnahmen vom Auskunftsanspruch § 34 74 ff. – Benachrichtigung des Betroffenen § 33 31 – Betreuer § 34 5 – Bevollmächtigter § 34 4 – Daten ohne Personenbezug § 34 56 ff. – Ersuchen an verantwortliche Stelle § 34 12 – Form § 34 70 ff. – Formfreiheit des Ersuchens § 34 11 – Frist § 34 73 – Geltendmachung § 34 2 ff. – geschäftsmäßige Datenverarbeiter § 34 59 ff. – Herkunft und Empfänger bei geschäftsmäßiger Datenübermittlung § 34 59 ff.
1180
– Identifizierung § 34 13 ff. – Inhalt § 34 21 ff. – Inhalt der Auskunft bei geschäftsmäßiger Datenübermittlung § 34 49 ff. – Kosten § 34 78 ff. – Rechtsfolgen/Sanktionen § 34 87 – Rechtsmissbrauch § 34 75 – Textform § 34 70 ff. – Verhältnis zu anderen Normen § 34 83 ff. – Voraussetzungen des Ersuchens § 34 9 ff. – Werbezwecke § 34 27 f. – Zweckbindung § 34 63 ff. Auskunft (TMG) – Abrechnungsdaten § 15 TMG 43 – Bestandsdaten § 14 TMG 16 ff. – Pflicht des Diensteanbieters § 13 TMG 40 ff. Auskunft bei Scoring § 34 29 ff. – Berechnung des Wahrscheinlichkeitswerts durch Dritte § 34 45 ff. – Datenarten § 34 38 f. – einzelfallbezogene und nachvollziehbare Erläuterung § 34 40 ff. – Verlangen § 34 30 f. – Wahrscheinlichkeitswerte § 34 33 ff. Auskunfteien – Begriff § 28a 7 ff. – geschäftsmäßige Datenübermittlung § 29 14 ff. – Löschung § 35 28 – Scoring durch ~ § 28b 30 – Wahrung berechtigter Interessen § 28 62 f. Auskunfteien, Datenübermittlung an § 28a 1 ff. – aufgrund Anerkenntnisses § 28a 24 f. – Anwendungsbereich § 28a 2 ff. – Auskunftei, Begriff § 28a 7 ff. – Einwilligung nach § 4a BDSG § 28a 4 – nicht erbrachte Leistung trotz Fälligkeit § 28a 18 f. – Erlaubnistatbestände § 28a 11 ff. – aufgrund Feststellung im Insolvenzverfahren § 28a 23 – Forderungsdaten § 28a 13 ff.
Stichwortverzeichnis – geschäftsmäßige Datenübermittlung durch Auskunfteien im Anschluss § 29 63 ff. – geschäftsmäßige Datenverarbeitung der verantwortlichen Stelle § 28a 41 ff. – Interessenabwägung § 28a 20 f. – Kreditinstitute, Datenübermittlung durch siehe dort – Kreditwürdigkeit § 28a 8 – aufgrund einer Kündigung § 28a 37 ff. – nicht-öffentliche Stellen § 28a 2 – öffentlich-rechtliche Wettbewerbsunternehmen § 28a 2 – Regelbeispiele § 28a 22 ff. – Sondervorschrift § 28a 3 – Übermittlung § 28a 5 – aufgrund Urteil oder Titel § 28a 22 – aufgrund vorheriger Mahnung § 28a 26 ff. – Zahlungserfahrungen zu Unternehmen § 28a 6 – Zahlungsverhaltensdaten § 28a 15 Auskunftsanspruch gegenüber öffentlichen Stellen § 19 5 ff. – Antrag § 19 12 ff. – Auskunft an den Bundesbeauftragten bei Verweigerung § 19 27 f. – Ausnahmen § 19 17 – Begründung der Verweigerung § 19 24 ff. – Beschränkung bei Übermittlung an Sicherheitsbehörden § 19 18 – Empfänger der Daten § 19 10 – Gefährdung der öffentlichen Sicherheit und Ordnung § 19 21 – Gefährdung ordnungsgemäßer Aufgabenerfüllung § 19 20 – Geheimhaltungsinteresse § 19 19 ff. – gespeicherte Personendaten § 19 7 f. – Herkunft der Daten § 19 9 – Nachteile für das Wohl des Bundes oder Landes § 19 22 – Recht auf informationelle Selbstbestimmung § 19 2 ff. – rechtliche oder faktische Geheimhaltungsbedürftigkeit § 19 23 – Unentgeltlichkeit § 19 29 – Verfahren der Auskunftserteilung § 19 15 f.
– Voraussetzungen § 19 12 ff. – Zweck der Speicherung § 19 11 Ausland – Auftragsdatenverarbeitung und Auftraggeber im ~ § 11 16 ff. – Auftragsdatenverarbeitung und Auftragnehmer im ~ § 11 11 ff. – Datenexport siehe dort – Datenübermittlung der Aufsichtsbehörde an ausländische Aufsichtsbehörden § 38 24 – Telemediendatenschutz § 11 TMG 20 ff. Auslandsbezug § 1 45 ff. – automatisierte Abrufverfahren § 10 9 – Cloud Computing mit ~ § 11 51 ff. – Cookies (Telemedien) § 11 TMG 24 – Datenexport siehe dort – Datentransit § 1 68 ff. – Datenverwendung durch eine Niederlassung § 1 52 ff. – Datenverwendung durch EU/EWRausländische Stelle § 1 61 ff. – Datenverwendung durch Niederlassung § 1 52 ff. – Ernennung eines Vertreters § 1 67 – Grundprinzipien § 1 49 ff. – Herkunftslandprinzip (Telemedien) § 11 TMG 20 – Java-Skripte (Telemedien) § 11 TMG 24 – Kontrollrechte der Aufsichtsbehörden § 1 71 – Sitz der Dienstanbieters in EU/ EWR-Staat (Telemedien) § 11 TMG 22 – Staaten außerhalb EU/EWR (Telemedien) § 11 TMG 23 – Telemediendatenschutz § 11 TMG 20 ff. – Umsetzung der EG-Datenschutzrichtlinie § 1 45 ff. – Unterrichtungspflicht des Diensteanbieters (Telemedien) § 13 TMG 7 Automatisierte Abrufverfahren § 10 1 ff. – Adressaten § 10 5 – allgemein zugängliche Daten § 10 31 f.
1181
Stichwortverzeichnis – Anlass und Zweck, Dokumentation § 10 19 – Anwendungsbereich § 10 5 ff. – Art der Daten, Dokumentation § 10 21 – Auftragsdatenverarbeitung § 10 7 – Ausland § 10 9 – Begriff § 10 11 – Dokumentation nur bei Einrichtung § 10 23 – Dokumentation vor Inbetriebnahme § 10 24 – Dokumentierende § 10 25 – Einrichtung § 10 3 – einzelne Daten § 10 8 – Empfänger, Dokumentation § 10 20 – Empfänger, Verantwortlichkeit § 10 28 – erhöhtes Gefahrenpotenzial § 10 2 – geschäftsmäßige Datenübermittlung § 29 94 f. – Gewährleistung von Kontrollmöglichkeiten § 10 18 ff. – Grad der Schutzwürdigkeit des Betroffenen § 10 15 – Interessen der beteiligten Stellen § 10 12 ff. – Sicherheitsbehörden, Beteiligung § 10 27 – Stapelverarbeitung § 10 8, 30 – technische und organisatorische Maßnahmen, Dokumentation § 10 22 – übermittelnde Stelle: Zulässigkeit des Abrufs § 10 29 – Übermittlung § 10 6 – Übermittlungsvorgang § 10 17 – Unterrichtung bei Beteiligung öffentlicher Stellen § 10 26 f. – Verantwortlichkeit § 10 28 ff. – Verhältnismäßigkeitsprüfung § 10 12 ff. – Vorabkontrolle § 10 10 – Zulässigkeit § 10 10 ff. Automatisierte Einzelentscheidungen – Auskunftsanspruch § 6a 29 f. – Ausnahmen vom Verbot § 6a 18 ff. – Ausschließlichkeit der automatisierten Verarbeitung § 6a 11 ff. – Auswirkungen der Entscheidungen § 6a 6 ff.
1182
– Bewertung einzelner Persönlichkeitsmerkmale § 6a 14 ff. – EG-Datenschutzrichtlinie § 6a 1 – Einfluss eines Menschen § 6a 12 f. – Entscheidungen § 6a 5 – erhebliche Beeinträchtigung § 6a 7 ff. – Rechtsfolgen bei Verletzung der Mitteilungs- und Erläuterungspflichten § 6a 34 f. – Scoringverfahren § 6a 3 – Stattgabe des Begehrens § 6a 19 – Verbot § 6a 4 ff. – Verhältnis zu anderen Vorschriften § 6a 31 ff. – Wahrung der berechtigten Interessen § 6a 20 ff. Automatisierte Verarbeitung – Begriff § 3 23 f. Background Checks – Stellenbewerber § 32 30 Bank- und Kreditverträge – zulässige Datenverwendung § 28 34 ff. Banken – Auftragsdatenverarbeitung § 11 58 ff. – KWG und Auftragsdatenverarbeitung § 11 62 ff. – StGB und Auftragsdatenverarbeitung § 11 66 ff. Beanstandungen durch den Bundesdatenschutzbeauftragten § 25 1 ff. – Adressaten § 25 4 – Ermessen § 25 3 – Form und Inhalt § 25 5 – Stellungnahme der beanstandeten Stelle § 25 6, 9 f. – Streitigkeiten § 25 11 – Unterrichtung des Betroffenen § 25 7 – Verfahren § 25 2 ff. – Verzicht § 25 8 – Voraussetzungen § 25 2 – Wirkung § 25 6 f. Beauftragter für den Datenschutz siehe Datenschutzbeauftragter Begründung eines Beschäftigungsverhältnisses – § 32 BDSG-E 2010 § 32 21 f.
Stichwortverzeichnis – – – – – – –
AGG-Merkmale § 32 41 ff. Alkohol- und Drogensucht § 32 44 Alkohol- und Drogentests § 32 50 allgemeine Kontaktdaten § 32 32 Alter § 32 42 Background Checks § 32 30 Befragung des früheren Arbeitgebers § 32 29 – Dokumente § 32 45 ff. – erfolglose Bewerbung § 32 31 – Erhebung, Verarbeitung, Nutzung von Beschäftigtendaten § 32 20 – Fallgruppen § 32 32 ff. – Fragerecht des Arbeitgebers § 32 23 f. – Freiheitsstrafe § 32 39 – genetische Untersuchungen und Analysen § 32 52 – Gesundheitszustand § 32 44 – Gewerkschaftszugehörigkeit § 32 36 – Internetrecherche § 32 27 f. – medizinische Untersuchungen § 32 49 – Mitteilungspflichten des Bewerbers § 32 26 – polizeiliches Führungszeugnis § 32 47 – private Vermögensverhältnisse § 32 37 – psychologische Eignungstests § 32 51 – psychologische Tests § 32 49 – Qualifikation und beruflicher Werdegang § 32 33 – Rasse und ethnische Herkunft § 32 42 – Religionszugehörigkeit § 32 43 – SCHUFA-Auskunft § 32 48 – Schwangerschaft § 32 42 – sexuelle Identität § 32 42 – Stasi-Vergangenheit § 32 40 – ungefragte Datenübermittlung § 32 25 – Vorstrafen und laufende Ermittlungsverfahren § 32 38 – Wehr- oder Ersatzdienst § 32 34 – Zeugnisse § 32 46 Behandlungsverträge – zulässige Datenverwendung § 28 41 f.
Behörden – des Bundes § 2 6 ff. Belehrung siehe Datengeheimnis Benachrichtigung (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 33 1 ff. – AGB als Benachrichtigung § 33 11 – allgemein zugängliche Quellen § 33 46 ff. – Anwendungsbereich § 33 4 – Art der Daten § 33 14 – keine bei Aufbewahrungspflichten § 33 32 – Auftragnehmer § 33 18 – Auskunft an den Betroffenen § 33 31 – Ausnahmen § 33 22 ff. – Benachrichtigung § 33 10 f. – bereits erfolgte Speicherung § 33 9 – keine bei Datensicherung oder Datenschutzkontrolle § 33 33 ff. – Direkterhebung § 33 24 f. – Dokumentation der zugrunde gelegten Ausnahme § 33 55 ff. – Einwilligung § 33 26 – erstmalige Speicherung § 33 7 – freiwillige Transparenz § 33 28 – Frist § 33 12 – Gefährdung eigener Geschäftszwecke § 33 52 – Gefährdung der Sicherheit und Ordnung § 33 44 f. – geheime Daten § 33 37 ff. – bei geschäftsmäßiger Datenübermittlung § 33 19 ff. – keine bei gesetzlich angeordneter Datenverarbeitung § 33 41 – Identität der verantwortlichen Stelle § 33 15 – Kategorie von Datenempfängern § 33 17 f. – Kenntnis auf sonstige Weise § 33 23 ff. – Listendaten § 33 53 f. – M&A-Transaktionen § 33 8 – Markt- und Meinungsforschung § 33 51 – Nachweis § 33 13 – Rechtsfolgen/Sanktionen § 33 58 f. – Speicherung für eigene Zwecke § 33 5 ff., 49
1183
Stichwortverzeichnis – Speicherung ohne Kenntnis des Betroffenen § 33 6 – Speicherung zum Zwecke der Übermittlung § 33 19 ff. – verbraucherrechtliche Hinweistexte § 33 29 – Vorfeld einer Vertragsbeziehung § 33 30 – keine bei wissenschaftlicher Forschung § 33 42 ff. – Zweckbestimmung § 33 16 Benachrichtigungspflicht – Videoüberwachung § 6b 29 Benachrichtigungspflicht (öffentliche Stellen) § 19a 1 ff. – Ausnahmen § 19a 6 ff. – Datenerhebung ohne Kenntnis des Betroffenen § 19a 1 ff. Benachrichtungspflicht bei Datenschutzpannen (TKG) § 109a TKG 1 ff. – Anbieter öffentlich zugänglicher Telekommunikationsdienste § 109a TKG 5 – Benachrichtigungspflichten § 109a TKG 6 – Bundesdatenschutzbeauftragter § 109a TKG 7 – Bundesnetzagentur § 109a TKG 7 – Information des Betroffenen § 109a TKG 8 ff. – Inhalt der Benachrichtigung § 109a TKG 13 – Sanktionen § 109a TKG 14 f. – schwerwiegende Beeinträchtigungen, zu befürchtende § 109a TKG 9 – Sicherung der betroffenen Daten § 109a TKG 10 f. – Verletzung der Datensicherheit § 109a TKG 4 – Verletzung des Schutzes personenbezogener Daten § 109a TKG 3 f. – Verpflichtete § 109a TKG 5 Benachteiligungsverbot – Datenschutzbeauftragter § 4f 42 f. Bereithalten von Daten – Übermitteln § 3 45 ff. Berichtigungspflicht (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 35 1 ff.
1184
– allgemein zugängliche Daten bei geschäftsmäßiger Datenübermittlung § 35 47 ff. – einstweiliger Rechtsschutz § 35 4 – errechnete Wahrscheinlichkeitswerte § 35 2 – Folgenbeseitigung, Nachinformation § 35 53 ff. – genaue Bezeichnung der Daten § 35 3 – Kosten § 35 7 – und Löschungsanspruch § 35 9 – Rechtsfolgen/Sanktionen § 35 63 f. – Schätzdaten § 35 12 – Unvollständigkeit § 35 11 – Verhältnis zu anderen Normen § 35 57 ff. – zulässige Datenverarbeitung und -nutzung § 35 10 Berichtigungspflicht (öffentliche Stellen) § 20 2 ff. – Amtspflicht § 20 2 – Beweislast § 20 4 – Nachbenachrichtigungspflicht § 20 30 ff. – Papierakten § 20 6 – Rechtsstreitigkeiten § 20 34 f. – Tatsachen § 20 5 – Unrichtigkeit § 20 3 Berufs- oder besonderes Amtsgeheimnis – aufsichtsbehördliche Kontrolle § 38 57 – Kontrolle durch den Bundesdatenschutzbeauftragten § 24 7 ff. – Zweckbindung bei Berufs- oder besonderem Amtsgeheimnis siehe dort Beschäftigte – Begriff § 3 87 ff.; § 32 4 Beschäftigtendatenschutz § 32 1 ff. – Alkohol- und Drogentests § 32 64 – allgemeine Daten § 32 55 ff. – Arbeitgeber, Begriff § 32 5 – Arbeitszeiterfassung § 32 58 – Archivierung von und Zugriff auf E-Mails § 88 TKG 21 ff. – bei und nach Beendigung des Beschäftigungsverhältnisses § 32 148 ff. – Begründung eines Beschäftigungsverhältnisses siehe dort
Stichwortverzeichnis – Beschäftigte § 32 4 – beschäftigungsfremde Zwecke § 32 9 – Betriebsrat, eigener Umgang mit Beschäftigtendaten § 32 155 ff. – Betriebsvereinbarungen als Erlaubnistatbestand § 32 153 – Beweisverwertungsverbote § 32 137 ff. – biometrische Daten § 32 132 – Compliance § 32 75 f. – bei Durchführung des Beschäftigungsverhältnises § 32 53 ff. – EG-Datenschutzrichtlinie § 32 2 – EG-Recht § 32 2 f. – Einwilligung § 32 12 – Einzelverbindungsnachweise § 99 TKG 3 – E-Mail-Verkehr bei Beschäftigten siehe dort – Erforderlichkeit § 32 16 f. – Fernmeldegeheimnis § 88 TKG 15 – genetische Untersuchungen und Analysen § 32 63 – Gesetzesentwicklung § 32 1 – Gesprächsinhalt bei Telefonüberwachung § 32 118 – Gesundheitsdaten § 32 59 ff. – Gewerkschaftszugehörigkeit § 32 57 – Grundsatz der Direkterhebung § 32 19 – HIV-Test § 32 68 – Internetnutzung § 32 113 ff. – Krankheit § 32 66 ff. – krankheitsbedingte Fehlzeiten § 32 59 – krankheitsbedingte Fehlzeiten, Speicherung § 32 72 – Massenscreening Straftaten § 32 133 f. – Mitbestimmung des Betriebsrats siehe dort – Ortungssysteme § 32 129 ff. – persönlicher Anwendungsbereich § 32 4 f. – Prävention von Straftaten § 32 136 – Privatsphäre § 32 56 – Rechtsfolgen bei Verstößen § 32 151 – sachlicher Anwendungsbereich § 32 6 f. – sensible Daten § 32 11
– Sprecherausschuss § 32 165 – Stammdaten § 32 55 – Tarifverträge/Dienst-/Betriebsvereinbarungen § 32 14 – Telefonüberwachung § 32 116 ff. – Übermittlung von Beschäftigtendaten an Dritte siehe dort – Überwachung im Beschäftigungsverhältnis § 32 75 ff. – Verbindungsdaten bei Telefonüberwachung § 32 116 f. – verdeckte Videoüberwachung von Räumen mit Publikumsverkehr § 32 127 ff. – Verhältnis zu anderen Vorschriften § 32 8 ff. – Verhältnismäßigkeit § 32 17 f. – Verzicht auf Datenerfordernis § 32 6 f. – Videoüberwachung § 32 119 ff. – Videoüberwachung nicht öffentlich zugänglicher Arbeitsplätze § 32 125 f. – Videoüberwachung von Räumen mit Publikumsverkehr § 32 122 ff. – Vorsorgeuntersuchungen § 32 62 – Zweifel an Arbeitsunfähigkeit § 32 61 Beschäftigungsverhältnisse siehe Arbeits- und Beschäftigungsverhältnisse Beseitigungsanordnung – Aufsichtsbehörde § 38 62 f. Bestandsdaten (TKG) § 95 TKG 1 ff. – Austausch § 95 TKG 3 – zur Bearbeitung von Störungen und Fehlern siehe Störungen und Fehler (TKG) – für eigene Werbung, Beratung usw. § 95 TKG 5 ff. – Entgeltermittlung- und -abrechnung (TKG) siehe dort – Fernmeldegeheimnis § 88 TKG 5 – Grundregeln zum Umgang § 95 TKG 2 ff. – juristische Personen und Personengesellschaften § 95 TKG 15 – Koppelungsverbot § 95 TKG 14 – Kundenbeziehung bei eigener Werbung, Beratung usw. § 95 TKG 8 – Löschungspflicht § 95 TKG 11
1185
Stichwortverzeichnis – Missbrauchsbekämpfung § 100 TKG 9 ff. – Opt-in bei eigener Werbung, Beratung usw. § 95 TKG 6 – Opt-out bei eigener Werbung, Beratung usw. § 95 TKG 7 – Widerspruchsmöglichkeit hinsichtlich eigener Werbung, Beratung usw., Hinweis § 95 TKG 9 Bestandsdaten (TMG) § 14 TMG 1 ff. – Anordnung der zuständigen Stelle zur Auskunftserteilung § 14 TMG 23 ff. – Anwendungsbereich § 14 TMG 2 ff. – zur Auskunft Berechtigte § 14 TMG 18 f. – Auskunftserlaubnis § 14 TMG 16 f. – Auskunftszwecke § 14 TMG 20 ff. – Begriff § 14 TMG 9 ff. – Erforderlichkeit § 14 TMG 12 ff. – Erhebung und Verwendung § 14 TMG 8 ff. – Informationspflicht bei unrechtmäßiger Kenntniserlangung § 15a TMG 5 – Inhalts- und Telekommunikationsdaten § 14 TMG 5 ff. – Löschungspflicht § 14 TMG 15 – Rechtsfolgen/Sanktionen § 14 TMG 28 – Vertragsverhältnis § 14 TMG 4 Betriebsrat – eigener Umgang mit Beschäftigtendaten § 32 155 ff. – Mitbestimmung des Betriebsrats siehe dort – Überwachung von dessen datenschutzrechtlichen Aktivitäten durch den Datenschutzbeauftragten § 4g 29 ff. – Verhältnis des Datenschutzbeauftragten zum ~ § 4g 28 ff. Betriebsratsmitglied – Belehrung nach § 5 BDSG § 5 23 – als Datenschutzbeauftragter § 4f 32 ff.; § 4g 32 Beweissicherung – Wahrung berechtigter Interessen (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 28 64
1186
Bewertungsportale – allgemein zugängliche Daten § 28 86 – geschäftsmäßige Datenübermittlung § 29 25 ff., 50, 87 Binding Corporate Rules siehe Datenexport bei fehlendem Schutzniveau, verbindliche Unternehmensregelungen Biometrische Daten – Beschäftigte § 32 132 – Personenbezug § 3 16 Bonitätsprüfung – Wahrung berechtigter Interessen § 28 61 Bundesarchiv – Angebot an § 20 33 Bundesbeauftragter für den Datenschutz siehe Bundesdatenschutzbeauftragter Bundesdatenschutzbeauftragter § 22 1 ff. – Amtsbezüge § 23 8 – Amtsstellung § 22 8 ff. – Amtszeit § 22 7 – anderweitige Berufsausübung § 23 5 – Anrufung des Bundesdatenschutzbeauftragten siehe dort – Auskunft an den Bundesbeauftragten bei Auskunftsverweigerung gegenüber Betroffenem § 19 27 f. – Ausstattung § 22 14 – Beanstandungen durch den Bundesdatenschutzbeauftragten siehe dort – Beginn und Beendigung des Amtsverhältnisses § 23 3 f. – Dienstaufsicht und Unabhängigkeit § 22 13 – Empfehlungen und Beratung § 26 9 ff. – Geschenke § 23 7 – Gutachten und Berichte § 26 6 – Gutachtenerstellung § 23 5 f. – Kontrolle durch den Bundesdatenschutzbeauftragten siehe dort – Koordinierungsfunktion § 26 13 – präventiver Datenschutz § 26 2 – rechtliche Sonderstellung § 22 8 – Rechtsaufsicht und Unabhängigkeit § 22 11 f. – Rechtsstellung § 23 1 ff.
Stichwortverzeichnis – – – – – – –
Tätigkeitsbericht § 26 3 ff. Unabhängigkeit § 22 9 ff. Untersuchungen § 26 7 f. Verschwiegenheitspflicht § 23 12 ff. Vertretung § 22 15 Wahl § 22 4 ff. Zeugnisverweigerungsrecht § 23 9 ff. – Zusammenarbeit der Datenschutzstellen § 26 13 ff. Bundesdatenschutzgesetz – Abgrenzung zum TKG § 11 TMG 12 – Abgrenzung zum TMG § 11 TMG 12 – Auffanggesetz § 1 19 – Eingriffsgesetz § 1 18 – Geltungsbereich des BDSG siehe dort – nicht-öffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen, persönliche oder familiäre Tätigkeit § 27 22 f. – nicht-öffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen, Anwendungsbereich des Dritten Abschnitts § 27 1 ff. – öffentliche Stellen § 12 1 ff. – Schutzgesetz § 1 13 f. – Subsidiarität des BDSG siehe dort – Systematik öffentliche/nichtöffentliche Stelle § 2 1 f. – Übergangsvorschriften § 45 1; § 46 1; § 47 1 ff. – verbraucher- oder wettbewerbsschützende Funktion § 1 15 ff. – zentrale Definitionsnorm § 3 1 ff. – Zweck § 1 8 ff. Bundesnetzagentur – Anordnungen und Maßnahmen § 115 TKG 5 ff. – Aufsicht § 115 TKG 1 ff. – Auskunftsrechte § 115 TKG 2 – Betretungsrecht § 115 TKG 3 – Untersagung § 115 TKG 6 – zwangsweise Durchsetzung von Anordnungen § 115 TKG 7 Bundesverwaltung – Durchführung des Datenschutzes § 18 1 ff. – Verzeichnis automatisierter Verarbeitungen § 18 8 ff.
– Verzeichnis eingesetzter DV-Anlagen § 18 5 ff. Bußgeldvorschriften § 43 1 ff. – Ahndungspraxis § 43 3 f. – Datenschutzbeaufragter als Täter § 43 7 – Datenschutzbeauftragter als Täter, Schuld § 43 14 – Gewinnabschöpfung § 43 18 – Höhe der Geldbuße § 43 17 – materiell-rechtliche Verstöße § 43 11 f. – Öffentlichkeitswirkung § 43 1 – Opportunitätsprinzip § 43 16 – Rechtswidrigkeit § 43 13 – Rückwirkungsverbot § 43 9 – Schuld § 43 14 – sonstiges materielles Datenschutzrecht § 43 2 – Täterschaft § 43 6 f. – Verfahrensverstöße § 43 8 ff. – Verjährung § 43 19 – Zuständigkeit § 43 15 Call Center – Auftragsdatenverarbeitung § 11 31 Chipkarten – mobile personenbezogene Speicherund Verarbeitungsmedien § 3 86 Cloud Computing – Auftragsdatenverarbeitung § 11 5, 46 ff. – Auslandsbezug § 11 51 ff. – Datenexport in die USA § 4b 31 – Definition § 11 46 – Einhaltung der Kontroll- und Weisungspflichten § 11 55 ff. – Rechtsnatur § 11 49 – Telemediendienste § 11 TMG 9 – Unterauftragsverhältnisse § 11 57 Cookies – Auslandsbezug § 11 TMG 24 – Opt-in-Lösung § 13 TMG 16 – Unterrichtungspflicht des Diensteanbieters § 13 TMG 13 ff. Data Mining – Wahrung berechtigter Interessen (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 28 55 ff.
1187
Stichwortverzeichnis Data Warehouse – Wahrung berechtigter Interessen (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 28 55 ff. Datenerhebung siehe Erheben; Erheben (öffentliche Stellen) Datenexport § 4b 1 ff. – Auftragsdatenverarbeitung innerhalb EU/EWR § 4b 12 – Bedeutung § 4b 3 – Drittländer § 4b 2, 15 ff. – keine eigenständige Rechtsgrundlage § 4b 4 – entgegenstehende schutzwürdige Interessen § 4b 20 ff. – fehlendes Schutzniveau siehe Datenexport bei fehlendem Schutzniveau – Gleichstellung mit nationaler Datenverarbeitung § 4b 13 f. – innerhalb EU/EWR § 4b 2, 8 ff. – Konzern § 4b 37 – Meldepflicht hinsichtlich geplantem ~ § 4e 13 – Pflichten und Verantwortung der übermittelnden Stelle § 4b 35 ff. – Safe-Harbor-Prinzipien § 4b 30 ff. – USA § 4b 30 ff. – Verhältnis zu anderen Vorschriften § 4b 5 ff. – Zweck der Übermittlung, Hinweis an empfangende Stelle § 4b 38 – Zweckbindung bei Übermittlung (aufgehobene Vorschrift) § 92 TKG 1 Datenexport bei fehlendem Schutzniveau § 4b 39 – Ausnahme trotz fehlenden Schutzniveaus § 4c 1 ff. – Ausnahmetatbestände § 4c 4 ff. – Daten aus öffentlichen Registern § 4c 17 f. – Einwilligung des Betroffenen § 4c 7 – einzelfallbezogene behördliche Ausnahmegenehmigung § 4c 20 ff. – Erforderlichkeit für festgelegten Zweck § 4c 8 ff. – EU-Standardvertragsklauseln § 4c 27 ff. – EU-Standardvertragsklauseln bei Auftragsdatenverarbeitung § 4c 31 ff.
1188
– Hinweispflicht der übermittelnden Stelle § 4c 19 – Konzern und EU-Standardvertragsklauseln § 4c 35 ff. – lebenswichtige Interessen § 4c 16 – Pretrial Discovery Verfahren § 4c 11, 14 – Rechtsverteidigung § 4c 11, 13 ff. – Sanktionen bei Verstoß gegen §§ 4b, 4c BDSG § 4c 48 ff. – Übermittlung zu Zwecken der Vertragserfüllung § 4c 9 – Unterbleiben § 4b 23 ff. – verbindliche Unternehmensregelungen § 4c 38 ff. – verbindliche Unternehmensregelungen, Genehmigung § 4c 42 ff. – verbindliche Unternehmensregelungen, Genehmigungsgegenstand § 4c 44 ff. – Verhältnis zu § 4b BDSG § 4c 3 – Vertrag im Interesse des Betroffenen § 4c 10 – Voraussetzungen der Genehmigung § 4c 24 ff. – wichtige öffentliche Interessen § 4c 11 f. Datengeheimnis § 5 1 ff. – Adressat der Belehrung § 5 19 ff. – nach Beendigung des Beschäftigungsverhältnisses § 5 24 – Belehrung § 5 11 ff. – Belehrung bei Auftragsdatenverarbeitung § 5 21 – Belehrung der Betriebsratsmitglieder § 5 23 – beschäftigte Personen § 5 8 f. – Durchführung der Belehrung § 5 17 f. – Form der Belehrung § 5 14 f. – Inhalt der Belehrung § 5 16 – Inhalt der Pflicht § 5 4 ff. – interne Befugnis § 5 5 f. – Organe, Inhaber, Geschäftsführer § 5 10 – Sanktionen bei unterlassener Belehrung § 5 25 f. – Sanktionen bei Verweigerung der Kenntnisnahme § 5 33 f. – unbefugter Umgang § 5 4 ff.
Stichwortverzeichnis – Verhältnis zu anderen Vorschriften § 5 35 ff. – verpflichteter Personenkreis § 5 7 ff. – Verpflichtung § 5 11 ff. – Verschwiegenheitspflicht und Belehrung nach § 5 BDSG § 5 22 – Verstoß gegen ~ trotz Belehrung § 5 27 ff. Datenlöschung siehe Löschen Datennutzung siehe Nutzung Datenschutzaudit § 9a 1 ff. – Adressaten § 9a 6 – Durchführung § 9a 7 ff. – durch Gutachter § 9a 7 – Gütesiegel § 9a 10 ff. – Produktaudit § 9a 8 – Verfahrensaudit § 9a 9 Datenschutzbeauftragter § 4f 1 ff. – Abberufung und außerordentliche Kündigung des Arbeitsvertrags § 4f 60 f. – Abberufung durch verantwortliche Stelle § 4f 53 ff. – Abberufungsverlangen durch Aufsichtsbehörde § 4f 52 – Amtsverhältnis § 4f 21 – Anrufungsrecht der Betroffenen § 4f 48 f. – Anwalt der Betroffenen § 4f 2 – Arbeitsverhältnis § 4f 22 – Aufgaben siehe Datenschutzbeauftragter, Aufgaben – Aufhebungsvertrag § 4f 66 – Aufsichtsbehörde, Abberufungsverlangen hinsichtlich des betrieblichen ~ § 38 66 ff. – Aufsichtsbehörde, Verhältnis zum betrieblichen Datenschutzbeauftragten § 38 18 – Ausnahmen von Bestellungspflicht § 4f 12 f. – Beendigung der Tätigkeit § 4f 50 ff. – befristete Bestellung § 4f 19 – Benachteiligungsverbot § 4f 42 f. – Bestellung im Konzern § 4f 14 – zur Bestellung verpflichtete Stelle § 4f 14 f. – Bestellungspflicht § 4f 7 ff. – Bundesdatenschutzbeauftragter siehe dort – Datensicherheit § 9 4
– Deutsche Welle § 42 1 ff. – Einschaltung der Aufsichtsbehörde bei Missachtung § 4g 36 ff. – externer § 4f 23, 26 – Fachkunde § 4f 27 ff. – Fehlverhalten/-einschätzungen des betrieblichen Datenschutzbeauftragten § 7 18 – Garantenstellung § 4g 56 f. – Geschäftsbesorgungsvertrag § 4f 23 – Haftung siehe Datenschutzbeauftragter, Haftung – Interessenkollision § 4f 32 ff. – interne Kontrollinstanz § 4f 2 – juristische Person als ~ § 4f 26 – Konzentrierung für öffentliche Stellen § 4f 15 – Kündigung des Arbeitsverhältnisses § 4f 56 ff. – Kündigung des Arbeitsverhältnisses und Abberufung § 4f 62 ff. – Landesdatenschutzbeauftragter siehe Aufsichtsbehörde – keine Meldepflicht § 4d 9 – Missachtung § 4g 35 ff. – Mitbestimmung von Betriebs- und Personalrat bei Bestellung § 4f 18 – Mitgliedschaft im Betriebs- oder Personalrat § 4f 32 ff.; § 4g 32 – nachwirkender Kündigungsschutz § 4f 58 – Niederlegung des Amts § 4f 65 – organisatorische Stellung im Unternehmen § 4f 37 – Person § 4f 24 ff. – Probezeit § 4f 20 – Sanktionen bei fehlerhafter oder unterlassener Bestellung § 4f 68 f. – Schriftform bei Abberufung § 4f 55 – schuldrechtliche Verpflichtung § 4f 21 f. – Sonderkündigungsschutz § 4f 56 ff. – strafrechtliche Verantwortlichkeit § 4g 54 ff. – Systematik des § 4f BDSG § 4f 3 – Täter bei Datenschutzverstößen § 43 7 – Täter bei Datenschutzverstößen und Schuld § 43 14 – Unabhängigkeit § 4f 36
1189
Stichwortverzeichnis – Unterstützungspflicht des Arbeitgebers § 4f 44 f. – Verhältnis zum Betriebs- oder Personalrat § 4g 28 ff. – Verschwiegenheitspflicht § 4f 46 – Wegfall der verantwortlichen Stelle § 4f 67 – Weisungsfreiheit § 4f 38 ff. – Weiterbildungsmaßnahmen § 4f 29 – Widerruf der Bestellung/Abberufung § 4f 50 ff. – Zeitpunkt der Bestellung § 4f 16 – Zeugnisverweigerungsrecht § 4f 47 – Zuverlässigkeit § 4f 27, 30 ff. – Zwei-Wochen-Frist bei Abberufung § 4f 54 Datenschutzbeauftragter, Aufgaben – allgemeine Hinwirkungspflicht § 4g 7 ff. – Aufgabenerfüllung durch Stellenleiter § 4g 34 – Beratung § 4g 8 – geplanter Einsatz/geplante Veränderungen § 4g 14 – kodifizierte Konkretisierungen der Hinwirkungspflicht § 4g 12 ff. – Kontrolle § 4g 8 ff. – Kontrolle bei Auftragsdatenverarbeitung § 4g 9 – Programmüberwachung § 4g 13 ff. – Sanktionen bei fehlerhafter oder unterlassener Bestellung § 4g 1 ff. – Schulung und Fortbildung von Mitarbeitern § 4g 17 ff. – Tätigkeitsbericht § 4g 26 – Übertragung sonstiger Aufgaben § 4g 27 – Überwachung der datenschutzrechtlichen Aktivitäten des Betriebs-/Personalrats § 4g 29 ff. – unangemeldete Kontrollen § 4g 11 – Verfahrensverzeichnis, Zurverfügungstellung § 4g 20 ff. – Verhältnis zum Betriebs- oder Personalrat § 4g 28 ff. – Vorabkontrolle, Durchführung § 4d 18 f.; § 4g 25 Datenschutzbeauftragter, Haftung § 4g 43 ff. – Ansprüche der Betroffenen § 4g 44 ff.
1190
– Ansprüche der verantwortlichen Stelle § 4g 49 ff. Datenschutzerklärung – Diensteanbieter (Telemedien) § 13 TMG 4 ff. Datenschutzkontrolle – keine Benachrichtigung des Betroffenen § 33 33 ff. – Zweckänderungsverbot (öffentliche Stellen) § 14 20 – Zweckbindung bei ~ siehe Zweckbindung, besondere (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) Datensicherheit – Anwendungsbereich § 9 5 ff. – Datenschutzbeauftragter § 9 4 – getroffene Maßnahmen § 9 12 – Inhalt § 9 1 ff. – technische und organisatorische Maßnahmen siehe Sicherheitsmaßnahmen – Verhältnismäßigkeitsprüfung § 9 3, 14 ff. – Verstoß § 9 19 f. – vorübergehend existierende Dateien §98 Datensicherung – siehe auch Sicherheitsmaßnahmen – keine Benachrichtigung des Betroffenen § 33 33 ff. – Zweckänderungsverbot (öffentliche Stellen) § 14 20 – Zweckbindung bei ~ siehe Zweckbindung, besondere (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) Datensparsamkeit siehe Datenvermeidung und Datensparsamkeit Datensperrung siehe Sperrung Datenträger – personenbezogene Daten § 3 5 Datenübermittlung siehe Übermittlung Datenvermeidung und Datensparsamkeit § 3a 1 ff. – allgemeines Datenschutzprinzip § 3a 4 ff. – Anonymisierung § 3a 16 f., 19 ff. – Anonymisierung oder Pseudonymisierung § 3a 10 – Inhalt der Grundsätze § 3a 8 ff. – Normadressaten § 3a 11 ff. – Programmsatz § 3a 14
Stichwortverzeichnis – Pseudonymisierung § 3a 16, 18 ff. – Sinn und Zweck § 3a 2 – vorrangige Spezialregelungen § 3a 22 – Ziel der Grundsätze § 3a 5 ff. Datenverwendung zur Erfüllung eigener Geschäftszwecke § 28 1 ff., 10 ff. – Abgrenzung zur „Geschäftsmäßigkeit“ in § 29 BDSG § 29 11 – Allgemein zugängliche Daten (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) siehe dort – Anonymisierte Übermittlung siehe dort – Anwendungsbereich § 28 6 f. – Arbeitsverträge § 28 39 – Aufsichtsbehörde siehe dort – Auskunfteien, Datenübermittlung an siehe dort – Bank- und Kreditverträge § 28 34 ff. – Behandlungsverträge § 28 41 f. – Bericht der Bundesregierung zum geänderten § 28 BDSG § 48 1 – Beschäftigtendatenschutz siehe dort – drei Erlaubnistatbestände § 28 10 f. – Durchbrechung des Zweckbindungsgrundsatzes siehe Zweckbindung, Durchbrechung (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) – eigener und fremder Zweck § 28 14 – eigener Geschäftszweck § 28 12 ff. – Forschungseinrichtung, Zweckbindung § 40 7 f. – Geschäftsmäßige Datenübermittlung siehe dort – Kaufverträge § 28 30 ff. – Markt- und Meinungsforschung siehe dort – Mietverträge § 28 40 – Mitgesellschafter § 28 44 – Mitgliedschaften § 28 43, 45 – Rechte des Betroffenen siehe dort – Rechtsfolgen/Sanktionen § 28 222 ff. – rechtsgeschäftliches oder rechtsgeschäftsähnliches Verhältnis § 28 15 ff. – Scoringverfahren siehe dort – Umgang mit besonders sensiblen Daten siehe Sensible Daten (n.ö.
Stellen/ö.r. Wettbewerbsunternehmen) – Verhältnis zur Einwilligung § 28 8 f. – Versicherungsverträge § 28 38 – Wahrung berechtigter Interessen (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) siehe dort – Werbung und Adresshandel siehe dort – Zweckbestimmung § 28 88 ff. – Zweckbindung bei Drittübermittlungen § 28 204 ff. Deutsche Welle § 41 15 ff. – Datenschutzbeauftragter § 42 1 ff. Diensteanbieter (TKG) § 91 TKG 9 ff. – Arbeitgeber § 88 TKG 15 – Ausweiskontrolle, Recht § 95 TKG 12 f. – Begriff § 32 95; § 88 TKG 13; § 91 TKG 9 – Fernmeldegeheimnis § 88 TKG 13 ff. – Informationspflichten des Diensteanbieters (TKG) siehe dort – öffentlich-rechtlicher Dienstherr § 88 TKG 15 – Privatnutzung dienstlicher E-MailAccounts § 32 81, 95 ff. – Telemedien, Abgrenzung § 91 TKG 10 f. Direkterhebung, Grundsatz § 4 6 ff. – Ausnahmen § 4 10 ff. – Bedeutung § 4 7 ff. – Benachrichtigung des Betroffenen § 33 24 f. – Beschäftigtendatenschutz § 32 19 – Informationspflichten § 4 23 ff. – unverhältnismäßiger Aufwand § 4 21 Dritter – Abwehr schwerwiegender Beeinträchtigungen ~ (öffentliche Stellen) § 14 16 f. – Adressat bei Widerspruch gegen Werbung/Markt-/Meinungsforschung § 28 184 f. – Auftraggeber als verantwortliche Stelle § 11 3 – Auftragsdatenverarbeiter kein ~ § 11 2 – Auftragsdatenverarbeitung § 32 144
1191
Stichwortverzeichnis – Auskunft bei Berechnung des Wahrscheinlichkeitswerts durch Dritte § 34 45 ff. – Begriff und Abgrenzung zu Empfänger § 3 72 ff. – Einzug von Entgelten ~ (Telekommunikation) § 97 TKG 12 ff. – Richtigkeitsprüfung der Daten von Dritten bei geschäftsmäßiger Datenübermittlung § 29 43 – Sperrung nach Widerspruch gegen Dritten gegen Werbung/Markt-/Meinungsforschung § 28 202 – Störungen und Fehler von Geräten ~ (Telekommunikation) § 100 TKG 5 – Übermitteln § 3 39 ff. – Verstoß gegen Erlaubnisvorbehalt § 4 45 – Weitergabe von Listendaten an Dritte § 28 124 – Widerruf der Einwilligung § 4a 74 Due Diligence – Übermittlung von Beschäftigtendaten an Dritte § 32 146 – Wahrung berechtigter Interessen § 28 66 EG-Datenschutzrichtlinie § 32 2 – automatisierte Einzelentscheidungen § 6a 1 – Definitionen des BDSG § 3 3 – Kollisionsnorm des BDSG § 1 45 ff. – Pflichten des Diensteanbieters § 13 TMG 2 – Telemediendatenschutz Einl. TMG 12 – Verhaltensregeln für Berufsverbände usw. § 38 1 – Verhältnis zum BDSG § 1 3 ff. – „völlige Unabhängigkeit“ der Aufsichtsstellen § 38 71 f. Eingabekontrolle – Daten § 9 44 ff. Einrichtung automatisierter Abrufverfahren siehe Automatisierte Abrufverfahren Einwilligung § 4a 1 ff. – AGB-Kontrolle der Einwilligung siehe dort – asset deal § 4a 77
1192
– Auskunfteien, Datenübermittlung § 28a 4 – Benachrichtigung des Betroffenen § 33 26 – bei Berufs- oder Amtsgeheimnis § 39 13 – Beschäftigtendatenschutz § 32 12 – Datenexport bei fehlendem Schutzniveau § 4c 7 – Double-opt-in nach UWG § 4a 56 f. – Ehegatten § 4a 10 – Einwilligung zur Datenverwendung für Werbezwecke siehe dort – E-Mail-Verkehr bei Beschäftigten § 32 87, 111 – Form § 4a 12 ff. – Form der ~ nach UWG § 4a 58 – freie Entscheidung § 4a 23 ff. – und geschäftsmäßige Datenübermittlung § 29 6 – Gültigkeitsdauer § 4a 21 f. – informierte Entscheidung § 4a 31 ff. – Konzern § 4a 78 f. – Markt- und Meinungsforschung § 30a 3 – Opt-in nach UWG § 4a 55 – Rechtsfolgen bei Verstoß § 4a 80 ff. – Rechtsnatur § 4a 7 ff. – Reichweite und Bestimmtheit nach UWG § 4a 59 ff. – Scoringverfahren § 28b 28 – share deal § 4a 76 – in der Telekommunikation siehe Einwilligung (TKG) – im Telemediendatenschutz siehe Einwilligung (TMG) – Übermittlung durch Kreditinstitute an Auskunfteien ohne ~ § 28a 47 – Übertragbarkeit § 4a 75 ff. – Verhältnis zur Erlaubnisnorm des § 28 BDSG § 28 8 f. – Verhältnis zum TMG § 4a 69 – Verhältnis zum UWG § 4a 52 ff. – vorformulierte ~ siehe AGB-Kontrolle der Einwilligung – Widerruf der Einwilligung siehe dort – Zeitpunkt § 4a 11 Einwilligung (TKG) – aller oder eines Beteiligten § 88 TKG 10 ff.
Stichwortverzeichnis – im elektronischen Verfahren § 94 TKG 1 ff. – Standortdaten für das Erbringen von Diensten mit Zusatznutzen § 98 TKG 7 ff. Einwilligung (TMG) § 12 TMG 21 ff.; § 13 TMG 17 ff. – Beweislast § 13 TMG 28 f. – Double-Opt-in-Verfahren § 13 TMG 28 f. – eindeutige und bewusste ~ § 13 TMG 18 ff. – elektronische § 13 TMG 17 – Hinweis auf Widerrufsmöglichkeit § 13 TMG 30 – jederzeitige Abrufmöglichkeit § 13 TMG 26 – Opt-out § 13 TMG 23 f. – Protokollierung § 13 TMG 25 – Widerrufsmöglichkeit § 13 TMG 27, 30 Einwilligung zur Datenverwendung für Werbezwecke § 28 109 ff., 154 ff. – Bestätigungspflicht, Sinn und Zweck § 28 159 – drucktechnische Hervorhebung bei gebündelten Erklärungen § 28 166 ff. – Form der Bestätigung § 28 161 – geschäftsmäßige Datenübermittlung § 29 70 f. – Protokollierung § 28 162 ff. – schriftliche Bestätigung § 28 158 ff. – Verhältnis zu § 4a BDSG § 28 155 ff. – Zeitpunkt der Bestätigung § 28 160 Einzelentscheidungen, automatisierte siehe Automatisierte Einzelentscheidungen Einzelverbindungsnachweis § 99 TKG 1 ff. – Begriff § 99 TKG 2 – Beratungsstellen § 99 TKG 6 – Beschäftigte § 99 TKG 3 – eingehende Anrufe § 99 TKG 5 – geschlossene Benutzergruppen § 99 TKG 7 – Kundenschutz § 99 TKG 9 – Mitbewohner § 99 TKG 3 – Sanktionen § 99 TKG 8 – SIM-Karten § 99 TKG 4
Elektronische Informations- und Kommunikationsdienste § 11 TMG 5 E-Mail-Verkehr – Verschlüsselung § 9 59 E-Mail-Verkehr bei Beschäftigten § 32 78 ff. – „Anbieter“ und Privatnutzung § 32 81, 95 ff. – Angemessenheit § 32 84 – Archivierung von und Zugriff auf E-Mails und Fernmeldegeheimnis § 88 TKG 21 ff. – betriebliche Übung hinsichtlich Privatnutzung § 32 90 ff. – Beweisverwertungsverbote § 32 137 ff. – Duldung einer Privatnutzung § 32 89 ff. – Einwilligung § 32 87, 111 – Erforderlichkeit zur Durchführung des Arbeitsverhältnisses § 32 83 – Erlaubnis aufgrund Betriebsvereinbarung/Tarifvertrag § 32 85 f. – erlaubte Privatnutzung § 32 88 ff. – Fernmeldegeheimnis bei erlaubter Privatnutzung § 32 102 ff. – Folgen der erlaubten Privatnutzung § 32 95 ff. – personenbezogene Daten § 32 82 – Rechtfertigung eines Eingriffs in das Fernmeldegeheimnis bei erlaubter Privatnutzung § 32 108 ff. – Strafbarkeit § 32 110 – Straftat § 32 83 – unübersichtliche Rechtslage § 32 79 – verbotene Privatnutzung § 32 80 ff. – Verdacht einer Straftat § 32 111 Empfänger – Begriff und Abgrenzung zu Dritter § 3 72 ff. Entgeltermittlung- und -abrechnung (TKG) § 97 TKG 1 ff. – Abtretung der Entgeltforderung an Dritten § 97 TKG 8 ff. – Auftragsverhältnisse über Entgelteinziehung § 97 TKG 7 ff. – Bestands- und Verkehrsdaten § 97 TKG 2 ff. – Datenaustausch zwischen Diensteanbietern und mit Netzbetreibern § 97 TKG 6
1193
Stichwortverzeichnis – Einzug von Entgelten Dritter § 97 TKG 12 ff. – Sanktionen § 96 TKG 16 Erheben § 3 30 ff. – siehe auch Direkterhebung, Grundsatz – Abgrenzung zur Verarbeitung § 3 32 – Begriff § 4 7 – nicht-öffentliche Stellen siehe Datenverwendung zur Erfüllung eigener Geschäftszwecke – öffentliche Stellen siehe Erheben (öffentliche Stellen) – öffentlich-rechtliche Wettbewerbsunternehmen siehe Datenverwendung zur Erfüllung eigener Geschäftszwecke – Telemediendatenschutz § 12 TMG 3 Erheben (öffentliche Stellen) § 13 1 ff. – Abwehr erheblicher Gefahren bei sensiblen Daten § 13 20 – Art und Weise § 13 9 ff. – Begriff § 13 2 ff. – Benachrichtigungspflicht bei ~ ohne Kenntnis des Betroffenen § 19a 1 ff. – eigene Aufgabenerfüllung § 13 4 – Einwilligung bei sensiblen Daten § 13 15 – Erforderlichkeit § 13 5 ff. – Forschung und sensiblen Daten § 13 23 – Gemeinwohlbelange bei sensiblen Daten § 13 21 – Gesundheitsbereich und sensiblen Daten § 13 22 – bei nicht-öffentlicher Stelle § 13 12 – offenkundige öffentliche Daten bei sensiblen Daten § 13 18 f. – Online-Durchsuchung § 13 10 f. – Rechtsvorschrift bei sensiblen Daten § 13 14 – Schutz lebenswichtiger Interessen bei sensiblen Daten § 13 16 ff. – sensible Daten § 13 13 ff. – Verteidigung und sensiblen Daten § 13 24 Erlaubnis § 4 2 ff. – durch Einwilligung § 4 5 – durch Rechtsnorm § 4 3 f. EU-Standardvertragsklauseln § 4c 27 ff.
1194
– Auftragsdatenverarbeitung § 4c 31 ff. – Individualvereinbarungen § 4c 34 – Konzern § 4c 35 ff. Fangschaltung § 101 TKG 1 ff. – Antrag § 101 TKG 3 – Sanktionen § 101 TKG 4 – Voraussetzungen § 101 TKG 2 f. Fehler an Telekommunikationsanlagen siehe Störungen und Fehler (TKG) Fernmeldegeheimnis § 88 TKG 1 ff. – Abrechnungsdaten § 88 TKG 5 – und aufsichtsbehördliche Kontrolle § 38 57 – Beschäftigte siehe Fernmeldegeheimnis (Beschäftigte) – Bestandsdaten § 88 TKG 5 – Diensteanbieter, Verpflichtung § 88 TKG 13 ff. – Eingriffsbefugnisse § 88 TKG 19 f. – Einwilligung (TKG) siehe dort – an Fernmeldevorgängen Beteiligte § 88 TKG 16 – geschützte Sachverhalte § 88 TKG 4 ff. – geschützter Personenkreis § 88 TKG 9 ff. – Grundrecht § 88 TKG 2 – Individualkommunikation § 88 TKG 7 – „kleines Zitiergebot“ § 88 TKG 20 – Kontrolle durch den Bundesdatenschutzbeauftragten § 24 8 – Luft- und Seeverkehr § 88 TKG 24 – Nachrichtenübermittlungssysteme mit Zwischenspeicherung § 107 TKG 1 – Rechtsfolgen/Sanktionen § 88 TKG 25 – staatlicher Schutzauftrag § 88 TKG 1 – Telekommunikation, Begriff § 88 TKG 6 – Unionsrecht § 88 TKG 3 – Verhaltenspflichten § 88 TKG 18 – Verkehrsdaten § 88 TKG 5, 8 – verpflichtete Personen § 88 TKG 13 ff. – Verpflichteter nach § 206 StGB § 88 TKG 14
Stichwortverzeichnis – Völkerrecht § 88 TKG 3 – weitere Vorschriften § 88 TKG 27 f. – zeitliche Reichweite § 88 TKG 8 Fernmeldegeheimnis (Beschäftigte) – Arbeitgeber § 88 TKG 15 – Archivierung von und Zugriff auf E-Mails von Beschäftigten § 88 TKG 21 ff. – Beherrschbarkeit des TK-Vorgangs § 32 105 – Dauer des Schutzes § 32 104 ff. – IMAP-Verfahren § 32 107 – keine Kontrolle privater E-Mails § 32 103 – öffentlich-rechtlicher Dienstherr § 88 TKG 15 – POP3-Verfahren § 32 106 – privater E-Mail-Verkehr § 32 102 ff. – Rechtfertigung eines Eingriffs § 32 108 ff. Forschungseinrichtung § 40 1 ff. – Adressaten § 40 4 ff. – Anonymisierung und Pseudonymisierung § 40 9 f. – besondere Zweckbindung § 40 7 f. – einzelne Wissenschaftler § 40 6 – Kontext zu anderen Vorschriften § 40 12 ff. – Ordnungswidrigkeit § 40 16 – Unabhängigkeit der Forschung § 40 5 – Veröffentlichung des Forschungsergebnisses § 40 11 Fragerecht des Arbeitgebers § 32 23 f. Funktionsübertragung – Auftragsdatenverarbeitung § 11 27 ff. Gefahrenabwehr – Zweckbindung, Durchbrechung (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 28 97 Geheime Daten – keine Benachrichtigung des Betroffenen § 33 37 ff. Geheimhaltungspflichten – Verhältnis zum BDSG § 1 39 ff. Geltungsbereich des BDSG § 1 20 ff. – nichtöffentliche Stellen § 1 26 ff. – öffentliche Stellen des Bundes § 1 21 f.
– öffentliche Stellen der Länder § 1 23 ff. – persönliche und familiäre Angelegenheiten § 1 30 ff. Genehmigung – einzelfallbezogene ~ zu Datenexport bei fehlendem Schutzniveau § 4c 20 ff. Geschäftsmäßige Datenübermittlung § 29 1 ff. – Abgrenzung zum „eigenen Geschäftszwecke“ in § 28 BDSG § 29 11 – Abwägungsmaßstab § 29 41 – Adressaten § 29 13 – Adresshandel § 29 20 f. – allgemein zugängliche Quellen § 29 54 f. – Aufnahme in elektronische oder gedruckte Verzeichnisse § 29 96 ff. – Aufzeichnungspflicht § 29 90 ff. – Auskunft an den Betroffenen § 34 49 ff. – Auskunft an den Betroffenen über Herkunft und Empfänger § 34 59 ff. – Auskunfteien § 29 14 ff. – automatisierte Abrufverfahren § 29 94 f. – Benachrichtigung des Betroffenen § 33 19 ff. – berechtigtes Interesse § 29 80 ff. – Bericht der Bundesregierung zum geänderten § 29 BDSG § 48 1 – keine Berichtigung, Löschung, Sperrung bei Daten aus allgemein zugänglichen Quellen § 35 50 ff. – besondere Schutzbedürftigkeit aufgrund Person des Betroffenen § 29 44 – besonders schutzwürdige Daten § 29 45 ff. – Bewertungsportale § 29 50 – Bewertungsportale/soziale Netzwerke § 29 25 ff., 87 – und Einwilligung nach § 4a BDSG § 29 6 – Einzelfallabwägung § 29 42 – Erforderlichkeit § 29 82 – falsche Daten § 29 45 – Geschäftsmäßigkeit § 29 7 – glaubhafte Darlegung § 29 83 ff.
1195
Stichwortverzeichnis – glaubhafte Darlegung eines berechtigten Interesses § 29 79 ff. – Interessenabwägung § 29 37 ff., 88 – Interessenabwägung bei allgemein zugänglichen Quellen § 29 61 f. – Kenntnis des Betroffenen § 29 49 – Kredit- bzw. Bonitätsauskunfteien § 29 63 ff. – Löschung § 35 22 ff. – Profilerstellung § 29 52 f. – rechts- oder vertragswidriges Verhalten des Betroffenen § 29 48 – Rechtsfolgen bei Verstoß § 29 118 ff. – Richtigkeitsprüfung der Daten von Dritten § 29 43 – schutzwürdige Interessen des Betroffenen § 29 35 ff. – sensible Daten § 29 104 ff. – subjektive Bewertungen § 29 46 – Telekommunikationsverzeichnisse § 29 97 – Übermittlung als Zweck der Datenverwendung § 29 8 ff. – Verbraucherkredite § 29 111 ff. – Verzeichnisverlage § 29 24 – vorrangige Spezialregelungen § 29 5 ff. – Vorstufen Erheben, Speichern, Veränderung, Nutzen § 29 33 – Warndienste § 29 22 f. – Werbewirtschaft § 29 19 – Werbung und Adresshandel siehe dort – Widerspruchsrecht § 29 100 ff. – Zulässigkeit § 29 78 ff. – Zulässigkeit der Datenverwendung zu Zwecken der Übermittlung § 29 33 ff. – Zweckbestimmung § 29 11, 66 ff. – Zweckbindung § 29 103 Getrennte Verarbeitung – Daten, die zu unterschiedlichen Zwecken erhoben wurden § 9 54 ff. Gewinnspiel – Listenprivileg § 28 122 GPS – kein Telekommunikationsdienst § 98 TKG 10 Grenzüberschreitende Datenübermittlung siehe Datenexport
1196
Grundsatz der Direkterhebung siehe Direkterhebung, Grundsatz Individualkommunikationsdienste – Fernmeldegeheimnis § 88 TKG 7s – keine Telemedien § 11 TMG 8 Informationspflicht bei unrechtmäßiger Kenntniserlangung § 42a 1 ff. – Anhaltspunkte für Kenntniserlangung und Beeinträchtigung § 42a 6 – Auftragsdatenverarbeitung § 42a 4 – Benachrichtigung der Aufsichtsbehörde § 42a 16 – Benachrichtigung des Betroffenen § 42a 11 ff. – Benachrichtigungspflicht § 42a 10 ff. – benachrichtigungspflichtige Stelle § 42a 3 f. – Bericht der Bundesregierung zu § 42a BDSG § 48 1 – besonders sensible Daten § 42a 5 – Gefahrenprognose § 42a 9 – Inhalt der Benachrichtigung des Betroffenen § 42a 12 f. – nicht bei öffentlichen Stellen § 42a 3 – Sanktionen § 42a 18 – Telekommunikationssektor siehe Benachrichtigungspflicht bei Datenschutzpannen (TKG) – Telemedien siehe Informationspflicht bei unrechtmäßiger Kenntniserlangung (TMG) – Verwertungsverbot § 42a 17 – Voraussetzungen § 42a 5 ff. Informationspflicht bei unrechtmäßiger Kenntniserlangung (TMG) § 15a TMG 1 ff. – Anwendungsbereich § 15a TMG 5 – Bestands- und Nutzungsdaten § 15a TMG 5 – Rechtsfolgen § 15a TMG 8 – Rechtsfolgenverweisung § 15a TMG 2 – Sanktionen § 15a TMG 9 – schwerwiegende Rechts- oder Interessenbeeinträchtigung § 15a TMG 7
Stichwortverzeichnis – Telekommunikationssektor siehe Benachrichtungspflicht bei Datenschutzpannen (TKG) – Unrechtmäßigkeit § 15a TMG 6 – Voraussetzungen § 15a TMG 3 ff. Informationspflichten des Diensteanbieters (TKG) § 93 TKG 1 ff. – allgemeine Informationspflicht § 93 TKG 2 ff. – Rechtsfolgen/Sanktionen § 93 TKG 10 – Risiken der Netzsicherheiten § 93 TKG 8 – Standortdaten § 93 TKG 4 – Teilnehmer bei Vertragsschluss § 93 TKG 3 – Verkehrsdaten § 93 TKG 7 – Verletzung des Schutzes personenbezogener Daten § 93 TKG 9 – Wahl- und Gestaltungsmöglichkeiten § 93 TKG 5 Informationspflichten gegenüber dem Betroffenen – anderweitige Kenntnis § 4 36 f. – Benachrichtigungspflicht (öffentliche Stellen) siehe dort – bei Direkterhebung § 4 23 ff. – Folgen der Verweigerung der Angaben § 4 43 – Freiwilligkeit der Angaben § 4 38 ff. – Kategorien der Datenempfänger § 4 30 ff. – verantwortliche Stelle § 4 26 – Verstoß § 4 46 ff. – Zeitpunkt § 4 25 – Zweck der Datenerhebung § 4 27 ff. Internetrecherche – Stellenbewerber § 32 27 f. IP-Adressen – Auskunftsanspruch im Zusammenhang mit Urheberrechtsverletzungen § 96 TKG 7 f. – dynamische § 12 TMG 10, 12, 17 – Löschung § 96 TKG 6 ff. – Personenbezug § 3 20 ff.; § 12 TMG 10 ff. Java-Skripte – Auslandsbezug (Telemedien) § 11 TMG 24
Juristische Personen – Bestandsdaten (Telekommunikation) § 95 TKG 15 – Schutzbereich des BDSG § 3 11 – Telekommunikationsdatenschutz § 91 TKG 8 Kaufverträge – Erforderlichkeit des Datenumgangs § 28 30 ff. Kenntnis, unrechtmäßige von Daten siehe Informationspflicht bei unrechtmäßiger Kenntniserlangung; Informationspflicht bei unrechtmäßiger Kenntniserlangung (TMG) Kontrolle – Aufsichtsbehördliche Kontrolle siehe dort Kontrolle durch den Bundesdatenschutzbeauftragten § 24 1 ff. – Telekommunikationsdienste § 115 TKG 1, 8 ff. – Berufs- und besondere Amtsgeheimnisse § 24 7 ff. – Brief-, Post- und Fernmeldegeheimnis § 24 8 – Einhaltung der Datenschutzvorschriften § 24 4 f. – G 10-Kommission § 24 9 – Gerichte § 24 12 – Mitteilungspflicht § 24 16 – öffentliche Stellen des Bundes § 24 3 – sensible Bereiche § 24 6 ff. – Umfang § 24 3 ff. – Unterstützung durch zu kontrollierende Stelle § 24 13 ff. – Widerspruchsrecht bei Akten über die Sicherheitsüberprüfung § 24 10 f. Konzern – Auftragsdatenverarbeitung § 11 42 ff. – Datenexport § 4b 37 – Datenschutzbeauftragter, Bestellung § 4f 14 – Einwilligung § 4a 78 f. – EU-Standardvertragsklauseln § 4c 35 ff. – Mitbestimmung des ~betriebsrats § 32 162 f.
1197
Stichwortverzeichnis – Übermittlung von Beschäftigtendaten an Dritte § 32 143 – Wahrung berechtigter Interessen § 28 73 – Werbung und Listenprivileg § 28 124 Koppelungsverbot – Telekommunikationsdienste § 95 TKG 14 – Werbung und Adresshandel § 28 170 ff. Kreditinstitute, Datenübermittlung durch § 28a 44 ff. – ohne Einwilligung § 28a 47 – Erlaubnistatbestand § 28a 44 ff. – Girokontoverträge ohne Überziehungsmöglichkeit § 28a 56 – Interessenabwägung § 28a 51 f. – Konditionenanfrage § 28a 60 f., 63 – konkrete Kreditanfrage § 28a 62 – Kreditinstitut, Begriff § 28a 46 – Nachberichtspflicht § 28a 67 ff. – positive Verhaltensdaten § 28a 49 f., 53 f. – Übermittlungsverbot § 28a 59 ff. – Unterrichtung des Betroffenen § 28a 57 f. Kreditverträge siehe Bank- und Kreditverträge; Verbraucherkredite Kundenkarten – personenbezogene Daten § 3 18 Kundenprofile – Wahrung berechtigter Interessen § 28 55 ff. Kündigung – Abberufung des Datenschutzbeauftragten und außerordentliche ~ des Arbeitsverhältnisses § 4f 60 f. – Arbeitsverhältnis des Datenschutzbeauftragten § 4f 56 ff. – Arbeitsverhältnis des Datenschutzbeauftragten und Abberufung § 4f 62 ff. Landesdatenschutzbeauftragter siehe Aufsichtsbehörde Letter-Shop – Auftragsdatenverarbeitung § 11 33 f. – Werbung für fremde Angebote § 28 148
1198
Listenprivileg – allgemein zugängliche Verzeichnisse § 28 123 – Angehörigkeit zu einer Personengruppe § 28 115 ff. – keine Benachrichtigung des Betroffenen § 33 53 f. – Eigenwerbung § 28 121 ff. – Erforderlichkeit § 28 127 – Geschäftswerbung § 28 125 – Gewinnspiel § 28 122 – Interessenabwägung § 28 149 ff. – mehrere Merkmale § 28 116 ff. – neues § 28 114 – Spendenwerbung § 28 126 – Umfang der Listendaten § 28 119 – Weitergabe der Listendaten an Dritte § 28 124 – Werbezwecke § 28 113 ff.; § 29 72 – Werbung durch die verantwortliche Stelle § 28 120 ff. – Werbung für fremde Zwecke § 28 124 – Zweckbindung § 28 153 Location based services § 98 TKG 4 ff. – Einwilligung für das Erbringen von Diensten mit Zusatznutzen § 98 TKG 7 ff. – GPS kein Telekommunikationsdienst § 98 TKG 10 – Verkehrsdaten – Standortdaten § 98 TKG 6 Löschen – Begriff § 3 52 – Bestandsdaten (Telekommunikation) § 95 TKG 11 – Bestandsdaten (Telemedien) § 14 TMG 15 – Löschungsanspruch (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) siehe dort – Löschungsanspruch (öffentliche Stellen) siehe dort – Meldepflicht hinsichtlich Regelfristen für ~ § 4e 12 – Telemedien § 13 TMG 34 – Verkehrsdaten (Telekommunikation) § 96 TKG 5 ff. – Videoaufnahmen § 6b 30
Stichwortverzeichnis – nach Widerspruch gegen Werbung/ Markt-/Meinungsforschung § 28 201 Löschungsanspruch (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 35 1 ff. – allgemein zugängliche Daten bei geschäftsmäßiger Datenübermittlung § 35 47 ff. – Auskunfteien § 35 28 – Auswirkung auf anschließend errechneten Wahrscheinlichkeitswert § 35 16 – für eigene Zwecke nicht mehr erforderlich § 35 19 ff. – einstweiliger Rechtsschutz § 35 4 – erledigter Sachverhalt bei geschäftsmäßiger Datenübermittlung § 35 24, 26 – errechnete Wahrscheinlichkeitswerte § 35 2 – Folgen § 35 32 – Folgenbeseitigung, Nachinformation § 35 53 ff. – Frist für Erfüllung § 35 15 – Frist für Regelprüfung bei geschäftsmäßiger Datenübermittlung § 35 22 ff. – genaue Bezeichnung der Daten § 35 3 – geschäftsmäßige Datenübermittlung § 35 22 ff. – Kann-Vorschrift § 35 13 – Kosten § 35 7 – Pflicht zur Löschung § 35 14 ff. – Positivdaten auf Verlangen des Betroffenen § 35 29 ff. – Prüfungspflicht bei geschäftsmäßiger Datenübermittlung § 35 27 f. – Rechtsfolgen/Sanktionen § 35 63 f. – sensible Daten § 35 18 – unerledigter Sachverhalt bei geschäftsmäßiger Datenübermittlung § 35 24 f. – unzulässige Speicherung § 35 17 – Verhältnis zu anderen Normen § 35 57 ff. Löschungspflicht (öffentliche Stellen) § 20 7 ff. – Nachbenachrichtigungspflicht § 20 30 ff. – Rechtsstreitigkeiten § 20 34 f.
Mahnung – Datenübermittlung durch Auskunftei aufgrund vorheriger ~ § 28a 26 ff. Mailbox-Systeme – Nachrichtenübermittlungssysteme mit Zwischenspeicherung § 107 TKG 1 ff. Markt- und Meinungsforschung § 30a 1 ff. – alle Phasen der Datenverarbeitung § 30a 2 – allgemein zugängliche Quelle § 30a 17 f., 23 – nicht allgemein zugängliche Quellen § 30a 24 – Anwendungsbereich § 30a 4 ff. – Bedeutung § 30a 1 – Begriff § 30a 5 – kein Benachrichtigung des Betroffenen bei ~ aus allgemein zugänglichen Quellen § 33 51 – Bericht der Bundesregierung zu § 30a BDSG § 48 1 – Einwilligung § 30a 3 – ex-post Beurteilung bereits abgeschlossener Vorgänge § 47 3 ff. – Geschäftsmäßigkeit § 30a 10 – Interessenabwägung § 30a 16 – Primat der Anonymisierung § 30a 28 f. – sensible Daten § 30a 17 f. – Übergangsregelung § 47 1 ff. – Übermittlung von Abrechnungsdaten zu Zwecken der Marktforschung (Telemedien) § 15 TMG 41 f. – Verhältnis zu anderen Vorschriften § 30a 30 ff. – weitere Verarbeitung und Nutzung § 30a 21 ff. – Werbung, Abgrenzung § 30a 9, 33 – Widerspruchsrecht gegen Werbung/ Markt-/Meinungsforschung – Zweckbindung § 30a 26 Marktforschungsinstitute – Auftragsdatenverarbeitung § 11 32 Maßnahmen nach Anlage zu § 9 S. 1 BDSG siehe Sicherheitsmaßnahmen Medien § 41 1 ff. – Deutsche Welle § 41 15 ff. – Medienprivileg siehe dort – Verweise/Kontext § 41 22 f.
1199
Stichwortverzeichnis Medienprivileg § 41 2, 4 ff. – automatische Auflistung fremder Beiträge § 41 12 – elektronische Presse § 41 12 f. – Hilfsunternehmen der Presse § 41 5, 7 – journalistisch-redaktionelle Zwecke § 41 9 ff. – literarische Zwecke § 41 9 f. – Mindeststandard § 41 4 – persönlicher Anwendungsbereich § 41 5 ff. – sachlicher Anwendungsbereich § 41 9 ff. – Telemediendienste § 41 13 – Unternehmen der Presse § 41 5 f. Meinungsforschung siehe Markt- und Meinungsforschung Meinungsfreiheit – Telemediendatenschutz Einl. TMG 11 Meldepflicht § 4d 1 ff. – Aktualität des Registers § 4e 15 – allgemeine Beschreibung der Sicherheit der Datenverarbeitung § 4e 14 – Ausnahmen § 4d 9 ff. – Basisdaten § 4e 6 – Beschreibung der betroffenen Personengruppen und Daten § 4e 10 – Datenschutzbeauftragter § 4d 9 – Empfänger § 4d 5; § 4e 11 – externes Verzeichnis § 4e 5 – Gegenausnahme für geschäftsmäßige Datenspeicherung § 4d 13 – geplante Datenübermittlung an Drittstaaten § 4e 13 – Grundsatz § 4d 4 ff. – Inhalt § 4e 1 ff. – interne Verarbeitungsübersicht § 4e 5 – Jedermannsverzeichnis § 4e 5 – kleine Unternehmen § 4d 10 ff. – öffentliches Register § 4e 2 – Regelfristen für Datenlöschung § 4e 12 – Sanktionen bei fehlerhafter oder unterlassener Meldung § 4e 16 – Sanktionen bei Verstoß § 4d 14 – Verfahren automatisierter Verarbeitung § 4d 6
1200
– Zweckbestimmung § 4e 7 ff. Mietverträge – zulässige Datenverwendung § 28 40 Mitbestimmung des Betriebsrats – allgemeine Beurteilungsgrundsätze § 32 160 – Angaben in Arbeitsverträgen § 32 160 – Auswahlrichtlinien § 32 161 – Beschäftigtendatenschutz § 32 152 ff. – Bestellung des Datenschutzbeauftragten § 4f 18 – Betriebsvereinbarungen als Erlaubnistatbestand § 32 153 – Gesamtbetriebsrat § 32 162 f. – Konzernbetriebsrat § 32 162 f. – örtlicher Betriebsrat § 32 162 – Ortungssysteme § 32 130 – Personalfragebögen § 32 160 – Überwachung des Datenschutzes § 4g 28 – Überwachung mittels technischer Einrichtung § 32 159 Mitgesellschafter – zulässige Datenverwendung § 28 44 Mitgliedschaften – zulässige Datenverwendung § 28 43, 45 Mobile personenbezogene Speicherund Verarbeitungsmedien § 6c 1 ff. – ausgebende Stelle § 6c 3 f., 6 – Begriff § 3 83 – Chipkarten § 3 86 – Erkennbarkeit von Datenverarbeitungsvorgängen § 6c 22 f. – Gesundheitskarten § 6c 24 – Informationspflicht § 6c 12 ff. – Kundenkarten § 6c 25 – Lesegeräte § 6c 18 ff. – Normadressat § 6c 3 ff. – Personalausweis § 6c 26 – Personenbezogene Daten § 3 82 ff. – reine Speichermedien § 6c 9 f. – RFID-Chips § 6c 27 – SIM-Karten § 6c 28 – Speicher- und Verarbeitungsmedien § 6c 7 ff. – Verfahrensstellen § 6c 3, 5 f.
Stichwortverzeichnis Nachbenachrichtigungspflicht (Kreditinstitute) – an Auskunfteien § 28a 67 ff. – Forderungsabtretung § 28a 75 – gesetzliche § 28a 69 – Monatsfrist § 28a 76 – Positiv- und Negativinformationen § 28a 70 – Rechtsfolgen bei Verstoß § 28a 81 ff. – Saldenhöhe, Änderung § 28a 73 – Unterrichtungspflicht der Auskunftei § 28a 77 – Versterben des Schuldners § 28a 74 Nachbenachrichtigungspflicht (öffentliche Stellen) – Berichtigung, Sperrung, Löschung § 20 30 ff. Nachrichtenübermittlungssysteme mit Zwischenspeicherung § 107 TKG 1 ff. – Einwirkungs- und Weisungsbefugnisse § 107 TKG 3 – Zwischenspeicherung § 107 TKG 2 Nicht automatisierte Datei – Begriff § 3 23, 25 ff. Nicht-öffentliche Stellen – Anwendungsbereich des Dritten Abschnitts des BDSG § 27 1 ff. – automatisierte Datenverwendung § 27 3 ff. – Begriff § 2 15; § 27 18 – datengebundene Datenverwendung § 27 3 f., 7 – Geltungsbereich des BDSG § 1 26 ff. – persönliche oder familiäre Tätigkeit § 27 22 f. – verantwortliche Stelle § 3 67 ff. – Verwendung von Daten, die unmittelbar aus einer automatisierten Verarbeitung entnommen wurden § 27 8 ff. Niederlassung – Auftragsdatenverarbeitung durch ausländisches Unternehmen in Deutschland § 1 60 – Begriff § 1 53 ff. – Datenverwendung durch ~ in Deutschland § 1 52 ff. Nutzer – Telekommunikation § 91 TKG 7 f. – Telemedien § 11 TMG 14 f.
Nutzung – Ausnahmen der ~ (öffentliche Stellen) § 14 7 ff. – Begriff § 3 53 ff. – Erforderlichkeit (öffentliche Stellen) § 14 3 – gesperrte Daten (öffentliche Stellen) § 20 24 ff. – jederzeitiger Abbruch (Telemedien) § 13 TMG 33 – medizinische Daten (öffentliche Stellen) § 14 24 – nicht-öffentliche Stellen siehe Datenverwendung zur Erfüllung eigener Geschäftszwecke – Nutzungsdaten (TMG) siehe dort – Nutzungsprofile (TMG) siehe dort – öffentliche Stellen § 14 1 ff. – öffentlich-rechtliche Wettbewerbsunternehmen siehe Datenverwendung zur Erfüllung eigener Geschäftszwecke – Sekundärzwecke (öffentliche Stellen) § 14 19 – sensible Daten (öffentliche Stellen) § 14 21 ff. – Zweckänderung (öffentliche Stellen) siehe Nutzung, Zweckänderung (öffentliche Stellen) – Zweckbindung (öffentliche Stellen) § 14 4 ff. Nutzung, Zweckänderung (öffentliche Stellen) – Abwehr erheblicher Gemeinwohlnachteile § 14 14 – Abwehr schwerwiegender Beeinträchtigungen Dritter § 14 16 f. – allgemein zugängliche Daten § 14 13 – Anfangsverdacht der Unrichtigkeit § 14 12 – Einwilligung des Betroffenen § 14 9 – offensichtliches Betroffeneninteresse § 14 10 f. – Rechtsvorschrift § 14 8 – wissenschaftliche Forschung § 14 18 – Zwecke der Strafverfolgung und Ordnungswidrigkeitenverfolgung § 14 15 Nutzungsdaten (TMG) § 15 TMG 1 ff.
1201
Stichwortverzeichnis – Abrechnungsdaten (TMG) siehe dort – Adressaten § 15 TMG 3 – Beginn, Ende, Umfang der Nutzung § 15 TMG 8 – Begriff § 15 TMG 4 ff. – Erforderlichkeit § 15 TMG 15 ff. – Identifikationsmerkmale § 15 TMG 6 f. – Informationspflicht bei unrechtmäßiger Kenntniserlangung § 15a TMG 5 – Inhaltsdaten, Abgrenzung § 15 TMG 12 f. – Missbrauchsverfolgung § 15 TMG 44 ff. – Nutzungsprofile (TMG) siehe dort – Personenbeziehbarkeit § 15 TMG 9 – Sanktionen § 15 TMG 48 – Tracking-Tools § 15 TMG 10 f. – Verkehrsdaten, Abgrenzung § 15 TMG 14 Nutzungsprofile (TMG) § 15 TMG 18 ff. – anonymes Profil § 15 TMG 23 – enge Grenzen § 15 TMG 21 – extensive Profile § 15 TMG 20 – Inhaltsdaten § 15 TMG 22 – Interesse des Nutzers § 15 TMG 19 – Pseudonymisierung § 15 TMG 24 ff. – Widerspruchsrecht § 15 TMG 30 – Zusammenführungsverbot § 15 TMG 25 ff. – Zweckbindung § 15 TMG 28 f. Öffentliche Stellen § 12 1 ff. – Arbeits- und Beschäftigungsverhältnisse § 12 11 ff. – Behörden des Bundes § 2 6 ff. – des Bundes § 2 5 ff. – Geltung des 2. Abschnitts des BDSG § 12 5 – Geltungsbereich des BDSG für ~ des Bundes § 1 21 f. – Geltungsbereich des BDSG für ~ der Länder § 1 23 ff. – keine Informationspflicht bei unrechtmäßiger Kenntniserlangung § 42a 3 – der Länder § 2 13; § 12 9
1202
– andere öffentlich-rechtliche organisierte Einrichtungen des Bundes § 2 10 – Organe der Rechtspflege des Bundes §29 – verantwortliche Stelle § 3 70 – Vereinigungen des privaten Rechts § 2 14 Öffentlich-rechtliche Unternehmen – Geltungsumfang des 2. Abschnitts des BDSG § 12 6 ff. – Wettbewerb § 12 6 Öffentlich-rechtliche Wettbewerbsunternehmen – Anwendungsbereich des Dritten Abschnitts des BDSG § 27 1 ff. – automatisierte Datenverwendung § 27 3 ff. – Begriff § 27 19 ff. – datengebundene Datenverwendung § 27 3 f., 7 – persönliche oder familiäre Tätigkeit § 27 22 f. – Verwendung von Daten, die unmittelbar aus einer automatisierten Verarbeitung entnommen wurden § 27 8 ff. Online-Durchsuchung § 13 10 f. Organisationskontrolle – Datensicherheit § 9 25 ff. Outsourcing – Auftragsdatenverarbeitung § 11 35 ff.; § 28 65 – Wahrung berechtigter Interessen (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 28 65 Personalausweis – mobile personenbezogene Speicherund Verarbeitungsmedien § 6c 26 – Prepaid-Produkte § 95 TKG 13 – Recht zur Kontrolle (Telekommunikation) § 95 TKG 12 f. Personalrat – Mitbestimmung bei Beschäftigtendatenschutz § 32 164 – Mitbestimmung bei Bestellung des Datenschutzbeauftragten § 4f 18 – Überwachung des Datenschutzes § 4g 28
Stichwortverzeichnis – Überwachung von dessen datenschutzrechtlichen Aktivitäten durch den Datenschutzbeauftragten § 4g 29 ff. – Verhältnis des Datenschutzbeauftragten zum ~ § 4g 28 ff. Personalratsmitglied – als Datenschutzbeauftragter § 4f 32 ff.; § 4g 32 Personenbezogene Daten – Auftragsdatenverarbeitung ohne ~ § 11 8 – Begriff § 3 4 ff. – besondere Arten § 3 76 ff. – Bestimmbarkeit der Person (Telemediendatenschutz) § 12 TMG 5 ff. – Betroffener § 3 4 – biometrische Daten § 3 16 – Datenträger § 3 5 – Einzelangaben über persönliche oder sachliche Verhältnisse § 3 7 ff. – Geodaten § 3 19 – IP-Adressen § 3 20 ff. – IP-Adressen (Telemediendatenschutz) § 12 TMG 10 ff. – juristische Personen § 3 11 – Kennzeichen als Namensersatz § 3 17 – Kundenkarten § 3 18 – mobile personenbezogene Speicherund Verarbeitungsmedien § 3 82 ff. – natürliche Personen § 3 10 – Personenbezug § 3 12 ff. – Planungsdaten § 3 9 – Telemediendatenschutz § 11 TMG 13; § 12 TMG 5 ff. Pflichten des Diensteanbieters (TMG) § 13 TMG 1 ff. – siehe auch Einwilligung (TMG) – anonyme und pseudonyme Nutzungsmöglichkeit § 13 TMG 40 ff. – Auskunftspflicht § 13 TMG 44 ff. – getrennte Datenverwendung § 13 TMG 36 – Informationspflicht bei unrechtmäßiger Kenntniserlangung (TMG) siehe dort – jederzeitiger Nutzungsabbruch § 13 TMG 33 – Löschung § 13 TMG 34
– Re-Identifizierung bei Nutzerprofilen § 13 TMG 38 – Sanktionen § 13 TMG 47 – technische und organisatorische Vorkehrungen § 13 TMG 31 ff. – Unterrichtungspflicht des Diensteanbieters (TMG) siehe dort – Vertraulichkeitsschutz § 13 TMG 35 – Weitervermittlung an andere Diensteanbieter § 13 TMG 39 – Zusammenführung von Abrechnungsdaten § 13 TMG 37 Prepaid-Produkte – Personalausweiskontrolle § 95 TKG 13 Pseudonymisierung – anonymisierte Übermittlung § 30 14 f. – Begriff § 3 56, 61 ff. – Datenvermeidung und Datensparsamkeit § 3a 10, 16, 18 ff. – Forschungseinrichtung § 40 9 – Nutzungsprofile (Telemedien) § 15 TMG 24 ff. – Re-Identifizierung bei Nutzerprofilen (Telemedien) § 13 TMG 38; § 15 TMG 25 – Telemedien § 13 TMG 40 ff. Rechte des Betroffenen § 6 1 ff.; § 33 2 – Auskunft (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) siehe dort – Auskunftsanspruch gegenüber öffentlichen Stellen siehe dort – Auskunftsrecht und Recht auf informationelle Selbstbestimmung (öffentliche Stellen) § 19 2 ff. – Benachrichtigung (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) siehe dort – Berichtigung (öffentliche Stellen) § 20 2 ff. – Berichtigungspflicht (n.ö. Stellen/ ö.r. Wettbewerbsunternehmen) siehe dort – Landesdatenschutzgesetze § 6 27 – Löschung (öffentliche Stellen) § 20 7 ff.
1203
Stichwortverzeichnis – Löschungsanspruch (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) siehe dort – öffentliche Stellen § 19 1 ff. – Rechtsdurchsetzung § 6 26 – Sperrung (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) siehe dort – Sperrung (öffentliche Stellen) § 20 11 ff. – Sperrung bei Akten (öffentliche Stellen) § 20 21 ff. – Unabdingbarkeit der ~ § 6 4 ff. – Verbunddaten und vernetzte Systeme § 6 13 ff. – Widerspruch (öffentliche Stellen) § 20 16 ff. – Zweckbindung der Daten § 6 23 ff. Rechtsgeschäftliches oder rechtsgeschäftsähnliches Verhältnis – Arbeitsverträge § 28 39 – Bank- und Kreditverträge § 28 34 ff. – Begriff § 28 16 ff. – Behandlungsverträge § 28 41 f. – Datenverwendung § 28 15 ff. – Erforderlichkeit der Datenverwendung § 28 19 ff. – Fallgruppen § 28 29 ff. – Kaufverträge § 28 30 ff. – Mietverträge § 28 40 – Mitgesellschafter § 28 44 – Mitgliedschaften § 28 43, 45 – Versicherungsverträge § 28 38 Rechtspflegeorgane – des Bundes § 2 9 Religionsgesellschaften, öffentlichrechtliche – Übermittlungsempfänger § 15 19 ff. Robinson-Liste – als Widerspruch nach § 28 Abs. 4 BDSG § 28 195 Rufnummernanzeige § 102 TKG 1 ff. – Telefonwerbung § 102 TKG 5 Rufnummernunterdrückung § 102 TKG 1 f. – Telefonwerbung § 102 TKG 5 Schadensersatz § 7 1 ff. – Anspruchsgegner § 7 8 f. – Anwendungsbereich § 7 5 ff. – Auskunftsanspruch gegenüber öffentlichen Stellen siehe dort
1204
– Betroffener § 7 6 – Entlastungsbeweis § 7 15 ff. – Fehlverhalten des betrieblichen Datenschutzbeauftragten § 7 18 – Geltendmachung § 7 20 – gesamter Bereich des Datenschutzrechts § 7 7 – immaterieller Schaden § 7 14 – Kausalität § 7 13 – Konkurrenzen § 7 25 ff. – öffentliche Stelle siehe Schadensersatz öffentlicher Stellen – Schmerzensgeld § 7 14 – unzulässige Datenverarbeitung § 7 12 – Verjährung § 7 24 – Verschulden § 7 15 – Verzicht § 7 23 – Voraussetzungen § 7 12 ff. Schadensersatz öffentlicher Stellen – Anspruchsberechtigte § 8 4 – Anwendungsbereich § 8 3 ff. – automatisierte Datenverarbeitung §86 – Gefährdungshaftung § 8 8 f. – gesamter Bereich des Datenschutzrechts § 8 5 – höhenmäßige Begrenzung § 8 12 – immaterieller Schaden § 8 11 – Konkurrenzen § 8 1 ff. – materieller Schaden § 8 10 – mehrere Stellen § 8 13 – öffentliche Stellen § 8 3 Schmerzensgeld § 7 2 Scoringverfahren § 6a 3; § 28b 1 ff. – AGG-Daten § 28b 27 – anonymisierte Übermittlung § 30 5 – Anschriftendaten § 28b 31 ff. – Anwendungsbereich § 28b 4 f. – Auskunft bei Scoring siehe dort – durch Auskunftei § 28b 30 – Auswahlentscheidungen bei Arbeitnehmern § 28b 18 – Einwilligung § 28b 28 – Entscheidung im Rahmen eines Vertragsverhältnisses § 28b 8 ff. – Geldwäsche- und Betrugspräventionssysteme § 28b 17 – georeferenzierte Daten § 28b 31 – Normadressat § 28b 40
Stichwortverzeichnis – Prognose zukünftigen Verhaltens § 28b 15 ff. – Rechtsfolgen/Sanktionen § 28b 43 – Scoring, Begriff § 28b 6 f. – Unterrichtung des Betroffenen bei Anschriftendaten § 28b 34 ff. – Verhältnis zu anderen Normen § 28b 41 f. – Vertragsverhältnis mit dem Betroffenen § 28b 14 – Wissenschaftlichkeit des Verfahrens § 28b 21 ff. – Zulässigkeit der verarbeiteten und genutzten Daten § 28b 24 ff. – Zulässigkeitsvoraussetzungen § 28b 20 ff. Sensible Daten (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 28 207 ff. – siehe auch Informationspflicht bei unrechtmäßiger Kenntniserlangung – allgemeine Zulässigkeitsvoraussetzungen § 28 209 ff. – anonymisierte Übermittlung § 30 23 – und Beschäftigtendatenschutz § 32 11 – Geltendmachung rechtlicher Ansprüche § 28 212 – geschäftsmäßige Datenübermittlung § 29 104 ff. – gesundheitliche Zwecke § 28 214 ff. – Löschungspflicht § 35 18 – Markt- und Meinungsforschung § 30a 17 f. – offenkundig öffentliche Daten § 28 211 – Rechtsfolgen/Sanktionen § 28 222 ff. – Schutz lebenswichtiger Interessen § 28 210 – Verwendung durch Organisationen ohne Erwerbszweck § 28 219 ff. – wissenschaftliche Forschung § 28 213 – Zweckänderung § 28 217 f. Sensible Daten (öffentliche Stellen) – Erheben § 13 13 ff. – Nutzung, Speicherung, Veränderung § 14 21 ff. – Übermittlung an nicht-öffentliche Stellen § 16 9
Sicherheitsbehörden – Auskunft an ~ bei Bestandsdaten (Telemedien) § 14 TMG 20 – Auskunftsanspruch, Beschränkung § 19 18 – Beteiligung an Einrichtung automatisierter Abrufverfahren § 10 27 – Verbunddaten und vernetzte Systeme § 6 20 ff. Sicherheitsmaßnahmen § 9 9 ff., 21 ff. – nach Anlage zu § 9 S. 1 BDSG § 9 21 ff. – Anwendungsbereich § 9 24 – Auftragskontrolle § 9 48 ff. – Eingabekontrolle § 9 44 ff. – Gestaltung der inneren Organisation § 9 25 ff. – getrennte Verarbeitung § 9 54 ff. – getroffene Maßnahmen § 9 12 – Maßnahmenkatalog § 9 28 ff. – technische und organisatorische Maßnahme, Begriff § 9 11 – Verfügbarkeitskontrolle § 9 52 f. – Verhältnismäßigkeitsgrundsatz § 9 23 – Verhältnismäßigkeitsprüfung § 9 14 ff. – Verschlüsselungsverfahren § 9 57 ff. – Weitergabekontrolle § 9 40 ff. – Zugangskontrolle § 9 34 ff. – Zugriffskontrolle § 9 37 ff. – Zutrittskontrolle § 9 30 ff. Sicherheitsüberprüfung – Widerspruchsrecht gegen Kontrolle von Akten durch den Datenschutzbeauftragten § 24 10 f. SMS – Nachrichtenübermittlungssysteme mit Zwischenspeicherung § 107 TKG 1 ff. Sonderkündigungsschutz – Datenschutzbeauftragter § 4f 56 ff. Soziale Netzwerke – geschäftsmäßige Datenübermittlung § 29 25 ff., 51, 87 – Nutzungsdaten (Telemedien) § 15 TMG 13 Speicher- und Verarbeitungsmedien siehe Mobile personenbezogene Speicher- und Verarbeitungsmedien
1205
Stichwortverzeichnis Speicherung – Ausnahmen der ~ (öffentliche Stellen) § 14 7 ff. – Begriff § 3 35 – Erforderlichkeit (öffentliche Stellen) § 14 3 – medizinische Daten (öffentliche Stellen) § 14 24 – nicht-öffentliche Stellen siehe Datenverwendung zur Erfüllung eigener Geschäftszwecke – öffentliche Stellen § 14 1 ff. – öffentlich-rechtliche Wettbewerbsunternehmen siehe Datenverwendung zur Erfüllung eigener Geschäftszwecke – sensible Daten (öffentliche Stellen) § 14 21 ff. – Zweckänderung (öffentliche Stellen) siehe Speicherung, Zweckänderung (öffentliche Stellen) – Zweckbindung (öffentliche Stellen) § 14 4 ff. Speicherung, Zweckänderung – Abwehr erheblicher Gemeinwohlnachteile § 14 14 – Abwehr schwerwiegender Beeinträchtigungen Dritter § 14 16 f. – allgemein zugängliche Daten § 14 13 – Anfangsverdacht der Unrichtigkeit § 14 12 – Einwilligung des Betroffenen § 14 9 – offensichtliches Betroffeneninteresse § 14 10 f. – Rechtsvorschrift § 14 8 – wissenschaftliche Forschung § 14 18 – Zwecke der Strafverfolgung und Ordnungswidrigkeitenverfolgung § 14 15 Spendenwerbung – Listenprivileg § 28 126 Sperrung – Begriff § 3 48 ff. Sperrung (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 35 1 ff. – allgemein zugängliche Daten bei geschäftsmäßiger Datenübermittlung § 35 47 ff. – Aufbewahrungsfristen § 35 34
1206
– einstweiliger Rechtsschutz § 35 4 – errechnete Wahrscheinlichkeitswerte § 35 2 – Folgenbeseitigung, Nachinformation § 35 53 ff. – genaue Bezeichnung der Daten § 35 3 – Kosten § 35 7 – Nichtbeweisbarkeit Richtigkeit/Unrichtigkeit § 35 37 f. – Rechtsfolgen/Sanktionen § 35 63 f. – schutzwürdige Interessen des Betroffenen § 35 35 – Speicherung für eigene Zwecke § 35 33 – keine Übermittlung der Tatsache der ~ § 35 40 f. – Verarbeitung und Nutzung gesperrter Daten § 35 42 ff. – Verhältnis zu anderen Normen § 35 57 ff. – nach Widerspruch gegen Dritten gegen Werbung/Markt-/Meinungsforschung § 28 202 – nach Widerspruch gegen Werbung/ Markt-/Meinungsforschung § 28 200 – Zeitbedarf für Anspruchsprüfung § 35 39 Sperrung (öffentliche Stellen) § 20 11 ff. – Akten § 20 21 ff. – Nachbenachrichtigungspflicht § 20 30 ff. – Non-liquet-Fälle § 20 15 – Rechtsstreitigkeiten § 20 34 f. – Übermittlung/Nutzung gesperrter Daten § 20 24 ff. Standortdaten § 98 TKG 1 ff. – Begriff § 98 TKG 2 f. – Dienste mit Zusatznutzen § 98 TKG 4 ff. – Einwilligung für das Erbringen von Diensten mit Zusatznutzen § 98 TKG 7 ff. – materielle Anforderungen § 98 TKG 7 ff. – Notrufe § 98 TKG 12 – Sanktionen § 98 TKG 13 Störungen und Fehler (TKG) – Aufschalten auf Verbindungen § 100 TKG 8
Stichwortverzeichnis – eigene Anlagen/Geräte Dritter § 100 TKG 5 – Erforderlichkeit § 100 TKG 6 f. – Telekommunikationsanlagen § 100 TKG 3 – Umgang mit Bestands- und Verkehrsdaten § 100 TKG 1 ff. – Verhältnismäßigkeit § 100 TKG 6 f. – Vorratsdatenspeicherung § 100 TKG 4 Strafvorschriften § 43 1; § 44 1 ff. – Antrag § 44 5 – Bereicherungsabsicht § 44 2 f. – Entgeltlichkeit § 44 2 f. – Öffentlichkeitswirkung § 43 1 – Tatbestandsmerkmale § 44 2 f. – Vorsatz § 44 4 – Zuständigkeit § 44 6 Subsidiarität des BDSG – Geheimhaltungspflichten § 1 39 ff. – Rechtsvorschriften des Bundes § 1 35 ff. Tätigkeitsberichte – durch Aufsichtsbehörden § 38 30 ff. – Identifizierung bestimmter Unternehmen § 38 31 Teilnehmer – Telekommunikation § 91 TKG 7 f. Teilnehmerverzeichnis und Telefonauskunft §§ 104, 105 TKG 1 ff. – Aufnahmeanspruch §§ 104, 105 TKG 3 – Auskunftsdienste, Begriff §§ 104, 105 TKG 5 – Informationsaustausch zwischen Anbietern §§ 104, 105 TKG 10 – Inverssuche §§ 104, 105 TKG 9 – Teilnehmerverzeichnisse, Begriff §§ 104, 105 TKG 6 – Wahlrechte der Teilnehmer §§ 104, 105 TKG 7 ff. Telefonauskunft siehe Teilnehmerverzeichnis und Telefonauskunft Telegrammdienst § 106 TKG 1 Telekommunikation – siehe auch Telekommunikation, Datenschutz – Begriff § 88 TKG 6 Telekommunikation, Datenschutz § 91 TKG 1 ff.
– siehe auch Fernmeldegeheimnis – Aufsicht durch die Bundesnetzagentur § 115 TKG 1 ff. – Auftragsdatenverarbeitung (TKG) siehe dort – Auskunftsanspruch im Zusammenhang mit Urheberrechtsverletzungen § 96 TKG 7 f. – Ausweiskontrolle, Recht § 95 TKG 12 f. – automatische Anrufweiterschaltung § 103 TKG 1 – Benachrichtungspflicht bei Datenschutzpannen (TKG) siehe dort – Bestandsdaten (TKG) siehe dort – Content Delivery Networks § 91 TKG 17 – Dienste mit Zusatznutzen § 98 TKG 4 ff. – Einzelverbindungsnachweis siehe dort – Entgeltermittlung- und -abrechnung (TKG) siehe dort – Fangschaltung siehe dort – geschäftsmäßiges Erbringen von ~sdiensten § 91 TKG 5, 9 ff. – geschlossene Benutzergruppen öffentlicher Stellen der Länder § 91 TKG 13 – geschützter Personenkreis § 91 TKG 7 f. – Helpdesk § 91 TKG 17 – Informationspflichten des Diensteanbieters (TKG) siehe dort – juristische Personen § 91 TKG 8 – Kollokations- und Telehousingdienste § 91 TKG 17 – Kontrolle durch den Bundesdatenschutzbeauftragten § 115 TKG 1, 8 ff. – Koppelungsverbot § 95 TKG 14 – „location based services“ § 98 TKG 4 ff. – Missbrauch von Telekommunikationsdiensten § 100 TKG 9 ff. – Nachrichtenübermittlungssysteme mit Zwischenspeicherung § 107 TKG 1 ff. – Nutzer § 91 TKG 7 f. – Protokolldaten § 91 TKG 17 – Router oder sonstige Endgeräte, Betrieb § 91 TKG 17
1207
Stichwortverzeichnis – Rückgriff auf das BDSG § 91 TKG 12 f. – Rufnummernanzeige § 102 TKG 1 ff. – Rufnummernunterdrückung § 102 TKG 1 f. – Sicherheitsdienstleistungen § 91 TKG 17 – Sprachboxen § 91 TKG 17 – Standortdaten siehe dort – Störungen und Fehler (TKG) siehe dort – Teilnehmer § 91 TKG 7 f. – Teilnehmerverzeichnis und Telefonauskunft §§ 104, 105 TKG 1 ff. – keine Telekommunikationsdienste im engeren Sinne § 91 TKG 6 – Verkehrsdaten (TKG) siehe dort – verpflichtete Personen § 91 TKG 4 ff. Telekommunikationsdienste – Aufsicht durch die BNetzA § 115 TKG 1 ff. – Aufsichtsbehörde, keine Kontrollbefugnisse § 38 14 – Diensteanbieter (TKG) siehe dort – geschäftsmäßiges Erbringen von ~n § 91 TKG 5, 9 ff. – GPS keine ~ § 98 TKG 10 – Telemedien, Abgrenzung § 91 TKG 10 f. – und Telemediendatenschutz § 11 TMG 19 Telemediendatenschutz Einl. TMG 1 ff.; § 11 TMG 1 ff. – Abgrenzung zum BDSG § 11 TMG 12 – Abrechnungsdaten (TMG) siehe dort – aktuelle Entwicklungen und TMG Einl. TMG 4 – Anbieter-Nutzer-Verhältnis § 11 TMG 10 ff. – anonyme und pseudonyme Nutzungsmöglichkeit § 13 TMG 40 ff. – Aufbau des TMG Einl. TMG 2 – ausgenommene Dienste § 11 TMG 16 ff. – Auskunftspflicht § 13 TMG 44 ff. – Bereitstellen von Telemedien § 12 TMG 18
1208
– berufliche oder dienstliche Zwecke § 11 TMG 17 – Bestandsdaten (TMG) siehe dort – Einwilligung (TMG) siehe dort – Erheben § 12 TMG 3 – Erlaubnistatbestände § 12 TMG 19 f. – EU-Datenschutzrichtlinie Einl. TMG 12 – getrennte Datenverwendung § 13 TMG 36 – grenzüberschreitende Sachverhalte § 11 TMG 20 ff. – Inhaltsebene § 11 TMG 12 – Interaktionsebene § 11 TMG 12 – IP-Adressen, Personenbezug (Telemediendatenschutz) § 12 TMG 10 ff. – jederzeitiger Nutzungsabbruch § 13 TMG 33 – Klarnamenzwang § 13 TMG 42 – Löschung § 13 TMG 34 – Marktverhaltensregelung Einl. TMG 6 f. – Meinungsfreiheit Einl. TMG 11 – nicht-automatisierte Datenverarbeitung § 12 TMG 32 f. – Nutzer § 11 TMG 14 f. – Nutzungsdaten (TMG) siehe dort – personenbezogene Daten § 11 TMG 13; § 12 TMG 5 ff. – Pflichten des Diensteanbieters (TMG) siehe dort – Re-Identifizierung bei Nutzerprofilen § 13 TMG 38 – Schichtenmodell § 11 TMG 12 – Steuerung von Arbeits- oder Geschäftsprozessen § 11 TMG 18 – TDG/TDDSG Einl. TMG 3 – technische und organisatorische Vorkehrungen § 13 TMG 31 ff. – als Teil des TMG Einl. TMG 2 ff. – Telekommunikationsdienste § 11 TMG 19 – Telekommunikationsebene § 11 TMG 12 – Telemediendienste siehe dort – Unterrichtungspflicht des Diensteanbieters (TMG) siehe dort – Verbot mit Erlaubnisvorbehalt Einl. TMG 8 ff.; § 12 TMG 1 ff.
Stichwortverzeichnis – Verbotsprinzip § 12 TMG 4 – Vertraulichkeitsschutz § 13 TMG 35 – Verwendung § 12 TMG 3 – Weitervermittlung an andere Diensteanbieter § 13 TMG 39 – Zusammenführung von Abrechnungsdaten § 13 TMG 37 – Zweckbindungsgrundsatz § 12 TMG 24 ff. Telemediendienste § 11 TMG 2 ff. – Cloud Computing § 11 TMG 9 – Cookies bei grenzüberschreitenden Sachverhalten § 11 TMG 24 – elektronische Informations- und Kommunikationsdienste § 11 TMG 5 – elektronische Presse § 41 13 – grenzüberschreitende Sachverhalte § 11 TMG 20 ff. – Herkunftslandprinzip § 11 TMG 20 ff. – Individualkommunikationsdienste § 11 TMG 8 – im Internet erhältliche Inhaltsangebote § 11 TMG 6 – Java-Skripte bei grenzüberschreitenden Sachverhalten § 11 TMG 24 – Pflichten des Diensteanbieters (TMG) siehe dort – privat und öffentliche Stellen § 11 TMG 3 – Sitz außerhalb EU/EWR-Staat (Telemedien) § 11 TMG 23 – Sitz in EU/EWR-Staat (Telemedien) § 11 TMG 22 – technische Umsetzung § 11 TMG 7 – Telemedien, Begriff § 11 TMG 4 ff. – Unterrichtungspflicht des Diensteanbieters (TMG) siehe dort – Vorgaben für die Landesgesetzgebung § 41 14 – Webseiten § 11 TMG 6 Territorialitätsprinzip § 1 61 ff. – Telemediendienste § 11 TMG 23 Tracking-Tools – Telemediendatenschutz § 15 TMG 10 f. Transit von Daten – Nichtanwendbarkeit des BDSG § 1 68 ff.
Übermittelnde Stelle siehe Datenexport Übermittlung – Abrechnungsdaten zu Abrechnungszwecken (Telemedien) § 15 TMG 37 ff. – in anonymisierter Form siehe Anonymisierte Übermittlung – der Aufsichtsbehörde an ausländische Aufsichtsbehörden § 38 24 – an Auskunfteien siehe Auskunfteien, Datenübermittlung an – automatisierte Abrufverfahren § 10 6, 17 – Begriff § 3 39 ff. – Bereithalten von Daten § 3 45 ff. – Beschäftigtendaten siehe Übermittlung von Beschäftigtendaten an Dritte – Dritter § 3 39 ff. – Geschäftsmäßige Datenübermittlung siehe dort – ins Ausland siehe Datenexport – nicht-öffentliche Stellen siehe Datenverwendung zur Erfüllung eigener Geschäftszwecke – öffentlich-rechtliche Wettbewerbsunternehmen siehe Datenverwendung zur Erfüllung eigener Geschäftszwecke – Weitergabe § 3 44 Übermittlung an nicht-öffentliche Stellen § 16 1 ff. – berechtigte Interessen des Empfängers § 16 6 ff. – zur Erfüllung eigener Aufgaben § 16 4 f. – nicht-öffentliche Stelle als Empfänger § 16 3 – sensible Daten § 16 9 – Unterrichtungspflicht § 16 11 ff. – Verantwortlichkeitszuweisung § 16 10 – Veröffentlichung von „Beamtendaten“ auf Behördenseite § 16 20 – Zulässigkeitsvoraussetzungen § 16 1 ff. – Zweckbindung § 16 17 ff. Übermittlung an öffentliche Stellen § 15 1 ff. – zur Erfüllung eigener Aufgaben § 15 7 f.
1209
Stichwortverzeichnis – zur Erfüllung der Empfängeraufgaben § 15 9 – gesperrte Daten § 20 24 ff. – öffentliche Stelle als Empfänger § 15 6 – überschießende Daten § 15 22 – Verantwortlichkeit, datenschutzrechtliche § 15 11 ff. – Zulässigkeit nach § 14 BDSG § 15 10 – Zulässigkeitsvoraussetzungen § 15 5 ff. – Zweckbindung auf Empfängerseite § 15 16 ff. Übermittlung von Beschäftigtendaten an Dritte § 32 143 ff. – Asset-Deal § 32 146 – Auftragsdatenverarbeitung, Abgrenzung § 32 144 – Ausland § 32 143 – Due Diligence § 32 146 – Erlaubnis § 32 145 – Konzern § 32 143 – Share-Deal § 32 146 – Veröffentlichung von Daten § 32 147 Umgang mit Daten § 1 11 f. Unabdingbarkeit der Rechte des Betroffenen § 6 4 ff. – Anspruchsverpflichtete § 6 10 – Ausschluss/Beschränkung § 6 5 – „jedermann“ § 6 8 – Rechte § 6 4 – Rechtsfolgen bei Verstoß § 6 11 f. – Umfang des Verbots § 6 6 – Verböserungsverbot § 6 7 Unrechtmäßige Kenntniserlangung siehe Informationspflicht bei unrechtmäßiger Kenntniserlangung; Informationspflicht bei unrechtmäßiger Kenntniserlangung (TMG) Unternehmen – Öffentlich-rechtliche Unternehmen siehe dort Unternehmensverkäufe – Einwilligung, Übertragbarkeit § 4a 75 ff. – Übermittlung von Beschäftigtendaten an Dritte § 32 146 – Wahrung berechtigter Interessen § 28 67 ff.
1210
Unterrichtungspflicht des Diensteanbieters (TMG) § 13 TMG 3 ff. – allgemeine Informationspflicht § 13 TMG 4 ff. – Cookies § 13 TMG 13 ff. – Datenarten § 13 TMG 6 – Datenschutzerklärung § 13 TMG 4 ff. – Gestaltung § 13 TMG 8 f. – grenzüberschreitende Sachverhalte § 13 TMG 7 – Inhalt der Datenschutzerklärung § 13 TMG 5 – jederzeitige Abrufbarkeit der Informationen § 13 TMG 11 – bei Möglichkeit nachträglicher Nutzeridentifizierung § 13 TMG 13 ff. – Opt-in-Lösung bei Cookies § 13 TMG 16 – sprachliche Gestaltung § 13 TMG 9 – zeitlich vor Beginn des Nutzungsvorgangs § 13 TMG 10 Untersagungsanordnung – Aufsichtsbehörde § 38 64 f. Urheberrechtsverletzungen – Auskunftsanspruch hinsichtlich IPNummern im Zusammenhang mit ~ § 96 TKG 7 f. UWG – Double-opt-in § 4a 56 f. – Form der Einwilligung § 4a 58 – Opt-in § 4a 55 – Reichweite und Bestimmtheit der Einwilligung § 4a 59 ff. – Verhältnis zum BDSG § 1 15 ff. – Verhältnis zur Einwilligung nach § 4a BDSG § 4a 52 ff. – Verhältnis zum Telemediendatenschutzrecht Einl. TMG 6 f. Veränderung – Anonymisierung § 3 38 – Ausnahmen der ~ (öffentliche Stellen) § 14 7 ff. – Begriff § 3 36 ff. – Erforderlichkeit (öffentliche Stellen) § 14 3 – medizinische Daten (öffentliche Stellen) § 14 24
Stichwortverzeichnis – nicht-öffentliche Stellen siehe Datenverwendung zur Erfüllung eigener Geschäftszwecke – öffentliche Stellen § 14 1 ff. – öffentlich-rechtliche Wettbewerbsunternehmen siehe Datenverwendung zur Erfüllung eigener Geschäftszwecke – sensible Daten (öffentliche Stellen) § 14 21 ff. – Zweckänderung (öffentliche Stellen) siehe Veränderung, Zweckänderung (öffentliche Stellen) – Zweckbindung (öffentliche Stellen) § 14 4 ff. Veränderung, Zweckänderung – Abwehr erheblicher Gemeinwohlnachteile § 14 14 – Abwehr schwerwiegender Beeinträchtigungen Dritter § 14 16 f. – allgemein zugängliche Daten § 14 13 – Anfangsverdacht der Unrichtigkeit § 14 12 – Einwilligung des Betroffenen § 14 9 – offensichtliches Betroffeneninteresse § 14 10 f. – Rechtsvorschrift § 14 8 – wissenschaftliche Forschung § 14 18 – Zwecke der Strafverfolgung und Ordnungswidrigkeitenverfolgung § 14 15 Verantwortliche Stelle – Adressat bei Widerspruch gegen Werbung/Markt-/Meinungsforschung § 28 180 ff. – Aufsichtsbehörde, Verhältnis zur verantwortlichen Stelle § 38 18 – Auftragsdatenverarbeitung § 3 71; § 11 3 – Auskunftspflichten gegenüber Aufsichtsbehörde § 38 42 ff. – Begriff § 3 66 ff. – Datenschutzbeauftragter bei Wegfall § 4f 67 – Duldungspflicht bei Kontrollen der Aufsichtsbehörde § 38 59 f. – Haftungsansprüche gegen Datenschutzbeauftragten § 4g 49 ff.
– Informationspflichten gegenüber dem Betroffenen § 4 26 – nichtöffentliche Stelle § 3 67 ff. – öffentliche Stelle § 3 70 Verarbeitung – Abgrenzung zum Erheben § 3 32 – Begriff § 3 34 – nicht-öffentliche Stellen siehe Datenverwendung zur Erfüllung eigener Geschäftszwecke – öffentlich-rechtliche Wettbewerbsunternehmen siehe Datenverwendung zur Erfüllung eigener Geschäftszwecke – Sekundärzwecke (öffentliche Stellen) § 14 19 Verbot mit Erlaubnisvorbehalt § 4 1 f.; Einl. TMG 8 ff. – Erlaubnis § 4 2 ff. – Telemediendatenschutz Einl. TMG 8 ff.; § 12 TMG 1 ff. – Verstoß § 4 44 f. Verbraucherkredite § 29 111 ff. – Information des betroffenen Verbrauchers § 29 115 ff. – Zugang zu Auskunfteien bei grenzüberschreitenden Kreditvergaben § 29 112 ff. Verbunddaten und vernetzte Systeme – Pflicht zur Weiterleitung und Unterrichtung § 6 13 ff. – Rechtsfolgen § 6 17 ff. – Sicherheitsbehörden § 6 20 ff. Verfahrensverzeichnis, externes § 4g 23 f. – Meldepflicht § 4e 5 Verfahrensverzeichnis, internes – Meldepflicht § 4e 5 – Zurverfügungstellung für Datenschutzbeauftragten § 4g 20 ff. Verfügbarkeitskontrolle – Schutz vor zufälliger Zerstörung oder Verlust § 9 52 f. Verhaltensregeln – Berufsverbände § 38 11 – EG-Datenschutzrichtlinie § 38 1 – Entwürfe § 38 14 f. – europaweit geltende ~ § 38 24 f. – inhaltliche Anforderungen § 38 16 ff.
1211
Stichwortverzeichnis – Selbstregulierung in der Informationswirtschaft § 38 2 ff. – Überprüfung der Vereinbarkeit mit geltendem Datenschutzrecht § 38 20 ff. – andere Vereinigungen § 38 12 – Vorlegung § 38 10 ff. – zuständige Aufsichtsbehörde § 38 19 Verhältnismäßigkeitsprüfung § 9 3, 14 ff. – angestrebter Schutzzweck § 9 15 f. – Aufwand § 9 15 – automatisierte Abrufverfahren § 10 12 ff. – Beschäftigtendatenschutz § 32 17 f. – Erforderlichkeit § 9 14 – flankierende Maßnahmen § 9 18 – Schutzbedürftigkeit § 9 16 – Störungen und Fehler (TKG) § 100 TKG 6 f. – Summe der getroffenen Maßnahmen § 9 17 Verkehrsdaten (TKG) § 96 TKG 1 ff. – Arten § 96 TKG 2 – Auskunftsanspruch im Zusammenhang mit Urheberrechtsverletzungen § 96 TKG 7 f. – Auskunftsrecht § 93 TKG 7 – Begriff § 96 TKG 2 – Beschränkung des Verwendungszwecks § 96 TKG 4 – Dienste mit Zusatznutzen § 98 TKG 6 – Entgeltermittlung- und -abrechnung (TKG) siehe dort – Fernmeldegeheimnis § 88 TKG 5, 8 – geschützte Personen § 96 TKG 3 – IP-Nummern, Löschung § 96 TKG 6 ff. – Löschungspflicht § 96 TKG 5 ff. – Missbrauchsbekämpfung § 100 TKG 9 ff. – Rechtsfolgen/Sanktionen § 96 TKG 11 – teilnehmer- und zielnummerbezogene ~ zur Vermarktung von Telekommunikationsdiensten § 96 TKG 9 f. – Verpflichtete § 96 TKG 3
1212
– zur Bearbeitung von Störungen und Fehlern siehe Störungen und Fehler (TKG) Vernetzte Systeme siehe Verbunddaten und vernetzte Systeme Verrechnungsstellen – Auftragsdatenverarbeitung § 11 71 ff. Verschlüsselungsverfahren – E-Mail-Verkehr § 9 59 – Verschlüsselung § 9 58 – Zugangs-, Zugriffs- und Weitergabekontrolle § 9 57 ff. Verschwiegenheitspflicht – und Belehrung nach § 5 BDSG § 5 22 – Bundesdatenschutzbeauftragter § 23 12 ff. – Datenschutzbeauftragter § 4f 46 Versicherungen – Auftragsdatenverarbeitung § 11 71 ff. – Wahrung berechtigter Interessen (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 28 74 Versicherungsverträge – zulässige Datenverwendung § 28 38 Vertreter – Ernennung eines ~s bei Auslandsbezug § 1 67 Verwaltungsverfahrensgesetz – Verhältnis zum BDSG § 1 43 f. Verwendung – Begriff (Telemedien) § 12 TMG 3 Verzeichnis – automatisierte Verarbeitung in der Bundesverwaltung § 18 8 ff. – eingesetzte DV-Anlagen in der Bundesverwaltung § 18 5 ff. Verzeichnisse (Rufnummern, Adressen usw.) – geschäftsmäßige Datenübermittlung § 29 96 ff. – grundsätzliche Zulässigkeit der Aufnahme § 29 98 – Listenprivileg § 28 123 Verzeichnisverlage – geschäftsmäßige Datenübermittlung § 29 24 Videoüberwachung öffentlich zugänglicher Räume § 6b 1 ff.
Stichwortverzeichnis – Anwendungsbereich § 6b 3 ff. – Arbeitsplatz § 6b 26 – Aufgabenerfüllung öffentlicher Stellen § 6b 15 – Benachrichtigungspflichten § 6b 29 – Beobachtung § 6b 11, 13 – Beobachtung mit optisch-elektronischen Einrichtungen § 6b 11 ff. – Beschäftigte § 32 122 ff. – Erforderlichkeit § 6b 20 f. – Erkennbarkeit der Beobachtung § 6b 27 f. – Interessenabwägung § 6b 22 ff. – Landesgesetze § 6b 5 – Löschungspflicht § 6b 30 – öffentlich zugängliche Räume § 6b 9 f. – nicht öffentlich zugänglicher Arbeitsplatze § 32 125 f. – optisch-elektronische Geräte § 6b 12 – für persönliche und familiäre Tätigkeiten § 6b 7 – Rechtsfolgen/Sanktionen bei Verstoß § 6b 31 – schutzwürdige Interessen des betroffenen Beschäftigten § 32 123 f. – verdeckte Überwachung bei Beschäftigten § 32 127 f. – Verhältnis zu anderen Vorschriften § 6b 2 – Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke § 6b 17 f. – Wahrnehmung des Hausrechts § 6b 16 – Zweckbestimmung § 6b 14 ff. – Zweckbindung § 6b 19 Vorabkontrolle § 4d 15 ff. – Ausnahmen § 4d 16 f. – besondere Risiken § 4d 15 – durch Datenschutzbeauftragten § 4d 18 f.; § 4g 25 – Rechtsfolgen § 4d 20 f. – Reichweite der Ausnahmen § 4d 17 Wahrung berechtigter Interessen (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) – Abwägung § 28 53 f. – Aufklärung § 28 59
– – – – –
Auskunfteien § 28 62 f. berechtigtes Interesse § 28 47 Beweissicherung § 28 64 Bonitätsprüfung § 28 61 Datenverwendung zur Erfüllung eigener Geschäftszwecke § 28 46 ff. – Due Diligence § 28 66 – eigenes Interesse § 28 48 – Erforderlichkeit § 28 50 – Fallgruppen § 28 55 ff. – Kanzleien-/Praxenverkauf § 28 70 ff. – Konzerninteressen § 28 73 – Outsourcing § 28 65 – Produktrückruf § 28 60 – Rechtsfolgen/Sanktionen § 28 222 ff. – schutzwürdige Interessen des Betroffenen § 28 51 f. – strategische Datenanalyse § 28 55 ff. – Unternehmensumwandlung § 28 69 – Unternehmensverkäufe § 28 67 ff. – der verantwortlichen Stelle § 28 47 ff. – Versicherungen § 28 74 – Videoüberwachung öffentlich zugänglicher Räume § 6b 17 f. – Warndateien § 28 58 ff. – Zweckbestimmung § 28 88 ff. – Zweckbindung, Durchbrechung § 28 93 Warndienste – geschäftsmäßige Datenübermittlung § 29 22 f. Webseiten – Telemediendienste § 11 TMG 6 Weisungsfreiheit – Datenschutzbeauftragter § 4f 38 ff. Weitergabe – Übermitteln § 3 44 Weitergabekontrolle – Daten § 9 40 ff. – Verschlüsselungsverfahren § 9 57 ff. Werbung für fremde Angebote § 28 143 ff. – Anwendungsvoraussetzungen § 28 144 f. – Beipack- oder Empfehlungswerbung § 28 143 – Letter-Shop Verfahren § 28 148 – Nutzung § 28 144
1213
Stichwortverzeichnis – Transparenzgebot § 28 146 f. Werbung und Adresshandel § 28 99 ff. – Werbung, Begriff § 28 102 ff. – Adresshandel als Unterfall der Werbung § 28 107 – Adresshandel, Begriff § 28 106 ff. – Auskunftspflicht bei Übermittlung von Daten zu Werbezwecken § 34 27 f. – Einwilligung zur Datenverwendung für Werbezwecke siehe dort – geschäftsmäßige Datenübermittlung § 29 69 ff., 89 – geschäftsmäßige Datenübermittlung – Adresshandel § 29 20 f. – geschäftsmäßige Datenübermittlung – Werbung § 29 19 – Hinzuspeichern von Daten § 28 128 ff.; § 29 73 – Interessenabwägung § 28 149 ff.; § 29 77 – Kopplungsverbot § 28 170 ff. – Listenprivileg § 28 113 ff.; § 29 72 – Markt- und Meinungsforschung, Abgrenzung der Werbung § 30a 33 – Rechtsfolgen/Sanktionen § 28 222 ff.; § 30a 36 f. – Übermittlung zu Werbezwecken § 28 133 ff.; § 29 74 f. – Verarbeitung und Nutzung von Daten § 28 99 ff. – Werbung für fremde Angebote § 29 76; § 28 143 ff. – Widerspruchsrecht gegen Werbung/ Markt-/Meinungsforschung siehe dort – Zweckbindung § 28 153; § 29 77 Widerruf der Einwilligung § 4a 70 ff. – Dritter § 4a 74 – ex nunc § 4a 71 – formlos § 4a 72 – Telemedien § 13 TMG 27, 30 Widerspruchsrecht (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 35 47 ff. Widerspruchsrecht (öffentliche Stellen) § 20 16 ff. – Rechtsstreitigkeiten § 20 34 f. Widerspruchsrecht (TMG) – Nutzungsprofile § 15 TMG 30
1214
Widerspruchsrecht gegen Werbung/ Markt-/Meinungsforschung § 28 175 ff. – Adressat bei Auftragsdatenverarbeitung § 28 181 f. – Adressaten § 28 179 ff. – Belehrung bei Auftragsdatenverarbeitung § 28 191 – Dritter als Adressat § 28 184 f. – Erklärungsempfänger § 28 194 – Form § 28 193 ff. – Frist § 28 197 – geschäftsmäßige Datenübermittlung § 29 100 ff. – jede Werbung § 28 176 – kostenfreie Geltendmachung und Bearbeitung § 28 199 – Löschung nach Widerspruch § 28 201 – Markt- und Meinungsforschung § 28 177 – Rechtsfolgen § 28 200 ff. – „Robinson-Liste“ § 28 195 – Sperrung nach Widerspruch § 28 200 – Sperrung nach Widerspruch gegen Dritten § 28 202 – Übermittlungsketten § 28 183 – Unterrichtung/Belehrung über Widerspruchsrecht § 28 186 ff. – unverzügliche Reaktion § 28 198 – verantwortliche Stelle als Adressat § 28 180 ff. – zusätzliches Recht § 28 175 Wissenschaftliche Forschung – siehe auch Forschungseinrichtung – keine Benachrichtigung des Betroffenen § 33 42 ff. – sensible Daten (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 28 213 – Zweckbindung, Durchbrechung (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 28 98 Zeugnisverweigerungsrecht – Bundesdatenschutzbeauftragter § 23 9 ff. – Datenschutzbeauftragter § 4f 47 – Landesdatenschutzbeauftragter § 12 10
Stichwortverzeichnis Zugangskontrolle – zu Datenverarbeitungssystem § 9 34 ff. – Verschlüsselungsverfahren § 9 57 ff. Zugriffskontrolle – Daten und Datenverarbeitungsanlagen § 9 37 ff. – Verschlüsselungsverfahren § 9 57 ff. Zutrittskontrolle – zu Datenverarbeitungsanlage § 9 30 ff. Zweckänderungsverbot (öffentliche Stellen) – Datenschutzkontrolle, Datensicherung, Betriebssicherung § 14 20 Zweckbindung (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) – allgemein siehe Datenverwendung zur Erfüllung eigener Geschäftszwecke – Berufs- oder besonderes Amtsgeheimnis siehe Zweckbindung bei Berufs- oder besonderem Amtsgeheimnis – bei Datenschutzkontrolle siehe Zweckbindung, besondere (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) – bei Datensicherung siehe Zweckbindung, besondere (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) – Durchbrechung siehe Zweckbindung, Durchbrechung (n.ö. Stellen/ ö.r. Wettbewerbsunternehmen) – Nutzungsprofile (Telemedien) § 15 TMG 28 f. – bei Sicherstellung eines ordnungsgemäßen Betriebes eines EDV-Anlage siehe Zweckbindung, besondere (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) – Telemediendatenschutz § 12 TMG 24 ff. Zweckbindung (öffentliche Stellen) – Aufsichtsbehörde, eigene Daten § 38 19 f. – Berufs- oder besonderes Amtsgeheimnis siehe Zweckbindung bei Berufs- oder besonderem Amtsgeheimnis – Forschungseinrichtung § 40 7 f.
– Nutzungsprofile (Telemedien) § 15 TMG 28 f. – öffentlich-rechtliche Religionsgesellschaften als Empfänger § 15 19 ff. – Speicherung, Veränderung, Nutzung § 14 4 ff. – Telemediendatenschutz § 12 TMG 24 ff. – Übermittlung an nicht-öffentliche Stellen § 16 17 ff. – Übermittlung an andere öffentliche Stelle § 15 16 ff. Zweckbindung bei Berufs- oder besonderem Amtsgeheimnis § 39 1 ff. – § 203 StGB § 39 6 f. – Adressaten § 39 2 ff. – Anwendungsbereich § 39 2 ff. – Ausübung einer Berufs- oder Amtspflicht § 39 9 – Berufs- und Amtsgeheimnis § 39 5 ff. – Durchbrechung der Zweckbindung § 39 14 – Einwilligung des Geheimnisträgers § 39 13 – gesetzlich begründetes Berufs- und Amtsgeheimnis § 39 5 ff. – Reichweite der Zweckbindung § 39 11 f. – Sondervorschrift § 39 1 Zweckbindung, besondere (n.ö. Stellen/ ö.r. Wettbewerbsunternehmen) § 31 1 ff. – Datenschutzkontrolle § 31 2 – Datenschutzkontrollzwecke § 31 1 – Datensicherung § 31 3 – Datensicherungszwecke § 31 1 – Kontroll- und Sicherungsdaten § 31 2 ff. – ordnungsgemäßer Betrieb einer DVAnlage § 31 1 – Rechtsfolgen § 31 7 – Zweckbindung § 31 5 f. Zweckbindung, Durchbrechung (n.ö. Stellen/ö.r. Wettbewerbsunternehmen) § 28 91 ff. – Wahrung berechtigter Interessen ~ und Durchbrechung der Zweckbindung § 28 95 f.
1215
Stichwortverzeichnis – Gefahrenabwehr § 28 97 – geschäftsmäßige Datenübermittlung § 29 103 – Kundenrückgewinnung § 28 94 – Rechtsfolgen/Sanktionen § 28 222 ff.
1216
– Wahrung berechtigter Interessen Dritter § 28 95 f. – Wahrung eigener Interessen § 28 93 – wissenschaftliche Forschung § 28 98 – Zweckänderung § 28 92