Freitag, 15. Februar 2013

Klarnamenpflicht bei Facebook: ULD scheitert mit Verfügung vor dem VG Schleswig

Das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein hatte in der Vergangenheit Facebook wegen der Untersagung der Nutzung von Pseudonymen (Klarnamenpflicht) gerügt.

In concreto hatte das ULD beanstandet, dass Facebook nunmehr eine Verwendung von Pseudonymen auf seiner Social-Network-Plattform untersagte, d.h. nur die Angaben des richtigen bürgerlichen Namens einer natürlichen Person erlaubt sei. Dies verstoße, so das ULD, gegen § 13 Abs. 6 des deutschen Telemediengesetzes (TMG).

Zum Zweck der Abhilfe seiner Beanstandung hatte das ULD eine Anordnung der sofortigen Vollziehung der Untersagung der Klarnamenpflicht gegenüber Facebook erlassen und zugestellt.

Facebook hat sich nunmehr vor dem Verwaltungsgericht (VG) Schleswig erfolgreich gegen diese Anordnung gewehrt. Das VG Schleswig kam in seiner Entscheidung nämlich zu dem Schluss, dass vorliegend wegen § 1 Abs. 5 BDSG nicht deutsches, sondern irisches Datenschutzrecht zur Anwendung komme, welches eine entsprechende Verpflichtung gem. § 13 Abs. 6 TMG nicht kenne.

Es sei auch unschädlich, dass es eine Facebook Germany GmbH mit Sitz in Hamburg gebe. Zwar ergäbe sich eine Anwendbarkeit deutschen Datenschutzrechts bei dem Unterhalten einer deutschen Niederlassung. Bei der Facebook Germany GmbH würden die personenbezogenen Daten der Nutzer aber gar nicht verarbeitet, sondern diese Niederlassung würde nur Marketing betreiben. Alle nicht-nordamerikanischen Facebook-Nutzer würden von der Niederlassung in Irland verarbeitet. Es sei darüber hinaus auch unschädlich, dass Facebook Ireland auf Mittel der Firma Akamai zurückgreife, welche in Deutschland belegen seien, da die Firma Akamai nur im Auftrag von Facebook Ireland tätig werde.

Da nach Ansicht des VG Schleswig irisches Datenschutzrecht Anwendung finde, sei damit eine Anordung
des ULD gem. § 38 Abs. 5 S. 1 BDSG i.V.m. § 13 Abs. 6 TMG unwirksam.

Bei der Entscheidung des VG Schleswig ist allerdings zu beachten, dass es sich hierbei um ein Verfahren des Eilrechtsschutzes handelt, bei welchem die aufschiebende Wirkung des Widerspruchs von Facebook gegen die Anordung des ULD wieder hergestellt wurde. Dabei nimmt das Gericht nur eine summarische Prüfung der Sach- und Rechtslage vor.

Zum einen kann gegen diesen Beschluss noch Beschwerde vor dem Schleswig-Holsteinischen Oberverwaltungsgericht eingelegt werden - was das ULD angekündigt hat. Zum anderen läßt noch die Hauptsacheangelegenheit auf sich warten.

Anbei die Pressemitteilung des Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein:

Mit zwei Beschlüssen vom 14.02.2013 entschied das Verwaltungsgericht (VG) Schleswig im vorläufigen Rechtsschutzverfahren der Facebook Inc./USA und der Facebook Ireland Ltd. gegen das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) wegen der von Facebook durchgesetzten Klarnamenpflicht, dass ausschließliche Niederlassung von Facebook in Europa die Facebook Ltd. in Irland und deshalb auch in Deutschland nur irisches Datenschutzrecht anzuwenden sei (Az. 8 B 61/12, 8 B 60/12). Die Anordnungen des ULD auf Entsperrung von Facebook-Konten solcher Personen in Schleswig-Holstein, die ausschließlich und alleine wegen Nichtangabe oder nicht vollständiger Angabe von Echtdaten bei der Registrierung gesperrt worden sind, wurden vom Verwaltungsgericht zurückgewiesen. Die Klarnamenpflicht steht unzweifelhaft im Widerspruch zu § 13 Abs. 6 des deutschen Telemediengesetzes. Im irischen Recht besteht dagegen kein expliziter gesetzlicher Anspruch auf anonyme oder pseudonyme Nutzung von Telemedien. Das ULD beruft sich auf deutsches Recht.
Gemäß den Beschlüssen des VG Schleswig ist nicht deutsches, sondern irisches Recht anwendbar, obwohl die gesamte Verkehrsdatenverarbeitung von Facebook mit den entsprechenden Profilbildungen in den USA erfolgt. Es soll danach auch keine Rolle spielen, dass das Unternehmen mit der Facebook Germany GmbH eine Niederlassung in Deutschland hat. Weiterhin sei nicht relevant, dass die wesentlichen Inhaltsdaten in Deutschland nicht nur erhoben, sondern hier auch von dem Dienstleister Akamai gespeichert und verarbeitet werden.
Der Leiter des ULD Thilo Weichert kommentiert die Beschlüsse: „Die Entscheidungen sind mehr als verblüffend und gehen in der Argumentation über das Vorbringen von Facebook hinaus, das die Nichtanwendbarkeit des deutschen Datenschutzrechtes damit begründete, Facebook Inc. in den USA sei nur der Auftragsdatenverarbeiter der Facebook Ireland Ltd. Sie sind in sich widersprüchlich, wenn sie die fehlende rechtliche Relevanz von Facebook Germany damit erklären, dass dort keine Daten verarbeitet würden, zugleich aber das Unternehmen in Irland für zuständig erklären, obwohl dort auch keine Daten verarbeitet werden.
Die Beschlüsse des VG Schleswig hätten zur Folge, dass eine One-Stop-Shop-Regelung, wie sie in einer europäischen Datenschutz-Grundverordnung – kombiniert mit einem ausgeklügelten Kooperationssystem der Aufsichtsbehörden – geplant ist, für die IT-Unternehmen gar nicht nötig wäre. Es käme nur darauf an, die Konzernstruktur so zu gestalten, wie es Facebook tut, also eine Niederlassung in einem EU-Staat mit niedrigem Datenschutzniveau für zuständig zu erklären. Dies war nicht die Regelungsabsicht der Europäischen Union.“
Deshalb wird das ULD die Beschlüsse des VG Schleswig vor dem Schleswig-Holsteinischen Oberverwaltungsgericht anfechten und hiergegen Beschwerde einlegen.
(Quelle: Pressemitteilung des ULD vom 15.02.2013)

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

Auftragsdatenverarbeitung bei Wartung oder Fernwartung

Weitverbreitet sind heutzutage Wartungsverträge, welche zum einen die Wartung, die Pflege oder den Service bei Hardware betreffen oder eben eine entsprechende Wartung – oftmals in der Form einer Fernwartung – von Software. Je nach betroffener Hardware oder Software kann das Unternehmen, welches die entsprechende Wartung durchführt, dabei mehr oder weniger mit personenbezogenen Daten des Auftraggebers in Berührung kommen. Sei es, weil ein Unternehmen im Rahmen der Fehlerbeseitigung oder der Problembehebung remote per Fernwartung auf das System, eine Softwareanwendung oder eine Datenbank des Auftragnehmers zugreift. Sei es, dass ein IT-Unternehmen mit Administratorenzugriffsrechten den Server des Auftraggebers verwaltet. Sei es, dass ein Unternehmen PCs oder Multifunktionsgeräte (Kopierer, Faxgeräte, Scanner usw.) mit verbauter Festplatte mit in die Werkstatt nimmt und repariert.

In diesen Fällen hat der Auftragnehmer die zu mindestens theoretische Möglichkeit, auf personenbezogene Daten des Auftraggebers zuzugreifen. Dies kann im Rahmen des Wartungsauftrags gewünscht, erlaubt und erforderlich sein – oder auch nicht.

Der Gesetzgeber sieht hier eine ähnliche Situation und insbesondere eine ähnliche Gefährdungslage wie bei der klassischen Auftragsdatenverarbeitung nach § 11 BDSG. Dementsprechend stellt der Gesetzgeber in § 11 Abs. 5 BDSG einer Prüfung und Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen einer Auftragsdatenverarbeitung gleich, indem er eine entsprechende Geltung der Vorschriften zur Auftragsdatenverarbeitung gemäß § 11 Abs. 1-4 BDSG angeordnet. Es handelt sich bei der Prüfung, Wartung und Fernwartung also nicht um eine Auftragsdatenverarbeitung an sich - daher ist streng genommen die Überschrift dieses Beitrags nicht ganz korrekt - sondern nur um eine entsprechende Anwendung dieser Vorschriften aufgrund einer vergleichbaren Interessenlage.

Hierbei ist aber nur eine Prüfung oder eine Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag betroffen, wenn hierbei einen Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Die Anforderungen entsprechend einer Auftragsdatenverarbeitung sind somit nicht zu fordern, sofern gänzlich ausgeschlossen werden kann, dass ein – auch theoretischer – Zugriff auf personenbezogene Daten erfolgen kann. Dies dürfte in der Praxis nur in den seltensten Fällen zutreffen. Ausgeschlossen sind auch Fälle, in denen eine entsprechende Wartung oder Prüfung durch die verantwortliche Stelle selbst durchgeführt wird, etwa die eigene IT-Abteilung.

Dies bedeutet in der Praxis, dass in den meisten Fällen einer Software- oder Hardwarewartung eine entsprechende Vereinbarung entsprechend den Vorgaben der Auftragsdatenverarbeitung gemäß § 11 BDSG erforderlich sein dürfte. Eine solche Vereinbarung ist freilich anzupassen an die Besonderheiten einer (Fern-) Wartung. Im übrigen gelten die sonstigen Erfordernisse gemäß § 11 BDSG hier genauso, insbesondere das Erfordernis der Schriftlichkeit und auch die Anforderungen nach § 11 Abs. 2 BDSG, also etwa eine ausführliche Beschreibung des Auftrags, der betroffenen Daten, der Befugnisse und Weisungen der Parteien als auch die Kontrollepflichten des Auftraggebers und die korrespondierenden Duldungspflichten des Auftragnehmers.

Da der Gesetzgeber bei seinem Hinweis in § 11 Abs. 5 BDSG auf die entsprechende Anwendung der Absätze 1-4 hierbei offensichtlich die klassische Auftragsdatenverarbeitung im Sinne hatte und erst in zweiter Linie die Prüfung- und Wartungssituationen, sollte eine entsprechende notwendige Vereinbarung unbedingt auf die Besonderheiten der Wartungssituationen angepasst werden.


RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

Dienstag, 12. Februar 2013

Neues Beschäftigtendatenschutzgesetz wohl nicht mehr in dieser Legislaturperiode

Nachdem ja nach dem Wiederaufgreifen eines zwei Jahre alten Gesetzesentwurfs von der Verabschiedung eines neuen Beschäftigtendatenschutzgesetzes bzw. von expliziten Regelungen im Bundesdatenschutzgesetz zur Regelung des Datenschutzes im Beschäftigungsverhältnis gemäß § 3 Abs. 11 BDSG dann doch noch abgesehen wurde und eine bereits geplante Verabschiedung von der Tagesordnung gestrichen wurde, scheint sich nun auch in absehbarer Zeit im Bereich des Beschäftigten- oder Arbeitnehmerdatenschutzes nichts mehr Neues zu tun. Zu mindestens legt dies eine Aussage der beteiligten Fachkreise nahe, welche von einer Neuregelung und Verabschiedung noch in dieser Legislaturperiode absehen wollen.

Dies ist kaum verwunderlich, wenn man sich die Entstehungsgeschichte des bisherigen Entwurfs und die hierbei sehr kontrovers geführten Diskussionen und insbesondere auch die massive Kritik der beteiligten Kreise betrachtet. Dies ist auch kaum verwunderlich, denn immerhin geht es hier um einen ganz zentralen datenschutzrechtlichen und auch sehr praxisrelevanten Bereich.

Man muss sich nun sowieso die Frage stellen, ob dann überhaupt noch mit einer – im Grunde durchaus begrüßenswerten – Regelung von Fragen des Datenschutzes im Arbeitsverhältnis zu rechnen ist vor dem Hintergrund der Bemühungen der EU um die Verabschiedung einer europäischen Datenschutzverordnung.


RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe