Mit Beschlüssen vom 22.04.2013 entschied das Schleswig-Holsteinische Oberverwaltungsgericht (OVG) auf Beschwerden des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) gegen Beschlüsse des Verwaltungsgerichts (VG) Schleswig, dass auf die Datenverarbeitung bei Facebook auch in Bezug auf deutsche Nutzer nicht deutsches, sondern ausschließlich irisches Datenschutzrecht anwendbar sei (Az. 4 MB 10/13, 4 MB 11/13). Damit wurde die vorläufige Vollstreckbarkeit der ULD-Verfügungen gegen Facebook Inc./USA und Facebook Ireland Ltd., gemäß dem deutschen Telemedienrecht eine anonyme oder pseudonyme Nutzung zuzulassen, rechtskräftig aufgehoben. Begründet wurde dies vom OVG damit, dass Facebook Ireland Ltd. eine Niederlassung von Facebook in Europa darstellt, nicht aber die Facebook Germany GmbH, die nur in den Bereichen der Anzeigenakquise und des Marketing für den Konzern tätig sei.
Der nicht anfechtbare Beschluss des OVG hat zur Folge, dass gegenüber Facebook direkt deutsches Datenschutzrecht nicht angewendet werden kann. Der Leiter des ULD Thilo Weichert zeigt sich über die Beschlüsse enttäuscht: „Das Gericht erlaubt es, dass durch geschickte interne Organisation in einem IT-Konzern die Anwendbarkeit des strengen deutschen Datenschutzrechts ausgehebelt wird. Bedauerlich ist auch, dass die vom ULD vorgetragene grundrechtliche Begründung seiner Bescheide nicht aufgegriffen wurde. Für Nutzende und deutsche Unternehmen, die sich an den deutschen Datenschutzstandards halten müssen, ist es schwer zu verstehen, weshalb ein Angebot für den deutschen Markt diese Standards ignorieren darf. Wir müssen diese Entscheidung aber akzeptieren und werden deshalb den Widersprüchen von Facebook gegen unsere Verfügungen im Hauptsacheverfahren entsprechen.
So bedauerlich die OVG-Entscheidungen für den Datenschutz auch sein mögen, sie haben eine obergerichtliche Aussage in der stark umstrittenen Rechtsfrage gebracht, welches Datenschutzrecht bei internationalen sozialen Netzwerken anwendbar ist. Seit Dezember 2011 ist weiterhin vor dem VG Schleswig die Rechtsfrage anhängig, ob zumindest für deutsche Stellen, die über Facebook Fanpages betreiben, das deutsche Datenschutzrecht anwendbar ist. Hierzu enthalten die OVG-Beschlüsse keine Aussagen. Es ist zu hoffen, dass diese Verfahren zügig in Angriff genommen werden, um weitere Rechtsklarheit zu erhalten.
Die OVG-Beschlüsse sollten von der Politik als Signal verstanden werden, dass auf europäischer Ebene mit der derzeit diskutierten Datenschutz-Grundverordnung nicht nur ein hoher Datenschutzstandard festgeschrieben, sondern auch dessen Durchsetzbarkeit sichergestellt werden muss. Anderenfalls wird Facebook weiterhin versuchen, sich durch organisatorische Tricks einer wirksamen Datenschutzkontrolle zu entziehen. Wir erleben derzeit, dass sich internationale IT-Unternehmen durch eine ausgeklügelte interne Organisation der Zahlung von Steuern entziehen. Die Politik muss verhindern, dass sich neben Steueroasen auch Datenschutzoasen – also Bereiche ohne effektive Datenschutzkontrolle – entwickeln.“
Quelle: Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein vom 24.04.2013
Mittwoch, 24. April 2013
Montag, 22. April 2013
Über das richtige „Maß“ beim Datenschutz
Gleich zu Beginn, damit ich nicht falsch verstanden werde:
Ich halte den Datenschutz für eine absolut wichtige Sache, jede Person und
insbesondere jedes Unternehmen sollte unbedingt den Datenschutz beherzigen und
ein „anständiges“ Datenschutzmanagement betreiben.
In der Praxis kommt mir aber immer wieder unter, dass quasi
mit „Kanonen auf Spatzen“ geschossen wird – und das ist meines Erachtens für
die Akzeptanz des Datenschutzes sehr abträglich.
Beispiel:
Im Rahmen eines Auftragsdatenverarbeitungsverhältnisses gem.
§ 11 BDSG wird der Geschäftsführer des Auftragnehmers – eines relativ kleinen
Unternehmens mit 5-8 Mitarbeitern – mit einer Frageliste des
Datenschutzbeauftragten des Auftraggebers zu den durchgeführten technischen und
organisatorischen Maßnahmen nach § 11 BDSG mit ca. 200 Fragen konfrontiert. Das
mag in manchen Fällen sinnvoll und auch erforderlich sein, wenn es etwa um
etwas sensiblere Daten mit einer erhöhten Schutzstufe geht oder um ein
größeres, gar international agierendes Unternehmen. In diesem Fall – ich war
mir nicht einmal ganz sicher, ob es sich überhaupt um einen Fall der
Auftragsdatenverarbeitung und nicht etwa der Funktionsübertragung handelt
(Beiträge hierzu) – war die Frageliste absolut überdimensioniert und führte beim
Geschäftsführer des Auftragnehmers zu nichts anderem als Frust. Wir sind die
Frageliste durchgegangen und haben sehr viele Felder mit dem Verweis auf die
fehlende „Erforderlichkeit“ abgearbeitet, weil viele abgefragte Maßnahmen offensichtlich etwa bei
einem Rechenzentrumsbetrieb Sinn machen, hier aber nicht – in ständiger
Begleitung von einem Schimpfen des Geschäftsführers über den Datenschutz und
„was sich die Herren in Berlin dabei nur gedacht haben“. Meine
Besänftigungsversuche und Erklärungen, warum bestimmte Regelungen durchaus
sinnvoll sind, konnten nicht dazu beitragen, den Menschen für Datenschutz zu
begeistern. Ich befürchte auch, nach dieser Erfahrung wird das in Zukunft auch
kaum möglich sein.
Schlecht für die Akzeptanz des Datenschutzes.
Genauso unverständlich – weil es letztendlich nur für Frust
sorgt und den Datenschutz nur als „Bremse“ oder „reine Schikane“ erscheinen
lässt – ist es, wenn manch jemand (zugegeben oftmals leider ein
Datenschutzbeauftragter) massenweise Verbote ausspricht oder an ein
Unternehmen, das keine personenbezogene Daten höherer Schutzstufen verarbeitet
(wie eigentlich die meisten Unternehmen – ausgenommen natürlich der Bereich
„Personal“), pauschal überall Anforderungen wie in einem
„Hochsicherheitsbereich“ anlegt.
Klar dient es auf den ersten Blick dem Datenschutz, wenn ich
beispielsweise überall den Einbau von Türen der höchsten Sicherheitsklasse
fordere. Aber ist das auch für jeden Raum in Anbetracht der damit zu
schützenden Daten erforderlich und angemessen – oder etwa nur beispielsweise
beim Serverraum?
Das soll nicht bedeuten, dass man „alles durchgehen lassen“
sollte oder den Datenschutz „lax“ betreiben sollte (was in der Praxis leider
auch sehr häufig zu beobachten ist) – natürlich nicht. Aber man sollte bei dem
anzulegenden Maß erstens berücksichtigen, ob die geforderten Maßnahmen (auch
vom Aufwand her) gemessen am Schutzzweck in einem angemessen Verhältnis stehen
und keinesfalls pauschal mit irgendwelchen Fragebögen oder Checklisten
bestimmte, möglicherweise in manchen Situationen durchaus sinnvolle
Anforderungen pauschal über ein ganzes Unternehmen stülpen, sondern hier mit
Augenmaß zu differenzieren.
Meine Auffassung von der Funktion des
Datenschutzbeauftragten ist es, die Mitarbeiter des Unternehmens für den
Datenschutz zu sensibilisieren und zu überzeugen, warum bestimmte erforderliche
Maßnahmen sinnvoll sind und eine Lösung zu finden, wie bestimmte für das
Unternehmen erforderliche Maßnahmen oder Prozesse datenschutzkonform gestaltet
werden können – ich nenne das den „gelebten“ Datenschutz.
Das reine „Anordnen“ von möglicherweise noch im Einzelfall
unverhältnismäßigen Maßnahmen ohne Hinterfragung und Erläuterung ist meines
Erachtens nur kontraproduktiv und führen – siehe Beispiel oben – nur dazu, dass
der Datenschutz sowohl im Unternehmen als auch generell von der Gesellschaft
nicht akzeptiert wird. Und das ist schlecht.
Der allgemeine Rechtsgrundsatz der Verhältnismäßigkeit –
auch ausdrücklich in einzelnen Normen des BDSG zu finden - verlangt keinen
„Datenschutz um jeden Preis“. Maßnahmen zur Sicherung des Datenschutzes sind
niemals Selbstzweck, sondern sind immer am Schutzzweck auszurichten. So ist es
z.B. in § 9 S. 2 BDSG zu lesen (bei den zu ergreifenden technischen und
organisatorischen Maßnahmen) oder in § 4f Abs. 2 S. 2 BDSG (Maß der
erforderlichen Fachkunde eines Datenschutzbeauftragten).
Und nochmals um Missverständnisse zu vermeiden: Es geht bei
diesem „Maß“ nicht um die Fragen, ob Datenschutz betrieben werden muss und
bestimmte Datenschutzerfordernisse zu beachten sind. Es geht darum, wie und mit
welchen Maßnahmen diese zwingend zu befolgenden Erfordernisse in concreto in
Anbetracht des Schutzzwecks der Daten und des zu betreibenden Aufwands umzusetzen
sind.
Das hierfür benötigte Fingerspitzengefühl zeichnet den
„guten“ Datenschutzbeauftragten aus.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Abonnieren
Posts (Atom)