Staatstrojaner-Überprüfung durch Schaar abgeschlossen

Wie heute bekannt wurde, hat der Bundesdatenschutzbeauftragte Peter Schaar seine Prüfung über den Einsatz und die rechtlichen Grauzonen des Staatstrojaners beendet.

Er bestätigt die Analyse des Chaos Computer Clubs (CCC) und mahnt ebenfalls Verbesserungen an. Die Ermittlungsbehörden, der Finanz- und der Innenminister geben dem CCC zwar in allen Kritikpunkten recht, sehen aber dennoch keine Notwendigkeit zum Handeln.

Dem CCC wurde ein Schreiben zugespielt, in dem Schaar abschließend Stellung zu seinen Erkenntnissen im Rahmen der Staatstrojanerprüfung bezieht. Der CCC stellt das Papier zum Download zur Verfügung.
Schaar hatte nach der Veröffentlichung des CCC im Oktober 2011
mit Ausnahme der Geheimdienste alle Bundesbehörden überprüft, die staatliche Spionagesoftware einsetzen.

Das Innenministerium hält nach dem Bericht daran fest, die untaugliche Verschlüsselung des Staatstrojaners weiterhin als "geeignet" zu bezeichnen, räumt allenfalls "Optimierungsspielraum" ein. Weiterhin soll auch in Zukunft der Quellcode weder für die Behörden selbst noch für Schaars Prüfbehörde einsehbar sein.
"Hier kommt eine erstaunliche Kritikunfähigkeit seitens der Behörden und des Ministeriums zum Ausdruck, denen nicht weniger als die Sicherheit und Privatsphäre der Bevölkerung anvertraut ist.

Wo sowohl gesetzlich als auch technisch erheblich nachgebessert werden müßte, verschanzt sich Innenminister Hans-Peter Friedrich hinter einem trotzigen 'Weiter so!'", sagte Dirk Engling, Sprecher des CCC.

Für den Bericht hätte Peter Schaar naturgemäß Einsicht in den Quellcode nehmen müssen. Die Trojaner-Herstellerfirma Digitask erdreistete sich jedoch, dem Bundesdatenschutzbeauftragten nur dann Einsicht zu gewähren, sofern er eine Vereinbarung zum Stillschweigen unterzeichnen sowie 1.200 Euro pro Prüfungstag als "Beratungsdienstleistung" bezahlen würde.
Schaar lehnte mit Verweis auf seine Pflichten als staatlicher Kontrolleur selbstverständlich ab.

Damit wurde eine unabhängige Beurteilung durch den Datenschutzbeauftragten faktisch verhindert. Hier zeigt sich das Erpressungspotential durch das Outsourcen von hoheitlichen Aufgaben an private, keiner effektiven Kontrolle unterliegenden Firmen.

Es hat die beteiligten Behörden zehn Monate gekostet, sich den vom CCC vorgebrachten Feststellungen zum Staatstrojaner vollumfänglich anzuschließen. Überraschenderweise zieht jedoch das BMI ganz andere Schlußfolgerungen aus den nun mehrfach bestätigten Fakten. Insbesondere hält es die in Anfängermanier zusammengestoppelte Absicherung der Kommunikation zwischen Staatstrojaner und Kontrollcomputer weiterhin für ausreichend.
"Damit wird weiterhin in Kauf genommen, daß staatliche Trojaner nicht effektiv kontrolliert und somit auch von Dritten zur Ausspähung und Manipulation von Daten benutzt werden könnten", sagte Dirk Engling, Sprecher des Chaos Computer Clubs.

Das BKA und der Zollfahndungsdienst hatten in den vergangenen Jahren in mehreren Fällen monatelang staatliche Spionagesoftware eingesetzt.
Die Anzahl der Betroffenen ist unbekannt.

QUELLE: www.ccc.de (Chaos Computer Club)

Kreditinstitute in der Kritik der Aufsichtsbehörden

Der Verbraucherzentrale Schleswig-Holstein und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) liegen Schreiben von Geldinstituten vor, in denen deren Kunden aufgefordert werden, weitreichende Einwilligungserklärungen zu unterzeichnen.

In den Anschreiben wird der Anschein erweckt, es gehe in erster Linie um dringende Handlungsszenarien in Bezug auf vertragliche Fürsorge- und Beratungspflichten und nicht um eine weitgehende Datenfreigabe. In den fraglichen Passagen heißt es beispielsweise:

„…stellen Sie sich vor: Ihre Geldanlage oder Ihr Kredit bei uns ist fällig und niemand sagt Ihnen Bescheid. Das geht nicht, oder?“

In der Einwilligungserklärung finden sich indessen Passagen wie:

„Einwilligung zu Anrufen der Bank für eigene und Produkte von aktuellen und zukünftigen Verbund- und Kooperationspartnern.“

               

„Die Irreführung des Verbrauchers liegt folglich in dem Zusammenspiel zwischen dem Anschreiben, das ein konkretes Risiko bzw. Vorteile für den Verbraucher aufzeigt, und der Einwilligungserklärung, die offenkundig Werbezwecken dient“, so Boris Wita, Justiziar der Verbraucherzentrale Schleswig-Holstein. „Wir empfehlen, sich diese Datenweitergabeklauseln sorgsam durchzulesen, sich nicht zur Unterzeichnung drängen zu lassen und gegebenenfalls Passagen zu streichen“, so Wita weiter. Bei Rückfragen können sich die Verbraucher gerne an die Beratungsstellen der Verbraucherzentrale wenden.

Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, kritisiert das bekannt gewordene Vorgehen der

Banken: „Die Praxis dieser Kreditinstitute ist äußerst bedenklich, da Einwilligungen nur mit einer klaren Information des Verbrauchers wirksam sind. Einwilligungen in Telefonwerbung nehmen eine Sonderstellung ein, da solche Anrufe einen besonders belästigenden Eingriff in die Privatsphäre darstellen. Banken werden den Erwartungen ihrer Kunden nur gerecht, wenn sie fair und transparent mit deren Daten umgehen. Das Erschleichen einer Einwilligung, indem ein falscher Eindruck erweckt wird, ist dagegen mit seriösen Geschäftspraktiken nicht vereinbar.“

Weitere Informationen erhalten Sie beim

Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein Holstenstr. 98, 24103 Kiel

E-Mail: mail@datenschutzzentrum.de

 QUELLE:  Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein Holstenstr. 98, 24103 Kiel

Ende der Übergangszeit beim Umgang mit Marketingdaten und Adresshandelsdaten zum 31.08.2012

Zum 01.09.2009 ist ja bekanntermaßen unter anderem die lange umstrittene Neuregelung des § 28 Abs. 3 BDSG in Kraft getreten. Auslöser für die Neuregelung der Vorschrift über die Verarbeitung von personenbezogenen Daten für Zwecke des Adresshandels und der Werbung waren diverse Datenschutzverstöße insbesondere von größeren Unternehmen, über welche auch ausführlich in der Presse und den Medien berichtet wurde. Als Konsequenz hat sich der Gesetzgeber für eine Verschärfung der Vorschriften über den Umgang mit Marketing- und Adresshandelsdaten ausgesprochen. Nach der alten Rechtslage (§ 28 Abs. 3 BDSG bis zum 31.08.2009) durften personenbezogene Daten weitgehend "großzügig" für Werbe- und Adresshandelszwecke genutzt werden, sofern es sich hierbei um sog. Listendaten handelte.

Nachdem der Gesetzgeber sich für eine sehr restriktive Lösung (Nutzung für Werbezwecke nur mit Einwilligung des Betroffenen) ausgesprochen hatte und nach massiver Lobbyarbeit der Werbewirtschaft ist der "neue" § 28 Abs. 3 BDSG zum 01.09.2009 in Kraft getreten, welcher grundsätzlich eine Einwilligung des Betroffenen in die Nutzung seiner personenbezogenen Daten zu Werbezwecken vorsieht, aber auch Ausnahmen definiert, nach denen bestimmte personenbezogene Daten auch ohne Einwilligung des Betroffenen zu Zwecken der Werbung und des Adresshandels genutzt werden dürfen.

Leider ist die Neuregelung des § 28 Abs. 3 BDSG textlich sehr lang (und damit teilweise unübersichtlich) und sprachlich etwas "anspruchsvoll" (neutral formuliert) ausgefallen. Auf jeden Fall sind die Anforderungen der Nutzung personenbezogener Daten zu Werbezwecken und zu Zwecken des Adresshandels im Verlgeich zur vorherigen Regelung wesentlich erhöht worden.

Nach § 47 Nr. 2 BDSG gibt es eine Übergangsvorschrift für personenbezogene Daten, welche vor dem 01.09.2009 erhoben wurden ("Altdaten"). Und genau diese läuft zum 31.8.2012 ab, d.h. ab dem 01.09.2012 sind auch für die Altdaten ausschließlich die "neuen" Vorschriften des § 28 Abs. 3 BDSG zum Umgang mit personenbezogenen Daten zu Werbezwecken anzuwenden. Für personenbezogene Daten, welche nach dem 01.09.2009 erhoben und gespeichert wurden, galten die neuen Regelungen ohnehin schon.

Die neuen restriktiveren Vorschriften, insbesondere die „neuen“ § 28 Abs. 3 (in Verbindung mit § 34 Abs. 1a BDSG), sehen unter anderem vor, dass die sog. „Listendaten“ nur noch in ganz bestimmten Fällen für Werbezwecke für eigene Werbung genutzt werden, z.B. wenn mit den betreffenden Personen eine vertragliche Beziehung besteht (z.B. Bestandskunden) oder die Daten aus öffentlichen Verzeichnissen stammen oder die Daten im Hinblick auf die berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift genutzt werden sollen.

Dies bedeutet natürlich, dass das werbende Unternehmen im Konfliktfalle nachweisen muss, dass die personenbezogenen Daten zu Werbezwecken rechtskonform genutzt wurden - in conreto dass eine der in § 28 Abs. 3 BDSG genannten Ausnahmetatbestände oder eine Einwilligung des Betroffenen vorliegen.

Sollen nun Daten zu Werbezwecke an ein anderes Unternehmen übertragen oder übermittelt werden – dies gilt auch im Unternehmensverbund/Konzern/Gruppe (kein Konzernprivileg im Datenschutzrecht), muss nunmehr ab dem 01.09.2012 auch für Altdaten die Herkunft der Daten und der Empfänger der Daten für die Dauer von 2 Jahren nach der Datenübermittlung gespeichert werden und dem Betroffenen auf Verlangen Auskunft über die Herkunft der Daten und den Empfänger erteilt werden (§ 34 Abs. 1a BDSG).

Dies bedeutet je nach Datennutzung, dass die in den werbenden Unternehmen vorgehaltenen Datenbanken erweitert, vervollständigt oder bzgl. der vorhandenen Altdaten überarbeitet/verifiziert werden sollten.

Werden Daten für Werbung Dritter genutzt, z.B. für ein Unternehmen im Unternehmensverbund, dann muss überdies dem Betroffenen in der Werbung die für die Nutzung verantwortliche Stelle kenntlich gemacht werden.

Im schlimmsten Fall droht hier bei Nichtbeachtung ein Bußgeld gem. § 43 BDSG in Höhe von bis zu 50.000 bzw. 300.000 EUR.

Die Änderungen betreffen auch den § 29 BDSG bei der Geschäftsmäßigen Datenerhabung und -speicherung zum Zweck der Übermittlung, sofern die verarbeiteten Daten für die Werbung vorgesehen ist, da der § 29 Abs. 1 S. 2 BDSG auf den § 28 Abs. 3 BDSG verweist.

Die Frage, wie eine Werbung übermittelt werden darf (Brief, Telefon, Fax, E-Mail, SMS usw), also die Anforderungen des § 7 UWG, bleiben unverändert.

Werbung, das Listenprivileg und der §28 Absatz 3 BDSG

Laut den Regelungen des Bundesdatenschutzgesetzes, ist die Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten unzulässig, es sei denn der Betroffene hat ausdrücklich eingewilligt, oder der §28 regelt eine Ausnahmevorschrift.

Wie verhält es sich nun aber bei Listendaten und was sind Listendaten überhaupt ?

Bei Listendaten handelt es sich gemäß § 28 Abs. 3 Satz 2 BDSG um Daten, die listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe, die sich auf

• die Zugehörigkeit des Betroffenen zu dieser Personengruppe,
• seine Berufs-, Branchen-, oder Geschäftsbezeichnung,
• seinen Namen, Titel, akademischen Grad,
• seine Anschrift und
• sein Geburtsjahr
  
  

beschränken.  Also haben die Betroffenen einer Liste immer ein gemeinsames Merkmal.

Nicht zu diesen Listendaten gehören insbesondere Telefon- und Faxnummern, E-Mail-Adresse und das komplette Geburtsdatum.

Eine Verarbeitung und Nutzung von Listendaten ist laut § 28 Abs. 3 S.2 BDSG für Zwecke des Adresshandels oder für Werbung zulässig, wenn folgende Punkte erfüllt werden:

• Für Zwecke der Werbung für eigene Angebote, sofern die Daten direkt beim Betroffenen erhoben wurden, oder aus allgemein zugänglichen Verzeichnissen stammen
  (Bestandskundenwerbung).

• Für Zwecke der Werbung im Hinblick auf eine  berufliche Tätigkeit des Betroffenen und unter seiner beruflichen Anschrift
  (Business-to-Business Werbung).

• Für Spendenanfragen, sofern die Spende steuerbegünstigt ist
  (Spendenwerbung).

Ist es gestattet den Listendaten weiter Informationen hinzuzufügen ? 

Dies muss eindeutig mit einem jein beantwortet werden.

Die Verantwortliche Stelle kann laut dem § 28 Abs. 3 S. 3 für Zwecke der Eigenwerbung im B2B Bereich zu den Listendaten weitere Daten hinzuspeichern.

Es gilt aber der Grundsatz, dass nur ordnungsgemäß erhobene Daten hinzugespeichert werden dürfen.

Zu den zulässigen Erhebungsquellen zählen allgemein zugängliche Verzeichnisse, wie zum Beispiel Branchenverzeichnisse, Rufnummernverzeichnisse oder Adressverzeichnisse.

Vorsicht ist bei Daten aus dem Internet geboten, denn dieses ist nicht unbedingt eine Quelle im Sinne der Vorschrift.

Bitte beachten Sie, dass die  Verarbeitung und Nutzung auch von Listendaten nur dann zulässig ist, wenn diese dem schutzwürdigen Interesse des Betroffenen nicht entgegenstehen.

Es gilt auch hier der Grundsatz, dass der Betroffene der Nutzung und Speicherung wiedersprechen kann.

Wie bei vielen anderen Dingen gibt es bei der Verarbeitung von Listendaten Risiken, die es zu vermeiden gilt.

Sprechen Sie mit Ihrem Datenschutzbeauftragten.

Wie personenbezogene Daten aus den Melderegistern gemäß Meldegesetz sonst noch zu Werbe- und Adresshandelszwecken genutzt werden können

Über die aktuelle Diskussion zum neuen Gesetz zur Fortentwicklung des Meldewesens (MeldFortG) habe ich ja bereits berichtet, ferner über das Thema wie bereits nach der jetzigen Rechtslage nach dem geltenden Meldegesetzen die über eine einfache Melderegisterauskunft erlangten personenbezogenen Daten zu Zwecken der Werbung und des Adresshandels genutzt werden dürfen.

Heute möchte ich über einen Fall berichten, welcher mir einen Bekannter vor kurzem zugetragen hat: Dieser Bekannter – wohnhaft in der Stadt Ettlingen nahe Karlsruhe – hat mich vor kurzem auf einen Eintrag im Stadtanzeiger von Ettlingen hingewiesen, nach welchem jeder Einwohner der Stadt der Veröffentlichung seiner Daten wie Name und Anschrift aus dem städtischen Melderegister zur Veröffentlichung in ein geplantes Einwohnerbuch der Stadt innerhalb einer bestimmten Zeit wieder sprechen müsse, sofern eine Veröffentlichung der eigenen personenbezogenen Daten in diesem Verzeichnis über alle Einwohner der Stadt nicht gewünscht sei. Dieses Buch oder Verzeichnis soll dann veröffentlicht und im Handel erhältlich sein.

Mein Bekannter war verwundert darüber, dass so etwas datenschutzrechtlich anscheinend möglich ist, insbesondere weil er über diesen Hinweis zum Widerspruch nur durch Zufall gestolpert ist. Seinem Bericht zufolge hat er die ein oder andere Person auf diesen Umstand hingewiesen, welche von einer Widerspruchsmöglichkeit bzw. von dem gesamten Vorgang gar nichts wussten.

Nach einer kurzen Recherche im Meldegesetz Baden-Württemberg war ich selbst etwas überrascht, dass § 34 Abs. 3 des Meldegesetzes Baden-Württemberg es den Meldebehörden erlaubt, Vor- und Familiennamen, Doktorgrad und Anschriften der volljährigen Einwohner in Einwohnerbüchern und ähnlichem Nachschlagewerken sowie elektronischen Adressverzeichnissen zu veröffentlichen und an andere zum Zwecke der Herausgabe solcher Werke zu übermitteln. Allerdings besteht gemäß § 34 Abs. 4 des Meldegesetzes Baden-Württemberg den Betroffenen die Möglichkeit, der Veröffentlichung seiner Daten zu widersprechen. Im Fall der Veröffentlichung in einem Einwohnerbuch und ähnlichem Nachschlagewerken (zum Beispiel elektronischen Adressverzeichnissen) kann der Betroffene auch verlangen, dass die Eintragung seiner Daten nur in gedruckten oder elektronischen Verzeichnissen erfolgt. Auf dieses Widerspruchsrecht hat die Meldebehörde hinzuweisen – und zwar bei der Anmeldung bei der Gemeinde bzw. Stadt sowie spätestens zwei, jedoch nicht früher als vier Monate vor der Veröffentlichung oder Übermittlung. Hierbei hat die Meldebehörde die Möglichkeit, die Widerspruchsfrist auf mindestens einen Monat zu begrenzen.

Ich muss gestehen, dass ich insbesondere deshalb von diesem Umstand etwas überrascht war – genauso wie mein Bekannter –, weil mir dieser Umstand und die Widerspruchsmöglichkeit bisher so nicht bekannt waren. Insbesondere vor dem Hintergrund, dass ich vor ca. drei Jahren in eine andere Stadt/Gemeinde gezogen bin und als in Datenschutzdingen äußerst interessierter Mensch/Rechtsanwalt mit Sicherheit einen solchen Hinweis auf die Befugnis zur Veröffentlichung meiner personenbezogenen Daten bzw. einer Widerspruchsmöglichkeit wahrgenommen hätte.

Wird über diese Art und Weise ein Einwohnerbuch als allgemein zugängliches Verzeichnis geschaffen, dürfen die veröffentlichten Daten der Einwohner selbstverständlich gemäß § 28 Abs. 3 Nr. 1 BDSG von interessierten Unternehmen zum Zwecke des Adresshandels oder der Werbung verarbeitet und genutzt werden.

Eine entsprechende Befugnis der Meldebehörden findet sich in so ziemlich jedem Meldegesetz der Länder. Eine entsprechende Erlaubnis findet sich im übrigen auch in § 50 Abs. 3 des neuen Gesetzes zur Fortentwicklung des Meldewesens (MeldFortG), wonach Adressbuchverlagen zu allen Einwohnern, die das 18. Lebensjahr vollendet haben, Auskunft erteilt werden über deren Familiennamen, Vornamen, Doktorgrad und derzeitige Anschriften. Diese Daten dürfen nach der Gesetzesvorschrift nur für die Herausgabe von Adressbüchern (Adressverzeichnisse in Buchform) verwendet werden. Immerhin – eine Veröffentlichung in elektronischen Verzeichnissen ist nunmehr per Gesetz nicht mehr erlaubt.

Merke daher: Wer durch die aktuelle Diskussion über die Reform der Meldegesetze datenschutzrechtlich sensibilisiert wurde und eine entsprechende Datenübermittlung wie beschrieben nicht wünscht, sollte einer Datenübermittlung zu diesen Zwecken widersprechen. Ein solches Widerspruchsrecht sieht auch das MeldFortG in § 50 Abs. 5 vor.

Datenschutz in Spracherkennungssoftware

Vor kurzem habe ich mit großer Begeisterung meine neue Spracherkennungssoftware von einem großen bekannten Hersteller erhalten.

Nachdem ich zum Trainieren der Texterkennung mehrere Märchen auf mein Diktiergerät gesprochen hatte ("Der Hase und der Igel" von den Gebrüdern Grimm und "das Feuerzeug" von Hans Christian Andersen – und ich mal wieder bemerkt hatte, wie garstig Märchen doch sein können) und die Software eine Analyse meines diktierten Textes vorgenommen hatte, fragte mich die Texterkennungssoftware, ob ich nicht meine gesamten E-Mails und auch meine Texte aus den "Eigenen Dateien" durchsucht und analysiert haben möchte, um sich an meinem Wortschatz zu gewöhnen und gegebenenfalls Namen aus meinem Adressbuch zu übernehmen.

Dies erachtete ich grundsätzlich als eine gute und einleuchtende Idee, allerdings konnte ich mich noch an Berichte über die entsprechende  App für Smartphones desselben Herstellers erinnern, welches auf den Smartphones genau zu diesen Zwecken Adressen und E-Mails durchsuchte und an die Server des Herstellers zur Analyse übermittelte. Aus diesem Grund war ich etwas skeptisch, ob ich diese Analyse auf meinem Rechner durchführen lassen sollte. Glücklicherweise befand sich unter diesen Anfragen mit entsprechenden Checkboxen – immerhin wurde ich hier ja im Gegensatz zu der Anwendung auf den Smartphones vorher gefragt - ein Hinweis auf die entsprechenden Datenschutzrichtlinien des Softwareherstellers.

Diese habe ich auch prompt angeklickt und gesichtet. Eigentlich suchte ich ja nur eine Bestätigung für meine Vermutung, dass die von der Spracherkennungssoftware analysierten Daten lediglich lokal auf meinem Rechner ausgewertet und verarbeitet werden. Denn im Gegensatz zu der Anwendung auf den Smartphones sollte diese Analyse ja auf dem lokalen Rechner möglich sein.

Unter den Datenschutzrichtlinien fand ich allerdings nur Aussagen, dass sich das Unternehmen an die Safe-Habor-Richtlinien halte, dass man meine Daten vertraulich behandele und "alle Produkte und alle Studien, Berichte, Analysen und andere Daten, Informationen und Materialien, die als Ganzes oder teilweise aus Daten gewonnen werden", im alleinigen Besitz des Herstellers verbleiben würden. Beim genaueren Blick auf diese Datenschutzrichtlinien meinte ich zu erkennen, dass sich die angezeigten und aus der Software aufrufbaren Datenschutzrichtlinien offensichtlich nur auf Daten beziehen, welche beim Besuch der Unternehmenswebseite erhobenen und verarbeitet werden – dies lässt ein Hinweis auf die Verwendung von Cookies zu.

Ich denke nicht, dass ich beschreiben muss, dass ein solcher offensichtlich ungeeigneter Verweis auf Datenschutzrichtlinien vor einem konkreten Verarbeitungsvorgang, welche dann den konkreten Verarbeitungsvorgang überhaupt nicht betreffen, mehr als verwirrend und eigentlich eher kontraproduktiv ist. Statt eine Verweisung auf nicht zutreffende Datenschutzhinweise hätte hier letztendlich die Aussage genügt, dass diese höchst privaten Informationen nicht an den Hersteller oder einen Server in den Vereinigten Staaten übermittelt wird, auf den wie allgemein bekannt die Ermittlungsbehörden im Rahmen des Patriot-Acts Zugriff nehmen dürfen (und sogar eine Auskunft des Herstellers über mögliche Einsichtnahmen der Geheimdienste untersagt ist).

Ich habe die angesprochene Analyse dann nach einer "Nacht drüber schlafen und Nachdenken" doch noch durchgeführt, allerdings bezogen nur auf ganz bestimmte nicht ganz so vertrauliche Texte und auch solche Texte, welche weder unter die Schweigepflicht des Rechtsanwalts als auch des Datenschutzbeauftragten fallen.

Sicherheitshalber – man kann ja nicht wissen – habe ich bei der Analyse meinen Rechner vom Internet getrennt…

Auftragsdatenverarbeitung vs. Funktionsübertragung – Teil 4: Konsequenzen für den Datenschutzbeauftragten

Nicht nur für die Verantwortlichkeit und die Haftung – siehe Teil 3 dieser Reihe – ist die Unterscheidung zwischen einer Auftragsdatenverarbeitung und einer Funktionsübertragung immens wichtig, auch wenn die Unterscheidung zwischen einer Auftragsdatenverarbeitung und einer Funktionsübertragung in der Praxis manchmal schwierig sein kann (siehe Teil 1 und Teil 2 der Reihe). Auch für den Datenschutzbeauftragten der beteiligten Unternehmen ist es extrem wichtig zu wissen, von welchem Fall auszugehen ist.

Funktionsübertragung
Bei der Datenübermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG gibt es für den Datenschutzbeauftragten des übermittelnden und des empfangenden Unternehmens keine Besonderheiten: Er nimmt diese Verfahren jeweils in das Verfahrensverzeichnis des jeweiligen Unternehmens auf und prüft beim übermittelten Unternehmen die Befugnisse zur Datenübermittlung (etwa im Rahmen des § 28 Abs. 1 BDSG) bzw. beim empfangenden Unternehmen der Verarbeitung der personenbezogenen Daten.

Auftragsdatenverarbeitung
Bei einer Auftragsdatenverarbeitung sieht die Situation vollkommen anders aus: Da bei der Auftragsdatenverarbeitung der Auftraggeber für den Datenschutz insgesamt voll verantwortlich bleibt, muss auch der Datenschutzbeauftragte des Auftraggebers die Datenverarbeitung beim Auftragnehmer voll überwachen. Zu diesem Zweck hat er das gesamte Verfahren – auch die Verarbeitung beim Auftraggeber – in seinem internen Verfahrensverzeichnis zu führen. Hierzu ist er zum einen auf die Informationen vom Auftragnehmer angewiesen. Zum anderen hat er sich die erforderlichen Erkenntnisse und Einsichten in die Datenverarbeitungen durch den Auftragnehmer durch die von § 11 Abs. 2 Satz 4 BDSG geforderten Kontrollmaßnahmen einzuholen. Gemäß dieser Vorschrift ist der Datenschutzbeauftragte oder eine andere verantwortliche Person auf Seiten des Auftraggebers verpflichtet, sich regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen (nach § 9 BDSG und der Anlage zu § 9 BDSG) zu überzeugen. Gemäß § 11 Abs. 2 Satz 5 BDSG hat der Prüfer das Ergebnis dieser Kontrollen zu dokumentieren.

Der Datenschutzbeauftragte des Auftragnehmers sollte bei Anfragen durch die verantwortliche Person oder den Datenschutzbeauftragten des Auftraggebers Auskunft zu Details des durchgeführten Prozesses erteilen können. Hierfür kann es sinnvoll sein, diesen Prozess oder dieses Verfahren (zumindest abstrakt) in einem Verfahrensverzeichnis aufzunehmen. Insbesondere sollte der Datenschutzbeauftragte des Auftragnehmers die technischen und organisatorischen Maßnahmen gemäß § 9 BDSG und Anlage dokumentieren, um bei der Erfassung eines Vertrags zur Datenverarbeitung gemäß § 11 Abs. 2 BDSG diese Informationen gemäß § 11 Abs. 2 Nr. 3 BDSG beschreiben und aufführen zu können.

Freilich ist es nicht so, dass der Datenschutzbeauftragte des Auftragnehmers dann nichts mehr zu tun hätte, weil die Verantwortung für den von der Datenverarbeitung betroffenen Prozess beim Auftraggeber liegt. § 11 Abs. 4 BDSG weist explizit darauf hin, dass den Auftragnehmer unter anderem die Pflichten aus § 5 BDSG (Datengeheimnis), § 9 BDSG (technische und organisatorische Maßnahmen), § 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1-3 und Abs. 3 BDSG sowie § 44 BDSG als auch die §§ 4f, 4g BDSG (Datenschutzbeauftragter) und § 38 BDSG (Aufsichtsbehörde) treffen.

„Personenbezogene Daten“, wohl die wichtigste Begrifflichkeit im Bundesdatenschutzgesetz.

Immer wieder kommt es bei der Identifizierung dieser Daten zu Fragen und Missverständnissen.

Die Sache wird ein wenig klarer, wenn man nun zwei Begriffe zugrunde legt, nämlich wie schon erwähnt die personenbezogenen Daten und die personenbeziehbaren Daten.

Wie unterscheidet man aber nun beide Begriffe von einander ?

Die Antwort findet man im § 3 (1) Bundesdatenschutzgesetz, dieser sagt folgendes aus:
 

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
 

Wie Sie sehen, gibt es die Differenzierung auch im Gesetzestext, die rechtliche Wertung ist die gleiche.

Schauen wir uns das einmal genauer an:

Aus Daten über bestimmte Personen geht die Identität eindeutig hervor. Man kann also direkt entnehmen wer der Betroffene ist.

Ein Beispiel wäre ein Auszug aus einer Adressliste, in dem der Name des Betroffenen steht.

Aus Daten über eine bestimmbare Person geht zuerst einmal nicht hervor wer der Betroffene ist, es sind jedoch aber Informationen enthalten, die es möglich machen die Person zu identifizieren.

Beispiele wären hier eine Mitgliederliste, auf der nicht die Namen der Mitglieder verzeichnet sind, jedoch aber eine Mitgliedsnummer.

Anhand dieser Mitgliedsnummer, kann der Betroffene wieder bestimmt werden.

Nach Meinung der Datenschutz Aufsichtsbehörden, sind auch dynamische IP Adressen hiervon betroffen, denn zumindest der Provider kann anhand der IP Adresse Rückschlüsse auf den Betroffenen ziehen.

Wenn man die Begriffe nun genauer untersucht, so wird man feststellen, dass der Schutz von Persönlichkeitsrechten bei bestimmbaren Daten höher ist als bei bestimmten Daten.

Den Austausch von Informationen, die direkt auf eine natürliche Person schließen lassen, also zum Beispiel die Verwendung einer Nummer anstatt des Namens, nennt man Pseudonymisierung.

Die Pseudonymisierung von Daten macht in der Praxis durchaus Sinn, man darf hier jedoch aber nicht ausser acht lassen, dass auch bei pseudonymisierten Daten alle Vorschriften aus dem BDSG beachtet werden müssen.

Auch bei der Verarbeitung von pseudonymisierten Daten benötigt die speichernde Stelle eine Gesetzesgrundlage oder eine Einwilligung des Betroffenen.

xDSB berät Sie gerne.

Nutzung von Melderegisterdaten zu Zwecken der Werbung und des Adresshandels

Die Aufregung um das neue Gesetz zur Fortentwicklung des Meldewesens (MeldFortG) zeigt: Es existiert derzeit noch großes datenschutzrechtliches Unwissen zu der Frage, was man mit Datenabfragen aus Melderegistern so alles – zulässigerweise – anfangen kann.

Aber erst einmal der Reihe nach:

Nach der Empörung über die Novelle des MeldFortG meldeten sich zuerst einmal die Verantwortlichen für die kurzfristige Änderung des Entwurfs durch den Innenausschuss zu Wort:

Hans-Peter Uhl (CSU) meinte, das verabschiedete MeldFortG stelle eine "deutliche Verbesserung der gegenwärtigen Datenschutzregelung im Meldegesetz dar", während Herr Bosbach (CDU) sich wunderte, warum „man die Verbesserung der Datenschutzlage durch das verabschiedete Gesetz als Verschlechterung verkaufe“. Und auch Frau Gisela Piltz (FDP) findet das Gesetz gut, weil es den Datenschutz stärke – siehe Beitrag bei Spiegel Online.

Naja – den Verantwortlichen dürfte selbst klar sein, dass sich die Empörung der Massen zum einen an der kurzfristigen Abänderung des ursprünglichen Einwilligungsmodells in die Widerspruchslösung entzündete und zudem an der Art und Weise, wie das Gesetz im Bundestag beschlossen wurde.

Ich habe mich nach diesen oben genannten Statements dann aber gefragt: Kann ich nach der jetzigen Rechtslage – also den jeweiligen Meldegesetzen der Länder – Daten über gemeldete Einwohner (und gegebenenfalls Kinder) einfach so anfragen und damit „tun und lassen, was ich will“?

Ich habe mir dazu mal die Regelungen von drei Landesgesetzen (willkürlich) herausgepickt und untersucht:

Meldegesetz Baden-Württemberg:

§ 2 Zulässigkeit der Datenverarbeitung im Meldewesen
(1) Die Meldebehörden dürfen Daten, die im Melderegister gespeichert werden, nur verarbeiten, wenn
1. dieses Gesetz oder eine andere Rechtsvorschrift es erlaubt oder
2. der Betroffene eingewilligt hat.
Satz 1 gilt für die in § 5 Abs. 2 genannten Daten entsprechend.
(2) Soweit dieses Gesetz keine oder keine abschließende Regelung trifft, gilt hinsichtlich der Verarbeitung personenbezogener Daten das Landesdatenschutzgesetz .

§ 32 Melderegisterauskunft
(1) Personen, die nicht Betroffene sind, und anderen als den in § 29 Abs. 1 bezeichneten Stellen darf die Meldebehörde nur Auskunft über
1.  Familiennamen,
2.  Vornamen,
3.  Doktorgrad und
4.  Anschriften
einzelner bestimmter Einwohner erteilen (einfache Melderegisterauskunft). Dies gilt auch, wenn jemand Auskunft über Daten einer Vielzahl namentlich bezeichneter Einwohner begehrt.

Meldegesetz Nordrhein-Westfalen

§ 34 Melderegisterauskunft
(1) Personen, die nicht Betroffene sind, und anderen als den in § 31 Abs. 1 bezeichneten Stellen darf die Meldebehörde nur Auskunft über
1. Vor- und Familiennamen,
2. Doktorgrad und
3. Anschriften
einzelner bestimmter Einwohner erteilen (einfache Melderegisterauskunft). Dies gilt auch, wenn jemand Auskünfte über Daten einer Vielzahl namentlich bezeichneter Einwohner begehrt.

Meldegesetz Sachsen

§ 33 Melderegisterauskunft
(1) Personen, die nicht Betroffene sind, und anderen als den in § 29 Abs. 1 bezeichneten Stellen darf die Meldebehörde aus dem Melderegister nur Auskunft über
1. Vor- und Familiennamen,
2. Doktorgrad und
3. Anschriften
einzelner bestimmter Einwohner geben (einfache Melderegisterauskunft). Dies gilt auch, wenn jemand Auskunft über Daten einer Vielzahl namentlich bezeichneter Einwohner begehrt.

Wie § 2 des Meldegesetzes BW festschreibt, dürfen ohne Einwilligung des Betroffenen Daten nur verarbeitet werden, wenn es das Meldegesetz oder eine andere Rechtsvorschrift erlaubt – die übrigen untersuchten Meldegesetze regeln es ähnlich. Dies entspricht dem Grundsatz des Verbots mit Erlaubnisvorbehalts (vgl. auch § 4 Abs. 1 BDSG).

Wenn wir uns nun fragen, ob eine Datenübermittlung (dies ist eine Datenverarbeitung i.S.d. § 3 Abs. 4 S. 1 BDSG) an Dritte – also etwa an einen Adressverlag oder etwa an mich – der Meldebehörde erlaubt ist, müssen wir daher die entsprechende Erlaubnis in den Meldegesetzen suchen.

Diese findet man in den oben wiedergegebenen Normen, welche die sog. einfache Melderegisterauskunft regeln (also etwas § 32 Abs. 1 MeldeG BW, § 34 Abs. 1 MeldeG NRW oder § 33 MeldeG Sa).

Interessanterweise findet man bei der Befugnis zur Datenübermittlung keinen Hinweis auf einen Verwendungszweck des Daten-Erfragenden. Die Meldebehörde muss bei der einfachen Melderegisterauskunft – welche Vor- und Familiennamen, Doktorgrad und die Anschrift umfasst – in keinem Fall nachfragen oder prüfen, für welche Zwecke der Datenempfänger die Daten nutzen möchte. Man kann also daraus schließen, dass die Meldebehörde im Normalfall bei jeglicher Anfrage diese Daten übermittelt. Kostenpunkt je Adressensatz: Ca. 5-10 EUR (abhängig von Stadt oder Gemeinde).

Darüber hinaus kann man eine sog. erweiterte Melderegisterauskunft verlangen, sofern man ein berechtigtes Interesse geltend macht (etwa einen Schuldtitel angibt). Diese erweiterte Meldeauskunft beinhaltet neben den oben genannten Daten noch (nach Meldegesetz BW): Den früheren Vor- und Familiennamen, den Tag und Ort der Geburt, den gesetzlichen Vertreter, die Staatsangehörigkeiten, die früheren Anschriften, den Tag des Ein- und Auszugs, den Familienstand (beschränkt auf die Angabe, ob verheiratet oder eine Lebenspartnerschaft führend oder nicht), den Vor- und Familiennamen sowie Anschrift des Ehegatten oder Lebenspartners und Sterbetag und -ort. Kostenpunkt: Je nach Stadt oder Gemeinde zwischen 10 bis 20 EUR.

Es ist also in der Tat zutreffend, dass mit der jetzigen Rechtslage ohne weiteres im Wege einer einfachen Melderegisterauskunft auch Daten zum Zwecke des Adresshandels erworben werden dürfen, ohne dass der Betroffene über diesen Umstand informiert wird oder einwilligen muss bzw. widersprechen kann.

(Exkurs: Anders bei der erweiterten Meldeauskunft: Hier hat die Meldebehörde den Betroffenen über die Erteilung einer erweiterten Melderegisterauskunft unter Angabe des Datenempfängers unverzüglich zu unterrichten. Ausnahme: Wenn der Datenempfänger ein rechtliches Interesse, insbesondere zur Geltendmachung von Rechtsansprüchen, glaubhaft gemacht hat.)

Nächster Schritt:
Darf ich nun als Daten-Erfragender mit den im Wege der einfachen Melderegisterauskunft erlangten Daten einfach „tun und lassen, was ich will“ – wie ich es oben etwas flapsig formuliert habe?
Nein, natürlich nicht. Hier muss ich dann – wenn ich eine nicht-öffentliche Stelle im Sinne des Bundesdatenschutzgesetzes (BDSG) bin, gem. § 28 BDSG oder § 29 BDSG prüfen, unter welchen Bedingungen ich die Daten nutzen oder verarbeiten darf.

Das gilt natürlich auch, wenn ich Daten zum Zwecke des Adresshandels verarbeiten oder übermitteln möchte. Hier gilt dann die Vorschrift des § 29 BDSG. Und diese erlaubt zum einen gem. § 29 Abs. 1 Nr. 2 BDSG, dass ich die Daten zum Zweck einer Übermittlung (=Adresshandel) dann „geschäftsmäßig erheben, speichern, verändern oder nutzen“ darf, wenn „die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt“. Hierbei ist anerkannt, dass die durch die einfache Melderegisterauskunft erlangten Daten aus einer allgemein zugänglichen Quelle stammen (Ehmann, in Simitis, BDSG, § 29 Rn. 192) – im Gegensatz zu solchen Daten aus einer erweiterten Melderegisterauskunft.
Wegen der Verweisung in § 29 Abs. 1 S. 2 BDSG ist darüber hinaus aber auch der § 28 Abs. 3 BDSG zu beachten, welcher eine Datenverarbeitung für Werbezwecke oder den Adresshandel gem. § 28 Abs. 3 S. 2 Nr. 1 BDSG auch bei einer Datenherkunft aus „allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen“ erlaubt.
Mithin ist nach derzeitiger Rechtlage eine Verwendung personenbezogener Daten aus einfachen Melderegisterauskünften für die Zwecke der Werbung oder des Adresshandels durchaus erlaubt auch ohne Information, Einwilligung oder Widerspruchsmöglichkeit des Betroffenen.

Hiervon unberührt bleibt natürlich die jederzeitige Möglichkeit des Betroffenen zum Widerspruch der Nutzung der Daten zu Werbezwecken gem. § 28 Abs. 4 BDSG. Diese Widerspruchsmöglichkeit besteht aber gegenüber demjenigen, welcher die Daten für Werbezwecke nutzt und verarbeitet und greift erst nach der Datenherausgabe durch die Meldebehörde.


Natürlich ist es zutreffend, dass die Einholung von personenbezogenen Daten auf diesem Wege recht teuer ist. Allerdings ist zu berücksichtigen, dass aufgrund der Verschärfung der Vorschriften des § 28 Abs. 3 BDSG der Aufwand für einen zu Werbezwecken verwertbaren Datensatz ohnehin wesentlich gestiegen sein dürften und zum anderen die von den Einwohnermeldeämtern eingeholten Daten sicherlich zu den qualitativ hochwertigsten und verifiziertesten Daten gehören dürften. Das dürfte bei einem Verkauf oder einer Vermietung dieser Daten sicherlich nicht unbeachtlich bleiben.
Insoweit bringen die Änderungen durch das neue Gesetz zur Fortentwicklung des Meldewesens (MeldFortG) – egal ob Einwilligungs- oder Widerspruchslösung – in der Tat ein „Mehr an Datenschutz“.

Datenschutzrechtliche Zulässigkeit der GPS-Ortung von Kraftfahrzeugen

Die Europcar Autovermietung GmbH hat einen Teil ihrer Flotte ohne Wissen der Mieter per GPS orten lassen. Der Hamburgische Beauftragte für Datenschutzschutz und Informationsfreiheit hat diese unzulässige Erhebung personenbezogener Daten mit einem Bußgeld in Höhe von 54.000 Euro geahndet.

Durch eine Beschwerde wurde der Aufsichtsbehörde bekannt, dass die Firma Europcar in 1.300 hochwertigen Fahrzeugen ihrer Flotte Ortungssysteme eingebaut hatte und damit die Mieter ohne deren Wissen ortete. Nach Angaben von Europcar diente die Übermittlung der Ortungsdaten dazu, Diebstähle aufzuklären. Außerdem sollte kontrolliert werden, ob sich der Mieter noch im zulässigen Gebiet befindet, da die Benutzung der Fahrzeuge in verschiedenen Ländern vertraglich ausgeschlossen ist. Neben dem Standort wurden Datum, Zeit und auch die Geschwindigkeit der Fahrzeuge erhoben.

Bei weiteren Vor-Ort-Ermittlungen hat die Aufsichtsbehörde festgestellt, dass die Angaben von Europcar unvollständig waren. Eine Kontrolle bei einer Firma in Schleswig-Holstein, die im Auftrag von Europcar seit 2004 die Fahrzeugortung vornimmt, hat ergeben, dass auch ohne Anlass zusätzlich alle 48 Stunden eine Ortung der Fahrzeuge vorgenommen wurde. Außerdem erfolgte eine automatische Übermittlung der Daten auch, sobald mit dem Fahrzeug in ein Hafengebiet gefahren wurde.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Grundsätzlich ist die Motivation von Europcar nachvollziehbar. Die heimliche Ortung von Mietfahrzeugen und die heimliche Kontrolle der Mieter stellen jedoch einen schweren Eingriff  in deren Persönlichkeitsrecht dar. Der Autovermieter hat es dadurch in der Hand, Bewegungsprofile seiner Kunden zu erstellen. Mit Hilfe der Ortungstechnik lässt sich nicht nur rekonstruieren, wer sich wann wo aufgehalten hat, sondern auch, wer zu welchem Zeitpunkt mit welcher Geschwindigkeit gefahren ist. Insbesondere durch die anlasslose Ortung werden die Mieter regelmäßig unter einen Generalverdacht gestellt.“

Da die Übermittlung der Ortungsdaten ohne Wissen und ohne Einwilligung der Mieter erfolgte, war sie ordnungswidrig. Daneben gab es zwischen der Europcar GmbH und der ausführenden Firma keinen Vertrag zur Auftragsdatenverarbeitung nach dem Bundesdatenschutzgesetz.  Die Höhe des Bußgeldes wurde zudem maßgeblich davon beeinflusst, dass die Europcar GmbH dem Datenschutzbeauftragten anfänglich keine vollständigen Auskünfte erteilt und trotz Aufforderung das unzulässige Verhalten zunächst nicht beendet hatte.

Mittlerweile hat Europcar die regelmäßige Ortung alle 48 Stunden ganz abgestellt. Über die Übermittlung der Ortungsdaten in den anderen Fällen werden Mieter jetzt im Vorwege informiert und müssen ihr im Rahmen des Mietvertrags zustimmen. Dadurch wird gewährleistet, dass keine heimlichen Überwachungen mehr stattfinden.

„Der Einsatz von Ortungssystemen bei Mietfahrzeugen setzt zumindest eine vollständige Information über Art und Weise der Ortung sowie die ausdrückliche Einwilligung der Betroffenen in das Tracking voraus. Jeder Mieter muss das Recht haben, selbst darüber zu entscheiden, ob er Fahrzeuge anmieten will, deren Nutzung beim Vermieter oder dessen Vertragspartnern unmittelbar eine individuelle digitale Nutzungsspur hinterlässt. Diese Vorgaben werden nun von Europcar erfüllt“, so Caspar abschließend.

Quelle: Pressemitteilung des Hamburgischen Datenschutzbeauftragten

Anmerkung von uns hierzu: Auch die in der Praxis oftmals anzufindende Ausstattung der Firmenwagen mit GPS-Trackern und eine entsprechende Verfolgung der Dienstfahrten von Mitarbeitern ist datenschutzrechtlich keinesfalls unproblematisch. Bei der Umsetzung dieser Maßnahme müssen natürlich datenschutzrechtliche Maßgaben beachtet werden. Ferner bedarf die Einführung einer solchen Maßnahme einer datenschutzrechtlichen Vorabkontrolle gem. § 4d Abs. 5 BDSG durch den Datenschutzbeauftragten des Unternehmens.

Meldegesetz(e) und Datenschutz – opt-in, opt-out, Einwilligung und Widerspruch

Wer hätte es gedacht – ganz unerwartet ist Datenschutz das Sommer-Top-Thema Nr. 1. Wer weiß – hätte die deutsche Nationalmannschaft die EM gewonnen, würde man jetzt wohl über andere Themen reden? Naja, man kann zumindest sagen, dass wenn sie es nicht ins Halbfinale geschafft hätte, dann würde es vielleicht jetzt die derzeitige Diskussion über das neue Gesetz zur Fortentwicklung des Meldewesens (MeldFortG) nicht geben. Das legt zumindest ein Artikel von Spiegel Online nahe, nach dem zum Zeitpunkt der Verabschiedung des Gesetzes im Bundestag das EM Habfinalspiel Deutschland – Italien lief und die zweite und dritte Lesung inklusive Abstimmungen innerhalb 57 Sekunden durch einen sehr überschaubar besetzten Bundestag durchgeführt wurde.

Über das Thema der einfachen Melderegisterauskunft gem. § 44 MeldFortG wurde ja inzwischen bereits genügend berichtet, siehe alleine hier.

Im Gegensatz zu der politischen Diskussion möchte ich hier aber kurz darstellen, worum es hierbei rechtlich geht:

Zur Klarstellung wird der streitbare Absatz von § 44 Abs. 4 MeldFortG wiedergegeben, welcher sehr kurzfristig nach Empfehlung des Innenausschusses (BT-Drs. 17/10158) eingefügt wurde:

„(4) Es ist verboten, Daten aus einer Melderegisterauskunft zu Zwecken der Werbung oder des Adresshandels zu verwenden,
1. ohne dass ein solcher Zweck gemäß Absatz 1 Satz 2 bei der Anfrage angegeben wurde, oder 
2. wenn die betroffene Person gegen die Übermittlung für jeweils diesen Zweck Widerspruch eingelegt hat. Dies gilt nicht, wenn die Daten ausschließlich zur Bestätigung oder Berichtigung bereits vorhandener Daten verwendet werden.“

Dies bedeutet im Unterschied zur ursprünglich geplanten Fassung,

„(3) Die Erteilung einer einfachen Melderegisterauskunft ist nur zulässig, wenn
1. die Identität der Person, über die eine Auskunft begehrt wird, auf Grund der in der Anfrage mitgeteilten Angaben über den Familiennamen, den früheren Namen, die Vornamen, das Geburtsdatum, das Geschlecht oder eine Anschrift eindeutig festgestellt werden kann, und
2. die Auskunft verlangende Person oder Stelle erklärt, die Daten nicht zu verwenden für Zwecke
a) der Werbung oder
b) des Adresshandels,
es sei denn die betroffene Person hat in die Übermittlung für jeweils diesen Zweck eingewilligt.“

welche also noch eine „Einwilligungs-Lösung“ vorsah, dass zum einen der Betroffene nunmehr der Datenverwendung widersprechen müsse („Widerspruchs-Lösung“). Dies bedeutet, dass die Daten grundsätzlich übermittelt (§ 3 Abs. 4 Nr. 3 BDSG) werden dürfen, sofern kein Widerspruch des Betroffenen vorliegt oder zumindest so lange verarbeitet oder übermittelt werden dürfen, bis vom Betroffenen Widerspruch erhoben wird. Aber auch ein vorliegender Widerspruch soll unbeachtlich sein, sofern die Daten „ausschließlich zur Bestätigung oder Berichtigung bereits vorhandener Daten verwendet werden“.

Genau an diesem Punkt entzündet sich der Streit: Wenn der vermeintliche Datenerwerber darlegen kann, dass er Daten über eine bestimmte Person bereits in seiner Datei führt – auch wenn diese Daten bereits veraltet sind – kann er den aktuellen Datensatz der Meldeämter für die Verwendung zu Werbezwecken oder zum Adresshandel erwerben – ohne dass der Betroffene dies verhindern kann.

Das ist sicherlich gut für Adresshändler und die Werbewirtschaft (und die GEZ?), immerhin macht es dies nun möglich, den eigenen Datenbestand zu aktualisieren. Ferner muss man zugeben, dass wohl kaum ein Bürger bei der ursprünglich geplanten „Einwilligungs-Lösung“ seine Einwilligung dahingehend erteilt, dass seine Daten zu Zwecken des Adresshandels und zu Werbezwecken übermittelt werden dürfen. Zur Klarstellung nochmals: „Einwilligung bedeutet, dass Daten erst dann verarbeitet oder übermittelt werden dürfen, wenn eine ausdrückliche Einwilligung des Betroffenen vorliegt. Liegt keine Erklärung vor, dürfen die Daten nicht verarbeitet oder übermittelt werden.

Hierzu noch eine kleine Lehre aus dem Payback-Urteil des Bundesgerichtshofs (BGH): Die Nutzung der Begriffe „opt-in“ und „opt-out“ sind in diesem Zusammenhang etwas irreführend – eine Einwilligung kann sowohl also „opt-in“ als auch „opt-out“ erklärt werden und zwar dergestalt, dass ein „opt-in“ ein aktives Ankreuzen/Kennzeichnen des Betroffenen verlangt ([ ] hier ankreuzen), während eine Einwilligung per „opt-out“ ([ ] hier ankreuzen, falls die Einwilligung nicht erteilt wird) in einem Vertrag oder einem Meldeantrag ein NICHT-Ankreuzen/Kennzeichnen erfordert. Gleichwohl ist aber beides – opt-in als auch opt-out – eine Einwilligung im rechtlichen Sinne – also auch durchaus eine Option für die alte Regelung im MeldFortG.

Die (im Moment geplante) Lösung ist andererseits natürlich ungünstig für die Bürger, die auf die Vertraulichkeit Ihrer Daten Wert legen (z.B. Ihren Namen und Ihre Anschrift erfolgreich aus sämtlichen Telefonbüchern und dem Internet getilgt haben). Zwar besteht die Möglichkeit, unmittelbar einer Datenweitergabe zu Werbe- oder Adresshandelszwecken zu widersprechen. Dies ist aber zum einen natürlich etwas mühsamer und aufwendiger und ein Betroffener muss von diesen seinen Rechten erst einmal Kenntnis haben (Beispiel folgt in anderem Beitrag). Selbst ein vorhandener Widerspruch bleibt aber unbeachtlich, wenn der Datenanfragende darlegt, dass er den Betroffenen – ob korrekt oder als veralteten Datensatz – bereits in der Datenbank vorhält. Mit ziemlicher Sicherheit ist aber wohl jede Person in irgendeiner Art und Weise in einer Datenbank erfasst.

Warum? – und was die Meldegesetze sonst noch datenschutzrechtlich zulassen, erläutere ich in einem anderen Beitrag.

Auftragsdatenverarbeitung vs. Funktionsübertragung - Teil 3: Verantwortlichkeit und Haftung

Was Auftragsdatenverarbeitung und eine Funktionsübertragung im Datenschutzrecht sind und wie man diese unterscheidet habe ich bereits erläutert.

In diesem Beitrag möchte ich darstellen, warum die Unterscheidung für die Praxis so wichtig ist. Eine ganz wesentliche Auswirkung hat das Ganze nämlich auf die Verantwortlichkeit für den Datenschutz und damit auch die datenschutzrechtliche Haftung.

Verantwortlichkeit bei der Funktionsübertragung
Bei der Funktionsübertragung, welcher ja eine Datenübermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG zugrunde liegt, liegen die Verantwortungssphären letztendlich genauso wie bei jeder Übermittlung personenbezogener Daten von einem Unternehmen an ein anderes: Das übermittelnde Unternehmen muss zuerst prüfen, ob eine Datenübermittlung als datenschutzrechtlich relevanter Verarbeitungsvorgang erlaubt ist, z.B. durch § 28 Abs. 1 BDSG oder § 28 Abs. 2 BDSG oder weil eine Einwilligung des Betroffenen nach § 4a BDSG vorliegt.
Ist die Datenübermittlung rechtmäßig, endet mit der vollzogenen Übermittlung die Verantwortung des übermittelnden Unternehmens (also bei der Funktionsübertragung quasi des Auftraggebers). Kommt es mithin beim datenempfangenden Unternehmen (quasi dem Auftragnehmer) zu einer Datenschutzverletzung, so ist hier alleine der Auftragnehmer verantwortlich und nicht etwa der Auftraggeber – auch wenn die Daten ursprünglich von diesem stammen.

Verantwortlichkeit bei der Auftragsdatenverarbeitung
Wie ich in dem ersten Teil der Reihe bereits erläutert habe, liegt bei der Auftragsdatenverarbeitung keine Datenübermittlung gem. § 3 Abs. 4 Nr. 3 BDSG zwischen zwei Unternehmen vor. Die Übertragung der Daten ist weitgehend vergleichbar mit dem Sachverhalt entsprechend Szenario 1, in welchem die personenbezogenen Daten von einer Abteilung einer verarbeitenden Stelle an eine andere Abteilung in demselben Unternehmen übermittelt wird. Dies macht § 11 Abs. 1 BDSG deutlich, wonach der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich – obwohl die Daten ja eigentlich vom Auftragnehmer verarbeitet werden. § 11 Abs. 3 BDSG unterstreicht dies nochmals, indem der Gesetzgeber hier deutlich macht, dass der Auftragnehmer die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen dürfe und selbst wenn er der Ansicht sei, dass dies gegen datenschutzrechtliche Bestimmungen verstoße, er den Auftraggeber unverzüglich darauf hinzuweisen habe. „Nur“ hinzuweisen habe – mag man da anfügen. Denn der Auftragnehmer ist ja im Rahmen der Vereinbarung mit dem Auftraggeber vertraglich zur Durchführung der Weisungen des Auftraggebers verpflichtet.
Im Ergebnis bedeutet dies, dass in diesem Fall der Auftragsdatenverarbeitung anders wie bei der Funktionsübertragung der Auftraggeber für die Datenverarbeitung beim Auftragnehmer die volle datenschutzrechtliche Verantwortung trägt. Kommt es zu einer „Datenpanne“ beim Auftragnehmer, haftet hier also grundsätzlich der Auftraggeber.

Das mag auf den ersten Blick etwas „unfair“ klingen, ist aber auf den zweiten Blick nur konsequent. Denn bei der Auftragsdatenverarbeitung ist der Auftragnehmer ja ganz streng an die Weisungen des Auftraggebers gebunden, dem Auftragnehmer verbleibt wie in Teil 2 der Reihe dargestellt ja überhaupt kein Entscheidungsspielraum in der Frage, was er zu tun habe. Verstoßen die vom Auftraggeber vorgegebenen Weisungen daher gegen das Datenschutzrecht, hat der Auftraggeber diesen durch den Auftragnehmer als „ausführendes Werkzeug“ begangenen Verstoß auch in der Regel zu vertreten.

Gleichwohl ist zu beachten, dass der Auftragnehmer nicht ganz pflichtenlos ist: Gem. § 11 Abs. 4 BDSG treffen diesen insbesondere die technischen und organisatorischen Datenschutzpflichten aus § 9 BDSG und Anlage (z.B. bei einem Rechenzentrum als Auftragnehmer die klassischen IT-Sicherheitspflichten wie Schutz gegen Naturgewalten oder unbefugten Datenzugang und –zugriff), die Verpflichtung der Mitarbeiter auf das Datengeheimnis, gewisse Informationspflichten usw.

Konsequenz
Vor diesem Hintergrund ist einem Auftraggeber daher dringend zu raten, sorgsam zu prüfen, ob in jedem Einzelfall eine Auftragsdatenverarbeitung vorliegt oder doch „nur“ (aus haftungsrechtlicher Sicht) eine Funktionsübertragung. Kommt der Auftraggeber zu dem Schluss, dass eine Auftragsdatenverarbeitung gem. § 11 BDSG vorliegt, sollte dieser die Weisungen an und Aufgaben des Auftragnehmers sauber und präzise in einer Vereinbarung zur Auftragsdatenverarbeitung definieren, in welcher im übrigen mindestens auch sämtliche Punkte des Katalogs aus § 11 Abs. 2 BDSG geregelt sein müssen. Wegen der immensen datenschutzrechtlichen Verantwortung sollte der Auftraggeber ferner die vom Gesetz geforderte Überwachungs- und Kontrollpflicht gegenüber dem Auftragnehmer sehr ernst nehmen.

Bestehen auf Seiten des Auftraggebers bei einer Auftragsdatenverarbeitung Unsicherheit dahingehend, was der Auftragnehmer jetzt genau tut oder hat der Auftraggeber das Gefühl, die vom Auftragnehmer durchgeführten Aufgaben nicht „durchschauen“ zu können, so sollte der Auftraggeber von seinem Informationsrecht Gebrauch machen bzw. seiner Kontrollpflicht nachkommen – und sich insbesondere fragen, ob in einem solchen Fall nicht doch eine nicht erkannte Funktionsübertragung vorliegt…