Kategorie-Archiv: Aufsichtsbehörde

Kritik der Bundesbeauftragten für den Datenschutz und die Informationfreiheit an DSAnpUG-EU

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) fordert, dass das Datenschutz -Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU dringend nachgebessert werden muss. Die BfDI moniert, dass die vom Bundesverfassungsgericht eingeforderten Kontrollbefugnisse der BfDI im Bereich Polizei und Justiz und außerhalb des Geltungsbereichs des EU-Rechts in dem vorliegenden Gesetzesentwurf deutlich beschränkt wurden. Sie hält eine unabhängige Kontrolle für heimliche Datenerhebungen für zwingend notwendig. Die BfDI erhalte hier keinerlei Durchsetzungsbefugnisse, möglich sind nur nicht-bindende Beanstandungen. Aus ihrer Sicht ist dies europarechtswidrig und auch in der Sache falsch.

EuGH: Safe-Harbor-Entscheidung mit den USA ungültig

Der EuGH folgte in der Sache C-362/14 (M. Schrems v. Data Protection Commissioner [Facebook] – Volltext) in seiner Entscheidung vom 6.10.2015 den Schlussanträgen (siehe Beitrag auf dieser Website) des Generalanwalts Bot. Demnach ist die Übermittlung von personenbezogenen Daten von Nutzern in Europa in die USA nicht schon auf Grundlage der sog. Safe-Harbor-Entscheidung (2000/520/EG v. 26.7.2000) durch ein „angemessenes Schutzniveau“ geschützt. Die Safe-Harbor-Entscheidung der EU-Kommission ist vielmehr ungültig, und die Datenschutzbehörden der befassten Mitgliedsstaaten sind befugt eigenständig zu prüfen, inwiefern für die USA ein sog. „angemessenes Schutzniveau“ besteht.

Inhalt des Urteils

Die Richtlinie 95/46/EG (Richtlinie des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281, S. 31 ff) regelt, dass eine Übermittlung von personenbezogenen Daten in ein sog. Drittland (ein Staat außerhalb von EU/EWR) nur zulässig ist, wenn dieses Drittland ein „angemessenes“ Schutzniveau der Daten gewährleistet. Nach der Richtlinie ist die Kommission legitimiert zu bestimmen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, etwa aufgrund des innerstaatlichen Rechts oder internationaler Verpflichtungen. Letztere ist die sog. Safe-Harbor-Entscheidung (näher: Beitrag auf dieser Website).

Der EuGH führt in dem Urteil vom 6.10.2015 aus, dass eine Aufsichtsbehörde aufgrund der Vermutung der Rechtmäßigkeit von Rechtsakten solange keine zuwiderlaufende Maßnahme gegen die Safe-Harbor-Entscheidung treffen könne, wie die Entscheidung der Kommission vom Gerichtshof nicht für ungültig erklärt werde. Aus diesem Grunde „ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese […] um eine Vorabentscheidung über deren Gültigkeit ersuchen.“ Denn der Aufsichtsbehörde müsse – trotz einer Entscheidung der Kommission – die Möglichkeit bleiben, in völliger Unabhängigkeit prüfen zu können, ob bei der Übermittlung von Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Daher könne eine Entscheidung der Kommission (hier: Safe-Harbor-Entscheidung), die Aufsichtsbehörde nicht an der Kontrolle der Übermittlung personenbezogener Daten in Drittländer hindern.

Sodann prüft der EuGH die Gültigkeit der Safe-Harbor-Entscheidung und erklärt diese für ungültig. Er beanstandet u.a., dass die Safe-Harbor-Entscheidung nur für Unternehmen mit Sitz in den USA gelte, nicht aber für die Behörden innerhalb der USA. Darüber hinaus werde den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Vorrang vor den Grundsätzen der Safe-Harbor-Entscheidung eingeräumt, weshalb die Unternehmen in den USA „ohne jede Einschränkung verpflichtet [sind], die Grundsätze […] unangewandt zu lassen“, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Dadurch werde ein Eingriff der US Behörden in die Grundrechte der Personen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden, ermöglicht. Hinzu komme das fehlende Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe, wie der Generalanwalt in seinen Schlussanträgen ausgeführt habe.

Schließlich fehle die Möglichkeit des Betroffenen mittels gerichtlichen Rechtsbehelfen den Zugang zu den ihn betreffenden Daten zu erhalten und ggf. deren Berichtigung oder Löschung zu erwirken, was den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletze.
Die Entscheidung trifft die Meinung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 18./19.3.2015, die gemäß ihrer Entschließung ebenfalls auf dem Standpunkt steht, dass Safe-Harbor kein angemessenes Schutzniveau gewährleistet.

Folgen des Urteils

Die irische Datenschutzbehörde muss nun die Beschwerde von Herrn Schrems prüfen, was sie im Prüfungsverfahren abgelehnt hatte. Stellt sie fest, dass die USA kein angemessenes Schutzniveau im Sinne der Richtlinie aufweist, hat sie die Übermittlung der personenbezogenen Daten der europäischen Nutzer des Social-Media-Anbieters Facebook in die USA auszusetzen. Denkbar ist aber auch, dass die irische Datenschutzbehörde ein angemessenes Schutzniveau feststellt, was Herrn Schrems wahrscheinlich dazu bewegen wird, das Verfahren weiter zu betreiben und erneut den High Court anzurufen, sofern eine beschwerdefähige Entscheidung ergeht.

Aus alledem folgt, dass nationale Aufsichtsbehörden innerhalb der EU die Übermittlung europäischer Daten auf US-Server verbieten können. Das Urteil wirkt sich nicht nur auf personenbezogene Daten der Facebook-Nutzer aus, sondern betrifft sämtliche der mehr als 4.000 Unternehmen mit Sitz in den USA, die sich dem Safe-Harbor-Abkommen im Wege einer Selbstzertifizierung unterworfen haben. Dies führt dazu, dass sie eine neue rechtliche Grundlage benötigen oder ein neues Abkommen zwischen der EU und den USA geschaffen werden muss, sofern nicht im Einzelfall unter Nutzung der EU Model Contracts vorgegangen wird. Die einzuhaltenden Grundsätze hat der EuGH in seinem Urteil skizziert. Das Urteil trifft vor allem kleinere Unternehmen, die sich bislang auf die Safe-Harbor-Entscheidung verlassen haben. Unternehmen müssen nun die Zulässigkeit der Datenübermittlung prüfen und auf andere Weise sicherstellen.

 

Generalanwalt EuGH: Safe-Harbor steht nicht über der Entscheidungsbefugnis nationaler Aufsichtsbehörden

In seinem Schlussantrag in der Sache C-362/14 (M. Schrems v. Data Protection Commissioner [Facebook], veröffentlicht am 23.09.2015 – Volltext) äußert der Generalanwalt am EuGH, Yves Bot, die Auffassung, dass die sog. Safe-Harbor-Entscheidung der EU-Kommission (2000/520/EG, ABl. L 215/7 v. 25.8.2000 – Volltext) nicht dem Vorhaben der irischen Aufsichtsbehörde entgegenstehe, die Übermittlung von Daten europäischer Facebook-Nutzer an Server in den Vereinigten Staaten verbieten zu können.

Hintergrund

Facebook als amerikanischer Social-Media-Anbieter unterhält in Irland eine Tochtergesellschaft und übermittelt von dort die Daten der Nutzer mit Wohnsitz in der EU an in den USA belegene Server. Die Richtlinie (95/46/EG – Volltext) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr erlaubt die Übermittlung von personenbezogenen Daten in ein Drittland (also Länder außerhalb der EU/EWR) nur dann, wenn dieses ein angemessenes Schutzniveau gewährleistet. Drittstaaten mit angemessenem Schutzniveau können entweder als solche festgestellt werden oder auf vertraglicher Grundlage als solche gelten. Hierauf bezog sich, soweit die USA betroffen waren, die o. a. Safe-Harbor-Entscheidung der Europäischen Kommission. Unternehmen in den USA, die der Zuständigkeit der Federal Trade Commission unterliegen, können in dem Safe-Harbor-Verfahren eine Selbstverpflichtung zur Einhaltung der in dem Abkommen niedergelegten Grundsätze erklären. Diesen Grundsätzen hatte sich das Unternehmen Facebook unterworfen, sodass der Datenaustausch nach Auffassung der zuständigen irischen Aufsichtsbehörde nicht zu beanstanden sei.

Im Zusammenhang mit dem Vorgehen des Österreichers Maximilian Schrems gegen Facebook legte der irische High-Court dem EuGH im Wege des Vorabentscheidungsersuchens die Frage vor, ob das Safe-Harbor-Verfahren eine nationale Aufsichtsbehörde daran hindere, eine Beschwerde zu untersuchen, die darauf abzielt, dass das Drittland kein angemessenes Schutzniveau gewährleiste.

Schlussantrag des Generalanwalts

Der Generalanwalt vertritt in den Schlussanträgen im Wesentlichen die Auffassung, dass die Europäische Kommission die USA nicht hätte als Safe-Harbor qualifizieren dürfen und hält dieses somit für ungültig. Er begründet seine Auffassung unter anderem mit der in den USA gelebten Praxis, personenbezogene Daten in großem Umfang zu sammeln, ohne dass Unionsbürger über einen wirksamen Rechtsschutz verfügen. Dies gelte insbesondere aufgrund der massiven und wahllosen Überwachung in den USA durch Nachrichtendienste und dem fehlenden Rechtsbehelf europäischer Bürger, was letztlich zu einem Verstoß gegen den Grundsatz der Verhältnismäßigkeit führe.

Auch stehe das Safe-Harbor-Verfahren nicht über der Entscheidungsbefugnis von nationalen Aufsichtsbehörden. Ihnen müssen als unabhängige Instanzen die Befugnis bleiben, feststellen zu können, dass kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet sei und gegebenenfalls die Übertragung dieser Daten auszusetzen.

Folgen des Schlussantrags

Folgt der EuGH den Schlussanträgen des Generalanwalts, so wie er dies meist tut, sind die Auswirkungen nicht nur für Facebook spürbar, sondern wirkt sich auf sämtliche mehr als 4.000 Unternehmen mit Sitz in den USA aus, die sich dem Safe-Harbor-Abkommen unterworfen haben. Ihnen ist dann die Rechtsgrundlage der Übermittlung personenbezogener Daten in die USA entzogen, sodass sie eine neue rechtliche Grundlage benötigen oder ein neues Abkommen zwischen der EU und den USA geschaffen werden muss. Bis ein solches umgesetzt ist, können die Betroffenen ggf. den Weg über die sog. EU-Standardvertragsklauseln oder Binding-Corporate-Rules (BCR) gehen.

Update: Den Beitrag zum Urteil des EuGH finden Sie auf dieser Website.

 

BAG zur datenschutzrechtlichen Einwilligung eines Arbeitnehmers

Das Bundesarbeitsgericht (BAG) hatte sich in seinem Urteil vom 11.12.2014 (Az. 8 AZR 1010/13 – Volltext) mit der Bildnisveröffentlichung von Arbeitnehmern auf der Website des Unternehmens zu beschäftigen. In diesem Urteil ist das BAG auch auf die grundlegende Frage eingegangen, ob die datenschutzrechtliche Einwilligung eines Betroffenen in Arbeitsverhältnissen wirksam ist.

Hintergrund

Das Bundesdatenschutzgesetz (BDSG) enthält den Grundsatz des Verbots mit Erlaubnisvorbehalt. Hiernach ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Dazu bestimmt § 4a Abs. 1 BDSG die Voraussetzungen an eine wirksame Einwilligung, welche kumulativ vorliegen müssen. Erforderlich für eine wirksame Einwilligung ist demnach die freie Entscheidung des Betroffenen, der Hinweis auf den vorgesehenen Zweck der Verwendung sowie auf die Folgen der Verweigerung der Einwilligung. Im Übrigen bedarf die Erklärung der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.

Die Wirksamkeit der Einwilligung eines Beschäftigten gegenüber seinem Arbeitnehmer ist in der Literatur Gegenstand lebhafter Diskussionen, ohne jedoch ein abschließendes Ergebnis zu vermitteln. Die Uneinigkeit fokussiert sich vor allem auf die Frage, ob es im Arbeitsverhältnis überhaupt eine „freie Entscheidung” geben kann. Auch die Aufsichtsbehörden argumentierten dahingehend, dass die Einwilligung im Arbeitsverhältnis grundsätzlich nicht freiwillig erfolgen könne und damit unwirksam sei. Die Freiwilligkeit sei deshalb zu verneinen, da die Einwilligung unter Ausnutzung einer wirtschaftlichen Machtposition gefordert wird, sich der unterlegene also zur Abgabe der Einwilligung genötigt sieht. Dies sei regelmäßig in einem Abhängigkeitsverhältnis wie zwischen dem Arbeitgeber und dem Beschäftigten der Fall.

Urteil des BAG

Dem stellt sich das BAG in seinem Urteil entgegen und betont, dass auch im Rahmen von Arbeitsverhältnissen der Arbeitnehmer freie Entscheidungen treffen könne und er sich mit Eingehung eines Arbeitsverhältnisses und der Eingliederung in den Betrieb nicht seiner Grund- und Persönlichkeitsrechte begebe. Dies gelte – so das BAG – vor allem deshalb, weil in Arbeitsverhältnissen unter bestimmten Umständen eine Datenverarbeitung selbst ohne Vorliegen einer Einwilligung des Arbeitnehmers möglich sei und verweist hierzu auf den gesetzlichen Erlaubnistatbestand des § 32 BDSG.

Folgen des Urteils

Das BAG spricht in seinem Urteil nicht von „Beschäftigten“ i.S.d. § 3 Abs. 1 BDSG, sondern nur einem diesem Begriff unterfallenden Teil von Personen, nämlich  „Arbeitnehmer“ nach § 3 Abs. 11 Nr. 1 BDSG. Nichts gesagt ist durch das Urteil deshalb darüber, ob sich der Arbeitgeber auch die Einwilligung von anderen Personen, die unter den Beschäftigtenbegriff fallen, einholen kann. Diese Frage wird vor allem dann relevant, wenn es um „Bewerberinnen und Bewerber“ i.S.d. § 3 Abs. 11 Nr. 9 BDSG geht, könnte der Arbeitgeber doch den zulässigen und eng gesteckten Rahmen seines Fragerechts durch Einholung einer Einwilligung erweitern und umgehen.

Für die bewusste Differenzierung zwischen Arbeitnehmern und den übrigen als „Beschäftigte“ bezeichneten Personen durch das BAG, streitet schließlich auch sein Wortlaut, der auf ein bestehendes Arbeitsverhältnis hindeutet („Eingehung eines Arbeitsverhältnisses und die Eingliederung in den Betrieb“).

Auch und gerade bei der Verarbeitung besonders sensibler Daten i.S.d. § 3 Abs. 9 BDSG wird man deshalb nicht die Prüfung der “Freiwilligkeit” im jeweiligen Einzelfall vernachlässigen können. Dies gilt allein schon wegen der formalen und inhaltlichen Anforderungen, die das Gesetz an die wirksame Einwilligung stellt.

OVG Lüneburg: Überwachungskamera in privaten Bürogebäude ist zulässig

In seinem Urteil vom 29.9.2014 (Az. 11 LC 114/13 – Volltext hier abrufbar) hatte sich das Oberverwaltungsgericht (OVG) Lüneburg mit der datenschutzrechtlichen Zulässigkeit von Überwachungskameras in einem privaten Bürogebäude zu befassen.

Inhalt der Entscheidung

Hintergrund der Entscheidung war, dass sich in einem Gebäude mehrere vermietete Büros von Rechtsanwälten, Steuerberatern, Wirtschaftsprüfern sowie anderen Unternehmen befinden. Nachdem es dort zu Diebstählen von zwei Notebooks sowie mehreren Fällen von Graffiti-Vandalismus an der Außenwand gekommen ist, installierte die Eigentümerin und Verwalterin des Bürogebäudes dort insgesamt zehn Videokameras an verschiedenen Stellen im Inneren des Gebäudes. Hiergegen wendete sich der Landesbeauftragte für Datenschutz Niedersachsen. Dazu führte er aus, dass die Anlage gegen § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) verstoße, da weder eine Einwilligung der Betroffenen noch die Voraussetzungen des § 6b BDSG gegeben seien und untersagte den weiteren Betrieb. Hiergegen hat die Klägerin Klage erhoben.

Zuerst prüfte das OVG Lüneburg die Anwendbarkeit des BDSG. Es stellte fest, dass Fotos und Videoaufnahmen im Rahmen einer Videoüberwachung personenbezogene Daten im Sinne von § 3 Abs. 1 BDSG sind, da der Zweck der Videoüberwachung gerade darin bestehe, die auf den Bildern festgehaltenen Personen zu identifizieren, wenn dies für erforderlich gehalten werde.

  1. Bewertung nach dem BDSG

Nach § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten nur dann zulässig, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt, anordnet oder der Betroffene eingewilligt hat. Eine wirksame Einwilligung muss den Anforderungen des § 4a Abs. 1 BDSG genügen. Allein durch das Betreten des Gebäudes könne trotz Hinweisschilder jedoch noch nicht eine konkludente Einwilligung angenommen werden.

  1. Rechtfertigung 

Eine Rechtfertigung könne sich aber aus der gesetzlichen Norm des § 6b BDSG ergeben. Danach ist die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) unter den dort genannten Voraussetzungen zulässig. Die Videoüberwachung stelle schon deshalb ein „Beobachten“ in diesem Sinne dar, weil unter dem Merkmal die Sichtbarmachung von Geschehnissen und Personen mit Hilfe dazu geeigneter technischer Einrichtungen von einer gewissen Dauer zu verstehen sei. Da im vorliegenden Fall die Bildaufzeichnungen für einen bestimmten Zeitraum gespeichert werden, um die Möglichkeit der anlassbezogenen nachträglichen Inaugenscheinnahme der gespeicherten Videoaufnahmen zu gewährleisten, liege ein Beobachten in diesem Sinne unzweifelhaft vor.

Sodann prüft das Gericht, ob es sich bei dem Bürogebäude um einen öffentlich zugänglichen Raum handelt und bejaht dies im Ergebnis, da Zweck der Räumlichkeiten derjenige sei, dass sie durch Beschäftigte, Kunden und Zulieferer betreten werden. Daher seien alle Räume, die von der Videoüberwachung betroffen seien, als öffentlich zugänglicher Raum zu betrachten.

a)      Rechtfertigungstatbestände des § 6b Abs. 1 BDSG

Eine Rechtfertigung lässt sich aus § 6b Abs. 1 Nr. 2 BDSG herleiten, soweit die Videoüberwachung zur Wahrnehmung des Hausrechts erforderlich ist. Das Hausrecht beinhaltet die Befugnis, darüber zu entscheiden, wer ein Gebäude betreten und darin verweilen darf. Als Eigentümerin und Verwalterin des Gebäudes habe die Klägerin ein Interesse daran, ihr Eigentum zu schützen und den nicht berechtigten Personenkreis vom Betreten des Gebäudes fernzuhalten, damit auch die Mieter der Büroräume nicht zu Schaden kommen.

Zusätzlich könne sich die Klägerin auf den Zulässigkeitstatbestand der Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke berufen (§ 6b Abs. 1 Nr. 3 BDSG). Darunter sind neben rechtlichen auch alle tatsächlichen Interessen, welches auch wirtschaftlicher oder ideeller Art sein können, erfasst. Der Einsatz von Videotechnik zum Zwecke der Gefahrenabwehr sei regelmäßig von der Wahrnehmung berechtigter Interessen gerechtfertigt.

b)      Erforderlichkeit

Schließlich sei die Videoüberwachung und Speicherung über einen Zeitraum von zehn Tagen auch erforderlich, da sie zur Abschreckung von Störern und Straftätern geeignet und keine gleich wirksamen Mittel (insb. Einsatz von Wachpersonal) erkennbar seien. Dem stünden, insbesondere auch aufgrund der Ausgestaltung der Maßnahmen und dem damit einhergehenden geringen Eingriff in die Intimsphäre der Betroffenen, keine Anhaltspunkte für das Überwiegen schutzwürdiger Interessen der Betroffenen entgegen.

Im Ergebnis liegen die Voraussetzungen des § 6b BDSG insgesamt vor, sodass die Videoüberwachung des Bürogebäudes im Einklang mit den datenschutzrechtlichen Vorgaben erfolgt.

Auswirkungen für die Praxis

Das OVG Lüneburg prüft in seinem Urteil in ausführlicher Weise die Voraussetzungen an eine wirksame Installation von Überwachungskameras in einem öffentlich zugänglichen Bürogebäude und zeigt zugleich, welche Kriterien die Abwägungsentscheidungen beeinflussen können.

Das Gesetz bestimmt, dass die Daten unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen (§ 6b Abs. 5 BDSG). Findet eine Videoüberwachung mit Speicherung etwa zum Schutz gegen Diebstahl statt, so entfällt dieser Zweck, wenn sich nach Prüfung der Aufzeichnungen ergibt, dass es hierfür keine Anhaltspunkte gibt.

Das Gericht gibt mit seinem Urteil dem Anwender eine konkrete „zeitliche Grenze“ an die Hand, wonach eine Frist von bis zu zehn Wochentagen noch als unverzüglich im Sinne des § 6b Abs. 5 BDSG zu betrachten ist. Grundsätzlich wird man die im Urteil genannten Grundsätze auch auf die Räumlichkeiten anderer Berufsgruppen mit Publikumsverkehr (Arztpraxen, Tierärzte usw.) ausweiten können, muss allerdings dortige Besonderheiten im Datenschutzrecht bei der Interessensabwägung zwingend beachten.

Siehe auch: Urteil VG Ansbach zur sog. Dash-Cam

VG Ansbach: Dash-Cams nur unter bestimmten Voraussetzungen zulässig

Das VG Ansbach hatte sich am 12.08.2014 (Az. AN 4 K 13.01634 ) – soweit ersichtlich – als erstes deutsches Gericht mit der datenschutzrechtlichen Zulässigkeit von Dash-Cams auseinanderzusetzen und gab dabei den Datenschützern zumindest teilweise recht.

Der Einsatz sogenannter Dash-Cams nimmt in der vergangenen Zeit auch in Deutschland immer mehr zu, sodass es bloß Frage der Zeit blieb, bis sich die Rechtsprechung mit der Zulässigkeit befassen musste. Unter einer Dash-Cam werden kleine Videokameras verstanden, welche auf dem Armaturenbrett eines Fahrzeugs befestigt werden können. Der Verwender verspricht sich durch die Aufzeichnung des Straßenverkehrs, im Falle eines Verkehrsunfalls dessen Hergang nachvollziehen zu können, um etwaige Schadensersatzforderungen beweisen und geltend machen zu können.

Entscheidung des VG Ansbach

Dem Urteil des VG Ansbach liegt der Fall zugrunde, dass einem Fahrzeughalter der Betrieb einer Dash-Cam zur Aufzeichnung von Verkehrsverstößen anderer Verkehrsteilnehmer, durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) untersagt wurde. Hiergegen wendete der Fahrzeughalter ein, dass die Aufnahmen lediglich privaten Zwecken dienen, sodass das Bundesdatenschutzgesetzes (BDSG) erst gar nicht zur Anwendung gelangt (§ 1 Abs. 2 Nr. 3 BDSG) und klagte schließlich gegen den Bescheid.

Wenig überraschend hat das VG Ansbach die Zulässigkeit derartiger Dash-Cams nur unter engen Voraussetzungen für zulässig erachtet. Da im konkreten Fall die Aufzeichnungen der Beweissicherung dienen sollte, führte der Kammervorsitzende aus, dass eine Verwendung von Dash-Cams nur dann zulässig ist, wenn die Videos nicht an Dritte übermittelt werden. Als Dritte nannte er insbesondere die Zurverfügungstellung an die Polizei oder Plattformen im Internet wie YouTube und Facebook.

Damit stützt das Gericht die Begründung seiner Ausführungen auf den Anwendungsbereich des Bundesdatenschutzgesetzes. Gemäß § 1 Abs. 2 Nr. 3 BDSG findet dieses keine Anwendung, wenn die Aufzeichnung ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. Davon ist aber gerade dann nicht mehr auszugehen, wenn die Verwendung derartiger Kameras zur Dokumentation eines Verkehrsunfalls erfolgt.

Da das BDSG im hier vorgestellten Fall anwendbar ist, weist das Gericht schließlich zu Recht darauf hin, dass das Interesse des Verwenders einer Dash-Cam geringer zu gewichten ist, als das informationelle Selbstbestimmungsrecht der anderen Verkehrsteilnehmer, sich in der Öffentlichkeit frei zu bewegen, ohne befürchten zu müssen einer Videoüberwachung ausgesetzt zu sein.

Nichtsdestotrotz wurde das behördliche Verbot des BayLDA jedoch aufgrund formaler Fehler im Bescheid aufgehoben, weil der Verbotsbescheid nicht eindeutig formuliert gewesen gewesen ist.

Beschluss des Düsseldorfer Kreises

Schon der Düsseldorfer Kreis (Gremium aus den Aufsichtsbehörden des Bundes und der Länder für den Datenschutz) wies in seinem Beschluss vom 25./26. Februar 2014 darauf hin, dass er den Einsatz solcher Kameras für generell unzulässig hält. Die Verwendung könne nicht mit § 6b Abs. 1 Nr. 3 und Abs. 3 BDSG in Einklang gebracht werden.

Auswirkungen

Das VG Ansbach zieht mit seinem Urteil richtigerweise Grenzen für die Verwendung von Dash-Cams. Wäre die uneingeschränkte Verwendung von solchen Kameras zulässig, würde eine Ausuferung der Überwachung öffentlicher Bereiche, wie dem Straßenverkehr, drohen, was das nach Art. 2 Abs. 1 GG geschützte informationelle Selbstbestimmungsrecht der Betroffenen erheblich tangieren würde. Ob, wie vom Vorsitzenden der Kammer gefordert, der Gesetzgeber entsprechende Regelungen in das Gesetz aufnimmt, bleibt abzuwarten. Das VG Ansbach hat aufgrund der Bedeutung dieser Rechtsfrage die Berufung zugelassen.

 

Update:

Auch das Landgericht Heilbronn hatte sich in seinem Urteil vom 17.2.2015 (Az. I 3 S 19/14 – Volltext) mit Dash-Cams zu befassen. Es kam zu dem Ergebnis, dass die Aufzeichnungen einer im Fahrzeug installierten Dash-Cam nicht in einem Zivilprozess als Beweismittel zum Unfallhergang verwertet werden dürfen.

Düsseldorfer Kreis legt Voraussetzungen für Smart TV fest

Hintergrund

Bei den sogenannten Smart TV Geräten handelt es sich um Fernsehgeräte, die mit Zusatzschnittstellen, wie zum Beispiel W-LAN ausgestattet sind. Dadurch wird dem Nutzer zumeist über Apps, ähnlich wie dies aus dem Smartphone-Bereich bekannt ist, ermöglicht, eine Verbindung zum Internet aufzubauen. So lassen sich insbesondere mittels Online-Videotheken on-demand die gewünschte Sendungen abrufen.

Neben diesen von Nutzern offenbar nachgefragten Anwendungsmöglichkeiten entsteht durch die Internetverbindung gleichzeitig auch ein Rückkanal vom Zuschauer zum Fernsehsender, zum Endgerätehersteller oder zu sonstigen Dritten. Dadurch lässt sich das individuelle Nutzungsverhalten erfassen und auswerten, was in der Regel dem Nutzer insbesondere dann missfallen dürfte, wenn er davon keine Kenntnis hat.

Eben diese Möglichkeit soll eingeschränkt werden. Der Düsseldorfer Kreis, ein Gremium der obersten Aufsichtsbehörden im nicht-öffentlichen Bereich, der die Ergebnisse seiner Zusammentreffen in Beschlüssen bekannt macht, hat sich nun zu der Frage geäußert, welche Anforderungen hinsichtlich des Datenschutzes beim Smart TV zu beachten sind. Diese wurden im Beschluss vom 26.02.2014 nun unter dem Titel „Smartes Fernsehen nur mit smartem Datenschutz“ (PDF hier abrufbar) veröffentlicht.

Voraussetzungen des Düsseldorfer Kreises

Eine Profilbildung über das individuelle Fernsehverhalten ist grundsätzlich unzulässig. Daher muss zunächst sicher gestellt werden, dass die anonyme Nutzung von Fernsehangeboten möglich ist.

Des Weiteren unterliegen Webdienste dem Anwendungsbereich des Telemediengesetzes (TMG). Dies gilt entsprechend für die Nutzung von Smart-TV. Endgeräthersteller, Sender sowie alle sonstigen Anbieter von Telemedien müssen dementsprechend die datenschutzrechlichen Anforderungen des TMG beachten. Namentlich umfasst dies vor allem die §§ 13, 15 TMG. Liegt keine Einwilligung des Betroffenen vor, darf die Erhebung und Verwendung von personenbezogenen Daten nur in den engen Grenzen des § 15 TMG erfolgen.

Auch soll nach Auffassung des Düsseldorfer Kreises das Prinzip „privacy by default“ beachtet werden. Demnach sollen die Werkseinstellungen der Geräte so gestaltet werden, dass eine anonyme Nutzung des Fernsehens möglich ist. Eine wechselseitige Kommunikation dürfe erst nach einer umfassenden Information durch die Nutzer selbst initiiert werden.

Schließlich sollen nach Auffassung der obersten Aufsichtsbehörden die Geräte über sicherheitstechnische Mechanismen verfügen, damit die Geräte beim Datenverkehr vor dem Zugriff unbefugter Dritter geschützt sind.

Fazit

Nur wenn diese vier Anforderungen kumulativ erfüllt werden, steht nach Auffassung des Düsseldorfer Kreises der Nutzung von Smart-TV aus datenschutzrechtlicher Sicht nichts entgegen. Inwieweit die Hersteller von Smart-TV diesen Anforderungen nachkommen werden, bleibt abzuwarten.

Düsseldorfer Kreis: Orientierungshilfe für regulierte Selbstregulierung veröffentlicht

Der Düsseldorfer Kreis (Zusammenschluss der Aufsichtsbehörden zum Datenschutz in Deutschland) hat eine “Orientierungshilfe der Datenschutzaufsichtsbehörden für den Umgang mit Verhaltensregeln nach § 38a BDSG” (PDF) veröffentlicht.

§ 38a BDSG erlaubt die Vorlage von Entwürfen für Verhaltensregeln an die Aufsichtsbehörde, die deren Vereinbarkeit mit geltendem Recht überprüft. Damit wird die Möglichkeit zur Schaffung datenschutzrechtlicher Verhaltenskodizes als “Vollzugsregelungen” geschaffen, dies freilich nur in sehr rudimentärer Form, ohne dass die Anforderungen an derartige Verhaltenskodizes festgelegt und die Bedeutung der Prüfung durch die Aufsichtsbehörden durch § 38a BDSG geregelt wird.

Um diese Lücken der gesetzlichen Regelung zu schließen, konkretisiert die Orientierungshilfe zunächst den Begriff der Verhaltensregel:

Konkret folgt daraus, dass durch Verhaltensregeln insbesondere unbestimmte Rechtsbegriffe, Ermessenskriterien, Musterklauseln, verfahrensrechtliche Vorkehrungen, Vorgaben für die Bearbeitung von Betroffenenrechten oder technisch organisatorische Maßnahmen festgelegt werden können.”

Zu einer Erhöhung des Datenschutzniveaus über die gesetzlichen Standards hinaus müssen Verhaltensregeln damit nach dem Düsseldorfer Kreis nicht (mehr) führen.

Wird die Verhaltensregel “anerkannt” ist damit die

“Feststellung der Rechtskonformität der Verhaltensregeln”

verbunden. Unternehmen, die sich an derartige Verhaltensregeln halten, können nach einer solchen Anerkennung davon ausgehen, sich datenschutzkonform zu verhalten und hierauf ggf. auch in ihrem Außenauftritt werblich hinweisen. Die Erarbeitung solcher Verhaltensregeln kann demnach für die hiervon profitierenden Unternehmen zur Beseitigung von Unklarheiten bei der Anwendung der sehr allgemein gehaltenen datenschutzrechtlichen Bestimmungen und damit der Schaffung von Rechtsklarheit führen.

BNetzA stellt IT-Sicherheitskatalog für Systeme zur Netzsteuerung vor

Im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Bundesnetzagentur (BNetzA) nach § 11 Absatz 1a EnWG einen Katalog von Sicherheitsanforderungen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen, im Entwurf erstellt (Download IT-Sicherheitskatalog, PDF). Im Mittelpunkt steht dabei die Einführung eines ISMS (Informationssicherheitsmanagementsystem) nach Maßgabe der DIN ISO/IEC 27002 unter besonderer Berücksichtigung der Vorgaben für die Energieversorgung aus DIN SPEC 27009. Bis zum 15.2.2014 kann zum IT-Sicherheitskatalog gegenüber der Bundesnetzagentur Stellung genommen werden.

VG Leipzig: Kontrollbefugnisse der Aufsichtsbehörden

Die im Datenschutz zuständigen Aufsichtsbehörden müssen sich bei der Geltendmachung eines Auskunftsanspruchs nach § 38 Abs. 3 S. 1 BDSG gegenüber der für die Datenverarbeitung verantwortlichen Stelle nicht auf ein gestuftes Auskunftsverfahren verweisen lassen. Stattdessen können die Aufsichtsbehörden unmittelbar alle aus ihrer Sicht zur Durchführung einer allgemeinen, anlassunabhängigen Prüfung aller Geschäftsprozesse notwendigen Angaben von dem auskunftspflichtigen Unternehmen anfordern, so das VG Leipzig (Beschluss vom 3.12.2012 – 5 L 1308/12).

Inhalt der Entscheidung:

Nach § 38 Abs. 3 BDSG haben die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. Dabei kann die Aufsichtsbehörde ausweislich der ihr durch § 38 Abs. 1 S. 1 BDSG zugewiesenen Aufgaben nicht nur „dateigebundene Verarbeitungen“ kontrollieren, sondern alle „automatisierten Verarbeitungsprozesse“.

Weiterlesen