DATENSCHUTZ AUS DEM INHALT. Neues EU-Datenschutzrecht 1 VIVIANE REDING Herausforderungen an den Datenschutz bis 2020

Transkript

1 ZEITSCHRIFT FÜR ZD DATENSCHUTZ Herausgeber: RA Prof. Dr. Johen Shneider. Prof. Dr. Thomas Hoeren. Prof. Dr. Martin Selmayr. RA Dr. Axel Spies. RA Tim Wybitul AUS DEM INHALT Neues EU-Datenshutzreht 1 VIVIANE REDING Herausforderungen an den Datenshutz bis 2020 Webtraking-Tools 3 THOMAS HOEREN Google Analytis datenshutzrehtlih unbedenklih? Modernisierung des 9 BDSG 6 JOCHEN SCHNEIDER Datensiherheit vergessene Regelungsmaterie? Privay vs. Selbstverpflihtung 12 AXEL SPIES USA: Neue Datenshutzvorshriften auf dem Prüfstand Vorratsdatenspeiherung 17 ANTONIE KNIERIM Kumulation von Datensammlungen auf Vorrat Rehtssiherheit für Unternehmen 23 BETTINA ROBRECHT Überblik über wesentlihe Neuerungen der BDSG-Novelle II Innerbetrieblihe Selbstkontrolle 27 UBBO AßMUS Kontrolle des Betriebsrats durh den betrieblihen Datenshutzbeauftragten? Anonymisierungsgebot 31 BGH: Verbreitung eines identifizierenden Fotos aus einer Hauptverhandlung Auskunftei 35 OLG Frankfurt/M.: Datenübermittlung an SCHUFA Betriebliher -Aount 43 LAG Berlin-Brandenburg: Öffnung des -Aounts durh Arbeitgeber m. Anm. TIEDEMANN Seiten Jahrgang 1. September 2011 Verlag C.H.Bek Münhen 1/2011 O

2 davit Signaturbundle für siheren elektronishen Rehtsverkehr Das Spezialangebot für davit-mitglieder besteht aus der Signaturanwendungskomponente Sign Live! CC von intarsys, einem Cherry Kartenlesegerät und einer personalisierten davit - Signaturkarte mit einem zusätzlihen Attribut für Rehtsanwälte. Mit diesem Bundle können Sie Ihre elektronishe Kommunikation sowie Dateien signieren und den Shriftverkehr rehtsverbindlih elektronish gestalten, beispielsweise bei Mahnantragsstellung, Klageanträgen, Markenanmeldungen, Rehnungslegung und elektronisher Kommunikation mit Mandanten und Dritten. Weitere Details sowie tehnishe Anforderungen und die Bestellmöglihkeit finden Sie auf der davithomepage unter * Das davit-beitrittsformular finden Sie unter

3 ZEITSCHRIFT FÜR DATENSCHUTZ INHALT ZD 1/2011 Seiten 1 48 Neues EU-Datenshutzreht Webtraking-Tools Modernisierung des 9 BDSG Privay vs. Selbstverpflihtung Vorratsdatenspeiherung Rehtssiherheit für Unternehmen Innerbetrieblihe Selbstkontrolle Anonymisierungsgebot Übermittlung von Bankdaten Auskunftei Vorshaubilder Editorial 1 VIVIANE REDING Herausforderungen an den Datenshutz bis 2020: Eine europäishe Perspektive Beiträge 3 THOMAS HOEREN Google Analytis datenshutzrehtlih unbedenklih? Verwendbarkeit von Webtraking-Tools nah BDSG und TMG 6 JOCHEN SCHNEIDER Die Datensiherheit eine vergessene Regelungsmaterie? Ein Plädoyer für Aufwertung, stärkere Integration und Modernisierung des 9 BDSG 12 AXEL SPIES USA: Neue Datenshutzvorshriften auf dem Prüfstand. Mehr Shutz für die Privay der Bürger per Gesetz oder durh Selbstverpflihtung der Industrie? 17 ANTONIE KNIERIM Kumulation von Datensammlungen auf Vorrat. Vorratsspeiherung von TK- und Fluggastdaten und das Verbot umfassender Überwahung 23 BETTINA ROBRECHT Überblik über wesentlihe Neuerungen der BDSG-Novelle II. Weiterhin viele offene Fragen in der praktishen Umsetzung 27 UBBO AßMUS Kontrolle des Betriebsrats durh den betrieblihen Datenshutzbeauftragten? Unabhängigkeit der Kontrolle und Alternativen zur bestehenden Rehtslage Rehtsprehung 31 BGH: Verbreitung eines identifizierenden Fotos aus einer Hauptverhandlung Urteil vom VI ZR 108/10 34 OLG Köln: Einwilligungsklausel mit Befreiung vom Bankgeheimnis Urteil vom U 8/11 35 OLG Frankfurt/M.: Datenübermittlung an SCHUFA nah gekündigtem Kreditvertrag Urteil vom U 291/10 37 LG Köln: Einwilligung in die Fotoveröffentlihung durh Personensuhmashine Urteil vom O 819/10

4 Bewegungsprofile Vorrangigkeit von Shutzrehten Personenbezogene Auswertung Betriebliher -Aount Videoüberwahung Anonymisierung 39 LG Lüneburg: Strafbare Anbringung eines GPS-Senders an einem fremden Kfz Beshluss vom Qs 45/11 40 AG Bonn: Auskunft über den Inhaber einer Mobilfunknummer zur Ermittlung des leiblihen Vaters Urteil vom C 593/10 41 LAG Berlin-Brandenburg: Datenshutz am Betriebsrats-PC Beshluss vom TaBV 1984/10 43 LAG Berlin-Brandenburg: Öffnung des -Aounts durh Arbeitgeber während Erkrankung des Arbeitnehmers Urteil vom Sa 2132/10 m. Anm. TIEDEMANN 47 LAG Köln: Verwertbarkeit heimliher Videoaufnahmen Urteil vom Sa 817/10 48 Shweiz. BVGer: Absolute Unkenntlihmahung von Personen bei Google Street View Urteil vom A-7040/2009 (Ls.) III Inhalt V XXI ZD-Fokus XXII Impressum IV ZD 1/2011

5 ZD FOKUS Zeitshrift für Datenshutz ZD ZD 1/2011 Chefredakteurin Anke Zimmer-Helfrih Redaktion: Marianne Gerstmeyr Stefanie Martin Herausgeber: RA Prof. Dr. Johen Shneider Prof. Dr. Thomas Hoeren Prof. Dr. Martin Selmayr RA Dr. Axel Spies RA Tim Wybitul Wissenshaftsbeirat: Isabell Conrad Dr. Oliver Draf Dr. Stefan Hanloser Dr. Helmut Hoffmann Prof. Dr. Gerrit Hornung Prof. Dr. Jaob Joussen Thomas Kranig Dr. Thomas Petri PD Dr. Andreas Popp Prof. Dr. Alexander Roßnagel Dr. Jyn Shultze-Melling Thorsten Sörup Prof. Dr. Jürgen Taeger Prof. Dr. Marie-Theres Tinnefeld Liebe Leserinnen und Leser, ih freue mih, Ihnen mit der Zeitshrift ZD ein weiteres Produkt unserer Redaktion vorstellen zu können. Das vorliegende Heft ist die erste Ausgabe der Zeitshrift für Datenshutz kurz: ZD. Mit dieser neuen Fahzeitshrift werden wir Sie über die datenshutzrehtlihen Aspekte aus allen Rehtsgebieten informieren und gleihzeitig die nationale und internationale Diskussion und Gesetzgebung rund um den Datenshutz begleiten. Im Mittelpunkt stehen dabei Themen aus der Unternehmenspraxis, die wir aus untershiedlihen Blikwinkeln beleuhten werden. Mit der ZD wollen wir ein Forum für den Austaush und die Diskussion aktueller und grundlegender datenshutzrehtliher Themen sowie damit zusammenhängender Aspekte bieten und zugleih dem Anwender einen Zugang zu praxisorientierten Lösungen eröffnen. Datenshutz folgt sowohl der tehnishen Entwiklung als auh einem sih wandelnden gesellshaftlihen Umgang mit Information. Die Dynamik der Informationsgesellshaft zeigt sih in der Wahrnehmung und dem Umgang mit dem Datenshutz. Dieser hat sih vom Abwehrreht zum ökonomish bedeutsamen Gestaltungsinstrument und Qualitätsmerkmal gewandelt. Wir werden diesen Prozess niht nur aufmerksam beshreiben, sondern auh kritish und pragmatish begleiten. Jedes Heft enthält ein Editorial, fundierte Aufsätze mit praxisorientierten Lösungsvorshlägen, durhgehend zweisprahige Abstrats in Deutsh und English, aktuelle Gerihtsentsheidungen mit Anmerkungen sowie aktuelle Kurzbeiträge. Besonderes Augenmerk möhte ih auf unsere Shlagwörter lenken, die Ihnen farbig hervorgehoben bei der Lektüre die shnelle Einordnung der komplexen Themen erleihtern sollen. Über die vorliegende Printausgabe hinaus haben wir noh weitere Faetten zu einem Informations-Gesamtsystem für Sie zusammengefügt. Die Zeitshrift ist komplett von der ersten Ausgabe an für die Abonnenten in der Datenbank ZDDirekt online verfügbar. Der Newsdienst ZD-Aktuell wird zweimal im Monat per Mail zu Ihnen kommen und einen Kompaktüberblik über die aktuellen Entwiklungen im Datenshutzreht liefern. Auf der ZD-Homepage ( finden Sie neben den aktuellen Inhaltsverzeihnissen und den Editorials aus dem Heft vor allem auh aktuelle Nahrihten, Termine, Rezensionen und Tagungsberihte. MiteinemZD-Blog zum DatenshutzundeinereigenenZD-Community werden wir unser Angebot an Sie aktuell und lebendig gestalten. Eine solhe Zeitshrift und das dahinterstehende Konzept brauht aber auh jede Menge Köpfe. Uns ist es gelungen, niht nur ein wissenshaftlih renommiertes Herausgeber-Team mit RA Prof. Dr. Johen Shneider, Prof. Dr. Thomas Hoeren, Prof. Dr. Martin Selmayr, RA Dr. Axel Spies und RA Tim Wybitul zu gewinnen, sondern gleihfalls einen sowohl wissenshaftlih ausgewiesenen als auh von der Praxis geprägten Beirat mit Isabell Conrad, Dr. Oliver Draf, Dr. Stefan Hanloser, Dr. Helmut Hoffmann, Prof. Dr. Gerrit Hornung, Prof. Dr. Jakob Joussen, Dr. Thomas Petri, PD Dr. Andreas Popp, Prof. Dr. Alexander Roßnagel, Dr. Jyn Shultze-Melling, Thorsten Sörup, Prof. Dr. Jürgen Taeger und Prof. Dr. Marie-Theres Tinnefeld kompetent zu besetzen. Das Konzept der Zeitshrift wird von der Redaktion ständig weiterentwikelt. Wir laden Sie herzlih ein, uns Anregungen, aber auh interessante Nahrihten, Kommentare und Entsheidungen zu melden und zu mailen Die Redaktion der ZD freut sih, mit dem ersten Heft bereits die thematishe Bandbreite vom Beshäftigtendatenshutz über Google Analytis, Vorratsdatenspeiherung und Datensiherheit bis hin zum internationalen Datenshutz bieten zu können. Auh in der nähsten Ausgabe werden wir aktuelle Themen von Privay by Default und by Design, Flash-Cookies, Google+ bis hin zum Informationsfreiheitsgesetz aufgreifen. Bleiben Sie gespannt! Ihre Anke Zimmer-Helfrih ZD Fokus V

6 ZD FOKUS Marie-Theres Tinnefeld Die Reform des Beshäftigtendatenshutzes auf Abwegen? Der Erlass eines bereihsspezifishen Arbeitnehmer- bzw. Beshäftigtendatenshutzgesetzes wurde seit den siebziger Jahren des 20. Jahrhunderts von der jeweiligen Bundesregierung als rehtspolitishes Ziel anerkannt. Im Spätsommer 2010 hat die jetzige Bundesregierung einen Gesetzesentwurf zum Beshäftigtendatenshutz vorgelegt, der von Seiten der Arbeitgeberverbände und der Gewerkshaften heftig kritisiert worden ist (vgl. BT-Drs. 17/4230; erste Analyse u.a. bei Tinnefeld/Petri/Brink, MMR 2010, 727 ff. m.w.nw.). Im Rahmen seiner Stellungnahme hat der Bundesrat zahlreihe Ergänzungs- und Änderungsvorshläge zu dem Entwurf eingebraht (vgl. BT-Drs. 17/4230, Anlage 3, S ), die von der Bundesregierung nur teilweise positiv aufgegriffen wurden (vgl. BT-Drs. 17/ 4230, Anlage 4, S ). Nah Aussage der Bundesjustizministerin Sabine Leutheusser-Shnarrenberger beruht der bisher von ihr mitgetragene Gesetzesentwurf im Grundsatz auf einem tragfähigen Konzept, wenngleih im Detail Nahbesserungen dringend notwendig seien (vgl. Nahweis und zweite Analyse bei Tinnefeld/Petri/Brink, MMR 2011, 427 ff. u.a. mit einer detaillierten Stellungnahme von Vors. RiBAG Prof. Düwell). Auh die Konferenz der Datenshutzbeauftragten des Bundes und der Länder hat die Notwendigkeit betont, durh klare gesetzlihe Regelungen mehr Rehtssiherheit im Beshäftigtenverhältnis zu erzielen (vgl. Entshließung v. 16./ in Würzburg: Beshäftigtendatenshutz stärken statt abbauen). Im Augenblik sheint es aber in den umstrittenen Bereihen zu keiner fairen Ausbalanierung der widerstreitenden Interessen zu kommen. Während die Gewerkshaften den Entwurf heftig ablehnen, werden von Arbeitgeberseite weitergehende Ansätze verfolgt. Mit anderen Worten: Eine Seite weiß, was sie niht will, und die andere, was sie will. I. Sreening im Unternehmen die größte Baustelle? Mit dem 2009 als Zwishenlösung eingefügten 32 BDSG reagierte der Bundesgesetzgeber auf shwere Datenskandale der Jahre 2008 und 2009 in mehreren Großunternehmen. Dabei ging es vor allem um den besonders sensiblen Bereih der Aufdekung von Straftaten. Einzelne Arbeitgeber haben auh ohne Vorliegen eines konkreten Verdahts ihre Beshäftigten einem Sreening unterzogen, um die Begehung von Straftaten zu verhindern oder aufzuklären, insbesondere durh die anlasslose Auswertung von -Verbindungsdaten. Der geltende 32 Abs. 1 Satz 2 BDSG shließt ein solhes Vorgehen ausdrüklih aus. Nah dem Regierungsentwurf ( 32d Abs. 3) sollen im Beshäftigtenverhältnis anlasslose automatisierte Datenabgleihe zur Aufdekung von Straftaten mit typishen Korruptionstatbeständen ( 266, 299, StGB) zulässig sein, allerdings zunähst nur in anonymisierter oder pseudonymisierter Form. Hier wäre es wünshenswert, wenn der Entwurf zum aktuellen 32 Abs. 1 Satz 2 BDSG zurükkehren würde (ausführlih zum Problem Tinnefeld/Petri/Brink, MMR 2011, 427 ff.). Neuerdings wird jedoh das anlasslose Sreening mit Hilfe aller beim Arbeitgeber vorhandenen Daten, also auh der Daten, die mit dem Beshäftigungsverhältnis in keinem Zusammenhang stehen, ernsthaft ins Gespräh gebraht. Dies würde an den Regelungen zum Beshäftigtendatenshutz vorbei ggf. auh zur Anwendung des 28 Abs. 1 Satz 1 Nr. 2 BDSG führen. Eine solhe Regelung dürfte nah den Datenskandalen weder vermittelbar noh nahvollziehbar sein. Sie würden zudem zu dem absurden Ergebnis führen, diese Skandale nahträglih zu legitimieren. Das kann keine Partei wollen. II. Rehtlihe Einordnung kollektiver Vereinbarungen Nah dem Regierungsentwurf wird die Betriebsvereinbarung auh weiterhin als Rehtsgrundlage für Datenverarbeitungen i.s.v. 4 Abs. 1 Satz 2 BDSG anerkannt. Der Entwurf ( 32l Abs. 5) sieht allerdings vor, dass datenshutzgesetzlihe Mindeststandards niht untershritten werden dürfen. Dies stößt auf Kritik seitens der Arbeitgeber. Es ist zwar rihtig, dass dem erkennenden Ersten Senat des BAG seinerzeit der Sündenfall unterlaufen ist, per Betriebsvereinbarung die Untershreitung des gesetzlihen Shutzniveaus zuzulassen (vgl. BAG NJW 1987, 674 ff.). Nah Düwell sollte diese Fehlentsheidung des BAG aber niht wiederbelebt werden (Düwell, in: Tinnefeld/Petri/Brink, MMR 2011, 427 f.). Als Abhilfe wird u.a. von Gewerkshaftsseite vorgeshlagen, dass bestimmte sensible Themenfelder über eine Negativliste (Ortung des Beshäftigten durh Mobilfunkdaten, heimlihe Videoüberwahung usw.) von der kollektiven Regelungsbefugnis ausgenommen sein sollen. Die Anwendbarkeit einer solhen Regelung dürfte shwierig sein und spriht niht für ein Vertrauensverhältnis zwishen den Betriebspartnern. Vielmehr sollte i.s.e. wertenden Gesamtbetrahtung die kollektive Vereinbarung ein Shutzniveau bieten, das mindestens dem des gesetzlihen entspriht und gleihzeitig flexible betrieblihe Lösungen ermögliht (ausführlih Tinnefeld/Petri/Brink, MMR 2011, 428). III. Einwilligung im Beshäftigtenverhältnis Das BDSG greift mit der Formulierung Die Einwilligung muss auf,der freien Entsheidung ( 4a Abs. 1 Satz 1) des Betroffenen beruhen eine Vorgabe der EG-Datenshutzrihtlinie auf. Diese verlangt ausdrüklih ein ohne Zwang erteiltes vorheriges Einverständnis des Betroffenen in die Datenverarbeitung. Der Regierungsentwurf sieht in 32l Abs. 1 sinngemäß vor, der Arbeitgeber könne seinen Umgang mit personenbezogenen Beshäftigtendaten nur auf die Einwilligung stützen, wenn der zum Beshäftigtendatenshutz eingefügte Unterabshnitt dies ausdrüklih gestatte. Arbeitgeberkreise vertreten dagegen die Ansiht, dass grundsätzlih von einer freiwillig erteilten Einwilligung im Beshäftigtenverhältnis auszugehen sei, die allerdings durh Positiv- bzw. Negativlisten reguliert werden sollte. Solhe weißen bzw. shwarzen Listen, die der Freiwilligkeit Konturen verleihen sollen, sind indessen sehr zweifelhaft. Es besteht die Gefahr, dass anders als bei der Beahtung von allgemeinen Diskriminierungsregeln das Institut der Einwilligung durh starre Kriterien im konkreten Beshäftigungsverhältnis eingeengt wird, die wohl kaum einem flexiblen Verhältnis gereht werden können, insbesondere niht in internationalen Unternehmen. In diesem Zusammen- VI ZD Fokus ZD 1/2011

7 Anzeige Datenshutz in Unternehmen und Kanzlei Spezialisten der DATEV eg kümmern sih um die Einhaltung der Rihtlinien Die zurzeit fast täglihen Shlagzeilen über Hakerangriffe auf Behörden, Institutionen und Unternehmen haben den Verantwortlihen vor Augen geführt, um welhe Risiken und Gefahren es beim Thema Datenshutz und Datensiherheit inzwishen geht. Die Cyber- Kriminalität hat eine Dimension erreiht, die nur noh wenig mit den Nähte durhmahenden jugendlihen Hakern von einst zu tun hat. Haking ist heute eine professionelle Angelegenheit und in der kriminellen Variante vollständig auf Gewinnmaximierung ausgerihtet, erläuterte Prof. Dieter Kempf, Vorstandsvorsitzender der DATEV eg, kürzlih in einem Interview mit der Wohenzeitung Die Zeit ( ). Entsprehend wollen laut einer Umfrage des Marktforshers IDC fast drei Viertel der befragten deutshen Unternehmen ihre Aus - gaben für IT-Siherheit aufstoken (Handelsblatt vom ). Der Berufsstand, der in Deutshland von jeher in der besonderen Verantwortung stand und steht, höhste Standards bei Datenshutz, Datensiherheit und Zuverlässigkeit zu erfüllen, ist der der Steuerberater. Shließlih sind deren Mandanten, die meist mittelständishen Unternehmer, traditionell sehr zurükhaltend mit der Offenlegung von Unternehmensdaten. Bei der DATEV eg, dem IT-Dienstleister der steuerberatenden Berufe und deren Mandanten, haben deshalb Zuverlässigkeit und Siherheit oberste Priorität, egal ob es dabei um die Daten im DATEV- Rehenzentrum oder die angebotene Software und sonstige IT-Lösungen geht, etwa zum Shutz des Internet-Zugangs, zur Siherung von Daten aus Kanzlei und Unternehmen oder zur siheren Nutzung mobiler Arbeitsmittel. Außerdem bietet die Genossenshaft Beratung rund um Datenshutz und Datensiherheit an sowie die Übernahme der Tätigkeit eines Datenshutzbeauftragten in Kanzlei und mittelständishen Unternehmen. DATEV-Experten als externe Datenshutzbeauftragte einsetzen Den Aufgabenbereih des Datenshutzbeauftragten an externe Spezialisten auszulagern, ist ein probater Weg, den Vorgaben des Bundesdatenshutzgesetzes fahlih rihtig nahzukommen. Laut BDSG dürfen nur Personen als Datenshutzbeauftragte bestellt werden, die die erforderlihe Fahkunde und Zuverlässigkeit nahweisen können. Die DATEV-Mitarbeiter, die Unternehmen und Kanzleien als Datenshutzbeauftragte zur Verfügung stehen, dokumentieren ihre Qualifikation durh eine entsprehende externe Zertifizierung. Zudem unterziehen sie sih regelmäßigen Weiterbildungsmaßnahmen, um datenshutzrehtlih und -tehnish stets auf aktuellem Stand zu sein. Für Kanzleien ist relevant, dass die Mitarbeiter der DATEV wie die steuer- und rehtsberatenden Berufsgruppen der beruflihen Vershwiegenheit unterliegen und deshalb befugt sind, auh hier die Datenshutz-Aufgaben zu übernehmen. Der Datenshutzbeauftragte von DATEV unterstützt in Kanzlei und Betrieb bei allen Fragen rund um den Datenshutz, etwa bei der Dokumentation, Mitarbeitershulung und Einhaltung der Anforderungen an die Informationstehnologie (IT). Darüber hinaus hilft er auh bei den Aufgaben rund um die Siherheit von der Datensiherung über Notfallvorsorge und Vorkehrungen gegen eine Datenentwendung bis hin zur Netzwerk-, Gebäude- und Büroraumsiherheit. Für seine Tätigkeit kann er jederzeit unmittelbar auf das bereits vorhandene Spezial-Know-how der DATEV zurükgreifen. Dort stehen ferner Experten zu Themen wie Gebäude- und Netzwerksiherheit, dem siheren mobilen Arbeiten oder der Siherheit im Rehen - zentrum zur Verfügung. Umfassende Bestandsaufnahme vor Ort Im Rahmen der Dienstleistung nimmt der Datenshutzbeauftragte von DATEV zunähst eine Bestandsaufnahme der Gegebenheiten vor Ort vor, um festzustellen, inwieweit die Ordnungsmäßigkeit des Datenshutzes bereits gewährleistet ist. Ein eventueller Handlungsbzw. Änderungsbedarf wird dokumentiert und die Datenshutzziele des Unternehmens beziehungsweise der Kanzlei werden festgelegt. Ein Beriht fasst die Ergebnisse zusammen und nennt gegebenenfalls auh Verbesserungsvorshläge für die relevanten Bereihe. Die anshließende laufende Betreuung durh den Datenshutzbeauftragten umfasst standardmäßig folgende Tätigkeiten: Information und Beratung der Geshäfts- bzw. Kanzleiführung regelmäßige, mindestens jährlihe Überprüfung der nah dem BDSG vorgeshriebenen Verfahrensübersihten und der darin enthaltenen Angaben Shulung und Information der Mitarbeiter im datenshutzgerehten Umgang mit personenbezogenen Daten Überwahung der ordnungsgemäßen Anwendung der eingesetzten Datenverarbeitungsprogramme Beratung bei der Umsetzung der Transparenzpflihten nah dem BDSG Siherstellung der Rehte betroffener Personen Beratung bei geplanten sogenannten Drittlandstransfers, also der Übermittlung personenbezogener Daten in ein Land außerhalb der Europäishen Union und des Europäishen Wirtshaftsraumes, bei der besondere Restriktionen greifen. Über den Standardumfang hinaus bietet DATEV weitere Datenshutz-Leistungen an, die optional gewählt werden können. Dazu gehören die Entwiklung von datenshutzbezogenen Rihtlinien und Arbeitsanweisungen oder die Erstellung und Pflege der nah dem BDSG vorgeshriebenen Verfahrensübersihten. Außerdem können die Spezialisten bei der Auswahl und der Einführung von spezifishen IT-Anwendungen beraten und deren Datenshutzkonformität prüfen. Weitere Informationen finden Interessierte unter Wenn es um den Shutz von Daten, Gebäuden und Mitarbeitern geht, hat das Personal in der Siherheitszentrale der DATEV eg alles im Blik. Kontakt: DATEV eg Nürnberg Tel / Fax onsulting@datev.de

8 ZD FOKUS hang sollte der Gesetzgeber dem Günstigkeitsprinzip im Beshäftigungsverhältnis Rehnung tragen (Franzen, RdA 2010, 257, 259). In der betrieblihen Praxis dürfte es zwar viele Fälle geben, bei denen die Einwilligung eine Datenverwendung rehtfertigt, die zwar rehtlih niht einseitig begünstigend wirke, aber bei realitätsnaher Betrahtungsweise vor allem dem Beshäftigten nutze (vgl. Düwell, a.a.o., S. 429). In Fällen von Praxisproblemen kann der Gesetzgeber nah dem trial and error -Prinzip außerdem immer noh nahjustieren. IV. Sonstige Fragen Der Regierungsentwurf lehnt die Zulässigkeit der verdekten Videoüberwahung ab. Als Ausgleih dafür soll die offene Videoüberwahung stärker auh zu Leistungs-/Verhaltenskontrollen i.r.e. abshließenden Katalogs erlaubt sein ( 32f).DieFrageist,wieweitmanden Zwek der Überwahung ausdehnen kann, ohne das Verhältnismäßigkeitsprinzip zu verletzen. Wie Thomas Knieper eindringlih dargelegt hat, sind die neuen Videotehniken geeignet, übershießende Auskünfte etwa über den Gesundheitszustand des Beshäftigten zu liefern (Knieper, in: Tinnefeld/Petri/Brink, MMR 2011, 427, 429.). Aus diesem Grund besteht bereits das Problem, welhe Methoden der Videoüberwahung überhaupt als geeignet und erforderlih eingestuft werden können. Die Zulässigkeit der Nutzung für andere Zweke, nämlih der Verhaltens- und Leistungskontrolle der Beshäftigten sollte prinzipiell auh im Rahmen einer kollektiven Vereinbarung niht ausgeweitet werden. Auf dem Prüfstein steht weiterhin die Whistleblowerklausel ( 38l Abs. 4). Die europarehtswidrige Beshränkung der Beshwerde von Whistleblowern zu den Aufsihtsbehörden steht niht mehr zur Debatte. Die Landesbeauftragten für den Datenshutz müssen ebenfalls als Ansprehpartner einbezogen werden. Allerdings soll keine Whistleblower-Regelung mehr in das geplante Gesetz aufgenommen werden. Das ist umso bedauerliher, als gerade die Frage nah der Zulässigkeit des Whistleblowing auh in transnationalen Unternehmen eine wihtige datenshutzrelevante Frage ist und dringend einer angemessenen Lösung zum Shutz des verantwortungsbewussten Whistleblowers und des eventuell auh zu Unreht bezihtigten Angezeigten bedarf. Weiterhin soll ein datenshutzgemäßer Privilegierungstatbestand für Fälle der Weitergabe und -nutzung von Beshäftigtendaten im Konzernverbund geshaffen werden (ausf. dazu Shild/Tinnefeld, DuD 9/2011). Dem Datenshutz im Konzern, insbesondere der Frage der Auftragsdatenverarbeitung im Konzern, kommt ein enormer Stellenwert zu, der supranational in der EU geregelt werden soll. Es ist notwendig, die Frage des Konzernprivilegs in der öffentlihen Diskussion unter Einbeziehung der Sozialpartner voranzutreiben. Dies gilt i.ü. auh für alle anderen kritishen Fragen im Beshäftigtendatenshutz, der nur in Partnershaft realisiert werden kann. Prof. Dr. Marie-Theres Tinnefeld ist Professorin für Datenshutz und Wirtshaftsreht an der Hohshule Münhen und Mitglied des Beirats der Zeitshrift ZD. Christian Regnery Datenlek beim Zoll: Forderung nah Seurity Breah Notie für Behörden Das aktuelle Datenlek beim Deutshen Zoll lässt Rufe nah einer Informationspfliht für Behörden lauter werden. So forderte der Bundesbeauftragte für den Datenshutz und die Informationsfreiheit (BfDI) Peter Shaar (MMR-Aktuell 2011, ), die Informationspfliht von Privatunternehmen bei Datenleks gem. 42a BDSG nunmehr auh auf Behörden auszuweiten. In diesem Sinne hatten bereits nah der Einführung des 42a BDSG zahlreihe Stimmen eine Erstrekung der Regelung auf den öffentlihen Bereih als sahgereht gefordert (Dix, in: Simitis, BDSG, 7. Aufl. 2011, 42a BDSG Rdnr. 2; Hornung, NJW 2010, 1841 f.; Gabel, in: Taeger/Gabel, Komm. zum BDSG, 42a BDSG Rdnr. 10). Nahfolgend sollen die bisherigen Regelungen in diesem Bereih sowie Möglihkeiten einer Erweiterung erörtert werden. 1. Hintergrund: Aktuelles Datenlek beim Deutshen Zoll In der Naht zum veröffentlihte eine Gruppe mit der Eigenbezeihnung NoName-Crew Daten der Polizei und Zollbehörden im Internet, die zuvor über Monate auf den Behördenservern ausgespäht worden waren. Der genaue Umfang ist derzeit noh unklar, da die Haker naturgemäß anonym agieren und Interviews mit angeblih verantwortlihen Personen niht verifizierbar sind. Jedenfalls wurden seitens der sog. NN- Crew Aussagen, etwa über das Portal gulli.om, bekannt, dass der Veröffentlihung noh weitere Veröffentlihungen folgen. Über mehrere Monate sollen unbemerkt über Trojaner Daten der Behörden abgeshöpft worden sein. Bei den Daten handelt es sih nah Auskunft von Spiegel- Online ( netzpolitik/0,1518,775012,00.html) u.a. um Bewegungsprofile aus dem Observationssystem Patras, mit dem die Daten von GPS-Peilsendern ausgewertet werden. Nah Bekanntgabe des Datenleks nahm die Bundespolizei den Server offline und warnte intern die Nutzer. Eine Warnung der betroffenen Personen oder aktive Veröffentlihung des Datenleks erfolgte niht. 2. Gesetzlihe Regelung zu Informationspflihten bei Datenleks In Deutshland gibt es vershieden Normen, die Informationspflihten bei Datenleks regeln. Diese Regelungen untersheiden sih sowohl in Bezug auf den Adressaten als auh in den Voraussetzungen und Rehtsfolgen. So werden teilweise Behörden mit Privatunternehmen gleihgestellt, mal finden sih Bußgeldtatbestände, mal fehlen gesetzlihe Konsequenzen bei Zuwiderhandlung. Neben 42aBDSGfindensihRegelungen auh in Spezialgesetzen: 93 TKG, 15a TMG, 83a SGB X. Die Landesdatenshutzgesetze nehmen im Wesentlihen auf 42a BDSG Bezug. Nur die Landesdatenshutzgesetze der Länder Berlin in 18a Bln-DSG, Rheinland-Pfalz in 18a DS-RLP und Meklenburg-Vorpommern in 23 DSG-MV haben derzeit eigene Regelungen. a) 42a BDSG Seit 2009 sind auh in Deutshland Privatunternehmen gem. 42a BDSG dazu VIII ZD Fokus ZD 1/2011

9 Die HASPA Finanzholding steht als geshäftsleitende Holding an der Spitze der HASPA-Gruppe mit einer Konzernbilanzsumme von rund 40 Milliarden Euro. Sie ist die Alleinaktionärin der Hamburger Spar kasse AG der größten deutshen Sparkasse und hält daneben unter anderem Beteiligungen an der NRS Norddeutshe Retail- Servie AG, der LBS Bausparkasse Shleswig-Holstein- Hamburg AG, der neue leben-versiherungsgruppe, der NM Nord-IMMO Management GmbH & Co. KG sowie dem Immobilienmakler Grossmann & Berger GmbH. Shwerpunkte unserer Tätigkeit sind die Weiterentwiklung der Unternehmensgruppe, das Beteiligungsmanagement sowie die Bereihe Finanzen und Reht. Die HASPA Finanzholding beshäftigt derzeit rund 45 Mitarbeiter. Für unser zukunftsorientiertes, interdisziplinäres Team suhen wir zum nähstmöglihen Termin in unserer Abteilung Vorstandssekretariat und Gremienbetreuung einen erfahrenen Juristen / Rehtsanwalt (m/w) Ihre Aufgaben - Ihnen obliegen die Vorbereitung und Begleitung der Organe in der Gruppe sowie Fragen der Corporate Governane und Compliane. Darüber hinaus sind Sie mit Satzungsfragen und deren Aufsiht betraut sowie mit den Vorstandsverträgen und dem Anzeigewesen. Neben der Bearbeitung shwerpunktmäßig gesellshaftsrehtliher Fragestellungen gehört auh die kommunikative Aufbereitung gemeinsamer Arbeitsergebnisse zu Ihren Aufgaben. Ihr Profil - Sie haben überdurhshnittlihe Examina abgelegt und Ihre hohe fahlihe Qualifikation mögliherweise durh eine erfolgreihe Promotion oder einen vergleihbaren akademishen Abshluss bestätigt. Ihre breiten zivil- und wirtshaftsrehtlihen Kenntnisse, insbesondere im Gesellshaftsreht, konnten Sie in einem Unternehmen mit Konzernstrukturen, vorzugsweise aus der Finanzdienstleistungsbranhe, oder einer wirtshaftlih ausgerihteten Groß- bzw. Mittelstandskanzlei anwenden. Ferner setzen wir Erfahrungen mit Gremien-/Vorstandsthemen voraus. - Ihre Kenntnisse und Berufserfahrungen mit klarem Fokus in den genannten Rehtsgebieten sind überzeugend. Sie verfügen über einen Blik für das Ganze und die Fähigkeit, sih immer wieder in neue und komplexe Aufgaben felder und Rehtsgebiete einzuarbeiten. Neben Ihrer ausgeprägten Umsetzungskompetenz sowie Durhsetzungsstärke sind Sie es gewohnt, Prozesse zu analysieren, zu strukturieren, methodish vorzugehen und lösungsorientiert zu realisieren. - Mit ausgeprägter Eloquenz und Ihrer starken Persönlihkeit bewegen Sie sih souverän im Umfeld auh gegenüber gehobenem Management. Gesunder Pragmatismus einhergehend mit einer sorgfältigen Arbeitsweise runden Ihr Profil neben einer großen Einsatzbereitshaft, Belastbarkeit sowie hoher Teamorientierung und Spaß an interdisziplinärem Arbeiten ab. Wenn Sie mehr über uns und die ausgeshriebene Position erfahren möhten, steht Ihnen Frau Anja Shulte unter Telefon gern zur Verfügung. Besuhen Sie uns im Internet unter Haben wir Ihr Interesse gewekt? Dann senden Sie Ihre Bewerbungsunterlagen bitte unter Angabe Ihrer Gehaltsvorstellung sowie des möglihen Eintrittstermins an HASPA Finanzholding, Personal, Niole Deditius, Hamburg Bewerbermanagement@haspa-finanzholding.de Wir freuen uns auf Ihre Bewerbung!

10

11 ZD FOKUS verpflihtet, bei Datenleks sowohl die Aufsihtsbehörde als auh die Betroffenen zu benahrihtigen, wenn bestimmte personenbezogene Daten Dritten unrehtmäßig zur Kenntnis gelangen und dadurh eine shwerwiegende Beeinträhtigung droht. Die Vorshrift soll helfen, Folgeshäden von Datenpannen zu vermeiden bzw. zu minimieren, und verfolgt daneben präventivezweke(gola/shomerus,bdsg, 10. Aufl. 2010, 42a Rdnr. 1). Durh die Pfliht zur Veröffentlihung des Datenleks gem. 42a Satz 5, ggf. durh halbseitige Anzeige in zwei bundesweit ersheinenden Tageszeitungen sowie einer hohen Bußgeldbewehrung bei Zuwiderhandlung gem. 42a, 43 Abs. 2 Nr. 7, Abs. 3 BDSG von bis zu a , oder darüber hinaus, wird ein starker Anreiz für die Geshäftsführung geshaffen, die Datensiherheit im Unternehmen zu erhöhen. Behörden, wie etwa Finanz-, Sozial- oder Polizeibehörden, sind von der Vorshrift allerdings ausgenommen. Lediglih öffentlih-rehtlihe Wettbewerbsunternehmen i.s.d. 27 Abs. 1 Satz 1 Nr. 2 werden von der Informationspfliht erfasst. Öffentlihe Stellen nehmen dann am Wettbewerb teil, wenn sie Leistungen erbringen, die auh von privaten Anbietern erbraht werden können und die öffentlihe Stelle keine rehtlihe Monopolstellung als Anbieter einnimmt (Bergmann/ Möhrle/Herb, Datenshutzreht, 27 BDSG Rdnr. 6). Hierunter fallen etwa Unternehmen im Bereih der Kredit- und Versiherungswirtshaft, Verkehrs- und Versorgungsunternehmen (Gola/Shomerus, a.a.o., 27 BDSG Rdnr. 7). b) 15a TMG, 93 TKG Ebenfalls eine Sonderregelung für Publizitätspflihten bei Datenleks enthalten die Regelungen der 15a TMG, 93 TKG. Diese mahen zwar keinen Untershied zwishen Art der Stelle, umfassen mithin grundsätzlih auh Behörden. Allerdings enthalten weder das TMG noh das TKG eine dem 42a, 43 BDSG entsprehende Sanktionsmöglihkeit, was als systemwidrig angesehen wird (Holländer, RDV 2009, 215, 221). ) 83a SGB X Eine spezialgesetzlihe Regelung für Sozialdaten enthält der neugefasste 83a ZD 1/2011 SGB X. Dieser bestimmt für Sozialbehörden eine Informationspfliht bei Datenleks in Bezug auf besondere Arten personenbezogener Daten i.s.d. 67 Abs. 12 SGB X, also Angaben über die rassishe und ethnishe Herkunft, politishe Meinungen, religiöse oder philosophishe Überzeugungen, Gewerkshaftszugehörigkeit, Gesundheit oder Sexualleben i.s.d. 3 Abs. 9 BDSG. Anders als 42a BDSG beshränkt sih die Norm zwar auf eine bestimmte Datenart und erfasst somit niht andere sensible Daten gem. 42a Abs. 1 Satz 1 Nr. 2-4 BDSG, also Daten, die einem Berufsgeheimnis unterliegen; Daten, die sih auf strafbare Handlungen oder Ordnungswidrigkeiten oder deren Verdaht beziehen; Daten zu Bank- oder Kreditkartenkonten. Allerdings ist ein Verstoß gegen die Informationspflihten wie in 42a, 43 BDSG bußgeldbewehrt. d) Landesgesetzlihe Regelungen Spezielle landesgesetzlihe Regelungen finden sih in Berlin, 18a Bln-DSG, Rheinland-Pfalz, 18a DS-RLP, und Meklenburg-Vorpommern, 23 DSG-MV. Während 23 DSG-MV nur eine allgemeine Benahrihtigungspfliht regelt, beinhalten 18a Bln-DSG und 18a DSG-RLP teils detaillierte Anforderungen an Behörden bei Datenpannen. Anders als 18a Bln-DSG, der sih an der bundesgesetzlihen Regelung orientiert und eine Ausnahme von der Informationspfliht allein zum Zwek der Strafverfolgung maht, lässt 18a Abs. 2 Satz 4 DSG-RLP zahlreihe Ausnahmen zu. So ist mit der Bezugnahme auf 18 Abs. 5 DSG-RLP etwa möglih, dass eine Auskunft unterbleibt, soweit die Auskunft die ordnungsgemäße Erfüllung der Aufgaben der Behörde gefährden würde; die Auskunft die öffentlihe Siherheit gefährden oder sonst dem Wohl des Bundes oder eines Landes Nahteile bereiten würde oder die Daten nah einer Rehtsvorshrift oder ihrem Wesen nah geheimgehalten werden müssen. Ein solher Verweis auf allgemeine Bestimmungen des Datenshutzrehts findet sih im Bln-DSG zwar niht. Allerdings findet sih auh hier, wie in den anderen landesrehtlihen Normen, kein eigener Bußgeldtatbestand bei Zuwiderhandlung, vergleihbar mit den 42a, 43 BDSG oder 83a, 85 SGB X. Rezensionen Tagungsberihte Termine Rezensionen Tagungsberihte NEU AUF DER HOMEPAGE Rezensionen Dr. Stefan Hanloser Gola/Shomerus, Bundesdatenshutzgesetz: BDSG, Kommentar, bearb. von Peter Gola, Christoph Klug, Barbara Körffer, Münhen (C.H. Bek) 10. Aufl. 2010, ISBN , a 54, Prof. Dr. Marie-Theres Tinnefeld Spiros Simitis (Hrsg.), Bundesdatenshutzgesetz, Baden-Baden (Nomos) 7. Aufl. 2011, ISBN , a 178, Hans-Herrmann Shild Hans D. Jarass, Charta der Grundrehte der Europäishen Union: GRCh, Kommentar, Münhen (C.H. Bek) 2010, ISBN , a 64, Tagungsberiht Manfred Weitz Beriht von der 1. Fahtagung der Tagungsreihe Update-Bundesdatenshutzgesetz am in Frankfurt/M. Termine + Termine + Termine + Termine + Termine + Termine + Termine ZD Fokus XI

12 ZD FOKUS e) Verfassungsrehtlihe Verpflihtung Teile der Literatur wollen, unabhängig von den einfah-gesetzlihen Regelungen, eine Informationspfliht der Behörden aus dem Rehtsstaatsprinzip i.v.m. den Grundrehten der Betroffenen herleiten (Gabel, a.a.o., Rdnr. 10; Albreht, DSB 9/2010, 15 f.). Auh wenn die Argumentation überzeugen mag (zust. Dix, a.a.o.) ist dieser Weg für den betroffenen Bürger aber wenig praxisgereht und kann niht zur Lösung der vorliegenden Frage beitragen. f) Zusammenfassung Zusammenfassend lässt sih sagen, dass keine stringente einheitlihe Systematik zum Problem der behördlihen Informationspfliht auf Bundes- und Landesebene existiert, partielle Regelungen von Informationspflihten für Behörden aber bestehen und mithin eine Ausweitung des 42a BDSG niht systemwidrig wäre. 4. Argumente für eine Ausweitung auf Behörden a) Shutzzwek Zunähst einmal stellt sih die Frage, warum angesihts der Bedeutung von Datenpannen bei Behörden diese von der Regelung des 42a BDSG überhaupt ausgenommen sind (zutreffend Hornung, a.a.o.). Ausgehend vom Shutzzwek der Norm kann es keinen Untershied mahen, ob die Daten von einer privaten Stelle oder einer Behörde erhoben worden sind. In beiden Fallgestaltungen wurden besonders sensible Daten durh ein Datenlek in der Sphäre der verantwortlihen Stellen ohne Wissen und entgegen dem erkennbaren Willen der Betroffenen Dritten bekannt gemaht. Behörden mit ihren weitgehenden gesetzlihen Befugnissen zur Datenerhebung erfordern im Gegenteil eine besonders hohe Kontrolle. Denn während Privatunternehmen oft (nur) Kontakt- und Bankdaten speihern, handelt es sih bei Behördendaten regelmäßig um hohsensible Daten wie etwa Sozialdaten, Steuerdaten, Familiendaten, Daten zu Vorstrafen und behördlihen Verfahren et. b) Rehtseinheitlihkeit Zudem ersheint die bisherige Herausnahme aus dem 42a BDSG oder den Landesdatenshutzgesetzen umso systemwidriger, da es im Bereih von TMG und TKG keine solhe Beshränkung auf Privatunternehmen gibt. Hier werden alle Diensteanbieter nah 15a TMG i.v.m. 2 Satz 1 Nr. 1 TMG und 93 TKG i.v.m. 3 Nr. 6 TKG verpflihtet. Erfasst sind alle öffentlihen Stellen, sofern sie Telemedien oder TK-Dienste erbringen, also insbesondere alle Internetportale der öffentlihen Verwaltung. Auh die Aufnahme der Informationspflihten für Sozialbehörden gem. 83a SGB X zeigt, dass eine bundesweite bußgeldbewehrte Regelung für Behörden durhaus möglih ist. ) Anleitung zur Nahahmung Gegen eine Ausweitung des 42a BDSG könnte angeführt werden, dass durh eine weitgehende Informationspfliht die Gefahr besteht, dass auh Rükshlüsse auf bestehende Siherheitslüken ermögliht würden und ggf. Nahahmer oder andere Dritte auf diese Weise tehnishes Know-how über die konkreten tehnishen Datenlüken bei der Behörde erlangen könnten. Dem muss man aber entgegnen, dass der Staat, der vertraulihe Daten seiner Bürger verwaltet, wohl kaum die eigene Unzulänglihkeit als Argument anführen kann, Betroffenen die Informationen zum fehlerhaften Umgang mit ihren Daten zu verweigern. Denn das Datenlek ist ja in der Sphäre der Behörde entstanden. Allein sie kann darauf hinwirken, dass ein solhes Datenlek niht entsteht. Zudem ist die Behörde bei Datenleks ohnehin gehalten, die bestehenden Lüken shnellstmöglih zu shließen, um weiteren Shaden abzuwenden. Zudem wären solhe Bedenken insofern unbegründet, als auh nah dem jetzigen 42a BDSG keine konkrete Angabe zum tehnishen Hintergrund erforderlih ist. Es muss gem. 42a Satz 3 BDSG vielmehr eine Darlegung der Art der unrehtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung mögliher nahteiliger Folgen enthalten. Weitergehende Informationen, etwa wie bestehende tehnish-organisatorishe Maßnahmen umgangen worden sind, brauhen niht zu erfolgen. d) Öffentlihe Interessen vs. Informationspflihten Hauptargument gegen eine Ausweitung des 42a BDSG ist, dass der Staat bestimmte Aufgabenbereihe auh im Geheimen wahrnehmen können muss. So könnten im aktuellen Fall eine Informationspfliht des Zolls bzw. der Bundespolizei die betroffenen Personen warnen und erstmals darüber informieren, dass gegen sie ermittelt wird. Auh andere Fallgestaltungen sind denkbar, in denen ein rehtsstaatlih fundiertes Geheimhaltungsinteresse einer umfassenden Informationspfliht entgegenstehen kann. In diesem Sinne regeln ja bereits 19 Abs. 3 und 4 BDSG im Rahmen des allgemeinen Auskunftsanspruhs, dass die Auskunft der Behörden an den Betroffen unterbleiben kann, sofern aus Gründen der öffentlihen Siherheit bzw. zur Erfüllung öffentliher Zweke das Interesse des Betroffenen zurüktreten muss. Allerdings folgt selbst aus dieser Regelung niht, dass überhaupt keine Auskunft erteilt werden muss. Denn selbst wenn eine Auskunft seitens der Behörde verweigert werden kann, so hat gem. 19 Abs. 6 BDSG in der Regel auf Verlangen der betroffenen Person zumindest eine Auskunft an den BfDI zu erfolgen. So ist ein Mindestmaß an Kontrolle gewährleistet. Ob diese Regelung bei einer Neuregelung des 42a BDSG überhaupt auf die behördlihe Informationspfliht übertragen werden müsste, wie dies etwa in Rheinland-Pfalz mit 18a Abs. 2 Satz 4 DSG-RLP i.v.m. 18 Abs. 5 DSG-RLP geshieht, kann bezweifelt werden. Denn bereits heute nennt 42a BDSG das Interesse an der wirksamen Strafverfolgung als Ausnahmetatbestand für eine umfassende und unverzüglihe Information des Betroffenen. In der Regel werden keine weitergehenden öffentlihen Interessen einshlägig sein, da der Staat ohnehin nur in begrenztem Maße und nur unter besonders engen Voraussetzungen geheimdienstlih tätig sein kann. Diesen Gedanken hat auh 18a Bln-DSG aufgenommen, der anders als die Regelung in Rheinland-Pfalz keine weiteren Ausnahmetatbestände als die Strafverfolgung zulässt. Selbst wenn man unterstellt, dass Geheimhaltungsinteressen der Behörden eine Auskunft an den Betroffenen ausshließen, so spriht dies jedenfalls niht gegen eine Auskunft an den BfDI als neutrale Kontrollinstanz, wie sie heute bereits in 19 Abs. 6 BDSG vorgesehen ist. Zudem können Geheimhaltungsinte- XII ZD Fokus ZD 1/2011

13 ZD FOKUS ressen niht gegen eine Bußgeldbewehrung ins Feld geführt werden. Im Gegenteil hat sih die Bußgelddrohung als wirksames Mittel bewährt, die verantwortlihen Stellen zur Verbesserung der Datensiherheit zu motivieren. 5. Wertung und Ausblik Die Herausnahme der Behörden aus 42a BDSG sheint wenig sahgereht, da es für die Betroffenen keinen Untershied maht, ob die abhanden gekommenen Daten von einer privaten Stelle oder einer Behörde stammen. Im Gegenteil werden die Daten der Behörde meist sensibler sein als Daten von privaten Unternehmen. Soweit bisher Landesgesetze diesen Bereih regeln, geshieht dies nur unzureihend, da zu weite Ausnahmetatbestände bestehen und keine Sanktion durh Bußgeldbewehrung besteht. Eine Neureglung des 42a BDSG ist dringend nötig und systemgereht. Eine Neuregelung bzw. neue spezialgesetzlihe Regelungen für einzelne Verwaltungsbereihe sollten sih am bisherigen 42a BDSG orientieren und wie die Regelung zur Sozialdatenverwaltung in 83a, 85 SGB X klare Bußgeldsanktionen mit wenig Ausnahmetatbeständen shaffen. Nur so kann man dem Interesse der Betroffenen gereht werden und die Behörden können nahhaltig zur Verbesserung ihrer tehnish-organisatorishen Maßnahmen bewegt werden. Vgl. zur europäishen Seurity Breah Notifiation Hanloser MMR 2010, 300 ff. Christian Regnery, LL.M. ist Rehtsanwalt und Fahanwalt für IT-Reht, Consultant für Datenshutz und IT-Compliane bei der intersoft onsulting servies AG in Hamburg. Isabell Conrad / Dominik Hausen BAG: Entsheidung für einen internen Datenshutzbeauftragten kaum abänderbar? Das Amt des betrieblihen Beauftragten für den Datenshutz hat einen hohen Stellenwert, der teilweise mit der Rolle eines Jahresabshlussprüfers oder Compliane Offiers vergleihbar ist. Dieser hohe Stellenwert ist in der europäishen Datenshutzrihtlinie 95/46/EG (DS-RL) verankert. Die DS-RL geht vom Grundsatz der Fremdkontrolle des betrieblihen Datenshutzes aus, eröffnet aber den Mitgliedstaaten die Möglihkeit für eine betrieblihe Selbstkontrolle, sofern eine unabhängige Überwahung der Anwendung der zur Umsetzung dieser Rihtlinie erlassenen einzelstaatlihen Bestimmungen sihergestellt ist (s. Art. 18 elearning Datenshutz ein optimales Instrument zur Sensibilisierung und Shulung der Mitarbeiter DOKUMENTATION MAßNAHMEN BERATUNG ANALYSE DATEN- SCHUTZ RISIKOBEWERTUNG > Inhalte individuell anpassbar durh Content Management System > Langjährige Aktualität durh Update Servie Bitte informieren Sie sih unter: Auh als elearning Informationssiherheit erhältlih. ditis Systeme Niederlassung der JMV GmbH & Co. KG The Seurity Company ein Unternehmen des Voith Konzerns Lise-Meitner-Straße Ulm Tel / Fax / peter.spindler@ditis.de ZD 1/2011 ZD Fokus XIII

14 ZD FOKUS Abs. 2 der RL). Diese unabhängige Überwahungsaufgabe hat der betrieblihe Datenshutzbeauftragte, was in der betrieblihen Praxis häufig übersehen wird und Streitpotenzial birgt. Viele betrieblihe Datenshutzbeauftragte sheuen den Gang zur Behörde oder zum Geriht auf Grund ihrer Loyalität zur verantwortlihen Stelle. Die Anzahl der Urteile, die sih mit den Einzelfragen zur Fahkompetenz und Zuverlässigkeit, zur Ausstattung und Unterstützung und zum Abberufungsshutz des betrieblihen Datenshutzbeauftragten beshäftigten, ist vergleihsweise gering. Mit Spannung erwartet wurde das Urteil des 10. Senats des BAG (U. v AZR 562/ 09; die Entsheidung wird in ZD 2/2011 abgedrukt). Das Urteil betrifft folgende Fragenkomplexe, die in der Entsheidung jedoh niht alle beantwortet werden: Was ist allgemein ein wihtiger Grund i.s.v. von 4f Abs. 3 Satz 4 BDSG, 626 BGB für einen Widerruf der Bestellung eines betrieblihen Beauftragten für den Datenshutz? Stellt allein die Mitgliedshaft eines internen Datenshutzbeauftragten im Betriebsrat einen solhen wihtigen Grund dar? Stellt die Organisationsentsheidung der verantwortlihen Stelle, die Aufgaben des betrieblihen Datenshutzbeauftragten zukünftig niht mehr durh eigenes Personal (interner Datenshutzbeauftragter), sondern durh Externe (externer Datenshutzbeauftragter) erledigen zu lassen, einen wihtigen Grund zur Abberufung des bisherigen internen Datenshutzbeauftragten dar? Gilt der Abberufungsshutz in 4f Abs. 3 Satz 4 BDSG gleihermaßen für externe Datenshutzbeauftragte? Hat dies faktish eine Unkündbarkeit externer Beauftragter zur Folge? Ist der Kündigungsshutz in 4f Abs. 3 Satz 5 BDSG analog auf externe Beauftragte anzuwenden? Erfordert die Abberufung eines internen Datenshutzbeauftragten zugleih eine Teilkündigung des zu Grunde liegenden Arbeitsverhältnisses? Endet das Amt des internen Datenshutzbeauftragten wegen seiner Akzessorietät mit dem Arbeitsverhältnis automatish mit Beendigung des Arbeitsverhältnisses oder bedarf es eines ausdrüklihen Widerrufs der Bestellung? Ist ein betriebliher Datenshutzbeauftragter, der bei einem Unternehmen der Fluggastbeförderungsbranhe mit a Beshäftigten nur a. 30% seiner Arbeitszeit für die Aufgaben des Datenshutzbeauftragten aufwendet, personell ausreihend ausgestattet? Welhe Auswirkungen hat eine unzureihende personelle bzw. finanzielle Ausstattung auf die Bestellung? Einshränkungen der unternehmerishen Entsheidungsfreiheit bei der Umgestaltung der Datenshutzorganisation Zwar ist das Unternehmen bei der erstmaligen Bestellung des Beauftragten frei, ob es einen (kompetenten und zuverlässigen) internen oder externen Datenshutzbeauftragten bestellt. Hat sih das Unternehmen einmal auf einen internen Datenshutzbeauftragten festgelegt, kann es dessen Bestellung niht allein mit der Begründung widerrufen, die Geshäftsleitung wolle nunmehr einen Externen konzernweit mit dieser Aufgabe betrauen. Allein in einer solhen (neuerlihen) Organisationsentsheidung liegt kein wihtiger Grund. Auh finanzielle oder personalpolitishe Erwägungen stellen keinen wihtigen Grund i.s.v. 4f Abs. 3 Satz 4 BDSG dar. Dem BAG ist hierin zuzustimmen, denn andernfalls stünde der Abberufungsshutz, der der Siherung der Unabhängigkeit des Beauftragten dient, zur Disposition der verantwortlihen Stelle. Niht speziell eingegangen ist das BAG auf die Frage, ob auh externe Datenshutzbeauftragte dem besonderen Shutz vor Abberufung unterfallen. Dazu gab der Sahverhalt, den das BAG zu entsheiden hatte, keine Veranlassung. Dem Wortlaut nah ist dies der Fall, da 4f Abs. 3 Satz 4 BDSG niht nah internen und externen Beauftragten untersheidet. Auh der Normzwek des Abberufungsshutzes trifft sowohl auf interne als auh auf externe Beauftragte zu. Andererseits könnte der Verweis in 4f Abs. 3 Satz 4 BDSG auf 626 BGB die Vermutung nahelegen, dass der Abberufungsshutz nur für Arbeitnehmer und damit nur für interne Datenshutzbeauftragte Anwendung findet (so z.b.gola/ Shomerus, BDSG, 10. Aufl., 4f Rdnr. 44). Der Bestellung eines externen Datenshutzbeauftragten liegt nah wohl überwiegender Auffassung ein Geshäftsbesorgungsvertrag und kein Arbeitsvertrag zu Grunde. Der besondere Kündigungsshutz für Datenshutzbeauftragte ( 4f Abs. 3 Satz 5 und 6 BDSG) ist nah überwiegender Ansiht auf externe Beauftragte niht anzuwenden (Gola/Shomerus, a.a.o., Rdnr. 40). I.S.d. DS-RL (s.o.) muss auh das Amt des externen Beauftragten unabhängig und shon deshalb vor willkürliher Beendigung geshützt sein. Im Einzelnen sheint insoweit noh vieles unklar. Ein Abberufungsshutz ohne Kündigungsshutz des zu Grunde liegenden Geshäftsbesorgungsverhältnisses läuft weitgehend ins Leere. Endet die Vergütungspfliht für die Geshäftsbesorgung wegen Kündigung durh die verantwortlihe Stelle, kann ein externer Beauftragter sein Amt faktish shwerlih fortführen. Teilweise wird daher vertreten, dass beim externen Beauftragten Geshäftsbesorgungsvertrag und Bestellung eine Einheit bilden mit der Folge, dass die Einheit nur bei Vorliegen eines wihtigen Grundes beendet werden kann (Bergmann/Möhrle/Herb, BDSG, 40. EL 2009, 4f Rdnr. 153e). Unter wettbewerbsrehtlihen Gesihtspunkten würde ein solher Shutz u.u. auf einen Konkurrentenshutz externer Beauftragter hinauslaufen, was angesihts der gesetzlihen Stellung mögliherweise hinzunehmen wäre. Wihtiger Grund für eine Abberufung... Ein wihtiger Grund i.s.v. 4f Abs. 3 Satz 4 BDSG erfordert nah Ansiht des BAG objektive und shwerwiegende Gründe für eine Abberufung. Eine weitere Tätigkeit als Beauftragter für den Datenshutz muss der verantwortlihen Stelle niht zumutbar sein. Ein wihtiger Grund zur Abberufung des Datenshutzbeauftragten liegt nah Ansiht des BAG vor, wenn dem Beauftragten eine weitere Ausübung der Tätigkeit unmöglih ist oder diese zumindest erheblih gefährdet ist. Dies ist etwa anzunehmen, wenn der Datenshutzbeauftragte die gesetzlih geforderte Fahkunde und Zuverlässigkeit ( 4f Abs. 2 Satz 1 BDSG) etwa wegen drohender Interessenskollisionen, eines Geheimnisverrats oder der dauerhaften Verletzung von Kontrollpflihten niht mehr besitzt. Andere Gründe, welhe das BAG nennt, hängen niht mit der Tätigkeit des Datenshutzbeauftragten zusammen, sondern sind betriebliher Natur. So sieht das Geriht einen wihtigen Grund auh darin, dass die Aufgaben des Datenshutzbe- XIV ZD Fokus ZD 1/2011

15 ZEITSCHRIFT FÜR DATENSCHUTZ EDITORIAL ZD1/2011 Herausforderungen an den Datenshutz bis 2020: Eine europäishe Perspektive Jeden Tag geben wir persönlihe Daten preis. Wenn wir am PC unsere Bankgeshäfte erledigen, uns online in sozialen Netzwerken bewegen, Smart Cards im öffentlihen Nahverkehr nutzen oder ein Navigationssystem im Auto verwenden wir hinterlassen jedes Mal digitale Spuren. Datendiebstahl kennt keine Grenzen Wenn wir reisen, erfassen Behörden vielerorts unsere Fluggastdaten. Bonuskarten registrieren unsere Vorlieben beim Einkaufen. Diese einzelnen Puzzleteile können von Behörden und Privatunternehmen zu Datenprofilen zusammengefügt werden. Das ist oftmals auh notwendig, denn unser Leben in der modernen informationsbasierten Gesellshaft wäre anders gar niht denkbar. Wir sind auf den freien Datenverkehr angewiesen, damit Wirtshaft, Verwaltung, Verkehr und polizeiliher Informationsaustaush funktionieren können. Was aber passiert mit unseren persönlihen Daten, die wir Behörden und Unternehmen täglih anvertrauen? Im Idealfall werden sie ausshließlih für den Zwek verwendet, zu dem wir unser Einverständnis gegeben haben, und anshließend gelösht, wenn sih der Verwendungszwek erledigt hat. Dies ist jedoh leider niht immer der Fall. Von unerwünshter Werbung bis hin zum Identitätsdiebstahl die Bandbreite der unerlaubten Weiterverwendung von persönlihen Daten ist groß. Gesetze der Mitgliedstaaten zum Datenshutz sind niht notwendigerweise ein effektives Gegenmittel: Wenn der Datendieb jenseits der Landesgrenze sitzt, helfen nationale Gesetze und Rehtsprehung niht weiter. Wie können wir also die Notwendigkeit eines freien Datenverkehrs mit dem Shutz der Privatsphäre in Einklang bringen? Und was kann Europa für einen effektiveren Datenshutz tun? Grundreht auf Datenshutz Der Shutz personenbezogener Daten ist ein Grundreht, das in Artikel 8 der EU-Grundrehteharta verankert ist. Damitist auf europäisher Ebene ein Grundreht etabliert, das in Deutshland dem vom Bundesverfassungsgeriht vor mehr als 20 Jahren formulierten Reht auf informationelle Selbstbestimmung entspriht. Das Grundreht auf Datenshutz gilt sowohl bei der Datenverwendung durh öffentlihe wie durh private Stellen. Das Datenshutzreht untersheidet dabei niht zwishen online Dr. Viviane Reding ist EU-Justizkommissarin und Vizepräsidentin der Europäishen Kommission in Brüssel. und offline, und auh niht zwishen EU-Bürgern und Drittstaatsangehörigen. Datenshutz ist für alle da. Bei der anstehenden Reform der EU-Datenshutzvorshriften wollen wir das europäishe Datenshutzreht an die tehnishe Entwiklung anpassen, um einen umfassenden Shutz zu gewährleisten. Die neuen EU-Regeln zum Datenshutz sollen für alle Bürger und für alle Politikbereihe der EU gelten. Das shließt auh den Bereih der Strafverfolgung und der polizeilihen und justiziellen Zusammenarbeit mit ein, auh wenn in diesem Bereih in manhen Fällen wihtige Siherheitsinteressen berüksihtigt werden müssen. Ein gemeinsamer EU-Datenshutzrahmen kann diesen Untershieden künftig durh differenzierte Interessenabwägungen in einzelnen Sahbereihen Rehnung tragen. Herausforderungen für ein neues Datenshutzreht Beim Datenshutz müssen wir uns großen Herausforderungen stellen. Einer rashen tehnishen Entwiklung und immer neuen Anwendungen steht ein Mosaik an nationalen Datenshutzregelungen gegenüber. Die bestehende EU-Rihtlinie zum Datenshutz stammt aus dem Jahr Zu dieser Zeit wurden persönlihe Daten in Rehenzentren verarbeitet, teilweise noh mit Hilfe von Lohkarten. Sofern Datenverarbeiter sih an die Datenshutzregeln hielten, war der Shutz personenbezogener Daten weitgehend gesihert. Diese heile Datenwelt ist längst passé. Heute ist jeder Einzelne ein mobiles Rehenzentrum. Wir können über das Internet jederzeit und beinahe überall Informationen einholen, andere können aber auh mühelos ein Profil unserer Bewegungen und Handlungen erstellen. Und auh die Datenspeiherung erfolgt niht mehr in einigen zentralen Rehenzentren, sondern in Behörden, Unternehmen, auf Servern in der Karibik und immer häufiger in der sogenannten Wolke. Die bestehende Rehtslage in den 27 EU-Mitgliedstaaten ist dieser neuen Datenwelt niht mehr gewahsen. Jeder Mitgliedstaat hat die EU-Vorgaben aus dem Jahr 1995 untershiedlih umgesetzt und mal stärker, mal weniger stark weiterentwikelt. Das Ergebnis ist ein Flikenteppih an untershiedlihen nationalen Datenshutzvorgaben, die zu einem ernsthaften Hindernis in unserem Binnenmarkt zu werden drohen und sih in der Praxis oft niht grenzübershreitend durhsetzen lassen. Diese unklare, fragmentierte europäishe Rehtslage shadet allen. ZD 1/2011 Editorial 1

16 Wenn wir moderne, nutzerorientierte Unternehmen sowie informierte und selbstbestimmte Bürger wollen, dann brauhen wir ein neues, modernes und einheitlihes EU-Datenshutzreht. Unternehmen genauso wie die Bürger müssen sih auf verlässlihe Regeln und einen einheitlihen Shutz verlassen können, wenn sie ihre Daten preisgeben oder weiterverarbeiten. Das neue EU-Datenshutzreht: 5 Ekpunkte für einen zukunftsfesten Datenshutz Das neue EU-Datenshutzreht muss systematish, verständlih und lesbar sein. Es muss den gegenwärtigen und den künftig absehbaren Herausforderungen für das Grundreht auf Datenshutz gereht werden. Das Reht auf Vergessen Nutzer müssen das Reht haben und niht nur die Möglihkeit die Zustimmung zur Verarbeitung ihrer Daten jederzeit zurükzuziehen, wenn die Datenverarbeitung auf ihrer Einwilligung beruht. Die Beweislast muss dabei beim Datenverarbeiter liegen er muss nahweisen, dass die Daten weiter gespeihert werden müssen, niht der Nutzer. Transparenz Der Einzelne muss klar und deutlih darüber informiert werden, welhe Daten gesammelt werden, zu welhem Zwek und für wen diese Daten einsehbar sind. Nutzer müssen wissen, welhe Rehte sie haben und an welhe Behörde sie sih wenden können, wenn diese Rehte verletzt werden. Nahteilige Nutzungsbedingungen werden häufig niht klar erklärt Nutzer erfahren beispielsweise niht, dass bestimmte Informationen öffentlih gemaht werden können. Die Kommission will hier erweiterte Transparenzanforderungen durhsetzen, z.b. eine ständig einsehbare Datenshutzerklärung im Internet. Die besondere Gefahr, die von Profilbildung ausgeht, ist natürlih niht auf soziale Netzwerke beshränkt. Das Anlegen von Datenprofilen darf aber nur auf konkreter gesetzliher Grundlage zulässig sein, oder auf Basis der informierten Einwilligung des Betroffenen. Die Einwilligung muss jederzeit widerrufbar sein und der Widerruf die sofortige Löshung des Profils zur Folge haben. Datenshutz durh Gestaltung Eine transparente, datensparsame, kontrollierbare und Missbräuhe vermeidende Tehnikgestaltung kann zur Begrenzung von Risiken beitragen. Das bedeutet, wenn neue Geräte, Programme und Anwendungen entwikelt werden, muss der Datenshutz Teil des Entwiklungsprozesses sein Privay by Design also. Dies kann beispielsweise mit Hilfe von Risikoabshätzungen geshehen, also einer Art Datenshutzfolgenabshätzung. Auh auf europäisher Ebene haben wir neuerdings eine Art Datenshutzfolgenabshätzung für neue Gesetzesvorhaben. Denn Artikel 8 der EU-Grundrehteharta garantiert den Shutz personenbezogener Daten auh und gerade gegenüber den EU-Institutionen. Deshalb hat die Kommission eine Grundrehts-Chekliste entwikelt, um die Abshätzung der Folgen all unserer Gesetzesinitiativen für die Grundrehte zu verbessern das gilt natürlih auh und insbesondere für den Shutz der Privatsphäre. Verantwortung für den Umgang mit personenbezogenen Daten Behörden und Unternehmen sind ihren Mitarbeitern und Kunden den verantwortungsvollen Umgang mit persönlihen Daten shuldig. Die Geshäftsmodelle vieler Unternehmen heute vor allem in der IT-Branhe basieren auf dem Vertrauen der Verbrauher. Bürger sheinen jedoh mehr und mehr um die Siherheit ihrer Daten besorgt, und das niht ohne Grund. Wir erleben derzeit geradezu eine Welle von Datenpannen, Datendiebstählen, Datenverlusten durh Softwarefehler oder auh kommerziell bewusst getätigter Datenverkäufe. Ob ein Navigationsgerätehersteller Informationen an Dritte weiterverkauft; ob ein Haker sih durh eine Attake auf Sonys Onlineplattformen Zugriff auf rund 77 Mio. Nutzerkonten vershafft und die Betroffenen erst eine Wohe später über diesen Vorfall informiert oder ob Millionen Geräte des Herstellers Apple ungefragt Ortsdaten aus Funknetzen speihern: Ih persönlih kann es verstehen, wenn angesihts solher Vorfälledas Vertrauen unserer Bürger in die Informationsgesellshaft sinkt. Dieses Vertrauen gilt es wieder herzustellen durh gute Gesetzgebung, aktive und unabhängige Datenshutzbehörden auf nationaler Ebene und eine verantwortungsvolle Politik der Unternehmen. Die bestehende EU-Datenshutzrihtlinie enthält im Artikel 17 Vorgaben zur Siherheit der Verarbeitung von Daten. So müssen die Verantwortlihen die geeigneten tehnishen und organisatorishen Maßnahmen durhführen, um den Shutz gegen den zufälligen Verlust oder einen unberehtigten Zugang und die Weitergabe von Daten zu gewährleisten. Nutzer müssen informiert werden, wenn sih jemand unrehtmäßig Zugang zu ihren Daten vershafft. Diese Informationspfliht habe ih vor vier Jahren im Telekommunikationsbereih eingeführt. Ih plane sie nun bei der Überarbeitung der Datenshutzregelungen auf andere Bereihe auszuweiten. Es ist essenziell für das Vertrauen der Kunden, dass sie wissen und kontrollieren können, was mit ihren Daten geshieht. Eine andere Maßnahme, die das Vertrauen der Menshen erhöhen kann und die ih ausdrüklih befürworte, ist die Einführung von behördlihen oder betrieblihen Datenshutzbeauftragten, die sih intern um die Einhaltung der Datenshutzvorshriften kümmern. Deutshland hat hier bereits eine Vorreiterrolle eingenommen. Europäishes Reht besagt, dass Daten grundsätzlih nur entweder mit der vorherigen Einwilligung des Betroffenen oder aus anderen gesetzlih genau festgelegten Gründen verarbeitet oder weitergereiht werden dürfen. Diese Verantwortung der Unternehmen muss unabhängig davon gelten, wo die Daten verarbeitet werden oder wo der Datenverarbeiter seinen Firmensitz hat. Es muss unser Ziel sein, für alle Betroffenen in der EU ein gleih hohes Shutzniveau siherzustellen, auh dann, wenn ihre personenbezogenen Daten außerhalb der EU verarbeitet werden. Das Erbringen einer kommerziellen Dienstleistung, die sih gezielt an Personen rihtet, die EU-Bürger sind oder sih in der EU niedergelassen haben, reiht aus, damit EU-Reht anwendbar wird. Eine unabhängige Datenshutzkontrolle Das beste Datenshutzkonzept kann nur funktionieren, wenn es durhgesetzt wird. Dazu brauht es eine Kontrollinstanz, an die Betroffene sih wenden können, wenn ihr Grundreht auf Datenshutz verletzt wird. Shlagkräftigere und vollkommen unabhängige Datenshutzaufsihtsbehörden in den Mitgliedstaaten, die europaweit effizient zusammenarbeiten, sind die Lösung. Ih bin zuversihtlih, dass es allen Mitgliedstaaten gelingen wird, dieses Unabhängigkeitsgebot mit ihren Verfassungstraditionen in Einklang zu bringen. Denn unabhängige Datenshutzbehörden dienen letzten Endes dem verfassungsrehtlih geshützten Grundreht auf Datenshutz. Der Datendiebstahl maht vor Ländergrenzen niht halt. Wir müssen den Datenshutz in Europa auf ein stabiles, zukunftsfestes Fundament stellen. Transparente, verständlihe und durhsetzbare Regeln werden helfen, das Vertrauen der Nutzer zurükzugewinnen, und es Firmen leihter mahen, persönlihe Daten siher und gesetzeskonform zu verarbeiten. Persönlihe Daten müssen geshützt sein, egal ob sie im Inland, im europäishen Ausland oder außerhalb der EU verarbeitet werden. Deshalb werde ih in den kommenden Monaten einen konkreten Entwurf zur Neufassung des EU-Datenshutzrahmens vorlegen. Ih bin zuversihtlih, dass die Europäishe Kommission damit einen Gesetzgebungsprozess anstoßen wird, an dessen Ende das Europäishe Parlament und die 27 Mitgliedstaaten den Datenshutz in Europa reif für das 21. Jahrhundert mahen werden. 2 Editorial ZD 1/2011

17 BEITRAGE THOMAS HOEREN Google Analytis datenshutzrehtlih unbedenklih? Verwendbarkeit von Webtraking-Tools nah BDSG und TMG Webseiten-Analyse Surfprofil Bestimmtheit der Person Dynamishe IP-Adresse Zusammenführen von Daten Cookie-Sperre Google Analytis ist ein kostenloser Dienst von Google, der die Analyse des Zugriffs auf Webseiten ermögliht. Die Zulässigkeit einer solhen Analyse ist jedoh umstritten, gerade auh nah Maßgabe des deutshen Datenshutzrehts. Daher sheuen sih viele Unternehmen, das Tool einzusetzen. Der folgende Beitrag setzt sih mit der Vereinbarkeit solher Webtraking-Dienste mit den Vorgaben des TMG und des BDSG auseinander. Google Analytis is a free servie offered by Google that allows theanalysisofaessto Web pages. The admissibility of suh an analysis is ontroversial, espeially in view of the legal requirements of German data protetion law. Therefore, many ompanies are relutant to use the tool. The following artile disusses the ompatibility of suh Web traking servies with the requirements of the Telemedia At and the Federal Data Protetion At. I. Beshreibung des Dienstes Was ist Google Analytis? Bei dem von Google angebotenen Dienst Google Analytis handelt es sih um eine Weiterentwiklung einer ursprünglih von der Urhin Software Corporation stammenden Tehnik. Im März 2005 übernahm Google das Unternehmen Urhin, 1 welhes zu diesem Zeitpunkt bereits ein Programm entwikelt hatte, das durh die Auswertung von Logdateien Informationen über das Nutzerverhalten auf Websites grafish darstellen konnte. Das Programm wurde als Kaufversion vertrieben sowie als ASP-Lösung unter dem Namen Urhin on demand. Während die Kaufversion auh nah der Übernahme durh Google In. weiterentwikelt wurde, benannte man Urhin on demand um und veröffentlihte es Ende 2005 kostenfrei als Google Analytis. 2 Bei dem Programm handelt es sih um ein sog. Traking-Tool, mit dessen Hilfe nahvollzogen werden kann, von wo aus die zu analysierende Website angesteuert und in welhe Rihtung sie anshließend wieder verlassen wurde. 3 Dabei werden Nutzungsdaten, wie die Anzahl der Zugriffe, die Zahl der Nutzer und ihre regionale Herkunft, die aufgerufenen Seiten, die Verweildauer auf dem Angebot, Informationen über das vom Nutzer verwendete Endgerät sowie dessen IP-Adresse erhoben. 4 Analytis wird von vielen Webseitenbetreibern zu Zweken der Marktforshung, Werbung oder bedarfsgerehten Gestaltung ihrer Angebote genutzt. 1 Web-Analysesoftware html. 2 Analytis html. 3 Kirsh, MMR-Aktuell 2011, Stellungnahme des ULD Shleswig Holstein, Datenshutzrehtlihe Bewertung des Einsatzes von Google Analytis, Januar 2009, S. 1, abrufbar unter: MMR 8/2008, S. VIII MMR-Aktuell 2011, Tehnishe Realisierung Zur Implementierung des Google-Dienstes bettet der Betreiber der zu analysierenden Website ein JavaSript in seine Seite ein, welhes zwei Funktionen übernimmt: Zum einen leitet es die IP- Adresse der Besuher der Seite an Google In. weiter. Außerdem wird auf den Rehnern der Seitenbesuher ein First Party Cookie abgelegt, der mit einer eindeutigen Identifikationsnummer versehen ist. Er dient dazu, den Browser des Nutzers bei einer Wiederkehr auf die Seite unmittelbar wieder für Google identifizierbar zu mahen. Die Identifikationsnummer des Cookies wird dabei auh direkt an Google In. übertragen. 5 Diese beiden Nutzungsdaten werden anshließend von Google analysiert und die statistishen Auswertungsergebnisse wiederum an den Webseitenbetreiber übermittelt. 6 Google selbst kann mit Hilfe des Cookies die Nutzungsdaten vershiedener Webseiten zu einem Surfprofil des Nutzers zusammenfügen, d.h., das Unternehmen hat Kenntnis aller Analytis-basierten Webseiten, die der Nutzer besuht hat. Die so erlangten Nutzungsdaten kann Google für weitere eigene Auswertungen verwenden Wirtshaftlihe Bedeutung Der Google Analytis-Dienst stieß shon bei seiner Markteinführung Ende 2005 auf enormes Interesse. Auf Grund der großen Nahfrage kam es sogar dazu, dass Google Anfang 2006 zunähst keine weiteren Anmeldungen zu dem Servie mehr zuließ bzw. dies nur noh auf eine Einladung hin möglih war. Dieser Anmeldestopp wurde nah einer Erweiterung der Kapazitäten erst im Sommer 2006 wieder aufgehoben. 8 Heutzutage ist Google Analytis das meistverwendete Webanalyseprogramm überhaupt. Nah einer Kontrolle des Landesbeauftragten für Datenshutz in Rheinland-Pfalz nutzten im Januar 2011 z.b. mehr als die Hälfte der 100 größten Unternehmen in dem Bundesland Traking-Tools für ihre Webseiten. Etwa ein Viertel griff dabei auf Google Analytis zurük. 9 Eine andere Statistik aus dem Jahr 2009 zeigte, dass damals fast die Hälfte der beliebtesten deutshen Onlineangebote Google Analytis einsetzten. 10 II. Rehtlihe Probleme Die Funktionsweise von Google Analytis wirft erheblihe datenshutzrehtlihe Bedenken auf. ZD 1/2011 Hoeren: Google Analytis 3

18 1. Anwendbarkeit des Datenshutzrehts Zwar könnte man grundsätzlihe Zweifel daran äußern, dass das Datenshutzreht überhaupt auf den typisherweise beim Einsatz von Google Analytis vorliegenden Sahverhalt Anwendung findet. Denn dies ist regelmäßig nur dann der Fall, wenn dabei personenbezogene Daten erhoben, verarbeitet und genutzt werden. Die Frage ist maßgeblih nah dem TMG zu beantworten, da es sih sowohl bei den jeweiligen Webseitenbetreibern als auh bei Google um Dienstanbieter i.s.d. 2 Nr. 1 TMG handelt, auf deren Handeln zunähst gem. 1 Abs. 1 TMG das Telemediengesetz mit seinen bereihsspezifishen Datenshutzregelungen vorrangig Anwendung findet. Das BDSG kann dagegen nur ergänzend herangezogen werden. Personenbezogene Daten sind gem. 12 Abs. 3 TMG, 3 Abs. 1 BDSG Einzelangaben über persönlihe oder sahlihe Verhältnisse einer bestimmten oder bestimmbaren natürlihen Person. Bestimmbarkeit der Person ist dann gegeben, wenn die betroffene Person noh niht durh die Daten allein, jedoh mit Hilfe anderer Informationen identifiziert werden kann. 11 Im vorliegenden Fall könnte es an der Bestimmtheit oder Bestimmbarkeit der Person fehlen, deren IP-Adresse und Cookie-Identifikationsnummer an Google gesendet werden. Denn für einen Dritten lässt sih allein aus diesen Angaben niht ohne weiteres auf die dahinterstehende real existierende und handelnde natürlihe Person shließen. Vor diesem Hintergrund wird es unmittelbar klar, warum die Frage, ob eine IP-Adresse grundsätzlih ein personenbezogenes Datum darstellt, seit einigen Jahren in Rehtsprehung und Literatur hoh umstritten ist. Weitgehende Einigkeit herrsht darüber, dass eine statishe IP-Adresse ein personenbezogenes Datum darstellt, lässt sie sih doh eindeutig einem Anshlussinhaber zuordnen. 12 Probleme kann dies nur dann bereiten, wenn die IP-Adresse einem Rehner zugewiesen ist, der von einer Vielzahl von Personen genutzt wird, wie es regelmäßig in großen Firmen der Fall sein wird. 13 Der Streit beshränkt sih also auf dynamishe IP-Adressen, die permanent neu vergeben werden. Hier kommt es maßgeblih darauf an, ob man bei der Frage nah der Bestimmbarkeit der hinter den Daten stehenden Person einen absoluten oder einen relativen Begriff verwendet. Nah der Theorie der absoluten Personenbezogenheit besteht die Bestimmbarkeit bereits dann, wenn abstrakt für irgendjemanden (also auh niht zwingend für die verarbeitende Stelle) die Möglihkeit besteht, die Daten der dahinterstehenden natürlihen Person zuzuordnen. 14 Anders sehen es die Vertreter der (noh) h.m., die von einem relativen Personenbezug ausgehen. Dieser soll immer dann vorliegen, wenn die konkrete datenverarbeitende Stelle mit vertretbarem Aufwand eine Identifikation der natürlihen Person hinter der IP-Adresse vornehmen könnte, 15 sei es durh eigenes Zusatzwissen, 16 sei es durh frei verfügbares Wissen. 17 Nah der ersten Theorie stellt eigentlih jede IP-Adresse an sih shon ein personenbezogenes Datum dar, werden doh durh die Aess-Provider (teilweise noh) Log-Protokolle geführt, anhand derer sih die IP-Adresse dem jeweiligen Kunden zuordnen lässt, solange diese aufbewahrt werden. Doh auh nah dem relativen Begriff dürfte im Fall Google die IP-Adresse ein personenbezogenes Datum sein. Denn das Unternehmen bietet in der breit gefäherten Palette seiner Dienste eine ganze Reihe von Servies an, für die man sih mit dem eigenen Klarnamen bzw. zumindest einer -Adresse identifizieren muss. Für Google wird daher in einer Vielzahl der Fälle die zumindest theoretishe Möglihkeit bestehen, die entsprehenden Daten zusammenzuführen und so den Webseiten- den Nutzungsbedingungen des Servies untersagt sei, personenbezogene Daten der Besuher mit Webanalysedaten zusammenzuführen. 19 Andererseits behält sih Google selber dieses Reht im Rahmen seiner allgemeinen Datenshutzbedingungen vor. 20 Vor diesem Hintergrund dürfte es äußerst zweifelhaft sein, ob es niht doh zu einer Zusammenführung der entsprehenden Daten kommt. Darüber hinaus ist es auf Grund der shieren Menge der Websites, die mittlerweile Google Analytis nutzen, ebenfalls möglih, umfassende Nutzungs- und Bewegungs - Profile der so identifizierten Internetnutzer zu erstellen. Ähnlih verhält es sih mit der ebenfalls übertragenen ID des Cookies, der durh den Analytis-Dienst auf den Rehnern der Besuher der Website abgelegt wird. Auh diese kann durh Kombination mit weiteren bei Google vorhandenen Daten hypothetish zu einer Identifikation der dahinterstehenden natürlihen Person benutzt werden bzw. zumindest Google in die Lage versetzen, ein Unique-User-Profil über den jeweiligen Nutzer anzulegen. Insofern besteht zumindest die ernstzunehmende Gefahr, dass personenbezogene Daten verarbeitet werden. Mithin ist von einer Anwendbarkeit des Datenshutzrehts auszugehen. 2. Rehtlih relevante Vorgänge Zu fragen ist weiter, ob ein rehtlih relevanter Vorgang vorliegt. Dies wäre dann der Fall, wenn es im Laufe des bei Google Analytis angewandten Verfahrens zu einer Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten käme. Zwar dürfte es vor dem Hintergrund, dass Google sih die weitere Nutzung der an das Unternehmen übermittelten Daten vorbehält, kaum möglih sein, genau zu sagen, welhe Verarbeitungshandlungen im Detail vorliegen. Zumindest stellt aber die Feststellung der IP-Adresse bzw. der Cookie-ID ein Erheben personenbezogener Daten i.s.d. 3 Abs. 3 BDSG dar. Ebenfalls steht fest, dass diese Daten anshließend an Google gesendet werden, damit dort die Auswertungsstatistiken für den Webseitenbetreiber erstellt werden können. Mithin liegt im Verhältnis des Webseitenbetreibers zu Google eine Datenübermittlung i.s.d. 3 Abs. 4 Nr. 3a BDSG vor sowie ein anshließendes Speihern und Nutzen der Daten im Hause Google, 3 Abs. 5, 4 Nr. 1 BDSG. 3. Beurteilung der Vorgänge Grundsätzlih ist gem. 12 Abs. 1 TMG die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann zulässig, wenn entweder eine Einwilligung des Nutzers oder eine gesetzlihe Ermähtigung besteht. a) Einwilligung Google shreibt den Nutzern seines Analytis-Servies in Ziff. 8.1 der Nutzungsbedingungen 21 vor, die Aufmerksamkeit der Nutzer der Website auf eine Erklärung zu lenken, die im Wesentlihen diesem von Google vorgegebenen Text entspriht: 11 Damann, in: Simitis (Hrsg.), Komm. zum BDSG, 6. Aufl., 3 Rdnr Voigt, MMR 2009, 377, 378 m.w.nw. 13 Zu diesem Problem auh Voigt, MMR 2009, 377, AG Berlin K&R 2007, 600, 601 m.w.nw.; Shaar, Datenshutz im Internet, Rdnr. 175; Weihert, in: Däubler/Klebe/Wedde/Weihert, Basiskomm. zum BSDG, 3. Aufl., 3 Rdnr. 13; Pahlen-Brandt, DuD 2008, 34 f. 15 AG Münhen K&R 2008, 767; Gola/Shomerus, BDSGKomm., 9. Aufl., 3 Rdnr. 10; Spindler/Nink, in: Spindler/Shuster (Hrsg.), Reht der elektronishen Medien, 2. Aufl., 11 TMG Rdnr. 5b; Damann (o. Fußn. 11), 3 Rdnr Weihert (o. Fußn. 14), 3 Rdnr Damann (o. Fußn.. 11), 3 Rdnr. 36. besuher eindeutig zu identifizieren So auh Voigt, MMR 2009, 377, 379. Zwar weist das Unternehmen in den Datenshutzbestimmungen zu Analytis darauf hin, dass es den Analytis-nutzenden Webseitenbetreibern nah Abrufbar unter: 4 Hoeren: Google Analytis ZD 1/2011

19 Diese Website benutzt Google Analytis, einen Webanalysedienst der Google In. ( Google ). Google Analytis verwendet sog. Cookies, Textdateien, die auf Ihrem Computer gespeihert werden und die eine Analyse der Benutzung der Website durh Sie ermöglihen. Die durh den Cookie erzeugten Informationen über Ihre Benutzung dieser Website (einshließlih Ihrer IP-Adresse) wird an einen Server von Google in den USA übertragen und dort gespeihert. Google wird diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auh wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlih vorgeshrieben ist oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten von Google in Verbindung bringen. Sie können die Installation der Cookies durh eine entsprehende Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoh darauf hin, dass Sie in diesem Fall gegebenenfalls niht sämtlihe Funktionen dieser Website vollumfänglih nutzen können. Durh die Nutzung dieser Website erklären Sie sih mit der Bearbeitung der über Sie erhobenen Daten durh Google in der zuvor beshriebenen Art und Weise und zu dem zuvor benannten Zwek einverstanden. Die Voraussetzungen der Einwilligung sind in 4a BDSG und 13 Abs. 2 TMG geregelt. Zwar könnte man bei einer Veröffentlihung dieses Textes daran denken, im letzten Satz eine entsprehende Einwilligung zu sehen. Doh hängt dies auh maßgeblih davon ab, ob und wie der jeweilige Webseitenbetreiber den Text auf seiner Internetseite platziert, selbst wenn der von Google vorgegebene Originaltext verwendet wird. Denn wenn der Text nur irgendwo auf der Internetseite angezeigt wird und der Nutzer die Kenntnisnahme niht gesondert bestätigen muss, dürfte es fraglih sein, ob er durh das reine Surfen auf der Seite bewusst und eindeutig seine Einwilligung erklärt hat, wie es 13 Abs. 2 Nr. 1 TMG fordert. 22 b) Gesetzlihe Erlaubnis Eine andere Möglihkeit, um die Datennutzung i.r.v. Google Analytis rehtskonform auszugestalten, ist das Vorliegen einer gesetzlihen Erlaubnis. 15Abs.3TMG Die gesetzlihe Erlaubnis könnte sih zunähst aus 15 Abs. 3 TMG ergeben. Hiernah darf der Dienstanbieter für Zweke der Werbung, der Marktforshung oder zur bedarfsgerehten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem niht widerspriht. Zunähst ist hierzu anzumerken, dass es vor dem Hintergrund des bereits oben Gesagten mehr als fraglih sein dürfte, ob die Voraussetzungen des 15 Abs. 3 TMG durh Google eingehalten werden. Denn gem. 15 Abs. 3 Satz 3 TMG dürfen die erstellten Nutzungsprofile niht anshließend wieder mit Daten über den Träger des Pseudonyms zusammengeführt werden. 22 Vgl. Spindler/Nink (o. Fußn. 15), 13 TMG Rdnr Eiermann_-_Profilneurosen.pdf pdf. 25 Vgl. Gola/Shomerus (o. Fußn. 15), 11 Rdnr So z.b. der Shleswig-Holsteinishe Datenshutzbeauftragte: tenshutzzentrum.de/traking/ _ga_stellungnahme.pdf. 27 MMR-Aktuell 2011, Gola/Shomerus (o. Fußn. 15), 11 Rdnr. 16 m.w.nw. Hieran bestehen aber vor allem vor dem Hintergrund der o.g. Ausführungen zu den Datenshutzbestimmungen von Google erheblihe Zweifel. Außerdem muss der Nutzer, über den ein Profil erstellt wird, gem. 15 Abs. 3 Satz 2 TMG auf seine Widerspruhsmöglihkeit hingewiesen werden. Dieser Hinweis könnte zwar ebenfalls in der oben abgedrukten Erklärung gesehen werden. Doh merkte bereits der Datenshutzbeauftragte von Rheinland Pfalz an, dass der Hinweis auf eine Möglihkeit für den Nutzer, eine Cookie-Sperre einzurihten, nah seiner Ansiht kein ausreihendes Widerspruhsreht i.s.d. 15 Abs. 3 TMG darstelle. 23 Dies war früher auh bereits vom Unabhängigen Landeszentrum für Datenshutz Shleswig-Holstein so geäußert worden, das darauf hinwies, dass die Einrihtung einer entsprehenden Cookie-Sperre sowohl tehnish als auh rehtlih niht zumutbare Belastungen für den Webseitennutzer mit sih bringe. Denn in tehnisher Hinsiht müsse der Nutzer seinen Browser dann so konfigurieren, dass dieser grundsätzlih keine First- Party-Cookies mehr akzeptiere, was aber die Nutzbarkeit vieler Websites massiv einshränke. In rehtliher Hinsiht bestehe für den Dienstanbieter i.r.d. 15 Abs. 3 Satz 2 TMG die Verpflihtung, die Durhsetzbarkeit des Widerspruhsrehts tehnish zu realisieren. Diese Verpflihtung sei aber durh die vorgeshlagene Einrihtung einer Cookie-Sperre auf den Nutzer abgewälzt worden. 24 Zusammenfassend bleibt festzustellen, dass 15 Abs. 3 TMG keine tauglihe Erlaubnisnorm für die fraglihen Vorgänge darstellt. Weitere gesetzlihe Erlaubnisnormen sind niht ersihtlih, sodass eine Datenverarbeitung niht auf ein Gesetz gestützt werden kann. 11BDSG Eine gesetzlihe Erlaubnis wäre jedoh dann niht erforderlih, wenn es sih bei der Weiterleitung der Daten an Google lediglih um eine Auftragsdatenverarbeitung i.s.d 11 BDSG handeln würde. Denn in diesem Fall stellt die Weiterleitung der Daten an Google kein Übertragen derselben an einen Dritten i.s.d. 3 Abs. 4 Nr. 3a BDSG dar. 25 Prinzipiell wird das Vorliegen eines Auftragsverhältnisses i.s.d. 11 BDSG zwishen den Websitebetreibern und Google von den zuständigen datenshutzrehtlihen Aufsihtsbehörden bejaht, 26 auh wenn der Websitebetreiber in der Regel keine ausreihenden Kontroll- und Einflussmöglihkeiten auf Google habe. 27 Dies spriht aber trotzdem niht dagegen, dass weiterhin eine Übertragung der Daten vorliegt. Denn gem. 3 Abs. 8 Satz 3 BDSG ist dies selbst i.r.e. ordnungsgemäßen Auftragsdatenverarbeitung der Fall, wenn die Daten in ein Drittland gesendet werden. 28 Nah den ausdrüklihen Erklärungen von Google In. (s. z.b. der in den Nutzungsbedingungen empfohlene Text oben) erfolgt die Auswertung der Daten auf Servern in den USA. So entfällt die Übermittlung trotzdem niht. Mangels gesetzliher Erlaubnisnorm besteht die einzige Möglihkeit, dieses Problem zu lösen, für den Webseitenbetreiber darin, eine ausdrüklihe Einwilligung seiner Nutzer in die Datenübertragung in die USA einzuholen. III. Verantwortlihkeit Wie oben bereits ausgeführt, handelt es sih nah Ansiht der zuständigen Datenshützer bei dem Verhältnis des Google Analytis nutzenden Websitebetreibers zu Google um eine Auftragsdatenverarbeitung i.s.d. 11 BDSG. Mithin bleibt nah wie vor der Websitebetreiber verantwortlih dafür, dass die Vorgaben des Datenshutzrehts eingehalten werden. Trägt er hierfür keine Sorge, droht ihm z.b. die Verhängung eines Bußgelds ZD 1/2011 Hoeren: Google Analytis 5

20 gem. 43 Abs. 2 Nr. 1 BDSG oder sogar eine Strafe nah 44 Abs. 1 i.v.m. 43 Abs. 2 Nr. 1 BDSG. IV. Abhilfemöglihkeiten Der Einsatz von Google Analytis begegnet erheblihen rehtlihen Bedenken. Von Seiten der Datenshutzbeauftragten wurden daher bereits zahlreihe Maßnahmen vorgeshlagen, um eine rehtskonforme Nutzung von Traking-Diensten zu ermöglihen. 1. IP-Masking und Browser-Erweiterungsmodule Zum einen sollen an dieser Stelle die Möglihkeiten des IP- Masking sowie der Installation einer Browser-Erweiterung durh den Nutzer genannt werden. Diese Angebote wurden von Google als Reaktion auf die massive Kritik der Datenshutzbeauftragten am Analytis-Dienst eingerihtet. Zum einen haben nun die Websitebetreiber die Möglihkeit, durh eine Skriptänderung einen geänderten Websiteode i.r.v. Google Analytis in ihre Website einzubinden, welher veranlasst, dass die letzten 8 bit der erhobenen IP-Adresse von Google gelösht werden, bevor es zu einer Speiherung und Weiterverarbeitung der Adresse kommt. Damit ist weiterhin eine grobe Lokalisierung des surfenden Nutzers möglih, die für die Zweke von Analytis genügt, aber keine Identifizierung mehr (sog. IP-Masking ). 29 Weiter hat Google eine Browser-Erweiterung 30 entwikelt, welhe nah der Installation durh den Nutzer verhindern soll, dass der Analytis-Code bei dem Besuh einer entsprehenden Website ausgeführt wird. Der Hamburger Datenshutzbeauftragte sah diese Lösungen dennoh als unzureihend an. Sein Hauptkritikpunkt am Browser Add-on bestand darin, dass die Erweiterung niht für Opera und Safari-Browser erhältlih sei, mithin keine ausreihende Shutzmöglihkeit für die Nutzer dieser Programme bestehe. 31 Das Gleihe merkte der Datenshutzbeauftragte für Rheinland- Pfalz auh für Smartphone-Browser an. 32 Auh wurden Zweifel daran geäußert, ob wirklih eine ausreihende Anonymisierung der IP-Adressen stattfinde Alternative Dienste Eine ehte Alternative, wenn man als sih Websitebetreiber einerseits niht der Gefahr der Nutzung eines rehtswidrigen Dienstes aussetzen möhte, andererseits aber auh niht auf die Analyse der Besuherströme auf der eigenen Seite zu Marketingzweken verzihten mag, ist die Nutzung eines Analyse- Programms, dessen Rehtskonformität von den Datenshutzbeauftragten bereits festgestellt worden ist. Hier ist z.b. das Programm Piwik zu nennen, welhes nah Ansiht des Landesbeauftragten für Datenshutz des Landes Shleswig-Holstein mit entsprehenden Einstellungen datenshutzrehtskonform genutzt werden könne. 34 Professor Dr. Thomas Hoeren ist Direktor der zivilrehtlihen Abteilung des Instituts für Informations-, Telekommunikations- und Medienreht (ITM) an der Universität Münster sowie Mitherausgeber der MMR und der ZD Das Tool kann heruntergeladen werden unter: gaoptout. 31 Vgl. MMR-Aktuell 2011, ; Datenshuetzer-briht-Verhandlungen-ueber-Google-Analytis-ab html mann_-_profilneurosen.pdf; ausführliher dazu: de/material/tb/tb33/kap10.htm gen-ueber-google-analytis-ab html. 34 Vgl. die entsprehende Anleitung unter: traking/piwik/ webanalyse-piwik.pdf. JOCHEN SCHNEIDER Die Datensiherheit eine vergessene Regelungsmaterie? Ein Plädoyer für Aufwertung, stärkere Integration und Modernisierung des 9 BDSG Tehnikunterstützung IT-Siherheit Datenshutzkontrolle Skandalisierung Instrumente zum Selbstshutz Die Modernisierung des BDSG steht seit langem an. Zu den Forderungen gehört, den Gefahren neuer Tehniken und Medien zu begegnen. Weitgehend vernahlässigt wird bei der Artikulierung des Reformbedarfs die Daten- bzw. IT- Siherheit. Das BDSG hat shon bislang die Entwiklung des interdisziplinären Bereihs IT-Siherheit und dessen rehtlihe Voraussetzungen und Implikationen verabsäumt trotz zahlreiher Novellen. Dem BDSG fehlt der Ansatz, dass der Betroffene sih selbst mit Tehnikunterstützung und eigenen Siherheitsmaßnahmen besser und aktiv shützen kann (und soll). Auh werden die Anforderungen der DS-RL weit verfehlt, zumindest was den Wortlaut betrifft. Für die Neufassung der DS-RL soll noh 2011 ein Entwurf vorliegen. Vermutlih vergrößert sih dann der Reformbedarf hinsihtlih der Datensiherheit noh. The modernization of the Federal Data Protetion At (BDSG) has been on the agenda for a long time. One of the demands is to address the threat of new tehnology and media. Data and IT seurity is largely negleted as a fator in the artiulation of the need for reform. The BDSG has so far bypassed the development of the interdisiplinary area of IT seurity, its legal requirements and impliations in spite of numerous amendments. The BDSG fails to address the approah that an individual an (and should) muh better protet himself atively with the support of tehnology and through his own seurity measures. The requirements of the Data Protetion Ordinane (DS-RL) miss this target by far, at least as far as its wording is onerned. For the revision of the DS-RL, a draft is to be expeted in Presumably, there will be a further inrease in the need for reform to improve data seurity. 6 Shneider: Datensiherheit ZD 1/2011