Vorlesung Datenschutzrecht. Grundbegriffe und Grundkonzepte des Datenschutzes II

Transkript

1 Vorlesung Datenschutzrecht Grundbegriffe und Grundkonzepte des Datenschutzes II

2 Wiederholungsfall X hat große Angst davor, als Radfahrer Opfer eines Verkehrsunfalls mit Fahrerflucht zu werden. Er installiert darum an seinem Fahrrad eine Digitalkamera, die während jeder Fahrradfahrt laufend den Verkehrsraum filmt und dabei so eingestellt ist, dass sie die Kennzeichen vorbeifahrender Kraftfahrzeuge erfasst. Fällt der Betrieb der Kamera in den Anwendungsbereich des BDSG?

3 Erhebung und Verarbeitung personenbezogener Daten Kfz- Kennzeichen sind für Private durch Auskunft aus dem Fahrzeugregister zur Rechtsverfolgung zuordenbar ( 39 StVG) X ist nicht-öffentliche Stelle Erhebung und Speicherung mittels einer Datenverarbeitungsanlage? Auffassung 1: bloße Bildaufzeichnung genügt nicht Auffassung 2: automatisch ablaufende Datenspeicherung ist Datenverarbeitung und entsprechendes Gerät daher Datenverarbeitungsanlage Keine Datenverarbeitung im persönlichen Bereich, X will die Daten ggfs. gerade zur Rechtsverfolgung nutzen

4 Themen heute Räumlicher Anwendungsbereich des BDSG Allgemeine Grundsätze des Datenschutzrechts

5 Räumlicher Anwendungsbereich des BDSG Unterscheide Verantwortliche Stelle mit Sitz in der EU, 1 Abs. 5 Satz 1 BDSG Grundsatz: Datenschutzrecht des Sitzlandes anzuwenden Ausnahme: Bei Datenumgang durch eine Niederlassung in Deutschland ist deutsches Datenschutzrecht anzuwenden Verantwortliche Stelle ohne Sitz in der EU, 1 Abs. 5 Satz 2 BDSG: maßgeblich ist Datenumgang im Inland Unionsrecht Art. 4 Abs. 1 lit. a DSRL: maßgeblich für Anwendung des nationalen Datenschutzrechts ist Niederlassung in einem Mitgliedstaat und Datenumgang im Rahmen der Tätigkeiten dieser Niederlassung Art. 4 Abs. 1 lit. c DSRL: fehlt Niederlassung in einem Mitgliedstaat, so ist entscheidend, dass der Verantwortliche zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind

6 Beispiele (schwierig) Unterfallen die folgenden Sachverhalte deutschem Datenschutzrecht: 1. Das irische Unternehmen L Ltd. betreibt von Dublin aus ein Immobilienportal im Internet, das sich in deutscher Sprache gezielt an deutsche Kunden richtet. In Deutschland ist lediglich ein Vertreter der L Ltd. als Kontaktperson tätig, der nicht über Büroräume verfügt und postalisch nur über ein Postfach zu erreichen ist. Die Kunden der L Ltd. können über das Portal unter Angabe einer Kontaktadresse Immobilien anbieten oder Suchanzeigen aufgeben. Dies ist kostenpflichtig, wenn die Anzeigen länger als zwei Tage im Netz bleiben. Die L Ltd weigert sich routinemäßig, einmal ins Netz gestellte Immobilienanzeigen zu löschen, um so die Kostenpflicht auszulösen. 2. Das us-amerikanische Unternehmen I Inc. betreibt eine Suchmaschine, die auch in einer deutschsprachigen Version Suchergebnisse gezielt für deutsche Interessenten aufbereitet. Die Rechner der I Inc. befinden sich sämtlich in den USA. Die I Inc. verfügt jedoch über ein deutsches Tochterunternehmen, die I Deutschland GmbH. Die I Deutschland GmbH ist für die Vermarktung der von der I Inc. angebotenen personalisierten Werbung gegenüber deutschen Anzeigekunden zuständig. Die Suchmaschine der I Inc. kann unter anderem genutzt werden, um gezielt personenbezogene Daten zu erschließen (beispielsweise durch eine Suche nach dem Namen einer bestimmten Person)

7 1. Niederlassung in Deutschland? EuGH: Angezeigt ist eine flexible Konzeption des Begriffs der Niederlassung, die Abstand nimmt von einer formalistischen Sichtweise, nach der ein Unternehmen ausschließlich an dem Ort niedergelassen sein kann, an dem es eingetragen ist. Um festzustellen, ob eine Gesellschaft, die für eine Datenverarbeitung verantwortlich ist, über eine Niederlassung im Sinne der Richtlinie 95/46 in einem anderen Mitgliedstaat als dem Mitgliedstaat oder dem Drittstaat, in dem sie eingetragen ist, verfügt, ist daher sowohl der Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten in diesem anderen Mitgliedstaat unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen. Dies gilt insbesondere für Unternehmen, die Leistungen ausschließlich über das Internet anbieten. Insbesondere ist davon auszugehen, dass das Vorhandensein eines einzigen Vertreters unter bestimmten Umständen ausreichen kann, um eine feste Einrichtung zu begründen, wenn dieser mit einem ausreichenden Grad an Beständigkeit mit den für die Erbringung der betreffenden konkreten Dienstleistungen erforderlichen Mitteln im fraglichen Mitgliedstaat tätig ist. Außerdem ist davon auszugehen, dass der Begriff der Niederlassung im Sinne der Richtlinie 95/46 jede tatsächliche und effektive Tätigkeit, die mittels einer festen Einrichtung ausgeübt wird, umfasst, selbst wenn sie nur geringfügig ist

8 2. I GmbH ist unproblematisch Niederlassung im Inland (sogar mit eigener Rechtspersönlichkeit). Frage, ob Datenumgang im Rahmen der Tätigkeit der I GmbH. EuGH: weite Auslegung, Verkauf von Werbung reicht aus, damit Suchmaschinenbetrieb selbst im Rahmen der Tätigkeit dieses Unternehmens liegt: Unter solchen Umständen sind nämlich die Tätigkeiten des Suchmaschinenbetreibers und die seiner Niederlassung in dem betreffenden Mitgliedstaat untrennbar miteinander verbunden, da die die Werbeflächen betreffenden Tätigkeiten das Mittel darstellen, um die in Rede stehende Suchmaschine wirtschaftlich rentabel zu machen, und die Suchmaschine gleichzeitig das Mittel ist, das die Durchführung dieser Tätigkeiten ermöglicht

9 Grundsätze des Datenschutzrechts (1) Verbotsprinzip, 4 Abs. 1 BDSG (schief: Verbot mit Erlaubnisvorbehalt ) Vorgegeben im öffentlichen Bereich durch grundrechtlichen Gesetzesvorbehalt, zudem durch Art. 7 DSRL Datenumgang bedarf in jeder Phase eines Erlaubnistatbestands

10 Grundsätze des Datenschutzrechts (2) Verbotsprinzip, 4 Abs. 1 BDSG Mögliche Erlaubnistatbestände Einwilligung Zentrale Bedeutung für nicht-öffentliche Stellen Öffentliche Stellen dürfen sich auch mit Einwilligung nicht über die Grenzen ihrer Aufgaben und Befugnisse hinwegsetzen Rechtsvorschrift Im bereichsspezifischen Fachrecht oder im BDSG; grds. auch im untergesetzlichen Recht mgl. Norm muss vorgeben, welche Stelle unter welchen Voraussetzungen, welche personenbezogenen Daten in welcher Weise und zu welchen Zwecken verwenden darf Erforderliche Regelungsdichte keine Frage von 4 Abs. 1 BDSG, sondern insb. des Bestimmtheitsgrundsatzes und des Parlamentsvorbehalts

11 Grundsätze des Datenschutzrechts (3) Verbotsprinzip, 4 Abs. 1 BDSG Verhältnis von Einwilligung und Rechtsvorschrift Grds. kein Vorrang eines Erlaubnistatbestands Einholung einer (sachlich begrenzten oder später widerrufenen) Einwilligung kann Rückgriff auf gesetzliche Erlaubnis nach Ermessensgrundsätzen bzw. 242 BGB versperren

12 Beispielsfall Schüler S nimmt an einem Gewinnspiel teil, das von dem Zeitschriftenverlag V GmbH veranstaltet wird. Dabei überlässt S der V GmbH bestimmte Informationen über seine Interessen und Hobbies und erklärt sich damit einverstanden, dass die V GmbH diese Informationen nutzt, um den S über für ihn attraktive Zeitschriften aus ihrem Sortiment zu informieren. Zu seinem großen Erstaunen muss S nach einiger Zeit feststellen, dass die V GmbH die Angaben über seine Interessen und Hobbies an die X AG weitergegeben hat, die ebenfalls Zeitschriften verlegt. Die X AG versorgt S nunmehr gleichfalls mit Informationen über Zeitschriften. Wie ist der Vorgang datenschutzrechtlich zu beurteilen?

13 Datenerhebung, Speicherung und Nutzung durch die V GmbH sind jeweils durch die Einwilligung des S gedeckt Aber keine Einwilligung in Übermittlung der Daten an die X AG sowie in Speicherung und Nutzung durch die X AG; Zweckähnlichkeit (Zeitschriftenwerbung) ersetzt Einwilligung nicht; gesetzlicher Erlaubnistatbestand erforderlich (und nicht ersichtlich)

14 Grundsätze des Datenschutzrechts (4) Zweckbindung Als Grundsatz niedergelegt in Art. 6 Abs. 1 lit. b DSRL, im BDSG und in bereichsspezifischen Regelungswerken in Vielzahl von Einzelvorschriften konkretisiert Funktion: Überschaubarkeit und Kontrollierbarkeit des Datenumgangs Wirkungsweise: Verklammerung der Phasen des Datenumgangs Initiale Zwecksetzung (bei Erhebung oder sonst erstmaligem Datenumgang); Zweck muss so präzise wie möglich bestimmt sein Grundsätzliche Bindung des nachfolgenden Datenumgangs Zweckänderung ist möglich, bedarf aber besonderer Erlaubnis

15 Grundsätze des Datenschutzrechts (5) Erforderlichkeit Umfang des Datenumgangs darf nicht über das zur Zweckerreichung notwendige hinausgehen Erforderlichkeitsprüfung hängt wiederum von möglichst präziser Zweckbestimmung ab Transparenz Überschaubarkeit des Datenumgangs für den Betroffenen Konkretisierung durch einzelne Vorgaben, insb. Parlamentsvorbehalt v.a. im öffentlichen Bereich, Direkterhebung ( 4 Abs. 2 BDSG), Auskunftsrecht ( 19, 34 BDSG), weitere Informations- und Benachrichtigungspflichten

16 Grundsätze des Datenschutzrechts (6) Datenvermeidung und Datensparsamkeit, 3a BDSG Grundlegende Erkenntnis: Technikgestaltung kann Sachzwänge erzeugen, die sich bei der Bewertung einzelner datenschutzrelevanter Handlungen nicht mehr einfangen lassen Darum Zielvorgabe datenschutzfreundlicher Gestaltung technischorganisatorischer Bedingungen (privacy by design) Konkretisierung durch Vorgabe von Anonymisierung und Pseudonymisierung Schlägt auf Bewertung einzelner Datenumgangshandlungen durch

17 Beispielsfall Die Staatsanwaltschaft ermittelt gegen X wegen des Verdachts, dass X einer rechtsterroristischen Vereinigung angehört ( 129a StGB), die an Brandanschlägen auf Asylbewerberunterkünfte beteiligt sein soll. Um diesen Verdacht aufzuklären, wird unter anderem das Mobiltelefon des X überwacht. Bei dieser Überwachung stellt sich heraus, dass X am 25. August 2015 dem R zwei Kilo Heroin geliefert hat und zusammen mit den weiteren mutmaßlichen Vereinigungsangehörigen Y und Z am 5. September 2015 den Asylbewerber A mit Eisenstangen erheblich verletzt hat. Letztlich lässt sich allerdings nicht erhärten, dass die Gruppierung, der X, Y und Z angehören, eine Vereinigung im Sinne von 129a StGB darstellt. Aufgrund der Erkenntnisse aus der Telekommunikationsüberwachung klagt die Staatsanwaltschaft X wegen eines Verstoßes gegen das Betäubungsmittelgesetz und wegen einer gefährlichen Körperverletzung zum Nachteil des A an. Liegt hierin in datenschutzrechtlicher Terminologie eine Zweckänderung?

18 Maßgeblicher Zweck hier Strafverfolgung wegen der Anlasstat Körperverletzung andere Straftat, hält sich aber im Rahmen des vermuteten Vereinigungszusammenhangs und Vereinigungsziels; keine Zweckänderung Betäubungsmittelstraftat keine Verbindung zu Vereinigung und Vereinigungsziel; Zweckänderung

19 Lehren des Tages Räumlicher Anwendungsbereich des BDSG Verbotsprinzip Zweckbindung und Zweckfestsetzung

20 Nacharbeit Taeger, Abschnitt III 6 (sehr dünn) Kühling u.a., 2. Kap., Abschnitte F und G Vertiefung EuGH (Große Kammer), Urteil vom 13. Mai 2014, Rs. C-131/12 Google Spain EuGH (Dritte Kammer), Urteil vom 1. Oktober 2015, Rs. C-230/14 Weltimmo