oder Wer was weis, wer was wissen darf!

Transkript

1 E-Commerce / Datenschutz im elektronischen Rechtsverkehr E-Commerce und (EU-)Datenschutz oder Wer was weis, wer was wissen darf! 408

2 EU-Datenschutzrichtlinie Mit der Datenschutzrichtlinie ( DSRL *) wurde das Datenschutzrecht EU-weit harmonisiert. Die DSRL wurde in Deutschland durch das Bundesdatenschutzgesetz 2001 ( BDSG 2001 ) umgesetzt. Die DSRL sollte und hat einen Rechtsrahmen für die Gewährleistung eines gleichwertigen Schutzes innerhalb der EU auf hohem Niveau geschaffen. * Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ( Amtsblatt der EG v , Nr. L. 281/31) 409

3 EU-Datenschutzrichtlinie Im Rahmen der DSRL wurden insbesondere die folgenden Bereiche zur Harmonisierung vorgegeben: Definition der Begriffe, e, Artikel 2 DSRL sachlicher Anwendungsbereich, Artikel 3 DSRL internationaler Anwendungsbereich, Artikel 4 DSRL Verarbeitungsgrundsätze,Artikel 6, 7, 16 und 17 DSRL Informationsrechte, Artikel 10 und 11 DSRL Auskunftsrechte und Widerspruchsrechte, ht Artikel 12 und 14 DSRL Befugnisse unabhängiger Kontrollstellen, Artikel 18 bis 20 DSRL Haftungsregelungen und Sanktionen Übermittelung personenbezogener Daten in Drittländer im EU-Inland und Ausland, Artikel 25 und

4 EU-Datenschutzrichtlinie Definition der Begriffe, Artikel 2 DSRL EU-weit wurden die Begriffe der personenbezogenen Daten, Verarbeitung, g Datei, verantwortliche Stelle, Auftraggeber, Dritter, Empfänger, Einwilligung der betroffenen Person harmonisiert. 411

5 EU-Datenschutzrichtlinie sachlicher Anwendungsbereich, Artikel 3 DSRL Die Richtlinie gilt für die ganz oder teilweise: - automatisierte Verarbeitung personenbezogener Daten und - nicht automatisierte Verarbeitung gpersonenbezogener Daten die in Dateien gespeichert sind oder werden sollen. 412

6 EU-Datenschutzrichtlinie internationaler Anwendungsbereich, Artikel 4 DSRL Grundsätzlich gilt, dass das nationale Datenschutzrecht anwendbar ist, in dessen Geltungsbereich sich der Ort der Niederlassung der verantwortlichen Stelle befindet. Bei mehreren Niederlassungen findet das Recht des EU-Mitgliedsstaates Anwendung, in dem sich die Daten verarbeitende Niederlassung befindet. Hat die verantwortliche Stelle keine Niederlassung in einem EU-Mitgliedsstaat, so findet das Datenschutzrecht des EU-Mitgliedsstaates Anwendung, in dessen Hoheitsgebiet automatisiert oder nicht automatisiert, die Mittel zur Verarbeitung personenbezogener Daten eingesetzt werden. Das gilt nur dann nicht, wenn die Mittel nur zum Transit eingesetzt werden! 413

7 EU-Datenschutzrichtlinie Verarbeitungsgrundsätze Die nachfolgenden Verarbeitungsgrundsätze sind ebenfalls harmonisiert worden: - Grundsatz der Zweckbestimmung, der Zweckbindung und der Rechtmäßigkeit der Verarbeitung, Art. 6 a, b und 7 DSRL, - Grundsatz der Verhältnismäßigkeit und Erheblichkeit, Art. 6 c und e DSRL, - Grundsätze der Richtigkeit und Aktualität der Daten und der Vertraulichkeit und Sicherheit ihrer Verarbeitung, Art. 6 d, 16 und 17 DSRL, - Grundsatz der rechtmäßigen Verarbeitung nach Treu und Glauben d.h.: Zulässig ist die Datenverarbeitung grundsätzlich nur: + bei Einwilligung des Betroffenen und soweit erforderlich, + für die Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung sowie + für die Wahrung lebenswichtiger Interessen esse einer e Person oder öffentlicher e oder berechtigter ec e Interessen; - Grundsatz des Verarbeitungsverbots für besondere Kategorien personenbezogener Daten,, aus der die rassistische und ethnische Herkunft, politische Meinungen, religiöse und philosophische Überzeugungen sowie die Gewerkschaftszugehörigkeit sowie von Daten über Gesundheit und Sexualleben (enge Ausnahmen möglich). 414

8 Problem- und praxisorientierte Tipps für die Vertrags EU-Datenschutzrichtlinie Informationsrechte, Artikel 10 und 11 DSRL Die Richtlinie regelt ferner in Art. 10 DSRL Rechte zur Information der betroffenen Personen über: Identität der verantwortlichen Stelle, Zweckbestimmung der Datenverarbeitung, Empfängerkategorie etc. sowie entsprechende Informationsrechte für den Fall, dass die Daten nicht bei der betroffenen Person eso sebste selbst erhoben wurden; ude Bestimmung der Herkunft der Daten,, Art. 11 DSRL 415

9 EU-Datenschutzrichtlinie Auskunfts- und Widerspruchsrechte, Artikel 12 und 14 DSRL In der Datenschutzrichtlinie sind ferner enthalten: + Auskunftsrechte + Widerspruchsrechte sowie + das Recht nicht einer Entscheidung unterworfen zu werden, die sich alleine auf die automatisierte Erstellung eines Verhaltensprofils stützt, Art. 15 DSRL. Befugnisse unabhängiger Kontrollstellen, Artikel DSRL Ebenfalls geregelt sind die Befugnisse unabhängiger Kontrollstellen t einschließlich h der datenschutzrechtlichen Selbstkontrolle. 416

10 EU-Datenschutzrichtlinie Haftungsregelung und Sanktionen Die Richtlinie regelt die Verpflichtung der Mitgliedsstaaten dafür zu sorgen, dass: durch eine rechtswidrige Datenverarbeitung entstandene Schäden ersetzt und Verstöße gegen rechtliche Regelungen die die Richtlinie umsetzen, sanktioniert werden. Übermittlung personenbezogener Daten in Drittländer im EU-Inland und Ausland, Artikel 25 und 26 Die entsprechenden Regelungen wurden durch die Bundesrepublik durch die 4 b und 4 c BDSG umgesetzt. Bereichsspezifischer Datenschutz Die DSRL wurde im Bereich der Telekommunikation durch die Datenschutzrichtlinie elektronische Kommunikation* ergänzt. Die Umsetzung in der Bundesrepublik erfolgte durch das TKG und das TMG. * Richtlinie 2002, 58 (EG) des Europäischen Parlaments und des Rates vom über die Verarbeitung personenbezogener Daten un den Schutz der Privatsphäre in der elektronischen Kommunikation, ABLG v , Nr. L 201/37 417

11 int. Anwendungsbereich des deutschen Datenschutzrechts Teritorialprinzip contra Sitzprinzip Die Regelungen des BDSG: 1. Bei der Anwendung des nationalen Datenschutzrechts gilt seit der Umsetzung der DSRL in den EU-Mitgliedsstaaten (und den EWR-Staaten nicht die Schweiz -) das sog. Sitzprinzip, d.h. für eine verantwortliche Stelle gilt in Bezug auf den Datenschutz die Regelung des Landes, in dem das jeweilige Unternehmen seinen Sitz hat, 1 Abs. 5 A.1 BDSG. Das Sitzprinzip verdrängt insoweit das im öffentlichen Recht ansonsten geltende Teritorialprinzip, das auf den Ort abstellt, an dem die Erhebung, Nutzung und Verarbeitung personenbezogener Daten stattfindet!* 2. Für ausländische Stellen, die nicht in einem Mitgliedsstaat der EU oder Vertragsstaat des EWR gelegen g sind gilt grundsätzlich das deutsche Datenschutzrecht, sofern diese personenbezogene Daten im Inland erheben, verarbeiten oder nutzen, 1 Abs. 5 S. 2 BDSG Teritorialprinzip. * Eine Ausnahme besteht nur dann, wenn die verarbeitende Stelle im jeweiligen Inland, z.b. in Deutschland, eine Niederlassung hat; für diese gilt dann das deutsche Datenschutzrecht! 418

12 int. Anwendungsbereich des deutschen Datenschutzrechts t ht Teritorialprinzip contra Sitzprinzip Die Regelungen des BDSG: 1. Bei der Anwendung des nationalen Datenschutzrechts gilt seit der Umsetzung der DSRL in den EU-Mitgliedsstaaten (und den EWR-Staaten nicht die Schweiz -) das sog. Sitzprinzip, d.h. für eine verantwortliche Stelle gilt in Bezug auf den Datenschutz die Regelung des Landes, in dem das jeweilige Unternehmen seinen Sitz hat, 1 Abs. 5 A.1 BDSG. Das Sitzprinzip verdrängt insoweit das im öffentlichen Recht ansonsten geltende Teritorialprinzip, das auf den Ort abstellt, an dem die Erhebung, Nutzung und Verarbeitung personenbezogener Daten stattfindet!* 1 Abs. 5 BDSG gilt für das gesamte deutsche Datenschutzrecht, da das bereichspezifische 2. Für ausländische Stellen, deutsche die nicht Datenschutzrecht in einem Mitgliedsstaat (TKG, der TMG) EU keine oder Vertragsstaat des EWR Bestimmungen gelegen g sind gilt über grundsätzlich den internationalen das deutsche Geltungsanspruch Datenschutzrecht, enthält! sofern diese personenbezogene Daten im Inland erheben, verarbeiten oder nutzen, besonderen 1 Abs. 5 S. 2 BDSG Teritorialprinzip. * Eine Ausnahme besteht nur dann, wenn die verarbeitende Stelle im jeweiligen Inland, z.b. in Deutschland, eine Niederlassung hat; für diese gilt dann das deutsche Datenschutzrecht! 419

13 int. Anwendungsbereich des deutschen Datenschutzrechts t ht Teritorialprinzip contra Sitzprinzip Die Regelungen des BDSG: 1. Bei der Anwendung des nationalen Datenschutzrechts Problem?! gilt seit der Umsetzung der DSRL in den EU-Mitgliedsstaaten (und den EWR-Staaten nicht die Schweiz -) das sog. Sitzprinzip, d.h. für eine verantwortliche Stelle gilt in Bezug auf den Datenschutz die Regelung des Landes, deutscher in Nutzer dem einer das über jeweilige das Internet Unternehmen zugänglichen seinen Sitz hat, 1 Abs. 5 A.1 BDSG. Website auf einem Server in den USA; Das Sitzprinzip verdrängt insoweit deutsches das Recht im öffentlichen oder US-amerikanisches Recht ansonsten Recht? geltende Teritorialprinzip, das auf den Ort abstellt, an dem die Erhebung, Nutzung und Verarbeitung personenbezogener Website-Anbieter hinterlässt Daten Programme stattfindet! auf der Fest- 1 Abs. 5 BDSG gilt für das gesamte platte des Nutzers deutsche in Deutschland, Datenschutzrecht, die in der Folgezeit da das Daten über die Installation des PC oder über Aktivitäten bereichspezifische 2. Für ausländische Stellen, deutsche die nicht des Datenschutzrecht Benutzers in einem übermitteln Mitgliedsstaat (TKG, (z.b. cookies ); der TMG) EU keine oder Vertragsstaat des EWR Bestimmungen gelegen g sind gilt über deutsches grundsätzlich den Recht internationalen das oder deutsche US-amerikanisches Geltungsanspruch Datenschutzrecht, Recht? enthält! sofern diese personenbezogene Daten im Inland erheben, verarbeiten oder nutzen, besonderen 1 Abs. 5 S. 2 BDSG Teritorialprinzip. * Eine Ausnahme besteht nur dann, wenn die verarbeitende Stelle im jeweiligen Inland, z.b. in Deutschland, eine Niederlassung hat; für diese gilt dann das deutsche Datenschutzrecht! 420

14 Rechtmäßigkeit it der Übermittlung personenbezogener Daten in das Ausland Sollen personenbezogene Daten in das Ausland übermittelt werden, so bedarf die Zulässigkeit einer derartigen Übermittlung einer mehrstufigen Prüfung: - Grundsätzlich gelten für die Zulässigkeit die Regeln des BDSG sowie des bereichsspezifischen Datenschutzes; - Zusätzlich müssen die datenschutzrechtlichen Sonderregelungen für die Übermittlung von personenbezogenen Daten in das Ausland geprüft werden ( 4b und 4c BDSG): Übermittlung von Daten in das EU-Inland und die Staaten des EWR. Übermittlung von Daten in Länder die weder der EU, noch dem EWR angehören. 421

15 Übermittlung von Daten an Stellen innerhalb der EU / des EWR Für die Übermittlung gpersonenbezogener Daten an Mitgliedsstaaten der EU, Ver- tragsstaaten des EWR und an Organe und Einrichtungen der Europäischen Gemeinschaften gelten gemäß 4 Abs. 1 BDSG, die 15 Abs. 1, 16 Abs. 1 und BDSG, soweit die Übermittlung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der europäischen Gemeinschaften fallen (sog. innergemeinschaftliche Übermittlung ) Im Ergebnis wird damit nachdem durch die Harmonisierung in allen EU-Mitgliedsstaaten ein angemessenes datenschutzrechtliches Schutzniveau erreicht ist die inner- gemeinschaftliche Übermittlung nach Maßgabe des BDSG nicht anders behandelt, als eine Übermittlung an Datenempfänger im Inland, da nach Erreichung eines einheitlichen datenschutzrechtlichen Schutzniveaus dem freien Datenverkehr möglichst wenige rechtliche Hindernisse entgegenstehen sollen! 422

16 Übermittlung von Daten an Stellen außerhalb der EU / des EWR Grundsätzliche Voraussetzungen für die Zulässigkeit der Übermittlung von Daten an Stellen außerhalb der EU und des EWR: 1. Gemäß 4bAb Abs. 2S1BDSG S.1 sind dbei einer derartigen Übermittlung zunächst die Vorschriften des Abs. 1 zu beachten, d.h. sämtliche auch für die Datenübermittlung im Inland und innerhalb der EU/ des EWR geltenden Anforderungen müssen eingehalten werden. 2. Darüber hinaus - dh d.h. obwohl hldie Voraussetzungen unter 1. eingehalten sind - hat eine Übermittlung zu unterbleiben, wenn der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Dies ist insbesondere dann der Fall, wenn beim Übermittlungsempfänger ein angemessenes Schutzniveau nicht gewährleistet ist Die Angemessenheit des Schutzniveaus wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für die betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen werden., 4b Abs. 3 BDSG 423

17 Übermittlung von Daten an Stellen außerhalb der EU / des EWR Grundsätzliche Voraussetzungen für die Zulässigkeit der Übermittlung von Daten an Stellen außerhalb der EU und des EWR: 4c Abs. 1 BDSG enthält dann allerdings einen Katalog von Ausnahmen bei denen eine Übermittlung an stellen bei denen kein angemessenes Datenschutzniveau gewährleistet ist, dennoch zulässig ist; dies ist der Fall, Gemäß wenn: 4bAb Abs. 2S1BDSG S.1 sind dbei einer der- Darüber hinaus - dh d.h. obwohl hldie Voraussetzungen artigen Übermittlung zunächst die Vorschriften des unter 1. eingehalten sind - hat eine Übermittlung zu der Betroffene seine Einwilligung gegeben hat; Abs. 1 zu beachten, d.h. sämtliche auch für die unterbleiben, wenn der Betroffene ein schutzwürdiges Datenübermittlung die Übermittlung für im die Inland Erfüllung und innerhalb eines Vertrages der EU/ zwischen Interesse dem Betroffenen an dem Ausschluss und der verantwortlichen der Übermittlung Stelle hat. oder des EWR zur Durchführung geltenden Anforderungen von vorvertraglichen müssen Maßnahmen Dies die auf ist Veranlassung insbesondere dann des Betroffenen der Fall, wenn getroffen beim Übermittlungsempfänger ein angemessenes Schutzniveau worden eingehalten sind, werden. erforderlich sind; nicht gewährleistet ist die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrages erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll; die Übermittlung zur Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Die Angemessenheit Verteidigung von des Rechtsansprüchen Schutzniveaus wird vor Gericht unter Berücksichtigung erforderlich ist; aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Übermittlung die Art der zur Daten, Wahrung die Zweckbestimmung, lebenswichtiger Interessen die Dauer des der Betroffenen geplanten Verarbeitung, erforderlich das ist Herkunfts- oder und das die Endbestimmungsland, Übermittlung aus einem die Register für die betreffenden erfolgt, dass Empfänger zur Information geltenden der Öffentlichkeit Rechtsnormen bestimmt sowie ist die und für entweder ihn der geltenden gesamten Standesregeln Öffentlichkeit und oder Sicherheitsmaßnahmen allen Personen, die ein herangezogen berechtigten Interesses werden., nachweisen 4b Abs. 3 BDSG können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind. 424

18 Übermittlung von Daten an Stellen außerhalb der EU / des EWR / im Einzelnen Vorliegen der Einwilligung des Betroffenen: Die Einwilligung des Betroffenen muss auf seiner freien Entscheidung beruhen. Der Betroffene muss daher informiert sein. Die Übermittlung von Daten in ein Land ohne angemessenen Schutzniveau muss daher mindestens auf den Datenschutz hinweisen (Unterrichtung des Betroffenen gem. 4 Abs. 3 BDSG) oder - dies ist sichere Lösung direkt in der Einwilligungserklärung erwähnt werden. Ich willige ein, dass meine personenbezogenen Daten, die ich [z.b. auf dem Antragsformular...] angegeben habe, für die Zwecke [genaue Angabe des Übermittlungszwecks] an die XYZ Inc. in Kalifornien, USA übermittelt werden. Es ist mir dabei bekannt, dass die XYZ Inc. dort einem Datenschutzrecht t ht unterliegt, t das mir möglicherweise keinen dem Datenschutzrecht in der Europäischen Union vergleichbaren Schutz bietet. Ich bin berechtigt, diese Einwilligungserklärung jederzeit mit Wirkung für die Zukunft zu widerrufen. 425

19 Übermittlung von Daten an Stellen außerhalb der EU / des EWR / im Einzelnen Übermittlung für die Erfüllung eines Vertrages zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen die auf Veranlassung des Betroffenen getroffen worden sind: Klassischer Beispielsfall ist die Hotelbuchung durch das Reisebüro im Ausland. Das Reisebüro darf nur die Kundendaten, in dem für die Buchung erforderlichem Umfang an das Ausland übermitteln. 426

20 Übermittlung von Daten an Stellen außerhalb der EU / des EWR Übermittlung zum Abschluss oder zur Erfüllung eines Vertrages, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossenen werden soll erforderlich: Hierher gehören z.b. Buchungen des Hotels vor Ort, in Bezug auf weitere Aktivitäten des Gastes (z.b.: Tauchschule, Golfclub, Surfen usw.) 427

21 Übermittlung von Daten an Stellen außerhalb der EU / des EWR In jedem Fall ist die Stelle an die die Daten übermittelt werden, darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden 428

22 Übermittlung von Daten an Stellen außerhalb der EU / des EWR Nochmals: Die Frage der Zulässigkeit der Übermittlung personenbezogener Daten in das Ausland ist getrennt von den Erlaubnistatbeständen des innerstaatlichen Datenschutzrechts zu beurteilen. Im Falle der innergemeinschaftlichen Übermittlung fallen die innerstaatlichen Anforderungen mit denen des 4b Abs.1 durch den darin enthaltenen Verweis insbesondere auf die 20 bis 28 BDSG zusammen. Im Falle der Übermittlung der Daten in die Staaten, die nicht der EU oder dem EWR angehören, stellt das angemessene Schutzniveau jedoch eine In jedem Fall ist die Stelle an die die Daten übermittelt werden, darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt Übermittlungsempfänger ein angemessenes Schutzniveau vorliegt, zusätzliche Voraussetzung dar. Das bedeutet, dass die Prüfung ob beim werden dürfen, zu dessen Erfüllung sie übermittelt werden zusätzlich zu der Prüfung erfolgen muss, ob die Datenübermittlung nach dem deutschen Datenschutzrecht überhaupt zulässig ist. 429

23 Bestimmung des angemessenen Schutzniveaus Die Bestimmung eines angemessenen Schutzniveaus ist in der Praxis außerordentlich schwierig. In Bezug auf viele Länder außerhalb der EU bzw. des EWR, auch hinsichtlich der USA bestehen Zweifel daran, dass diese ein angemessenes Schutzniveau sicherstellen. Da für ein einzelnes Unternehmen es in der Praxis kaum möglich ist, zu überprüfen, ob ein angemessenes Schutzniveau sichergestellt ist, werden in der Praxis die folgenden Optionen genutzt: - Anerkennung durch die EU-Kommission - Save Harbor-Grundsätze - Individuelle Vertragsklausel - EU-Standardvertragsklauseln - Codes of Conduct 430

24 Bestimmung des angemessenen Schutzniveaus / Anerkennung durch die EU-Kommission i Die EU-Kommission hat eine Reihe von Staaten als mit einem angemessenen Schutzniveau ausgestattet anerkannt. Bei diesen Staaten ist eine weitere Prüfung eines angemessenen Schutzniveaus nicht nötig. Hierzu gehören: - Schweiz (ABL. EG v Nr. L 215/1) - Kanada (ABL. EG v , Nr. L2/13) - Argentinien (ABL. EG v , 07 Nr. L 187/19) - Guernsey (ABL. EG v , Nr. L 308/27) - Isle of Men (ABL. EG v , Nr. L 151/51) 431

25 Bestimmung eines angemessenen Datenschutzniveaus t / Save-Harbour-Grundsätze In Bezug auf die USA wurde von der EU eine Sonderlösung gefunden. In Verhandlungen mit der US-amerikanischen Regierung und der EU-Kommisssion wurden vom US-Handelsministerium ausgearbeitete Grundsätze, ( Save-Harbour-Grundsätze ) die durch eine Liste häufig gestellter Fragen (FAQ) ergänzt wurden, ausgearbeitet. US-amerikanische Unternehmen, die personenbezogene Daten aus der EU bzw. dem EWR beziehen wollen, müssen sich gegenüber dem US-Handelsministerium verpflichten diese Grundsätze einzuhalten. Ist dies erfolgt, so ist die von der Verpflichtung erfasste Datenübermittlung an das jeweilige US- Unternehmen auch nach EU-Datenschutzrecht rechtmäßig. - notice: Bekanntgabe der Datenverarbeitung an Betroffene; - choice: Wahlmöglichkeit des Betroffenen, die Daten nicht weiterleiten zu lassen; - onward transfer: Verpflichtung des Datenempfängers bei Weiterleitung der Daten seinerseits hinreichenden d.h. diesen Grundsätzen entsprechenden Datenschutz zu gewährleisten; - access: Anspruch des Betroffenen auf Zugang zu seinen Daten und deren Berichtigung; - security: personenbezogene Daten sind vor Verlust, Missbrauch, unbefugtem Zugriff, Bekanntgabe, Veränderung und Zerstörung zu schützten. 432

26 Bestimmung eines angemessenen Datenschutzniveaus t / Save-Harbour-Grundsätze In Bezug auf die USA wurde von der EU eine Sonderlösung gefunden. In Verhandlungen mit der US-amerikanischen Regierung und der EU-Kommisssion wurden vom US-Handelsministerium ausgearbeitete Grundsätze, ( Save-Harbour-Grundsätze ) die durch eine Liste häufig gestellter Fragen (FAQ) ergänzt wurden, ausgearbeitet. US-amerikanische Unternehmen, die personenbezogene Daten aus der EU bzw. dem EWR beziehen wollen, müssen sich gegenüber dem US-Handelsministerium verpflichten diese Grundsätze einzuhalten. Ist dies erfolgt, so ist die von der Verpflichtung erfasste Datenübermittlung an das jeweilige US- Unternehmen auch nach EU-Datenschutzrecht rechtmäßig. - notice: Bekanntgabe der Datenverarbeitung an Betroffene; Zu - choice: beachten Wahlmöglichkeit ist, dass es des im Betroffenen, deutschen Datenschutzrecht die nicht weiterleiten kein Konzernprivileg zu lassen; gibt, so dass jede Überlassung personenbezogener Daten an eine ausländische (z.b. US-) Konzernmutter, die für die Übermittlung personenbezogener Daten an Dritte geltenden datenschutzrechtlichen Anforderungen erfüllen muss. Bereits die Ermöglichung des Zugriffs reicht in diesem Zusammenhang - access: Anspruch aus, des da Betroffenen gemäß auf 3 Zugang Nr. 3b BDSG zu seinen der Daten datenschutzrechtliche und deren Berichtigung; Begriff der Übermittlung den Abruf personenbezogener Daten durch Dritte einschließt. - onward transfer: Verpflichtung des Datenempfängers bei Weiterleitung der Daten seinerseits hinreichenden d.h. diesen Grundsätzen entsprechenden Datenschutz zu gewährleisten; - security: personenbezogene Daten sind vor Verlust, Missbrauch, unbefugtem Zugriff, Bekanntgabe, Veränderung und Zerstörung zu schützten. 433

27 Bestimmung eines angemessenen Datenschutzniveaus t / individuelle id Vertragsklauseln l Gemäß 4c Abs. 2 S. 1 BDSG kann die zuständige Aufsichtsbehörde einzelne Übermittlungen oder bestimmte Arten von Übermittlung personenbezogener Daten genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte gemäß dem Schutzzweck der Richtlinien vorweist. Diese Garantien können sich insbesondere aus individuellen Vertragsklauseln ergeben. Es besteht somit die Möglichkeit, individuelle Verträge der Aufsichtsbehörde vorzulegen. Diese Lösung ist aber mit einem erheblichen Aufwand verbunden und in der Praxis kaum umsetzbar. 434

28 Bestimmung eines angemessenen Datenschutzniveaus t / EU-Standardvertragsklauseln d t l Da die EU-Datenschutzstandards im weltweiten Vergleich als sehr hoch zu bewerten sind, hat die EU-Kommission veranlasst Standardvertragsklauseln zu beschließen, deren Verwendung ein angemessenes datenschutzrechtliches Niveau gewährleistet. Sofern sich der ausländische Datenempfänger auf die Einhaltung der EU-Standardver- tragsklauseln verpflichtet, ist damit nach deutschem Datenschutzrecht ein angemessenes Datenschutzniveau gewährleistet. 435

29 Bestimmung eines angemessenen Datenschutzniveaus t / Codes of Conduct Eine datenschutzrechtliche Absicherung kann auch mittels eines Codes of Conduct erfolgen. Hierbei handelt es sich um die verbindliche Vereinbarung zwischen Unternehmen (z.b. konzernweite verbindliche Verhaltenskondizies / Code of Conduct für multinationale Konzerne) gemäß 4 Abs. 2 BDSG. Eine Übermittlung von Daten auf der Basis eines solchen Codes of Conduct bedarf aber i.d.r. noch der Genehmigung durch die zuständige Aufsichtsbehörde. 436

30 Auftragsdatenverarbeitung t Besonderheiten ergeben sich für die sog. Auftragsdatenverarbeitung. Eine solche liegt vor, wenn die personenbezogenen Daten im Auftrag und auf Weisung erhoben, verarbeitet oder genutzt werden. Dies ergibt sich aus 3 Abs. 8 BDSG, wonach Dritte Dritte im Sinne des BDSG nicht der Betroffene sowie Personen und Stellen sind, die im Inland, in einem anderen Mitgliedsstaat der EU oder einem Vertragsstaat des EWR personenbezogene Daten erheben, verarbeiten oder nutzen. 437

31 Auftragsdatenverarbeitung t innerhalb der EU und des EWR Für die Auftragsdatenverarbeitung von Auftragnehmern in Mitgliedsstaaten der EU oder der Vertragsstaaten des EWR gelten gem. 3 Abs. 8 BDSG die allgemeinen Regelungen. Eine solche ist gem. 11 BDSG problemlos möglich. In Bezug auf das anwendbare Datenschutzrecht gilt wiederum 1Abs Abs. 5BDSG BDSG, dh d.h. i.d.r. das Datenschutzrecht des jeweiligen Sitzlandes des Auftraggebers. 438

32 Auftragsdatenverarbeitung t in Drittstaaten t t Probleme bestehen für die Auftragsdatenverarbeitung in Drittstaaten, da gemäß 3 Abs. 8 BDSG die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in solchen Drittstaaten datenschutzrechtlich stets eine Übermittlung an Dritte darstellt. Die Privilegierung des 11 BDSG greift insoweit nicht ein! Es ist daher stets zu prüfen, ob die Datenübermittlung den Voraussetzungen der 4b und 4c BDSG genügt.* Um eine derartige Datenverarbeitung dennoch zu ermöglichen hat die EU-Kommission EU-Standardvertragsklauseln für Auftragsdatenverarbeiter in Drittstaaten beschlossen. Eine Auftragsdatenverarbeitung ist möglich, soweit der Auftragnehmer die weitergegebenen personenbezogenen Daten nur im Auftrag des Auftraggebers und gemäß dessen Weisung sowie in Übereinstimmung mit den in den Standardklauseln enthaltenen Verpflichtungen vornimmt. * Entscheidung 2002/16/EG der EU-Kommission v für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern nach der Richtlinie 05/46/EG /ABl. EG v

33 Auftragsdatenverarbeitung t in Drittstaaten t t Probleme bestehen für die Auftragsdatenverarbeitung in Drittstaaten, da gemäß 3 Abs. 8 BDSG die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in solchen Drittstaaten datenschutzrechtlich stets eine Übermittlung an Dritte darstellt. Die Privilegierung des 11 BDSG greift insoweit nicht ein! Es ist daher stets zu prüfen, ob die Datenübermittlung den Voraussetzungen der 4b und 4c BDSG genügt.* Achtung: Um eine derartige Datenverarbeitung dennoch zu ermöglichen hat die EU-Kommission EU-Standardvertragsklauseln In der Regel wird in diesen für Auftragsdatenverarbeiter Fällen der Auftraggeber in Drittstaaten für beschlossen. die Einhaltung Eine Auftragsdatenverarbeitung der EU-Standardvertragsklausel ist möglich, soweit der durch Auftragnehmer die weitergegebenen den personenbezogenen Auftragnehmer verantwortlich Daten nur im Auftrag gemacht!!! des Auftraggebers und gemäß dessen Weisung sowie in Übereinstimmung mit den in den Standardklauseln enthaltenen Verpflichtungen vornimmt. * Entscheidung 2002/16/EG der EU-Kommission v für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern nach der Richtlinie 05/46/EG /ABl. EG v

34 Auftragsdatenverarbeitung t für Ditt Drittstaaten t t Im Falle eines Auftragsdatenverhältnisses bei dem der Auftraggeber seinen Sitz in einem Land hat, das kein Mitgliedstaat der EU ist und auch nicht dem EWR angehört, ist auf die Tätigkeit des im Inland belegenen Auftragnehmers gemäß Territorialprinzip das Bundesdatenschutzgesetz anzuwenden. 441

35 bereichsspezifisches ifi h Datenschutzrecht t ht der Telemedien Die wesentlichen datenschutzrechtlichen Regelungen im Bereich der Telemedien finden sich außer im Bundesdatenschutzgesetz, im Telemediengesetz*. Das Telemediengesetz definiert seinen Anwendungsbereich in 1 Abs. 1 wie folgt: Dieses Gesetz gilt für alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach 3 Nr. 24 TKG, die ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen, telekommunikationsgestützte Dienste nach 3 Nr. 25 TKG oder Rundfunk nach 2 des Rundfunkstaatsvertrages sind (Telemedien). Alles was nicht Telekommunikation, telekommunikationsgestützte Dienste nach 3 Nr. 25 TKG oder Rundfunk ist, ist damit Telemedien! *ElGVG v , Gesetz zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste mit dem Telemediengesetz als Kernstück. 442

36 bereichsspezifisches ifi h Datenschutzrecht t ht der Telemedien Die Datenschutzregelungen im Telemediengesetz lassen sich schematisch wie folgt zusammenfassen: Geltungsbereich mit Ausnahmen, 11 TMG, Abgrenzung zur Telekommunikation, Definition vom Nutzer ; Rückverweis auf allgemeine Vorschriften (BDSG) für den Schutz personenbezogener Daten, 12 Abs. 4 TMG; Verbot mit Erlaubnisvorbehalt, 12 Abs. 1 TMG; Zweckbindung, 12 Abs. 2 TMG (allgemein), sowie 14, 15 TMG; Einwilligung, Freiwilligkeit der Einwilligung, 12 Abs. 3 TMG; elektronische Einwilligungserklärung ausdrücklich möglich, sofern abrufbar 13 Abs. 2 und 3 TMG, anders im BDSG; Hinweispflicht auf Widerrufmöglichkeit, 13 Abs. 3 S. 1 TMG (in 4a BDSG nicht vorgesehen! sowie 443

37 bereichsspezifisches ifi h Datenschutzrecht t ht der Telemedien technische und organisatorische Vorkehrungen des Dienstanbieters ( Gestaltungsprinzip für Telemedien ) ), 13 Abs. 4 TMG: - jederzeitige Abrufmöglichkeit der gespeicherten Daten, - Löschung oder Sperrung nach Ablauf des Zugriffs oder der Nutzung; - Schutz vor Kenntnisnahme Dritter bei der Inanspruchnahme; h - getrennte Verarbeitung der Daten; - Speicherung von Nutzungsdaten nur für Abrechnungszwecke; - Nutzerprofile getrennt von Daten über den Träger des Pseudonyms; - Abrufbarkeit der Unterrichtung der im Rahmen von Informationspflichten hingegebenen Daten, 13 Abs. 1 S. 3, Abs. 2 S ; Informationspflichten, 13 Abs. 1, Abs. 5 und 6, insb. die Pflicht die Inanspruchnahme von Telediensten unter Anonym oder Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist und die Informationen hierüber, 13 Abs. 6 TMG; sowie 444

38 bereichsspezifisches Datenschutzrecht der Telemedien Auskunftspflichten über die zur Person des Nutzers gespeicherten Daten, 13 Abs. 7 S. 1, anders als bei 34 BDSG auf Verlangen elektronisch, 13 Abs. 7 S. 2 TMG; Trennung bzw. Differenzierung von Bestandsdaten ( 14 TMG) und Nutzungsdaten ( 15 TMG); Bußgeldvorschriften in 16 Abs. 2 Nr. 2 6 TMG, Bußgeld bis zu ,00 ; 445

39 allgemeine Datenschutzanforderungen t an die Ausgestaltung von Websites / IP-Adresse, Logfiles Von großem Interesse für den Datenschutz ist die Frage, ob bei IP-Adressen ein Personenbezug oder zumindest eine Personenbeziehbarkeit im rechtlichen Sinne gegeben ist. Die Frage stellt sich insbesondere für Access- und Internet-Service-Provider. Je nachdem ob diese Frage bejaht oder verneint wird, unterliegt der jeweilige Dienst bestimmten Datenschutzvorschriften oder nicht und bedarf z.b. der Einsatz von Cookies einer Einwilligung des Nutzers oder nicht. Maßgeblich ist insoweit, ob oder wodurch bzw. ab wann Daten personenbeziehbar sind: Nach juristischer Definition ist dies der Fall, wenn die verantwortliche Stelle den Betroffenen mit verhältnismäßigem Aufwand identifizieren kann! 446

40 allgemeine Datenschutzanforderungen t an die Ausgestaltung von Websites / IP-Adresse, Logfiles Bei der Frage der Beziehbarkeit spielt eine wesentliche Rolle: -die tatsächliche oder mögliche Verknüpfung mit anderen Datenbeständen oder Programmen der verantwortlichen Stelle, - spezielles Zusatzwissen, dass sich die verantwortliche Quelle zurechnen lassen muss oder Zusatzwissen aus allgemeinzugänglichen li Quellen (z.b. Publikationen im Internet, t Suchmaschinen hi etc.); Die Frage der Identifizierbarkeit von Personen, auf die sich die Informationen beziehen, ist deshalb relativ und hängt von den individuellen Kenntnissen, Mitteln oder Möglichkeiten der jeweiligen verantwortlichen Stelle ab! Anderes gilt in der Regel für den Internet-Service-Pro- vider, also den Telemedien-Diensteanbieter, der soweit der Nutzer sich nicht namentlich registriert hat, eine Zuordnung der IP-Adresse zu einer bestimmten Person ohne Rückgriff auf fremde Hilfe nicht vornehmen kann. So gilt z.b. für den Access-Provider dass sowohl dynamische, als auch statische IT-Adressen personenbeziehbar sind, da er dem Nutzer die IP-Adesse selbst zuweist. 447

41 allgemeine Datenschutzanforderungen t an die Ausgestaltung von Websites / IP-Adresse, Logfiles Speicherdauer Löschungsfristen Nach 15 Abs.4 TMG ist eine Speicherung von personenbezogenen Nutzungsdaten über das Ende der Verbindung hinaus nur gestattet, soweit die Daten zu Abrechnungszwecken gegenüber dem Nutzer erforderlich sind Für Provider, die dem TKG unterliegen gilt, sofern der Kunde nicht von seinem Wahlrecht nach 97 Abs. 4 S. 1 Nr. 2 TKG Gebrauch gemacht hat, im Regelfall eine Speicherdauer für die Ver- kehrsdaten soweit diese für Abrechnungszwecke erforderlich sind - von höchstens h 6 Monaten nach Versendung der Rechnung, 97 Abs. 3 S. 1 und 2 TKG. Nicht für die Abrechnung erforderliche Daten sind nach 97 Abs. 3 S. 3 HS. 1 TKG unverzüglich zu löschen, soweit nicht die Regelung über die Vorratsdatenspeicherung nach 113a TKG eingreift. Eine Vorratsdatenspeich- erung ist auf Teledienste indes nicht, auch nicht analog anwendbar. Anbieter von Telemedien dürfen somit die IP-Adresse oder sonstige Nutzungsdaten grund- sätzlich nicht gleichsam im vorauseilenden Gehorsam gegenüber den Strafverfolgungsbehörden für den Zeitraum von 6 Monaten oder gar länger speichern. 448

42 allgemeine Datenschutzanforderungen t an die Ausgestaltung von Websites / IP-Adresse, Logfiles Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über At Art, Umfang und Zweck der Erhebung und Verwendung seiner personenbezogenen Daten in allgemein verständlicher Form zu unterrichten, 13 Abs. 1 S. 2 TMG. 1.? Der Inhalt dieser allgemein als Datenschutzerklärung bezeichneten Unterrichtung muss für den Nutzer jederzeit abrufbar sein, 13 Abs. 1 S. 3 TMG. Nicht zu verwechseln ist die Datenschutzerklärung nach 13 Abs. 1 TMG mit der elektronischen Einwilligungserklärung g g nach 13 Abs. 2 TMG. Die Einwilligungserklärung g g ist zusätzlich zur Datenschutzerklärung erforderlich, soweit die Datenerhebung und Verwendung nicht ausdrücklich gesetzlich erlaubt ist. Dies wird in der Praxis von vielen Anbietern übersehen! 449

43 allgemeine Datenschutzanforderungen t an die Ausgestaltung von Websites / IP-Adresse, Logfiles Häufig besteht Unklarheit, welchen Umfang und Detaillierungsgrad die Datenschutzerklärung nach 13 Abs. 1 S. 1 und 2 TMG aufweisen muss, damit sie umfassend genug, aber gleichzeitig auch allgemein verständlich ist. Eine in allen Einzelheiten gehende Darstellung der Techniken und Geschäftsprozesse, die über mehr als ca. zwei Seiten geht, verfehlt im Regelfall ihren Informationszweck, weil sie der Verständnismöglichkeit und der Auffassungsbereitschaft des durchschnittlichen, juristisch nicht vorgebildeten Nutzers nicht mehr gerecht wird. Dies bedeutet konkret für die Datenschutzerklärung: 1. Abschließend aufgezählt werden sollten: -die erhobenen Datenkategorien des Nutzers, - die Identität der Datenempfänger, an die personenbezogene Daten übermittelt werden (z.b. Marketingpartner oder Zahlungspartner des Anbieters oder verbundene Unternehmen) und -die Nutzungszwecke des Anbieters gegebenenfalls der anderen Datenempfänger. 2. Bei den Verarbeitungsphasen und Techniken ist ein Konzentrieren auf die wesentlichen Aspekte zweckmäßig und zulässig. 3. Werden besondere Arten von personenbezogenen Daten im Sinne von 3 Abs. 9 BDSG erhoben (z.b. Online-Apotheke) ist auf deren Verarbeitung und Nutzung besonders sorgfältig g einzugehen. Im Regelfall wird bei diesen besonderen Datenkategorien zusätzlich eine Einwilligung nach 13 Abs. 2 TMG erforderlich sein. 4. Knapp gefasst werden können die Bereiche der Datenerhebung und verwendung, die für den Anbieter aufgrund gesetzlicher Erlaubnis zulässig sind. Wie eine derartige Datenschutzerklärung im einzelnen ausgestaltet sein sollte, ist von Unternehmen zu Unternehmen unterschiedlich zu beurteilen! 450

44 allgemeine Datenschutzanforderungen t an die Ausgestaltung von Websites / IP-Adresse, Logfiles Häufig besteht Unklarheit, welchen Umfang und Detaillierungsgrad die Datenschutzerklärung nach 13 Abs. 1 S. 1 und 2 TMG aufweisen muss, damit sie umfassend genug, aber gleichzeitig auch allgemein verständlich ist. Eine in allen Einzelheiten gehende Darstellung der Techniken und Geschäftsprozesse, die über mehr als ca. zwei Seiten geht, verfehlt im Regelfall ihren Informationszweck, weil sie der Verständnismöglichkeit und der Auffassungsbereitschaft des durchschnittlichen, juristisch nicht vorgebildeten Nutzers nicht mehr gerecht wird. - die Identität der Datenempfänger, an die personenbezogene Daten übermittelt werden (z.b. Marketing- Für die darüber hinaus gehenden Bereiche der Datenerhebung und Verwendung, also etwa personenbezogenes Custom-Relationship-Management (CRM)* für die eine Einwillligung erforderlich ist, ist die Datenschutzerklärung allein ohnehin nicht ausreichend, sondern zusätzlich eine gesonderte Opt-In Lösung erforderlich. Insoweit kann es zweckmäßig sein, wenn die entsprechenden Unterrichtung in der Datenschutzerklärung eher knapp ist und zugleich -die erhobenen auf die Datenkategorien ausführliche Erläuterung des Nutzers, im unmittelbaren Zusammenhang mit der Einwilligungserklärung di Id tität d D t verwiesen fä wird. di Allerdings b sollte dann D t diese üb Einwilligungserklärung itt lt d ( B M k ti partner oder Zahlungspartner des Anbieters oder verbundene Unternehmen) und was indes nicht ausdrücklich vorgeschrieben ist- über einen Link in der Datenschutzerklärung jederzeit -die Nutzungszwecke abrufbar sein. des Anbieters gegebenenfalls der anderen Datenempfänger. Dies bedeutet konkret für die Datenschutzerklärung: 1. Abschließend aufgezählt werden sollten: 2. Bei den Verarbeitungsphasen und Techniken ist ein Konzentrieren auf die wesentlichen Aspekte * z.b. die Analyse einer Call-Center-Nutzung des Kunden, clickstream-auswertung, Verkehrsstromanalyse, Bewegungsprofile, etc. zweckmäßig und zulässig. 3. Werden besondere Arten von personenbezogenen Daten im Sinne von 3 Abs. 9 BDSG erhoben (z.b. Online-Apotheke) ist auf deren Verarbeitung und Nutzung besonders sorgfältig g einzugehen. Im Regelfall wird bei diesen besonderen Datenkategorien zusätzlich eine Einwilligung nach 13 Abs. 2 TMG erforderlich sein. 4. Knapp gefasst werden können die Bereiche der Datenerhebung und verwendung, die für den Anbieter aufgrund gesetzlicher Erlaubnis zulässig sind. Wie eine derartige Datenschutzerklärung im einzelnen ausgestaltet sein sollte, ist von Unternehmen zu Unternehmen unterschiedlich zu beurteilen! 451

45 allgemeine Datenschutzanforderungen t an die Ausgestaltung von Websites / IP-Adresse, Logfiles Unabhängig von der datenschutzrechtlichen Einwilligungserklärung als solcher ist klarzustellen, dass es dem Diensteanbieter gemäß 12 Abs. 3 TMG grundsätzlich untersagt ist, die Bereitstellung von Telemedien von der datenschutzrechtlichen Einwilligung des Nutzers abhängig zu machen, wenn dem Nutzer ein anderer Zugang zu dem jeweiligen Dienst nicht möglich oder nicht zumutbar ist. Dieses sog. Kopplungsverbot ist vor allem für Monopolisten relevant. Es bedarf also grundsätzlich einer unbedingten zur Verfügungstellung der Leistung. Wie eine derartige Datenschutzerklärung im einzelnen ausgestaltet sein sollte, ist von Unternehmen zu Unternehmen unterschiedlich zu beurteilen! 452

46 allgemeine Datenschutzanforderungen t an die Ausgestaltung von Websites / IP-Adresse, Logfiles Die eigentliche Einwilligungserklärung könnte den nachfolgenden Inhalt haben: Ich willige ein, dass der Anbieter meine personenbezogenen Daten für seine Marketing-Maßnahmen wie z.b. zur Versendung mit allgemeinen Informationen oder werbenden Charakter (Newsletter) verarbeitet und nutzt. Achtung: Wenn diese Erklärung in unmittelbarem Zusammenhang mit der Datenschutzerklärung steht, in der die Datenkategorien genannt werden, dürfte der Text hinreichend präzise sein. Beispielhafte Aufzählungen sind hinsichtlich der Datenkategorien überhaupt und hinsichtlich der Nutzungsmöglichkeiten it soweit wie möglich zu vermeiden. Wie eine derartige Datenschutzerklärung im einzelnen ausgestaltet sein sollte, ist von Unternehmen zu Unternehmen unterschiedlich zu beurteilen! 453