Heute übernehme ich, Tobias Hinderks, den Rechtsüberblick. Denn das Datenschutzrecht und die IT-Welt ist bekannterweise voll von Themen und neuen Entwicklungen. Heute geht es um ein Urteil des EuGH, dass bei Google bestimmt mit großer Begeisterung aufgenommen wurde, einen Ausflug in den 27. Tätigkeitsbericht des Bundesdatenschutzbeauftragten und einen weiteren (lohnenswerten) Ausflug in das Thüringische Personalvertretungsgesetz (nein, der Autor hat nicht den Verstand verloren…). Danach wenden wir uns der technischen Welt und einem Sicherheitsproblem mit – man kann es erraten – dem beA zu, um mit einem Beschluss des Europäischen Datenschutzausschusses zur Datenverarbeitung im Vertragskontext zu enden.
Viel Spaß beim Lesen!
EuGH: Google ist kein Telekommunikationsdienst
„Wer (…) gewerblich öffentlich zugängliche Telekommunikationsdienste erbringt, muss die Aufnahme, Änderung und Beendigung […] bei der Bundesnetzagentur unverzüglich melden.“ Dieser Satz entstammt § 6 Abs. 1 TKG, klingt erstmal harmlos, schon fast erwartbar, war aber Aufhänger eines Rechtsstreits gewaltigen Ausmaßes.
Dieser reicht zurück ins Jahr 2012: Damals wurde Google von der Bundesnetzagentur (gestützt auf § 126 TKG) verpflichtet, der Meldepflicht aus § 6 Abs. 1 TKG nachzukommen – sonst drohe Zwangsgeld. Google sei nämlich mit seinem Angebot „Gmail“ als Telekommunikationsdienst (vgl. § 3 Nr. 24 TKG) einzuordnen.
Als Telekommunikationsdienst gilt jeder „in der Regel gegen Entgelt erbrachte Dienst[, der] ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze besteh[t]“. (Hervorhebungen durch Verfasser)
Nachdem Google dagegen geklagt und das VG Köln (21 K 450/15) der Bundesnetzagentur Recht zugesprochen hat und Google dagegen Berufung eingelegt hat, hat das nunmehr zuständige OVG Münster (13 A 17/16) den EuGH gefragt, ob Dienste wie Gmail der dem TKG zugrunde liegenden Rahmenrichtlinie (Art. 2 lit. c RL 2002/21/EG) unterfallen.
Google hat geltend gemacht, Gmail sei kein Dienst, der ganz oder überwiegend in der Übertragung von Signalen besteht. Denn die Daten werden nach dem Best-Effort-Prinzip übers Internet übertragen – die Signalübertragung stehen also gar nicht im (tatsächlichen wie rechtlichen) Herrschaftsbereich von Google sondern erfolgen über offene Netze. Zudem sei Gmail kostenlos und deshalb nicht „in der Regel gegen Entgelt“ erbracht worden.
Die Bundesnetzagentur hingegen hatte es für ausreichend erachtet, dass die Signalübermittlung inklusive Zerlegung/Zusammenbau der Email in transportable Datenpakete durch Google veranlasst ist und deshalb auch Google zuzurechnen sei.
Der EuGH (C-193/18) hat Google in der Argumentation recht gegeben. Ein Einspeisen von Signalen in das offene Internet reicht nicht aus, um Telekommunikationsdienst im Sinne des § 3 Nr. 24 TKG zu sein.
Die Folge dieses Urteils: Die ausdifferenzierte Regelung des TKG – etwa zum Fernmeldegeheimnis (§ 88 TKG), zur öffentlichen Sicherheit oder zur Marktmachtverhinderung – finden damit keine Anwendung.
Google ist damit (weiterhin) ein Diensteanbieter von Telemedien (§ 2 S. 1 Nr. 1 TMG) und als solcher bleibt er zulassungs- und anmeldefrei (vgl. § 4 TMG).
Auch wenn bestimmt andere Over-the-top-Dienste á la Skype oder Facebook auf das Urteil aus Luxemburg geschielt haben dürften, so bleibt die Geschichte spannend. Denn im Dezember 2018 wurde eine Überarbeitung des europäischen Rechtsrahmens in die Pipeline gelegt, der durch Neuformulierung unfraglich auch Over-the-top-Dienste umfassen wird und bereits im Dezember 2020 im TKG Niederschlag finden wird.
Zu dem EuGH-Urteil bezüglich Google ist ein Blog-Artikel bereits in Arbeit.
27. Tätigkeitsbericht des BfDI 2017-2018
Der neue Datenschutzbeauftragte des Bundes, Ulrich Kelber, hat im Mai 2019 den Tätigkeitsbericht über seine Behörde in den Jahren 2017 und 2018 vorgelegt. Novum: Dieser Tätigkeitsbericht umfasst erstmals Zahlen und Bilanzen, die den Datenschutz nach Anwendungsbeginn der DSGVO zum Gegenstand haben.
Erfreulich festzustellen ist, dass die Abmahnwelle dorthin geschoben wurde, wo sie hingehört: Zu skurrilen Mythen á la Klingelschilder-Verboten oder einer Frau, die sich über namentliche Ansprache in einer Metzgerei beschwerte. Warum eine Abmahnung aufgrund des Wettbewerbsrechts (UWG) auch nach Anwendungsbeginn der DSGVO möglich war und dennoch kein Weltuntergang zu befürchten ist, war über Wochen hinweg ein Dauerbrenner in der juristischen Diskussion mit Kolleginnen und Kollegen. Wer sich das noch einmal zu Gemüte führen möchte, mag den entsprechenden Fachaufsatz in der CRonline lesen.
Erfreulich ist weiter, dass der BfDI sich ebenfalls – wie das Innenministerium und die herrschende Meinung in Literatur und Rechtsprechung – auf den Standpunkt stellt, dass das Kunsturhebergesetz weiterhin bei Veröffentlichungen von Fotografien im Internet Anwendung findet. Somit können wir hier auf eine gewaltige Sammlung an Rechtsprechung zurückgreifen und sind weiter in der Lage, rechtssicher zu fotografieren.
Handlungsbedarf sieht der BfDI hingegen beim Beschäftigtendatenschutz – ein Thema, dass diesen Blog sehr häufig umtreibt und bisher „nur“ einen einzelnen Paragraphen gewidmet bekommen hat (§ 26 BDSG). Hierzu schreibt der BfDI: „Beschäftigtendatenschutzgesetz – leider noch immer eine Wunschvorstellung“. Und da hört er nicht auf, er nennt konkrete Regelungsbereiche, die durch ein etwaiges Gesetz verbessert werden sollten:
- Datenschutz im Bewerbungsverfahren
- Gestaltung des Arbeitsverhältnisses und Compliance-Fragen
- Personalentwicklung und Persönlichkeitsprofile
- Umgang mit Gesundheitsdaten
- Überwachungssysteme am Arbeitsplatz
- Einsatz von biometrischen Verfahren und Big Data Anwendungen
- Private Nutzung dienstlicher Kommunikationsmittel
- Dienstliche Nutzung privater Kommunikationsmittel
- Transparenz der Datenverarbeitung
- Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben und
- Whistleblowing
Diese Punkte in einem Gesetz zu verabschieden sei „dringend erforderlich“ und unter Berufung auf Art. 88 DSGVO auch heute schon möglich. Was momentan unter DSGVO und BDSG für einige Fragen des Beschäftigtendatenschutzes gilt wurde im Blog-Artikel Recruiting- und Personalauswahlverfahren unter DSGVO und BDSG beleuchtet.
Betriebs- und Personalräte als Verantwortliche im Sinne der DSGVO? Es weht ein Wind aus Thüringen
Wenn § 80 Abs. 1 Thüringer Personalvertretungsgesetz geändert wird, erwartet man nicht wirklich eine großartige Neuerung – vielleicht haben einige von Ihnen schon vor, nach diesem Absatz direkt zum nächsten Beitrag zu scrollen. Beware! Denn der Satz, der nach Art. 1 Nr. 26 des Gesetzes zur Anpassung personalvertretungsrechtlicher Vorschriften (Drucksache 6/7173) diesem Paragraph hinzugefügt werden soll, hat weitreichende Folgen bezüglich eines weiteren Meinungsstreit aus dem Hause DSGVO:
„Sie hat dazu einen Datenschutzbeauftragten zu bestellen; Personalvertretung und Dienststelle können im Einvernehmen einen gemeinsamen Datenschutzbeauftragten bestellen.“
„Sie“ ist die Personalvertretung, also das äquivalent des Betriebsrats in einer Behörde. Die Personalvertretung hat einen Datenschutzbeauftragten zu bestellen, wobei sie im Einvernehmen mit der Behörde diese Stelle gemeinsam bestellen kann.
Da klingelt doch etwas: Zur Benennung eines Datenschutzbeauftragen verpflichtet waren doch nur Verantwortliche und Auftragsverarbeiter (vgl. Art. 37 Abs. 1 DSGVO). Und nun auch der Personalrat?
Die wohl herrschende (?) Meinung in der Literatur war bisher der Auffassung, dass der Betriebsrat/Personalrat gar kein eigener Verantwortlicher (Art. 4 Nr. 7 DSGVO) war. Schließlich könne er nicht, was notwendig wäre, im Alleingang über Mittel und Zweck der Datenverarbeitung entscheiden. Seine relative Eigenständigkeit gegenüber dem Arbeitgeber reiche nicht für seine eigene Verantwortlichkeit aus.
Wie kann es also sein, dass jemand, der nach bisheriger wohl herrschender Meinung nicht verantwortlich ist, nach dem Thüringer Personalvertretungsgesetz nun verpflichtet ist, wie ein Verantwortlicher einen Datenschutzbeauftragen zu benennen?
Eine Antwort wäre, dass der Thüringer Gesetzgeber wie selbstverständlich davon ausgeht, dass der Personalrat durch Art. 4 Nr. 7 DSGVO („andere Stelle“) nun als Verantwortlicher datenschutzrechtlichen Vorschriften unterliegt. Dafür spräche auch die Möglichkeit der Benennung eines „gemeinsamen Verantwortlichen“. Über die Pflicht zur Benennung eines Datenschutzbeauftragten hinaus haben Personalräte zukünftig die Rechte auf Auskunft (Art. 13-15 DSGVO) zu erfüllen und Verarbeitungsverzeichnisse (Art. 30 DSGVO) anzulegen (siehe auch: Meinhold, ZD-Aktuell 2019, 06623).
Diese interessante Entscheidung aus dem Osten dürfte auch für die Behandlung des Betriebsrats und seine Verantwortlichkeit unter der DSGVO von Relevanz sein.
Übrigens, zum Thema der Verantwortlichkeit des Betriebsrats unter der DSGVO liegt ein Blog-Artikel in der Pipeline, auf den hier verlinkt werden wird, sobald sich die Akten nicht mehr bis unter die digitale Decke stapeln.
Besonderes elektronisches Anwaltspostfach – Auch 2019 noch der Berliner Flughafen der Anwaltschaft
Erneut ist das äußerst gelungene Sprachbild des Kollegen Stadler zu bemühen: „beA: Der Berliner Flughafen der Anwaltschaft“ (zuerst vom Kollegen Stadler zutreffend benutzt). Die Kritik (und Kritik ist schon nett gesagt, die heftigen Warnung trifft es wohl faktisch eher) der Anwaltschaft führte 2018 zu einem offenen Brief von Rechtsanwältin Diercks an die Bundesrechtsanwaltskammer. Nächste Single einer Band, die schon seit ihrer Gründung keiner mehr hören wollte, wurde dann auf der BlackHat USA 2019 Conference angekündigt.
Im Fokus diesmal: Hardware Security Modules – HSM. HSM sind ein wesentlicher Bestandteil des besonderen elektronischen Anwaltspostfachs (beA). In ihnen sollen die öffentlichen Keys der Anwälte zusammen mit dem jeweiligen privaten Key zusammengebracht werden, sodass keineswegs jemand anderes als der angedachte Empfänger von dem Inhalt der Nachricht Kenntnis erlangen kann. Das System ist zentral organisiert, damit bei etwaiger Weiterleitung eine sog. Umschlüsselung stattfinden kann, müssen zu jedem Zeitpunkt von jedem Anwalt die persönlichen Keys im System vorhanden sein. Die gesamte deutsche Rechtspflege ist damit von diesem System abhängig.
Und hier liegt die Gefahr. Wie für BlackHat USA angekündigt wurde, werde offenbart, wie Hacker beliebige unsignierte Firmware hochladen konnten, um dann über Fernsteuerung alle Keys und sonstigen Geheimnisse des HSM zu extrahieren. Zwar sei für diese Sicherheitslücke bereits ein Update rausgebracht, die bereits kompromittierten Systeme wurden jedoch durch die Hacker für Updates gesperrt. Befürchtungen verbleiben, dass die installierten Schadprogramme imitieren, Updates anzunehmen, sich gleichzeitig aber Backdoors freihalten. Zurück bleibt eine Verletzlichkeit der Systeme, selbst wenn sie bereits gepatcht sind. Dadurch, dass die HSM eine Hardware-Komponente ist, wird eine wirkliche Beseitigung dieser Schwachstelle ein komplizierter Prozess werden. (Ausführlichere Erklärung in Lindell, Yehuda: Lessons Learned from Recently-Discovered Major Vulnerabilities in Hardware Security Modules)
Sie schlucken? Zurecht. Es geht gerade um das Modul, auf das mit dem beA momentan und vor allem zukünftig die ganze Rechtspflege in Deutschland bauen soll.
Europäischer Datenschutz verengt Art. 6 Abs. 1 lit. b DSGVO
In einer Leitlinie setzt sich der Europäische Datenschutzausschuss damit auseinander, was genau unter der „Vertragserfüllung“ im Sinne des Art. 6 Abs. 1 lit. b DSGVO gemeint ist und wann ein Vertrag eine taugliche Rechtsgrundlage für eine Datenverarbeitung sein kann:
„die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;“ (Art. 6 Abs. 1 lit. b DSGVO)
Die Voraussetzung des Gesetzes ist diejenige der Erforderlichkeit. Ist zur Durchführung eines Vertrages notwendig, dass personenbezogene Daten verarbeitet werden, dann ist (und muss das auch) möglich (sein). Die DSGVO selbst gibt keinen Aufschluss darüber, welche Anforderungen an die Erforderlichkeit anzulegen waren. Die Erforderlichkeit umfasst nach Meinung der Literatur was
„unentbehrlich und objektiv sinnvoll ist, was in den Grenzen der Zumutbarkeit liegt, ist im Rahmen einer normativen Betrachtung i.S. einer umfassenden Abwägung der gegenseitigen Interessen zu ermitteln. […] Die Anforderungen an die Erforderlichkeit dürfen weder überspannt noch zu restriktiv gehandhabt werden. Nicht schon jede dem Vertragszweck dienliche Verarbeitung ist bereits erforderlich, wenngleich sie auch nicht erst für den Vertragszweck unverzichtbar sein muss.“ (Albers/Veit, in: BeckOK Datenschutzrecht, 28. Ed., Art. 6 R. 32)
Nach dem Beschluss des Europäischen Datenschutzausschusses soll bei der Frage der Erforderlichkeit zukünftig auch darauf geachtet werden, ob der Vertrag sich an den in Art. 5 DSGVO niedergelegten Grundsätzen wie Sparsamkeit, Fairness und Transparenz orientiert. Online-Werbung könne selbst dann nicht als für den Vertrag erforderliche Datenverarbeitung gesehen werden, selbst wenn eine ausdrückliche Ermächtigung im Vertrag bestünde.
In diesem Sinne,
gibt es wieder einiges zu tun! Bis zum nächsten Mal an dieser Stelle!
[…] Rechtsüberblick 06/19 – Google & der EuGH, Tätigkeitsbericht des BfDI, Ausflug nach Thüringen, Probleme mit dem beA, Handhabung der Verarbeitung aufgrund eines Vertrages […]
[…] Rechtsüberblick 06/19 – Google & der EuGH, Tätigkeitsbericht des BfDI, Ausflug nach Thüringen, Probleme mit dem beA, Handhabung der Verarbeitung aufgrund eines Vertrages […]