Datenschutz mit Hindernissen - Deutsche Vereinigung für Datenschutz e. V.
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
2/2013
36. Jahrgang
ISSN 0137-7767
9,00 Euro
Deutsche Vereinigung für Datenschutz e.V.
www.datenschutzverein.de
Datenschutz mit Hindernissen
■ Outsourcing von Datenverarbeitung: Probleme der Funktionsüber-
tragung ■ Google Glass, IT-Brillen und informationelle Selbstbestim-
mung ■ Meldepflicht von Datenschutzvorfällen – Anforderungen an das
Datenschutzmanagement ■ BigBrotherAwards 2013 ■ Die Arroganz
von Apple ■ Buchbesprechung ■ Nachrichten ■ Rechtsprechung ■
Seite2
Inhalt
Anne Riechert Buchbesprechung 61
Outsourcing von Datenverarbeitung:
Probleme der Funktionsübertragung 48
Datenschutznachrichten
Thilo Weichert Datenschutznachrichten aus Deutschland 62
Google Glass, IT-Brillen und informationelle
Selbstbestimmung 53 Datenschutznachrichten aus dem Ausland 69
Technik-Nachrichten 75
Karsten Neumann
Meldepflicht von Datenschutzvorfällen –
Anforderungen an das Rechtsprechung 77
Datenschutzmanagement 56
Thilo Weichert
BigBrotherAwards 2013 59
Wilhelm Steinmüller ist tot 86
Rena Tangens
Dämpfer für die Arroganz von Apple 60
Termine
Sonntag, 28. Juli 2013, 10:00 Uhr Montag, 16. September 2013 bis
DVD-Vorstandssitzung Freitag, 20. September 2013
Berlin. Anmeldung in der Geschäftsstelle GI-Jahrestagung 2013
dvd@datenschutzverein.de Koblenz
http://www.informatik2013.de
Donnerstag, 1. August 2013
Redaktionsschluss DANA 3/13 Samstag, 19. Oktober 2013
Thema: „Kommunale Software“ DVD-Vorstandssitzung
Bonn. Anmeldung in der Geschäftsstelle
Mittwoch, 11. September 2013 bis dvd@datenschutzverein.de
Samstag, 14. September 2013
14. Herbstakademie 2013 Sonntag, 20. Oktober 2013
Law as a Service (LaaS) – Recht im DVD-Mitgliederversammlung
Internet- und Cloud-Zeitalter Bonn.
Humboldt Universität in Berlin dvd@datenschutzverein.de
http://www.dsri.de/herbstakademie/herbstakademie.html
DANA • Datenschutz Nachrichten 2/2013
46
Seite3
DANA Editorial
Datenschutz Nachrichten
ISSN 0137-7767
36. Jahrgang, Heft 2
Liebe Leserinnen, liebe Leser,
Herausgeber
Deutsche Vereinigung für lange hat der Sommer auf sich warten lassen. Und vergeblich warten mus-
Datenschutz e.V. (DVD)
DVD-Geschäftstelle:
sten wir in diesem Frühjahr auch auf Durchbrüche beim Datenschutz. Damit
Rheingasse 8-10, 53113 Bonn meinen wir nicht die überfällige Beerdigung des Regierungsentwurfs zum
Tel. 0228-222498 Beschäftigtendatenschutz. Wir hätten uns aber etwa über schnelle Klarheit
Konto 1900 2187, BLZ 370 501 98, über die durch Tausende von Änderungsvorschlägen etwas unübersicht-
Sparkasse KölnBonn
E-Mail: dvd@datenschutzverein.de lich gewordene Weiterentwicklung des Entwurfs der EU-Datenschutz-
www.datenschutzverein.de Grundverordnung gefreut. Wir bekommen: ein Wahlkampfsommerloch
Redaktion (ViSdP) und neue grausame Wahrheiten über die Datenkrake NSA. Datenschutz mit
Sönke Hilbrans Hindernissen also. Es gibt auch welche, die Hindernisse anpacken: wir ge-
c/o Deutsche Vereinigung für ben Ihnen einen kurzen Überblick über die diesjährigen Big-Brother-Awards
Datenschutz e.V. (DVD)
Rheingasse 8-10, 53113 Bonn
(BBA), die wieder ausgesuchte Datenkraken an den Haken genommen ha-
dvd@datenschutzverein.de ben. Außerdem dokumentieren wir ein sicher bald als „apple-Entscheidung“
Den Inhalt namentlich gekenn- bekannt werdendes Urteil des Landgerichts Berlin, - mit einem Kommentar
zeichneter Artikel verantworten die von Rena Tangens. Gesetztes Wissen präsentieren wir Ihnen mit dem Beitrag
jeweiligen Autoren.
von Prof. Anne Riechert, welche ein kritisches Resümee zum Konzept der
Layout und Satz Funktionsübertragung im Datenschutzrecht zieht. Karsten Neumann unter-
Frans Jozef Valenta, 53119 Bonn
valenta@t-online.de zieht die noch relativ junge Regelung zur Breach Notification einer fakten-
gestützten Würdigung. Thilo Weichert schließlich bring uns auf den neue-
Druck
Onlineprinters GmbH sten Stand bei Google Glass. Und natürlich wieder Nachrichten, Nachrichten,
Rudolf-Diesel-Straße 10 Nachrichten.
91413 Neustadt a. d. Aisch
www.diedruckerei.de
Tel. +49 (0)91 61 / 6 20 98 00
Anregende Lektüre und einen guten Start in den Sommer wünscht Ihnen
Fax +49 (0) 91 61 / 66 29 20
Bezugspreis Sönke Hilbrans
Einzelheft 9 Euro. Jahresabonne-
ment 32 Euro (incl. Porto) für vier
Hefte im Jahr. Für DVD-Mitglieder ist
der Bezug kostenlos. Das Jahres-
abonnement kann zum 31. De-
zember eines Jahres mit einer
Kündigungsfrist von sechs Wochen
Autorinnen und Autoren dieser Ausgabe:
gekündigt werden. Die Kündigung
ist schriftlich an die DVD-Geschäfts-
stelle in Bonn zu richten. Karsten Neumann
Vorstandsmitglied der DVD, Landesbeauftragter für Datenschutz Mecklenburg-
Copyright Vorpommern a.D., Associate Partner der 2B Advice GmbH,
Die Urheber- und Vervielfältigungs-
neumann@datenschutzverein.de
rechte liegen bei den Autoren.
Der Nachdruck ist nach Geneh-
migung durch die Redaktion bei Anne Riechert
Zusendung von zwei Belegexem- Professur für Datenschutzrecht und Recht in der Informationsverarbeitung
plaren nicht nur gestattet, sondern an der Fachhochschule Frankfurt am Main.
Während ihrer Tätigkeit als Rechtsanwältin hat sie Unternehmen unter an-
durchaus erwünscht, wenn auf die
derem in vertrags- und datenschutzrechtlichen Angelegenheiten beraten.
DANA als Quelle hingewiesen wird.
anne.riechert@gmx.de
Leserbriefe
Leserbriefe sind erwünscht. Deren Rena Tangens
Publikation sowie eventuelle Kür- Mitbegründerin und Vorsitzende des Bielefelder Vereins digitalcourage (ehemals
zungen bleiben vorbehalten. FoeBuD), Mitglied der Jury bei den BigBrotherAwards.
rena.tangens@digitalcourage.de
Abbildungen, Fotos
Frans Jozef Valenta,
Seite 59: Fabian Kurz
Dr. Thilo Weichert
Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein, Kiel,
weichert@datenschutzzentrum.de
DANA • Datenschutz Nachrichten 2/2013
47Datenschutz mit Hindernissen
Anne Riechert
Outsourcing von Datenverarbeitung:
Probleme der Funktionsübertragung
I .Einleitung Ein weiteres Outsourcing-Konzept, obliegt die rechtliche Zuständigkeit.6 Die
die Auftragsdatenverarbeitung gemäß Einzelheiten der Abgrenzung sind streitig
Das Konzept der Funktionsüber- § 11 BDSG, schützt zwar die Interes- - sogar im Hinblick auf die identische in-
tragung beruht auf der Annahme, sen der Betroffenen, ist jedoch für die haltliche Aufgabe. Letzteres ist vornehm-
dass Unternehmen Aufgaben, die die Unternehmer in der praktischen Durch- lich von den unterschiedlichen Interessen
Verarbeitung von Kunden-oder Mitar führung weniger angenehm, da diese abhängig, die einerseits wirtschaftlich
beiterdaten zum Gegenstand haben, die Beachtung enger gesetzlicher An- und andererseits datenschutzrechtlich
vollständig auslagern dürfen. Die Frage forderungen erfordert und lediglich für geprägt sind. So wird die Auslagerung
ist nur: Warum? Denn zu berücksichti- die Auslagerung von unterstützenden der Personalverwaltung teilweise als
gen ist, dass keine datenschutzrechtli- Tätigkeiten in Betracht kommen soll. Auftragsdatenverarbeitung7 und teilwei-
che Vorschrift eine solche Übertragung In den folgenden Ausführungen werden se als Funktionsübertragung eingestuft.8
von Funktionen ausdrücklich regelt. diese beiden Outsourcing-Konzepte der Der Arbeitsbericht der ad-hoc-Arbeits-
Die Zulässigkeit wird vielmehr daraus Funktionsübertragung und der Auftrags- gruppe „Konzerninterner Datentransfer“
hergeleitet, dass eine Norm des Bundes- datenverarbeitung sowie ebenso eine des Regierungspräsidium Darmstadt
datenschutzgesetzes die Übermittlung vermittelnde Auffassung (Vertragstheo- macht diese Streitfrage zwischen Auf-
von Daten grundsätzlich erlaubt, wenn rie) erörtert. sichtsbehörden und Wirtschaftsvertre-
kein Grund zur Annahme besteht, dass tern besonders deutlich9: „Zwar besteht
schutzwürdige Interessen der Betroffen II. Merkmale der Auftragsdaten Einigkeit darüber, dass eine Auftragsda-
überwiegen. Da diese Abwägung jedoch verarbeitung und der Funktions tenverarbeitung bei Vorgabe eines aus-
ohne Mitspracherecht der Betroffenen übertragung differenzierten Entscheidungsbaums zur
allein in die Hände der Unternehmer Aufgabenerfüllung in Betracht kommt,
gelegt wird, können letztere das Ver- Auftragsdatenverarbeitung ist an die da in diesem Falle dem Auftragnehmer
botsprinzip mit Erlaubnisvorbehalt (§ 4 engen gesetzlichen Voraussetzungen des keinerlei inhaltlicher Ermessenspielraum
Abs. 1 BDSG) mühelos in ihrem Sinne § 11 BDSG geknüpft und wird als wei- überlassen bleibt“.10 Streitig sei hingegen
anwenden. Diese Maxime des Daten- sungsgebundene Tätigkeit des Auftrag- zwischen den Aufsichtsbehörden und den
schutzrechts fordert für jede Erhebung, nehmers (Dienstleisters) verstanden. Es Wirtschaftsvertreten, inwieweit das Kri-
Verarbeitung oder Nutzung von Da- wird stets darauf verwiesen, dass bei einer terium der fehlenden Entscheidungsbe-
ten eine gesetzliche Erlaubnis oder die Auftragsdatenverarbeitung der Auftrag- fugnis des Dienstleisters relevant sei bzw.
Einwilligung der Betroffenen. Für die geber „Herr der Daten“ bleibt, der Auf- welche konkrete Bedeutung es habe.11 In
Verwirklichung des gesetzgeberischen tragnehmer nur als „verlängerter Arm“ dem Arbeitsbericht wird in diesem Zu-
Ziels, das Persönlichkeitsrecht des Ein- und „ausgelagerte Abteilung“ fungiert.2 sammenhang ebenso darauf verwiesen,
zelnen zu schützen, ist es allerdings In diesem Sinne hat der Auftragsdaten- dass Vertreter der Wirtschaft die Ausle-
mehr als fraglich, ob der Gesetzgeber verarbeiter lediglich eine unterstützen- gung der Auffassung der Aufsichtsbehör-
eine solche Vorgehensweise tatsächlich de Funktion für den Auftraggeber inne.3 den für zu eng hielten, die darauf abzie-
als interessengerecht einstufen kann. Ein wichtiges Kriterium ist die Einglie- le, dass Auftragsdatenverarbeitung dann
Es ist selbstredend, dass der Fokus derung des Auftragsdatenverarbeiters in ausscheiden müsse, wenn der Auftrags-
nicht auf das Bedürfnis der Unterneh- das Unternehmen der auftraggebenden datenverarbeiter auch nur den kleinsten
mer nach bequemer und pragmatischer Stelle. Beide stellen aus rechtlicher Sicht Ermessenspielraum habe.12 Primär geht
Gestaltung von Geschäftsprozessen ge- eine Einheit dar und der Auftragnehmer es also ebenso um die Frage, inwieweit
richtet sein darf, welches zu dem Daten- ist an die Vorgaben des Auftraggebers Unternehmer sich eine Wahl- und Inter-
schutzinteresse der Betroffenen völlig gebunden.4 Derjenige hingegen, der in pretationsfreiheit hinsichtlich Auftrags-
konträr ist. Unternehmen haben keinen Funktionsübertragung tätig ist, ist selbst- datenverarbeitung und Funktionsübertra-
Anspruch darauf, in unkomplizierter ständig für die Rechtmäßigkeit der Da- gung herausnehmen.
Weise an den Vorteilen einer arbeitstei- tenverarbeitung und die Wahrung der
ligen Wirtschaft teilzuhaben.1 Aber die Betroffenenrechte verantwortlich.5 Er III.Vergleich der Anforderungen
Betroffenen haben ein grundgesetzlich darf die Aufgabe, die vollständig auf ihn
garantiertes Recht auf informationelle übertragen bzw. ausgelagert ist, somit ei- 1. Auftragsdatenverarbeitung
Selbstbestimmung. genverantwortlich durchführen und ihm Die Möglichkeit, Daten im Auftrag
DANA • Datenschutz Nachrichten 2/2013
48Datenschutz mit Hindernissen
verarbeiten zu lassen, ist –wie oben dar- 1 BDSG im Vordergrund steht und die ternehmer stets zuerst die Frage stellen,
gestellt- an enge gesetzliche Vorgaben ergänzenden Tatbestände Nr. 2 und Nr. 3 ob ein Outsourcing tatsächlich zur Ver-
geknüpft. Der Begründung zum Gesetz- lediglich außerhalb von Schuldverhält- tragsdurchführung erforderlich ist oder
entwurf der Bundesregierung lässt sich nissen als Auffangklauseln zur Anwen- ob die Datenverarbeitung nicht eben-
entnehmen,13 dass § 11 BDSG im Zuge dung gelangen können.18 Damit wäre so intern stattfinden könnte. Eine sol-
der BDSG-Novelle II 2009 aus dem die Frage der Zulässigkeit sehr zügig zu che Erforderlichkeit im Sinne des § 28
Grunde konkreter gefasst worden ist, da beantworten, da in den wenigsten Fäl- Abs. 1 S. 1 Nr. 1 BDSG lässt sich beim
den nicht-öffentlichen Stellen oftmals len eine Funktionsübertragung im Sinne Outsourcing von Daten allenfalls unter-
nicht bekannt war, welche technischen von § 28 Abs. 1 S. 1 Nr. 1 BDSG tat- stellen, wenn die Daten konzernintern
und organisatorischen Maßnahmen von sächlich erforderlich wäre.19 Aber selbst verarbeitet werden müssen,25 aber nicht
ihnen verlangt werden: Verträge zur die juristische Auffassung, die eine für eine herkömmliche Unternehmer-/
Auftragsdatenverarbeitung wurden ent- Wahlfreiheit zwischen den Alternativen Kundenbeziehung. Hier ist eine externe
weder nicht im Sinne des § 11 BDSG des § 28 Abs. 1 BDSG unterstellt, ver- Datenverarbeitung gemäß § 28 Abs. 1
oder nicht schriftlich verfasst und eben- weist darauf, dass die verantwortliche S. 1 Nr. 1 BDSG nicht notwendig und
so selten Regelungen zur Löschung der Stelle den Anknüpfungspunkt weder eine kumulative Anwendung des § 28
Daten bzw. deren Rückgabe nach Erle- beliebig auswählen noch kumulativ auf Abs. 1 S. 1 Nr. 2 BDSG wäre (auch im
digung des Auftrages getroffen.14 Dem- die Zulässigkeitsgründe zurückgreifen Sinne der oben zitierten Meinung) einer
entsprechend wurde die Möglichkeit ei- könne.20 Es sei eine restriktive Ausle- kritischen Überprüfung zu unterziehen:
ner Bußgeldahndung begrüßt, die nun in gung im Sinne einer nur ausnahmsweise Jedwede nur ausnahmsweise zulässige
§ 43 Abs. 1 Nr. 2b BDSG geregelt ist.15 zulässigen Verarbeitung geboten.21 Mit Datenverarbeitung erfordert besonde-
Auch die gesetzliche Verpflichtung zur dieser einschränkenden Betrachtung re Prüfpflichten! Daher kann durchaus
Dokumentation des Kontrollergebnisses ist ebenso verbunden, dass innerhalb die Forderung aufgestellt werden, dass
seitens der Auftraggeber stellt insgesamt der verantwortlichen Stelle nicht je- einem Unternehmer Funktionsübertra-
einen wichtigen Faktor dar, da sich die- dermann auf die Daten zugreifen oder gung dann verwehrt sein muss, wenn
ser ansonsten „nur in sehr zurückhalten- diese frei verwenden darf.22 Bei konse- anhand objektiv zu bemessender Krite-
der Weise von der Ordnungsmäßigkeit quenter Anwendung müsste auch diese rien nicht feststellbar ist, dass ihm die
der Geschäftstätigkeit des Vertragspart- zweite Ansicht aus Gründen des „erst- eigenverantwortliche Datenverarbei-
ners überzeugen“ werde.16 recht-Schlusses“ zu einer Ablehnung tung – beispielsweise im Wege einer
der Funktionsübertragung anhand des Auftragsdatenverarbeitung – unmöglich
2.Funktionsübertragung § 28 Abs. 1 S.1 Nr. 2 BDSG kommen, ist. Allein der Umstand eines kosten-
Die Funktionsübertragung findet kei- welche sie jedoch insgesamt für zuläs- günstigeren Angebots genügt den An-
ne ausdrückliche gesetzliche Grundlage. sig erachtet:23 Wenn die Daten schon forderungen des § 28 BDSG allerdings
Ihre Rechtfertigung wird regelmäßig innerhalb der verantwortlichen Stelle nicht.26 Wenn außerdem vertreten wird,
aus § 28 Abs. 1 S. 1 Nr. 2 BDSG herge- nicht uneingeschränkten Nutzungsrech- dass der Weg über § 28 Abs. 1 S. 1 Nr.
leitet.17 Gemäß dieser Regelung ist eine ten unterliegen, dürften die Daten „erst 2 BDSG der verantwortlichen Stelle so
Datenübermittlung zulässig, d.h. eine recht“ nicht uneingeschränkt an Dritte lange versperrt bleiben muss, wie diese
Weitergabe von personenbezogenen gelangen. Dies führt zu der Frage, ob ihr Informationsziel anders erreichen
Daten an Dritte gemäß § 3 Abs. 4 Nr. 3 die personenbezogenen Daten tatsäch- kann,27 muss eine solche Einschränkung
BDSG, „soweit es zur Wahrung berech- lich die verantwortliche Stelle veranlas- ebenso für das „Wie“ der Datenverar-
tigter Interessen der verantwortlichen sen dürfen ohne die Schutzmaßnahmen beitung gelten.28 Letztendlich spielen
Stelle erforderlich ist und kein Grund zu des § 9 BDSG kontrolliert und doku- bei diesem Punkt die im nachfolgenden
der Annahme besteht, dass das schutz- mentiert sicherzustellen, vor allem mit behandelten schutzwürdigen Interessen
würdige Interesse des Betroffenen an der grundsätzlichen Möglichkeit einer des Betroffenen eine maßgebliche Rol-
dem Ausschluss der Verarbeitung oder Zweckänderung durch die Dritten?24 le. Diese sind jedoch aufgrund der man-
Nutzung überwiegt.“ Die Regelung des § 28 Abs. 1 S. 1 Nr. 2 gelnden gesetzlichen Vorgaben im Rah-
Aus datenschutzrechtlicher Sicht sind BDSG enthält dazu (anders als die Auf- men von § 28 Abs. 1 S. 1 Nr. 2 BDSG
vornehmlich zwei Fragestellungen zu tragsdatenverarbeitung) keine konkreten einer gewissen Beliebigkeit ausgesetzt.
beantworten: Anforderungen, sondern überlässt auch
Erstens: Warum sollte § 28 Abs. 1 S. 1 dies der Einschätzung des Unterneh- b. Schutzwürdige Interessen
Nr. 2 BDSG anwendbar sein? mers. Die schutzwürdigen Interessen der Betroffenen
Zweitens: Werden die schutzwürdigen der Betroffenen sind gerade nicht und Nachteilig an der Regelung des § 28
Interessen der Betroffenen ausreichend unter Bußgeldandrohung unabdingbar Abs. 1 S. 1 Nr. 2 BDSG ist insgesamt,
berücksichtigt? mit einer schriftlichen Dokumentations- dass der Gesetzgeber weder die „berech-
und Kontrollpflicht des Unternehmers tigten Interessen“, die „schutzwürdigen
a. Anwendbarkeit von § 28 Abs. 1 verknüpft. Zudem: Wenn der Grundsatz Interessen“ noch die Anforderungen an
S. 1 Nr. 2 BDSG? der restriktiven und nur ausnahmswei- die Abwägung zwischen diesen wider-
Diesbezüglich ist zunächst streitig, ob se zulässigen Datenverarbeitung ernst streitenden Interessen definiert hat.29
die Alternative des § 28 Abs. 1 S. 1 Nr. genommen wird, müsste sich jeder Un- Unternehmen, welche die personenbe-
DANA • Datenschutz Nachrichten 2/2013
49Datenschutz mit Hindernissen
zogenen Daten ihrer Kunden oder Mit- che verwirrenden und überflüssigen Re- die Auftragsdatenverarbeitung geforder-
arbeiter outsourcen, können die wirt- gelungen bewusst in Kauf genommen te einschränkende Kriterium der bloßen
schaftliche Effizienz und ungehinderte hat. So hätte der Sachverhalt der Funk- „Hilfsfunktion“ zu verzichten.35 Es muss
Ausgestaltung ihrer Geschäftsprozesse tionsübertragung, der bereits seit gerau- allerdings berücksichtigt werden, dass
prinzipiell höher ansiedeln als die Inte- mer Zeit Anlass zu Diskussionen bie- nicht nur der geschriebene Vertrag die
ressen der Betroffenen, da eine summa- tet, bei der letzten Reform zum BDSG Rechte der Betroffenen wahrt, sondern
rische Prüfung der jeweiligen Interessen geregelt werden können. Zur Wahrung vor allem die praktische Durchführung
durch den Unternehmer als ausreichend des Persönlichkeitsschutzes der Be- des Vertrages. Eine Auftragsdatenverar-
angesehen wird.30 Aber müssen die Be- troffenen könnten die Unternehmer im beitung soll insgesamt nur in Betracht
troffenen nicht umgekehrt darauf ver- Rahmen der Funktionsübertragung eine kommen, wenn der Auftraggeber auch
trauen dürfen, dass ihre persönlichen Zweckänderung zwar vertraglich aus- tatsächlich in der Lage ist, dem Auf-
Daten in der rechtlichen Verantwortung schließen – ob sie dies tun, ist aber eine traggeber jeden Arbeitsschritt vorzu-
des konkreten Unternehmens – ihrem andere Frage, da eine gesetzliche Ver- schreiben.36 Gerade diese Anforderung
jeweiligen Vertragspartner – verblei- pflichtung hierzu nicht vorhanden ist. erscheint jedoch etwa bei Auslagerung
ben? An dieser Stelle kann die Abwä- Für die Funktionsübertragung gibt es der Personaldatenverwaltung , Boni-
gung folglich ebenso ergeben, dass die durchgängig –angefangen beim Schrift- tätsbewertungen oder Buchhaltung aus
schutzwürdigen Belange der Betroffe- formerfordernis und der geforderten Do- praktischen Gründen fraglich.37 Dies
nen einer Funktionsübertragung, näm- kumentation der Prüfung- keine gesetz- zeigen etwa die eingangs dargestellte
lich der Weitergabe ihrer Daten an für lichen Regelungen, die die Interessen Diskussion um die rechtliche Einord-
Sie unbekannte Dritte grundsätzlich der Betroffenen schützen. Ergänzend sei nung der Personaldatenverwaltung und
immer entgegenstehen.31 Für diesen Fall angemerkt, dass die Auftragsdatenverar- die umstrittene Frage, inwieweit es sich
ist entweder eine Einwilligung der Be- beitung auch einer Zulässigkeitsprüfung bei den Bereichen des Werkschutzes
troffenen gemäß § 4a BDSG oder die anhand des § 28 Abs. 1 S. 1 Nr. 2 BDSG oder der Detektivarbeit um Auftrags-
Auftragsdatenverarbeitung gemäß § 11 standhalten würde. Der Sache nach ent- datenverarbeitung handelt: Liegt es
BDSG vorgesehen – wobei letztere eine scheidet vor allem die Neufassung des § insbesondere bei Detektivarbeit nicht
Datenweitergabe lediglich unter der Vo- 11 BDSG, dass die schutzwürdigen In- außerhalb der Lebenserfahrung, dass
raussetzung zulässt, dass der (für die Be- teressen der Betroffenen berücksichtigt sämtliche Überwachungsschritte exakt
troffenen unbekannte) Empfänger wei- werden. Diese Konstruktion ist einer in- vorgegeben werden?38 Weiterhin muss
sungsgebunden ist und kontrolliert wird. ternen Datenverarbeitung durch (eben- kritisch hinterfragt werden, ob durch
Der Schutz des Persönlichkeitsrechts falls weisungsgebundene) Mitarbeiter diese Ausgestaltung eines Auftrags-
erfordert hier eine restriktive Betrach- vergleichbar, die keine Zweckänderung datenverarbeitungsvertrag „Verwer
tung, vor allem wegen der weitreichen- erlaubt. tungsgrenzen“ umgangen werden.39
den Möglichkeiten der Zweckänderung Die Grenze ist in diesem Falle erreicht,
gemäß § 28 Abs. 2 Nr. 1 BDSG sowie § 3. Vertragsfreiheit wenn eine Auftragsdatenverarbeitung
28 Abs. 5 BDSG. Diese führen zu dem Eine vermittelnde Meinung beruft keine tatsächliche Weisungsbefugnis
untragbaren Ergebnis, dass der Dritte sich wegen der letztgenannten Gründe enthält, sondern nur auf dem Papier be-
die personenbezogenen Daten gleicher- auf die sogenannte Vertragstheorie. Da- steht. Problematisch ist in dem gesam-
maßen für seine eigenen und vor allem nach soll § 11 BDSG insoweit extensiv ten Kontext, dass Wirtschaftsvertreter
anderen Zwecke verarbeiten und nutzen ausgelegt werden, dass jede denkbare im Arbeitsbericht „konzerninterner
könnte.32 Der Verarbeitungsspielraum Fallgestaltung mittels eines Auftragsda- Datenverkehr“ die Auffassung vertre-
ist letztendlich identisch mit dem des tenverarbeitungsvertrages geregelt wer- ten,40 dass einerseits das Kriterium der
Unternehmers, der die Daten übermit- den kann, da in diesem Falle sicherge- Entscheidungsbefugnis im Rahmen der
telt hat.33 Bewertungsmaßstab für die stellt sei, dass sämtliche gesetzlich ge- Auftragsdatenverarbeitung nicht zu eng
weitere Verarbeitung durch den Unter- forderten Voraussetzungen eingehalten bewertet werden dürfte und andererseits
nehmer, der die Daten erhalten hat, ist werden.34 So könnte beispielsweise die eine vertragliche Verantwortungsüber-
allein dessen Einschätzung, ob schutz- Personaldatenverwaltung vollständig nahme für nicht gerechtfertigt halten.
würdige Interessen der Betroffenen an an ein anderes Unternehmen ausgela- Der Begründung lässt sich entnehmen,
dem Ausschluss der Verarbeitung oder gert werden, wenn sämtliche Vorausset- dass die Wirtschaftsvertreter insgesamt
Nutzung überwiegen könnten. Es wäre zungen des § 11 BDSG erfüllt werden für einen größeren Gestaltungsspiel-
ihm unter anderem nicht verwehrt, die und die Verantwortung der auslagerten raum bei der Auftragsdatenverarbeitung
empfangenen Daten einer weiteren Stel- Stelle bestehen bliebe. Diese Auffas- plädieren mit dem Verweis darauf, dass
le zu übermitteln. Die Intransparenz für sung scheint auf den ersten Blick eine bei einer Funktionsübertragung sogar
die Betroffenen ist offensichtlich und angemessene Alternative darzustellen, eine Zweckänderung der Datennutzung
nicht hinnehmbar. Unterstellt man dem sofern dem Auftraggeber umfassende erlaubt sei– daher seien die Rechte der
Gesetzgeber an dieser Stelle kein achtlo- Weisungsbefugnisse verbleiben und er Betroffenen bei Annahme einer Auf-
ses Vorgehen hinsichtlich der Wahrung in sämtliche Entscheidungsbefugnisse tragsdatenverarbeitung umfassender
des Persönlichkeitsschutzes, drängt sich eingebunden ist. In diesem Fall könnte geschützt.41 Diese Ausführungen impli-
zumindest der Verdacht auf, dass er sol- tatsächlich überlegt werden, auf das für zieren, dass die Wirtschaftsvertreter den
DANA • Datenschutz Nachrichten 2/2013
50Datenschutz mit Hindernissen
Aufsichtsbehörden nahe legen, einen ausgelegt werden, dass die Mindestan- Die vermittelnde Meinung („Vertrags-
eigenen Ermessenspielraum bei Auf- forderungen des § 11 BDSG eingehalten theorie“) hat zwar den Vorteil, dass die
tragsdatenverarbeitung zu akzeptieren, werden: Die Weitergabe von Daten darf Schwächen der Funktionsübertragung
da sie ansonsten bei den zu regelnden nur in schriftlicher Form erfolgen, der insoweit ausgeglichen werden, dass der
Sachverhalten weiterhin von Funktions- Unternehmer muss sich von der sorg- Auftraggeber für die Datenverarbeitung
übertragung mit (grundsätzlich) erlaub- fältigen Arbeitsweise des anderen Da- des Auftragnehmers verantwortlich
ter Zweckänderung der Datennutzung tenverarbeiters überzeugen, er darf nicht bleibt und sämtliche Regelungen des §
ausgehen.42 aus der Haftung entlassen werden und 11 BDSG –bei Übertragung einer ge-
die einzelnen Maßnahmen, insbeson- samten Aufgabe– eingehalten und kont-
IV.Fazit dere technischer und organisatorischer rolliert werden müssen. Auf der anderen
Natur müssen nachprüfbar fixiert wer- Seite muss allerdings bedacht werden,
Die obigen Ausführungen zeigen, dass den. In der Praxis enthalten Auftrags dass sich der bei Vertragsabschluss und
bei den rechtlichen Möglichkeiten der datenverarbeitungsverträge häufig eine während der Vertragsdurchführung an-
Funktionsübertragung vieles ungeklärt zusätzliche Vertragsstraferegelung ein- gelegte Maßstab ausschließlich auf die
ist und eine enorme Gefährdung für den gebaut, um die Wichtigkeit der Betrof- tatsächliche Ausführung des Vertra-
Persönlichkeitsschutz der Betroffenen fenenrechte nochmals zu untermauern. ges beziehen kann. Ein Unternehmer
beinhalten. Informationelle Selbstbe- Bei der Funktionsübertragung sind sol- müsste sich kritisch fragen, ob er dem
stimmung muss jedoch bedeuten, dass che Kriterien per Gesetz nicht gefordert. Dienstleister sämtliche Arbeitsschritte
die Betroffenen sicher sein können, dass Unter Berücksichtigung dessen, dass derart detailliert vorgeben kann, dass
derjenige, dem sie ihre Daten anvertraut mit der Weitergabe von Daten an Dritte seine Entscheidungsbefugnis unange-
haben, die verantwortliche Stelle bleibt (= Übermittlung gemäß § 3 Abs. 4 Nr. 3 tastet und unmissverständlich ist. Diese
und ihre Daten ebensowenig einer un- BDSG) das Persönlichkeitsrecht stärker Vorgehensweise wird freilich von dem
durchsichtigen Zweckänderung durch betroffen ist als wenn die Daten einem Manko begleitet, dass abermals allein
Dritte unterliegen. Nur auf diese Weise weisungsgebundenen Auftragnehmer die Einschätzung des Unternehmers
können die Betroffenen über die Preis- überlassen werden, ist die Funktions- entscheidend sein soll – ohne objekti-
gabe und Verwendung ihrer Daten selbst übertragung äußerst bedenklich: Wäh- ven Bewertungsmaßstab oder Einfluss-
bestimmen. Anderenfalls wäre die Ver- rend die „Hilfsfunktion“ der Datenver- möglichkeit der Betroffenen. Besonders
fügungsbefugnis über die eigenen Daten arbeitung nur unter engen gesetzlichen kritisch zu betrachten sind ferner die
in das Ermessen eines Dritten gelegt, der Voraussetzungen zugelassen wird, wer- Tendenzen, die auf das Merkmal der
aufgrund seiner wirtschaftlichen Belan- den darüber hinaus gehende Tätigkeiten Weisungsbefugnis in einem Auftrags-
ge nicht in der Lage ist, über die schutz- lediglich an dem vagen Merkmal der datenverarbeitungsvertrag verzichten
würdigen Interessen der Betroffenen schutzwürdigen Interessen gemessen. wollen.45 Damit würde ein wichtiges
objektiv zu entscheiden. Hierfür fehlen Wie oben bereits ausgeführt, hat der gesetzliches Kriterium des § 11 BDSG
konkrete Vorgaben bezüglich der Daten- Gesetzgeber die Funktionsübertragung entfallen, welches gerade sicherstellt,
weitergabe an Dritte, insbesondere der im Rahmen der letzten BDSG-Reform dass dessen Anforderungen eingehalten
gesetzliche Ausschluss der Zweckände- nicht geregelt und die weite Auslegung und die Daten im Sinne des Auftragge-
rung bei einer Funktionsübertragung. Zu der Übermittlungstatbestände in Kauf bers verarbeitet werden. Die Auftrags-
berücksichtigen ist insgesamt, dass sich genommen. So wäre es beispielsweise datenverarbeitung wäre außerdem aus-
der Gesetzgeber aufgrund der Konkre- möglich gewesen - wie im Modernisie- nahmslos ad absurdum geführt, wenn
tisierung sowie der Bußgeldandrohung rungsgutachten vorgeschlagen - zumin- das Kriterium der fehlenden Entschei-
letztendlich ebenso zur Verschärfung dest eine Information der Betroffenen dungsmacht zu erleichterten Bedingun-
des § 11 BDSG entschlossen hat. Das mit Widerspruchsmöglichkeit aufzuneh- gen beim Outsourcing führen soll. Der
gesetzgeberische Ziel, durch Kont- men.44 Demgegenüber hat der Gesetzge- Unternehmer müsste seinem Partner
roll- und Dokumentationspflichten, den ber die Anforderungen an die Auftrags- also lediglich mehr Spielraum bei der
datenschutzgerechten Umgang mit per- datenverarbeitung verschärft. Dieser Verarbeitung einräumen, um seine Do-
sonenbezogenen Daten sicherzustellen, Widerspruch ist bizarr: Eine durch voll- kumentations- und Kontrollpflichten
wird nun völlig konterkariert, wenn sich ständige Aufgabe der Weisungs- und zu umgehen? Falls nun das Argument
die Zulässigkeit der Datenübermittlung Kontrollmöglichkeiten sowie Zweckän- angeführt werden sollte, es sei ja klar,
und Zweckänderung allein anhand ei- derungsgefahr bedingte eingriffsintensi- dass in diesem Falle das schutzwürdige
ner „summarischen Prüfung“ durch die vere Datenverarbeitung wird durch eine Interessen des Betroffenen überwiegt,
Unternehmer dahingehend bemisst, ob unbestimmte Regelung wie § 28 Abs. 1 kann man entgegenhalten, dass dann
schutzwürdige Interessen des Betroffe- S. 1 Nr. 2 BDSG legitimiert während die auch nichts dagegen einzuwenden ist,
nen verletzt sein könnten.43 Denn vor- bereits vor der Reform reglementierte dies transparent und ausdrücklich ge-
nehmlich muss sich die Frage stellen, und das Persönlichkeitsrecht bewah- setzlich zu fixieren. Die momentane
unter welchen Voraussetzungen die rende Auftragsdatenverarbeitung weiter verwirrende Gesetzeslage lässt eine viel
schutzwürdigen Interessen des Betroffe- eingeschränkt wird. Über das Ansinnen zu große Spanne für Interpretationen.
nen nicht verletzt sind. Dies kann im Sin- des Gesetzgebers können nur Mutma- Eine Interessenabwägung, die sich an
ne der Gesetzesintention nur dergestalt ßungen angestellt werden. dem im erhöhten Maße schutzwürdigen
DANA • Datenschutz Nachrichten 2/2013
51Datenschutz mit Hindernissen
Belangen der Betroffenen misst,46 wird 12 Arbeitsbericht „konzerninter- grund der Aufgaben unvermeidbar ist“.
letztendlich nur durch klare gesetzliche ner Datenverkehr“, S. 4.
29 Siehe zur Unbestimmtheit un-
Regelungen zu bewerkstelligen sein und 13 BT-Drs. 16/12011, S. 40. ter anderem Taeger in: Taeger/
nicht durch Einschätzungen seitens der Gabel, § 28 BDSG Rn. 62.
14 BT-Drs. 16/12011, S. 40.
Unternehmer. Dies zeigt sich bereits 30 Simitis in: Simitis, 7. Auflage,
daran, dass der Gesetzgeber sogar be- 15 BT-Drs. 16/12011, S. 40. § 28 BDSG Rn. 129.
züglich der Auftragsdatenverarbeitung 16 BT-Drs. 16/12011, S. 40. 31 Siehe zum konzerninternen
darauf hingewiesen hat, dass in der Pra- 17 Arbeitsbericht „konzerninterner Datenaustausch und der Auffassung
xis ohne entsprechende gesetzliche Ver- Datenverkehr“, S. 7 ff.; Gabel in: der Aufsichtsbehörden: Arbeitsbericht
pflichtung regelmäßig keine Kontrolle Taeger/Gabel, § 11 BDSG Rn. 14, „konzerninterner Datenverkehr“, S. 8.
stattfindet.47 der darauf verweist, dass die allge- 32 Gemäß § 28 Abs. 2 Nr. 1 BDSG ist eine
meinen Regelungen zur Erhebung, Übermittlung und Nutzung und gemäß
Verarbeitung und Nutzung von per- § 28 Abs. 5 BDSG eine Verarbeitung
1 Siehe Gabel in: Taeger/Gabel, § 11 sonenbezogenen Daten gelten;
BDSG Rn. 16 bezüglich einer gesetzlich und Nutzung für andere Zwecke zu-
Weichert, DuD 2010, S. 683. lässig, soweit es zur Wahrung berech-
vorgegebenen Möglichkeit, in unkom-
plizierter Weise an den Vorteilen einer 18 Wedde in: Däubler/Klebe/Wedde/ tigter Interessen erforderlich ist und
arbeitsteiligen Wirtschaft teilzuhaben. Weichert, 3. Auflage, § 28 BDSG Rn. 14. kein Grund zu der Annahme besteht,
dass das schutzwürdige Interesse des
2 Gola/Schomerus, 10. Auflage, 19 Siehe hierzu die nachfolgen- Betroffenen an dem Ausschluss der
§ 11 BDSG Rn. 3. den Ausführungen unter III.2a. Verarbeitung oder Nutzung überwiegt.
3 Zur „Hilfsfunktion“ siehe Gabel 20 Simitis in: Simitis, 7. Auflage, 33 Siehe auch Wedde in: Däubler/
in: Taeger/Gabel, § 11 BDSG § 28 BDSG Rn. 53, 54. Klebe/Wedde/Weichert, 3.
Rn. 14; Petri in: Simitis , 7. 21 Simitis in: Simitis, 7. Auflage, Auflage, § 28 BDSG Rn. 162.
Auflage, § 11 BDSG Rn. 22. § 28 BDSG Rn. 55. 34 Gabel in: Taeger/Gabel, § 11 BDSG Rn.
4 Zur “rechtlichen Einheit” 22 Siehe hierzu auch Simitis in: Simitis, 15. Siehe auch Weichert, DuD 2010, S.
siehe Gola/Schomerus, 10. 7. Auflage, § 28 BDSG Rn. 82, der 683, der darauf verweist, dass schutz-
Auflage §11 BDSG Rn. 4. auf die Unzulässigkeit einer „frei- würdige Interessen durch Maßnahmen
5 Siehe zu den Betroffenenrechten Petri in: en Zirkulation“ Bezug nimmt. gewährleistet werden können, die
Simitis, 7. Auflage, § 11 BDSG Rn. 23. in § 11 BDSG vorgesehen sind.
23 Simitis in: Simitis, 7. Auflage,
6 Gola/Schomerus, 10. Auflage, § 28 BDSG Rn. 101. 35 Siehe zum Merkmal der “Hilfsfunktion”
§ 11 BDSG Rn. 9. eines Dienstleisters, der Daten im
24 Siehe zur Zweckänderung: Arbeitsbericht Auftrag gemäß § 11 BDSG verar-
7 Gabel in: Taeger/Gabel; § 11 „konzerninterner Datenverkehr“, beitet: Gabel in: Taeger/Gabel, § 11
BDSG Rn. 23 mit Verweis auf die S. 9 und in diesem Beitrag die nach- BDSG Rn. 14 sowie Petri in: Simitis,
Möglichkeit einer weiten Auslegung folgenden Ausführungen unter III.2b. 7. Auflage, § 11 BDSG Rn. 22.
der Auftragsdatenverarbeitung. 25 Siehe hierzu Arbeitsbericht „kon- 36 Petri in: Simitis, 7. Auflage, §
8 Petri in: Simitis, 7. Auflage, § 11 BDSG zerninterner Datenverkehr“, S. 6 mit 11 BDSG Rn. 20 mwN.
Rn. 37 mit Verweis auf die Praxis, in Verweis auf die Zweckbestimmung
der es eher unwahrscheinlich sei, dass und Erforderlichkeit, wenn der 37 Siehe zu diesen „Outsourcing-
innerhalb von Konzernstrukturen der Arbeitsvertrag ein Tätigwerden Sachverhalten“ Petri in: Simitis, 7.
Auftraggeber die volle Verantwortung des Arbeitnehmers auch in ande- Auflage, § 11 BDSG Rn. 25 ff.
für Personalentscheidungen und ren Konzernunternehmen vorsieht. 38 Siehe hierzu Gabel in: Taeger/Gabel, §
Personaldatenverarbeitung behal- 26 Siehe hierzu auch Weichert, 11 BDSG Rn. 20, der bei Detektivarbeit
te; siehe zum Ganzen auch Gola/ DuD 2010, S. 683. von Funktionsübertragung ausgeht,
Schomerus, 10. Auflage § 11 BDSG wenn der Detektiv selbst bestimmt,
Rn. 9 und Gola, Handbuch zum 27 Simitis in: Simitis, 7. Auflage, wie er den Auftrag ausführt und wel-
Arbeitnehmerdatenschutz, Rn. 992. § 28 BDSG Rn. 108. che Mittel er einsetzt - mit Verweis
9 Dieser Arbeitsbericht behandelt aus- 28 Als Denkanstoß kann in diesem Falle auf den Bericht des Innenministeriums
schließlich den konzerninternen ebenso angeführt werden, dass die Frage von Baden-Württemberg über die
Datentransfer und protokolliert die „Muss dies sein?“ nicht ungewöhn- Tätigkeit der Aufsichtsbehörde für
Auffassungen des Regierungspräsidium lich ist und beispielsweise ebenso un- den Datenschutz im nicht-öffentlichen
Darmstadt und Wirtschaftsvertretern ter Datensicherheitsaspekten hinsicht- Bereich. Gola hingegen (Handbuch
zum Thema „Funktionsübertragung lich der Verarbeitung personenbezogener zum Arbeitnehmerdatenschutz, 5.
im Konzern“; abrufbar unter htt- Daten auf Notebooks (und zwar inner- Auflage, Rn. 993) verweist darauf,
ps://www.ldi.nrw.de/mainmenu_ halb der verantwortlichen Stelle!) von dass sowohl Auftragsdatenverarbeitung
Datenschutz/submenu_Datenschutzrecht/ dem Landesdatenschutzbeauftragten und Funktionsübertragung in
Inhalt/Personalwesen/Inhalt/5_ von Bremen gestellt wird: Siehe Betracht komme; Petri in: Simitis,
Beschaeftigtendatenschutz_Konzern/ hierzu die Ausführungen in Gola/ 7. Auflage, § 11 BDSG Rn. 41 geht
arbeitspapier_ad_hoc_idv.pdf Schomerus, 10. Auflage, § 9 BDSG wiederum davon aus, dass regel-
Rn. 17 mit Verweis auf den 15. TB mäßig eine Funktionsübertragung
10 Arbeitsbericht „konzerninter- des Landesdatenschutzbeauftragten in Betracht kommt.
ner Datenverkehr“, S. 3. Bremen: „Eine Verarbeitung von per- 39 Simitis in: Simitis, 7. Auflage, §
11 Arbeitsbericht „konzerninter- sonenbezogenen Daten auf tragba- 28 BDSG Rn. 140 verweist auf die
ner Datenverkehr“, S. 3/4. ren PCs darf nur erfolgen, wo dies auf- Unzulässigkeit, Verwertungsgrenzen
DANA • Datenschutz Nachrichten 2/2013
52Datenschutz mit Hindernissen
und Übermittlungsschranken ren Spielraum bei der Nutzung der 44 Gutachten im Auftrag des
unter Zuhilfenahme einer Daten erhalte (z.B. sie im Rahmen Bundesministeriums des Innern zur
Auftragsdatenverarbeitung zu umgehen. von § 28 Abs. 2, 3 BDSG für ande- Modernisierung des Datenschutzrechts
re Zwecke nutzen könne), so dass die (Roßnagel, Pfitzmann, Garstka), S. 125.
40 S. 4 und 9 des Arbeitsberichts „kon- Rechte der Betroffenen bei Annahme
zerninterner Datenverkehr“. einer Auftragsdatenverarbeitung ggf. 45 Siehe oben unter III.3.
41 Arbeitsbericht „konzerninter- umfassender geschützt seien als bei 46 Siehe hierzu Wedde in: Däubler/
ner Datenverkehr“, aaO. Annahme einer Funktionsübertragung Klebe/Wedde/Weichert, 3.
(bzw. es bedürfe nicht besonde- Auflage, § 28 BDSG Rn. 162.
42 Arbeitsbericht „konzerninter- rer vertraglicher Regelungen, um die
ner Datenverkehr“, S. 9: „Bei ei- Zweckänderung auszuschließen).“ 47 Siehe oben unter III.1 und BT-
ner Funktionsübertragung sei näm- Drs. 16/12011, S. 40.
lich zu berücksichtigen, dass der 43 Zur summarischen Prüfung sie-
Funktionsübernehmer als verant- he Simitis in: Simitis, 7. Auflage,
wortliche Stelle einen umfassende- § 28 BDSG Rn. 129.
Thilo Weichert
Google Glass, IT-Brillen und informationelle
Selbstbestimmung
Gigabyte groß sein; 12 Gigabyte davon
stehen den Nutzenden zur Verfügung.
Über ein Mikrophon sind Sprachein-
gaben und Tonaufnahmen möglich;
das Starten erfolgt durch die Eingabe
„Okay, Glass“. Tonausgaben erfolgen
nicht über Lautsprecher, sondern vom
Bügel direkt auf den Schädelknochen
– ein Verfahren, was bisher bei Hörge-
räten verwendet wird. Glass hat umfas-
senden Zugang zum Internet, zwecks
Hoch- und Runterladen von Texten,
Dokumenten, Bildern und akustischen
Samples, zwecks Eingabe und Abruf.
April 2013 stellte Robert Scoble, US- re für Werbe- und Erprobungszwecke Sämtliche Daten – Inhalte, Verkehrsda-
amerikanischer Technik-Blogger, frühe- ausgeliefert wurden. Der Miniprojektor ten und Personenzuordnungen – laufen
rer Microsoft-Angestellter und nun Wer- vermittelt das Gefühl, im rechten oberen über Server von Google und werden von
beträger für Google, im Kongress-Zent- Blickfeld einen ca. 20 Zentimeter gro- dem US-Unternehmen gespeichert und
rum am Alexanderplatz in Berlin auf der ßen Bildschirm zu sehen. Zur Bildqua- ausgewertet. Ein Lokalisierungsdienst
Technologiemesse Next „Google Glass“ lität gibt Google an, sie sei genauso gut, ermöglicht es, den eigenen Standort auf
in Deutschland vor: „Sie hat mein Leben als würde man in 2,4 Meter Entfernung einer Karte anzuzeigen oder den Weg zu
verändert. Ich werde keinen Tag mehr (8 Fuß) vor einem 63 Zentimeter (8 Zoll) einem festgelegten Ziel zu weisen. Per
verbringen, ohne sie zu tragen“. großen HD-Schirm stehen. Die Brille Gesichtserkennung könnte die Brille
Bei Google Glass handelt es sich um reagiert auf Sprache und Kopfbewegun- dem Halter mitteilen, wer ihm – wahr-
eine Art Brille ohne Gläser, an der am gen. Künftig soll das Produkt auch mit scheinlich – gerade gegenübersteht. Der
schmalen Bügel ein Quader, eine Art Augenbewegungen gesteuert werden Akku soll ohne Nachladen einen ganzen
Prisma, angebracht ist. Google Glass können. Geht eine E-Mail ein, so wird Tag durchhalten. Videoverbindungen
bietet viele Funktionen, die komplexe diese am Bildschirm angezeigt. Mit ei- wie sog. Hangouts und Videoaufnah-
Smartphones bieten. Statt eines Displays ner integrierten 5-Megapixel-Kamera men verbrauchen mehr Strom und lee-
gibt es einen direkt am Auge angebrach- lassen sich Fotos und Videos erstellen. ren den Akku schneller. Geladen wird
ten Minibildschirm. Scobles Brille war Bei Videos gibt es eine Auflösung von über ein mitgeliefertes Ladegerät mit
die 107. von zweitausend 1.500 Dollar 720p, was der kleinsten HD-Auflösung Mikro-USB-Anschluss. In den Hinwei-
kostenden Prototypen, die insbesonde- entspricht. Der Flash-Speicher soll 16 sen wird erläutert, dass Kinder unter 13
DANA • Datenschutz Nachrichten 2/2013
53Datenschutz mit Hindernissen
Jahren die Brille nicht nutzen sollten, da er habe es innerhalb von zwei Stunden unterliegt bisher nicht der staatlichen
sie ihre Sehentwicklung beeinträchtigen geschafft, sich vollen Zugriff auf das Kontrolle, sondern dem Privatunterneh-
könne. Auch wer seine Augen mit einem Betriebssystem zu verschaffen. Dass das men Taser. Taser vertraut auf Amazon,
Laser operieren ließ, solle Glass nicht Gerät „hackbar“ ist, wurde von Google das die Server für Evidence.com zur
unbedingt nutzen. auch nicht bestritten. Google-Manager Verfügung stellt. Richtlinien, geschwei-
Natürlich wurde Google Glass welt- propagieren selbst das Spielen mit der ge denn eine gesetzliche Grundlage für
weit nicht zuerst in Deutschland vor- Technik, um Soft- und Hardware weiter den Einsatz der Technik, gibt es nicht.
gestellt, sondern einen Monat zuvor in zu entwickeln. Unklar ist, was der Jail- Videodokumentation sichert nicht zwei-
den USA auf der TED-Konferenz durch break für die Google-Brille ermöglicht, felsfrei echte Bilder. 2010 wurde die Po-
den Google-Gründer Sergey Brin. Die etwa ob sich das von Google verfügte lizei in London überführt, Bilder einer
Brille befreit von der Notwendigkeit, Verbot des Verkaufs oder Verleihs der Überwachungskamera für ein Gerichts-
ein Smartphone in die Hand zu nehmen. Testgeräte umgehen lässt. Google be- verfahren manipuliert zu haben. Dies
Das Produkt zielt auf eine Verschmel- hält sich in den Nutzungsbedingungen ist auch mit der Brillentechnik möglich.
zung der analogen mit der digitalen zur „Explorer Edition“ der Datenbrille Nach Angaben von Taser haben die Po-
Welt. Gebückt befasste sich Brin bei der vor, das Gerät aus der Ferne zu „deak- lizeibehörden von Pittsburgh, Salt Lake
Präsentation erst mit einem klassischen tivieren“, sollte es verkauft oder weiter- City, der Bahn Bay Area Rapid Transit
Smartphone: „Haben wir dazu unseren gereicht werden. Möglich wäre das da- und andere das System bestellt. Auch in
Körper? Um herumzustehen und ein ei- durch, dass diese, ähnlich wie ein And- Deutschland kommen Helmkameras bei
genschaftsloses Stück Glas zu reiben? roid-Handy, über einen Google-Account Einsätzen von Spezialkommandos zum
Für mich fühlt sich das an wie eine Ent- aktiviert werden muss. Würde eines der Einsatz. Zum Zweck der Eigensiche-
mannung.“ Hände, Augen und Ohren Testgeräte mit einem neuen Account rung bei Personen- und Fahrzeugkont-
des Menschen sollten befreit werden. verknüpft, würde dies vermutlich von rollen werden Kameras eingesetzt, die
Aufrecht nutzte er dann sein Glass. Ein Google registriert. nicht am Körper des Polizisten, sondern
offizielles Werbevideo zeigt dem Träger Ende 2013 soll Glass auf den US- am Einsatzfahrzeug installiert sind.
die aktuellen Termine an, dann eine Wet- amerikanischen Markt kommen, dann Google Glass ist eine logische Wei-
tervorhersage, dann eine Kurznachricht aber bald auch in Europa. Prophylak- terentwicklung vorhandener Technik.
eines Freundes in einem Buchladen, die tisch wurde Glass schon – vielleicht ein Während jedoch beim Filmen und Foto-
mündlich beantwortet, in Text übersetzt kluger Werbegag – für Stripclubs, Ca- grafieren mit Smartphone und Minika-
und der Text versendet wird. Glass be- sinos, Multiplexkinos und für den Stra- mera noch eine bewusste und erkennba-
stellt dann, vor dem Plakat eines Pop- ßenverkehr in West Virginia verboten. re Aktivität des Erfassers nötig ist, fällt
konzerts stehend, hierfür Eintrittskarten. Von der Pornoindustrie kamen dagegen dies bei Glass fort. Für die Erfassten ist
Am Ende steht der Held abends auf dem positive Signale, erleichtert doch Glass beim Brilleneinsatz nicht mehr ansatz-
Dach eines Hauses, erhält einen Video- das Erstellen von Filmen aus einer sehr weise erkennbar, wann gefilmt wird, ja
anruf seiner Freundin, die auf ihrem subjektiven Perspektive. Der Initiator dass überhaupt gefilmt werden könnte.
Computerbildschirm den Sonnenun- von „Stop the Cyborgs“ wiederum, der Aus Datenschutzsicht ist die neue
tergang durch seine Augen betrachtet, sich im Netz Adam nennt, erklärte Glass Technologie eine Herausforderung: Es
während er Ukulele spielt und sie durch zum Einstieg in die Überwachungsge- erfolgt nicht nur eine Erfassung der Da-
ein kleines Fenster im Blickfeld beob- sellschaft und fordert überwachungs- ten der Anwendenden, sondern auch von
achtet. Beruhigend teilte Google bei der freie Zonen, „in denen Menschen frei dritten Personen, die mit dem Brillenträ-
Vorstellung der Öffentlichkeit mit, An- und unbekümmert reden können“. ger überhaupt nichts zu tun haben müs-
wender von Glass vorerst nicht mit Wer- Glass ist ein ziviles Produkt, das sei- sen und die regelmäßig keine Kenntnis
bung behelligen zu wollen. Doch Glass ne Vorläufer im Militär- und Sicher- von der Aufzeichnung, vor allem von
soll natürlich zur Produktvermarktung heitsbereich hat. Beim US-Militär sind Ton und Bild, haben. Die Betroffenen
eingesetzt werden. Es soll der einkau- Helmkameras für kämpfende Einheiten können erst recht keine Vorstellung ha-
fenden Frau – so das Werbevideo eines weit verbreitet. Die Firma Taser rüstet ben, welche sie betreffenden weiteren
US-Lebensmittelkonzerns, ein Mann nun Polizisten in den USA mit winzi- Datenverarbeitungen stattfinden, etwa
würde durch solch einen Clip wohl „ent- gen Videokameras aus, die an einer Art ob Gesichtsbilder oder Sprachaufzeich-
mannt“ – nicht nur mitteilen, welche Brillengestell befestigt werden und mit nungen gespeichert werden oder per
Waren im Kühlschrank fehlen, sondern denen diese ihre Einsätze dokumentie- Mustererkennung mit Musterdatenban-
auch, in welchem Laden die fehlenden ren. Bei der Auswertung eines mehrmo- ken abgeglichen werden, was eine in-
Produkte in welchem Regal zu finden natigen Feldversuchs im kalifornischen dividuelle Zuordnung ermöglicht, oder
sind und wie die Frau am schnellsten Rialto mit dem „Axon Flex“ genannten ob vom Anwender derartige Zuordnun-
dorthin findet. System ergab sich, dass die Zahl der gen vorgenommen werden. Zu Ton und
Wenige Tage nach Präsentation der Beschwerden gegen Polizisten abnahm Bild werden Ort und Zeit zugespeichert,
Brille wurde verbreitet, dass Glass be- wie auch die Zahl der Fälle, in denen möglicherweise auch ganze Profile -
reits gehackt worden sei. Der unter die Beamten Gewalt anwendeten. Die etwa aus sozialen Netzwerken.
dem Spitznamen Saurik bekannte Soft- Datenbank, auf der die Bilder von den Die rechtliche Verantwortlichkeit für
wareentwickler Jay Freeman erklärte, Polizeieinsätzen aufgespielt werden, die Nutzung von Glass liegt zunächst
DANA • Datenschutz Nachrichten 2/2013
54Datenschutz mit Hindernissen
bei der Person, die die Brille trägt und – also aus juristischer Sicht die der „ver- ausdrücklichen gesetzlichen Regelung.
bedient. Erst hinsichtlich der weiteren antwortlichen Stelle“ – festzustellen, Dies ist in der Rechtsprechung des Bun-
Speicherung und Verarbeitung entsteht fehlt regelmäßig der faktische Ansatz, desverfassungsgerichtes mit seiner We-
eine ergänzende Verantwortlichkeit von um sich rechtlich zur Wehr setzen zu sentlichkeitstheorie seit Jahren geklärt.
Google. Möglichkeiten, Google den können. Zwar bestehen zivil- und da- Wegen der faktischen Schwierigkeit,
Verkauf oder den Vertrieb von Glass tenschutzrechtlich Auskunftsansprüche staatlich-institutionelle Hilfe in An-
in Deutschland zu verbieten, bestehen der Betroffenen gegenüber dem Glass- spruch zu nehmen, stellt sich die Frage,
derzeit rechtlich nicht. Auch der Besitz Nutzenden. Dieser kann aber relativ fol- welche Maßnahmen der Selbsthilfe ge-
oder das Tragen von Glass – offline – ist genlos behaupten, dass keine Erfassung gen die Erfassung durch Glass zulässig
rechtlich nicht angreifbar. Beim Einsatz erfolgt sei. sind. Verhältnismäßig dürfte wohl in je-
von Glass kann es jedoch zu massiven Gibt es für diese Beeinträchtigung dem Fall die Festhaltebefugnis zwecks
Rechtsbeeinträchtigungen kommen. keine Legitimation im Einzelfall, so Identitätsfeststellung nach § 127 Straf-
Bisher besteht eine explizite Regelung kann – theoretisch – gegen den Ein- prozessordnung (StPO) sein. Hochinter-
zum Einsatz von Glass durch Privatper- satz von Glass juristisch vorgegangen essant wird voraussichtlich sein, wie ge-
sonen nicht. Doch muss generell von werden. Verletzungen des allgemeinen richtlich im Fall des Selbstschutzes von
einer Anwendbarkeit des Bundesdaten- Persönlichkeitsrechts begründen für den Betroffenen durch Wegnahme oder gar
schutzgesetzes (BDSG) ausgegangen Betroffenen gegenüber dem Nutzenden Zerstörung der Google-Brille entschei-
werden, da – anders als etwa bei durch- zivilrechtliche Ansprüche nach den §§ den werden wird. Vor Jahren bestätigte
laufenden Bildern einer PKW-Außen- 823, 1004 auf Schadenersatz, auf Unter- die Rechtsprechung immer wieder, dass
kamera – mit Glass eine gezielte Daten- lassung und auf Folgenbeseitigung, also ein solcher Selbstschutz (zumeist von
erhebung und -speicherung von dritten auf Datenlöschung. Datenschutzrechtli- Polizeibeamten) gegen unzulässiges Fo-
Personen erfolgt, bei der eine Beschrän- che Ansprüche bestehen nach den §§ 34, tografieren zulässig war.
kung auf persönlich-familiäre Zwecke 35 BDSG auf Auskunft und Löschung. Zu hoffen ist, dass all diese rechtli-
nicht erfolgt. Am ehesten anwendbar ist Spätestens nach Widerspruch gegen chen Fragen nicht entschieden werden
§ 6b BDSG zur Videoüberwachung im eine Datenerhebung muss die weitere müssen, weil die Menschen in Europa
öffentlichen Raum. Doch ähnlich wie Erfassung unterlassen werden. Da der und in Deutschland vernünftig genug
beim Einsatz von Drohnenkameras greift Verdacht von Straftaten (§ 201 StGB, sind, den Einsatz dieses persönlich-
das Regelungskonzept dieser Norm zu § 44 BDSG) bestehen kann, können keitsrechtsverletzenden Gadgets zu un-
kurz: Hinweise an die betroffenen Per- die Polizei und die Staatsanwaltschaft terlassen. Besser als jede institutionelle
sonen auf die optische Erfassung sind bemüht werden. Denkbar ist auch, die und rechtliche wäre die gesellschaft-
faktisch nicht möglich. Eine Beschrän- Polizei im Rahmen der Gefahrenabwehr liche und kulturelle Sanktionierung.
kung der Datenspeicherung im Hinblick nach dem Polizeirecht zum Tätigwer- Statt zum Statussymbol zu werden,
auf Zeit, Zweck und Adressaten ist nicht den zu veranlassen. Außerdem kann die müsste sich durchsetzen, dass es sich
vorgesehen. § 6b BDSG würde zudem Datenschutzaufsichtsbehörde nach § 38 bei Nutzenden von Google Glass um
allenfalls die optische Erfassung erlau- BDSG zwecks Ermittlung und Sanktio- rücksichtslose Idioten handelt. Als er-
ben, in keinem Fall die akustische. Eine nierung angerufen und tätig werden. kannte rücksichtslose Idioten wollen
solche Aufnahme des „nichtöffentlich In der Rechtsprechung des Bundes- nur wenige Menschen durch die Welt
gesprochenen Wortes“ und dessen Ge- verfassungsgerichtes ist anerkannt, dass laufen. Google könnte es sicher öko-
brauch ist nach § 201 Strafgesetzbuch schon die begründete Angst, technisch nomisch verkraften, wenn Glass ein
(StGB) strafbar mit „Freiheitsstrafe bis beobachtet zu werden, die Wahrneh- Flop wird. Aus datenschützerischer und
zu drei Jahren oder mit Geldstrafe“. Mit mung von Grundrechten beeinträchtigt. marktpädagogischer Sicht ist genau
den Bildaufnahmen kann eine Verlet- Dies gilt für die politischen Freiheits- dies mehr als wünschenswert (Google
zung der §§ 23ff. Kunsturhebergesetz rechte wie z. B. für das Grundrecht auf Glass ist schon gehackt, www. Spiegel.
(KUG) erfolgen. In jedem Fall stellt die Versammlungsfreiheit, aber letztlich für de 28.04.2013; Boie, Zurück aus der
Erfassung von Ton und Bild ohne die alle anderen Grundrechte. Angesichts Zukunft, Süddeutsche Zeitung (SZ)
Einwilligung der Betroffenen außerdem dessen ist es nicht ausgeschlossen, dass 26.04.2013, 47; Keine Werbung auf Da-
eine Beeinträchtigung des allgemeinen die Nutzung von Google Glass und ver- tenbrille, SZ 24.04.2013, 22; Brauck,
Persönlichkeitsrechtes und des Grund- gleichbaren Werkzeugen gesetzlich oder Glass-Auge, sei wachsam! Der Spiegel
rechts auf informationelle Selbstbestim- administrativ (z. B. über das Polizei- 15/2013, 120; Rosenfelder, Google und
mung nach Art. 2 Abs. 1 i. V. m. Art. 1 recht) verboten wird. Derartiges würde wie wir die Welt sehen werden, www.
Abs. 1 Grundgesetz (GG) dar. aber viele rechtliche Fragen aufwerfen, welt.de 16.04.2013; Biermann, Google
Ein praktisches Problem besteht für insbesondere die nach einer hinreichend Glass ist kein Kinderspielzeug, www.
Betroffene darin, dass sie regelmäßig bestimmten Abgrenzung dessen, was zeit.de 16.04.2013; Beuth, Die Po-
nicht nur nicht feststellen können, dass noch erlaubt und was verboten sein lizei dein Freund und Kameramann,
und wie sie erfasst wurden. Es gibt für soll. Bevor Vertreter staatlicher Stellen, www.zeit.de 08.04.2013; Crocoll, Zu
sie auch keinen realistischen Weg, um etwa Polizeibeamten, Geheimdienst- viel Durchblick, SZ 02.04.2013, 19;
dies in Erfahrung zu bringen. Mangels ler oder Steuerfahnder, Glass einsetzen Beuth, Die Anti-Cyborgs, www.zeit.de
Möglichkeiten, die Identität des Trägers dürfen, bedürfte es in jedem Fall einer 21.03.2013).
DANA • Datenschutz Nachrichten 2/2013
55Sie können auch lesen
