Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 20.01.2015

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

1. Überblick

Soweit in den nachfolgenden Ausführungen Bezeichnungen von Personen im Maskulinum verwendet werden, wird diese Form verallgemeinernd verwendet und bezieht sich auf beide Geschlechter.

1.1. Der Spiegel des Alexander - Zur NSA-Spähaffäre

Eine orientalische Sage berichtet, Alexander der Große habe nur in seinen Spiegel blicken müssen, um auf einen Blick alle Pläne des Perserkönigs Darius zu durchschauen. Dadurch gelang es Alexander mehrfach, die zahlenmäßig deutlich überlegenen Heere seines Gegners vernichtend zu schlagen.

Seit dem 06.06.2013 hat die Welt immer mehr Details über das Bündnis der "Five Eyes", einem Zusammenschluss von Nachrichtendiensten der Vereinigten Staaten von Amerika, des Vereinigten Königreichs, Kanadas, Australiens und Neuseelands erfahren. Durch die von Edward Snowden angestoßenen Enthüllungen wissen wir heute, dass die US-amerikanischen Nachrichtendienste mit ihren Bündnispartnern einen totalen Überwachungsansatz verfolgen. Bildlich gesprochen scheint das Bündnis der "Five Eyes" einen Spiegel entwickeln zu wollen, der Einblick in die Gedankenwelt eines jeden Menschen auf dem Erdball ermöglichen soll.

Diese umfassende Überwachung versuchen die betreffenden Nachrichtendienste vor Allem damit zu begründen, dass sie terroristische Anschläge verhindere. Beispielsweise behaupteten hochrangige Vertreter der US-Nachrichtendienste bereits Mitte 2013 sinngemäß, dass durch die Überwachung der NSA in mindestens 54 Fällen Terroranschläge verhindert worden seien. Diese Zahl hat sich als falsch, zumindest als grob irreführende Information herausgestellt. Der damalige NSA-Chef Keith Alexander musste im Rahmen einer Senatsanhörung vom 02.10.2013 einräumen, dass die NSA allenfalls 13 Beiträge zur Aufklärung von Fällen mit Terrorismusbezug geleistet habe. Von der Verhinderung terroristischer Anschläge war dabei keine Rede mehr. Wohl aus gutem Grund: Eine Expertenkommission der renommierten New America Foundation untersuchte später in Bezug auf 225 islamismusverdächtige Personen die für die USA relevanten Terrorismusfälle seit dem 11.09.2001. Sie konnte in keinem dieser Fälle erkennen, dass die Massenüberwachung der NSA zu Hinweisen geführt hätte, die zur Aufdeckung konkreter Anschläge in den USA relevant gewesen waren. Der Bericht kann unter www.newamerica.net/publications/policy/do_nsas_bulk_surveillance_programs_stop_terrorists (externer Link) abgerufen werden. Im Ergebnis haben die aus der Massenüberwachung der Nachrichtendienste stammenden, an andere Sicherheitsbehörden übermittelten Daten jedenfalls in den USA einen nur sehr begrenzten Wert für die Terrorismusbekämpfung erzielt. Unabhängig hiervon ist die Frage zu stellen, ob ein legitimes Ziel wie die Terrorismusbekämpfung in einem freiheitlichen Rechtsstaat wirklich jedes Mittel rechtfertigt.

Nach meiner Überzeugung hat die anlasslose, massenhafte Überwachung des weltweiten Telekommunikationsverkehrs durch das Bündnis der "Five Eyes" vielfach und grundlegend das international verbürgte Menschenrecht auf Privatheit verletzt. Art. 17 des Internationalen Pakts über die bürgerlichen und politischen Rechte (IPbpR) verlangt, dass niemand willkürlichen oder rechtswidrigen Eingriffen in sein Privatleben, seine Familie, seine Wohnung oder seinen Schriftverkehr ausgesetzt werden darf.

Art. 17 IPbpR

(1) Niemand darf willkürlichen oder rechtswidrigen Eingriffen in sein Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr oder rechtswidrigen Beeinträchtigungen seiner Ehre und seines Rufes ausgesetzt werden.

(2) Jedermann hat Anspruch auf rechtlichen Schutz gegen solche Eingriffe oder Beeinträchtigungen.

Die Generalversammlung der Vereinten Nationen hat in einer Resolution am 18.12.2013 bekräftigt, dass dieses Menschenrecht auf Privatheit uneingeschränkt auch im digitalen Zeitalter gilt (Resolution 68/167. Das Recht auf Privatheit im digitalen Zeitalter). Art. 17 des Paktes verdeutlicht ebenso wie Art. 8 der Europäischen Menschenrechtskonvention: Die staatliche Überwachung von Menschen ist eine rechtfertigungsbedürftige Ausnahme. Wer wie das Bündnis der "Five Eyes" die Überwachung zur Regel macht, verkehrt also das in den Menschenrechten angelegte Regel-Ausnahme-Verhältnis. Dementsprechend dürfte der britische Geheimdienst Government Communications Headquarters (GCHQ) auch das Grundrecht aus Art. 8 der Europäischen Menschenrechtskonvention massiv verletzt haben. Seine Beteiligung an der weltumspannenden Massenüberwachung der Internet- und Telekommunikation ist Gegenstand eines Verfahrens, das gegenwärtig beim Europäischen Gerichtshof für Menschenrechte anhängig ist (App.No. 58170/13).

Bislang für die Öffentlichkeit völlig ungeklärt ist auch die Frage, inwieweit die deutschen Nachrichtendienste mit den "Five Eyes" kooperiert haben. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat deshalb sich einerseits gegen eine umfassende und anlasslose Überwachung durch Nachrichtendienste gewandt und andererseits eine umfassende Aufklärung des Sachverhalts eingefordert.

Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 05.09.2013

Keine umfassende und anlasslose Überwachung durch Nachrichtendienste!

Zeit für Konsequenzen

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder stellt fest, dass noch immer nicht alles getan wurde, um das Ausmaß der nachrichtendienstlichen Ermittlungen mithilfe von Programmen wie PRISM, TEMPORA und XKEYSCORE für die Bundesrepublik Deutschland aufzuklären.

Schon die bisherigen Erkenntnisse lassen den Schluss zu, dass die Aktivitäten u.a. des US-amerikanischen und des britischen Geheimdienstes auf eine globale und tendenziell unbegrenzte Überwachung der Internetkommunikation hinauslaufen, zumal große Internet- und Telekommunikationsunternehmen in die Geheimdienstaktionen eingebunden sind.

Da zahlreiche Anbieter von Kommunikationsdienstleistungen, deren Server in den USA stehen, personenbezogene Daten der Menschen in der Bundesrepublik Deutschland verarbeiten, betreffen die Berichte, dass US-amerikanische Geheimdienste auf dem Territorium der USA personenbezogene Daten umfassend und anlasslos überwachen, auch ihre Daten. Unklar ist daneben noch immer, ob bundesdeutsche Stellen anderen Staaten rechtswidrig personenbezogene Daten für deren Zwecke zur Verfügung gestellt und ob bundesdeutsche Stellen rechtswidrig erlangte Daten für eigene Zwecke genutzt haben.

Die staatliche Pflicht zum Schutz der Grundrechte erfordert es, sich nicht mit der gegenwärtigen Situation abzufinden. Die Regierungen und Parlamente des Bundes und der Länder sind dazu aufgerufen, das ihnen im Rahmen ihrer Zuständigkeiten Mögliche zu tun, um die Einhaltung des deutschen und des europäischen Rechts zu gewährleisten. Das Bundesverfassungsgericht hat festgestellt, dass es "zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland gehört, für deren Wahrung sich die Bundesrepublik in europäischen und internationalen Zusammenhängen einsetzen muss", "dass die Freiheitswahrnehmung der Bürger nicht total erfasst und registriert werden darf". Es müssen daher alle Maßnahmen getroffen werden, die den Schutz der informationellen Selbstbestimmung der in Deutschland lebenden Menschen und ihr Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme für die Zukunft sicherstellen.

Für die Wahrung der Grundrechte der Menschen in der Bundesrepublik Deutschland kommt es nun darauf an, die notwendigen Konsequenzen zu ziehen.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert deshalb:

  • Nationales, europäisches und internationales Recht so weiterzuentwickeln und umzusetzen, dass es einen umfassenden Schutz der Privatsphäre, der informationellen Selbstbestimmung, des Fernmeldegeheimnisses und des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme garantiert.
  • Sofern verfassungswidrige nachrichtendienstliche Kooperationen erfolgen, müssen diese abgestellt und unterbunden werden.
  • Die Kontrolle der Nachrichtendienste muss durch eine Erweiterung der Befugnisse sowie eine gesetzlich festgelegte verbesserte Ausstattung der parlamentarischen Kontrollgremien intensiviert werden. Bestehende Kontrolllücken müssen unverzüglich geschlossen werden. In diesem Zusammenhang ist zu prüfen, ob die Datenschutzbeauftragten verstärkt in die Kontrolle der Nachrichtendienste eingebunden werden können.
  • Es sind Initiativen zu ergreifen, die die informationelle Selbstbestimmung und das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme sicherstellen. Dazu gehört,
  • zu prüfen, ob das Routing von Telekommunikationsverbindungen in Zukunft möglichst nur über Netze innerhalb der EU erfolgen kann.
  • sichere und anonyme Nutzungsmöglichkeiten von Telekommunikationsangeboten aller Art auszubauen und zu fördern. Dabei ist sicherzustellen, dass den Betroffenen keine Nachteile entstehen, wenn sie die ihnen zustehenden Rechte der Verschlüsselung und Nutzung von Anonymisierungsdiensten ausüben.
  • die Voraussetzungen für eine objektive Prüfung von Hard- und Software durch unabhängige Zertifizierungsstellen zu schaffen.
  • Völkerrechtliche Abkommen wie das Datenschutz-Rahmenabkommen und das Freihandelsabkommen zwischen der EU und den USA dürfen nur abgeschlossen werden, wenn die europäischen Datenschutzgrundrechte ausreichend geschützt werden. Das bedeutet auch, dass jeder Mensch das Recht hat, bei vermutetem Datenmissbrauch den Rechtsweg zu beschreiten. Das Fluggastdatenabkommen und das Überwachungsprogramm des Zahlungsverkehres müssen auf den Prüfstand gestellt werden.
  • Auch innerhalb der Europäischen Union ist sicherzustellen, dass die nachrichtendienstliche Überwachung durch einzelne Mitgliedstaaten nur unter Beachtung grundrechtlicher Mindeststandards erfolgt, die dem Schutzniveau des Art. 8 der Charta der Grundrechte der Europäischen Union entsprechen.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert alle Verantwortlichen auf, die umfassende Aufklärung mit Nachdruck voranzutreiben und die notwendigen Konsequenzen zügig zu treffen. Es geht um nichts weniger als das Grundvertrauen der Bürgerinnen und Bürger in den Rechtsstaat.

Zur Aufklärung der nachrichtendienstlichen Internet- und Telekommunikationsüberwachung seit Jahresbeginn 2001 hat der Deutsche Bundestag einen Untersuchungsausschuss eingesetzt (Einsetzungsbeschluss vom 18.03.2014, Bundestags-Drucksache 18/843). Vor dem Hintergrund der Entschließung vom 05.09.2013 begrüße ich diesen Schritt.

Insbesondere hat sich auch der Bayerische Landtag mehrfach mit der NSA-Affäre auseinandergesetzt. Unter anderem hat der Ausschuss für Kommunale Fragen, Innere Sicherheit und Sport mich im November 2013 eingeladen, zur NSA-Spähaffäre Stellung zu nehmen. Im Rahmen dieser Anhörung kündigte ich an, etwaige Kooperationen des Bayerischen Landesamts für Verfassungsschutz mit ausländischen Sicherheitsbehörden näher zu überprüfen. Diese Überprüfung ist mittlerweile erfolgt (zum Ergebnis dieser Prüfung siehe Nr. 4.4.4).

Ebenfalls im November 2013 hat die Bayerische Staatsregierung intensiv mögliche Folgerungen aus der NSA-Affäre für die Datensicherheit erörtert (Bericht aus der Kabinettsitzung vom 06.11.2013, abrufbar unter www.bayern.de (externer Link) "Pressemitteilungen"). In diese Überlegungen der Bayerischen Staatsregierung wurde ich eingebunden und habe dabei insbesondere Verbesserungen in der vertraulichen Kommunikation empfohlen. Überdies habe ich darauf hingewiesen, dass es um die Möglichkeiten der Bürgerinnen und Bürgern zum technischen Selbstschutz gegen Überwachungsmaßnahmen allgemein schlecht bestellt ist. Für die digitale Kommunikation mit sensiblen Inhalten halte ich es daher für äußerst wünschenswert, wenn der Freistaat Bayern die Entwicklung einer nutzerfreundlichen Ende-zu-Ende-Verschlüsselung und ähnliche Mittel zum Selbstdatenschutz nachhaltig fördern würde.

Insgesamt möchte ich auf die Entschließung der 87. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 27./28.03.2014 aufmerksam machen, die auf notwendige technische und organisatorische Schutzmaßnahmen hingewiesen hat.

Entschließung der 87. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 27./28.03.2014

Gewährleistung der Menschenrechte bei der elektronischen Kommunikation

Die Enthüllungen des Whistleblowers Edward Snowden haben ein Ausmaß an geheimdienstlicher Überwachung aufgezeigt, das viele zuvor nicht für möglich gehalten hatten. Die tendenziell unbegrenzte und kaum kontrollierte Überwachung der elektronischen Kommunikation aller verletzt das auch im digitalen Zeitalter weltweit anerkannte Recht auf Privatheit in täglich wiederkehrender millionenfacher Weise. Dies beeinträchtigt zugleich die Wahrnehmung anderer Menschenrechte wie der Meinungs- und Versammlungsfreiheit. Es ist eine gesamtgesellschaftliche Aufgabe, berechtigtes Vertrauen in die prinzipielle Unverletzlichkeit der Kommunikation wieder herzustellen.

Die Datenschutzbeauftragten des Bundes und der Länder haben daher schon im September 2013 gefordert, auf diese neue Qualität der Überwachung rechtlich und politisch zu reagieren. Darüber hinaus sind aber auch technische und organisatorische Schutzmaßnahmen erforderlich. Der Schutz der informationellen Selbstbestimmung der in Deutschland lebenden Menschen sowie der Vertraulichkeit und Integrität informationstechnischer Systeme muss wieder hergestellt und dauerhaft gesichert werden.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert daher die Prüfung und Umsetzung folgender Maßnahmen:

  1. Sichere Verschlüsselung beim Transport und bei der Speicherung von Daten,
  2. Bereitstellung einer einfach bedienbaren Verschlüsselungs-Infrastruktur,
  3. Einsatz von Ende-zu-Ende-Verschlüsselung in Kombination mit Verfahren zur Verbindungsverschlüsselung,
  4. Sichere und vertrauenswürdige Bereitstellung von Internetangeboten,
  5. Weiterentwicklung innovativer Vorkehrungen zum Schutz von Verkehrsdaten,
  6. Ausbau der Angebote und Förderung anonymer Kommunikation,
  7. Angebot für eine Kommunikation über kontrollierte Routen,
  8. Sichere Verschlüsselung der Mobilkommunikation und Einschränkung der Möglichkeiten der Geolokalisierung,
  9. Beschränkung des Cloud Computing mit personenbezogenen Daten auf vertrauenswürdige Anbieter mit zertifizierter Informationssicherheit,
  10. Förderung der Vertrauenswürdigkeit informationstechnischer Systeme durch Zertifizierung,
  11. Sensibilisierung von Nutzerinnen und Nutzern moderner Technik,
  12. Ausreichende Finanzierung von Maßnahmen der Informationssicherheit.

Der Arbeitskreis "Technische und organisatorische Datenschutzfragen" der Datenschutzkonferenz hat einen Anforderungskatalog formuliert, der die hier genannten Maßnahmen konkretisiert (siehe Anlage zu dieser Entschließung).

Die Datenschutzbeauftragten des Bundes und der Länder fordern die Anbieter elektronischer Kommunikationsdienste auf, entsprechende Technologien und Dienste zur Verfügung zu stellen. Die Verwaltungen in Bund und Ländern, insbesondere die zuständigen Regulierungsbehörden, sind aufgefordert, auf die Durchsetzung der o.g. Maßnahmen zu dringen. Der Gesetzgeber ist aufgerufen, die zu ihrer Durchsetzung ggf. nötigen Änderungen und Präzisierungen an dem bestehenden Rechtsrahmen vorzunehmen.

1.2. Europa

1.2.1. Reform des Datenschutzrechtsrahmens

Bereits in meinem 25. Tätigkeitsbericht 2012 unter Nr. 1.1 bin ich auf die Reform des Europäischen Datenschutzrechtsrahmens eingegangen. Die Europäische Kommission hat schon im Jahr 2012 den Entwurf einer Datenschutz-Grundverordnung (KOM 2012/0011 endg.) vorgelegt. Er zielt auf eine allgemeine und in den Mitgliedstaaten unmittelbar geltende Gesetzeslage ab. Diese Verordnung soll die geltende allgemeine Datenschutz-Richtlinie 95/46/EG ersetzen. Nunmehr hat das Europäische Parlament am 12.03.2014 mit großer Mehrheit eine Verhandlungsposition festgelegt (Legislative Entschließung des Europäischen Parlaments am 12.03.2014, P7_TA(2014)0212); 622 Ja-Stimmen und 10 Nein-Stimmen bei 22 Enthaltungen). Der Textentwurf lehnt sich stark an den Kommissionsentwurf an.

Parallel dazu ist ein Entwurf einer Datenschutz-Richtlinie für den Bereich der Strafjustiz (KOM 2012/0010) vorgelegt worden. Er soll den Datenschutz im Bereich der Strafjustiz von der vorbeugenden Bekämpfung der Kriminalität über die Strafverfolgung bis hin zum Strafvollzug abdecken. Nach dem Willen der Kommission soll damit der Anwendungsbereich der Richtlinie gegenüber dem Rahmenbeschluss 2008/977/JI deutlich weiter ausgestaltet sein. Er soll insbesondere auch die mitgliedsstaatlichen Datenverarbeitungen im Bereich der Strafjustiz betreffen. Das Europäische Parlament hat auch hier mehrheitlich eine Verhandlungsposition festgelegt, die nicht grundlegend vom Kommissionsentwurf abweicht (Legislative Entschließung des Europäischen Parlaments am 12.03.2014, P7_TA(2014)0219). Wie das Abstimmungsergebnis zeigt, ist der Entwurf jedoch deutlich umstrittener gewesen als der Schwesterentwurf einer Datenschutz-Grundverordnung (371 Ja-Stimmen und 276 Nein-Stimmen bei 30 Enthaltungen). Die Änderungsvorschläge des Parlaments zielen auf eine weitergehende Angleichung der Richtlinie an die Datenschutz-Grundverordnung, insbesondere auf eine effektivere Datenschutzkontrolle ab.

Für einen erfolgreichen Abschluss des Gesetzgebungsvorhabens wäre es allerdings erforderlich, dass sich auch der Rat der Europäischen Union eine Verhandlungsposition erarbeitet. Im Rat stocken jedoch die Verhandlungen. Dem Vernehmen nach behandelt der Rat der Europäischen Union dabei den Entwurf einer Datenschutz-Grundverordnung vorrangig gegenüber dem Richtlinienentwurf. Sowohl die Europäische Kommission als auch das Europäische Parlament haben sich auf ein Junktim festgelegt: Danach soll die Datenschutz-Grundverordnung nicht ohne die Richtlinie verabschiedet werden. Offiziellen Verlautbarungen zufolge soll die Datenschutz-Grundverordnung spätestens im Jahr 2015 verabschiedet werden.

Die Konferenz hat den Reformprozess erneut mit mehreren Entschließungen begleitet, die ich mitgetragen habe.

Entschließung der 87. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 27./28.03.2014

Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zur Struktur der künftigen Datenschutzaufsicht in Europa

Ein zentrales Verhandlungsthema bei den Beratungen im Rat der EU betrifft die Frage, welche Aufgaben die Datenschutzbehörden künftig haben und wie sie in Fällen, die mehrere Mitgliedstaaten oder die gesamte EU betreffen, besser zusammenarbeiten können. Die Europäische Kommission hatte hierzu das Prinzip einer einheitlichen Anlaufstelle ("One-Stop-Shop") vorgeschlagen, wonach die Datenschutzbehörde am Sitz der Hauptniederlassung EU-weit zuständig ist für die Aufsicht über alle Niederlassungen eines Unternehmens innerhalb der EU. Daneben schlug sie die Einführung eines Kohärenzverfahrens vor, das es den Datenschutzbehörden ermöglichen soll, in grenzüberschreitenden Fällen zu einheitlichen Entscheidungen im Rahmen des europäischen Datenschutzausschusses zu gelangen.

Vor dem Hintergrund der aktuell im Rat erörterten unterschiedlichen Modelle plädieren die Datenschutzbeauftragten des Bundes und der Länder für einen effektiven und bürgernahen Kooperations- und Entscheidungsmechanismus, der folgende Kernelemente beinhalten sollte:

  1. Die Datenschutzbeauftragten des Bundes und der Länder bekräftigen den Grundsatz, dass jede Aufsichtsbehörde im Hoheitsgebiet ihres Mitgliedstaats die ihr mit der Verordnung übertragenen Aufgaben und Befugnisse über alle Datenverarbeitungen ausübt, durch welche Personen dieses Mitgliedstaates betroffen sind, unabhängig davon, ob die verantwortliche Stelle über eine Niederlassung innerhalb dieses Mitgliedstaates verfügt oder nicht.
  2. Die Datenschutzbeauftragten des Bundes und der Länder die Einführung eines One-Stop-Shop-Mechanismus für Fälle, in denen der Datenverarbeiter über mehrere Niederlassungen in unterschiedlichen EU-Mitgliedstaaten verfügt. In diesem Fall fungiert die Aufsichtsbehörde am Orte der Hauptniederlassung als federführende Behörde, die mit den Aufsichtsbehörden der Mitgliedstaaten, in denen der Verantwortliche über weitere Niederlassungen verfügt oder in denen Personen betroffen sind, eng kooperiert. Es bleibt damit den betroffenen Personen unbenommen, sich an die Aufsichtsbehörden ihres Heimatlandes zu wenden.
  3. Die federführende Behörde und die mit zuständigen nationalen Aufsichtsbehörden kooperieren mit dem Ziel einer einheitlichen Entscheidungsfindung. Im Falle der Einigkeit erlässt die federführende Behörde die erforderlichen Maßnahmen gegenüber der Hauptniederlassung des Verantwortlichen. Der Verantwortliche ist verpflichtet, die Maßnahmen in allen Niederlassungen innerhalb der EU umzusetzen.
  4. Sofern eine nationale Behörde dem Maßnahmenentwurf der federführenden Behörde widerspricht, ist der Europäische Datenschutzausschuss mit dem Fall zu befassen, der hierzu verbindliche Leitlinien erlassen oder sonstige verbindliche Maßnahmen treffen kann.
  5. Die Datenschutzbeauftragten des Bundes und der Länder befürworten die in dem Verordnungsentwurf enthaltenen Elemente zur Stärkung der Verantwortlichkeit der Unternehmen zur Einhaltung des Datenschutzrechts. Hierzu zählen die EU-weite Einführung betrieblicher Datenschutzbeauftragter, Datenschutz-Folgeabschätzungen, Privacy-by-Design und Privacy-by-Default, Zertifizierungen, Datenschutzsiegel und Verhaltensregeln. Fragen zur Rechtskonformität einer Datenverarbeitung können im Rahmen der vorherigen Zurate Ziehung mit den Aufsichtsbehörden geklärt werden.
  6. Für die Einführung formeller, fristgebundener Verfahren zur Erlangung EU-weit gültiger Compliance-Entscheidungen besteht aus Sicht der Datenschutzbeauftragten des Bundes und der Länder daneben kein Bedarf. Insbesondere darf die Klärung von Compliance-Fragen nicht zu einer Verlagerung der Verantwortlichkeit auf die Aufsichtsbehörden und zur Einschränkung aufsichtsbehördlicher Maßnahmen im Falle von Datenschutzver-stößen führen.
  7. Ein originärer Schwerpunkt der Aufsichtstätigkeit in Bezug auf Zertifizierungsprozesse sollte darin liegen, im Rahmen der Norminterpretation Prüfstandards mitzugestalten, auf deren Grundlage die Vergabe von Zertifikaten geprüft wird.

Nach wie vor halte ich eine Reform des Europäischen Datenschutzrechtrahmens für geboten. Das Gesetzgebungsverfahren werde ich dementsprechend konstruktiv-kritisch weiter begleiten. Mein besonderes Augenmerk werde ich weiterhin darauf legen, dass eine künftige europäische Regelung den Mitgliedstaaten Gestaltungsspielräume für einen weitergehenden Datenschutz bzw. für die Fortentwicklung des Datenschutzes eröffnet.

1.2.2. Ende der Vorratsdatenspeicherung?

Mit Urteil vom 08.04.2014 hat der Europäische Gerichtshof (EuGH) die aus datenschutzrechtlicher Sicht höchst problematische Richtlinie 2006/24/EG über die Vorratsspeicherung von Telekommunikationsdaten für ungültig erklärt. Zwar hat der Gerichtshof die Vorratsspeicherung als "nützliches Mittel" angesehen, das zur Aufklärung schwerer Straftaten geeignet sein kann. Zugleich hat er jedoch darauf hingewiesen, dass schon die Pflicht zur anlasslosen Speicherung einen besonders schwerwiegenden Eingriff großen Ausmaßes in das Recht auf Privatleben und den Datenschutz der Betroffenen darstellt. Diese Feststellung steht im Einklang mit der gefestigten Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (siehe beispielsweise Urteil vom 04.12.2008 - 30562/04, S. u. Marper/Vereinigtes Königreich).

Diese in Art. 7 und Art. 8 der Europäischen Grundrechte-Charta verbrieften Rechte dürfen nur eingeschränkt werden, soweit dies absolut notwendig ist. Die für ungültig erklärte Richtlinie entsprach diesen Vorgaben nicht, weil sie ohne jede Differenzierung, Einschränkung oder Ausnahme zur pauschalen Totalerfassung der Telekommunikations-Verkehrsdaten verpflichtete. Ausdrücklich hat der Gerichtshof festgestellt, dass das an sich legitime Ziel der Bekämpfung schwerer Straftaten für sich genommen die Erforderlichkeit der Pflicht zur Vorratsspeicherung nicht rechtfertigt. Dem genügte die Richtlinie offenkundig nicht. Insbesondere schrieb sie die Speicherung von Telekommunikations-Verkehrsdaten fast der gesamten europäischen Bevölkerung vor. Auch solche Personen mussten erfasst werden, deren Verhalten nicht einmal in einem mittelbaren oder entfernten Zusammenhang zu schweren Straftaten steht oder die einem Berufsgeheimnis unterliegen. Auch musste kein Zusammenhang zwischen den auf Vorrat gespeicherten Daten und einer Bedrohung der öffentlichen Sicherheit bestehen.

Bislang haben weder deutsche noch andere europäische Strafverfolgungsbehörden den konkreten Nachweis erbracht, dass ohne eine Vorratsdatenspeicherung typischerweise erfolgreiche Ermittlungsansätze fehlen. Insbesondere der Hinweis auf plakative Einzelfälle weist nicht nach, dass sich die Sicherheitslage ohne Vorratsdatenspeicherung wesentlich verschlechtert hat.

Auch in der mündlichen Verhandlung vor dem Europäischen Gerichtshof konnten die Verteidiger der Richtlinie nicht die zwingende Erforderlichkeit zur Bekämpfung schwerer Straftaten nachweisen. Vor diesem Hintergrund ist die Entscheidung des Europäischen Gerichtshofs nicht nur dogmatisch überzeugend, sondern auch folgerichtig.

Überdies stammt die der Vorratsdatenspeicherung zugrunde liegende Richtlinie bereits aus dem Jahr 2006. In dieser Zeit hinterließ der Einzelne weitaus weniger digitale Spuren, als dies heute der Fall ist. Heute erfassen Smartphones und zunehmend auch Gebrauchsgegenstände des täglichen Lebens wie z.B. Fahrzeuge mit eingebauten Speichertechniken enorm viele Daten.

Ungeachtet dessen hat das Vereinigte Königreich in Reaktion auf das Urteil ein eigenes Gesetz zur Vorratsdatenspeicherung verabschiedet (Data Retention and Investigatory Powers Act 2014, vom 17.07.2014). Demgegenüber hatte die bisherige EU-Innenkommissarin Cecilia Malmström in einem Interview angekündigt, nach dem EuGH-Urteil keinen Gesetzesentwurf mehr zur Vorratsdatenspeicherung vorzulegen (Die Welt: EU will keine neue Regeln für Vorratsdaten, Welt-Online vom 04.06.2014).

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat vor diesem Hintergrund die Absichtserklärung der Bundesregierung begrüßt, zunächst kein Gesetz zur Speicherung von Telekommunikations-Verkehrsdaten in die Wege zu leiten.

Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 25.04.2014

Ende der Vorratsdatenspeicherung in Europa!

Der Europäische Gerichtshof hat in seinem Urteil vom 8. April 2014 die Europäische Richtlinie zur Vorratsspeicherung von Telekommunikations-Verkehrsdaten (Richtlinie 2006/24/EG) für ungültig erklärt. Dieses Urteil hat weitreichende Folgen für den Datenschutz in Europa.

Die Datenschutzbeauftragten des Bundes und der Länder haben die anlasslose und massenhafte Speicherung von Verkehrsdaten der Telekommunikation stets abgelehnt. Sie begrüßen die Entscheidung des Europäischen Gerichtshofs als wichtigen Schritt zur Bekräftigung der informationellen Selbstbestimmung und des Telekommunikationsgeheimnisses.

Der Europäische Gerichtshof hat in seinem Urteil der undifferenzierten und automatischen Totalerfassung solcher Daten eine klare Absage erteilt. Er hat darauf hingewiesen, dass schon die Pflicht zur anlasslosen Speicherung einen besonders schwerwiegenden Eingriff großen Ausmaßes in das Recht auf Privatleben und den Datenschutz der Betroffenen darstellt. Diese in der Europäischen Grundrechte-Charta verbrieften Rechte dürften nur eingeschränkt werden, soweit dies absolut notwendig ist.

Die für ungültig erklärte Richtlinie entsprach diesen Vorgaben nicht, weil sie ohne jede Differenzierung, Einschränkung oder Ausnahme zur pauschalen Totalerfassung der Verkehrsdaten verpflichtete. Nach dem Urteil des Gerichtshofs kann eine undifferenzierte Pflicht zur anlasslosen und flächendeckenden Vorratsdatenspeicherung unionsrechtlich nicht mehr neu begründet werden. Die Absichtserklärung der Bundesregierung, zurzeit kein Gesetz zur Speicherung von Verkehrsdaten einzuführen, wird von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder begrüßt. Etwaige Diskussionen auf europäischer Ebene sollten abgewartet werden.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder weist ausdrücklich darauf hin, dass der Maßstab des EuGH auch für das anlasslose exzessive Überwachen durch sämtliche Nachrichtendienste gelten muss.

Zudem hält der Gerichtshof die Pflicht zur großflächigen Speicherung von personenbezogenen Daten nur dann für zulässig, wenn die Daten in der Europäischen Union gespeichert werden und damit unter die Kontrolle unabhängiger Datenschutzbehörden fallen. Dies zwingt auch zu einer Neubewertung z.B. der Fluggastdaten-Übermittlung in die USA und des Safe-Harbor-Abkommens.

In einem Urteil vom 03.07.2014 hat der Bundesgerichtshof mittlerweile klargestellt, dass die Erwägungen des EuGH aus seiner Sicht allein die Datenspeicherung für die Zwecke der Strafverfolgungsbehörden betreffen. Sie seien auf die Speicherung von IP-Adressen nicht anwendbar, die Telekommunikationsanbieter zu den Zwecken der Störungserkennung und Störungsbeseitigung vornehmen würden (Bundesgerichtshof, Urteil vom 03.07.2014, Az.: III ZR 391/13, online abrufbar in der Entscheidungsdatenbank auf www.bundesgerichtshof.de (externer Link)).

1.2.3. Datenschutz im Internet

Zur datenschutzrechtlichen Beurteilung von Sozialen Netzwerken habe ich mich in meinem 25. Tätigkeitsbericht 2012 unter Nr. 1.3 ausführlich geäußert (zum aktuellen Stand siehe Nr. 12.4). Gegen die beiden größten Anbieter, Google und Facebook sind allein in dem Berichtszeitraum zahlreiche Klagen anhängig gemacht worden, die sich auch auf Datenschutzverstöße beziehen.

1.2.3.1. Europäischer Gerichtshof: Ein Recht auf Vergessenwerden?

Europas Bürger haben einen Anspruch gegen Google, Verweise aus der Ergebnisliste von Suchanfragen zu entfernen, wenn dort enthaltene Informationen das Recht auf Privatleben und Datenschutz einer Person verletzen. Das hat der EuGH in einer Entscheidung vom 13.05.2014 (Az.: C -131/12) festgestellt. Der zu entscheidende Fall betraf einen spanischen Bürger. Im Jahr 1998 hatte eine große spanische Tageszeitung über die Versteigerung seines Grundstücks aufgrund einer Pfändung berichtet. Die Pfändung war seit Jahren erledigt, tauchte aber nach wie vor in dem Online-Archiv der Tageszeitung auf. Die Suchmaschine von Google verwies bei entsprechenden Anfragen auf Beiträge dieses Online-Archivs.

Der EuGH hat nun darauf hingewiesen, eine von einem Suchmaschinenbetreiber ausgeführte Verarbeitung personenbezogener Daten könne die Grundrechte auf Achtung des Privatlebens und Schutz personenbezogener Daten erheblich beeinträchtigen, wenn die Suche mit dieser Suchmaschine anhand des Namens einer natürlichen Person durchgeführt werde. Denn eine solche Verarbeitung ermögliche es jedem Internetnutzer, mit der Ergebnisliste einen strukturierten Überblick über die zu der betreffenden Person im Internet zu findenden Informationen zu erhalten, die potenziell zahlreiche Aspekte von deren Privatleben beträfen. Im Allgemeinen würden die aus Art. 7 und 8 der Grundrechtecharta geschützten Rechte der betroffenen Person das Interesse der Internetnutzer am Erhalt von Informa-tionen überwiegen.

Das Urteil ist vielfach kritisiert worden. Kritiker beklagen eine neue Form der Zensur und bemängeln, das Gericht habe die Bedeutung der Informationsfreiheit nicht hinreichend gewürdigt. Darüber hinaus werde dem Recht auf Privatleben einseitig Vorrang gegenüber Wirtschaftsinteressen eingeräumt. Nach meinem Eindruck sind diese Angriffe überzogen. Sie berücksichtigen nicht hinreichend, dass die Entscheidung regelmäßig nur Fälle betrifft, in denen Suchanfragen mit dem Namen ausgeführt werden. Der EuGH stellt nur einen Anspruch von betroffenen Personen fest, dass Google Situationen korrigiert, in denen eine Suchanfrage mit dem Namen der betroffenen Person inadäquate, nicht (mehr) relevante, oder über-mäßige Suchergebnisse erzeugt. Nicht Gegenstand der Entscheidung war die Veröffentlichung der Informationsseite, auf die eine Suchmaschine verweist.

Möglicherweise ist die Entscheidung also vielfach missinterpretiert worden. Auf der Grundlage US-amerikanischen Urheberrechts löscht Google jeden Monat viele Tausende von Suchergebnissen. Ohnehin ist die Reihung der Suchergebnisse bei Google wie bei den meisten anderen Betreibern von Suchmaschinen für die Internetnutzenden völlig intransparent. Eine nach objektiven Kriterien und für jede Person nachvollziehbare Vermittlung von Suchergebnissen findet nicht statt.

Die 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat Hinweise zur Umsetzung des Urteils gegeben.

Entschließung der 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 08./09.10.2014

Zum Recht auf Sperrung von Suchergebnissen bei Anbietern von Suchmaschinen

Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom 13. Mai 2014 - C-131/12 "Google Spain" einen fundamentalen Beitrag zum Schutz der Persönlichkeitsrechte im Internet geleistet. Die Namenssuche in Suchmaschinen kann erhebliche Auswirkungen auf die Persönlichkeitsrechte haben. Mit Suchmaschinen lassen sich weltweit in Sekundenschnelle detaillierte Profile von Personen erstellen. Oft sind Einträge über eine unbegrenzte Zeit hinweg abrufbar. Sie können dann zu sozialen und wirtschaftlichen Nachteilen für die Betroffenen führen, die ggf. ein Leben lang mit früheren oder vermeintlichen Verfehlungen konfrontiert bleiben. Das Urteil stellt nun klar, dass die Betreiber von Suchmaschinen ein Recht Betroffener auf Sperrung von Suchergebnissen bei Anbietern von Suchmaschinen umzusetzen haben. Künftig bleiben die Betroffenen daher nicht nur darauf angewiesen, ihre Ansprüche unmittelbar gegenüber den Informationsanbietern zu verfolgen, die häufig nur schwer oder auch gar nicht zu realisieren sind.

Betroffene können sich nun auch direkt an die Suchmaschinenbetreiber wenden und verlangen, dass bei der Suche einzelne Links zu ihrem Namen künftig nicht mehr angezeigt werden.

Das Urteil ordnet dabei allerdings nicht an, bestimmte Inhalte, wie Presseartikel oder Artikel aus der Wikipedia, zu löschen oder ihre Auffindbarkeit im Internet unmöglich zu machen. Vielmehr soll - nach einer erfolgreichen Beschwerde des Betroffenen - der entsprechende Link lediglich bei Eingabe eines bestimmten Personennamens nicht mehr angezeigt werden. Der betroffene Inhalt bleibt mit allen anderen Suchbegriffen weiterhin frei zugänglich (für Inhalte, die regelmäßig durch Eingabe des Namens einer Person in eine Suchmaschine gefunden werden, weil es sich um eine Person des öffentlichen Lebens handelt, hat der EuGH ausdrücklich eine Ausnahme vorgesehen).

Zu Recht wird in der Debatte auf die erhebliche Macht der Anbieter von Suchmaschinen hingewiesen, über die Veröffentlichung von Suchergebnissen zu entscheiden. Diese Macht besteht jedoch nicht erst seit der Entscheidung des EuGH. Tatsächlich haben Inhalteanbieter keinen Rechtsanspruch am Nachweis ihrer Inhalte durch Suchmaschinen. Anbieter von Suchmaschinen sind keine neutralen Sachwalter der Informationsgesellschaft, sondern kommerziell handelnde Wirtschaftsunternehmen. Welche Suchergebnisse den Nutzern angezeigt wurden, bestimmt sich damit jedenfalls auch nach den kommerziellen Interessen von Suchmaschinen und ihren Vertragspartnern. Darüber hinaus unterlagen Suchmaschinen auch bereits vor der Entscheidung des EuGH bei der Gestaltung der Suchergebnisse äußeren Beschränkungen (z.B. durch das Urheberrecht). Mit dem Urteil wird klargestellt, dass Suchmaschinen neben diesen Erwägungen jetzt auch die Grundrechte der Betroffenen zu berücksichtigen haben.

Das Urteil konkretisiert die Kriterien, unter welchen sich ausländische Unternehmen an europäisches bzw. nationales Datenschutzrecht halten müssen. Dieses für den Grundrechtsschutz maßgebliche Urteil muss nunmehr von den Suchmaschinenbetreibern umfassend umgesetzt werden.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder weist in diesem Zusammenhang auf folgende Punkte hin:

  • Die effektive Wahrung der Persönlichkeitsrechte des Betroffenen setzt voraus, dass Anbieter von Suchmaschinen die Suchergebnisse bei einem begründeten Widerspruch weltweit unterbinden. Angesichts der territorialen Unbeschränktheit des Internet muss der Schutz des Einzelnen vor einer unberechtigten Verbreitung personenbezogener Daten universell gelten.
  • Der verantwortliche Betreiber der Suchmaschine hat regelmäßig die Rechte der Betroffenen gegen die Interessen der Öffentlichkeit an einem freien und umfassenden Informationszugang im Einzelfall abzuwägen. Dabei ist insbesondere auf die Schwere der Persönlichkeitsrechtsbeeinträchtigung, die Stellung des Betroffenen im öffentlichen Leben sowie auf den zeitlichen Ablauf zwischen der Veröffentlichung und dem Antrag des Betroffenen beim Suchmaschinenbetreiber abzustellen.
  • Die Entscheidung über die Verbreitung von Suchergebnissen, die Um-setzung von Widersprüchen und die Abwägungsentscheidung mit dem öffentlichen Interesse treffen zunächst die Suchmaschinenbetreiber. Die Kontrolle dieser Entscheidungen obliegt den jeweiligen Aufsichtsbehörden für den Datenschutz oder den staatlichen Gerichten. Alternative Streitbeilegungs- oder Streitschlichtungsverfahren dürfen das verfassungsmäßige Recht der Betroffenen auf eine unabhängige Kontrolle durch die dafür vorgesehenen staatlichen Institutionen nicht beschneiden.
  • Eine Befugnis der Anbieter von Suchmaschinen, Inhaltsanbieter routine-mäßig über die Sperrung von Suchergebnissen zu informieren, besteht nicht. Dies gilt auch dann, wenn die Benachrichtigung nicht ausdrücklich den Namen des Betroffenen enthält.

Dem Vernehmen nach sollen weitere Verfahren gegen Google beim EuGH anhängig sein. Möglicherweise entwickelt der Gerichtshof die vorgestellte Rechtsprechung weiter.

1.2.3.2. Facebook

Der irische High Court hatte bereits eine Klage gegen die Richtlinie 2006/24/EG über die Vorratsdatenspeicherung dem Europäischen Gerichtshof zur Beurteilung vorgelegt (siehe Nr. 1.2.2). Im Juni 2014 soll dasselbe Gericht eine Klage der Studentengruppe "Europe versus Facebook" an den Europäischen Gerichtshof verwiesen haben. Die Gruppe vertritt die Auffassung, dass Facebook in vielfältiger Hinsicht europäisches Datenschutzrecht verletzt.

Presseberichten zufolge hat das irische Gericht offenbar die Überzeugung, dass es Belege gibt, dass Facebook der NSA den massenhaften und undifferenzierten Zugriff auf personenbezogene Daten ermöglicht. Eine Übermittlung personenbezogener Daten in die USA sei aber nur zulässig, wenn sie dort nach den Maßstäben des europäischen Datenschutzrechts angemessen geschützt werden.

Die beispielhaft vorgestellten Verfahren verdeutlichen, wie dringlich es ist, klare rechtliche Rahmenbedingungen für Soziale Netzwerke zu schaffen. Die 85. Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat dementsprechende Regeln eingefordert (siehe Nr. 12.4.1).

1.3. Deutschland

1.3.1. Beschäftigtendatenschutz

Bereits in meinem 24. Tätigkeitsbericht 2010 habe ich mich mit dem aus dem Jahr 2010 stammenden Gesetzesentwurf der Bundesregierung zum Beschäftigtendatenschutz auseinandergesetzt (24. Tätigkeitsbericht 2010 Nr. 1.2.7). Vor dem Hintergrund kontroverser Diskussionen wurde der Entwurf im Ergebnis nicht weiterverfolgt.

Zur Regelung des Beschäftigtendatenschutzes trifft der Koalitionsvertrag 2013 zwischen CDU, CSU und SPD zur 18. Legislaturperiode auf Seite 70 nunmehr folgende Aussage:

"Beschäftigtendatenschutz gesetzlich regeln

Die Verhandlungen zur Europäischen Datenschutzgrundverordnung verfolgen wir mit dem Ziel, unser nationales Datenschutzniveau - auch bei der grenzüberschreitenden Datenverarbeitung - zu erhalten und über das Europäische Niveau hinausgehende Standards zu ermöglichen. Sollte mit einem Abschluss der Verhandlungen über die Europäische Datenschutzgrundverordnung nicht in angemessener Zeit gerechnet werden können, wollen wir hiernach eine nationale Regelung zum Beschäftigtendatenschutz schaffen."

Danach dürfte es auch in der 18. Legislaturperiode nicht zu einer Vollregelung des Beschäftigtendatenschutzes kommen. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat deshalb eine Entschließung gefasst, die auf die Notwendigkeit einer zeitnahen Regelung hinweist.

Entschließung der 87. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 27./28.03.2014

Beschäftigtendatenschutzgesetz jetzt!

Trotz zahlreicher Aufforderungen durch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie des Deutschen Bundestages ist die Verabschiedung einer angemessenen Regelung des Beschäftigtendatenschutzes in der vergangenen Legislaturperiode erneut gescheitert. Der Koalitionsvertrag für die 18. Legislaturperiode sieht vor, das nationale Datenschutzniveau im Beschäftigtendatenschutz bei den Verhandlungen zur Europäischen Datenschutzgrundverordnung zu erhalten und darüber hinausgehende Standards zu ermöglichen. Falls mit einem Abschluss der Verhandlungen über die Europäische Datenschutzgrundverordnung nicht in angemessener Zeit gerechnet werden kann, soll eine nationale Regelung geschaffen werden.

Dies reicht nicht aus. Wann die Datenschutzgrundverordnung verabschiedet wird, ist derzeit völlig unklar. Ohnehin ist mit einem Inkrafttreten dieser europäischen Regelungen schon aufgrund der notwendigen Umsetzungsfrist erst in einigen Jahren zu rechnen. Aufgrund der voranschreitenden technischen Entwicklung, die eine immer weiter gehende Mitarbeiterüberwachung ermöglicht, besteht unmittelbarer Handlungsbedarf. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert die Bundesregierung deshalb auf, ein nationales Beschäftigtendatenschutzgesetzes umgehend auf den Weg zu bringen. Die Formulierung "in angemessener Zeit" lässt befürchten, dass das der Beschäftigtendatenschutz in dieser Legislaturperiode schon wieder auf die lange Bank geschoben wird.

Ein Beschäftigtendatenschutzgesetz muss ein hohes Datenschutzniveau gewährleisten und einen angemessenen Ausgleich zwischen den berechtigten Informationsinteressen des Arbeitgebers und dem Recht auf informationelle Selbstbestimmung des Arbeitnehmers schaffen.

Dies wird erkennbar in den vielfältigen Fragestellungen, für die es bislang keine klaren rechtlichen Vorgaben gibt. Zu nennen sind hier beispielsweise die immer umfassendere Videoüberwachung, Dokumentenmanagementsysteme, die die Leistung der Beschäftigten transparent werden lassen, die zunehmende Verquickung von Arbeit und Privatem verbunden mit der dienstlichen Nutzung von privaten Arbeitsmitteln wie Handy und Laptop; die Nutzung von dienstlich zur Verfügung gestellten Kfz mit oder ohne die Erlaubnis privater Nutzung oder die private Nutzung der vom Arbeitgeber zur Verfügung gestellten E-Mail- und Internetzugänge, der zunehmende Einsatz biometrischer Verfahren sowie die Erhebung und Verarbeitung von Bewerberdaten beispielweise aus sozialen Netzwerken.

Hierfür müssen künftig gesetzliche Standards geschaffen werden, um sowohl die Rechtssicherheit für die Arbeitgeber zu erhöhen als auch einen wirksamen Grundrechtsschutz für die Beschäftigten zu schaffen.

1.3.2. Polizeiarbeit in sozialen Netzwerken?

Die Konferenz hat sich auch mit dem Interesse der Strafverfolgungsbehörden auseinander gesetzt, soziale Netzwerke zur Öffentlichkeitsfahndung zu nutzen (zur Problematik siehe auch 25. Tätigkeitsbericht 2012 Nr. 3.1.4). Auf entsprechende Bitte der Justizministerkonferenz hin hat die Datenschutzkonferenz mit der nachfolgenden Entschließung einen einheitlichen Standpunkt entwickelt.

Entschließung der 87. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 27./28.03.2014

Öffentlichkeitsfahndung mit Hilfe sozialer Netzwerke - Strenge Regeln erforderlich!

Mit zunehmender Beliebtheit sozialer Netzwerke bei Bürgerinnen und Bürgern steigt das Interesse von Strafverfolgungsbehörden, diese sozialen Netzwerke auch zur Öffentlichkeitsfahndung zu nutzen. So gibt es in Deutschland bereits Polizeidienststellen, die mittels Facebook nach Straftätern suchen. Auch die 84. Konferenz der Justizministerinnen und Justizminister hat sich im November 2013 mit dem Thema befasst.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hält es erneut für notwendig darauf hinzuweisen, dass eine Nutzung sozialer Netzwerke privater Betreiber (wie z.B. Facebook) zur Öffentlichkeitsfahndung aus datenschutzrechtlicher Sicht sehr problematisch ist. Durch die weltweit recherchierbare Veröffentlichung von Fahndungsdaten wird in weitaus schwerwiegenderer Weise in die Grundrechte Betroffener (Tatverdächtiger oder auch Zeugen) eingegriffen, als dies bei der Nutzung klassischer Medien der Fall ist. Auch sind im Internet veröffentlichte Daten einer Fahndungsausschreibung nur sehr schwer bzw. gar nicht mehr zu löschen. Geben Nutzerinnen und Nutzer der Sozialen Netzwerke in Diskussionsforen und Nutzerkommentaren öffentlich Spekulationen, Behauptungen und Diskriminierungen ab, beeinträchtigt dies die Persönlichkeitsrechte der Betroffenen erheblich. Solche Funktionen sind in von den Ermittlungsbehörden betriebenen Angeboten weder geeignet noch erforderlich, um die behördlichen Aufgaben zu erfüllen. Die Konferenz weist darauf hin, dass Öffentlichkeitsfahndung nur auf Diensten von Anbietern erfolgen darf, die die datenschutzrechtlichen Vorgaben des Telemediengesetzes zur Nutzungsdatenverarbeitung, insbesondere der Regeln zur Reichweitenmessung gemäß §§ 13 Abs. 4 Nr. 6, 15 Abs. 3 TMG, und das Recht auf anonyme und pseudonyme Nutzung gemäß § 13 Abs. 6 TMG beachten.

Sofern es Strafverfolgungsbehörden gleichwohl gestattet werden soll, zu Zwecken der Öffentlichkeitsfahndung auf soziale Netzwerke mit deaktivierter Kommentierungsfunktion zurückzugreifen, so darf dies - ungeachtet der generellen Kritik an der Nutzung sozialer Netzwerke durch öffentliche Stellen - nur geschehen, wenn folgende Maßgaben beachtet werden:

  • Die Vorschriften der Strafprozessordnung (§ 131 Abs. 3, § 131a Abs. 3, § 131b StPO) zur Öffentlichkeitsfahndung kommen aufgrund der technikoffenen Formulierung als Rechtsgrundlage für die Öffentlichkeitsfahndung im Internet grundsätzlich in Betracht. Sie sind aber im Hinblick auf den Verhältnismäßigkeitsgrundsatz nur eingeschränkt anzuwenden. Eine entsprechende Klarstellung durch den Gesetzgeber wäre wünschenswert. Zumindest aber sind die besonderen Voraussetzungen der Fahndung im Internet, insbesondere in sozialen Netzwerken in Umsetzungsvorschriften zu konkretisieren. Änderungsbedarf besteht beispielsweise für die Anlage B der RiStBV.
  • In materiell-rechtlicher Hinsicht haben die Strafverfolgungsbehörden den Verhältnismäßigkeitsgrundsatz strikt zu beachten. Die zu schaffenden Regelungen müssen den besonderen Gefahren der Öffentlichkeitsfahndung in sozialen Netzwerken gerecht werden. Insbesondere muss sichergestellt werden, dass eine solche Fahndung nur bei im Einzelfall schwerwiegenden Straftaten überhaupt in Betracht gezogen werden kann.
  • In verfahrensrechtlicher Hinsicht müssen die Umsetzungsregelungen die Staatsanwaltschaft verpflichten, bereits im Antrag auf richterliche Anordnung der Maßnahme die Art, den Umfang und die Dauer der Öffentlichkeitsfahndung konkret anzugeben. Dies umfasst insbesondere die ausdrückliche Angabe, ob und warum die Anordnung auch die Öffentlichkeitsfahndung in sozialen Netzwerken umfassen soll.
  • Es ist sicherzustellen, dass
  • die zur Öffentlichkeitsfahndung verwendeten personenbezogenen Daten von den Strafverfolgungsbehörden ausschließlich auf im eigenen Verantwortungsbereich stehenden Servern gespeichert und verarbeitet werden, nicht hingegen auf Servern der privaten Anbieter
  • die Weitergabe und der automatisierte Abruf der personenbezogenen Daten aus dem Internet durch Web-Crawler und ähnliche Dienste so weit als technisch möglich verhindert werden
  • die Kommunikation zwischen den Strafverfolgungsbehörden und den Nutzern nur außerhalb der sozialen Netzwerke erfolgt

In Ansehung meiner grundsätzlichen Bedenken hat sich ein bayerisches Polizeipräsidium erst nach langem Zögern dazu entschlossen, eine Fanseite auf Facebook einzurichten. Dabei hat es meine Empfehlung teilweise berücksichtigt. Beispielsweise verzichtet die Polizei darauf, Öffentlichkeitsfahndungen auf der Fanpage zu veröffentlichen. An meinen grundsätzlichen Bedenken hinsichtlich der Einrichtung von Fanpages zum Zwecke der Öffentlichkeitsarbeit ändert dies freilich nichts (siehe Nr. 12.4.1).

1.3.3. Biometrische Gesichtserkennung durch Google, Facebook und Co.

Die Gesichtserkennung bei Online- und Mobilfunkdiensten ermöglicht in besonderem Maß die automatisierte Verfolgung und Aufspürung von Personen sowie die Profilerstellung. Es liegt auf der Hand, dass sie erhebliche Auswirkungen auf die Privatsphäre und auf das Recht des Einzelnen auf Datenschutz haben kann. Typischerweise werden dabei Bilder von Einzelpersonen erfasst (mit und ohne ihre Kenntnis) und dann für die Weiterverarbeitung an einen Remote-Server übermittelt. Online-Dienste, die sich häufig im Besitz von privaten Organisationen befinden und von diesen betrieben werden, haben immense Bildersammlungen angelegt, die von den betroffenen Personen selbst hochgeladen wurden. Kleine mobile Geräte mit hochauflösenden Kameras ermöglichen es den Nutzern, Bilder aufzunehmen und in Echtzeit über ständig bestehende Datenverbindungen eine Verbindung zu Online-Diensten herzustellen. Dadurch können die Nutzer diese Bilder mit anderen teilen oder eine Identifizierung, Authentifizierung/Verifizierung oder Kategorisierung durchführen, um zusätzliche Informationen über die bekannte oder unbekannte, vor ihnen stehende Person zu erhalten. Die Konferenz hat nun in einer Entschließung klargestellt, dass die Erstellung derartiger Profile wegen der hohen Sensibilität der Informationen nur zulässig sein kann, wenn sie auf einer gesetzlichen Grundlage oder auf einer informierten und freiwillig erteilten Zustimmung der Betroffenen beruht.

Entschließung der 87. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 27./28.03.2014

Biometrische Gesichtserkennung durch Internetdienste - Nur mit Wahrung des Selbstbestimmungsrechts Betroffener!

Die Nutzung biometrischer Daten wird zunehmend zu einem Phänomen des Alltags. Dies gilt in besonderer Weise für die biometrische Gesichtserkennung, die in sozialen Medien auf dem Vormarsch ist. Für den Zweck der Auswertung von Personenfotos werden die Gesichter der Nutzer biometrisch erfasst, so dass ein späterer Abgleich mit anderen Fotos die Identifizierung einzelner Personen ermöglicht. Dazu werden sogenannte Templates erstellt. Dies sind mathematische Modelle der wesentlichen Merkmale des Gesichts wie etwa dem Abstand von Augen, Mundwinkel und Nasenspitze. Es darf nicht verkannt werden, dass die Vermessung der Gesichtsphysiognomie in hohem Maße die schutzwürdigen Interessen Betroffener berührt, denn stets ist die dauerhafte Speicherung eines Referenz-Templates des eigenen Gesichts erforderlich.

Dass die Templates dann in den Datenbanken global agierender Internetunternehmen gespeichert werden, stellt nicht erst seit den Enthüllungen über das Überwachungs-Programm Prism, das den US-Geheimdiensten den Zugriff auf die Datenbanken der US-Anbieter erlaubt, ein erhebliches Risiko für das Persönlichkeitsrecht des Einzelnen dar.

Die biometrische Gesichtserkennung ist eine Technik, die sich zur Ausübung von sozialer Kontrolle eignet und der damit ein hohes Missbrauchspotential immanent ist. Mit ihrer Hilfe ist es möglich, aus der Flut digitaler Fotografien im Internet gezielt Aufnahmen von Zielpersonen herauszufiltern. Darüber hinaus könnten durch den Abgleich von Videoaufnahmen mit vorhandenen Templates in Echtzeit Teilneh-merinnen und Teilnehmer etwa von Massenveranstaltungen sowie von Demon-strationen oder einfach nur Passanten individualisiert und identifiziert werden. Der Schutz der Anonymität des Einzelnen in der Öffentlichkeit lässt sich damit zerstören, ohne dass die Betroffenen ihre biometrische Überwachung kontrollieren oder sich dieser entziehen können.

An die Erzeugung biometrischer Templates der Gesichter von Personen durch Internet-Dienste sind daher hohe rechtliche Anforderungen zu stellen, die das informationelle Selbstbestimmungsrecht von Betroffenen in höchst möglicher Weise berücksichtigen:

  • Die Erhebung, Verarbeitung und/oder Nutzung biometrischer Daten zur Gesichtserkennung zum Zweck der Erstellung eines dauerhaften biometrischen Templates kann nur bei Vorliegen einer wirksamen Einwilligung des Betroffenen i.S.d. § 4a BDSG rechtmäßig erfolgen.
  • Die Einwilligung in die Erstellung biometrischer Templates zur Gesichtserkennung muss aktiv und ausdrücklich durch den Betroffenen erteilt werden. Die Betroffenen müssen vor der Erteilung der Einwilligung über die Funktionsweise der Erstellung und Nutzung der sie möglicherweise betreffenden Templates und die damit verfolgten Zwecke und Risiken in klarer und verständlicher Weise umfassend informiert werden. Eine Zweckänderung ist unzulässig. Sie bedarf einer Einwilligung, die dem Standard an die Einwilligungen bei der Verarbeitung besonderer personenbezogener Daten, § 4a Abs. 3 BDSG, entspricht.
  • Die Einwilligung kann nicht durch den Verweis auf entsprechende Klauseln in allgemeinen Nutzungsbedingungen oder Datenschutzerklärungen ersetzt werden.
  • Für eine logische Sekunde kann es nach § 28 Abs. 1 Satz 1 Nr. 2 bzw. Nr. 3 BDSG auch ohne Einwilligung zulässig sein, ein Template zu erstellen, mit dem ein Abgleich mit bereits vorhandenen, zulässigerweise gespeicherten Templates im Rahmen des von der Einwilligung abgedeckten Zwecks möglich ist. Betroffene sind über den Umstand, dass Bilder zum Abgleich mit bestehenden Templates verwendet werden, zu informieren.
  • Derartige biometrische Templates zum automatischen Abgleich, bei denen eine Einwilligung fehlt, sind unverzüglich nach dem Abgleich zu löschen.
  • Die Speicherung von biometrischen Templates von Dritten, die - anders als die Nutzer von sozialen Medien - regelmäßig nicht einwilligen können, ist ausgeschlossen.

1.4. Bayern

1.4.1. Änderungen im Polizeiaufgabengesetz und Verfassungsschutzgesetz

Die Entscheidungen des Bundesverfassungsgerichts vom 24.01.2012 (Az.: 1 BvR 1299/05) hat zu Änderungen im Polizeiaufgabengesetz und im Verfassungsschutzgesetz geführt. Meine Forderungen und Empfehlungen wurden teilweise berücksichtigt (siehe Nrn. 3.1.1 und 4.1).

1.4.2. Videoüberwachung in Bayern

Die Videoüberwachung durch bayerische öffentliche Stellen führte bereits in der Vergangenheit zu zahlreichen Beschwerden. Sie bildet daher seit jeher einen Schwerpunkt meiner Prüftätigkeit. Im Berichtszeitraum bin ich durch die Beantwortung einer Parlamentarischen Anfrage ("Videoüberwachung in Bayern", Landtags-Drucksache 16/15571) in die Lage versetzt worden, die Videoüberwachung systematischer zu kontrollieren. Der Antwort der Staatsregierung zufolge hat die Videoüberwachung durch bayerische öffentliche Stellen in den letzten Jahren deutlich zugenommen. Dies lässt sich an einer detailgenauen Auflistung der Kamerastandorte ablesen, die in einer Anlage der Antwort beigefügt ist.

Ich habe diese Liste von Kamerastandorten auf Auffälligkeiten untersucht und bin ebensolchen Auffälligkeiten nachgegangen. Insgesamt zeigten sich dabei erhebliche Unsicherheiten bei der Anwendung der für die Videoüberwachung maßgeblichen Vorschrift des Art. 21a BayDSG. In vielen der überprüften Fälle musste ich die öffentlichen Stellen davon überzeugen, bereits installierte Kameras wieder abzubauen. In zahlreichen Fällen der Videoaufzeichnung fehlten die gebotenen Freigaben, teilweise wurden Aufzeichnungen zu lange aufbewahrt, teilweise unterblieb die vorgeschriebene Kennzeichnung der Videoüberwachung.

Vor dem Hintergrund dieser Unsicherheiten im Umgang mit Art. 21a BayDSG habe ich einen Leitfaden zur Videoüberwachung durch bayerische Behörden entwickelt, der mit dem Staatsministerium des Innern, für Bau und Verkehr abgestimmt ist. Er ergänzt meine bisherigen Veröffentlichungen zur Videoüberwachung und soll vor Allem Kommunen bei der Prüfung unterstützen, ob eine Videoüberwachung im jeweiligen Einzelfall überhaupt zulässig ist und welche Vorgaben dann einzuhalten sind.

Der Leitfaden "Videoüberwachung - Leitfaden für bayerische Kommunen" ist auf meiner Homepage https://www.datenschutz-bayern.de unter "Veröffentlichungen" - "Broschüren und Orientierungshilfen" abrufbar.

Die Prüfergebnisse im Einzelnen und einzelfallbezogene Besonderheiten werden in den nachfolgenden Kapiteln dargestellt.

1.5. Öffentlichkeitsarbeit

Öffentlichkeitsarbeit hat eine zentrale Bedeutung für den Datenschutz. Daher will ich Informationen und datenschutzrechtliche Positionen - über den unmittelbaren Kontakt mit Politik, Presse, Behörden und im Einzelfall Betroffenen hinaus - allgemein bekannt machen. Auch so kann ich die Verwaltung dabei unterstützen, datenschutzkonform zu handeln. Bürgerinnen und Bürgern helfe ich damit, ihre Rechte sowie ihre Möglichkeiten, die eigenen Daten zu schützen, zu (er)kennen und wahrzunehmen.

Ein wesentlicher Baustein meiner Öffentlichkeitsarbeit ist der Internetauftritt meiner Dienststelle (https://www.datenschutz-bayern.de). Erfreulicherweise sind die Zugriffe gegenüber dem letzten Berichtszeitraum um ca. 50 % gestiegen. Die Webseite habe ich inhaltlich ausgebaut, Rubriken wie etwa "Häufige Fragen" aktualisiert und erweitert. Auch die Zahl der abrufbaren Materialien wächst stetig. Nur beispielhaft möchte ich die von meiner Dienststelle erarbeiteten Orientierungshilfen und Muster für die Verwaltung sowie die Orientierungshilfen und Ent-schließungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder nennen. Über neue Inhalte des Internetauftritts kann sich übrigens jeder per RSS Feed informieren lassen.

Allerdings will ich auch Bevölkerungsgruppen erreichen, die meine Webseite normalerweise nicht besuchen. Deshalb wandert meine Ausstellung "Vom Eid des Hippokrates bis zu Edward Snowden - eine kleine Reise durch 2500 Jahre Datenschutz" von Ort zu Ort. Die Ausstellung erklärt insbesondere gesetzliche Grundlagen, Datenschutzrechte, meine Aufgabenstellung sowie Möglichkeiten, die eigenen Daten zu schützen. Diese Informationen sind unterhaltsam in einer kleinen Zeitreise verpackt - von den Ursprüngen des Datenschutzes bis zu den anstehenden Herausforderungen des digitalen Zeitalters und der Globalisierung.

Es freut mich besonders, dass die Ausstellung zuerst im Bayerischen Landtag zu sehen war und dort im April 2014 mit Vorträgen und einem Live-Hacking eröffnet wurde. Anschließend war die Ausstellung bei der Bayerischen Verwaltungsschule in München, der Stadt Nürnberg, der Hochschule Ansbach, der Stadt Würzburg, der Stadt Bayreuth, der Stadt Aschaffenburg und der Fachhochschule für öffentliche Verwaltung und Rechtspflege in Hof zu Gast. Weitere Orte werden folgen. Die Ausstellung kann zudem virtuell auf meiner Webseite im Bereich "Aktuelles" besucht werden, dort sind außerdem die Stationen der Wanderausstellung aufgelistet.

Aufgrund der guten Erfahrungen werde ich auch meinen Informationsstand weiter nutzen, um Bürgerinnen und Bürger vor Ort zu informieren, sie darüber hinaus zu beraten und mit ihnen zu diskutieren. Im Berichtszeitraum war der Stand am 13.10.2013 beim Tag der offenen Tür der Stadt Nürnberg und am 08.11.2014 beim Tag der offenen Tür des Bayerischen Landtags.

Nicht nur dort war das Interesse an meinen Broschüren (siehe 25. Tätigkeitsbericht 2012 Nr. 1.5) groß. Sie wurden zudem rege bei mir bestellt und von meiner Webseite herunter geladen. Angesichts der anhaltenden Nachfrage sind bereits weitere Nachdrucke vorgesehen.

Anlässlich des 8. Europäischen Datenschutztags habe ich im Januar 2014 zusammen mit dem Vorsitzenden der Datenschutzkommission beim Bayerischen Landtag, Herrn Eberhard Rotter, MdL, eine Podiumsdiskussion zum Thema "Social Media Guidelines" veranstaltet.

Außerdem haben Angehörige meiner Dienststelle und ich an zahlreichen Informations- und Diskussionsveranstaltungen als Referenten teilgenommen sowie vor Schulklassen Vorträge und an Hochschulen Vorlesungen oder Gastvorträge gehalten. Bemühungen zur Stärkung der Medienkompetenz unterstütze ich nachhaltig.

Pressearbeit ist besonders wichtig, um die Öffentlichkeit zu informieren und datenschutzrechtliche Positionen darzustellen. Die Medien berichten inzwischen fast täglich zu Themen mit Bezug zum Datenschutz, auch hieran zeigt sich das stetig steigende Interesse. Dementsprechend hatte ich zahlreiche Presseanfragen zu beantworten und Interviews zu geben. Daneben habe ich eine Reihe von Pressemitteilungen herausgegeben und Hintergrundgespräche geführt.

Auf die gestiegenen Anforderungen habe ich auch organisatorisch reagiert und eine Stabsstelle eingerichtet. Der Stabsstelle ist neben anderen Aufgaben die Öffentlichkeits- und Pressearbeit zugeordnet.

1.6. Schlussbemerkung

Die nachfolgenden Kapitel geben einen Überblick über meine Beteiligung an wesentlichen, hier nicht erwähnten Gesetzesverfahren und meine Datenschutzkontrolle der bayerischen öffentlichen Stellen im Berichtszeitraum 2013/2014.