Stand: Juli 2002


Ausgewählte Sonderprobleme



Yüklə 1,85 Mb.
səhifə36/51
tarix02.11.2017
ölçüsü1,85 Mb.
#26824
1   ...   32   33   34   35   36   37   38   39   ...   51

Ausgewählte Sonderprobleme




  1. Web-Cookies



Literatur:

Johann Bizer, Johann, Web-Cookies – datenschutzrechtlich, in: DuD 1998, 277; Alexander Eichler, Cookies – verbotene Früchte?, Eine datenschutzrechtliche und technik-orientierte Betrachtung, in: K & R 1999, 76; Renate Hillebrand-Beck/Sebastian Gross, Datengewinnung im Internet, Cookies und ihre Bewertung unter Berücksichtigung der Novellierung des TDDSG, in: DuD 2001, 389; Thomas Hoeren, Web-Cookies und das römische Recht, in: DuD 1998, 455; Rainer Ihde, Cookies – Datenschutz als Rahmenbedingungen der Internetökonomie, in: CR 2000, 413; Peter Schaar, Cookies: Unterrichtung und Einwilligung des Nutzers über die Verwendung, in: DuD 2000, 275; Michael Wichert, Web-Cookies – Mythos und Wirklichkeit, in: DuD 1998, 273.
Zur Zeit sind die sog. Web-Cookies und ihre möglichen negativen Auswirkungen auf die Privatsphäre von Internet-Nutzern buchstäblich in aller Munde. Ein Cookie ist ein von einem Web-Server erzeugter Datensatz, der an einen Web-Browser gesendet wird und bei diesem in einer Cookie-Datei des lokalen Rechners abgelegt wird849. Umgekehrt werden aber auch die lokalen Cookie-Einträge an den Web-Server übermittelt. Beides geschieht in der Regel, ohne dass der Benutzer etwas davon merkt. Cookies dienen normalerweise dazu, Informationen über den Benutzer des Web-Browsers zu sammeln und an einen Web-Server zu übermitteln. Davon profitieren z. B. Katalog- und Zeitungsanbieter, die Benutzerprofile anlegen und den Web-Benutzern dann ganz gezielt Angebote unterbreiten, die sie auf den bevorzugten Web-Seiten plazieren.
Die Cookies sind in diesem Zusammenhang besonders günstig für die Anbieter, da sie es ermöglichen, die gesammelten Daten lokal beim Nutzer abzulegen. Die Unterhaltung einer großen und teuren Datenbank ist damit nicht erforderlich. Cookies können aber z. B. auch für den Einkauf im Internet dienen, da der dabei entstehende virtuelle Einkaufskorb in Form eines Cookies abgelegt werden kann.

Seit ihrer Einführung durch die Netscape Communications Corporation sind Cookies sehr umstritten, da man ihnen eine Reihe negativer Eigenschaften und Fähigkeiten zuspricht, so z. B. die Übertragung von Virenprogrammen, das Ausspähen von Email-Adressen und persönlichen Dateien oder das Bekanntmachen des Verzeichnisses einer Festplatte für Fremde. Falsch ist auf jeden Fall, dass Cookies Viren auf den jeweiligen Rechner übertragen können. Was die Informationen angeht, die in den Cookies abgelegt werden, so lässt sich dazu sagen, dass sie nur vom Web-Benutzer selbst stammen und ausschließlich Daten enthalten, die er während seiner Kommunikation mit dem betreffenden Server selbst erzeugt hat. Ein Ausspähen weiterer Daten auf dem lokalen Rechner ist mit Cookies nicht möglich850.

Die persönlichen Daten eines Nutzers sind daher i.d.R. über den Einsatz von Cookies nicht oder nur mit sehr großem Aufwand zu ermitteln851. Durch eine serverseitige Auswertung der Cookies, die bei der Nutzung verschiedener Online-Dienste desselben Diensteanbieters erzeugt wurden, ist es jedoch möglich, kundenspezifische Nutzungsprofile zu erstellen, die jedenfalls dann personenbezogen sind, wenn sich der Nutzer bei zumindest einem Online-Dienst innerhalb des Verbundangebots namentlich oder mit seiner Email-Adresse angemeldet hat852. Ein direkter Personenbezug ist ansonsten nur herstellbar, wenn die Internet-Adresse des Kundenrechners Rückschlüsse auf die Identität des Benutzers zulässt853. Dies kann bei statischen IP-Adressen, die mit einer „sprechenden” personenbezogenen Rechnerkennung oder –domain verbunden sind, der Fall sein854. Bei dynamischen IP-Adressen, die bei Einwahlverbindungen temporär dem Kundenrechner zugeordnet werden, besteht regelmäßig nur dann ein Personenbezug, wenn der Diensteanbieter und der Internet-Provider des Kunden zusammenwirken oder identisch sind855.
Enthalten Cookies personenbezogene Daten, ist ihre Verwendung im Hinblick auf die restriktiven Datenschutzregelungen des bereichsspezifischen TDDSG/MDStV problematisch, denn nach § 3 Abs. 1 TDDSG dürfen personenbezogene Daten zur Nutzung von Tele-/Mediendiensten nur erhoben, verarbeitet und genutzt werden, soweit der Nutzer wirksam eingewilligt hat oder ein gesetzlicher Erlaubnistatbestand vorliegt856.

Überdies stellt § 6 Abs. 3 S. 1 TDDSG ausdrücklich klar, dass Nutzungsprofile nur bei der Verwendung von Pseudonymen zulässig sind. Eine Zusammenführung der pseudonymisierten Profildaten mit personenbezogenen Informationen über den Nutzer ist ebenfalls unzulässig (§ 6 Abs. 3 S. 2 TDDSG). Ein Datenabgleich zwischen dem Internet-Provider des Nutzers und dem Diensteanbieter, der lediglich die dynamische (für ihn pseudonyme) IP-Adresse in cookie-basierten Nutzungsprofilen festhält, ist damit ausgeschlossen. Werden Cookies lediglich gesetzt, um die jeweilige Nutzung des Online-Dienstes zu ermöglichen oder zu vereinfachen (individualisiertes Angebot, Warenkorbfunktion etc.), ist § 6 Abs. 2 TDDSG zu beachten. Soweit sie personenbezogene „Nutzungsdaten” enthalten, müssten die Cookie-Daten frühestmöglich, spätestens unmittelbar nach Ende der jeweiligen Nutzung wieder gelöscht werden.


Fehlt es am Personenbezug, ist das Datenschutzrecht für Cookies nicht einschlägig. Zur juristischen Abwehr unerwünschter Cookies ist daher auch an das Besitzrecht aus § 862 Abs. 1 BGB zu denken: Hiernach kann der Besitzer von einem Störer die Beseitigung der Besitzstörung verlangen, sofern verbotene Eigenmacht i.S.v. § 858 Abs. 1 BGB vorliegt. Sieht man in der unaufgeforderten (und damit eigenmächtigen) Speicherung der Cookie-Datei auf der Festplatte des Nutzers eine Besitzstörung, ergibt sich  unbeschadet der datenschutzrechtlichen Bewertung- ein verschuldensunabhängiger Beseitigungs- und Unterlassungsanspruch aus § 862 Abs. 1 BGB857. Das AG Ulm geht davon aus, dass die nicht genehmigte Verwendung von Cookies im Rahmen einer Shopping Mall dem Shopbetreiber Schadenersatzansprüche aus § 826 BGB gegen den Mallbetreiber gibt.858 Anderslautend sind jüngste US-Entscheidungen, die Cookies von einer konkludenten Einwilligung des Nutzers gedeckt ansehen.859


  1. Protokollierung von Nutzungsdaten zur Mißbrauchsbekämpfung

Von besonderer Praxisrelevanz ist die Frage, in welchem Umfang der Provider die Nutzungsdaten seiner Kunden protokollieren darf, um durch Auswertung der dabei entstehenden Log-Files Störungen und Missbräuche aufdecken zu können.


Das TDDSG und der MDStV treffen hierzu keine Aussagen. Dies bedeutet, dass es bezüglich der Nutzungsdaten bei Tele- und Mediendiensten derzeit keinen Erlaubnistatbestand gibt, der die Protokollierung personenbezogener Nutzungsdaten zur Missbrauchsaufklärung rechtfertigt860. Allerdings gilt dies nur im Anwendungsbereich des TDDSG/MDStV, d. h. für die „inhaltsbezogenen” Daten, die bei der Nutzung eines Teledienstes anfallen, also z. B. für die missbräuchliche Nutzung eines kostenpflichtigen Web-Angebots, etwa durch Verwendung eines fremden Accounts.

Denkbar wäre jedoch, für diesen Fall den allgemeinen Erlaubnistatbestand des § 28 Abs. 1 Nr. 2 BDSG heranzuziehen: Die Speicherung und Auswertung der Nutzungsdaten in Log-Files würde im Falle der missbräuchlichen Inanspruchnahme von Online-Angeboten ausschließlich der Wahrung berechtigter Interessen des Dienste-Anbieters dienen. Ein derartiger Rückgriff auf das allgemeine Datenschutzrecht scheint durch das TDDSG nicht generell ausgeschlossen zu sein, da § 3 Abs. 1 und 2 TDDSG die Erhebung und Verarbeitung personenbezogener Online-Nutzungsdaten nach anderen Rechtsvorschriften ausdrücklich zulässt. Gegen einen Rückgriff auf das BDSG spricht hingegen, dass das TDDSG einen in sich abgeschlossenen bereichsspezifischen Regelungskomplex zum Online-Datenschutz enthält und somit als lex specialis dem BDSG grundsätzlich vorgeht.


Hiervon unberührt bleiben die oben dargelegten Erlaubnistatbestände auf der Telekommunikationsebene. Nach der insofern einschlägigen TSDV dürfen Access Provider „bei Vorliegen schriftlich zu dokumentierender tatsächlicher Anhaltspunkte” die Bestands- und Verbindungsdaten erheben, verarbeiten und nutzen, soweit dies „zum Aufdecken sowie Unterbinden von Leistungserschleichungen und sonstigen rechtswidrigen Inanspruchnahmen” der jeweiligen Telekommunikationsleistung erforderlich ist (§ 7 Abs. 1 Nr. 2 TDSV. Eine entsprechende Regelung für eine neue TDSV auf der Grundlage des TKG enthält auch die Ermächtigungsgrundlage in § 89 Abs. 2 Nr. 2 lit. e) TKG.
Überdies sieht § 7 Abs. 2 TDSV vor, dass der Telekommunikationsanbieter auch rückwirkend aus dem Gesamtdatenbestand der Abrechnungsdaten eines Monats die Daten derjenigen Verbindungen auswerten darf, „für die tatsächliche Anhaltspunkte den Verdacht strafbaren Mißbrauchs von Fernmeldeanlagen oder der mißbräuchlichen Inanspruchnahme von Telekommunikationsdienstleistungen begründen”. Ähnlich sieht § 89 Abs. 2 Nr. 2 lit e) S. 2 TKG vor, dass eine Auswertung der bereits vorhandenen Datenbestände bei konkreten Indizien für eine „missbräuchliche Inanspruchnahme” zulässig ist. Damit ist nunmehr klargestellt, dass eine Durchbrechung des Zweckbindungsgrundsatzes (hinsichtlich der Abrechnungsdaten) durch den Provider nur dann zulässig ist, wenn es sich um einen fernmeldespezifischen Missbrauch handelt. Die Auswertung der Nutzungs- und Verbindungsdaten zur Verfolgung von Straftaten obliegt hingegen allein den Strafverfolgungsbehörden, die ihrerseits die einschlägigen Vorschriften der StPO (§§ 100a ff.) sowie § 12 FAG zu beachten haben861.

  1. Outsourcing



Literatur:

Peter R. Bitterli, Outsourcing: Aus den Augen aus dem Sinn?, in: digma 2001, 156; Hans-Jürgen Poschet, IT-Outsourcing: So müssen Sie vorgehen, in: digma 2001, 160.
In der E-Commerce-Industrie wird sehr häufig der Vorteil von Outsourcing gepriesen. Die Datenverarbeitung wird auf Töchterunternehmen ausgegliedert, die als eigene Servicecenter auch für andere Unternehmen tätig sind.

  1. Auftragsverarbeitung und Funktionsübertragung

Hierbei ist die Differenzierung von Auftragsdatenverarbeitung und Funktionsübertragung wichtig. Eine Auftragsdatenverarbeitung ist nach dem BDSG fast uneingeschränkt zulässig (§ 11). Anders ist die Rechtslage bei der Funktionsübertragung, die alle Anforderungen des BDSG erfüllen muss. In einem solchen Fall würde die Weitergabe von Daten an den Funktionsnehmer als Datenübermittlung an einen Dritten anzusehen sein, so dass die Voraussetzungen für eine zulässige Datenübermittlung vorliegen müssen. Im Rahmen dieser Prüfung bliebe aber unklar, ob eine Übermittlung an den Funktionsnehmer erforderlich ist; die gesamte politische Entscheidung des Outsourcings stünde insofern auf dem datenschutzrechtlichen Prüfstand.


Ein solches Outsourcing (i. S. einer Funktionsübertragung) wäre anzunehmen, wenn der Dritte über die reine Datenverarbeitung hinaus weitere Funktionen übernähme. Entscheidend ist dabei der Handlungsspielraum des Dritten. Sofern dieser eigenverantwortlich tätig sein kann, liegt keine Auftragsverarbeitung vor. Für eine Eigenverantwortlichkeit spräche vor allem, wenn nicht die Datenverarbeitung oder -nutzung als solches Vertragsgegenstand sind, sondern eine konkrete Aufgabenerfüllung, für deren Erfüllung die überlassenen Daten als Hilfsmittel dienen. Für ein Outsourcing im o. g. Sinne soll vor allem sprechen, dass der Outsourcing-Geber auf einzelne Phasen der Verarbeitung keinen Einfluss nehmen kann oder auf den Verarbeiter die Haftung für die Zulässigkeit und Richtigkeit der Daten abgewälzt wird. Sofern beim Auftragsunternehmen die Kontrolle über den Datenbestand und deren Verarbeitung im Vordergrund steht, ist weniger an die Aufgabe der Funktionskontrolle gedacht. Dies würde dafür sprechen, dass das hier diskutierte Modell nicht als ein Outsourcing, sondern als eine Auftragsverhältnis im Sinne von § 11 BDSG anzusehen ist.
Im Falle der Auftragsdatenverarbeitung ist allerdings zu beachten, dass der Auftraggeber nach § 11 Abs. 1 BDSG für die Einhaltung der Datenschutzbestimmungen verantwortlich ist. Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisung des Auftraggebers verarbeiten (§ 11 Abs. 3 BDSG). Insbesondere hat der Auftraggeber den Auftragnehmer unter besonderer Berücksichtigung seiner Eignung für die Gewährleistung der Datensicherheitsmaßnahmen sorgfältig auszuwählen (§ 11Abs. 2 Satz 1 BDSG). Der Auftragnehmer hat insofern keinen Ermessensspielraum hinsichtlich der Ausgestaltung der von ihm durchzuführenden Datenverarbeitung.
Im Einzelnen ist es nach der Entscheidungspraxis der Datenschutzbehörden erforderlich, im Vertrag mit dem Auftragnehmer festzulegen, welche Sicherungsmaßnahmen hinsichtlich der Zuverlässigkeit des Auftragnehmers getroffen worden sind. Der Auftragnehmer hat sich zu verpflichten, die für den konkreten Auftrag tätigen Mitarbeiter sorgfältigst, gerade im Hinblick auf den vertraulichen Umgang mit sensiblen Daten, auszuwählen. Die Zuverlässigkeit der Mitarbeiter muss regelmäßig vom Auftragnehmer überwacht werden; auch der Auftraggeber muss die Möglichkeit haben, die Zuverlässigkeit der Mitarbeiter zu testen. Ferner ist der Auftragnehmer zu verpflichten, nur sichere Programme zu verwenden, die besonders die Vertraulichkeit und Integrität der Daten gewährleisten und eine Verknüpfung mit anderen Datenbeständen verändern. Ferner wäre ein abgestuftes System der Anonymisierung zu entwickeln. Im Rahmen dessen wäre zu klären, welche Abteilungen der Tochtergesellschaft die zu verarbeitenden Daten in unverschlüsselter Form zur Kenntnis nehmen können und müssen. Soweit eine Verschlüsselung personenbezogener Daten nicht die Erfüllung der Funktion einer Abteilung behindert, ist diese vorzunehmen.
Es ist sicherzustellen, dass die gesamte Datenverarbeitung nach den Weisungen des Auftraggebers erfolgt. Die konkrete Durchführung der Datenverarbeitung ist genauestens zu spezifizieren. Das heißt nicht, dass das Personal der Muttergesellschaft das Personal der Tochtergesellschaft umfassend zu beaufsichtigen hätte. Eine solche umfassende Aufsicht würde die mit der Auftragsdatenverarbeitung verbundene Effizienz und Kostenersparnis konterkarieren. Vielmehr muss unter Beachtung der Besonderheiten der Auftragsdatenverarbeitung ein Weisungssystem installiert werden, das eine umgehende Realisierung von Weisungen des Auftraggebers gewährleistet. Denkbar wäre hier, dass die Tochtergesellschaft einen oder mehrere Ansprechpartner benennt, die auf Weisungen der auftraggebenden Muttergesellschaft sofort reagieren und die Weisungen an das Personal der Tochtergesellschaft weitergeben. Die entsprechenden Kontaktpersonen sind in dem Outsourcingvertrag konkret zu benennen. Die Modalitäten der Kontaktaufnahmen sind in dem Vertrag ebenso konkret zu regeln wie die Pflicht zur unverzüglichen Durchführung der Weisungen. Ferner müssen Datensicherheitsmaßnahmen nach neuestem Stand der Technik verlangt werden. Die Beachtung der Datenschutz- und Datensicherheitsvorgaben muss jederzeit durch den Auftraggeber kontrolliert werden können. Für Pflichtverletzungen sind Sanktionen bis hin zur Auflösung des Vertrages vorzusehen.
Zu beachten ist ferner der Grundsatz der Zweckbindung. Die Bekanntgabe von Daten an das Dienstleistungsunternehmen hat sich auf das Unverzichtbare zu beschränken. Der Auftragnehmer darf die Daten nicht für eigene Zwecke verwenden. Die Auftraggeber dürfen im übrigen ihre Handlungsfähigkeit nicht dadurch einschränken, dass sie zentrale Aufgaben auf Private übertragen und auf diese Weise die Freiheit verlieren, Datenverarbeitungsverfahren zu regeln. Es muss auch gewährleistet sein, dass bei Unzuverlässigkeit des Auftragnehmers oder in vergleichbaren Problemfällen das Outsourcing rückgängig gemacht werden kann. Eine nicht umkehrbare Aufgabenübertragung ist unzulässig.
Hinsichtlich der Transparenz der Datenverarbeitung ist zu beachten, dass der Betroffene über Art und Umfang der ausgelagerten Datenverarbeitung informiert wird. Verfehlt wäre es, eine Auftragsdatenverarbeitung auf eine Einwilligung des Betroffenen stützen zu wollen, da die komplizierte DV-Prozesse für den Betroffenen von vornherein nicht transparent zu machen sind.

Eine Subdelegation von Vertragspflichten dürfte nur in Fällen zulässig sein, die im Vertrag bereits hinreichend konkretisiert sind. Im Außenverhältnis zwischen Auftragnehmer und Auftraggeber bleibt der Auftragnehmer für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich. Im Innenverhältnis hat der Auftragnehmer seine Subunternehmer zur Beachtung der gleichen datenschutzrechtlichen Standards zu verpflichten. Auch sind die Subunternehmer zur Beachtung der Kontrollrechte des Auftraggebers zu verpflichten.



  1. Besonderheiten bei Geheimnisträgern

Nach § 203 Abs. 2 StGB macht sich strafbar, wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis offenbart, das ihm als Amtsträger (Nr. )1 oder als für den öffentlichen Dienst besonders Verpflichtetem (Nr.2) anvertraut oder sonst bekannt geworden ist. Von dieser scharfen Vorschrift sind umfasst




  • Rechtsanwälte und Ärzte (insbesondere im Hinblick auf die Fernwartung)862

  • Versicherungsunternehmen im medizinischen Bereich

  • Banken.863

In diesen Bereichen ist Outsourcing folglich nur mit Einwilligung des Kunden zulässig. Eine Lösung wäre, das Personal des Tochterunterehmens als berufsmäßige tätige Gehilfen im Sinne von § 203 Abs. 3 StGB anzusehen. Dies setzt voraus, dass die Muttergesellschaft Einfluss darauf hat, wer im konkreten Fall die Datenverarbeitung durchführt. Hier bedarf es entsprechender Regelungen im Rahmenvertrag über die entsprechende Datenverarbeitung. Mutter- und Tochtergesellschaft sollten sich darauf einigen, dass die eingesetzten Techniker konkret benannt und den Weisungen der Mutter unterstellt werden. Wenn entsprechende Mitarbeiter funktional zum Personal der Mutter gehören, sind sie als Gehilfen im Sinne von § 203 Abs. 3 StGB anzusehen864. Diese Perspektive hätte allerdings unter Umständen den Nachteil, dass das Fremdpersonal nach Gesichtspunkten des Arbeitnehmerüberlassungsrechts zu Arbeitnehmern der Muttergesellschaft würde




  1. Data Mining und Data Warehouse


Literatur:

Alfred Büllesbach, Datenschutz bei Data Warehouses und Data Mining, in: CR 2000, 11; Klaus R. Dittrich/Athanasios Vavouras, Data Warehousing aus technischer Sicht, in: digma 2001, 116; Ralf Imhof, One-to-One-Marketing im Internet – Das TDDSG als Marketinghindernis, in: CR 2000, 110; Ulrich Möncke, Data Warehouses – eine Herausforderung für den Datenschutz?, in: DuD 1998, 561; Alex Schweizer, Data Mining – ein rechtliches Minenfeld, in: dogma 2001, 108.
Gerade in Bezug auf das Internet wird von vielen die besondere Transparenz des Kunden und seiner persönlichen Verhältnisse gelobt. Log-In-Dateien und die Abfragemöglichkeiten technischer Tools im Internet erlauben es sehr schnell, Persönlichkeitsprofile einzelner Kunden zu erstellen. Dies wird in der Internet-Industrie als Vorteil zu Gunsten des Kunden gesehen als sog. „Customisation“ angepriesen. Aus datenschutzrechtlicher Sicht stellt sich ein solches Modell jedoch als äußerst fragwürdig da. Das Datenschutzrecht stellt auf den Grundsatz der Zweckbindung ab. Daten dürfen abseits einer Einwilligung des Betroffenen nur für konkrete Zwecke insbesondere für die Durchführung und Abwicklung eines Vertrages mit dem Kunden genutzt werden (s. § 28 Abs. 1 Nr. 1 BDSG). Hierzu kommt der nunmehr vom TDDSG ins BDSG integrierte Grundsatz der Datenvermeidung, der es gebietet, so weit wie möglich auf die Erhebung personenbezogener Daten zu verzichten. Eine Datensammlung auf Vorrat ist mit dem Grundkonzept des deutschen Datenschutzrechts nicht vereinbar. Daraus folgt zwingend, dass die Errichtung von allgemeinen Datenpools aus verschiedensten Quellen nicht den Vorgaben des BDSG entsprechen kann. Data Mining ist insofern verboten. Wer solche Verfahren einsetzen will, muss sich die Einwilligung des Betroffenen holen. Dabei kann er auch nicht auf die Alternativstrategie verfallen, durch eine Pauschaleinwilligung jedwedes Data Mining abzusegnen. Nach § 4a Abs. 1 BDSG muss in der Einwilligung der vorgesehene Zweck der Erhebung, Verarbeitung oder Nutzung dem Betroffenen deutlich gemacht worden sein. Es empfiehlt sich also, den konkreten Umfang des geplanten Data Mining-Konzepts von vornherein mit dem Kunden zum Thema der Geschäftsbeziehungen zu machen.


  1. Grenzüberschreitender Datenaustausch




Literatur:

Helmut Bäumler, Datenschutzgesetzentwurf aus der Feder des Datenschutzbeauftragten, in: RDV 1999, 47; Robert Bond/Rainer Knyrim, Data Protection – Third Country Transfers, in: CLSR 18 (2002), 187; Ulf Brühann, EU-Datenschutzrichtlinie - Umsetzung in einem vernetzten Europa, in: RDV 1996, 12; Alfred Büllesbach, Überblicj über Europäische Datenschutzregelungen bezüglich des Datenaustausches mit Ländern außerhalb der Europäischen Union, in: RDV 2002, 55; Ulrich Dammann, Internationaler Datenschutz, in: RDV 2002, 70; Reinhard Ellger, Konvergenz oder Konflikt bei der Harmonisierung des Datenschutzes in Europa? EU-Datenschutzrichtlinie - Datenschutzkonvention des Europarats, in: CR 1994, 558; Jacob, Ist die Novellierung des BDSG gescheitert? - Perspektiven im Hinblick auf den globalen Datenverkehr, in: RDV 1999,1; Christoph Klug, Persönlichkeitsschutz beim Datentransfer in die USA: die Safe-Harbor-Lösung, in: RDV 2000, 212; Paul M. Schwartz, European Data Protecion Law and Restrictions on International Data Flows, in: iowa LR 80 (1995), 471; Spiros Simitis, Der Transfer von Daten in Drittländer – ein Streit ohne Ende?, in: CR 20000, 472; Ulrich Wuermeling, Umsetzung der Europäischen Datenschutzrichtlinie, in: DB 1996, 663; ders., Handelshemmnis Datenschutz: die Drittländerregelung der Europäischen Datenschutzrichtlinie, Köln 2000.
Der grenzüberschreitende Datentransfer stellt eines der zentralsten Problem des Datenschutzrechtes dar: Im Zeitalter umfassender Vernetzung ist es technisch mühelos möglich, dass ein deutsches Unternehmen Daten, die in einem italieni­schen Rechenzentrum gespei­chert sind, ohne zeitliche Verzögerung abruft und nutzt865. Diese Möglichkeit kann von Unternehmen ausgenutzt werden, um nationale Datenschutzgesetze zu umgehen. Will sich ein Unternehmen nicht dem natio­nalen Datenschutzgesetz und den damit verbundenen staatlichen Kon­trollen unterwerfen, wickelt es alle EDV-Dienstleistungen über das Ausland ab. Alle wichtigen per­sonen­bezo­genen Daten (insbesondere von Arbeitnehmern866) werden in einem aus­ländischen Rechenzentrum gespeichert und dort bei Bedarf abgerufen; da­durch sind sie grundsätzlich nicht dem unerwünschten nationalen Recht unter­worfen.
Das BDSG in seiner ersten Fassung kannte diese Möglichkeit noch nicht und ging deshalb darauf nicht ein; erstaun­licherweise enthält auch das heutige BDSG kaum Regelun­gen zum sog. „Transborder Data Flow” (TBDF) (vgl. § 3 IX 2; § 17). Auch die bisher vorhandenen internationalen Regelungswerke werden der be­sonderen Problematik des TBDF nicht gerecht:


  • Die Empfehlung der OECD vom 23. September 1980 hinsichtlich der Leitlinien über den Schutz der Privatsphäre und den grenzüberschreitenden Verkehr von personenbezogenen Daten ist völkerrechtlich unverbindlich und inhaltlich zu abstrakt.




  • Das Übereinkommen des Europarats vom 28. Januar 1981 zum Schutz des Menschen bei der Verarbeitung personenbezogener Daten ist in deutsches Recht transformiert worden und damit bindend867. Aller­dings enthalten die Regelungen nur allgemeine Rahmengrundsätze, die in unterschiedlichster Weise umgesetzt werden können. Darüber hinaus wurden sie nur von sieben EU-Mitgliedstaaten ratifiziert.

In jüngster Zeit drohte der grenzüberschreitende Datenaustausch zu einer großen Gefahr für die Entwicklung eines einheitlichen europäischen Binnenmarktes zu werden. Derzeit besitzen zwar fast alle EU-Mitgliedsstaaten Rechtsvorschriften zum Datenschutz. Struktur und praktische Durchsetzung der Bestimmungen unterschieden sich ursprünglich jedoch fundamental. Damit entstand aber die Gefahr, dass sich besondere „Datenoasen" herausbildeten: Unternehmen hätten gefahrlos ihre Daten in Italien oder Spanien verarbeiten lassen können, um dem rigiden Datenschutz deutscher oder englischer Provenienz zu entgehen868.


Hierzu sehen die EU-Datenschutzrichtlinie und das neue BDSG nunmehr klare Regeln vor. Nach Art. 25 Abs.1 können personenbezogene Daten in Drittstaaten (d. h. Staaten, die nicht EU-Mitglied sind) nur bei Vorliegen eines „angemessenen Schutzni­veaus" übermittelt werden (so auch § 4b Abs. 2 S. 2 BDSG). Wann ein solches Schutzniveau vorliegt, ist unklar869. Art. 25 Abs. 2 EU-Richtlinie und § 4b Abs. 2 S. 3 BDSG besagen lediglich, dass die Angemessenheit des Schutzniveaus „unter Berücksichtigung aller Umstände beurteilt" wird. Maßgeblich sollen insbesondere die Art der Daten, die Dauer der Datenverarbeitung, sowie „die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Staatsregeln und Sicherheitsmaßnahmen" sein. Die EU-Kommission kann in einem formellen Verfahren feststellen, ob ein Drittland das für eine Datenübermittlung erforderliche Schutzniveau gewährleistet (Art. 25 Abs. 4 ff, Art. 31 Abs. 2)870.
Ausnahmsweise kann ein Datentransfer auch in Drittstaaten erfolgen, die kein angemessenes Schutzniveau aufweisen. So enthält § 4c Abs. 1 BDSG allgemeine Erlaubnistatbestände, die eine Datenübermittlung auch in ein unsicheres Drittland rechtfertigen (insbes. Einwilligung des Betroffenen, Vertragserfüllung, Interessenwahrung, Übermittlung aus einem öffentlichen Register, soweit keine berechtigten Interessen entgegenstehen). Abseits dieser (eng auszulegenden) Ausnahmetatbestände ist eine Übermittlung nur zulässig, wenn der Datenübermittler ausreichende Garantien für den Schutz der Privatsphäre und der Grundrechte des Betroffenen bietet. Art. 26 Abs. 2 nennt als Beispiel für entsprechende Schutzgarantien die sog. Vertragslösung: Hiernach soll der Datentransfer in das „unsichere Drittland" vertraglich zwischen Datenübermittler und Betroffenem bzw. - mit Genehmigung der innerstaatlichen Aufsichtsbehörde zwischen Datenübermittler und -empfänger vereinbart werden871. In letzterem Fall genehmigt die zuständige Aufsichtsbehörde die Übermittlung (§ 4c Abs. 2 BDSG). Auf dieser Rechtsgrundlage basieren die komplexen Verhandlungen zwischen den USA und der Europäischen Kommission über die Verabschiedung einer Safe-Harbor-Lösung. Die USA verfügt über kein, dem EU-Standard entsprechendes Datenschutzniveau872 (ähnlich wie etwa Australien oder Japan). Deshalb ist der Datentransfer von Europa in die USA eigentlich verboten. In dieser Notlage arbeitete man hektisch an einer Entwicklung eines Mustervertrages, der den vertraglichen Beziehungen zwischen übermittelnder Stelle und dem Empfänger in den USA zugrunde gelegt werden kann. Mitte 2000 kam es zur Verabschiedung des Mustervertrages (siehe Anhang). Er kam aber nie zur Anwendung, da der jetzige US-Präsident George Bush im März 2001 die Prinzipien des Musters ablehnte. Derzeit wird zwischen den EU und den USA versucht, eine Lösung über Musterverträge zwischen den betroffenen Unternehmen nachzudenken.

  1. Datennutzung in der Insolvenz

Mit der allmählichen Ernüchterung über den Nutzen von E-Commerce macht auch das Insolvenzgespenst die Runde. In dem Maße, wie die Start-Up-Unternehmen wie Pilze aus dem Boden schossen, gehen die ersten auch wieder ein. Cash-Burn, das Verbrennen von Geld, ist eben langfristig keine Erfolgstrategie in der Wirtschaft. Es stellt sich dann aber die Frage, wie solche Unternehmen insolvenzmäßig behandelt werden sollen. Geld ist dort meist nicht vorhanden. Es finden sich auch sonst kaum Sachwerte. Deren wertvolle Besitzstande bestehen aus urheberrechtlich schutzfähigen E-Commerce-Entwicklungen, Mitarbeiter-Know-How und Kundendaten. Gerade die Verwertung von Kundendaten in der Insolvenz macht aber datenschutzrechtliche Schwierigkeiten. In den USA sorgte zum Beispiel der Fall Toysmart.com für Aufsehen, ein Walt-Disney-Unternehmen, das seine Kundendaten wegen drohender Zahlungsunfähigkeit verkaufen wollte. Daraufhin wird jetzt im US-amerikanischen Senat und Repräsentantenhaus über die Einführung spezieller Gesetzesbestimmungen diskutiert. Im Senat wurde der Entwurf eines Data Privacy Bankruptcy Act am 22. März 2001 verabschiedet.873 In Deutschland bestehen Probleme, sofern solche Daten unter den besonderen Geheimnisschutz des § 203 StGB fallen. Dies ist z. B. der Fall bei der Nutzung von Daten durch Anwälte, Ärzte oder öffentlich-rechtlich organisierte Kreditinstitute. In diesen Fällen erfordert die Weitergabe der Daten eine ausdrückliche Einwilligung durch den Betroffenen; auch im Insolvenzfall käme der Insolvenzverwalter nicht umhin, vor dem Verkauf der Daten die Einwilligung der Betroffenen einzuholen. Dies gilt auch, wenn z. B. die gesamte Anwalts- oder Arztpraxis verkauft werden soll. Ähnliches gilt für sensible Daten nach dem neuen BDSG, etwa bei medizinischen Informationen, Daten zur Gewerkschaftszugehörigkeit, zu Straftaten oder zum Sexualleben (§ 26 BDSG). Wegen des soweit bestehenden Einwilligungserfordernis dürfte die insolvenzmäßige Verwertung der Daten schwierig werden. Schließlich ist zu klären, welcher bilanzmäßige Wert solchen Daten zukommen sollen. Freie Daten, wie Namen und Anschrift der Betroffenen, haben keinen hohen kommerziellen Wert im Gegensatz zu anders detaillierten Kundenprofilen.




Yüklə 1,85 Mb.

Dostları ilə paylaş:
1   ...   32   33   34   35   36   37   38   39   ...   51




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©muhaz.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin