Social Distancing

In Zei­ten von Not­la­gen muss man auch manch­mal zu krea­ti­ven Maß­nah­men grei­fen. Doch ein kurz­fris­tig geplan­ter Geset­zes­ent­wurf ruft teils kri­ti­sche Reak­tio­nen her­vor, wie die der­zeit geplan­te Han­dy­or­tung zur Corona-Bekämpfung.

… zurecht oder nicht? Las­sen Sie es uns wis­sen — in der Kommentarbox.

Han­dy­or­tung über Provider

Genauigkeit der Handyortung über Funkmasten bestenfalls 100 Meter im Radius
Han­dy­or­tung über Funk­mas­ten

Laut Geset­zes­ent­wurf des Bun­des­ge­sund­heits­mi­nis­te­ri­ums soll den Gesund­heits­be­hör­den das Recht ein­ge­räumt wer­den, Kon­takt­per­so­nen von Infi­zier­ten mit­tels Han­dy­or­tung nach­voll­zie­hen und zeit­spa­rend kon­tak­tie­ren zu kön­nen. Infor­ma­ti­ons­quel­le sol­len hier­für die diver­sen Mobil­funk­an­bie­ter sein. Stand­ort­da­ten der Kon­takt­per­so­nen sol­len Auf­schluss über den Auf­ent­halts­ort geben.

Bun­des­da­ten­schutz­be­auf­trag­ter äußert Skepsis

Vor weni­gen Stun­den äußer­te der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber in einem  Twit­ter Bei­trag Beden­ken zur Wirk­sam­keit der geplan­ten Maß­nah­me. „Alle Maß­nah­men der Daten­ver­ar­bei­tung“ hät­ten laut Kel­ber die öffent­lich-recht­li­chen Schlüs­sel­kri­te­ri­en der Erfor­der­lich­keit, Geeig­net­heit und Ver­hält­nis­mä­ßig­keit zu erfül­len. „Bis­her“ feh­le „jeder Nach­weis, dass die indi­vi­du­el­len Stand­ort­da­ten der Mobil­funk­an­bie­ter einen Bei­trag leis­ten könn­ten, Kon­takt­per­so­nen zu ermit­teln, dafür sind die­se viel zu unge­nau.“ Anders stel­le sich dies bei ent­spre­chen­der Ana­ly­se von Bewe­gungs­strö­men in anony­mi­sier­ter Form dar. Auf der Basis von Funk­ze­l­len Han­dy­or­tung ist ledig­lich ein Radi­us von allen­falls 100 Metern erfass­bar. In länd­li­chen Regio­nen kön­nen es durch­aus meh­re­re Kilo­me­ter sein. Also alles viel zu unge­nau, um poten­ti­el­le Kon­tak­te mög­li­cher Infi­zier­ter aus­rei­chend kon­kret aus der Daten­men­ge her­aus­fil­tern zu kön­nen. Im Rah­men der Res­sort­be­tei­li­gung war die obers­te Bun­des­be­hör­de für Daten­schutz und die Infor­ma­ti­ons­frei­heit BfDI beim Ent­wurf des Infek­ti­ons­schutz­ge­set­zes involviert.

Alter­na­ti­ve der frei­wil­li­gen Nutzung

Gemeinsam gegen das Coronavirus per freiwilliger App möglich
Frei­wil­li­ge Han­dy­or­tung mit­tels App

In Ita­li­en ist sie bereits im Ein­satz — die App-Lösung zur Ortung poten­zi­ell Infi­zier­ter Kon­takt­per­so­nen. Für Deutsch­land befin­det sich das hier bekann­tes­te Pro­jekt der­zeit noch in der crowd­fun­ding Pha­se. Die Akti­vie­rung der Gerä­te von frei­wil­li­gen Test­per­so­nen in der Beta-Pha­se soll Ende die­sen /​ Anfang kom­men­den Monats erfolgen.

Auf anony­mi­sier­ter und frei­wil­li­ger Basis soll es den Han­dy­nut­zern mög­lich sein, prä­zi­ser geor­tet und kon­tak­tiert zu wer­den als dies durch die rei­ne Aus­wer­tung von Ver­kehrs­da­ten zur Ermitt­lung vom Stand­ort mög­lich erscheint.

In Süd­ko­rea sind sol­che Model­le bereits im Kampf der Ein­däm­mung ein­ge­setzt wor­den. Dort sta­bi­li­siert sich die einst mas­siv eska­lie­ren­de Lage. In einem Bei­trag der BBC unter­streicht die Außen­mi­nis­te­rin im Kampf gegen das Virus und mit panik­be­ding­ten Pro­ble­men die Not­wen­dig­keit schnel­ler behörd­li­cher Ent­schei­dun­gen und zugleich, die­sen wis­sen­schaft­li­che Erkennt­nis­se und Beweis­ba­res zu Grun­de zu legen.

Aller­dings ist der Erfolg von frei­wil­li­gen Prä­ven­ti­ons­maß­nah­men auch stets von der indi­vi­du­el­len Ein­sichts­be­reit­schaft abhän­gig, die im Rah­men der Coro­na­pan­de­mie man­cher­orts täg­lich Anlass zur Besorg­nis zu geben scheint. Dies wur­de gera­de durch die Not­wen­dig­keit zur Ver­schär­fung bzw. Ein­füh­rung einer bun­des­wei­ten Aus­geh­be­schrän­kung (wohl­ge­merkt nicht Aus­gangs­sper­re) am 22.03.2020 erneut deutlich.

Stand Sonn­tag­abend 22.03.2020

Infol­ge deut­li­cher Kri­tik wur­de davon abge­rückt, den Gesetz­ent­wurf bereits am 23.03.2020 ins Bun­des­ka­bi­nett zu geben. So lau­ten über­ein­stim­men­de Agen­tur­mel­dun­gen. Man wol­le vor­erst auf Han­dy­or­tung ver­zich­ten und einen betref­fen­den Gesetz­ent­wurf nun bis Ostern über­ar­bei­ten. Nähe­res dazu in einem Tages­schau Bei­trag vom Sonntagabend.

Fazit und Hin­wei­se zur geplan­ten Handyortung

Die Risi­ken ein­grei­fen­der Nor­men wie etwa der geplan­ten Han­dy­or­tung ent­ste­hen nicht per se aus dem Rechts­ein­griffs als sol­chem, son­dern aus dem Miss­brauchs­po­ten­zi­al in der täg­li­chen Anwen­dung. Im Eifer des Gefechts kann erfah­rungs­ge­mäß nicht gänz­lich aus­ge­schlos­sen wer­den, dass Feh­ler pas­sie­ren, die Neu­gier bei dem einen oder ande­ren sich durch­setzt oder u.U. sogar ver­ein­zelt gezielt mani­pu­liert wird.

Umso wich­ti­ger sind tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) auch bei Erlass sol­cher Geset­ze, wie

  • das Per­so­nal bei der Aus­wer­tung von und dem Umfang mit den aus­zu­wer­ten­den Stand­ort Daten lücken­los und fach­lich fun­diert zu schulen,
  • auf die­se Wei­se sicher­zu­stel­len, dass die Daten aus­schließ­lich in dem Kon­text der bezweck­ten Ver­ar­bei­tung ver­blei­ben und nicht auf Zuruf offen­ge­legt wer­den, wie dies immer wie­der — etwa in Tele­fo­na­ten anfra­gen­der, ver­meint­lich auto­ri­sier­ter Stel­len — vorkommt,
  • detail­lier­te und tech­nisch ver­bind­lich umge­setz­te Berech­ti­gungs­kon­zep­te zu etablieren,
  • auf die­se Wei­se den Per­so­nen­kreis, die Zugriff auf die Daten haben, in einem kon­kre­ten und stets über­schau­ba­ren Rah­men zu hal­ten und dies auch zu pro­to­kol­lie­ren /​ zu prüfen,
  • den Anwen­der trans­pa­rent zu infor­mie­ren, ohne die ord­nungs­ge­mä­ße Ver­fol­gung der Ein­satz­zwe­cke zu untergraben.

Heu­te, am 08.04.2014 hat der Euro­päi­sche Gerichts­hof die EU Richt­li­nie zur Vor­rats­da­ten­spei­che­rung gekippt.

Die­se Richt­li­nie aus dem Jahr 2006 sah für die Mit­glied­staa­ten der EU eine Rege­lung über die Spei­che­rung von Ver­kehrs­da­ten auf Vor­rat für einen Zeit­raum von 6 Mona­ten vor. Kri­tik­punkt war damals schon die künst­li­che Schaf­fung einer Ver­pflich­tung durch die natio­na­len Regie­run­gen auf euro­päi­scher Ebe­ne zur Ein­füh­rung einer Vor­rats­da­ten­spei­che­rung. Zuvor waren die Anläu­fe auf natio­na­ler Ebe­ne wei­test­ge­hend geschei­tert. Durch die Ver­pflich­tung über die EU Schie­ne soll­te die­ses Man­ko im Sin­ne eini­ger sam­mel­wü­ti­ger Regie­run­gen aus­ge­he­belt werden.

Die danach ent­stan­de­nen deut­schen Rege­lun­gen im Tele­kom­mu­ni­ka­ti­ons­ge­setz (TKG) wur­den durch das Bun­des­ver­fas­sungs­ge­richt Anfang 2010 größ­ten­teils für nich­tig erklärt. Dabei wur­de jedoch nicht die Vor­rats­da­ten­spei­che­rung an sich in Fra­ge gestellt, son­dern das Gericht sah ledig­lich Defi­zi­te in der Umset­zung. Ein neu­es Gesetz zur Vor­rats­da­ten­spei­che­rung wur­de in Deutsch­land seit­her nicht auf den Weg gebracht.

Nach dem heu­ti­gen Urteil zei­gen sich erneut die Fron­ten zwi­schen Befür­wor­tern und Geg­nern einer nicht anlaß­be­zo­ge­nen Samm­lung und Spei­che­rung von per­so­nen­be­zo­ge­nen Daten auf Vor­rat. Wäh­rend Bun­des­jus­tiz­mi­nis­ter Hei­ko Maas nun Augen­maß beim Umgang mit dem The­ma for­dert und vor­ei­li­ge Schüs­se aus­schließt, zögert Bun­des­in­nen­mi­nis­ter Tho­mas de Mai­zie­re nicht, eine zeit­na­he Ein­füh­rung einer deut­schen Vor­rats­da­ten­spei­che­rung voranzutreiben.

Die “Betrof­fe­nen” (gemäß Wort­laut des Bun­des­da­ten­schutz­ge­set­zes die Per­so­nen, auf die sich die gesam­mel­ten Daten bezie­hen), also alle Bür­ger die­ses Lan­des dür­fen wei­ter gespannt sein.

Update 14.04.2014

Golem​.de mel­det das Aus für einen neu­en Geset­zes­ent­wurf zur Vor­rats­da­ten­spei­che­rung der schwarz-roten Koali­ti­on in die­ser Legis­la­tur­pe­ri­ode. Dabei beruft sich der Online-Ser­vice auf einen Bericht des Spie­gel. Es soll eine neue rechts­kon­for­me EU-Richt­li­nie abge­war­tet wer­den, bevor eine natio­na­le Rege­lung auf den Weg gebracht wird.

Datenschutz © N-Media-Images - Fotolia.com

Zum 31.08.2012 läuft die Über­gangs­re­ge­lung für § 28 BDSG für Wer­be­zwe­cke aus. Ab dem 01.09.2012 heißt es dann, per­so­nen­be­zo­ge­ne Daten und die soge­nann­ten “Lis­ten­da­ten” aus­schließ­lich noch mit wirk­sa­mer Ein­wil­li­gung für Wer­be­zwe­cke zu nut­zen. Laut dem Buß­geld­ka­ta­log des Bun­des­da­ten­schutz­ge­set­zes kön­nen durch­aus Beträ­ge bis 300.000 Euro bei Nicht­ein­hal­tung fäl­lig wer­den. Grund genug für alle Wer­be­trei­ben­den, sich mit den aktu­el­len Rege­lun­gen auseinanderzusetzen.

Was sind Listendaten?

Die Defi­ni­ti­on lie­fert § 28 Absatz 3 BDSG: ” Dar­über hin­aus ist die Ver­ar­bei­tung oder Nut­zung per­so­nen­be­zo­ge­ner Daten zuläs­sig, soweit es sich um lis­ten­mä­ßig oder sonst zusam­men­ge­fass­te Daten über Ange­hö­ri­ge einer Per­so­nen­grup­pe han­delt, die sich auf die Zuge­hö­rig­keit des Betrof­fe­nen zu die­ser Per­so­nen­grup­pe, sei­ne Berufs‑, Bran­chen- oder Geschäfts­be­zeich­nung, sei­nen Namen, Titel, aka­de­mi­schen Grad, sei­ne Anschrift und sein Geburts­jahr beschrän­ken, und die Ver­ar­bei­tung oder Nut­zung erfor­der­lich ist”

Hier soll­te gleich beach­tet wer­den, dass wei­te­re Anga­ben wie Tele­fon- und Fax­num­mern, Email-Adres­se oder das voll­stän­di­ge Geburts­da­tum nicht unter die­se Defi­ni­ti­on fallen!

Betrof­fen sind eben­falls Lis­ten­da­ten, die noch vor der BDSG Novel­le vom 01.09.2009 erho­ben wurden.

Was bedeu­tet das nun konkret?

Per­so­nen­be­zo­ge­ne Daten, unab­hän­gig ob Alt- oder Neu­be­stand, wie Tele­fon­num­mer und Email-Adres­se dür­fen ab dem 01.09.2012 nur noch mit gül­ti­ger Ein­wil­li­gung des Betrof­fe­nen zu Wer­be­zwe­cken genutzt werden.

Eine elek­tro­ni­sche Ein­wil­li­gung muss durch den Wer­be­trei­ben­den pro­to­kol­liert wer­den und auf Anfor­de­rung nach­weis­bar sein. Hier gilt es, aktu­el­le Ver­fah­rens­wei­sen sorg­fäl­tig zu prü­fen und anzupassen.

Gibt es Ausnahmen?

Der Gesetz­ge­ber hat eini­ge Aus­nah­men vor­ge­se­hen, den Rah­men jedoch recht eng gestellt:

  1. Für Wer­bung an Bestands­kun­den dür­fen Lis­ten­da­ten ohne Ein­wil­li­gung genutzt wer­den (Ach­tung: beach­ten Sie, was Lis­ten­da­ten kon­k­rekt sind, sie­he Defi­ni­ti­on wei­ter oben)
  2. Lis­ten­da­ten aus all­ge­mein zugäng­li­chen Adress- und Bran­chen­ver­zeich­nis­sen dür­fen eben­falls ohne Ein­wil­li­gung genutzt werden
  3. Für berufs­be­zo­ge­ne Wer­bung an eine beruf­li­che Anschrift wird eben­falls kei­ne Ein­wil­li­gung benö­tigt (pos­ta­lisch)
  4. Gemein­nüt­zi­ge Orga­ni­sa­tio­nen dür­fen für Spen­den­auf­ru­fe eben­falls Lis­ten­da­ten ohne Ein­wil­li­gung nutzen
Doch Ach­tung: die­se Aus­nah­men gel­ten nur für Brief­wer­bung. Für Tele­fon- und Email-Wer­bung wird die Ein­wil­li­gung zwin­gend benötigt.
Tipps zur Umsetzung
  1. Tren­nen Sie Alt­da­ten von Neu­da­ten, das erleich­tert das Hand­ling unge­mein. Für Neu­da­ten holen Sie selbst­ver­ständ­lich bereits heu­te die not­wen­di­ge Ein­wil­li­gung beim Betrof­fe­nen ein. Wol­len Sie Alt­da­ten nut­zen, kön­nen Sie auf die­se über­sicht­lich zurück­grei­fen und die feh­len­de Ein­wil­li­gung nachholen.
  2. Daten­sät­ze soll­ten gene­rell mit den fol­gen­den Merk­ma­len ver­se­hen wer­den: Datum des Zugangs, Daten­her­kunft und idea­ler­wei­se die dazu­ge­hö­ri­ge Zweckbindung
  3. Ver­mei­den Sie pau­scha­le Anga­ben in der Ein­wil­li­gung
  4. Fra­gen Sie doch ein­fach Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? For­dern Sie Ihr Ange­bot kom­for­ta­bel online an.
 Wol­len Sie mehr über die in 2009 ange­stos­se­nen Ände­run­gen des Bun­des­da­ten­schutz­ge­set­zes erfah­ren? Dann fin­den Sie in unse­rem Part­ner­fach­blog daten​schutz​be​auf​trag​ter​-info​.de eine gute Übersicht.

 

aboutpixel.de / Dead End (c) Adrian Palinski

Sicher haben Sie es in der Pres­se der letz­ten Wochen ver­folgt: ein bekann­ter Auto­ver­mie­ter mit Sitz in Ham­burg wur­de zur Zah­lung eines Buß­gelds in Höhe von 54.000 Euro ver­pflich­tet. Die zustän­di­ge Daten­schutz­be­hör­de nahm Anstoß an der Art und Wei­se der Umset­zung einer in der Bran­che übli­chen Siche­rungs­maß­nah­me hoch­wer­ti­ger Miet­fahr­zeu­ge mit­tels GPS Ortung. Erschwe­rend kam eine feh­len­de Rege­lung zur sog. Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG mit dem ein­ge­setz­ten Dienst­leis­ter hinzu.

Der ham­bur­gi­sche Lan­des­da­ten­schutz­be­auf­trag­te Johan­nes Cas­par äußer­te sich dahingehend:

“Grund­sätz­lich ist die Moti­va­ti­on von Europ­car nach­voll­zieh­bar. Die heim­li­che Ortung von Miet­fahr­zeu­gen und die heim­li­che Kon­trol­le der Mie­ter stel­len jedoch einen schwe­ren Ein­griff  in deren Per­sön­lich­keits­recht dar. Der Auto­ver­mie­ter hat es dadurch in der Hand, Bewe­gungs­pro­fi­le sei­ner Kun­den zu erstel­len. Mit Hil­fe der Ortungs­tech­nik lässt sich nicht nur rekon­stru­ie­ren, wer sich wann wo auf­ge­hal­ten hat, son­dern auch, wer zu wel­chem Zeit­punkt mit wel­cher Geschwin­dig­keit gefah­ren ist. Ins­be­son­de­re durch die anlass­lo­se Ortung wer­den die Mie­ter regel­mä­ßig unter einen Gene­ral­ver­dacht gestellt.”

In der Pres­se­mit­tei­lung vom 17.07.2012 heißt es weiterhin:

“Da die Über­mitt­lung der Ortungs­da­ten ohne Wis­sen und ohne Ein­wil­li­gung der Mie­ter erfolg­te, war sie ord­nungs­wid­rig. Dane­ben gab es zwi­schen der Europ­car GmbH und der aus­füh­ren­den Fir­ma kei­nen Ver­trag zur Auf­trags­da­ten­ver­ar­bei­tung nach dem Bun­des­da­ten­schutz­ge­setz.  Die Höhe des Buß­gel­des wur­de zudem maß­geb­lich davon beein­flusst, dass die Europ­car GmbH dem Daten­schutz­be­auf­trag­ten anfäng­lich kei­ne voll­stän­di­gen Aus­künf­te erteilt und trotz Auf­for­de­rung das unzu­läs­si­ge Ver­hal­ten zunächst nicht been­det hatte.”

§4a BDSG defi­niert Form und Inhalt einer rechts­wirk­sa­men Einwilligungserklärung:

  • Erfor­der­nis der Schrift­form (Aus­nah­me: elek­tro­ni­sche Ein­wil­li­gung, an die genaue Vor­ga­ben geknüpft sind)
  • Frei­wil­lig­keit der Einwilligung
  • Genaue Zweck­be­schrei­bung
  • Fol­gen der Nichterteilung
  • Opti­sche Her­vor­he­bung der Einwilligung

Pau­scha­le Ein­wil­li­gun­gen in der Form “Ich wil­li­ge in die Nut­zung mei­ner Daten zu jedem erdenk­li­chen Zweck im Sin­ne des Unter­neh­mens ein” soll­ten sich dem­nach mitt­ler­wei­le über­holt haben.

Das OLG Köln hat in sei­ner Ent­schei­dung vom 17.06.2011, AZ: 6 U 8/​11 eine durch eine Ver­brau­cher­schutz­be­hör­de bean­stan­de­te Ein­wil­li­gungs­er­klä­rung inhalt­lich und der Form nach geprüft und deren Wirk­sam­keit bestä­tigt. Es emp­fiehlt sich durch­aus, die Begrün­dung und Bewer­tung des OLG vor dem Erar­bei­ten einer eige­nen Ein­wil­li­gungs­er­klä­rung zu prüfen.

Hilf­reich ist eben­falls, sich in die Posi­ti­on des Ein­wil­li­gen­den zu ver­set­zen. Die­ser muss klar erkennen:

  • Han­delt es sich um eine Einwilligung?
  • War­um soll ich einwilligen?
  • Wel­che mei­ner per­so­nen­be­zo­ge­nen Daten sind kon­kret betroffen?
  • Für wel­chen kon­kre­ten Ver­wen­dungs­zweck soll ich einwilligen?
  • Wel­che Kon­se­quen­zen hat es für mich, wenn ich nicht einwillige?
  • An wen gibt das Unter­neh­men mei­ne Daten wei­ter und warum?

Ver­mei­den Sie dabei auf jeden Fall all­ge­mei­ne For­mu­lie­run­gen! In eine Ein­wil­li­gung soll­te aus­rei­chend Zeit und Pla­nung inves­tiert wer­den. Sind die kon­kre­ten Zwe­cke nicht aus­rei­chend und umfäng­lich defi­niert, so ent­fällt auf­grund der im BDSG fest­ge­schrie­be­nen Zweck­bin­dung jeg­li­che wei­te­re Verwendungsmöglichkeit.

Übri­gens: Ihr Daten­schutz­be­auf­trag­ter kennt sich mit die­sem The­ma bes­tens aus. Spre­chen Sie ihn doch ein­fach recht­zei­tig an. Sie haben kei­nen? Dann for­dern Sie noch heu­te Ihr Ange­bot an. Er unter­stützt Sie auch bei der Umset­zung einer daten­schutz­kon­for­men Auf­trags­da­ten­ver­ar­bei­tung.

Neben dem Bun­des­da­ten­schutz­ge­setz spie­len je nach Fall wei­te­re Geset­ze bei der Erstel­lung und Umset­zung einer (elek­tro­ni­schen oder schrift­li­chen) Ein­wil­li­gung eine Rol­le. Mehr erfah­ren Sie in unse­rem Part­ner­blog.