Peter Suhren

DSRI-Herbstakademie 2012: IT und Internet – mit Recht gestalten


Tagungsbericht zur 13.Herbstakademie der Deutschen Stiftung für Recht und Informatik

Vom 12.- 15. September fand die diesjährige Herbstakademie der DSRI unter dem Motto „IT und Internet – mit Recht gestalten“ in Wuppertal statt.
Über 200 IT-Rechts-Experten aus Wissenschaft und Praxis nahmen an der Tagung teil, um sich mit aktuellen Themen an den Schnittstellen von Recht und IT zu befassen. Neben internetrechtlichen Themen, wie der Gestaltung der Anbieterkennzeichnung oder der Wirksamkeit von AGB sozialer Netzwerke, wurden an insgesamt drei Tagen u.a. Themen aus dem TK-, Immaterialgüter- und Strafrecht behandelt.

 

Traditionell blieb ein ganzer Tag dem Schwerpunktthema Datenschutzrecht vorbehalten, an dem - moderiert durch Prof. Niko Härting (Härting Rechtsanwälte, Berlin) und Dr. Ursula Widmer (Dr. Widmer & Partner, Bern) - zu aktuellen datenschutzrechtlichen Themen vorgetragen wurde. Von Datenschutzaudits bis zu den Voraussetzungen internationaler Datentransfers, von den rechtlichen Grenzen der Kundenrückgewinnung bis zu Empfehlungen zur Absicherung der Kommunikation in gewerblichen WLANs reichte die Auswahl der Themen. Jeweils zwei Vorträge widmeten sich dem Entwurf der DS-GVO und datenschutzrechtlichen Aspekten von „Apps“ also Programmen für mobile Endgeräte.

 

„Datenschutz bei mobilen Endgeräten im Nutzungskontext – Freifahrt für App-Anbieter?“ – Dr. Andreas Lober und Frank Falker (Schulte Riesenkampff, Frankfurt) beantworteten in ihrem Vortrag die etwas provokante Frage, ob App-Anbieter für mobile Endgeräte datenschutzrechtlich eine Freifahrt genießen. Dazu untersuchten die beiden Vortragenden zunächst, in welchem Umfang bei der Nutzung von Apps überhaupt personenbezogene Daten anfallen, um dann die anwendbaren Rechtsvorschriften zu prüfen. Nach einer Darstellung der unterschiedlichen Fallgruppen von Apps, gingen sie auf die Rechte der Nutzer ein und stellten Schwierigkeiten bei der Umsetzung der Informationspflicht, einer etwaig erforderlichen Einwilligungserklärung, Auskunfts- und Löschrechte und der Verarbeitung und Nutzung von Standortdaten dar.

In seinem anschaulichen Vortrag „Dr. App? Rechtliche Aspekte von Gesundheits- und Medizin-Apps“ befasste sich Dr. Stefan Alich (Taylor Wessing, Hamburg) mit dem boomenden Markt von Apps mit Gesundheitsbezug (bereits 2011 existierten laut BITKOM mehr als 15.000). Anhand einiger Apps erläuterte er rechtliche Aspekte aus dem Medizinprodukterecht, dem allgemeinen Vertragsrecht und dem Datenschutzrecht. Dabei ging er auch auf die spannende Frage ein, unter welchen Voraussetzungen ein im Ausland ansässiger Diensteanbieter deutsches Datenschutzrecht zu beachten hat – ein Problem, das mit den zum Teil von Einzelpersonen entwickelten Apps eine neue Qualität erreicht. Praxisrelevant ist ferner die Frage, unter welchen Voraussetzungen – und durch wen – die erhobenen Daten genutzt werden dürfen. Alich bildete für diese Frage Fallgruppen und stellte u.a. die Voraussetzungen der werblichen oder wissenschaftlichen Nutzung der Gesundheitsdaten dar.

Risiken und Empfehlungen für WLAN-Betreiber waren Gegenstand des Vortrags „WLAN und Datenschutz – ein Widerspruch?“ von Peter Suhren (datenschutz nord, Bremen) und Johanna Schmidt-Bens, LL.M. (Universität Oldenburg). Schmidt-Bens erläuterte, dass WLAN-Betreiber aktuell dem Risiko ausgesetzt sind, für den Missbrauch ihres Netzes nach den Grundsätzen der Störerhaftung in Anspruch genommen zu werden. Suhren stellte anhand dreier „Angriffsszenarien“ mögliche Schutzmaßnahmen dar, um das Haftungsrisiko des WLAN-Betreibers zu minimieren. Neben der bekannten Problematik, dass einzelne Schutzmaßnahmen (etwa Portsperren, Blacklisting oder MAC-Adressenbeschränkung) durch versierte Nutzer stets zu umgehen sind, bestehen gegen einige Schutzmaßnahmen z.T. erhebliche datenschutzrechtliche Bedenken, etwa gegen die DPI (deep packet inspection) oder auch gegen eine Pflichtregistrierung der WLAN-Nutzer. Hier wäre – so das Fazit des Vortrags – eine Klarstellung des Gesetzgebers zur Haftung und erforderlichen Schutzmaßnahmen, wie derzeit im Bundesrat diskutiert, wünschenswert.

Sonja Mroß (CBH, Köln) die für den kurzfristig verhinderten Dr. Vander einsprang, stellte in ihrem Vortrag „Kundenrückgewinnung“ die lauterkeits- und datenschutzrechtlichen Grenzen der Kundenrückgewinnung dar. Dem Vortrag lag eine gründliche Analyse der verfügbaren Rechtsprechung zur Kundenrückgewinnung zu Grunde. I.E. sei die Kundenrückgewinnung möglichst bei der vertraglichen Gestaltung in bestehenden Vertragsbeziehungen zu berücksichtigen, indem eine „Vorratseinwilligung“ zukünftig zu erwartender Rückgewinnung erfolgt. Datenschutzrechtlich sind die Probleme der Rückgewinnung im Zweckbindungsgrundsatz angelegt. Regelmäßig bedarf es daher auch aus datenschutzrechtlicher Sicht einer informierten Einwilligung der Kunden. Einen Schwerpunkt bildete ferner die Frage, ob und unter welchen Voraussetzungen eine werbliche Ansprache auf Grundlage des sog. Listenprivilegs nach § 28 Abs. 3 BDSG möglich ist und wie weit der Anwendungsbereich des Listenprivilegs in der Praxis geht.

Einen „Prüfungsmaßstab für Datenschutzerklärungen und Sanktionierungen“ erstellte Dr. Sebastian Meyer (Brandi Rechtsanwälte, Bielefeld) in seinem gleichlautenden Vortrag. Ausgehend von der gesetzlichen Pflicht zur Erstellung einer Datenschutzerklärung des Content-Providers sowie den AGB-rechtlichen Anforderungen stellte Meyer dar, welche Risiken entstehen, wenn keine hinreichend bestimmte Datenschutzerklärung über die Verwendung der nutzerbezogenen Daten informiert: Neben Sanktionen der Datenschutzaufsichtsbehörden – die in der Praxis kaum vorkommen – droht Gefahr insbesondere durch Wettbewerber. Meyer vertrat allerdings die Auffassung, dass rein erläuternde Datenschutzerklärungen keine abmahnfähigen Wettbewerbsverstöße darstellen. Signifikantes Risiko bleibe damit lediglich die öffentliche Prangerwirkung bei Datenschutzverstößen, die jedenfalls bei größeren Anbietern, zu einer negativen Außenwirkung beitragen könne.

Dem „Datenschutzaudit als Element der Selbstregulierung“ widmete sich der Vortrag von Markus Schröder LL.M., (Kinast & Partner, Köln). Schröder ging zunächst auf den Rechtsrahmen in § 9a BDSG und den Entwurf eines Bundesauditgesetzes aus dem Jahr 2008 ein. Er stellte die Praxis entsprechender Audits dar und in diesem Zusammenhang die Schwierigkeiten der Vergleichbarkeit von Zertifizierungen, für die sich bislang kein einheitliches Prüfungsschema etabliert hat. Eine Alternative könne laut Schröder ein Datenschutzrating sein, weil es Unternehmen Anreize setze, sich im Vergleich zu Wettbewerbern durch Datenschutz einen Wettbewerbsvorteil zu verschaffen.

Die rechtlichen Schwierigkeiten der grenzüberschreitenden Datentransfers waren Gegenstand des Vortrags „Datenübermittlung in die USA und die Unmöglichkeit rechtmäßigen Handelns“ von Sascha Kremer und Stefan Sander (Legerlotz Laschet, Köln). In einer Stufenprüfung gingen die Referenten zunächst auf die Rechtmäßigkeit des Datentransfers und die Notwendigkeit einer Rechtsgrundlage nach § 4 Abs. 1 BDSG ein. Auf zweiter Stufe – der Schaffung eines angemessenen Datenschutzniveaus – wiesen die Autoren auf eine ihrer Ansicht nach europarechtswidrige Regelung in § 4b Abs. 2 Satz 2, 2. Halbsatz BDSG hin, in der an das Schutzniveau des Empfängers der Daten – statt wie in der RL an das Schutzniveau des Lands, in das die Daten übermittelt werden – angeknüpft wird. Vertieft widmeten sich Kremer/Sander dem Safe Harbour Abkommen, dessen Schwäche sie vor allem in der fehlenden Kontrolle durch das US-Handelsministerium sehen. Einen rechtmäßigen Datentransfer etwa internationaler Konzerne halten die Referenten vor diesem Hintergrund für praktisch unmöglich.

Ein „Recht auf Vergessenwerden“ soll nach dem Willen der EU-Kommission in Art. 17 der geplanten DS-GVO eingeführt werden. Der gleichnamige, kurzweilige Vortrag von Thorsten Feldmann (JBB, Berlin) stellte die Schwächen der neuen Regelung bloß, die zudem dem vom BGH postulierten Archivprivileg entgegenstehe. So vertrat Feldmann die Ansicht, dass das „Recht auf Vergessenwerden“ keinen grundlegenden Gewinn im Vergleich zum Löschungsanspruch nach § 35 BDSG darstelle, im Gegenteil seien die Voraussetzungen zu unklar formuliert. Unklar bleibe etwa, welche Maßnahmen die verpflichtete Stelle zu treffen habe, um die Löschung auch bei anderen Stellen zu erreichen. Die größten Bedenken hatte Feldmann aber im Hinblick auf das unzureichend geregelte Verhältnis zwischen Meinungsfreiheit / Kommunikationsfreiheit und dem „Recht auf Vergessenwerden“. Feldmann stellte hier die Frage, ob das Verbot mit Erlaubnisvorbehalt nicht grundsätzlich verfassungswidrig sei, weil es jedwede Kommunikation unter den Vorbehalt einer Rechtsgrundlage stelle.

Prof. Niko Härting (Härting Rechtsanwälte, Berlin) äußerte sich grundlegend zur geplanten DS-GVO. Obwohl Härting die Vereinheitlichung der Datenschutzmaßstäbe in Europa grundsätzlich begrüßte, sah er die Tendenz, Einzelsachverhalte zu „verrechtlichen“, kritisch. Wie auch sein Vorredner hält er die Regelungen zum „Recht auf Vergessenwerden“ im unternehmerischen Umfeld für unausgegoren. Die Idee des Entwurfs, dass Benutzer ihre Profile, Fotos oder Videos von einer Plattform zur anderen „mitnehmen“ können (sog. Datenportabilität), diene zudem nicht primär einem einheitlichen Datenschutzniveau. Am kritischsten betrachtete Härting die Pläne der Kommission, Datenverarbeitungen weiterhin auf Einwilligungserklärungen zu stützen. Er sprach in diesem Zusammenhang von einem „Einwilligungsfetisch“, bei dem die Betroffenen Gefahr liefen, den Überblick zu verlieren.

Ein „Update Datenschutzrecht“ gab Dr. Flemming Moos (Norton Rose, Hamburg) ab. Moos setzte vier Schwerpunkte: Er befasste sich mit den divergierenden Entscheidungen des OLG München (ZD 2012, 330 m. Anm. Schröder = MMR 2012, 317) und des OLG Karlsruhe (ZD 2012, 432) zur Frage, ob Datenschutzverletzungen einen abmahnfähigen Wettbewerbsverstoß darstellen. Er erläuterte das Urteil des EuGH (ZD 2012, 29 m. Anm. Meyerdierks = MMR 2012, 174), das die Grenzen bestimmt, innerhalb derer nationale Regelungen von den Vorgaben der DS-RL abweichen dürfen. Zur Cookie-RL erläuterte Moos den aktuellen Stand in Großbritannien, wo seit dem 26.5.2011 eine gesetzliche Regelung gilt. Zuletzt berichtete Moos, dass der Gesamtverband der Versicherungswirtschaft sich mit dem Düsseldorfer Kreis auf ein Muster für eine Einwilligungs- und Schweigepflichtentbindungserklärung geeinigt hat.

RA Peter Suhren ist Syndikusanwalt der datenschutz nord GmbH, Bremen