In Teil 3 unserer vierteiligen Reihe „Business-Datenaustausch mit Cloud-Diensten in Deutschland“ vertieft Thomas Wittmann in einem kleinen Exkurs die rechtlichen Bedingungen nach Bundesdatenschutzgesetz (BDSG) und Telemediengesetz (TMG).
Einwilligungen nach BDSG und TMG (Bundesdatenschutzgesetz und Telemediengesetz)
Vom Grundsatz ist das BDSG auch eine Art „Auffanggesetz“: die Regelungen sind im Grunde genommen bei Fehlen spezialgesetzlicher Sonderregelungen anwendbar.
Einwilligung zur Verarbeitung personenbezogener Daten nach BDSG, § 4 a:
Erlaubt nicht ausdrücklich eine gesetzliche Norm die Verarbeitung personenbezogener Daten, wird eine Einwilligung des Betroffenen benötigt.
Die wesentlichen Komponenten des §4a BDSG zur Einwilligung sind:
- Im Regelfall schriftlich,
- auf Basis einer freiwilligen Entscheidung
- Hinweis auf den Zweck der Erhebung sowie die Folgen der Nichterteilung
- Besondere Hervorhebung der Einwilligung
Der schwierigste Punkt in der Praxis: Die Informiertheit der Einwilligung. Die Betroffenen müssen noch vor Einwilligung alle Informationen erhalten, die notwendig sind, um Anlass, Ziel und Folgen der Erfassung und Verarbeitung konkret abzuschätzen.
Telemediengesetz (TMG)
Die Erhebung und Verarbeitung personenbezogener Daten im Onlinebereich ist nur zulässig, soweit sie gesetzlich gestattet ist oder der Betroffene einwilligt (§ 12 TMG).
Die Erlaubnistatbestände sind in § 14 (Bestandsdaten) und § 15 TMG geregelt. Bestandsdaten sind solche, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses über die Nutzung von Telemediendiensten erforderlich sind (Name, Adresse, Telefonnummer etc.). Nutzungsdaten sind solche über Merkmale zur Identifikation des Nutzers (z.B. IP-Adresse), Angaben über Beginn und Ende sowie über den Umfang der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Teledienste.
Bestandsdaten (Name, Adresse, etc.) dürfen vom Cloud-Betreiber nur verwendet werden, soweit dies für den Vertragsabschluss und die Abwicklung sowie Änderung des Vertrages erforderlich ist (§ 14 TMG). Eine anderweitige Nutzung – insbesondere die Weitergabe von Kundendaten an Dritte (Ausnahme Strafverfolgung) – ist von der vorherigen Einwilligung des Nutzers abhängig. Bestimmte staatliche Behörden (Polizei, Staatsschutz etc.) haben darüber hinaus besondere Rechte.
Bei Nutzungsdaten geht das TMG weiter. Diese dürfen ohne Einwilligung gespeichert werden, soweit dies wiederum für die Nutzung der Onlinedienste und ihre Abrechnung erforderlich ist (§ 15 TMG). Zulässig ist auch die Speicherung der Nutzungsdaten zu Marktforschungszwecken oder zu Zwecken der Werbung, soweit jedenfalls ein Pseudonym des Nutzers verwendet wird. Schließlich ist auch die Weitergabe der Nutzungsdaten an Dritte (etwa Inkassounternehmen) ohne Einwilligung zulässig, wenn dies zu Zwecken der Ermittlung des Entgelts und der Abrechnung erforderlich ist. Die Speicherung von Abrechnungsdaten ist höchstens sechs Monate nach Rechnungsversendung zulässig, soweit keine Einwendungen vorgebracht wurden. Bei möglichem Missbrauch ist eine Überschreitung allerdings möglich.
Alle anderen Nutzungsvarianten sind grundsätzlich erlaubnispflichtig und bedürfen einer Einwilligung.
Voraussetzungen der Einwilligung nach § 13 Abs. 2 TMG
Die Erlaubnis kann auch online erfolgen, wenn
- auf sie ausdrücklich hingewiesen wird,
- eine Protokollierung stattfindet und
- der Nutzer den Inhalt der Einwilligung jederzeit wieder abrufen kann.
Die Weitergabe von Daten ohne Einwilligung ist unzulässig und zugleich auch ein Verstoß gegen das Wettbewerbsrecht. Auf das Widerrufsrecht für die Zukunft ist hinzuweisen.
Hinweispflichten nach § 13 TMG
Ein Dienste-Anbieter hat nach § 13 TMG den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in EU-Drittstaaten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein. Er hat das Recht, die zu seiner Person gespeicherten Daten unentgeltlich einzusehen (§ 13 VII TMG).
Kriterien einer wirksamen Einwilligung i. S. d. § 203 StGB
Eine wirksame Einwilligung i.S.d. § 203 StGB setzt insbesondere folgende Kriterien voraus:
- Die Einwilligung muss wirksam sein: Das setzt voraus, dass sie von einem im Hinblick auf die konkrete Sachlage einsichts- und urteilsfähigen – sei es auch noch minderjährigen – Patienten/Mandanten eingeholt wird, und zwar ernstlich, freiwillig und in Kenntnis ihrer Tragweite.
- Die Einwilligung muss grundsätzlich vor der Eingabe der personenbezogenen Daten vom Geheimnisträger (Patienten/Mandanten) eingeholt werden.
- Die Herbeiführung der erforderlichen Einsichtsfähigkeit kann je nach den Umständen Aufklärung erfordern.
- Der zivilrechtlichen Geschäftsfähigkeit bedarf es regelmäßig nicht, so dass auch einsichts- und urteilfähige Minderjährige grundsätzlich eine Einwilligungserklärung abgeben müssen. Es bedarf daher nur der Kundgabe des Willens, auf den Rechtsschutz zu verzichten.
- Bei Vorliegen erheblicher Willensmängel (Drohung, Täuschung) wird wegen Fehlens der Freiwilligkeit die Unwirksamkeit des Willens angenommen.
- Bei Einwilligungsunfähigen kann grundsätzlich der gesetzliche Vertreter im Rahmen seiner Vertretungsmacht die Einwilligung erteilen oder bei einem Betreuten so, wie es dessen Wohl entspricht.
- Nach Strafgesetzbuch kann eine Einwilligungserklärung grundsätzlich formlos erfolgen. Eine z.B. aus dem BDSG verlangte Schriftform, ändert an der strafrechtlichen Beurteilung nichts.
Verschlüsselung löst die Problematik
Auch technische Mechanismen, die eine Kenntnisnahme von Daten durch Dritte ausschließen, umgehen die Problematik des § 203 StGB für besondere Berufsgruppen bezogen auf Cloud-Dienste.
Liegt keine Einwilligungserklärung mit Mandanten/Patienten vor, muss eine dem Stand der Technik entsprechende lokale Verschlüsselung der Daten noch vor einem Upload erfolgen und die Entschlüsselung darf ebenfalls nur lokal erfolgen, damit die Möglichkeit der Kenntnisnahme durch Dritte (z.B. die Administratoren eines Cloud-Anbieters) ausgeschlossen ist.
Unsere vierteilige Serie schließt mit hilfreichen Entscheidungskriterien – so finden Sie sichere Cloudsoftware und seriöse Cloudanbieter.
Teil 1 „Kriterien für sichere Cloud-Dienste: Transparenz, Audits und Serverstandort“
Teil 2 „Kriterien für sichere Cloud-Dienste: Auftragsdatenverarbeitung“
Thomas Wittmann ist in Köln zugelassener Rechtsanwalt und arbeitet als Justiziar in einem renommierten Beteiligungsunternehmen in Bonn. Er berät juristisch seit fast 15 Jahren insbesondere Unternehmen aus der IT.