Freibrief für die Datenweitergabe

Big DataData & StorageManagementOutsourcingProjekteRechtRegulierung

Am 22. November 2012 hat der EuGH entschieden, dass Telekommunikationsanbieter unter bestimmten Bedingungen Kundendaten an Dritte weitergegeben dürfen. Rechtsexperten bewerten das Urteil als zweckmäßig und praxisorientiert. Gleichzeitig stellt sich die Frage, ob die Entscheidung auch Auswirkungen auf andere “Berufsgeheimnisträger” hat.

Das Urteil des EuGH betrifft Zahlungsansprüche eines Telekommunikationsanbieters aus Internet-by-Call-Verträgen: Ein Internet-Diensteanbieter hatte die Forderungen gegenüber seinen Kunden im Rahmen des sogenannten “Factorings” an ein Inkasso-Unternehmen verkauft.

Bei Telekommunikationsleistungen benötigt der Ankäufer der Forderung normalerweise die Verkehrsdaten, insbesondere Anschlusskennung, Uhrzeit und Dauer der jeweiligen Verbindung. Diese Daten unterliegen aber dem sogenannten Fernmeldegeheimnis und sind durch Artikel 10 des Grundgesetzes (GG) sowie durch Artikel 8 der Europäischen Menschenrechtskonvention (EMRK) geschützt. Sie dürfen also nicht weitergegeben werden. Eine unbefugte Weitergabe kann strafrechtliche Konsequenzen haben. Im vorliegenden Rechtsstreit macht der Kunde des Diensteanbieters folgendes geltend:
Die Weitergabe der Daten verstoße gegen das Fernmeldegeheimnis in Gestalt des § 97 Telekommunikationsgesetz (TKG). Die Abtretung der Forderung sei daher unwirksam und er daher nicht zur Zahlung verpflichtet.

Da das TKG auf europarechtlichen Vorgaben beruht, legte der Bundesgerichtshof dem Europäischen Gerichtshof die Frage vor, ob und unter welchen Voraussetzungen die Übermittlung dieser Verkehrsdaten an den Ankäufer der Entgeltforderung mit der Datenschutzrichtlinie über elektronische Kommunikation vereinbar ist.

Die Richtlinie erlaubt die Übermittlung und Verarbeitung von Verkehrsdaten, wenn der Forderungsaufkäufer “auf Weisung des Diensteanbieters” handelt und sich auf die Verarbeitung der Verkehrsdaten beschränkt, die für die Einziehung der abgetretenen Entgeltforderungen erforderlich sind.”

Der EuGH hat sich bei seiner Entscheidung vor allem am Schutzzweck der Richtlinie orientiert und nochmals betont, daß nur die erforderlichen Daten übermittelt und verarbeitet werden dürfen. Auslegungsbedürftig war die Frage, wann der Forderungsankäufer auf “Weisung” des Telekommunikationsunternehmens handelt. Hierzu entschied der Gerichtshof: Der Abtretungsvertrag müsse Bestimmungen enthalten, die “die rechtmäßige Verarbeitung der Daten gewährleisten und es dem Diensteanbieter ermöglichen, sich jederzeit von der Einhaltung der vertraglichen Bestimmungen zu überzeugen.”

Der EuGH hat durch dieses zweckmäßige und praxisorientierte Urteil den strengen datenschutzrechtlichen Vorgaben Rechnung getragen, andererseits aber auch die Wichtigkeit von Forderungsabtretungen im Arbeitsalltag berücksichtigt.

Es stellt sich die Frage, ob dieses Urteil auch auf andere “Berufsgeheimnisträger” Auswirkungen haben kann?

Problematische datenschutzrechtliche Fragen tauchen beispielsweise auf, wenn Berufsträger oder Unternehmen ihre IT von externen Anbietern verwalten oder warten lassen und diesen Dienstleisten im Rahmen einer sogenannten Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (“BDSG”) Einblick in die geschützten Datenbestände ermöglichen. Nach § 11 BDSG ist allein der Auftraggeber für die Einhaltung der Datenschutzvorschriften verantwortlich. Er muss einen geeigneten Auftragnehmer auswählen und hat bestimmte Pflichten über die Datenverarbeitung schriftlich festzulegen. Beispielsweise müssen Umfang der Datennutzung, Kontrollrechte und Weisungsbefugnisse des Auftraggebers geregelt werden. Nur wenn diese Anforderungen erfüllt sind, ist die Auftragsdatenverarbeitung datenschutzrechtlich erlaubt.

Neben den Datenschutzbestimmungen schützt aber das Strafrecht in § 203 StGB die Geheimsphäre des Einzelnen und die Vertraulichkeitspflichten in den oben genannten Bereichen: Offenbart ein Arzt, Apotheker oder Rechtsanwalt “unbefugt” ein persönliches Geheimnis des Patienten beziehungsweise Mandanten, droht eine Haft- oder Geldstrafe. § 1 Abs. 3 Satz 2 BDSG legt nun fest, dass andere gesetzliche Geheimhaltungspflichten vom Datenschutzrecht unberührt bleiben. Dadurch soll sichergestellt werden, dass das Schutzniveau in besonders geregelten Bereichen nicht durch die Anwendung des BDSG absinkt.

Im Bereich des § 203 StGB bereitet diese Regelung Probleme: Nach in Rechtsprechung und Literatur weit verbreiteter Ansicht stellt die datenschutzrechtliche Zulässigkeit nämlich keine strafrechtliche Rechtfertigung dar. Begründet wird dies vor allem damit, dass die strafrechtlichen Geheimnisschutztatbestände den Schutz der berufsbezogenen Vertraulichkeit bezwecken, wohingegen das BDSG die Persönlichkeitssphäre des Einzelnen schützen soll. Freilich ist dies nicht unbestritten, doch für den Auftraggeber besteht die Gefahr, dass eine Auftragsdatenverarbeitung, die alle Anforderungen des § 11 BDSG erfüllt, gleichwohl als strafbare “unbefugte Offenbarung” im Sinne des § 203 StGB angesehen wird.

Um dies auszuschließen, muss daher zusätzlich eine strafrechtlich wirksame Einwilligung erteilt werden, zum Beispiel die Entbindung von der Schweigepflicht. Für die Beteiligten bedeutet das mehr Aufwand ohne zusätzlichen Schutz, weshalb von einigen Stimmen in der Literatur gefordert wird, § 11 BDSG auch im Rahmen des § 203 StGB rechtfertigende Wirkung zuzuerkennen. Idealerweise sollte hier der Gesetzgeber eingreifen und eine an den Bedürfnissen der Praxis orientierte Regelung einführen.

Wie dargestellt, schlägt der Europäische Gerichtshof beim Datenschutz praktikable Wege ein. Der EuGH hat im hier behandelten Urteil zwar nicht auf strafrechtliche Normen und Konsequenzen Bezug genommen, sondern nur die datenschutzrechtliche Seite des Fernmeldegeheimnisses behandelt. Dennoch lässt sich dem Urteil entnehmen, dass die Weitergabe von sensiblen Daten zulässig sein muss, wenn bestimmte enge Voraussetzungen erfüllt sind. Die aufgestellten Anforderungen an eine zulässige Datenweitergabe (Kontroll- und Weisungsbefugnisse) erinnern außerdem an diejenigen des § 11 BDSG. Dies spricht dafür, dass im Bereich des Datenschutzes allgemein gültige Anforderungen nicht unbedingt zu einem Absinken des Schutzniveaus führen. Wenn dies tatsächlich so ist, gibt es aber keinen Grund mehr, an dem Nebeneinander von § 203 StGB und 11 BDSG festzuhalten.

Eine Übertragung der Grundsätze des Urteils auch auf andere Bereiche ist daher möglich und wünschenswert. Bevor aber nicht der deutsche Gesetzgeber endgültig über die Frage des Verhältnis § 203 StGB zu § 11 BDSG entschieden hat, wird in Deutschland darüber keine Rechtssicherheit herrschen.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen