Freibrief für die Datenweitergabe

Das Urteil des EuGH betrifft Zahlungsansprüche eines Telekommunikationsanbieters aus Internet-by-Call-Verträgen: Ein Internet-Diensteanbieter hatte die Forderungen gegenüber seinen Kunden im Rahmen des sogenannten “Factorings” an ein Inkasso-Unternehmen verkauft.

Bei Telekommunikationsleistungen benötigt der Ankäufer der Forderung normalerweise die Verkehrsdaten, insbesondere Anschlusskennung, Uhrzeit und Dauer der jeweiligen Verbindung. Diese Daten unterliegen aber dem sogenannten Fernmeldegeheimnis und sind durch Artikel 10 des Grundgesetzes (GG) sowie durch Artikel 8 der Europäischen Menschenrechtskonvention (EMRK) geschützt. Sie dürfen also nicht weitergegeben werden. Eine unbefugte Weitergabe kann strafrechtliche Konsequenzen haben. Im vorliegenden Rechtsstreit macht der Kunde des Diensteanbieters folgendes geltend:
Die Weitergabe der Daten verstoße gegen das Fernmeldegeheimnis in Gestalt des § 97 Telekommunikationsgesetz (TKG). Die Abtretung der Forderung sei daher unwirksam und er daher nicht zur Zahlung verpflichtet.

Da das TKG auf europarechtlichen Vorgaben beruht, legte der Bundesgerichtshof dem Europäischen Gerichtshof die Frage vor, ob und unter welchen Voraussetzungen die Übermittlung dieser Verkehrsdaten an den Ankäufer der Entgeltforderung mit der Datenschutzrichtlinie über elektronische Kommunikation vereinbar ist.

Die Richtlinie erlaubt die Übermittlung und Verarbeitung von Verkehrsdaten, wenn der Forderungsaufkäufer “auf Weisung des Diensteanbieters” handelt und sich auf die Verarbeitung der Verkehrsdaten beschränkt, die für die Einziehung der abgetretenen Entgeltforderungen erforderlich sind.”

Der EuGH hat sich bei seiner Entscheidung vor allem am Schutzzweck der Richtlinie orientiert und nochmals betont, daß nur die erforderlichen Daten übermittelt und verarbeitet werden dürfen. Auslegungsbedürftig war die Frage, wann der Forderungsankäufer auf “Weisung” des Telekommunikationsunternehmens handelt. Hierzu entschied der Gerichtshof: Der Abtretungsvertrag müsse Bestimmungen enthalten, die “die rechtmäßige Verarbeitung der Daten gewährleisten und es dem Diensteanbieter ermöglichen, sich jederzeit von der Einhaltung der vertraglichen Bestimmungen zu überzeugen.”

Der EuGH hat durch dieses zweckmäßige und praxisorientierte Urteil den strengen datenschutzrechtlichen Vorgaben Rechnung getragen, andererseits aber auch die Wichtigkeit von Forderungsabtretungen im Arbeitsalltag berücksichtigt.

Es stellt sich die Frage, ob dieses Urteil auch auf andere “Berufsgeheimnisträger” Auswirkungen haben kann?

Problematische datenschutzrechtliche Fragen tauchen beispielsweise auf, wenn Berufsträger oder Unternehmen ihre IT von externen Anbietern verwalten oder warten lassen und diesen Dienstleisten im Rahmen einer sogenannten Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (“BDSG”) Einblick in die geschützten Datenbestände ermöglichen. Nach § 11 BDSG ist allein der Auftraggeber für die Einhaltung der Datenschutzvorschriften verantwortlich. Er muss einen geeigneten Auftragnehmer auswählen und hat bestimmte Pflichten über die Datenverarbeitung schriftlich festzulegen. Beispielsweise müssen Umfang der Datennutzung, Kontrollrechte und Weisungsbefugnisse des Auftraggebers geregelt werden. Nur wenn diese Anforderungen erfüllt sind, ist die Auftragsdatenverarbeitung datenschutzrechtlich erlaubt.

Neben den Datenschutzbestimmungen schützt aber das Strafrecht in § 203 StGB die Geheimsphäre des Einzelnen und die Vertraulichkeitspflichten in den oben genannten Bereichen: Offenbart ein Arzt, Apotheker oder Rechtsanwalt “unbefugt” ein persönliches Geheimnis des Patienten beziehungsweise Mandanten, droht eine Haft- oder Geldstrafe. § 1 Abs. 3 Satz 2 BDSG legt nun fest, dass andere gesetzliche Geheimhaltungspflichten vom Datenschutzrecht unberührt bleiben. Dadurch soll sichergestellt werden, dass das Schutzniveau in besonders geregelten Bereichen nicht durch die Anwendung des BDSG absinkt.

Im Bereich des § 203 StGB bereitet diese Regelung Probleme: Nach in Rechtsprechung und Literatur weit verbreiteter Ansicht stellt die datenschutzrechtliche Zulässigkeit nämlich keine strafrechtliche Rechtfertigung dar. Begründet wird dies vor allem damit, dass die strafrechtlichen Geheimnisschutztatbestände den Schutz der berufsbezogenen Vertraulichkeit bezwecken, wohingegen das BDSG die Persönlichkeitssphäre des Einzelnen schützen soll. Freilich ist dies nicht unbestritten, doch für den Auftraggeber besteht die Gefahr, dass eine Auftragsdatenverarbeitung, die alle Anforderungen des § 11 BDSG erfüllt, gleichwohl als strafbare “unbefugte Offenbarung” im Sinne des § 203 StGB angesehen wird.

Um dies auszuschließen, muss daher zusätzlich eine strafrechtlich wirksame Einwilligung erteilt werden, zum Beispiel die Entbindung von der Schweigepflicht. Für die Beteiligten bedeutet das mehr Aufwand ohne zusätzlichen Schutz, weshalb von einigen Stimmen in der Literatur gefordert wird, § 11 BDSG auch im Rahmen des § 203 StGB rechtfertigende Wirkung zuzuerkennen. Idealerweise sollte hier der Gesetzgeber eingreifen und eine an den Bedürfnissen der Praxis orientierte Regelung einführen.

Wie dargestellt, schlägt der Europäische Gerichtshof beim Datenschutz praktikable Wege ein. Der EuGH hat im hier behandelten Urteil zwar nicht auf strafrechtliche Normen und Konsequenzen Bezug genommen, sondern nur die datenschutzrechtliche Seite des Fernmeldegeheimnisses behandelt. Dennoch lässt sich dem Urteil entnehmen, dass die Weitergabe von sensiblen Daten zulässig sein muss, wenn bestimmte enge Voraussetzungen erfüllt sind. Die aufgestellten Anforderungen an eine zulässige Datenweitergabe (Kontroll- und Weisungsbefugnisse) erinnern außerdem an diejenigen des § 11 BDSG. Dies spricht dafür, dass im Bereich des Datenschutzes allgemein gültige Anforderungen nicht unbedingt zu einem Absinken des Schutzniveaus führen. Wenn dies tatsächlich so ist, gibt es aber keinen Grund mehr, an dem Nebeneinander von § 203 StGB und 11 BDSG festzuhalten.

Eine Übertragung der Grundsätze des Urteils auch auf andere Bereiche ist daher möglich und wünschenswert. Bevor aber nicht der deutsche Gesetzgeber endgültig über die Frage des Verhältnis § 203 StGB zu § 11 BDSG entschieden hat, wird in Deutschland darüber keine Rechtssicherheit herrschen.

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

20 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

20 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago