BDBOS revisited - was hat sich verbessert1?
Im 24. Tätigkeitsbericht hatte ich unter Nr. 6.11 von meiner ersten Kontrolle bei der Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) berichtet.
Kurz vor der Gesamtabnahme des BOS-Digitalfunksystems war ich erneut vor Ort. Deutliche Verbesserungen
hat es vor allem bei den organisatorischen Maßnahmen zum Datenschutz gegeben. So wurde die Weitergabe
von Verkehrsdaten an die Bundesländer zwecks Fehler- und Einsatzanalyse auf meine Initiative hin datenschutzrechtlich wesentlich verbessert.
Gleichwohl bleibt mein Hauptkritikpunkt an der pauschalen 90-Tage-Speicherung aller Verkehrsdaten zur Fehler- und Einsatzanalyse bestehen. Bei meiner ersten Kontrolle hatte ich akzeptiert, dass in der „Einführungsphase“ des Digitalfunks alle Verkehrsdaten für einen Zeitraum von 90 Tagen pauschal zur Fehlererkennung
und -beseitigung gespeichert bleiben dürfen. Nach der Gesamtabnahme des Tetra-Systems müssen die Speicherfristen jedoch sukzessive minimiert werden, um einen datenschutzkonformen Betrieb zu garantieren. Hier habe
ich die BDBOS aufgefordert, entsprechende Konzepte zu erarbeiten und die Speicherfristen für die Verkehrsdaten datenschutzgerecht anzupassen.
WhatsApp
Der Fall WhatsApp hat im Herbst 2016 für Proteste der Nutzer gesorgt und die Datenschutzaufsichtsbehörden
auf den Plan gerufen. Anlass waren die geänderten Nutzungsbedingungen, die der Nutzer innerhalb von
30 Tagen akzeptieren sollte, wenn er den Dienst weiterhin in Anspruch nehmen wollte. Das hieß für ihn auch, in
die Übermittlung seiner Account-Daten an Facebook und in deren Verwendung für Werbezwecke und Verbesserung des Angebots einzuwilligen. Bei der Übernahme von WhatsApp durch Facebook im Februar 2014 war
allerdings genau das ausgeschlossen worden. Zwar ist ein Widerspruch in die Verwendung der Daten durch
Facebook für Werbezwecke möglich, dies ändert aber nichts daran, dass die Daten nach der Übermittlung im
Besitz von Facebook sind - für welche Verwendungen?
WhatsApp hat diese Übermittlung auf ein s. E. berechtigtes Interesse gemäß Artikel 7 Buchstabe f der Richtlinie 95/45/EG und die Einwilligung des Nutzers gestützt. Diese Begründung trägt nach meiner Bewertung rechtlich nicht. Vielmehr führt eine rechtliche Einschätzung meinerseits zu dem Ergebnis, dass es sich bei der Einwilligung nicht um eine datenschutzrechtlich wirksame Einwilligung i. S. d. § 94 TKG i. V. m. § 4a BDSG
handelt. Ein berechtigtes Interesse liegt nicht vor. Die Prüfung war allerdings zum Redaktionsschluss noch nicht
vollständig abgeschlossen.
Leider kann die heute noch unklare Rechtslage im Bereich der OTT-Dienste auch dazu führen, dass diese sich
meiner Kontrolle und damit möglichen Aufsichtsmaßnahmen entziehen. Ordnet man die
OTT-Kommunikationsdienste der Telekommunikation zu, ist aufgrund des Angebots an deutsche Nutzer das
TKG anwendbar und somit - unabhängig von einer deutschen Niederlassung - meine Zuständigkeit gegeben.
WhatsApp jedoch sieht seinen Dienst nicht als Telekommunikation an und beruft sich - im Widerspruch zu
europäischen Gesetzen - auf US-amerikanisches Recht, solange keine europäische Niederlassung existiere.
Aufgrund des Einschreitens mehrerer europäischer Datenschutzbehörden hat WhatsApp inzwischen die Übermittlung der Daten von EU-Nutzern an Facebook bis zur Klärung der rechtlichen Fragen gestoppt. Auch die
Artikel-29-Gruppe hat sich eingeschaltet und wird in einem koordinierten Vorgehen weitere Schritte einleiten.
Sonstiges
– 178 –
BfDI 26. Tätigkeitsbericht 2015-2016