men werden. Generell dürfte es eine Herausforderung
sein, eine valide Verschlüsselung bei gleichzeitig effektiver
Suchmöglichkeit umzusetzen.
Im Ergebnis konnte ich feststellen, dass die Umsetzung
der besonders hohen Anforderungen für die Vorratsda‑
tenspeicherung in der Praxis hochkomplex ist.
15.3.5 Nichts kann so einfach ins Ausland transportiert
werden wie Daten. Da werden wir aber sehr genau hinsehen …
Im Berichtszeitraum habe ich spezifische Beratungsund Kontrollbesuche bei drei großen Telekommunikationsdiensteanbietern durchgeführt, deren Gegenstand
die Übermittlung personenbezogener Daten an Stellen
außerhalb der EU und des EWR war. Dabei habe ich
festgestellt, dass bei der Erbringung von Telekommunikationsdienstleistungen personenbezogene Daten
unter anderem nach Indien, Kanada, in die Schweiz,
die Türkei und die USA übermittelt werden.
Die Beratungs- und Kontrollbesuche erfolgten noch vor
dem 25. Mai 2018, so dass die DSGVO nicht Prüfmaßstab
war. Mit Blick auf die neue Rechtslage kann festgehal‑
ten werden, dass die Übermittlung personenbezogener
Daten in Drittstaaten vor allem auf der Grundlage von
Standarddatenschutzklauseln (vgl. Artikel 46 Absatz 2
Buchstabe c) DSGVO) sowie auf der Grundlage von Ange‑
messenheitsbeschlüssen der Europäischen Kommission
(vgl. Artikel 45 Absatz 1 DSGVO) erfolgt. Vereinzelt wird
die Datenübermittlung auch auf die ausdrückliche Ein
willigung der betroffenen Personen (Artikel 49 Absatz 1
Satz 1 Buchstabe a) DSGVO) und auf verbindliche interne
Datenschutzvorschriften (Artikel 46 Absatz 2 Buchstabe b)
DSGVO) gestützt.
Mit der DSGVO wurde die europäische Rechtslage zur
Übermittlung personenbezogener Daten an Drittländer
oder an internationale Organisationen reformiert. Die
Thematik befindet sich derzeit in vielerlei Hinsicht noch
im Fluss. Ihr kommt zunehmende Bedeutung zu. Ich
werde dies weiter eng verfolgen und darüber berichten.
15.3.6 Ein WLAN ist ein WLAN ist ein WLAN – oder?
Die Geschäftsmodelle und auch die daraus resultierenden datenschutzrechtlichen Herausforderungen
an Diensteanbieter in der gleichen Branche sind meist
recht ähnlich. Bei drei Kontrollen von WLAN-Anbietern
konnte ich jedoch erhebliche Unterschiede feststellen.
In einem Fall wollte eine Stadt die Fußgängerzone mit
WLAN-Hotspots attraktiver gestalten. Bei der Kontrol‑
le des WLAN-Anbieters waren hier nur einige wenige
Punkte kritisch anzumerken. Dies betraf etwa die
Datenschutzerklärung und die Forderung nach Angabe
116
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
einer E-Mail-Adresse, um ein größeres Datenvolumen
zu erhalten, ohne dass dies notwendig gewesen wäre.
Insgesamt war der Umfang der Datenverarbeitung recht
überschaubar.
Deutlich komplexer war da schon die Datenverarbeitung
für die WLAN-Dienste eines großen Netzbetreibers.
Hier bestand eine Vielzahl an zum Teil kostenpflichtigen
Abrechnungsmodellen. Signifikante Probleme waren
nicht festzustellen. Lediglich in Bezug auf die unüber‑
sichtliche Darstellung der Datenschutzhinweise bzw. im
Hinblick auf die Komplexität des Diensteangebots gab es
Gründe für kritische Anmerkungen.
Wirklich herausfordernd war dagegen ein dritter Anbie‑
ter, der gesponserte WLAN-Hotspots für Geschäfte, Cafés
etc. anbietet. Hier werden recht umfangreich pseudo‑
nyme Daten erhoben, um dem Auftraggeber möglichst
aussagekräftige Statistiken als Mehrwert bieten zu kön‑
nen. Dabei ist einerseits eine Anonymisierung das Ziel,
durch die eine Person nicht direkt identifizierbar sein
soll. Andererseits sollen Endgeräte für eine bestimmte
Zeit wiedererkannt werden, z. B. um mehrfache Besuche
eines Ladengeschäfts zu erkennen. Diese Nutzung halte
ich für problematisch. Hier sind die Probleme ähnlich
gelagert wie bei den unter Nr. 15.2.5 beschriebenen
Anwendungen. Ich erwarte diesbezüglich Regelungen in
der kommenden E-Privacy-Verordnung, die leider länger
auf sich warten lässt, als ursprünglich erwartet.
15.3.7 Aus der Beratungs- und Kontrolltätigkeit im
Postbereich
Die DSGVO strahlt auch auf die datenschutzrechtlichen
Regelungen im Postbereich aus.
Mit dem Anwendungsbeginn der DSGVO bekamen das
Postgesetz (PostG) und die Postdienste-Datenschutzver‑
ordnung (PDSV) ein neues, umfangreiches Regelwerk
an die Seite gestellt. Mit dieser veränderten Rechtslage
gingen viele allgemeine Beratungsanfragen von Post‑
dienstleistern aber auch von Unternehmen bei mir ein,
die regelmäßig auf Versanddienstleistungen angewiesen
sind.
Zudem erreichten mich viele Anfragen von Postdienst‑
unternehmen zu datenschutzrechtlichen Aspekten bei
konkreten Projekten bzw. Geschäftsmodellen. Neben
Fragen technischer Natur wurden vor dem Hinter‑
grund der Geltung der DSGVO insbesondere rechtliche
Problemstellungen an mich herangetragen. Ich begrüße
es, dass die Postunternehmen mich frühzeitig in die Ent‑
wicklungsprozesse von neuartigen Verfahren einbezie‑
hen, um bereits in der Konzeptionsphase datenschutz‑
rechtliche Aspekte berücksichtigen zu können. Dies
zeigt, dass der Datenschutz immer mehr an Bedeutung