Persönlichkeitsschutz im digitalen Umfeld

Übersicht über den Persönlichkeitsschutz im digitalen Umfeld in Brasilien und in Deutschland

Die 34. Jahrestagung der Deutsch-Brasilianischen Juristenvereinigung vom 23. bis 26 September 2015 hat sich dem Thema „Persönlichkeitsschutz und Informationsfreiheit im digitalen Zeitalter“ gewidmet. Dabei sind in interessanten Vorträgen und angeregten Diskussionen die teils noch ungeklärten Fragen über Regeln und Haftung im Internet, Anforderungen an Datenschutz, Zweckbindung schon gesammelter Daten und schliesslich die Problematik des globalen Marktes bei regionalen Rechtsordnungen zur Sprache gekommen. Dies soll nun zum Anlass genommen werden, einen kurzen Überblick über die bestehende rechtliche Situation und Gesetzgebungsprojekte wie die in der EU diskutierte Datenschutzgrundverordnung (DGVO) zu geben. Dabei wird aus aktuellem Anlass abschliessend auf die sog. Safe-Harbour Entscheidung des EuGH vom 06.10.2015 eingegangen.

Auf verfassungsrechtlicher Ebene ist der Persönlichkeitsschutz in Brasilien in Art. 5° X der Verfassung von 1988 verankert, während er in Deutschland aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 des Grundgesetzes (GG) abgeleitet wird. Im Kontext des Datenschutzes hat das Grundrecht auf informationelle Selbstbestimmung, das in Deutschland einen Teilgehalt des Persönlichkeitsschutzes darstellt, sowie Art. 10 GG bezüglich des Fernmeldegeheimnisses besondere Bedeutung. Das Grundrecht auf informationelle Selbstbestimmung wird auch immer wieder in der brasilianischen Rechtsprechung und Literatur zum Datenschutz erwähnt.

Ein erster Versuch, einen rechtlichen Rahmen für das digitale Umfeld zu schaffen, wurde in Brasilien mit dem Marco Civil da Internet (MCI) vorgenommen. Er trat am 23.06.2014 in Kraft. Darin werden grundsätzliche Standards u.a. zum Datenschutz (Art. 7) und Verhalten im Internet festgelegt, aber auch soziale Funktionen des Internets beschrieben. Der MCI definiert erstmals wichtige Begriffe in der digitalen Welt wie Internet, Applikation oder Endgerät in Art. 5. Ausserdem legt Art. 9 die Neutralität des Internets fest, wonach jedes Datenpaket unabhängig von Inhalt, Ursprung, Endgerät usw. gleich behandelt werden muss. Ein weiteres wichtiges Prinzip wird zudem in Art. 11 festgelegt: sobald ein Akt, der persönliche Daten betrifft, in Brasilien stattfindet, ist brasilianisches Recht anwendbar. Schliesslich wird in Artt. 18 und 19 die Entscheidung gegen die Haftung auf Schadensersatz von Internetbetreibern und –applikationen (auch facebook, google & Co.) für Inhalte und Verhalten Dritter getroffen. Bedingung ist dabei allerdings für Internetapplikationen, dass Verfahren zur Verfügung stehen, durch die Einträge, die Rechte von Nutzern verletzen, gelöscht werden können.

Ein solch modernes Gesetz gibt es in Deutschland bisher noch nicht. Bezüglich Datenschutz ist das Bundesdatenschutzgesetz vom 20.12.1990, neugefasst am 14.01.2003 (BDSG), noch der einzige rechtliche Massstab in Deutschland, der auch Anforderungen der 1995 erlassenen EU-Richtlinie 95/46/EG umsetzt. Daten sind gem. § 3 I BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Juristische Personen sind somit nicht erfasst. Ausserdem werden Gruppen besonders sensibler Daten in § 3 IX BDSG festgelegt, die höheren Schutz geniessen. Desweiteren setzt § 4a BDSG für die Wirksamkeit der Einwilligung in einen Akt, der persönliche Daten betrifft, eine freie Willensentscheidung bei Kenntnis des Zwecks voraus. Strengere Anforderungen an die Aufklärung über die mögliche Verwendung der Daten werden aber nicht gestellt. Schliesslich ist die geschäftsmässige Weiterleitung von Daten an Dritte nach § 29 BDSG nur zulässig, wenn kein Grund zur Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse am Ausschluss der Weitergabe hat. Allerdings wird die heute dominierende freiwillige Abgabe der Daten in sozialen Netzwerken, Chats o.ä. nicht geregelt, woran die Notwendigkeit der Modernisierung deutlich wird.

Mit der Datenschutzgrundverordnung (DGVO) der EU ist nun aber eine moderne Verordnung auf dem Weg, die nach Inkrafttreten auch in Deutschland unmittelbar rechtliche Wirkung entfalten wird. Momentan finden die sog. tripolaren Verhandlungen zwischen Rat, Kommission und Parlament statt, in denen die verschiedenen Positionen zu einem Kompromiss geführt werden sollen. Die Ratspräsidentschaft Luxemburg möchte einen Abschluss des Verfahrens noch dieses Jahr erreichen. 
Mit der DGVO werden wichtige Prinzipien eingeführt, die eine Antwort auf die heutigen Herausforderungen des Datenschutzes sein sollen. So ist gemäss dem Kommissionsvorschlag Voraussetzung für die Anwendung der DGVO nicht der Sitz des Datenverarbeiters in der EU, sondern die Verarbeitung von Daten von in der EU ansässigen Personen, sofern diese Daten zu Werbung gegenüber den betroffenen Personen oder zu deren Beobachtung genützt werden sollen (sog. Marktortprinzip). Dementsprechend kann auch vor den nationalen Gerichten geklagt werden. Zudem sieht Art. 77 das Recht auf Schadensersatz gegen den Datenverarbeiter vor, womit eine andere Entscheidung als im MCI getroffen wird. Es ist sogar eine Beweislastumkehr bezüglich des Verschuldens geplant. Darüberhinaus soll der Druck, in die Nutzung der Daten einzuwilligen, verringert werden, indem das datenverarbeitende Unternehmen die Nutzung der Dienstleistung nicht von der Einwilligung abhängig machen darf. Dabei werden bestimmte Arten der Aufklärung über die vorgesehene Datenverarbeitung diskutiert (z.B. Verwendung von Icons). Abschliessend soll mit der Möglichkeit für ein Bussgeld in Höhe von bis zu 2% des weltweiten Unternehmensumsatzes ein besonders abschreckendes Mittel eingeführt werden.

Ein Gesetz in Brasilien zum Datenschutz gibt es zwar noch nicht, es werden aber verschiedene Entwürfe von Abgeordnetenkammer, Justizministerium und Senat diskutiert, die in der Herangehensweise und dem Schutzniveau der europäischen DGVO ähneln. Nach Aussage von Prof. Danilo Doneda während der Tagung ist der Senatsentwurf am weitesten fortgeschritten. Dort wird u.a. der „Eigentümer“ der Daten als derjenige, auf den sich die Daten beziehen, definiert, womit eine deutlichere Entscheidung als in der DGVO mit der Formulierung „betroffene Person“ getroffen wird. Ausserdem wird bezüglich der Anwendung des brasilianischen Rechts ebenfalls das Marktortprinzip angewandt.

Schliesslich gibt es in Brasilien und in Deutschland bzw. der EU einige wegweisende Urteile, die den rechtlichen Rahmen ergänzen. In diesem Zusammenhang besonders wichtig ist die „Google Spain Entscheidung“ des EuGH, in der das „Recht auf Vergessen“ begründet wurde (C-131/12). Darin wird google als Suchmaschinenbetreiber nicht lediglich als Vermittler von Informationen zugunsten des Nutzers sondern als Datenverarbeiter beurteilt, woraus seine Verantwortung für die Suchergebnisse abgeleitet wird. Für die Anwendung europäischen Rechts genügt bereits eine Niederlassung des Betreibers zum Zweck des Verkaufs von Werbeflächen, wenn die Datenverarbeitung im Ausland erfolgt,. Das hier begründete „Recht auf Vergessen“ wird wohl auch in die DGVO aufgenommen.

Interessanterweise hat der Supremo Tribunal de Justiça in seiner Entscheidung vom 26.06.2012 (Resp 131.692.1-RJ, Rel. N. Andrighi) die gegenteilige Position vertreten. Einen Suchmaschinenbetreiber könne keine Verantwortung treffen, wenn er im Internet öffentlich zugängliche Daten lediglich auf seiner Plattform auflistet. Insofern liegt die Verantwortung vielmehr bei der Person, die die Daten ursprünglich öffentlich zugänglich gemacht hat. Allerdings ist die Position der brasilianischen Gerichte nicht einheitlich wie Prof. Ingo Wolfgang Sarlet in seiem Vortrag deutlich gemacht hat. Genauso gibt es Entscheidungen, in denen Suchmaschinen sehr wohl für Suchergebnisse und deren Folgen verantwortlich gemacht wurden (Resp 133.515.3-RJ, Rel. L. F. Salomão). Insofern lässt sich momentan keine einheitliche Rechtsprechung erkennen.

Schliesslich ist aus aktuellem Anlass noch auf die sog. „Safe-Harbour Entscheidung“ des EuGH vom 06.10.2015 einzugehen. Gegenstand des Vorabentscheidungsverfahrens vor dem EuGH ist ein Rechtsstreit zwischen einem Österreicher und der irischen Datenschutzbehörde. Der österreichische Facebook-Nutzer wollte von der Datenschutzbehörde Auskunft darüber erhalten, ob seine Daten, die von Facebook in den USA gespeichert werden, sicher vor fremdem Zugriff sind. Die Behörde lehnte eine Prüfung der Anfrage ab und berief sich auf die EU-Kommission, die im Jahre 2000 im Hinblick auf die Artt. 25 und 31 Abs. 2 der Richtlinie 95/46/EG festgestellt hatte, dass die USA bezüglich der Unternehmen, die dem Safe-Harbour-Abkommen beitreten, ein ausreichendes Schutzniveau für europäische Daten bieten. 
Nun hat der EuGH entschieden, dass die Datenschutzbehörde die Datensicherheit unabhängig von der Kommissionsentscheidung hätte prüfen müssen und erklärt darüberhinaus letztere für ungültig. Das Safe-Harbour-Abkommen verpflichte nur private Unternehmen, sodass staatliche Stellen am Zugriff auf Daten europäischer Bürger nicht gehindert würden. Ob deren Zugriffspraxis das Schutzniveau europäischen Datenschutzrechts einhalte, sei insbesondere nach den Enthüllungen von Edward Snowden zweifelhaft. Somit ist die Speicherung der Daten auf US-amerikanischen Servern nach aktuell gültigem EU-Recht nicht rechtmässig, solange nicht jeder einzelne Benutzer darin einwilligt. 

Beim Vergleich der exisiterenden und diskutierten Regelungen in Brasilien, Deutschland und der EU wird deutlich, dass Herangehensweise und Inhalt eng beieinander liegen. Somit können den gemeinsamen Ansichten insbesondere im Hinblick auf den deutlich niedrigeren Stellenwert des Datenschutzes in den USA mehr Geltung verschafft werden. Um die Anforderungen im Datenschutz auch gegenüber den grossen US-amerikanischen IT-Unternehmen durchzusetzen, versuchen Gesetzgeber und Gerichte das Markotortprinzip anzuwenden oder über lokale Niederlassungen, die Anwendung von nationalem bzw. europäischem Recht auf Handlungen, die eigentlich im Ausland stattfinden, zu begründen. Ob dies tatsächlich erfolgreich sein wird, bleibt abzuwarten.

Unabhängig davon ist die rechtliche Situation bezüglich der Datenspeicherung auf Servern in den USA im Hinblick auf die Safe-Harbour Entscheidung des EuGH von grosser rechtlicher Unsicherheit geprägt. Schliesslich fehlen ausdrückliche Regelungen der Haftung im Internet in Europa und auch in Brasilien trotz des MCI weiterhin. Somit besteht Dringlichkeit, entsprechende Regelungen einzuführen. In der EU und in Deutschland will man dieser Dringlichkeit zunächst mit digitalen Agenden gerecht werden, die Arbeitsfelder definieren sowie Zustände und Bedürfnisse ermitteln sollen. Angesichts der schnellen technischen Entwicklung wird absolute Rechtssicherheit auf absehbare Zeit aber nicht erreichbar sein.
Dieser Beitrag wurde erstellt von Hans Jürgen Holweg, deutscher Rechtsanwalt und Berater für deutsches Recht und Jens Velten, deutscher Diplom-Jurist, von der Kanzlei Stüssi-Neves Advogados – São Paulo.

Weitere Standorte

São Paulo

Stüssi-Neves Advogados Gustavo Stüssi Neves, Advogado

Rua Henrique Monteiro, 90 - 10º and. CEP 05423-020 São Paulo Brasilien

Tel. +55 - 11 - 309 366 12 Fax +55 - 11 - 309 791 30

stussi.sp@stussinevessp.com.br
http://www.stussi-neves.com/  Kontakt

Weitere Standorte

Rio de Janeiro

Guilherme Stüssi Neves, Advogado

Praia de Botafogo, 440 – 14° andar Botafogo CEP 22250-908 Rio de Janeiro Brasilien

Tel. +55 - 21 - 250 972 34 Fax +55 - 21 - 225 242 46

stussirj@stussi-neves.com
http://www.stussi-neves.com/  Kontakt