EuGH verkannt: Geheimnisträger und die Auftragsdatenverarbeitung

von Prof. Dr. Thomas Hoeren, veröffentlicht am 02.12.2012

Der EuGh entpuppt sich immer mehr als mächtige Stimme und Pionier des Informationsrechts. So jetzt auch in einer aktuellen Entscheidung, dfie bislang kaum Beachtung fand (der EuGH könnte allerdings auch PR-mäßig an seinen zum Teil furchtbar verschachtelten Leitsätzen arbeiten).

 

EuGH, Urteil vom 22. 11. 2012 - C-119/12

 

"Art. 6 Abs. 2 und 5 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) ist in dem Sinne auszulegen, dass danach ein Betreiber öffentlicher Kommunikationsnetze und öffentlich zugänglicher Kommunikationsdienste (Diensteanbieter) im Hinblick auf die Einziehung seiner Telekommunikationsleistungen betreffenden Forderungen Verkehrsdaten an einen Zessionar dieser Forderungen übermitteln und dieser Zessionar diese Daten verarbeiten darf, sofern er erstens in Bezug auf die Verarbeitung dieser Daten auf Weisung des Diensteanbieters handelt und sich zweitens auf die Verarbeitung derjenigen Verkehrsdaten beschränkt, die für die Einziehung der abgetretenen Forderungen erforderlich sind.

Unabhängig von der Einstufung des Abtretungsvertrags ist davon auszugehen, dass der Zessionar im Sinne von Art. 6 Abs. 5 der Richtlinie 2002/58 auf Weisung des Diensteanbieters handelt, wenn er für die Verarbeitung von Verkehrsdaten nur auf Anweisung dieses Diensteanbieters und unter dessen Kontrolle handelt. Der zwischen Zessionar und Diensteanbieter geschlossene Vertrag muss insbesondere Bestimmungen enthalten, die die rechtmäßige Verarbeitung der Verkehrsdaten durch den Zessionar gewährleisten und es dem Diensteanbieter ermöglichen, sich jederzeit von der Einhaltung dieser Bestimmungen durch den Zessionar zu überzeugen."

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62012CJ0119:...

oder

http://curia.europa.eu/juris/document/document.jsf?text=&docid=130242&pa...

 

Was die Entscheidung spannend macht? Nun - hier will ein Unternehmen, das aufgrund des Telekommunikationsgeheimnisses strafrechtlich an der Weitergabe von Daten an Dritte gehindert ist, Abrechnungsdaten an ein Factoringunternehmen geben. Der EuGH hält das - vereinfacht gesagt - für zulässig, wenn ein klar konturierter Auftragsvertrag  (ähnlich wie in § 11 BDSG) vereinbart wird. Das sollte anderen Geheimnisträgern (etwa denen aus § 203 StGB) zu denken geben. Durften Ärzte oder Anwälte bislang Patienten/Mandatendaten kaum an externe Dienstleiter weitergeben, könnte ihnen dies aufgrund eine extensiven Auslegung des EuGh-Urteils jetzt erlaubt sein - wenn sie  mit dem Dritten klare Auftrags- und Weisungsverhältnisse vereinbaren. Damit wäre dann ein uraltes Problem des Informationsrechts einer praktikablen Lösung zugeführt.

 

Einen schönen ersten Advent IHr TH

 

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

2 Kommentare

Kommentare als Feed abonnieren

gilt das dann nur für verkehrsdaten? Ist eine Ausdehnung auf Inhalts- oder unter Kombination genauso sensiblen bestandsdaten dann nicht auch denkbar?

 

Der schöne Satz des BVerfG, dass es kein unbedeutendes Datum gibt (BVerfGE 65, 1) ist leider schon so was von outdated...

0

Sie haben das Urteil falsch gelesen. Andersrum wird ein Schuh daraus. Es ging hier gar nicht um Auftragsverarbeitung, sondern um eine besonderes in Art. 6 Abs. 2 geregeltes Rechtsverhältnis. Dies hat hier nach der Norm vorgelegen. Erst dann war Art. 6 Abs. 5 einschlägig und regelt wie das Rechtsverhältnis in diesen Fällen zum Schutz der Daten ausgeformt sein musste. Hätte keine Weisung in diesem Sinne vorgelegen, hätte zwar immer noch ein Rechtsverhältnis nach § 6 Abs. 2 bestanden, aber die Datenverarbeitung wäre rechtswidrig gewesen. Mit anderen Worten: Erst wird geprüft, ob eine Auftragsverarbeitung überhaupt vorliegt in dem was getan werden soll und dann wie diese rechtlich ausgzugestalten ist damit sie rechtskonform datenschutz gewährt.

0

Kommentar hinzufügen