SCHWERPUNKT

Jürgen Bönninger

Mobilität im 21. Jahrhundert:

sicher, sauber, datengeschützt
Fahrer und Gesellschaft müssen im Fahrzeug wie im Straßenverkehr auf den Datenschutz
und die Datensicherheit vertrauen können, so wie seit über 100 Jahren auf Verkehrssicherheit
und seit über zwei Jahrzehnten auf Umweltschutz Verlass ist. „Datenschutz und
Datensicherheit“ sind zukünftig nicht nur Qualitätsmerkmale für Produkte, sondern schaffen
Vertrauen in die Marktwirtschaft und sind damit eine der grundlegenden Voraussetzungen
für die Demokratie. Der Autofahrer muss Möglichkeiten erhalten, wie er das Fahrzeug
datensicher und datengeschützt betreiben kann, indem bereits bei der Konstruktion und
Herstellung von Autos sichergestellt wird, dass die Grundsätze „Privacy by Design“ und
„Privacy by Default“ beachtet werden. Dazu sind wirksame Regelungen auf europäischer
und nationaler Ebene gefordert, in den Vorschriften von UN/ECE, EU und StVZO.

Mit Datenschutz im Auto wird der Bürger gewinnen und die eu-
ropäische Automobilindustrie profitieren.
Seit Beginn der Automobilgeschichte faszinieren Fahrzeuge.
Damit der Straßenverkehr Realität werden konnte, hatten die-
se stets ein Mindestmaß an Sicherheitsanforderungen zu erfül-
len. Eine erste derartige Regelung erließ der Pariser Präfekt im
Jahr 1893. Für jedes Automobil schrieb er zwei voneinander unab-
hängige Bremssysteme und einen feuersicheren Betrieb vor. 1899
wurden die Sicherheitsanforderungen auf Lenkung, Beleuchtung
und Warnsignale erweitert, und das Dekret galt nun landesweit.
Der Fahrer selbst konnte auf diese Sicherheit vertrauen.
Darüber hinaus erfuhr die Fahrzeugtechnik im Zuge des enor-
men Ausbaus des Straßenverkehrs in der zweiten Hälfte des letz-
ten Jahrhunderts besondere öffentliche Aufmerksamkeit durch
die gestiegene Umweltbelastung. In deren Folge wurden die An-
forderungen an die technische Sicherheit um solche, welche die
Umwelt nachhaltig schützen, folgerichtig ergänzt.
Im Automobilsektor hatte und hat technischer Fortschritt sei-
ne Wurzeln vornehmlich in Europa. Ab den 1960er-Jahren wur-
den für Fahrzeuge Komponenten verfügbar, die in Echtzeit Daten
austauschen, womit sich z.B. das Antiblockiersystem (ABS), das
Elektronische Stabilisierungsprogramm (ESP), Adaptive Licht-
systeme und der Spurhalteassistent bis hin zur Automatischen
Dipl.-Ing. Jürgen Bönninger
Geschäftsführer
Zentrale Stelle nach StVG
FSD Fahrzeugsystemdaten GmbH
Notbremse (ANB) realisieren ließen.1 Die Einführung solcher
Systeme, die dem Fahrer assistieren, wurde vorwiegend durch
technische Regelungen der Economic Commission for Europe
(ECE) abgesichert. Die Qualität der Fahrzeugtechnik wird sicher-
gestellt durch entsprechende Vorschriften von UN/ECE, EU so-
wie den nationalen Straßenverkehrszulassungsordnungen. Seit
vielen Jahrzehnten kann jeder Verkehrsteilnehmer dem Gemein-
wohlzweck dieser Regeln vertrauen. Sicherheit und Funktionali-
tät wurden so auch zum Exportschlager.
Mit zunehmender Elektronifizierung der Automobile rück-
ten in den letzten Jahren – parallel zum Umweltschutz und zur
Verkehrssicherheit – Datenschutz und Datensicherheit in das Be-
wusstsein der Nutzer. Noch werden vornehmlich Daten inner-
halb des Autos verarbeitet. Vorbild für die Entwicklung derarti-
ger Systeme ist der Prozess menschlicher Informationsverarbei-
tung. Wie der Fahrer über seine Sinne, so erfassen Sensoren Da-
ten aus der Umgebung. Vergleichbar mit dem menschlichen zen-
tralen Nervensystem werden diese Daten in miteinander vernetz-
ten Verbünden von Steuergeräten verarbeitet, Regelungsgrößen
bestimmt und ausführenden Komponenten im Fahrzeug zuge-
leitet. In den letzten Jahren waren es die Fortschritte der Zusam-
menführung von Daten, die es dem Fahrzeug ermöglichten, ein
detailliertes Bild von der Umgebung zu erheben.
Die Funktion der automatischen Notbremse wird bspw. reali-
siert, indem Kameradaten und Daten der Radar- und Raddreh-
zahlsensoren gemeinsam genutzt werden: Damit lassen sich an-
dere Verkehrsteilnehmer und Hindernisse erkennen, der Abstand
zu diesen ermitteln und im Falle einer zu schnellen Annäherung
eine Bremsung einleiten – ggf. bis zum Stehen des Fahrzeugs.

1 Filme zu ABS, ESP, Adaptiven Lichtsystemen, Spurhalteassistent und ANB

E-Mail: juergen.boenninger@fsd-web.de
unter: http://www.hu-wissen21.de/downloads.html.

388 DuD • Datenschutz und Datensicherheit 6 | 2015


Vom Sicherheitsgewinn solcher Systeme sind in Deutschland
neun von zehn Autofahrern überzeugt.2 Dieses Vertrauen muss
jedoch auch in der Zukunft aufrechterhalten werden.
Zukünftig werden Autos miteinander, mit anderen Verkehr-
steilnehmern und mit der Umgebung Daten austauschen – ver-
netzt fahren. Aufgrund intelligenter Kooperation wird der Stra-
ßenverkehr entscheidend effizienter, sicherer und umweltverträg-
licher. Durch diese Vernetzung wird das Auto Bestandteil des In-
ternets der Dinge. Die rasante technische Weiterentwicklung da-
zu findet zurzeit vornehmlich nicht in Europa statt: Im Gegen-
teil lassen sich von hier aus bei diesem Wettlauf, der maßgebli-
che Veränderungen mit sich bringen wird, zurzeit nur schwache
Impulse wahrnehmen. Führend sind Internetdienstleister, deren
Geschäftsmodelle darin bestehen, Nutzer- und Kundenprofile zu
erstellen, um aus diesen Kenntnissen Profit zu schlagen. Sie sind
festen Willens, nun auch die Teilnahme am Straßenverkehr für
sich zu erschließen, denn Verkehrsumfeld, Fahrzeugbedienung
und Verhalten im Straßenverkehr ergänzen in hervorragender
Weise Persönlichkeitsprofile der Bürger. So locken beispielswei-
se Versicherungen mit vergünstigten Tarifen, wenn der Fahrer
im Gegenzug sein Fahrverhalten offenlegt.3 Von daher ist zu be-
fürchten, dass neben den Grundrechten der europäischen Bürger
auch die europäische Autoindustrie gefährdet ist.
Datensicherheit und Datenschutz müssen im Auto einen glei-
chen Stellenwert bekommen wie heute die Verkehrssicherheit und
die Umweltverträglichkeit. Datensicherheit und Datenschutz sind
bereits beim Design des Autos zu berücksichtigen, sodass die An-
zahl von Fehlern und Lücken proaktiv deutlich gesenkt wird. Der
Autofahrer muss Möglichkeiten erhalten, wie er das Fahrzeug da-
tensicher und datengeschützt betreiben kann. Diese Forderung
wurde auf der Konferenz „Datenschutz und Datensicherheit im
vernetzten Auto“4 nachdrücklich betont. Dabei wurden Vorschlä-
ge zur Aufnahme von Datenschutz und Datensicherheit in das
Zulassungsrecht diskutiert und konkrete, praktikable technische
Lösungen für das Kraftfahrzeug gezeigt. Mit diesen ist bereits bei
der Konstruktion und Herstellung von Autos sichergestellt, dass
der Grundsatz „Privacy by Design“ beachtet wird. Hiernach muss
der Fahrer bzw. der Fahrzeughalter selbst entscheiden können,
ob und wenn ja wer welche Daten verwerten darf. Es reicht nicht
aus, dass der Betroffene nur über Datenerhebungen und -über-
mittlungen informiert und damit vor vollendete Tatsachen ge-
stellt wird. Vielmehr muss zumindest für bestimmte Bereiche der
personenbezogenen Fahrzeugdaten die Einwilligung des Betrof-
fenen in die Datenverarbeitung erklärt werden.
Die transparente Umsetzung dieses Prinzips findet durch die
bereits heute existierenden großzügigen Anzeigemöglichkeiten
im Cockpit des Autos eine gute Grundlage. Mit einer durchdach-
ten Mensch-Maschine-Interaktion können Datenschutzeinstellun-
gen rasch getroffen werden. Im Sinne von „Privacy by Default“ soll-
ten Standardeinstellungen realisiert werden, welche hohen Anfor-
derungen des Datenschutzes genügen. Darüber hinaus muss jeder
Fahrzeugnutzer die Freiheit haben, die Datenschutzeinstellungen
individuell an seine Bedürfnisse anpassen zu können.
2 Continental Studie zu Fahrerassistenten & Autono-
mes Fahren, Dezember 2013: http://www.autonomes-fahren.de/
continental-studie-zu-fahrassistenten-autonomes-fahren/#lightbox/0/.
3 Siehe dazu auch der Beitrag von Schwichtenberg (in diesem Heft).
4 Safer Internet Day 2015 Berlin, „Wohin geht die Fahrt? Datenschutz und Da-
tensicherheit im vernetzten Auto“, 10.02.2015.
DuD • Datenschutz und Datensicherheit 6 | 2015
SCHWERPUNKT
Da Fahrzeuge von verschiedenen Fahrern gefahren werden
und jeder Fahrer eigene Datenschutzeinstellungen treffen kön-
nen muss, sind Überblick und Kontrolle über die auf den jeweili-
gen Fahrer bezogenen Daten auf einfache Art und Weise mit we-
nigen Bedienschritten jederzeit zu ermöglichen. Hierfür ist eine
Anmeldung (Authentifizierung) des Fahrers am Fahrzeug vor-
zusehen, nach der die gewünschten Einstellungen vorgenommen
werden können. Die Aufzeichnung, Anzeige, Löschung und Wei-
tergabe der bei seinen Fahrten entstandenen Daten sind kontrol-
lierbar zu machen.
Bevor personenbezogene Daten das Fahrzeug verlassen, muss
der jeweilige Fahrer darüber informiert werden und sich mit der
Datenübermittlung einverstanden erklären. Der Grundsatz „Pri-
vacy by Design“ beschränkt sich allerdings nicht auf die Entwick-
lung cleverer technischer Lösungen und deren Integration in Sys-
teme, sondern er verpflichtet Technologieentwickler und -herstel-
ler bereits im Planungsprozess zur Prüfung, ob und wie die Men-
gen personenbezogener Daten auf das absolut erforderliche Mini-
mum beschränkt werden können. Nach der Datenschutz-Grund-
verordnung muss der Datenschutz während des gesamten Lebens-
zyklus der Technologie gewährleistet sein, von der frühesten Ent-
wicklungsphase über ihre Einführung und Verwendung bis hin
zur endgültigen Außerbetriebnahme. Durch derartige transpa-
rente Prozesse werden zunächst die Anforderungen der zukünf-
tigen europäischen Datenschutz-Grundverordnung eingehalten.
Gleichzeitig lässt sich das Vertrauen in Autos erhalten.
Dieses Vertrauen wird jedoch beschädigt, wenn die Einfüh-
rung innovativer Systeme für Autofahrer undurchsichtig gestal-
tet wird, wie im Fall von eCall.
Ab 2018 müssen – gesetzlich verpflichtend – alle neuzugelasse-
nen Fahrzeugmodelle mit eCall ausgestattet sein. Das System trägt
dazu bei, dass in Notfällen die Zeit bis zum Eintreffen des Ret-
tungsdienstes verkürzt wird und somit eine bessere Versorgung
der Beteiligten gewährleistet werden kann. Dies wird durch eine
automatische Auslösung bei einem Unfall erreicht oder durch eine
manuelle Betätigung des eCall-Buttons. Übermittelt werden dann
bspw. die zuletzt bekannten geographischen Positionsdaten des
Fahrzeuges, die Fahrzeugkennung und die Fahrtrichtung. Über
den Mindestdatensatz hinaus können optional weitere Informa-
tionen übermittelt werden, die Aufschluss über die Unfallschwe-
re geben, so z.B. die Aufprallgeschwindigkeit und Sitzbelegung im
Fahrzeug. Diese Daten ermöglichen einen effizienteren Ablauf der
Rettung insbesondere in der ersten Stunde nach dem Unfall, wel-
che entscheidend für das Überleben sein kann.
Einer Studie der Fachhochschule Köln zufolge sind 96% der
Autofahrer von der Einführung eines eCall-Systems überzeugt,
gleichzeitig bekunden allerdings 76%, dass sie die fehlende Kon-
trolle über die Weitergabe von Daten störe. Sobald der Fahrzeug-
führer nicht mehr das Gefühl hat, zu wissen, was in seinem Fahr-
zeug und mit den von ihm produzierten Fahrdaten passiert und
wer darauf zugreift, fühlt er sich unsicher und steht der neuen
Technik mit großer Skepsis gegenüber.
Um es nochmal zu betonen: Sowohl eCall, mit dem bei Unfäl-
len automatisch Hilfe herbeigerufen werden kann, als auch As-
sistenzsysteme, die Unfälle vermeiden, sind richtig und wichtig.
Damit diese „elektronischen Assistenten“ wie perfekte Beifahrer
Hilfe rufen, vor Gefahren warnen oder in kritischen Situationen
wie ein Fahrlehrer eingreifen, benötigen sie die Daten aus dem
Verkehrsumfeld und aus dem Fahrzeug selbst. Von diesen Assis-
tenten erwarten wir jedoch, dass ohne unsere Erlaubnis keine In-
389
SCHWERPUNKT
formationen über Ort, Zeit, Fahrzeugzustand, Geschwindigkeit,
Insassen, Regelverstöße, starkes Bremsen etc. an wen auch immer
weitergegeben werden, sondern nur dann, wenn wir, die Fahrer,
im konkreten Fall den Auftrag erteilt haben.
Ein Assistent darf daher nicht von einem geschätzten Mitar-
beiter zu einem ‚Inoffiziellen Mitarbeiter‘ eines Bespitzelungs-
dienstes werden. Autofahrer werden – wie alle, die sich beobach-
tet fühlen, sei es nun durch staatliche oder private Stellen – nur
noch zögerlich von ihren Grundrechten Gebrauch machen. Die
Bewegungsfreiheit als eines der wesentlichen Grundrechte wird
wie auch die Handlungsfreiheit beeinträchtigt, wenn man ‚unter
Beobachtung‘ steht. Darüber hinaus greift das Sammeln von Da-
ten, deren Zusammenführung ein so genanntes ‚Profil‘ ermög-
licht, wesentlich in das Grundrecht auf informationelle Selbstbe-
stimmung ein. Das trifft Rechtsstaat und Demokratie im Mark.
Die Verunsicherung bei der Einführung des Notfallrufsystems
eCall zeigt, wie intransparent wir bisher die Informationsverar-
beitung im und aus dem Auto heraus verhandelt haben. Eine le-
bensrettende Einrichtung wie eCall wird missbraucht, wenn sei-
tens einzelner Dienstleister, die nichts mit der Rettung von Unfal-
lopfern im Sinn haben, damit ein Milliardengeschäft verbunden
wird. Der Wunsch nach Online-Services ist groß. Acht von zehn
Autofahrern begrüßen den Anschluss ihres Fahrzeuges ans Netz
zugunsten internetbasierter Dienste.5 Diese Wunschliste wird an-
geführt von einem Online-Blitzerwarner. Die Autofahrer möch-
ten sich also unbeobachtet fühlen.
Dem gegenüber steht, dass 80% aller deutschen Internetnut-
zer ihre Daten im Internet für unsicher halten und knapp 70%
staatlichen und wirtschaftlichen Stellen im Netz mit Misstrau-
en gegenüberstehen.6 Dabei spielt auch eine Rolle, dass den Staat
eine Pflicht zum Schutz des unantastbaren Kernbereichs priva-
ter Lebensgestaltung vor jeder Verletzung des Rechts auf infor-
mationelle Selbstbestimmung und der Ausprägung als Recht der
Vertraulichkeit und Integrität informationstechnischer Systeme
(Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) trifft. Dies hatte das Bun-
desverfassungsgericht bereits im Jahr 2008 im Urteil zur Verfas-
sungswidrigkeit der „Online-Durchsuchung“ zum Ausdruck ge-
bracht. Ein solcher Kernbereich privater Lebensgestaltung ist in
der (privaten) Nutzung des Autos zu sehen.
Um Fehlentwicklungen entgegenzutreten und gleichzeitig die
Akzeptanz technischer Innovationen seitens der betroffenen
Fahrzeughalter und Fahrer zu stärken, sind wirksame Regelun-
gen für Datenschutz und -sicherheit im Auto – vergleichbar de-
nen für Verkehrssicherheit und Umweltschutz –, auf europäischer
und nationaler Ebene gefordert. Diese müssen ihren Niederschlag
in den Vorschriften von UN/ECE und EU finden. National ist in
der StVZO zu regeln, dass der Datenschutz im Auto nicht durch
nachträgliche Änderungen im Fahrzeug beeinträchtigt werden
5 BITKOM „Sicherheit im Internet erhöhen“, Berlin, 11.02.2014.
6 BITKOM „Sicherheit im Internet erhöhen“, Berlin, 11.02.2014.
390
darf, so wie es heute bereits für die sicherheits- und umweltrele-
vanten Systeme vorgeschrieben ist.
Die bestehende Regelung in § 30 StVZO „Beschaffenheit der
Fahrzeuge“ könnte auf diese Weise ergänzt werden:
(1) Fahrzeuge müssen so gebaut und ausgerüstet sein,
1. dass ihr verkehrsüblicher Betrieb niemanden schädigt oder
mehr als unvermeidbar gefährdet, behindert oder belästigt;
dies gilt auch für ihren Betrieb mit Assistenzfunktionen und auto-
matisierten sowie hochautomatisierten Fahrfunktionen.
2. dass die Insassen und andere Verkehrsteilnehmer insbeson-
dere bei Unfällen vor Verletzungen möglichst geschützt sind
und das Ausmaß und die Folgen von Verletzungen mög-
lichst gering bleiben.
(2) Fahrzeuge müssen in straßen- und umweltschonender sowie
datensicherer und datengeschützter Weise gebaut sein und in dieser
erhalten werden.
(3) Für die Verkehrs- oder Betriebssicherheit wichtige Bauteile
und Komponenten müssen einfach zu überprüfen und leicht
auswechselbar sein; für die für die Sicherheit wichtigen elektroni-
schen Bauteile, Komponenten und Funktionen ist zu gewährleisten,
dass deren
1. Störungen dem Fahrer über Warneinrichtungen angezeigt
und
2. Überprüfung über die elektronische Fahrzeugschnittstelle
unterstützt werden.
Weiterhin sind diese Maßnahmen
™ in die EU-Verordnung über die Betriebserlaubnisse von Stra-
ßenfahrzeugen aufzunehmen,
™ in eine horizontale Richtlinie für die UN/ECE-Regelungen für
Straßenfahrzeuge aufzunehmen,
™ in das Wiener Übereinkommen über den Straßenverkehr auf-
zunehmen (Kontrollierbarkeit der Datenverarbeitung) und
™ in neuen Standards zu „Privacy by Design“ umzusetzen.
Dies gilt auch für die Datensicherheit und -integrität. Die Gefah-
ren, die durch eine Manipulationsmöglichkeit der Datenverar-
beitung für den Straßenverkehr entstehen, müssen durch einen
Datensicherheitsstandard bereits bei der Fahrzeugzulassung ver-
mieden werden. Dazu bedarf es klarer technischer und organisa-
torischer Maßnahmen. Diese sind in die Entwicklungs- und Her-
stellungsprozesse aufzunehmen. Ansonsten droht das Szenario,
dass Computer-Hacker an jeder Ampel lauern könnten, um die
Auswirkungen eines Eingriffs ins Datensystem eines Autos aus-
zuprobieren.
Fahrer und Gesellschaft müssen im Fahrzeug wie im Straßen-
verkehr auf den Datenschutz und die Datensicherheit vertrauen
können, so wie seit über 100 Jahren auf Verkehrssicherheit und
seit über zwei Jahrzehnten auf Umweltschutz Verlass ist. „Da-
tensicherheit und Datenschutz“ sind zukünftig nicht nur Qua-
litätsmerkmale für Produkte, sondern schaffen Vertrauen in die
Marktwirtschaft und sind damit eine der grundlegenden Voraus-
setzungen für die Demokratie.
DuD • Datenschutz und Datensicherheit 6 | 2015

Joachim Rieß, Sebastian Greß
Privacy by Design für Automobile
auf der Datenautobahn
Die Vernetzung des Automobils bringt neue datenschutzrechtliche und
sicherheitstechnische Herausforderungen mit sich, die von den Herstellern bereits bei
der Entwicklung neuer Technologien zu berücksichtigen sind. Der Beitrag erläutert
beispielhaft anhand intelligenter Sensorik, Verschlüsselung von Kommunikation und
Wahlmöglichkeiten bei der Nutzung von Fahrzeugdiensten, wie durch Privacy by
Design Datenschutz und -sicherheit in die Fahrzeugentwicklung einfließen können.
1 Rechtliche Gestaltungsanforderungen
– Risiken für geschützte Rechtsgüter
Wir stehen vor einer Dekade des Zusammenwachsens von Tele-
kommunikationstechnik und automobiler Fahrzeugtechnik. Die
in den Fahrzeugen verbaute Elektronik hat sich seit 30 Jahren
zunehmend zu einem vernetzten datenverarbeitenden System in
den Fahrzeugen selbst entwickelt. Der Nutzen einer Vernetzung
ist beim Automobil besonders sinnfällig. Andere Verkehrsträger
wie Bahn, Flugzeuge und Schiffe sind von ihrem technologischen
Ansatz bereits vernetzt und ermöglichen schon seit langem au-
tomatische Steuerungen. Beim Automobil besteht hier noch ein
großes Potential umweltfreundlicherer, sicherer und effektiverer
Verkehrssteuerung.
Diese Veränderung berührt den Charakter des Automobils.
Das Automobil erlaubt in den Grenzen der Infrastruktur grund-
sätzlich eine unvernetzte freie Mobilität. Diese unvernetzte freie
Mobilität ist Teil der starken emotionalen Attraktivität des Au-
tomobils. Die individuelle Bewegungsfreiheit des Menschen er-
Dr. Joachim Rieß
Rechtsanwalt, Konzernbeauftragter
für den Datenschutz der Daimler AG
E-Mail: joachim.riess@daimler.com
Sebastian Greß
Rechtsanwalt, Leiter Datenschutz
Kundendaten der Daimler AG
E-Mail: sebastian.gress@daimler.com
DuD • Datenschutz und Datensicherheit 6 | 2015
SCHWERPUNKT
höht sich enorm. Dies macht das Automobil in besonderer Wei-
se zu einem Gegenstand von Individualität. Diese Eigenschaften
des Automobils sind ein Alleinstellungsmerkmal gegenüber allen
anderen Verkehrsträgern. Selbst wenn sie individuell verfügbar
sein sollten, wie z. B. Schiffe und Privatflugzeuge, ist ihre Nutzung
viel voraussetzungsvoller. Man braucht Genehmigungen, Perso-
nal, und ihre Nutzung erfordert seit langem Funkvernetzung. Das
Automobil hingegen kann jeder, der einen Führerschein hat, ohne
weitere Voraussetzungen nutzen. Das Automobil vergrößert in-
dividuell als Maschine diese Freiheitsoption des Menschen. Die-
se Verknüpfung macht das Automobil für die Existenzbedingun-
gen des Menschen zu einer besonderen Maschine, die deshalb
emotional neben Individualität auch mit Freiheit besetzt ist. Das
Fahrzeug wird vielfach als Teil der Privatsphäre verstanden – so-
wohl der Fahrzeuginnenraum als auch das Wo und Wohin jeder
einzelnen Fahrt.
Eine weitere Grundbedingung von Freiheit ist die freie Kom-
munikation. Freie Kommunikation zeichnet sich durch Mei-
nungsfreiheit und durch unkontrollierte Individualkommuni-
kation aus. Die Freiheit der Kommunikation ist immer latent ge-
fährdet durch Zensur und durch Kontrolle der Individualkom-
munikation. Beide Dimensionen, die Garantie der Meinungsfrei-
heit und die unkontrollierte Individualkommunikation sind un-
abdingbare Bedingungen der Kommunikationsfreiheit. Das In-
ternet hat diese Kommunikationsfreiheit enorm erweitert. Eine
globale individuelle multimediale Kommunikation ist möglich
geworden.
Freizügigkeit und freie Kommunikation sind Grundbedingun-
gen der Freiheit. Mit der Vernetzung des Automobils wird dieses
zum Objekt beider Freiheitsgarantien. Durch Vernetzung wird
Mobilität in einer ganz neuen Dimension kontrollierbar. Dage-
gen lässt sich zu Recht einwenden, dass diese Entwicklung längst
eingetreten ist. Die Menschen sind über die Mobilfunktechno-
logie bereits ortsungebunden vernetzt und damit über Handys,
Smartphones, Tablet-Computer und Laptops zu orten. Dass dies
nicht nur gezielt zu Ermittlungszwecken erfolgt, sondern diese
Metadaten auf Vorrat zu potentiellen zukünftigen Auswertun-
gen erfasst werden, hat Edward Snowden zum Gegenstand einer
globalen Debatte gemacht. Insofern werden mit dem vernetzten
Fahrzeug die Metaspuren, die jeder im Netz hinterlässt, weiter
391
SCHWERPUNKT
vervollständigt. Aber diese Ergänzung des digitalen Kontrollpo-
tentials hat das Ausmaß einer weiteren Dimension. Es lässt sich
zukünftig nicht nur potentiell feststellen, wo welches Fahrzeug
fährt, sondern es ist auch möglich, über die Fahrzeuge selbst vie-
le weitere Daten zu erheben. Die Sensortechnik der Fahrzeuge
liefert neben dem technischen Zustand und der Bewegung des
Fahrzeuges selbst viele interessante Umgebungsdaten, die für vie-
le sinnvolle Anwendungen genutzt werden können. Damit muss
in den Mittelpunkt der Debatte rücken, wer über diese Daten zu
welchen Zwecken verfügen darf. Diese Verfügungsrechte müs-
sen im Lichte der Freiheitsrechte von Mobilität und Kommuni-
kation betrachtet werden.
Die grundrechtlichen Bezugspunkte dieser Betrachtung sind
in Deutschland:
™ das Recht auf informationelle Selbstbestimmung, das das Bun-
desverfassungsgericht 1983 aus der Menschenwürde und der
freien Entfaltung der Persönlichkeit entwickelt hat;1
™ das Recht auf Integrität und Vertraulichkeit informationstech-
nischer Systeme, das das Bundesverfassungsgericht 2008 in der
Entscheidung zur Online-Überwachung dargelegt hat;2
™ die Gewährleitung des Fernmeldegeheimnisses in Art. 10 GG;
™ die Gewährleistung der Privatsphäre im Fahrzeuginnenraum3,
die zumindest Bezüge zur Unverletzlichkeit der Wohnung in
Bezug auf das Abhören aufweisen kann;
Die konkretisierenden Rechtsmaterien wie das Datenschutz-
recht, das Telekommunikationsrecht, das Strafrecht, das Polizei-
recht und das Recht der Nachrichtendienste müssen in den Blick
genommen werden, um die Mobilitäts- und Kommunikations-
freiheit in diesem Jahrhundert zu gewährleisten. Die Gefährdun-
gen, die durch den technischen Zuwachs von Daten für die Frei-
heitsrechte entstehen, müssen abgeschätzt und ihre Verfassungs-
verträglichkeit bewertet werden. Diese Bewertungen sind eine
Basis für gesetzgeberisches Handeln und die Rechtsfortbildung,
welcher rechtsstaatlichen Grenzen die Zugriffsmöglichkeiten auf
die genannten Daten bedürfen. Eine weitere wichtige Dimensi-
on ist die Verletzlichkeit dieser Infrastrukturen. Zur Zeit zielen
die Angriffe im Internet im Wesentlichen auf Daten und Geld-
transaktionen. Dass über das Internet Infrastrukturen und auch
gezielt die Steuerung von Industrieanlagen angegriffen werden
können, wurde mit dem Virus Stuxnet längst bewiesen. Im „In-
ternet der Dinge“ können dann auch die Geräte jedes Individu-
ums angegriffen und potentiell fremdgesteuert werden. Dies stellt
bei Fahrzeugen, deren Fehlsteuerung Leib und Leben gefährden
kann, besondere Anforderungen an deren Sicherheit. Die Vernet-
zung seines Fahrzeuges kann deshalb ebenso wenig in der Dis-
positionsfreiheit des Einzelnen stehen wie das Inverkehrbringen
von Fahrzeugen selbst. Den Herstellern wachsen damit bei ver-
netzten Fahrzeugen Sicherheitsobliegenheiten in der Informati-
onstechnik und Telekommunikation zu.
2 Methodischer Ansatz Privacy by Design
Das Rechtssystem kann und soll nur generell und abstrakt An-
forderungen und Grenzen formulieren sowie Tatbestände für
Sanktionen und Haftung festlegen. Dies gilt insbesondere im
1 BVerfG, Urteil vom 15.12.1983 – 1 BvR 209/83 u. a. = BVerfGE 65, 1.
2 BVerfG, Urteil vom 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07 = BVerfGE 120,
274.
3 BGH, Urteil vom 22.12.2011 – 2 StR 509/10 = DuD 2012, 604.
392
Bereich des Technikrechts. Rechtliche Anforderungen im Be-
reich der technischen Sicherheit müssen so formuliert werden,
dass sie technikoffen sind und nicht bestimmte technische Lö-
sungen vorschreiben.
Umgekehrt stellen sich für diejenigen, die Technik in den Ver-
kehr bringen folgende Fragen:
™ Wie lassen sich die Risiken, die durch technische Produkte für
geschützte Rechtsgüter entstehen können, identifizieren?
™ Wie lässt sich das Risiko der Verletzung von Rechtsgütern re-
duzieren?
™ Wie kann dies bereits methodisch in die Technikgestaltung mit
einfließen?
™ Lässt sich dafür ein Konzept wie Privacy by Design, dessen Ent-
wicklung von einer kanadischen Datenschutzaufsichtsbehörde4
stark vorangetrieben wurde, nutzen?
In einer Resolution, die auf der 32. Internationalen Konferenz der
Datenschutzbeauftragten 2010 verabschiedet wurde, wurden die
Privacy by Design Prinzipien als „wesentlicher Bestandteil fun-
damentalen Datenschutzes“ bezeichnet.5 Auch Bundesjustizmi-
nister Heiko Maas hat dies jüngst im Rahmen des Safer Internet
Day zum Ausdruck gebracht.6
Ziele von Privacy by Design sind:
™ Einhaltung gesetzlicher Anforderungen
™ Umsetzung von Policies und Standards
™ Schutz des Kunden
™ Implementierung in den Entwicklungsprozess von Produkten
™ interdisziplinärer Ansatz
™ kundenfreundliche benutzerorientierte Lösungen
Datenschutz soll nicht erst in Form von Einwilligungen oder Ver-
trägen Berücksichtigung finden7, sondern bereits in die Entwick-
lung von Technologien einbezogen werden. Dies zielt darauf ab,
auch für den Betroffenen eine einfache Steuerung der Verarbei-
tung seiner Daten zu ermöglichen und so wenige Daten wie mög-
lich zu verarbeiten. Ob und wie dies möglich ist, soll im Folgen-
den an einigen Beispielen für intelligente Sensorik, für die Wahl-
möglichkeiten bei der Nutzung von Fahrzeugdiensten, bei der
Vernetzung und für die Löschung von Daten erhöht werden.
2.1 Intelligente Sensorik
Zahlreiche Funktionen moderner Fahrzeuge sind auf die Erfas-
sung von Informationen durch Sensoren angewiesen, um den
Fahrer beim Betrieb des Fahrzeugs zu unterstützen. Teilweise
handelt es sich dabei eher um Komfortfunktionen, wie die auf
Ultraschall basierende PARKTRONIC, die den Abstand zu in der
direkten Fahrzeugumgebung befindlichen Hindernissen anzeigt.
Vielfach handelt es sich jedoch um Funktionen, die der Sicher-
heit dienen. Die Entwicklung ging dabei von Sensoren, die Zu-
4 Vgl. Cavoukian, Privacy by Design – Die 7 Grundprinzipien, https://www.
privacybydesign.ca/content/uploads/2009/08/7foundationalprinciples-german.
pdf (zuletzt abgerufen am 11.03.2015).
5 http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungs-
sammlung/IntDSK/2010PrivacyByDesign.pdf?__blob=publicationFile&v=1 (zu-
letzt abgerufen am 30.3.2015).
6 Vgl. Rede des Bundesministers der Justiz und für Verbraucherschutz Heiko
Maas zur Eröffnung der gemeinsamen Konferenz von BMJV und BITKOM zum Sa-
fer Internet Day am 10. Februar 2015 in Berlin, http://www.bmjv.de/SharedDocs/
Reden/DE/2015/20150215-Safer-Internet-Day-2015.html?nn=1477162 (zuletzt ab-
gerufen am 12.03.2015).
7 Weichert, SVR 2014, 241 (242) formuliert das mit Blick auf Datenschutzin-
formationen in Privacy Policies und Nutzungsbedingungen etwas überspitzt als
„unklare Buchstabenwüsten“.
DuD • Datenschutz und Datensicherheit 6 | 2015

stände und Verhalten des Fahrzeugs selbst erfassen (z.B. bei ABS
und ESP), zu solchen Sensoren, die die Umgebung erfassen, um
die eigene Fahrzeugposition und das Verhalten anderer Verkehr-
steilnehmer im Verkehrsgeschehen noch besser einschätzen zu
können. Beispielsweise warnt der Spurhalteassistent den Fahrer,
wenn er unbeabsichtigt die Fahrspur nicht einhält und damit
sich und andere Verkehrsteilnehmer gefährden könnte. Die Er-
fassung der Daten für die Funktion des Spurhalteassistenten wird
durch die Kombination eines Stereo-Kamerabildes mit mehreren
Radarsensoren erzeugt. Um potentielle Verletzungsfolgen eines
Front- oder Heckanpralls durch Vorbereitung des Fahrzeugs (z.B.
Straffung der Sicherheitsgurte) zu mildern, nutzt die PRE-SAFE
PLUS-Funktion mehrere Radarsensoren, mit denen die Fahrzeu-
gumgebung erfasst wird. Für diese und andere Assistenzfunktio-
nen sind moderne Fahrzeuge mit Stereo-Kameras mit 3D-Funk-
tionalität sowie weiteren Kameras, Fern- und Nahbereichsradar,
Ultraschallsensoren, Nah- und Fernbereichs-Infrarot-Kameras
und Lenkwinkelsensoren ausgestattet.
Eine noch größere Bedeutung erhalten die Sensoren bei der
Entwicklung des automatisierten Fahrens bis hin zum vollau-
tomatisierten Fahren.8 Die Erfassung der näheren und weiteren
Umgebung ist zwingende Voraussetzung, damit das Fahrzeug
selbsttätig, also autonom fahren kann.
Am Beispiel der Stereo-3D-Kamera, welche heute bereits in ei-
nigen Mercedes-Benz-Fahrzeugmodellen eingesetzt wird und die
für die Erfassung des Verkehrsraumes für das automatisierte Fah-
ren eine große Bedeutung hat, soll das datenschutzfreundliche
Design aufgezeigt werden. Eine wesentliche Aufgabe der Kame-
ra besteht darin, durch Erfassung der Umgebung und der in der
Umgebung befindlichen weiteren Verkehrsteilnehmer den poten-
tiell befahrbaren Raum zu ermitteln. In der näheren Umgebung
befindliche Objekte, die sich nicht oder langsamer bewegen oder
gar entgegenkommen, stellen eine größere Gefahr dar als entfern-
te Objekte, die sich ggf. sogar mit größerer Geschwindigkeit ent-
fernen. Für das Fahrzeug ist es unerheblich, welches Kfz-Kenn-
zeichen ein vorausfahrendes Fahrzeug hat oder welcher Fußgän-
ger die Straße überquert. Das Bild wird daher noch im Kamera-
modul in Objekte und deren Größe, Entfernung und Bewegungs-
richtung umgerechnet. Dadurch erkennt das Fahrzeug, ob es auf
der vorgesehen Strecke fahren kann, ausweichen oder gar anhal-
ten muss. Das eigentliche Kamerabild wird umgehend verwor-
fen. Illustriert werden kann diese Vorgehensweise durch so ge-
nannte „Stixel-Grafiken“.
2.2 Vernetzung
Neben der Verarbeitung von Daten im Fahrzeug und der Erfas-
sung der Umgebung für Fahrfunktionen schreitet auch die Ver-
netzung des Fahrzeugs als Teil des Internets der Dinge voran.
Unterschiedlichste Dienste können durch eine Verknüpfung er-
bracht werden. Diese reichen von reinen Entertainment-Ange-
boten über fahrzeug- oder verkehrsbezogene Dienste bis hin zur
Kommunikation zwischen Fahrzeugen untereinander bzw. zwi-
schen Fahrzeugen und Infrastruktur (Car2X).
8 Der Begriff des „automatisierten Fahrens“ umfasst verschiedene Stufen be-
ginnend mit dem durch Assistenzsysteme unterstützten Fahren bis hin zum voll-
automatisierten Fahren (Letzteres wird häufig auch als „autonomes Fahren“ be-
zeichnet). Zu den einzelnen Stufen siehe: http://www.bmvi.de/DE/Digitales/
DigitalUndMobil/AutomatisiertesFahren/automatisiertes-fahren_node.html (zu-
letzt abgerufen am 02.04.2015).
DuD • Datenschutz und Datensicherheit 6 | 2015
SCHWERPUNKT
Abbildung 1 | Illustration von unterschiedlich entfernten
und sich unterschiedlich bewegenden Objekten mit „Sti-
xel-Grafiken“
Beispiele für fahrzeugbezogene Dienste sind die Mercedes
connect me Basis- und Remote Online-Dienste. Die Basisdiens-
te übertragen Wartungs- und Panneninformationen einschließ-
lich des Pannenortes an einen vom Kunden ausgewählten Händ-
ler bzw. ein Service Center, um die Mobilität sicher- bzw. wieder
herzustellen. Bei den Remote Online-Diensten kann der Kunde
Statusinformationen wie Tankfüllstand, Reichweite und Laufleis-
tung online abrufen oder die Standheizung programmieren. Da-
rüber hinaus kann z.B. der Parkplatz des Fahrzeugs im Umkreis
von 1,5 km auf einer Karte angezeigt werden.
Die dafür erforderliche Kommunikation muss geschützt wer-
den, um das je nach Ausgestaltung der Kommunikation beste-
hende Fernmeldegeheimnis zu wahren9 und um das Fahrzeug
gegen Angriffe von außen zu schützen. Erfolgreiche Angriffe von
außen könnten einen Diebstahl eines Fahrzeugs ermöglichen und
damit in Eigentumspositionen eingreifen. Darüber hinaus könn-
te eine erfolgreiche Manipulation einer Fahrfunktion von außen
Gefahr für Leib und Leben von Fahrzeuginsassen und Dritten
bedeuten.
Die Abwendung dieser Risiken kann durch unterschiedliche
Maßnahmen erfolgen:
™ Verschlüsselung der Kommunikation
™ Domänentrennung (z.B. Trennung von Entertainment- und
Fahrfunktionen im Fahrzeug)
™ Penetration Tests
™ Codeanalysen
Sichergestellt werden kann dies durch eine verschlüsselte Kom-
munikation über ein Vehicle Backend System des Fahrzeugher-
stellers. Dadurch können schadhafte Inhalte unabhängig vom
Softwarestand im Fahrzeug ausgefiltert werden.
Darüber hinaus kann das Vehicle Backend genutzt werden,
um eine anonymisierte Dienstenutzung zu ermöglichen. Ein
Beispiel dafür ist der Dienst LiveTraffic. Der Dienst ermöglicht
die Verwendung genauer Verkehrsdaten für die Navigation. Die
Verkehrsdaten basieren auf so genannten floating car data10. Das
Fahrzeug ist dabei nicht nur Empfänger von Verkehrsinformati-
onen, sondern unterstützt zugleich durch regelmäßige Aussen-
dung der Fahrzeugposition die Erstellung eines möglichst genau-
en Verkehrslagebildes durch einen Verkehrsdatenanbieter. Die
Kommunikation zwischen Fahrzeug und Vehicle Backend erfolgt
9 Zur Einordnung als Telekommunikations- bzw. Telemediendienst s. Rieß/
Agard, Der Schutz von Kundendaten im Kontext des vernetzten Fahrzeugs, PinG
2015, Heft 3, i.E.
10 Durch regelmäßig aus Fahrzeugen ausgesandte Uhrzeit- und Positions-
daten kann die Fahrtrichtung und Geschwindigkeit für eine bestimmte Strecke
ausgerechnet und ein Stau erkannt werden. Die Mehrheit solcher Informationen
stammt aktuell noch aus anonymisierten Daten der Mobilfunkprovider oder von
mobilen Navigationsgeräten, da es für ein übergreifendes Staubild auf Massen-
daten ankommt und noch zu wenige Fahrzeuge mit einer solchen Funktionalität
ausgestattet sind.
393
SCHWERPUNKT
auf Basis der VIN11, um eine Rücksendung der für den Fahrer re-
levanten Ergebnisse zu ermöglichen. Im Vehicle Backend werden
die Daten anonymisiert und ohne VIN unter Verwendung einer
Session ID an den Verkehrsdatenanbieter übertragen. Die Session
IDs werden regelmäßig gewechselt, damit der Verkehrsdatenan-
bieter aus den gesendeten Daten kein Profil bilden kann. Eine
Speicherung der Positionen im Vehicle Backend findet nicht statt.
Bei Car2X übertragen Fahrzeuge Warnmeldungen, die entwe-
der durch Fahrzeugzustände (z.B. Auslösung Airbag, Warnblink-
anlage) oder durch manuelle Eingabe des Fahrers ausgelöst wer-
den, und empfangen im Gegenzug Informationen über Gefahr-
stellen (z.B. Unfälle, Stauenden hinter Kurven). Die an die Fahr-
zeuge gesandten Informationen stammen dabei nicht nur von an-
deren Fahrzeugen, sondern können beispielsweise auch von ent-
sprechend ausgestatteter Verkehrsinfrastruktur (wie z.B. mobi-
len Baustellenbaken) ausgesendet werden. Car2X unterstützt da-
mit durch frühzeitige Information vorausschauendes und siche-
res Fahren und trägt durch die Optimierung von Verkehrsflüs-
sen darüber hinaus auch zur Steigerung von Komfort und Um-
weltfreundlichkeit bei. Die Übertragung von Car2X-Nachrichten
muss ebenfalls nicht personenbezogen erfolgen. Der Empfänger
muss nicht wissen, welches Fahrzeug die Daten gesendet hat. Al-
lerdings muss bei einem übergreifenden und den gesamten Ver-
kehr betreffenden System sichergestellt sein, dass keine Warnmel-
dungen gefälscht werden können und Sender, die falsche Infor-
mationen senden, aus dem System ausgeschlossen werden kön-
nen. Daher ist eine anonyme Versendung von Car2X-Informatio-
nen bislang nicht möglich. Durch eine Pseudonymisierung kann
der Datenschutz sichergestellt werden. Zugleich ist es aber mög-
lich, Versender missbräuchlicher Nachrichten anhand der Pseu-
donyme auszuschließen oder sofern notwendig zu identifizieren.
2.3 Transparenz und Selbstbestimmung
Unter Datenschutzgesichtspunkten spielt die Transparenz der
Datenverarbeitung eine wesentliche Rolle für den Betroffenen.
Erst auf Basis der Kenntnis der Datenverarbeitung kann er sei-
ne informationelle Selbstbestimmung ausüben und sein Verhal-
ten ausrichten.
Zentrales Element der Information im Fahrzeug ist die Be-
triebsanleitung. Mit den mittlerweile verfügbaren interaktiven
Betriebsanleitungen lassen sich Informationen viel benutzer-
freundlicher gestalten. Eine wichtige Rolle werden in Zukunft
Icons spielen, die einfache Information und Bedienung ermög-
lichen.
Ein Beispiel für die Möglichkeit, über die Datenverarbeitung zu
bestimmen, ist der Pannenruf „Mercedes-Benz Contact“. Dabei
werden Daten zum Fahrzeugstandort erst übertragen, wenn dies
durch Tastendruck im Fahrzeug bestätigt wird.
Möchte ein Kunde sein Fahrzeug mit den Mercedes connect
me-Diensten verknüpfen, so setzt dies den Abschluss gesonder-
ter Nutzungsbedingungen voraus. In den Nutzungsbedingungen
wird die Datenverarbeitung umfassend erläutert. Bei Abschluss
der Nutzungsbedingungen kann der Kunde auswählen, welche
Dienste er in Anspruch nehmen möchte. Erst danach werden die
jeweiligen Dienste freigeschaltet. Im mercedes.me-Portal kann
11 VIN= Vehicle Identification Number (deutsch: FIN= Fahrzeugidentifikati-
onsnummer); international genormte 17-stellige Nummer, mit der ein Kraftfahr-
zeug eindeutig identifizierbar ist.
394
der Kunde Dienste auch nachträglich jederzeit deaktivieren und
wiederum aktivieren.
Besonders sensible Dienste, wie die Fahrzeugortung, werden
durch ein Symbol im Fahrzeug angezeigt und aus dem Fahrzeug
heraus kann die Deaktivierung veranlasst werden.
Beim Mercedes-Benz Notruf werden aufgrund eines manuell
ausgeführten Notrufs oder eines automatischen Notrufs bei Aus-
lösung von Rückhaltesystemen (z.B. Auslösung des Airbag) Da-
ten zu Position, Fahrtrichtung und Fahrzeugbesetzung an eine
Notrufzentrale übertragen, die dann einen telefonischen Kontakt
mit den Fahrzeuginsassen herzustellen versucht, um unabhän-
gig davon, ob ein Gesprächskontakt zustande kam, die notwen-
dige Hilfe zu organisieren. Neben den übertragenen Daten wird
zur Ermöglichung der Hilfeleistung der Sprachnotruf aufgezeich-
net. Für Zwecke der Beweisführung werden die Aufzeichnungen
aber lediglich ohne den Sprachanteil des Kunden archiviert. Der
Mercedes-Benz Notruf kann lediglich nach schriftlicher Kunden-
bestätigung in der Werkstatt abgeschaltet werden, da es sich um
ein wesentliches Sicherheitsmerkmal handelt.
2.4 Löschung
Die Speicherung von Daten im Fahrzeug setzt die Entwicklung
differenzierter Speicher- und Löschkonzepte auf Basis des ver-
folgten Zwecks voraus, um Daten nicht länger als erforderlich zu
speichern. Schon bei der Speicherung ist zu prüfen, welche Da-
ten erforderlich sind, um die Anforderungen aus Funktionen und
Diensten zu erfüllen. Durch Verzicht auf Daten oder Verknüp-
fungen in der Speicherung kann ein Personenbezug vermieden
werden, wenn dieser für die jeweilige Funktion oder den jeweili-
gen Dienst nicht erforderlich ist.
Eine Löschung kann durch das Auslösen eines Triggers, nach
Ablauf einer bestimmten Zeit oder durch Überschreiben eines
Ringspeichers erfolgen.
Letzteres Verfahren kann beispielsweise zur Datenspeicherung
für Beweisfragen beim automatisierten Fahren12 angewandt wer-
den. Gespeicherte Daten werden immer wieder überschrieben
und nur im Falle eines Unfalls verbleiben die letzten Daten ge-
speichert.
Ein Beispiel für die Löschung von Daten durch Auslösung eines
Triggers ist die Müdigkeitserkennung „Attention Assist“. Der At-
tention Assist wertet einige Fahrparameter aus, um Fahrverhal-
tensänderungen, die typische Anzeichen für eine Müdigkeit dar-
stellen, erkennen zu können. Zu diesem Zweck müssen die Daten
über den Zeitraum der Fahrt zum Vergleich gespeichert werden.
Mit Öffnen der Fahrertür werden die Daten gelöscht, davon aus-
gehend, dass eine Pause oder ein Fahrerwechsel erfolgt.
Die allerwenigsten Steuergeräte speichern Daten permanent
und ohne Löschung. Bekanntestes Beispiel ist der Wegstrecken-
zähler: Nachdem das mechanische Rollenzählwerk durch seinen
digitalen Nachfolger inzwischen fast vollständig aus der Instru-
mententafel verdrängt wurde, aber einen Hauptfaktor bei der Be-
wertung eines Fahrzeuges darstellt, muss sichergestellt werden,
dass dieser die Laufleistung permanent speichert. Hierzu muss
das entsprechende Steuergerät die Laufleistung zusammenzählen
und darf diese auch nicht löschen oder überschreiben.
12 s. Empfehlung Deutscher Verkehrsgerichtstag 2015, S. 2
http://www.deutscher-verkehrsgerichtstag.de/images/empfehlungen_pdf/
empfehlungen_53_vgt.pdf (zuletzt abgerufen am 30.3.2015).
DuD • Datenschutz und Datensicherheit 6 | 2015

3 Verantwortliche Stelle
Ein wichtiger datenschutzrechtlicher Anknüpfungspunkt für die
technischen und organisatorischen Schutzmaßnahmen ist die
„verantwortliche Stelle“. Wer aber ist die verantwortliche Stel-
le für die im vernetzten Fahrzeug verarbeiteten Daten? Zur Be-
antwortung dieser Frage muss unterschieden werden, wer welche
Datenverarbeitung vornimmt.
Moderne Fahrzeuge verarbeiten während des regulären Be-
triebs eine ganze Reihe von Informationen. Damit z.B. das elek-
tronische Stabilitätsprogramm ESP zur Stabilisierung des Fahr-
zeugs beitragen kann, muss es Daten wie Geschwindigkeit, Quer-
und Längsbeschleunigung, Drehzahlen der einzelnen Reifen, die
Stellung des Gaspedals und den Winkel des Lenkrades kennen.
Ohne diese technischen Daten vermag das System eine kritische
Situation nicht richtig zu erkennen, also Abweichungen vom be-
rechneten zum tatsächlichen Fahrzeugverhalten. Das Gleiche gilt
etwa für Ultraschall-Parksensoren, Radarsensoren für Totwinke-
lassistenten und Regensensoren. Sie alle verarbeiten mittels tech-
nischer Sensordaten Umgebungswerte und steuern damit Fahr-
zeugsysteme.
Einige Steuergeräte enthalten zwar Datenspeicher, in denen In-
formationen dauerhaft erhalten bleiben. Hierbei handelt es sich
ganz überwiegend aber lediglich um sog. Fehlerdatenspeicher, die
eine schnelle Diagnose von technischen Defekten bzw. deren Ur-
sachen erlauben. Vielfach werden diese Speicher auch schon ge-
löscht, wenn der Fehler nicht mehr besteht, weil z.B. der Fahrer
den Reifendruck korrigiert hat.
Diese Daten sind zunächst technische Daten, die den Zustand
von Fahrzeugsystemen beschreiben. Einer bestimmten oder be-
stimmbaren natürlichen Person können diese technischen Da-
ten erst zugeschrieben werden, wenn im Einzelfall Zusatzwissen
hinzutritt. Wenn mit dem Zusatzwissen diese Daten personen-
beziehbar sind, muss datenschutzrechtlich die Frage beantwor-
tet werden, wer die verantwortliche Stelle ist.
Nach § 3 Abs. 7 BDSG ist verantwortliche Stelle „jede Person
oder Stelle, die personenbezogene Daten für sich selbst erhebt,
verarbeitet oder nutzt oder dies durch andere im Auftrag vorneh-
men lässt.“ Die EU-Richtlinie 95/46/EG definiert die Verantwort-
lichen in Art. 2 Buchst. d S. 1 als Stelle, „die allein oder gemein-
sam mit anderen über die Zwecke und Mittel der Verarbeitung
von personenbezogenen Daten entscheidet.“ Daraus lässt sich ab-
leiten, dass die Eigenschaft als verantwortliche Stelle nicht streng
an den Besitz und die physische Herrschaft über den Verarbei-
tungsprozess gebunden ist.13 Der Fahrzeughersteller entscheidet
durch die Programmierung der Steuergeräte über die Zwecke und
Mittel der Verarbeitung der Daten. Zur Ermittlung der jeweiligen
verantwortlichen Stelle ist zudem darauf abzustellen, wer für wel-
che Daten und welche Phasen des Umgangs mit den Daten ver-
antwortlich ist.14 In der Regel wird der Hersteller als verantwort-
liche Stelle für die Datenverarbeitung, die sich auf die Fahrzeug-
funktionen bezieht, anzusehen sein. Die Bundesregierung vertritt
zutreffend die Auffassung, dass in den Fällen, in denen der Be-
troffene selbst die Datenherrschaft mangels notwendiger Gerät-
schaften oder Kenntnisse nicht oder nicht effektiv ausüben kann,
grundsätzlich von einer Datenherrschaft und damit der Eigen-
13 Vgl. auch Dammann, in: Simitis, BDSG, 8. Auflage 2014, § 3 Rn. 225.
14 Vgl. Schulz/Roßnagel, ZD 2012, 510 (513).
DuD • Datenschutz und Datensicherheit 6 | 2015
SCHWERPUNKT
schaft als verantwortliche Stelle bei demjenigen auszugehen ist,
der diese Gerätschaften und Kenntnisse besitzt.15
Wenn der Halter oder Nutzer eines Fahrzeugs Daten selbst er-
zeugen und verarbeiten kann, sind ihm die personenbezogenen
Daten auch zuzurechnen.16 Der Halter oder Nutzer ist also bei-
spielsweise für die Daten verantwortlich, die er selbst in die As-
sistenzsysteme eingibt wie z.B. Adress- und Telefondaten, Musik,
Ziele usw. Er unterliegt jedoch bei einer Privatnutzung nach § 1
Abs. 2 Nr. 3 BDSG nicht dem BDSG.
Greifen Dritte, z.B. herstellerunabhängige Werkstätten, auf
diese Daten zu, werden auch sie verantwortliche Stelle für die aus-
gelesenen Daten, sofern diese personenbezogen sind. Verantwort-
liche Stelle ist der Hersteller auch dann nicht, wenn Zulieferer ei-
gene Speicher in gelieferten Teilen verbauen, über die der Her-
steller keine Datenherrschaft hat. Angesichts der Komplexität bei
mehrpolaren Verhältnissen – beispielsweise zwischen Fahrzeug-
hersteller, Halter, Fahrer, Werkstatt, und Verkehrsdienst-Anbie-
ter – plädiert die Bundesregierung dafür, „das System der daten-
schutzrechtlichen Verantwortlichkeiten im Zuge der Verhand-
lungen einer Datenschutz-Grundverordnung auf EU-Ebene fort-
zuentwickeln“.17
Für die technischen und organisatorischen Maßnahmen stellt
sich die Frage der „verantwortlichen Stelle“ unabhängig davon,
ob die dargestellten technischen Daten personenbezogen sind
oder nicht.
Der Hersteller ist aus Gründen der Produkthaftung verpflich-
tet, seine Produkte am Markt zu beobachten. Dabei ist der Grad
der Produktbeobachtungspflicht auch am Reifegrad des jewei-
ligen Produktes festzumachen und gerade bei komplexen Neu-
entwicklungen auch intensiver.18 Darunter fällt zum Beispiel die
Speicherung von Störungen im Fehlerspeicher von Steuergeräten.
Da die Produktbeobachtungspflicht den Hersteller bindet, han-
delt es sich hierbei auch um seine Datenverarbeitung.
Unstreitig ist der Personenbezug hingegen bei Daten im Rah-
men der Nutzung vernetzter Dienste, bei denen die Verknüpfung
der Daten mit einer Person gerade der Kern des Dienstes ist. Hier
ist der Teledienste- bzw. Telekommunikationsanbieter auch die
verantwortliche Stelle.
4 Datenarchitektur
Um die Frage der Verantwortlichkeit jeweils zuordnen zu können
und daraus die richtigen Gestaltungsoptionen abzuleiten, haben
sich die Hersteller im Verband der Automobilindustrie (VDA) auf
ein Datenmodell (Datenlandkarte) verständigt.
Der Verband der Automobilindustrie hat zur Kategorisierung
der Daten im vernetzten Fahrzeug eine Landkarte erstellt. Darin
werden folgende Kategorien von Daten unterschieden:
™ Im Fahrzeug erzeugte technische Daten
Seit Einführung von elektronisch gesteuerten Komponenten
wie Motoreinspritzung, automatisches Schaltgetriebe, ABS
und ESP werden technische Daten erzeugt und verarbeitet, um
z.B. das Einspritzverhalten des Benzins in den Verbrennungs-
raum, das Berechnen der optimalen Getriebeübersetzung, das
15 Vgl. Antwort der Bundesregierung auf die kleine Anfrage der Fraktion
Bündnis 90/Die Grünen zum „Datenschutz im Auto“, BT-Drucks 18/1362, S. 4.
16 Roßnagel, SVR 2014, 281 (284).
17 Ebd.
18 Wagner in Münchner Kommentar zum BGB, 6. Auflage 2013, § 823 Rn. 673.
395
SCHWERPUNKT
Abbildung 2 | VDA Datenmodell
Bremsverhalten oder die Umdrehungsgeschwindigkeit der Rä-
der zu steuern. Diese Daten lösen beim Erreichen bestimmter
im Programm festgelegter Werte eine Funktion aus.
™ Im Fahrzeug erzeugte aggregierte Daten
Daten können aus einer oder mehreren Quellen im Fahrzeug
wie Sensoren, Steuergeräten, Fehlerdatenspeicher aggregiert
und berechnet werden. Dies kann z.B. zu Wartungs- und Di-
agnose-Zwecken erfolgen, um Fehlfunktionen, den Durch-
schnittsverbrauch oder die Durchschnittsgeschwindigkeit so-
wie die Quer- und Längsbeschleunigung zu berechnen.
™ Im Fahrzeug erzeugte, dem Fahrer angezeigte Kfz-Betriebs-
werte
Dies sind Daten über Verbräuche, Kilometerstände, Fehler, Po-
sitionen, Rückfahr-Kamera, 360 Grad Kamera, Fahrwerte die
dem Fahrer/Halter im Fahrzeug über die Armaturen, Displays
oder über sogenannte Vehicle Homepages oder Apps angezeigt
werden können.
™ Vom Kunden eingebrachte Daten
Der Kunde gibt selbst Daten in Assistenz und Infotain-
ment-Systeme ein, wie z.B. Navigationsziele, Musiktitel, Ad-
ress- und Telefondaten, Radiosender etc.
™ Daten in vernetzten Fahrzeugdiensten
Nutzt der Kunde Telefon oder Internet im Fahrzeug, setzt dies
meistens eine Registrierung des Kunden bei einem Provider
voraus. In aller Regel muss er allgemeine Geschäftsbedingun-
gen akzeptieren oder Einwilligungen erteilen, die die Erhebung
und Verarbeitung personenbezogener Daten erlauben. Diese
Dienste können vom Fahrzeughersteller, vom Werkstatt- und
Service-Netz aber auch von Dritten angeboten werden.
™ Datenerhebungen auf gesetzlicher Basis
Ein solcher Dienst mit gesetzlich festgelegten Daten, die er-
hoben und übermittelt werden, wird der eCall auf Basis einer
EU-Verordnung sein.
5 Zusammenfassung und Ausblick
Die gelisteten Datenarten können personenbeziehbar sein. Die
vom Kunden eingebrachten Daten sowie die Nutzungsdaten der
Telekommunikations- und Telemediendienste sind regelmäßig
396
personenbezogen. Die im Rahmen
der Datenerhebung auf gesetzli-
cher Basis erhobenen personenbe-
zogenen Daten müssen aufgrund
des Gesetzesvorbehalts im Daten-
schutzrecht19 im Gesetz ausdrück-
lich ausgewiesen werden. Die Per-
sonenbezogenheit von angezeig-
ten Betriebswerten wird dann für
den Datenschutz relevant, wenn
die Anzeige personenbeziehbar
von Dritten ab- oder ausgelesen
werden kann oder wenn die An-
zeigewerte gespeichert werden
und einem Fahrer zuzuordnen
sind. Im Fahrzeug erzeugte ag-
gregierte Daten sind dann für den Datenschutz relevant, wenn
sie gespeichert werden und einem Fahrer zuzuordnen sind. Im
Fahrzeug erzeugte technische Daten werden dann datenschutz-
relevant, wenn sie gespeichert werden und sich auf einen Fahrer
beziehen lassen. Die im Fahrzeug erzeugten technischen Daten
lassen sich überwiegend nicht auf eine Person beziehen, wenn
sie nicht für weitere Auswertungen gespeichert werden. Die im
Fahrzeug erzeugten aggregierten Daten können im Fall der Spei-
cherung mit Zusatzwissen personenbeziehbar werden. Die vom
Kunden eingegebenen Daten sind überwiegend personenbezo-
gen. Gleiches gilt regelmäßig für Telekommunikations- und Me-
diendienste.
Auf der Basis einer derartigen Datenarchitektur soll das Inst-
rumentarium Privacy by Design Methoden weiterentwickelt wer-
den. Der VDA hat Datenschutzprinzipien zum Vernetzten Fahr-
zeug verabschiedet.20
In den USA haben die Alliance of Automobile Manufacturers
und die Association of Global Automakers “Consumer Privacy
Protection Principles for Vehicle Technologies and Services“ ver-
abschiedet, die von vielen Herstellern unterschrieben wurden.
Die dort festgelegten Anforderungen, die auch Privacy by De-
sign Prinzipien beinhalten, müssen bis 2018 für alle auf dem ame-
rikanischen Markt angebotenen Fahrzeuge umgesetzt werden.21
Ihre Einhaltung wird als verbindliche Selbstregulierung von der
Federal Trade Commission (FTC)22 kontrolliert.
Die Daimler AG hat sich an den genannten Initiativen inten-
siv beteiligt und nimmt ihre Verantwortung für den Datenschutz
und die Datensicherheit bei Fahrzeugen aktiv wahr. Die Umset-
zung von Datenschutz und Datensicherheit bei vernetzten Fahr-
zeugen bietet genug Stoff für eine Fortsetzung des Ladenburger
Diskurses.23
19 BVerfGE 65, 1 (44).
20 https://www.vda.de/dam/vda/media/DE/Themen/Innovation-und-Tech-
nik/Vernetzte-Mobilitaet/VDA-Datenschutz-Prinzipien-2014/VDA%20Daten-
schutz-Prinzipien%202014.pdf (zuletzt abgerufen am 30.3.2015).
21 http://www.autoalliance.org/index.cfm?objec-
tid=CC629950-6A96-11E4-866D000C296BA163 (zuletzt abgerufen am
30.3.2015);www.automotiveprivacy.com
22 Die FTC ist eine US-Behörde, die sowohl die Einhaltung von wettbewerbs-
rechtlichen Vorgaben als auch die Einhaltung des Verbraucherschutzes über-
wacht (www.ftc.gov).
23 Zu diesem Diskurs siehe Roßnagel (Editorial in diesem Heft).
DuD • Datenschutz und Datensicherheit 6 | 2015

Thilo Weichert
Das Äußerungsrecht der
Datenschutzaufsichtsbehörden (Teil 2)
Fortsetzung des Beitrags aus DuD 5/2015
Öffentliche Äußerungen sind ein wirksames, oft das wirksamste Instrument für
Datenschutzbehörden zur Durchsetzung des Datenschutzrechts. Demgemäß gibt es
eine differenzierte und umfassende Öffentlichkeitsarbeit und oft eine enge Kooperation
zwischen Aufsichtsbehörden und Presse. Im zweiten Teil des Beitrags beleuchtet der Autor
die Grenzen öffentlicher Äußerungen der Aufsichtsbehörden vor dem Hintergrund des
Verhältnismäßigkeitsgrundsatzes und der Neutralitätsverpflichtung von Amtsvertretern.
7 Die Demokratierelevanz
des Datenschutzes
Wird mit dem Bundesverfassungsgericht (BVerfG) Datenschutz
nicht als klassisches Ordnungsrecht verstanden, sondern als um-
fassender digitaler Grundrechtsschutz, bei dem die Kontrollen
und Sanktionen, also die „Repression“, durch ein umfangreiches
präventives Portfolio ergänzt werden, so muss dies bei Äußerun-
gen der Datenschutzaufsicht mit berücksichtigt werden. Der Da-
tenschutzaufsicht wurde – anders als bei sonstigen Aufsichtsbe-
hörden – verfassungs- und europarechtlich mit ihrer Unabhän-
gigkeit bewusst ein großer eigener Gestaltungsspielraum einge-
räumt. Obliegt der Datenschutzaufsicht umfassend die unabhän-
gige Wahrung und Verteidigung digitaler Grundrechte, so gehört
hierzu auch, auf allgemeinpolitische und gesellschaftliche Ent-
wicklungen und Herausforderungen mit angemessenen Kommu-
nikationsformen zu reagieren. Vor Fehlentwicklungen und Ge-
fahren darf nicht nur, sondern soll und muss gewarnt werden, wo-
bei dabei nicht zu verhindern ist, dass die als Verursacher ausge-
machten Stellen oder Personen unter konkreter Benennung der
Vorwürfe genannt werden.1 Dies gilt in besonderem Maße, seit-
dem sich der Gesetzgeber vom klassischen Arkanbereich hoheit-
lichen Handelns distanziert hat und durch Informationsfreiheits-
1 BGH DuD 2003, 311; vgl. zum Äußerungsrecht des Bundespräsidenten BVer-
fG NVwZ 2014, 1157 f.
Thilo Weichert
Landesbeauftragter für den
Datenschutz Schleswig-Holstein
und Leiter des Unabhängigen
Landeszentrums für Datenschutz
Schleswig-Holstein (ULD)
E-Mail: ULD1@datenschutzzentrum.de
DuD • Datenschutz und Datensicherheit 6 | 2015
FORUM
und Transparenzregelungen im Hinblick auf staatliche Tätigkeit
der Öffentlichkeit den Vorrang vor der Geheimhaltung gibt.2
Das Handeln staatlicher Gewalt findet seine Grenzen in der
Verfassung und den Gesetzen (Art. 20 Abs. 2 GG). Das BVerfG
hat für die Abgrenzung zulässiger hoheitlicher Öffentlichkeitsar-
beit Kriterien entwickelt, mit denen verhindert werden soll, dass
im öffentlichen Diskurs der Prozess der freien und offenen Mei-
nungs- und Willensbildung beeinträchtigt wird. Negative Wert-
urteile sind im Rahmen der verfassungsrechtlichen Pflicht zum
Schutz der freiheitlich-demokratischen Grundordnung grund-
sätzlich zulässig, insbesondere wenn sich die kritisierte Person
oder Stelle im Kampf um die öffentliche Meinung dagegen zur
Wehr setzen kann. Diese werden unzulässig, wenn sie auf sach-
fremden Erwägungen beruhen und damit der Anspruch auf
Gleichbehandlung beeinträchtigt wird.3
Inwieweit diese in Bezug auf Regierungshandeln entwickelten
Erwägungen sich auf sonstige Stellen hoheitlicher Gewalt anwen-
den lassen, hängt u. a. davon ab, inwieweit die Meinungen in ei-
nem Wettbewerb stehen, damit ein gesetzlicher Auftrag erfüllt
wird und welches Gewicht der Äußerung kraft der funktionalen
Stellung zuzumessen ist.4 Die besondere demokratische Gemein-
wohlorientierung kommt bei Datenschutzbeauftragten durch de-
ren parlamentarische Wahl, durch deren rechtliche Sonderstel-
lung und die damit verbundenen Pflichten und Rechten, etwa das
bestehende Zeugnisverweigerungsrecht, zum Ausdruck. Der Da-
tenschutzaufsicht obliegt es, im Interesse der Wahrung und För-
derung des digitalen Grundrechtsschutzes auf identifizierte Miss-
stände und Fehlentwicklungen aufmerksam zu machen sowie um
Engagement bei deren Beseitigung zu werben. Dazu können in-
tegrierende Äußerungen beitragen, dazu kann es aber auch ge-
hören, mögliche Gefahren und Verursacher ausdrücklich zu be-
2 Kauß DuD 2003, 371.
3 Zur Behandlung politischer Parteien BVerfGE 40, 293 = NJW 1976, 38; BVer-
fGE 113, 75 ff. = NJW 2005, 2912 = NVwZ 2006, 78 LS., BVerfGE 133, 100 = NVwZ
2013, 569, Rn. 22; BVerfG NVwZ 2014, 1158.
4 BVerfG NVwZ 2014, 1158.
397
FORUM
nennen. Durch das Einräumen einer sehr weit gehenden Unab-
hängigkeit signalisierte der Gesetzgeber die Erwartung, dass die
Datenschutzaufsicht ihre Aufgabe neutral und mit einer Distanz
zu den faktischen informationstechnischen und ökonomischen
Entwicklungen wahrnehmen soll. Zentral ist, dass die Äußerun-
gen dem Gemeinwohlziel verpflichtet sind und nicht auf die Aus-
grenzung oder Begünstigung bestimmter Stellen, Personen oder
Gruppen hinauslaufen. Dies schließt eine zugespitzte Wortwahl
nicht aus, wenn das von der Aufsicht für angezeigt gehalten wird,
wobei dies nicht zu einer pauschalen Ausgrenzung, zu Willkür, zu
Beleidigungen oder zu einer „Schmähkritik“ führen darf.5
8 Warnungen und vergleichbare
Grundrechtseingriffe
Veröffentlichungen und sonstigen Äußerungen hoheitlicher Stel-
len können Belange Dritter oder der Allgemeinheit entgegenste-
hen. Dieses schlicht-hoheitliche Handeln in der Form von öf-
fentlich-rechtlichen Realakten unterliegt ebenso wie förmliches
Verwaltungshandeln rechtsstaatlichen Bindungen.6 Insofern sind
Abwägungsprozesse von der jeweiligen Behörde gefordert. Ste-
hen grundrechtlich geschützte Interessen einer privaten Person
oder Stelle einer Veröffentlichung entgegen, so bedarf es einer
Rechtsgrundlage und einer umfassenden Verhältnismäßigkeits-
prüfung.7 Die Veröffentlichungsregelungen für die Datenschutz-
aufsicht legitimieren für sich allein keine Grundrechtseingrif-
fe, auch keine Eingriffe in das Recht auf informationelle Selbst-
bestimmung von natürlichen Personen.8 Von gezielten Hinwei-
sen und Warnungen können außerdem die Grundrechte auf freie
Ausübung der beruflichen Tätigkeit bzw. auf freie berufliche Ent-
faltung (Art. 12 GG) sowie auf Schutz des Eigentums in Form des
Rechts am eingerichteten und ausgeübten Gewerbebetrieb (Art.
14 GG) betroffen sein. Diese Grundrechte sind auch auf juristi-
sche Personen des Privatrechts anwendbar.9
Zum Ruf eines Unternehmens gehört heute auch, inwieweit die-
ses sich an datenschutzrechtliche Vorgaben hält. Negative Berich-
te hierzu können sich wirtschaftlich nachteilig im Verhältnis auf
die Kundschaft, die Beschäftigten sowie sonstige Vertragspartner
auswirken, insbesondere wenn bezüglich der personenbezogenen
Datenverarbeitung eine besondere Vertraulichkeitserwartung be-
steht, so wie dies z. B. bei der Verarbeitung von sensiblen oder ei-
nem Berufsgeheimnis unterliegenden Daten der Fall ist.10 Die In-
tensität staatlicher Erklärungen ist bei Warnungen am höchsten;
aber auch Hinweise und Empfehlungen, ja sogar reine Informati-
onen können einen informationellen Eingriff darstellen.11
8.1 Materielle Voraussetzungen
Inzwischen hat sich durchgesetzt, dass unternehmensbezogene
Hinweise oder Warnungen durch zuständige hoheitliche Stellen
zulässig sein können und dass es hierfür keiner ausdrücklichen
5 BVerfG NVwZ 2014, 1159.
6 Müller RDV 2004, 211.
7 Schiedermair in Wolff/Brink Datenschutzrecht, 2013, § 26 BDSG, Rn. 7.
8 Brink in Wolff/Brink (Fn. 7), § 38 BDSG, Rn. 49.
9 Müller RDV 2004, 211; VG Köln CR 1999, 558; VG Schleswig ZD 2014, 102.
10 Plath in Plath BDSG Kommentar, 2013, § 38 Rn. 31.
11 Müller RDV 2004, 212.
398
gesetzlichen Grundlage bedarf.12 Die damit verbundenen Grund-
rechtseingriffe werden durch die behördliche Aufgabenstellung
in Verbindung mit der Wahrnehmung von Schutzpflichten legiti-
miert, wenn ein hinreichend gewichtiger, dem Inhalt und der Be-
deutung des berührten Grundrechts entsprechender Anlass be-
steht, und wenn die negativen Werturteile nicht unsachlich sind,
sondern auf einem im Wesentlichen zutreffenden oder zumin-
dest sachgerecht und vertretbar gewürdigten Tatsachenkern be-
ruhen.13 Soweit Datenschutzaufsichtsbehörden explizit per Ge-
setz Beratungs- und Informationsaufgaben zugewiesen sind, kön-
nen diese sich bei Äußerungen hierauf berufen.14 Inhaltlich erge-
ben sich insofern aber keine Unterschiede zu Behörden ohne ex-
plizite Regelung.
Entsprechend dem Verhältnismäßigkeitsgrundsatz müssen
die staatlichen Äußerungen den zu gewährleistenden öffentli-
chen oder privaten Belangen förderlich sein; sie müssen darü-
ber hinausgehend sich in den Grenzen der Erforderlichkeit und
der Angemessenheit bzw. Zumutbarkeit bewegen.15 Bei der Ver-
hältnismäßigkeitsprüfung muss einfließen, welche sonstigen ge-
setzlichen Einwirkungsmöglichkeiten eine Aufsichtsbehörde
hat. Sind diese, wie im Datenschutzrecht, nur sehr beschränkt,
so kann dies im Interesse des Grundrechtsschutzes durch ein wei-
tes Äußerungsrecht zumindest teilweise kompensiert werden.16
Insbesondere im öffentlichen Bereich fehlen den Datenschutz-
beauftragten andere wirksame Durchsetzungsmöglichkeiten.17
Von Relevanz ist im jeweiligen konkreten Fall, welche Bedeu-
tung der Vorgang für den Grundrechtsschutz generell oder we-
gen der Sensibilität der Datenverarbeitung im Einzelfall hat, also
welche quantitative und qualitative Dimension dieser zukommt.
Auch der Zeitpunkt der Äußerung kann relevant sein, wobei es
aber unrealistisch ist, für die Zukunft die Unterlassung einer Äu-
ßerung zu fordern, die in der Vergangenheit angemessen war.18
Die namentliche Nennung eines Grundrechtsträgers im Rah-
men der Öffentlichkeitsarbeit unterliegt dem Erforderlichkeits-
grundsatz. Generell gilt, dass zum Schutz privater Belange sowie
im Interesse der Datenvermeidung und Datensparsamkeit – so-
weit möglich – Weitergaben pseudonymisiert oder anonymisiert
erfolgen müssen.19 Wird eine Behörde im Rahmen einer Presse-
anfrage unter Namensnennung angesprochen, so ist regelmäßig
eine Nennung nicht zu vermeiden. Wurde ein Name schon mehr-
fach in den Medien genannt, so liegt in einer behördlichen Nen-
nung keine Vertiefung des Grundrechtseingriffs.20 Die nament-
liche Nennung eines Unternehmens ist dann erforderlich, wenn
dieses eine herausgehobene Stellung auf dem Markt hat und von
ihm – nach begründeter Überzeugung der Datenschutzbehörde
– rechtswidrige Aktivitäten ausgehen, vor denen sich Betroffene
12 A. A. noch Zöllner, Der Datenschutzbeauftragte im Verfassungssystem,
1995, S. 101; dagegen Ehmann CR 1999, 560 unter Bezugnahme auf Mitrou, Die
Entwicklung der institutionellen Kontrolle des Datenschutzes, 1993, 135.
13 Ständige Rechtsprechung BVerfG NJW 1989, 3270; BVerwG NJW 1989,
2273 f.; OVG SH DuD 2014, 718; VG Köln CR 1999, 558 = MMR 1999, 741; VG Schles-
wig ZD 2014, 103; Geis MMR 1999, 744; Müller RDV 204, 212 m. w. N.
14 Z. B. § 26 Abs. S. 2 BDSG, § 43 Abs. 1 LDSG SH, vgl. Müller RDV 2004, 213;
OVG SH DuD 2014, 717.
15 VG Köln CR 1999, 557; Müller RDV 2004, 212.
16 Müller RDV 2004, 214.
17 Kauß DuD 2003, 370.
18 So aber VG Köln CR 1999, 559 f.
19 ULD, Datenschutzrechtliche Rahmenbedingungen für die Pressearbeit öf-
fentlicher Stellen, 2002, https://www.datenschutzzentrum.de/material/themen/
divers/pressearb.htm.
20 OVG SH DuD 2014, 718.
DuD • Datenschutz und Datensicherheit 6 | 2015

oder andere Stellen nach Kenntniserlangung durch ein bestimm-
tes Verhalten schützen können. Ist ein Unternehmen nur eines un-
ter sehr vielen, das rechtswidrig Daten verarbeitet, so kann die na-
mentliche Nennung unverhältnismäßig sein, wenn die Nennung
nicht durch bestimmte Umstände zu rechtfertigen ist. Einer na-
mentlichen Nennung kann es gleichkommen, dass ein Verfahren
oder eine Stelle so beschrieben wird, dass für die Öffentlichkeit oh-
ne größere Probleme eine individuelle Zuordnung möglich ist.21
8.2 Zuständigkeit
Das VG Schleswig vertrat die Ansicht, dass die Beachtung der Zu-
ständigkeitsordnung des Datenschutzes es einer Aufsichtsbehörde
verbiete, Aussagen über die datenschutzrechtliche Zulässigkeit ei-
nes IT-Verfahrens zu machen, für das zuvorderst eine andere Auf-
sichtsbehörde zuständig sei, weil der Hauptsitz der verantwortli-
chen Stelle in deren Zuständigkeitsbereich liegt. Trotz Abschluss
eines datenschutzrechtlichen Prüfverfahrens, bei dem es unter den
Datenschutzbehörden unterschiedliche Auffassungen gibt, dür-
fe der Meinungsstreit nicht öffentlich mit gezielten Äußerungen
zu einer verantwortlichen Stelle geführt werden. Dieses öffentli-
che Austragen der Diskussion sei nicht erforderlich, da „die Dis-
kussionen i. d. R. Fachkreise-intern“ geführt werden könnten.22
Das VG Schleswig verkennt dabei zunächst die datenschutz-
rechtliche Zuständigkeitsordnung. Für von einem IT-Verfahren
ausgehende Datenschutzgefahren und deren Überprüfung zu-
ständig ist nicht nur die Aufsichtsbehörde des Landes, in dem
die Hauptniederlassung ihren Sitz hat, sondern die Aufsichtsbe-
hörde jedes Landes, in dem dieses Verfahren, etwa im Wege der
Auftragsdatenverarbeitung (§ 11 BDSG) oder der Mitverantwort-
lichkeit (§ 3 Abs. 7 BDSG), eingesetzt wird.23 Absprachen der Auf-
sichtsbehörden, wonach eine Bearbeitung vorrangig durch die für
den Hauptsitz zuständige Behörde erfolgen soll, dienen lediglich
der Konkretisierung der Amtshilfe und der effektiven Ressour-
cennutzung und können die gesetzliche Zuständigkeit nicht be-
seitigen.24 Angesichts des Umstandes, dass IT-Verfahren im In-
ternet oder über das Internet zum Einsatz kommen und IT-Pro-
gramme dezentral installiert werden, ist potenziell weltweit je-
de Datenschutzbehörde für jedes universell nutzbare IT-Verfah-
ren zuständig. In jedem Fall besteht eine Zuständigkeit, wenn ein
Verfahren konkret im räumlichen Zuständigkeitsbereich einer
Aufsichtsbehörde zum Einsatz kommt.
Normativ fand die Erkenntnis, dass nicht nur die mit direkten
Kontrollkompetenzen ausgestattete Aufsichtsbehörde ein Äuße-
rungsrecht hat, ihren Ausdruck in der Aufnahme des § 26 Abs. 1
S. 2 BDSG, wo der BfDI neben den Aufsichtsbehörden der Länder
ausdrücklich auch eine Berichtspflicht hinsichtlich des nicht-öf-
fentlichen Bereichs auferlegt wird.25 Auch die umfassende Bera-
tungsaufgabe der Aufsicht für die Bevölkerung macht es nötig, zu
IT-Verfahren Auskünfte zu geben, zu denen keine direkte Kont-
roll- und Anweisungskompetenz besteht.26
Bei den Äußerungsbefugnissen kann es keine rechtliche Hier-
archie der Datenschutzbeauftragten geben. Vielmehr sind alle in
21 VG Köln CR 1999, 558.
22 VG Schleswig ZD 2014, 103.
23 Im Ergebnis wohl auch OVG SH DuD 2014, 717.
24 Petri in Simitis Bundesdatenschutzgesetz, 8. Aufl. 2014, § 38 Rn. 31; Wei-
chert in Däubler/Klebe/Wedde/Weichert BDSG, 4. Aufl. 2014, § 38 Rn. 3.
25 Heil in Roßnagel, Handbuch Datenschutzrecht, 2003, S. 775.
26 Vgl. z. B. § 43 Abs. 1 u. 3 LDSG SH.
DuD • Datenschutz und Datensicherheit 6 | 2015
FORUM
gleichem Maße „zuständig“. Für eine vorrangige Zuständigkeit
der „unmittelbaren Datenschutzaufsicht“27 gibt es keine gesetzli-
che Grundlage und keine Rechtfertigung. Aus der Verpflichtung
zur gegenseitigen internationalen Amtshilfe nach § 38 Abs. 1 S. 5
BDSG ergibt sich keine Verpflichtung zum Zurückhalten abwei-
chender Meinungen. Dies ändert nichts daran, dass im Rahmen
der Arbeitsteilung der Aufsichtsbehörden Absprachen und Rück-
sichtnahmen erfolgen.28
8.3 Öffentlicher Diskurs
Weltfremd ist die Vorstellung des VG Schleswig, datenschutz-
rechtliche Meinungen über die Risiken eines Verfahrens aus-
schließlich intern in Fachkreisen erörtern zu können. Betrifft ein
Sachverhalt die Öffentlichkeit, was bei einer millionenfachen un-
genügenden Anonymisierung von Patientengeheimnissen wohl
der Fall sein dürfte, dann kann eine Aufsichtsbehörde eine öffent-
liche Diskussion nicht steuern. Sie kann auf eine eigeninitiative
Öffentlichkeitsarbeit verzichten. Wird sie aber mit einer Frage-
stellung von Medien konfrontiert, so hat sie nur die Möglichkei-
ten, nach bestem Wissen und Gewissen eine eigene Bewertung ab-
zugeben oder sich nicht zu äußern. Das Schweigen einer für den
Grundrechtsschutz zuständigen Aufsichtsbehörde bei einem – als
solchen bewerteten – massenhaften Grundrechtsverstoß, der auch
den eigenen Zuständigkeitsbereich berührt, kann einer verant-
wortlich handelnden Aufsichtsbehörde nicht zugemutet werden.29
Es spielt eine Rolle, wer Adressat einer Äußerung ist. So kann
es bei einer aktiven Ansprache sein, dass nur die direkte Adres-
sierung verhältnismäßig ist.30 Wird die Äußerung aber weiterge-
tragen, so lässt sich dies von der Behörde nicht verhindern. Wird
eine Behörde von der Presse wegen einer Frage angesprochen,
gleichgültig ob diese zuvor direkt adressiert wurde oder nicht, so
ist sie schon gemäß dem Presserecht zur Auskunft und damit zur
Ausweitung des Adressatenkreises verpflichtet.31
Im in Abschnitt 2 des ersten Teils dieses Beitrags erwähnten
Ausgangsverfahren gab das OVG Schleswig-Holstein dem ULD
auf, „zukünftig entsprechende Äußerungen als seine Auffassung
zu kennzeichnen“.32 Begründet wurde dies damit, es müsse ein
„Absolutheitsanspruch“ vermieden werden.33 Letztlich war es
ausschließlich diese Maßgabe, mit der das Gericht die Unterlas-
sungsverfügungen der Vorinstanz aufrecht erhielt. Nicht erörtert
wurde vom Gericht, wie sich das ULD hätte rechtmäßig verhalten
können, da sämtliche angegriffenen Zitate sich nicht auf eigen-
initiative Pressearbeit bezogen, sondern auf redaktionelle Anfra-
gen oder auf Berichte über Berichte. Ob das ULD im Rahmen der
journalistischen Anfragen jeweils auf die Individualität der Aus-
sage hinwies, war weder Gegenstand der gerichtlichen Kontro-
verse noch der Beweiserhebung. Darauf kann es auch nicht an-
kommen. Dass zitierte Aussagen die Ansicht der sich äußern-
den Behörde wiedergeben und nichts anderes, sollte eine Selbst-
verständlichkeit sein, die nicht besonders betont werden muss.34
Nicht einmal dem Papst kann man in Meinungsfragen – anders
27 So OVG SH DuD 2014, 717.
28 Weichert, Rechtsbehelfe im Datenschutzrecht, 2014, https://www.daten-
schutzzentrum.de/artikel/809-.html.
29 OVG SH DuD 2014, 717 f.
30 A.A. ohne Begründung OVG SH DuD 2014, 720.
31 OVG SH DuD 2014, 717; a. A. wohl VG Schleswig ZD 2014, 103 f.
32 OVG SH B. v. 28.02.2014, 4 MB 82/13, S. 3, Tenor.
33 OVG SH (Fn. 32), Rn. 17, 20.
34 Kauß DuD 2014, 720.
399
FORUM
möglicherweise in Glaubensfragen – einen solchen Absolutheits-
anspruch unterstellen.
Ein zentrales Argumentationsmuster gegen pointierte behörd-
liche Äußerungen ist, es erfolge damit ein Autoritätsmissbrauch.
Tatsächlich wird zuständigen Behörden hinsichtlich ihrer Ver-
lautbarungen eine höhere Autorität beigemessen als Stellen, die
offensichtlich Eigeninteressen verfolgen. Die Autorität leitet sich
ab aus der demokratischen Legitimation, der formalisierten Fach-
lichkeit und der staatlichen Neutralitätspflicht.35 Die Autorität ei-
ner behördlichen Äußerung ist aber kein stabiler Wert; sie wird
in einer demokratischen Gesellschaft hinterfragt. Insofern kann
eine Behörde Autorität verlieren, muss evtl. eine zunächst feh-
lende Autorität durch neutrales und kompetentes Handeln erst
erwerben. So waren die dürftig begründeten und inhaltlich kri-
tikwürdigen Unbedenklichkeitsbescheinigungen des irischen
Datenschutzbeauftragten in Bezug auf die Datenverarbeitung
von Facebook wohl wenig vertrauens- oder autoritätsfördernd.36
Aufsichtsbehörden sollten bestrebt sein, nach außen ein einheit-
liches Bild abzugeben. Dies wird von der Datenschutzaufsicht in
Deutschland weitgehend praktiziert. Dies schließt jedoch Mei-
nungsunterschiede nicht aus.37 Nicht auszuschließen ist, dass die-
se Meinungsunterschiede öffentlich werden. In diesen Fällen ist
es im Interesse des rationalen demokratischen Diskurses geboten,
diese darzustellen und nicht dadurch auszublenden, dass nur ei-
ner Aufsichtsmeinung öffentlich Gehör gewährt wird.38 Die Öf-
fentlichkeit ist nicht grundsätzlich unerfahren und folgt glück-
licherweise nicht blind Behördenmeinungen.39 Unsere demo-
kratische Öffentlichkeit macht vielmehr sehr gute Erfahrungen
mit der Rezeption und Verarbeitung divergierender Meinungen.
Nicht Meinungsbeschränkung, sondern Transparenz ist gefragt.
8.4 Einzelfallbewertung
Ein hinreichender Anhaltspunkt für eine Warnung besteht, wenn
eine Gefahr für verfassungsrechtlich geschützte Rechtsgüter oder
zumindest der begründete Verdacht einer Gefahr vorliegt.40 Der
Verdacht muss auf einer ausreichend – gründlich und sorgfältig –
ermittelten Tatsachengrundlage beruhen. Das VG Schleswig ließ
es in dem von ihm bewerteten Verfahren nicht genügen, dass ein
Sachverhalt über viele Monate hinweg kontrovers von sämtlichen
Aufsichtsbehörden in Deutschland umfassend erörtert worden ist.
Es bestünde keine „brauchbare Tatsachengrundlage“, wenn Ein-
zelheiten offenblieben. Im in Abschnitt 2 genannten konkreten
Fall lag dies daran, dass die verantwortliche Stelle – im Schulter-
schluss mit der für die Hauptniederlassung zuständigen Aufsichts-
behörde – Verfahrensaspekte geheim hielt41, möglicherweise auch,
um eine öffentliche Diskussion hierüber zu unterbinden. Im auf-
geführten Fall wurden vom ULD umfassende wissenschaftliche
Expertisen sowohl zum Sachverhalt als auch zu dessen Bewertung
vorgelegt. Doch weigerten sich beide entscheidenden Gerichte, auf
der Grundlage dieses – zudem in der Sache unstreitigen – Sach-
verhalts eine rechtliche Bewertung vorzunehmen.
35 VG Köln CR 1999, 560.
36 Weichert, Datenschutzverstoß als Geschäftsmodell – der Fall Facebook,
DuD 2012, 716; Weichert Rechtsbehelfe (Fn. 28) V.
37 Zu den Kooperationsstrukturen der Datenschutzaufsicht Weichert,
Rechtsbehelfe (Fn. 28) IV.
38 So aber tendenziell VG Schleswig ZD 2014, 103.
39 So aber Abel ZD 2014, 105.
40 OVG SH DuD 2014, 717; BVerwGE 82, 76 f.; OVG Münster NVwZ 1997, 302.
41 VG Schleswig ZD 2014, 104.
400
Damit zeigt sich ein Dilemma bei vielen datenschutzrechtlich
relevanten Äußerungen: Diese weisen oft – wie im konkreten Fall
– eine derart hohe technische Komplexität auf, dass Richter sich
zu deren Bewertung eher nicht in der Lage sehen. Wenn aber Ge-
richte in solchen Fällen nicht selbst Sachverstand durch Einschal-
tung von Sachverständigen mobilisieren (wollen) und ihnen der
Sachverstand der staatlichen Aufsichtsbehörden nicht verlässlich
genug erscheint, dann hilft nur Öffentlichkeit und Transparenz.
Anstatt den öffentlichen Diskurs über diese technischen Sachver-
halte zuzulassen und zu bestärken, war hier versucht worden, das
Äußerungsrecht einer zweifellos meinungsstarken sachverständi-
gen Aufsichtsbehörde einzuschränken – zu Gunsten privater Ge-
winninteressen. Welche fatalen grundrechtlichen Konsequenzen
sich aus solch einer diskursfeindlichen Haltung ergeben können,
zeigt der Fall des Internetportals Facebook, bei dem die für die
Hauptniederlassung zuständige irische Datenschutzbehörde ei-
ne Rechtmäßigkeitsbescheinigung ausstellte und sich erst in ei-
ner mehrjährigen öffentlichen Debatte – dafür aber umso kla-
rer – herausschälte, dass Facebook von Anfang an offensichtlich
rechtswidrig vorgegangen war.42
Das Gebot der Sachlichkeit staatlicher Informationen richtet
sich auf deren inhaltliche Richtigkeit. Auch wenn eine abschlie-
ßende Klärung eines Sachverhaltes – z. B. wegen fehlender Trans-
parenz des Verfahrens oder auch wegen dessen dauernder Wei-
terentwicklung – oft nicht möglich ist, ist eine sorgsame Sach-
verhaltsermittlung unter Nutzung aller verfügbaren Informati-
onsquellen geboten, evtl. verbunden mit dem Hinweis auf ver-
bleibende Unsicherheiten.43 Unternehmen berufen sich gerne auf
Berufs- und Geschäftsgeheimnisse bei datenschutzrechtlich re-
levanten Vorgängen. Diese Argumentation ist verfassungsrecht-
lich zumeist nicht zu akzeptieren.44 Gibt es unterschiedliche Be-
wertungen eines Sachverhaltes, so spielt es selbstverständlich eine
Rolle, welche sich bei einer umfassenden rechtlichen Prüfung als
die Richtige erweisen würde.45 Es kann nur der kleinste Nenner
sein, dass eine Äußerung sachlich vertretbar sein muss.
Auf offensichtlich rechtswidriges Handeln dürfen – so anschei-
nend auch die Ansicht des VG Schleswig – Aufsichtsbehörden
hinweisen.46 Diese Aussage ist aber im Meinungsstreit um Daten-
schutz wenig hilfreich, wenn die Offensichtlichkeit eines Rechts-
verstoßes dadurch widerlegt werden kann, dass eine Aufsichts-
behörde sich – aus welchen Gründen auch immer – auf die recht-
liche Seite des Betreibers schlägt, so wie dies nicht nur im Aus-
gangsfall, sondern auch z. B. bei Facebook der Fall ist. Was für Ex-
perten offensichtlich ist, muss nicht für die Öffentlichkeit oder für
Gerichte offensichtlich sein. Die Aufsichtsbehörde ist nicht dar-
auf beschränkt, bei offensichtlich rechtswidrigen Verfahren eine
öffentliche Warnung auszusprechen.47 Mit der Veröffentlichung
von wesentlichen Rechtsverstößen verstößt die Aufsicht grund-
sätzlich nicht gegen ihre Amtsverschwiegenheit, sondern nimmt
ein öffentliches Interesse wahr.48
42 Vgl. die Hinweise in Fn. 36.
43 BVerfGE 105, 252 f.; OVG NRW NVwZ 2012, 767; OVG SH DuD 2014, 718.
44 ULD/GP Forschungsgruppe, Scoring nach der Datenschutznovelle 2009
und neue Entwicklungen, 2014, S. 45 ff., a. A. BGH, NJW 2014, 750.
45 Anders aber wohl OVG SH DuD 2014, 718.
46 VG Schleswig ZD 2014, 104.
47 So aber VG Köln, RDV 1999, 125 = DANA 2/1999, 29 = CR 1999, 557 = DuD
1999, 353 = MMR 1999 742; dagegen wie hier Köppen DANA 2/1999, 31; Ehmann
CR 1999, 560.
48 BGHSt. 48, 126 ff. = NJW 2003, 979 ff. = RDV 2003, 84 = DuD 2003, 311; Kauß
DuD 2003, 370.
DuD • Datenschutz und Datensicherheit 6 | 2015

Werden falsche Informationen, also unwahre Behauptungen
über die Tätigkeit der Datenschutzaufsicht von Dritten veröffent-
licht, so kann dieser wie jeder anderen Behörde ein Recht auf
Selbstverteidigung zustehen, das es ermöglicht, auf der gleichen
Ebene und in verhältnismäßigem Maße Richtigstellungen vor-
zunehmen.49
9 Behördliche oder persönliche Meinung
Behörden, erst recht Ordnungsbehörden oder auch die Daten-
schutzaufsicht, genießen nicht den Grundrechtsschutz des Art.
5 GG. Diesen Schutz genießen aber die Menschen, soweit sie in
ihrer zivilen Eigenschaft, und nicht als Funktionsträger für die
hoheitliche Gewalt, tätig werden. Datenschutzbehörden sind öf-
fentliche Stellen, in denen Menschen tätig sind, die sich teilweise
in hohem Maße mit ihrer beruflichen Tätigkeit persönlich iden-
tifizieren. Diese betätigen sich als Referenten oder Autoren, teil-
weise als Vertreter von Nichtregierungsorganisationen oder po-
litischen Parteien. In all diesen Rollen können sie ein Recht auf
Meinungsfreiheit beanspruchen. Persönliche Meinungen zu Da-
tenschutzthemen sind in Deutschland nachgefragt, insbesonde-
re wenn sie auf fachlicher Kompetenz beruhen, wie sie in Daten-
schutzaufsichtsbehörden in aller Regel vorhanden ist.
Die Trennung zwischen privater und hoheitlicher Tätigkeit ist
in Einzelfall nicht einfach. Das BVerfG hatte jüngst Anlass, sich
zu diese Frage grundsätzlich zu äußern im Hinblick auf die Ab-
grenzung zwischen ministeriellen, also hoheitlichen Äußerun-
gen und solchen, die als Mitglied eines Parteivorstands, also im
geschützten Meinungsbildungsbereich, getätigt werden.50 Ho-
heitsträger unterliegen, soweit sie die spezifische Autorität des
Amtes und die damit verbundenen Ressourcen in Anspruch
nehmen, einem strengen Neutralitätsgebot; nimmt die handeln-
de Person hingegen nicht ihre amtliche Funktion wahr, so ist sie
an der Teilnahme am politischen Meinungskampf nicht gehin-
dert. Bei der Beurteilung kommt es auf die Umstände des jewei-
ligen Einzelfalls an. Relevant sind dabei die ausdrückliche Bezug-
nahme auf das hoheitliche Amt und ob sich die Äußerung aus-
schließlich auf Vorhaben und Maßnahmen der öffentlichen Stel-
le bezieht. Amtsautorität wird ferner in Anspruch genommen,
wenn ein Amtsinhaber sich in einer amtlichen Verlautbarung et-
wa in Form einer offiziellen Publikation äußert. Äußere Umstän-
de wie das Verwenden von Staatssymbolen und Hoheitszeichen
oder die Nutzung der Amtsräume oder sonstiger staatlicher fi-
nanzieller oder sachlicher Ressourcen sprechen für einen spezifi-
schen Amtsbezug. Äußert sich ein Amtsinhaber auf einer Veran-
staltung, zu der er ausschließlich wegen dieser Funktion eingela-
den wurde, so ist dies als amtliche Verlautbarung zu behandeln.51
Demgegenüber ist die persönliche schlichte Teilnahme am po-
litischen oder wissenschaftlichen Wettbewerb grundrechtsge-
schützt. Dies gilt für Äußerungen als Mitglied einer Partei oder pri-
vaten Organisation ebenso wie für solche auf Veranstaltungen des
allgemeinen politischen Diskurses, etwa Talkrunden, Foren, In-
terviews. Namentlich gezeichnete Beiträge in einer Fachzeitschrift
sind grundrechtsgeschützt, auch wenn auf die amtliche Funktion
hingewiesen wird. Der Schutz geht nur verloren, wenn eine Äu-
49 ULD Pressearbeit (Fn. 19).
50 BVerfG, U. v. 16.12.2014, 2 BvE 2/14, NVwZ 2015, 209.
51 BVerfG NVwZ 2015, 213, Rn. 57.
DuD • Datenschutz und Datensicherheit 6 | 2015
FORUM
ßerung in spezifischer Weise mit der Autorität des Amtes unter-
legt wird. Erfolgt eine Auswahl eines Interviewpartners durch ein
Presseorgan, so liegt die journalistische Verantwortung hierfür bei
der Presse, und eine Rücksichtnahme auf das Amt ist weniger nö-
tig. Ein Amtsträger ist nicht verpflichtet, sich im Rahmen eines In-
terviews auf amtliche Aussagen zu beschränken.52 Es kann von ei-
nem Amtsträger auch nicht der ausdrückliche Hinweis gefordert
werden, dass eine Äußerung nicht in dieser Funktion erfolgt. Im
Zweifelsfall ist ein solcher Hinweis aber sinnvoll. Ob Grundrechts-
schutz nach Art. 5 GG in Anspruch genommen werden kann oder
das Neutralitätsgebot gilt, unterliegt nicht nur einer Willkürprü-
fung, sondern der uneingeschränkten gerichtlichen Kontrolle.53
10 Schlussfolgerungen
Ein weites Äußerungsrecht der Datenschutzaufsichtsbehörden
macht die möglicherweise davon betroffenen Stellen nicht recht-
los. Es besteht nicht nur die judikative Kontrolle, sondern ebenso
die Einflussnahme durch die Parlamente und durch die öffentliche
Meinung. Unabhängigkeit der datenschutzrechtlichen Aufsichts-
behörden bedeutet rechtlich nur exekutive Weisungsfreiheit und
nicht, keiner Kritik und Einflussnahme ausgesetzt zu sein.54 Stellen
mit einem rechtswidrigen Geschäftsmodell gibt es in unserer Infor-
mationsgesellschaft, in der Daten zur Ware und zum Zahlungsmit-
tel geworden sind, in Hülle und Fülle. Diese Unternehmen entzie-
hen sich der öffentlichen Auseinandersetzung über ihr Geschäfts-
modell gerne durch Intransparenz gegenüber Betroffenen wie Auf-
sichtsbehörden und legitimieren dies mit dem Hinweis, dessen ge-
naues Funktionieren sei ein Betriebs- und Geschäftsgeheimnis.55
Dies dürfen bzw. sollten die Öffentlichkeit, die Aufsichtsbehör-
den und auch die Gerichte den ökonomisch und technisch mo-
tivierten Betreibern nicht durchgehen lassen. Die gesellschafts-
gestaltende und damit individuell wie kollektiv wirkende Kraft
von Informationstechnik bedarf des offenen demokratischen Dis-
kurses. Dabei sind die Datenschutzaufsichtsbehörden längst nicht
mehr „die“ autoritative, sondern allenfalls eine wichtige Stimme.
Dies entbindet die Aufsichtsbehörden nicht von ihren gesetzli-
chen Pflichten zu Mäßigung, Verhältnismäßigkeit und Neutrali-
tät. Doch hat sich immer wieder das, was Datenschutzaufsichts-
behörden als übermäßige Bedrohung dargestellt haben, im Nach-
hinein als noch untertrieben erwiesen. Diese Wahrnehmung gilt
nicht nur für die Überwachungsaktivitäten von NSA und GCHQ
nach den Enthüllungen von Edward Snowden. Insofern sollte
man Äußerungen der Aufsicht öffentlich ernst nehmen und ihr
zugleich Irrtümer zugestehen, die, wenn sie sich als solche erwei-
sen, eine kluge Datenschutzaufsicht auch problemlos eingesteht.
Bei einer dynamischen Materie wie dem Datenschutz sind Irrtü-
mer zwangsläufig nicht immer zu vermeiden.
Es ist ein gefährlicher Irrtum zu meinen, man müsste die Da-
tenschutzaufsicht äußerungsrechtlich an die Kandare nehmen.
Der damit verbundene Effekt wäre eine zahnlose, wenn nicht gar
stumme Datenschutzaufsicht.56 Diese könnte und würde ihre ver-
fassungsrechtliche Aufgabe nicht mehr wahrnehmen.
52 BVerfG, NVwZ 2015, 213, Rn. 58 ff.
53 BVerfG NVwZ 2015, 214, Rn. 63.
54 A. A. Abel ZD 2014, 105.
55 BGH, NJW 2014, 750; dazu ULD/GP Forschungsgruppe, Scoring (Fn. 44), S.
45 ff.
56 Kauß DuD 2003, 371.
401