Datenschutzbehörde findet Verkehrs- und Standortortdaten von Handys nicht "personenbezogen" – noyb ruft Bundesverwaltungsgericht an
noyb hatte im Juni 2020 eine Datenschutzbeschwerde gegen den österreichischen Mobilfunkanbieter A1 eingebracht. Der Grund: A1 hatte sich unter Berufung auf die überholte Spruchpraxis der Datenschutzbehörde vor Anwendbarkeit der DSGVO (25.05.2018) beharrlich geweigert, Standortdaten und gewisse Verkehrsdaten an einen Kunden zu beauskunften. Das Argument: Die Daten zu einem Handy wäre nicht "personenbezogen", weil ja auch eine andere Person als der Eigentümer des Handys das Gerät nutzen hätte können. Mitte Oktober erging nun die Entscheidung der Datenschutzbehörde (DSB): A1 hätte zu Recht die Auskunft verweigert, es gäbe keinen Anlass von der bisherigen Entscheidungslinie abzuweichen. Die nur oberflächlich begründete Entscheidung ist nicht rechtskräftig – noyb hat nun Bescheidbeschwerde beim Bundesverwaltungsgericht eingebracht, das die Angelegenheit nun prüfen wird.
Standortdaten: Dein Handy – aber nicht deine Daten!
Wer anders könnte es gewesen sein. Zu den vom Mobiltelefon des Nutzers erzeugten Standortdaten – diese geben den geografischen Standort des Mobiltelefons an – sah die DSB bedauerlicherweise keinen Anlass, von ihrer alten Spruchpraxis vor der DSGVO abzugehen. Nachdem ein Nutzer nicht nachweisen könne, dass sich die erzeugten Standortdaten sich ausschließlich auf ihn beziehen, seien Standortdaten generell nicht vom Anspruch auf Erhalt einer Datenkopie nach Artikel 15 DSGVO erfasst. Die DSB zieht also aus der abstrakten Möglichkeit, dass jemand anderer das Mobiltelefon des Nutzers verwendet haben könnte, den Schluss, dass der Nutzer keinen Auskunftsanspruch der von seinem Mobiltelefon – einem höchstpersönlichen, passwortgeschützen Gerät – erzeugten Daten hat. Das obwohl, der Betroffene das Handy mit PIN geschützt hat, eine Erklärung abgab das Handy nie verliehen zu haben und es auch sonst keinen Anzeichen dafür gibt, dass jemand anderer das Handy genutzt haben könnte. Führt man diese Begründung der DSB gedanklich weiter, gibt es so gut wie keinen Anspruch auf Erhalt einer Datenkopie mehr. Schließlich ist es bei jedem internetfähigen Gerät oder Account theoretisch möglich, dass jemand anderes diese nutzt.
„Es ist enttäuschend, dass die DSB unsere Beschwerde nicht zum Anlass genommen hat, Ihre schlicht und einfach unlogische Spruchpraxis zu revidieren. Denken wir das mal zu Ende: Sie haben eine Smart Watch? Keine Datenauskunft über gesammelte Gesundheitsdaten, jemand anderer könnte die diese getragen haben! Sie verwenden Netflix? Keine Datenauskunft, jemand anderer könnte mit Ihrem Account ferngesehen haben! Sie bestellen regelmäßig auf Amazon? Keine Datenauskunft, jemand anderer könnte ja eine Bestellung getätigt haben! Das grundrechtlich bestehende Recht auf Datenauskunft würde im Ergebnis nur mehr in Ausnahmefällen bestehen.“ – Marco Blocher, Datenschutzjurist bei noyb.
Unmöglicher Beweis. Natürlich gibt es Szenarien in denen, Vertragsinhaber und Mobiltelefonnutzer auseinanderfallen – z.B. bei einem Firmenhandy oder dem Vertrag für ein minderjähriges Kind. Im gegenständlichen Fall handelt es sich aber um einen privaten Einzelvertrag eines kinderlosen Nutzers. Dennoch unterstellen ihm A1 und nun auch die DSB ohne jegliche Anhaltspunkte, er würde sein – obendrein durch PIN und Fingerabdruck gesperrtes – Handy weitergeben. Er müsste das Gegenteil beweisen, könne das aber nicht – selbst eine eidesstattliche Erklärung der ausschließlich eigenen Nutzung ließ die Behörde nicht gelten.
„Davon abgesehen, dass schon die pauschale Unterstellung der Fremdnutzung des Privathandys vollkommen lebensfremd ist, erlaubt die DSB nicht, dass ein Nutzer darlegt, dass es sich tatsächlich ausschließlich um sein Handy handelt. Auch das ist ein Fass ohne Boden: Die ausschließliche Nutzung eines Geräts oder Accounts kann ein Nutzer schlicht nicht beweisen, sofern er nicht sein gesamtes Leben auf Video aufzeichnet. Hier hätte die DSB auf die allgemeine Lebenserfahrung abstellen und sich mit einer Glaubhaftmachung zufriedengeben müssen. Mit Entscheidungen wie der vorliegenden wird die DSB zum Totengräber der in der DSGVO vorgesehenen Betroffenenrechte.“ – Marco Blocher, Datenschutzjurist bei noyb.
Verkehrsdaten: Nur die Behörden dürfen’s wissen
Fehlinterpretation der Rechtslage. Auch bezüglich Verkehrsdaten sah die DSB keinen Anlass von ihrer fragwürdigen historischen Spruchpraxis abzukehren. Verkehrsdaten sind etwa IP-Adressen, Logdaten, Zeitpunkt und Dauer der Verbindung, oder die übermittelte Datenmenge. Obwohl die DSGVO verlangt, dass ein Nutzer eine Kopie sämtlicher ihn betreffender personenbezogener Daten bekommt, übermittelte A1 nur einen Einzelentgeltnachweis, der Rest wird dem Nutzer verschwiegen. Dieses Vorgehen deckt die DSB mit einem undifferenzierten Stehsatz: Das österreichische Telekommunikationsgesetz gehe der DSGVO als speziellere Regel vor:
„Auch betreffend Verkehrsdaten hat die DSB einfach einen historischen Bescheid als Begründung zitiert und ist mit keinem Wort auf unser Beschwerdevorbringen eingegangen. Dass das österreichische Telekommunikationsgesetz die Rechte aus der DSGVO verdrängt, wäre nur möglich, wenn es Rechte aus der e-Privacy-Richtlinie umsetzen würde, die der DSGVO auch tatsächlich entgegenstehen. Das ist nicht der Fall: Die e-Privacy-Richtlinie verlangt mit keinem Wort eine Einschränkung des datenschutzrechtlichen Auskunftsanspruchs. Obwohl sich auch die juristische Lehre klar für ein Auskunftsrecht auch im Anwendungsbereich der e-Privacy-Richtlinie ausspricht, bekommen Mobilfunkanbieter eine willkürlich erscheinende Sonderbehandlung.“ – Marco Blocher, Datenschutzjurist bei noyb.
Staat darf mehr wissen als der Nutzer? Besonders problematisch ist zudem, dass sich die DSB unter anderem auf § 99 Abs 5 TKG 2003 beruft, um zu begründen, warum einem Mobilfunknutzer nicht Auskunft über sämtliche Verkehrsdaten zu geben ist. Diese Bestimmung setzt nicht einmal die e‑Privacy-Richtlinie um, sondern wurde im Zuge der vom EuGH aufgehobenen „Vorratsdatenspeicherungsrichtlinie“ eingeführt und als sachgerecht beibehalten. Sie erlaubt Polizei, Staatsanwaltschaft und Gerichten im Zusammenhang mit möglichen Strafdaten, die Verkehrsdaten eines Nutzers vom Mobilfunkanbieter zu verlangen. Daraus zieht die DSB den Schluss, dass ausschließlich diese staatlichen Einrichtungen Zugriff auf alle Verkehrsdaten zusteht – nicht aber dem Nutzer selbst, obwohl Artikel 15 DSGVO und Artikel 8 der Grundrechtecharta ein Grundrecht auf Selbstauskunft verankert.
„Hier ist die DSB vollkommen auf dem Holzweg. Weil Behörden und Gerichte Verkehrsdaten unter strengen Voraussetzungen vom Mobilfunkanbieter bekommen dürfen, soll der Nutzer selbst sie niemals erhalten? Das ist überhaupt nicht der Inhalt oder Zweck der Vorschrift und mit der DSGVO nicht vereinbar!“ – Marco Blocher, Datenschutzjurist bei noyb.
Nationale Traditionen und Sonderbehandlungen müssen der DSGVO weichen. Die DSGVO ist seit 25.05.2018 in allen EU-Mitgliedstaaten anwendbar und ersetzt davor existierende nationale Datenschutzgesetze. Im Anwendungsbereich der e-Privacy-Richtlinie (Datenschutzrichtlinie für elektronische Kommunikation) dürfen bzw. müssen die Mitgliedstaaten zum Teil auch datenschutzrechtliche Sonderregeln für „Anbieter elektronischer Kommunikationsdienste“ (wie A1) erlassen. Im Verhältnis zur DSGVO gilt: Verfolgen eine nationale Bestimmung, die die e-Privacy-Richtlinie umsetzt und eine DSGVO-Bestimmung dasselbe Ziel, muss die DSGVO-Bestimmung zurückstehen, wenn sie dem Anbieter zusätzliche Pflichten auferlegen würde (Artikel 95 DSGVO). Aus diesem Grund ist etwa für technisch notwendige Cookies keine Einwilligung nach der DSGVO notwendig. Für das Ziel „Datenschutzrechtliche Betroffenenrechte“ sieht die e-Privacy-Richtlinie aber überhaupt keine Regelung vor – auch nicht betreffend Verkehrs- oder Standortdaten –, sodass die DSGVO-Betroffenenrechte “ (Auskunft, Berichtigung, Löschung, usw.) wie überall sonst gelten. Es kommt zu keinen zusätzlichen Pflichten; ein Mobilfunkanbieter wie A1 hat nach der DSGVO schlicht dieselben Pflichten, gegenüber Betroffenen, wie jedes andere Unternehmen.
Nationale Sonderwege – wie die historische Spruchpraxis der DSB – dürfen vor diesem Hintergrund nicht aufrechterhalten werden. Die DSGVO verlangt schließlich unionsweit einheitliche Geltung. Noyb setzt sich dafür ein, dass dieser europäische Standard auch durchgesetzt wird. Es gilt nun abzuwarten, ob das Bundesverwaltungsgericht, die Entscheidung der DSB korrigiert.
