Die niederländische Datenschutzaufsichtsbehörde, College bescherming persoonsgegevens (kurz: CBP) stellte am 12. Januar 2012 einen Ermittlungsbericht vor, aus dem hervorgeht, dass das Navigationssystem tomtom gegen niederländisches Datenschutzrecht verstößt. Der Beitrag zeigt, worauf die Entwickler künftig – nicht nur in den Niederlanden – achten müssen.

Übersicht

• Der Ermittlungsbericht
• toestemming van de betrokkene – unzureichend!
• Fazit

1. Der Ermittlungsbericht

Kapitel 9, Abschnitt 1 des niederländischen Datenschutzgesetzes (Wet bescherming persoonsgegevens = Wbp) regelt die Einrichtung einer Datenschutzaufsichtsbehörde. Diese Normen sind die Grundlage der Aufsichtsbehörde, College bescherming persoonsgegevens, die kurz als CBP bezeichnet wird.

Diese Behörde veröffentlichte am 12. Januar einen Ermittlungsbericht, der die Vereinbarkeit des Navigationssystems tomtom mit dem niederländischen Datenschutzrecht zum Inhalt hat. Das Ergebnis: Die Erhebung von Geodaten durch das Navigationssystem ist nicht mit dem niederländischen Datenschutzrecht vereinbar. Denn nach Artikel 8 Wbp gilt auch in den Niederlanden das Verbot mit Erlaubnisvorbehalt, wonach grundsätzlich jede Erhebung, Verarbeitung und/oder Nutzung von personenbezogenen Daten verboten ist (=Regel), es sei denn der Betroffene willigt ein oder es gibt eine andere Rechtsgrundlage (=Ausnahme). Hier käme eine Einwilligung in Betracht; doch die bisherige Einwilligung, so das CBP, sei unzureichend.

2. toestemming van de betrokkene – unzureichend!

Folgt man dem Ermittlungsbericht ist die Einwilligung, die das Navigationssystem derzeit einholt, unwirksam. Denn nach Artikel 1 lit. i Wbp ist eine wirksame Einwilligung wie folgt definiert: „elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt“ (= „freiwillige, bestimmte und informierte Willenserklärung, mit der der Betroffene der Verarbeitung seiner personenbezogenen Daten zustimmt“). Die Einwilligung des Navigationssystems sei nicht hinreichend bestimmt. Denn tomtom argumentierte bislang, dass die betroffenen Geodaten keine personenbezogenen Daten seien und dies wirkte sich auch auf den Einwilligungstext aus. Nach Auffassung der Behörde fehlte es damit an der notwendigen Bestimmtheit der Einwilligung.

tomtom, so die entsprechende Pressemitteilung der CBP, habe mittlerweile zugesagt, den Einwilligungstext zu verändern.

3. Fazit

Das Fazit lautet: Derartiger Ärger kann vermieden werden. Eine frühzeitige datenschutzrechtliche Beratung, die bereits im Entwicklungsprozess ansetzt, hätte zu der Erkenntnis geführt, dass eine andere Einwilligung eingeholt werden muss. Hierbei hätte die Möglichkeit einer Begutachtung – unter Beteiligung der zuständigen Aufsichtsbehörde – bestanden. Dieses Konzept firmiert unter dem Titel „privacy by design“.

Die Erkenntnisse aus den Niederlanden lassen sich überallhin gut übertragen.