International Data Transfers: EU Commission prepares adaptation of all existing adequacy decisions

The European Commission is currently in the process of adaptation of existing decisions on the admissibility of transfers of personal data to countries outside the European Economic Area (so-called third countries). This follows from the agenda (txt) of the Article 31 Committee pursuant to Article 31 of the Data Protection Directive 95/46/EC for its meeting on October 3, 2016.

The European Commission is planning a formal decision adapting Decision 2001/497/EC on standard contractual clauses for the transfer of personal data to controllers in third countries and a decision adapting Decision 2010/87/EC on standard contractual clauses for transfer of personal data to processors established in third countries.

In addition, all existing adequacy decisions for the level of data protection in certain third countries shall be adapted. An overview of the current adequacy decisions can be found here.

The now planned adjustments by the European Commission are the consequence of the judgment of the European Court of Justice repealing the Safe Harbor Decision (C-362/14, Schrems). The actual content of the proposed amendments is however not publicly available. The two proposed decisions of the European Commission are not accessible. However, if one considers the judgment of the European Court of Justice, the proposed changes might in particular address the powers of national data protection authorities, which may not be restricted by decisions of the European Commission.

Internationale Datentransfers: Europäische Kommission bereitet Anpassung aller geltenden Beschlüsse vor

Die Europäische Kommission befindet sich derzeit im Prozess der Anpassung von allen existierenden Beschlüssen zur Zulässigkeit der Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraumes (sogenannte Drittstaaten). Dies geht aus der Tagesordnung (txt) des Ausschusses nach Artikel 31 der Datenschutzrichtlinie 95/46/EG für die Sitzung am 3. Oktober 2016 hervor.

Demnach plant die Europäische Kommission sowohl einen offiziellen Beschluss zur Anpassung der Entscheidung 2001/497/EG für Standardvertragsklauseln zur Übermittlung personenbezogener Daten an verantwortliche Stellen in Drittstaaten sowie einen Beschluss zur Anpassung der Entscheidung 2010/87/EG für Standardvertragsklauseln zu Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittstaaten.

Daneben sollen alle existierenden Angemessenheitsbeschlüsse für das Datenschutzniveau in bestimmten Drittstaaten angepasst werden. Eine Übersicht dieser Angemessenheitsbeschlüsse findet sich hier.

Die nun vorgesehenen Anpassungen durch die Europäische Kommission wurden aufgrund des Urteils des Europäischen Gerichtshofs zur Aufhebung der Safe Harbor-Entscheidung (C-362/14, Schrems) erforderlich. Welche Änderungen konkret vorgesehen sind, lässt sich jedoch leider der nun veröffentlichten Tagesordnung nicht entnehmen. Die beiden vorgeschlagenen Beschlüsse der Europäischen Kommission sind nicht veröffentlicht. Es dürfte jedoch, betrachtet man das Urteil des Europäischen Gerichtshofs, insbesondere um die Befugnisse der nationalen Aufsichtsbehörden gehen, die durch Beschlüsse der Europäischen Kommission nicht beschränkt werden dürfen. Die Beschlüsse zu Standardvertragsklauseln und Angemessenheitsentscheidungen, die nun abgeändert werden sollen, enthalten jedoch jeweils noch gewisse Voraussetzungen dazu, wann eine nationale Aufsichtsbehörde eine Datenübermittlung in einen Drittstaat überhaupt erst untersagen darf.

In dem Ausschuss nach Artikel 31 finden sich die Vertreter der Europäischen Mitgliedstaaten zusammen. Diese müssen nun eine Stellungnahme zu den im Entwurf vorgelegten Beschlüssen der europäischen Kommission fassen.

Die Zukunft der derzeit existierenden Standardvertragsklauseln könnte zudem von dem Ausgang eines Verfahrens in Irland abhängen. Hierzu hat die irische Datenschutzaufsichtsbehörde Hintergrundinformationen veröffentlicht (hierzu mein Blogbeitrag).

Zukunft der EU-Standardvertragsklauseln: Irische Datenschutzbehörde veröffentlicht Informationen zum aktuellen Verfahren

Die irische Datenschutzbehörde hat auf ihrer Webseite Hintergrundinformationen zu einem derzeit vor dem irischen High Court anhängigen Verfahren zur Frage der Gültigkeit der EU-Standardvertragsklauseln (genauer: den zugrundeliegenden Beschlüssen der Europäischen Kommission) veröffentlicht. Hiermit möchte die Behörde über die Hintergründe des Verfahrens, an dem Maximilian Schrems und Facebook beteiligt sind, und den aktuellen Stand informieren. EU-Standardvertragsklauseln sind ein Instrument, um personenbezogene Daten in Staaten außerhalb des EWR zu übermitteln zu dürfen, die, aus Sicht des europäischen Rechts, nicht über ein angemessenes Schutzniveau für personenbezogene Daten verfügen. Die von der Kommission entwickelten Klauseln stellen ihrer Auffassung nach „ausreichende Garantien“ (Art. 26 Abs. 2 Datenschutzrichtlinie 95/46/EG) für den Schutz der Privatsphäre und der Grundrechte der betroffenen Personen dar. Anders als etwa eine Angemessenheitsentscheidung der Kommission, wie jüngst zum EU US Datenschutzschild, entfalten die Klauseln jedoch ihre Wirkung nur im Verhältnis der Parteien, die diese nutzen.

Die Aufsichtsbehörde weist darauf hin, dass Facebook und auch andere international tätige Unternehmen diese Klauseln nutzen, um personenbezogene Daten aus der EU in die USA zu übermitteln. Nach Auffassung der Behörde genügen die von der Kommission entwickelten Standardvertragsklauseln aber in drei Punkten nicht den Anforderungen europäischen Rechts.

Zum einen stünden europäischen Bürgern in den USA keine vergleichbar wirksamen Rechtsbehelfe zur Verfügung, wie sie Art. 47 der Charta der Grundrechte der Europäischen Union fordert, wenn die Daten in den USA durch staatliche Behörden für Zwecke der nationalen Sicherheit verwendet werden.

Zum anderen behandeln die Standardvertragsklauseln die Frage des wirksamen Rechtsbehelfs nicht entsprechend den Vorgaben des Europäischen Gerichtshofs, die er in seinem Urteil zur Safe Harbor-Entscheidung der Kommission (C-362/14, Schrems) aufstellte.

Zuletzt, so die Behörde, ergebe sich daraus, dass die Standardvertragsklauseln (bzw. die diesen zugrundeliegenden Beschlüssen der Kommission) selbst gegen Art. 47 der Charta verstoßen.

Entsprechend den Vorgaben des Europäischen Gerichtshofs in seinem Urteil zu Safe Harbor, habe die Aufsichtsbehörde daher die Gültigkeit der Standardvertragsklauseln vor einem irischen Gericht in Zweifel gezogen. Das Gericht könnte nun die Frage der Gültigkeit der Klauseln dem Europäischen Gerichtshof vorlegen. Wann dies genau geschieht, ist noch unklar. Derzeit befinde man sich in einer Phase des Austauschs von Meinungen und rechtlichen Ansichten zu dem Fall, der bis zum 20. Januar 2017 abgeschlossen sein soll.

Die Aufsichtsbehörde wird fortlaufend über dieses Verfahren berichten.

Google Analytics: Neuer Vertrag zur Auftragsdatenverarbeitung für deutsche Unternehmen verfügbar

Im Juni diesen Jahres informierte der Hamburger Datenschutzbeauftragte darüber, dass sich die Aufhebung der Safe Harbor Entscheidung durch den Europäischen Gerichtshof unmittelbar auf den Einsatz des Dienstes Google Analytics auswirke (hier mein Beitrag dazu). In dem ursprünglich von Google zur Verfügung gestellten Vertrag zur Auftragsdatenverarbeitung wurde nämlich in Ziffer 4.7 auf die „Safe Harbor-Vereinbarung“ verwiesen. Diese Angemessenheitsentscheidung der Europäischen Kommission konnte jedoch nach dem Urteil des Europäischen Gerichtshofs nicht mehr als Grundlage einer Datenübermittlung von personenbezogenen Daten auf Server von Google in die USA dienen. Daher wurde damals durch die Behörde auch eine Überprüfung der empfohlenen Maßnahmen eingeleitet und Gespräche mit Google geführt.

Nun hat Google für deutsche Kunden des Dienstes Google Analytics einen neuen Vertrag zur Auftragsdatenverarbeitung bereitgestellt. Dieser ist hier abrufbar (PDF). In diesem Vertrag wird in Ziffer 4.7 nun auch nicht mehr auf Safe Harbor verwiesen. Es scheint sich bei diesem Vertragsformular, welches von deutschen Webseiten- oder App-Betreibern, die Analytics einsetzen möchten, unterzeichnet werden muss, um eine mit Blick auf den seit kurzem in Kraft getretenen EU-US Datenschutzschild (Privacy Shield) angefertigte Vertragsversion zu handeln. Der Titel des Dokuments wird als “(Privacy Shield version)” bezeichnet.

Das passt. Denn seit dem 22. September 2016 ist die Google Inc. auch offiziell unter dem EU-US Datenschutzschild zertifiziert. Unternehmen, die den Dienst Google Analytics einsetzen möchten, können sich für eine Übermittlung personenbezogener Daten an Google in den USA daher nun auf die Teilnahme des US-Unternehmens an dem Datenschutzschild berufen (vgl. auch die Information in der Datenschutzerklärung von Google).

Allein die Zertifizierung von Google unter dem Datenschutzschild reicht jedoch noch nicht aus, damit personenbezogene Daten zulässigerweise auf dieser Grundlage in die USA übermittelt werden dürfen. Erforderlich ist zudem, dass das jeweilige deutsche Unternehmen ein Vertrag zur Auftragsdatenverarbeitung mit Google abschließt (vgl. auch Anhang II, III. Zusatzgrundsätze, Ziffer 10 a. i. des Beschlusses zum Datenschutzschild). Diese Auffassung haben auch bisher die deutschen Datenschutzbehörden zu Safe Harbor vertreten und die Landesdatenschutzbeauftragte in Nordrhein-Westfalen hat erst kürzlich einen Leitfaden zur Anwendung des Datenschutzschildes veröffentlicht, in dem diese Auffassung bestätigt wurde (mein Beitrag dazu hier). Hierüber informiert Google auch in den Google Analytics Bedingungen. Neben dem Abschluss dieses Vertrages zur Auftragsdatenverarbeitung muss insbesondere darauf geachtet werden, in der eigenen Datenschutzerklärung auf den Einsatz des Dienstes hinzuweisen, eine Widerspruchsmöglichkeit bereitzustellen und durch entsprechende Einstellungen im Google-Analytics-Programmcode die Kürzung von IP-Adressen in Auftrag zu geben (Funktion „_anonymizeIp()). Vielleicht gibt es in näherer Zukunft auch noch eine offizielle Information des Hamburger Datenschutzbeauftragten oder einer anderen Aufsichtsbehörde.

 

Deutscher Juristentag: Entgeltlicher Vertrag bei Datennutzung aufgrund einer Einwilligung

Gestern wurden die Beschlüsse des 71. Deutschen Juristentages veröffentlicht (PDF). Teilweise beziehen sich diese auch auf interessante Fragen des Datenschutzrechts und die umstrittene Thematik „Daten als Entgelt“. Nachfolgend möchte ich einige dieser Beschlüsse näher darstellen.

Zu der Frage, ob und wenn ja wann bei einem Austausch von Daten von einem entgeltlichen bzw. unentgeltlichen Vertrag auszugehen ist, wurden folgende Anträge abgelehnt und angenommen:

Erlangt der Anbieter Daten, die ihm vom Nutzer zur Verfügung gestellt wurden oder die er auf andere Weise erhoben hat, so ist stets von einer Gegenleistung (Entgelt) auszugehen.

Dieser Antrag wurde abgelehnt. Meines Erachtens zu Recht, da ansonsten bei jeglichem Austausch von Daten (also etwa bei Übertragung der IP-Adresse im Rahmen des Besuchs einer Webseite) von einem entgeltlichen Vertrag auszugehen wäre.

Von einem Entgelt ist nur auszugehen, wenn die Datennutzung aufgrund des Datenschutzrechts nur mit Einwilligung des Betroffenen zulässig ist.

Dieser Antrag wurde angenommen. Von einem Entgelt soll zum einen nur ausgegangen werden, wenn es sich um personenbezogene Daten handelt. Denn nur in diesem Fall bewegen wir uns im Bereich des “Datenschutzrechts”. Kritisieren kann man, dass nicht klar ist, warum eine Entgeltlichkeit nur bei Vorliegen einer Einwilligung angenommen werden sollte. Eventuell möchte man eine Abgrenzung zu einer Verarbeitung schaffen, die für die Durchführung und Abwicklung eines Vertragsverhältnisses erforderlich ist. Es existieren jedoch (neben der Einwilligung) auch andere Erlaubnistatbestände im Datenschutzrecht, die die Datennutzung als zulässig erachten, ohne dass ein Vertrag vorliegen muss. Beispielsweise bei einem Vorliegen berechtigter Interessen des Verantwortlichen. In diesem Fall würde man, dem obigen Beschluss folgend, keine Entgeltlichkeit annehmen. Zudem könnte man die Frage stellen, ob die Abhängigkeit der Entgeltlichkeit von der Einwilligung sinnvoll ist, wenn man sich überlegt, dass teilweise das Gesetz verpflichtend die Einholung einer Einwilligung vorsieht. Auch kann man die Frage stellen, was in Situationen geschieht, in denen die Datennutzung gerade nicht zulässig ist, weil die Einwilligung unwirksam ist. Liegen dann unentgeltliche Verträge vor?

Speziell zum Thema „Datenschutz“ wurden ebenfalls Beschlüsse gefasst.

„Das Inkrafttreten der Datenschutz-Grundverordnung sollte zum Anlass genommen werden, das Recht des Arbeitnehmerdatenschutzes u?ber § 32 BDSG hinaus umfassend neu zu regeln.“

Dieser Antrag wurde angenommen. Damit spricht sich der DJT für eine umfassende Neuregelung des Beschäftigtendatenschutzes aus. Der Anfang September veröffentliche Referentenentwurf für das ABDSG lässt jedoch vermuten, dass die entsprechende Öffnungsklausel in der Datenschutz-Grundverordnung nicht genutzt wird, um über die bisher bekannte Regelung des § 32 BDSG hinauszugehen.

„Das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG ist auch auf die nicht automatisierte Datenverarbeitung zu erstrecken.“

Auch dieser Antrag wurde angenommen. Insbesondere im Rahmen des Beschäftigtendatenschutzes spielt diese Vorschrift eine wichtige Rolle.

Datenschutzrechtliche Folgen des WLAN-Urteils des EuGH

Das heutige Urteil des Europäischen Gerichtshofs (C-484/14) in der Sache Mc Fadden und seine konkreten Folgen für die Haftungssituation der Anbieter von WLANs in der Öffentlichkeit, insbesondere für das im Sommer diesen Jahres überarbeitete Telemediengesetz (neuer § 8 Abs. 3 TMG), werden bereits heftig diskutiert.

Ich möchte mich nachfolgend gar nicht so sehr mit den Feststellungen des EuGH zur Haftung eines Anbieters eines WLANs befassen. Vielmehr möchte ich nachfolgend kurz auf die durch den EuGH aufgestellte Anforderung eingehen, dass ein Anbieter, wenn ein Nutzer des von ihm angebotenen offenen WLANs beispielsweise Urheberrechtsverletzungen begeht, gerichtlich dazu verpflichtet werden kann, hinreichend wirksame Maßnahmen zu ergreifen, um einen wirkungsvollen Schutz des Rechts des geistigen Eigentums sicherzustellen.

Nach Auffassung des EuGH muss eine solche Maßnahme bewirken, dass unerlaubte Zugriffe auf die Schutzgegenstände verhindert oder zumindest erschwert werden und dass die Internetnutzer, die die Dienste des WLAN-Anbieters in Anspruch nehmen, zuverlässig davon abgehalten werden, auf die Schutzgegenstände zuzugreifen (Rz. 95).

Im vorliegenden Fall entschied das Gericht, dass unter den gegebenen Umständen eine Maßnahme, die in der Sicherung des Internetanschlusses durch ein Passwort besteht, als erforderlich anzusehen ist (Rz. 99). Das vorlegende deutsche Gericht zog überhaupt nur drei mögliche Maßnahmen in Betracht; meines Erachtens ist daher auch nicht ausgeschlossen, dass andere, in diesem Verfahren nicht erwähnte Maßnahmen, ebenfalls als wirksame Alternativen angesehen werden könnten. Der EuGH verweist mehrmals ausdrücklich darauf, dass seine Prüfung vorliegend allein auf die drei durch das deutsche Gericht erwähnten Maßnahmen beschränkt ist.

Eine solche Sicherung des WLANs durch ein Passwort könnte, so der EuGH, die Nutzer dieses Anschlusses davon abschrecken, ein Urheberrecht oder verwandtes Schutzrecht zu verletzen, soweit diese Nutzer ihre Identität offenbaren müssen, um das erforderliche Passwort zu erhalten, und damit nicht anonym handeln können (Rz. 96).

Der EuGH macht die zu erzielende Abschreckungswirkung davon abhängig, dass sowohl ein Passwort vergeben werden muss und dieses zwingend von der Offenbarung der Identität der WLAN Nutzer abhängt. Das Ergebnis dieser Maßnahme muss nach dem Urteil des EuGH sein, dass die Nutzer „nicht anonym handeln können“.

Damit gestattet es der EuGH, dass WLAN Anbieter gerichtlich dazu verpflichtet werden können personenbezogenen Daten der Nutzer zur Identifizierung zu verarbeiten. Sie müssen ihre „Identität offenbaren“. Folglich wird diese Entscheidung auch datenschutzrechtliche Implikationen für die Anbieter von offenen WLANs haben. Sie können quasi dazu gezwungen werden, personenbezogene Daten zum Zweck der Identifizierung der Nutzer zu verarbeiten. Insbesondere dürfte es nach dem Urteil des EuGH nicht ausreichen, wenn etwa Pseudonyme vergeben werden können oder man sich zum Beispiel auch nur mit seinem Nachnamen anmelden könnte. Das Gericht bekräftigt mehrmals, dass der Nutzer seine Identität offenbaren müsse. Dies wird aber im Ergebnis nur möglich sein, wenn der Nutzer seinen vollen Namen und eventuell weitere personenbezogene Daten angibt.

Aus Sicht eines Anbieters eines WLAN muss sich dann unweigerlich die Frage stellen, auf der Grundlage welches Erlaubnistatbestandes die Verarbeitung entsprechender personenbezogener Daten zur Identifizierung eines Nutzers erlaubt ist.

Dabei wird sich zuallererst die Frage stellen, welches Gesetz überhaupt die einschlägigen datenschutzrechtlichen Regelungen für den Umgang mit personenbezogenen Daten in einem offenen WLAN bereithält. Man könnte zunächst freilich davon ausgehen, dass die datenschutzrechtlichen Regelungen der §§ 11 ff. TMG Anwendung finden, da es ja in dem Urteil um europäische Vorgaben gehen, welche ihre Umsetzung ebenfalls im TMG (§§ 7 und 8) finden. Hier ist jedoch zu beachten, dass die Frage, wer datenschutzrechtlich verantwortlich ist, wer also die „verantwortliche Stelle“ (§ 3 Abs. 7 BDSG) ist, zunächst einmal nach den Vorgaben des BDSG richtet. Dies auch, soweit es die datenschutzrechtlichen Regelungen des TMG betrifft.

Verantwortlich für die Datenverarbeitung (konkret die Identifizierung der Nutzer und die Vergabe eines Passwortes) wird hier in den meisten Fällen natürlich der Anbieter des WLANs sein. Wenn dieser im Rahmen einer vorgeschalteten Webseite, bevor der Nutzer in den Genuss des Zugangs zum freien Internet kommt, personenbezogene Daten, etwa zur Identifizierung erhebt und verarbeitet, dürfte die Datenverarbeitung über diese Website im Rahmen des Bereithaltens eigener Telemedien erfolgen (freilich mag man hier auch die Frage stellen, ob eine Identifizierung über eine Webseite überhaupt wirksam möglich ist). Jedoch erscheint fraglich, ob etwa der Erlaubnistatbestand des § 15 Abs. 1 TMG (also für den Umgang mit Nutzungsdaten; Bestandsdaten nach § 14 dürften nicht vorliegen, da kein Vertragsverhältnis mit dem WLAN-Anbieter besteht) die Verarbeitung personenbezogene Daten zur Identifizierung eines Nutzers gestattet. Zwar darf der Anbieter nach § 15 Abs. 1 TMG personenbezogene Daten eines Nutzers verwenden, jedoch nur soweit dies erforderlich ist, um die Inanspruchnahme des Telemediums (also etwa der vorgeschalteten Anmeldewebseite) zu ermöglichen. Man könnte jedoch wohl auch die Auffassung vertreten, dass die Verarbeitung personenbezogener Daten für eine Identifizierung des Nutzers ja nicht unbedingt erforderlich ist um die vorgeschaltete Webseite zu nutzen, sondern allein den Zweck hat um nach gelagert von dem Internetzugang profitieren zu können. Das Telemedium ist nur die Anmeldeseite, nicht der nachgelagerte Zugang zum Internet. Möglicherweise kann man sich hier nur mit der Einholung einer Einwilligung nach § 13 Abs. 2 TMG behelfen. Sollte die Identifzierung dagegen “offline” erfolgen (beispielsweise prüft der Kellner im Cafe die Ausweise), würde sich die Datenverarbeitung nach den Vorgaben des BDSG richten.

Daneben muss noch beachtet werden, dass die Anbieter von WLANs als sog. “Diensteanbieter” im Sinne des § 3 Nr. 6 b) TKG angesehen werden, da sie an der Erbringung von Telekommunikationsdiensten mitwirken. Diese Auffassung vertritt unter anderem die Bundesnetzagentur (Amtsblattmitteilung Nr. 149, 2015, PDF). Dies hat zur Folge, dass grundsätzlich auch die spezialgesetzlichen Regelungen zum Datenschutz im TKG (§§ 91 ff) Anwendung finden. Möglicherweise könnten die Informationen zum Passworte und zur Identität der Nutzer auch unter den Begriff der „Verkehrsdaten“ nach § Nr. 30 TKG fallen. Deren Verarbeitung richtet sich nach den Vorgaben des § 96 TKG.

Man wird abwarten müssen, wie sich die Folgen des Urteils in der Praxis auswirken und mit den nun aufgestellten Vorgaben des Urteils umgegangen wird. Anbieter von WLANs sollten aber in jedem Fall auch die mit diesen Vorgaben des EuGH einhergehenden datenschutzrechtlichen Folgen beachten.

Datentransfers in die USA unter dem EU-US Privacy Shield: Datenschutzbehörde NRW veröffentlicht Leitfaden für Unternehmen

Die Landesbeauftragte für den Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI) hat auf ihrer Webseite ein Dokument zu den Anforderungen an Datentransfers in die USA auf der Grundlage des EU-US-Datenschutzschildes (EU-US Privacy Shield) veröffentlicht (PDF, Stand: 12.09.2016 (17 Seiten)). Mit den Informationen (die in der Form von Fragen und Antworten bereitgestellt werden) richtet sich die Behörde schwerpunktmäßig an verantwortliche Stellen in Deutschland bzw. Nordrhein-Westfalen. Die Behörde weist zudem darauf hin, dass zur Umsetzung der Angemessenheitsentscheidung der europäischen Kommission weitere Abstimmungen zwischen den Aufsichtsbehörden und Deutschland und der EU erforderlich sind. Man sollte die Angaben in dem Dokument daher nicht als abschließend betrachten. Dennoch gibt der Leitfaden einen ersten groben Überblick, was deutsche Datenschutzbehörden in Zukunft von verantwortlichen Stellen in Deutschland im Hinblick auf die Einschaltung von US-Unternehmen im Rahmen des Datenschutzschildes verlangen könnten.

Insbesondere weist die LfDI darauf hin, dass bei einer Verarbeitung personenbezogener Daten aus der EU in den USA im Auftrag einer verantwortliche Stelle, neben den Zulässigkeitsvoraussetzungen der sog. zweiten Stufe der Datenverarbeitung (§§ 4b, 4c BDSG) auch die Anforderungen des § 11 BDSG zu erfüllen sind. Denn, so die Behörde, die Voraussetzungen des § 11 BDSG betreffen die sog. erste  Stufe des Datenumgangs (also die Frage der Rechtmäßigkeit der Datenübermittlung) und müssen daher unabhängig davon eingehalten werden, wo die Auftragsdatenverarbeitung stattfindet.

Zudem verlangt die Behörde von verantwortlichen Stellen, dass zusätzliche Prüfpflichten zu erfüllen sind, wenn sie sich in der zweiten Stufe auf das Datenschutzschild berufen möchten (S. 2). Nach Ansicht der LfDI zählen zu diesen Pflichten, dass sich die verantwortliche Stelle vergewissern muss, dass

  • das datenempfangende US-Unternehmen eine gültige Zertifizierung besitzt und
  • dass diese auch eingehalten wird.

Die verantwortliche Stelle muss dafür mindestens klären,

  • ob die Zertifizierung tatsächlich vorliegt,
  • diese noch gültig ist (diese muss jährlich erneuert werden) und
  • ob die zu übermittelnden Daten von der Zertifizierung abgedeckt sind.

Zudem, so die LfDI sollten sich verantwortliche Stellen ebenfalls nachweisen lassen, wie das US-Unternehmen seinen Informationspflichten aus dem Datenschutzschild gegenüber den von der Datenverarbeitung betroffenen Personen nachkommt.

Erwähnenswert ist zudem auch der Hinweis der Behörde, dass er sich vorbehält, aufgrund von Ergebnissen der jährlichen Überprüfung des Datenschutzschildes und auch eigenen Erkenntnissen, Datenübermittlungen unter dem Datenschutzschild gegebenenfalls in Einzelfällen auszusetzen (S. 4).

Die Anforderungen der LfDI ähneln jenen Vorgaben, die deutschen Aufsichtsbehörden bereits in ihrer „Orientierungshilfe – Cloud Computing“ (Stand 09.10.2014, PDF), damals noch zu Safe Harbor, formuliert haben.

Unter anderem wurde dort nämlich darauf hingewiesen, dass

auch eine gültige Safe-Harbor-Zertifizierung des Cloud-Anbieters (und ggf. des Unter-Anbieters) den Cloud-Anwender nicht von dem Erfordernis befreit, schriftliche Vereinbarungen entsprechend § 11 Abs. 2 BDSG zu treffen (S. 18).

Zudem stellten die Behörden damals fest, dass, solange eine flächendeckende Kontrolle der Selbstzertifizierungen US-amerikanischer Unternehmen durch die Kontrollbehörden in Europa und den USA nicht gewährleistet sei, auch die Unternehmen in Deutschland eine Verpflichtung treffe, gewisse Mindestkriterien zu prüfen, bevor sie personenbezogene Daten an ein auf der Safe-Harbor-Liste geführtes US-Unternehmen übermitteln (S. 17).

Diese Vorgaben scheint die Behörde nun in den Anwendungsbereich des Datenschutzschildes übertragen zu wollen.

Auch in den Zusatzgrundsätzen des Datenschutzschildes selbst was die europäische Kommission darauf hin, dass wenn personenbezogene Daten aus der EU in den USA im Auftrag verarbeitet werden sollen, dafür ein Vertrag geschlossen werden muss, unabhängig davon, ob der Auftragsverarbeiter der Vereinbarung zum Datenschutzschild beigetreten ist oder nicht (Anhang II, III.   Zusatzgrundsätze, 10. Obligatorische Verträge bei Weitergabe, a. Datenverarbeitung im Auftrag). Zu beachten ist freilich, dass sich diese Zusatzgrundsätze des Datenschutzschildes nicht direkt an verantwortliche Stellen in der Europäischen Union oder Deutschland richten. Der Beschluss der europäischen Kommission ist vielmehr an die Mitgliedstaaten gerichtet. Die Einhaltung der Grundsätze des Datenschutzschildes obliegt zudem den US-amerikanischen Unternehmen, die sich selbst zertifizieren möchten.

Man darf gespannt sein, welche gemeinsame Position die deutschen Behörden zu Datentransfers unter dem Datenschutzschild entwickeln. Die nun vorliegenden Leitlinien der Aufsichtsbehörde aus Nordrhein-Westfalen geben verantwortlichen Stellen zumindest jedoch einen ersten Hinweis darauf, wie sich die Aufsichtsbehörden eine Umsetzung der Regelungen des Datenschutzschildes in der Praxis vorstellen.

Erste Anmerkungen zum Referentenentwurf für das neue Allgemeine Bundesdatenschutzgesetz

Die europäische Datenschutz-Grundverordnung (DSGVO), welche ab dem 25. Mai 2018 in Europa anwendbar sein wird, stellt dem Grunde nach eine Verordnung nach Art. 288 Abs. 2 AEUV dar. Bekanntermaßen enthält sie jedoch Öffnungsklauseln für nationale Gesetzgeber, die sowohl die Möglichkeit zur Schaffung nationaler Regelungen beinhalten und in gewissen Bereichen die Mitgliedstaaten sogar verpflichten legislativ tätig zu werden.

Vor diesem Hintergrund hat das Bundesinnenministerium hat einen Referentenentwurf für ein „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ erarbeitet, der nun auch veröffentlicht wurde (PDF).

Bereits aus dem Umfang des Referentenentwurfs (immerhin 62 Paragrafen für ein Allgemeines Bundesdatenschutzgesetz) wird deutlich, dass auch mit Anwendbarkeit der DSGVO keine vollständige Harmonisierung des Datenschutzrechts in Europa existieren wird, sondern gewisse Bereiche weiter national (und durchaus auch divergierend) geregelt werden können bzw. müssen. In Zukunft wird man sich im Datenschutzrecht also nicht allein nur mit den Vorgaben der DSGVO befassen können.

Passend finde ich den Hinweis des BMI in der Entwurfsbegründung:

Damit entsteht für das Datenschutzrecht ein komplexes Regelungssystem aus unions- und mitgliedstaatlichen Vorschriften, das den Rechtsanwender vor eine anspruchsvolle Aufgabe stellt.

Nachfolgend möchte ich nur einige initiale Anmerkungen zu Teilen des Referentenentwurfs machen. Überdies sollte beachtet werden, dass sich bei diesem Entwurf noch nicht um den finalen Entwurf des Gesetzes handelt. Auch andere Ministerien, wie das Bundesministerium für Justiz und Verbraucherschutz oder auch das Wirtschaftsministerium, werden dem Entwurf für ein „Allgemeines Bundesdatenschutzgesetz“ (ABDSG) ihren Stempel aufdrücken wollen.

Anwendungsbereich
Das ABDSG soll künftig als allgemeines Datenschutzrecht des Bundes die Funktion haben, die bislang das BDSG hatte. Eine Auffangfunktion. Bereichsspezifische Regelungen des Bundes können also auch in Zukunft abweichendes Datenschutzrecht regeln. Das ABDSG gilt sowohl für nicht-öffentliche als auch öffentliche Stellen (des Bundes), § 2 Abs. 1 ABDSG.

Zweck des BDSG ist es insbesondere, das allgemeine deutsche Datenschutzrecht sowohl an die DSGVO als auch an die Richtlinie (EU) 2016/680 anzupassen. § 1 Abs. 2 Nr. 1 ABDSG verdeutlicht, dass für den Bereich der Wirtschaft in Zukunft fast ausschließlich die DSGVO die ausschlaggebenden datenschutzrechtlichen Maßgaben setzt. Nur in vereinzelten Bereichen gestattet die DSGVO abweichende nationale Regelung. Diese nationalen Regelungen sollen sich dann im ABDSG finden.

Erwähnenswert ist hier noch die Regelung des § 2 Abs. 4 ABDSG, nach der das ABDSG nur Anwendung findet, soweit der verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung verarbeitet. Durch diese Vorschrift soll geregelt werden, dass das ABDSG zur Anwendung kommt, wenn eine Datenverarbeitung durch eine in Deutschland ansässige Niederlassung vorliegt. Dies bedeutet aber auch, dass das ABDSG nicht anwendbar ist, wenn etwa ein Verantwortlicher nicht in der Europäischen Union niedergelassen ist, nach Art. 3 Abs. 2 DSGVO jedoch den Regelungen der DSGVO unterliegt, etwa weil er Personen in Deutschland Waren oder Dienstleistungen anbietet. In einem solchen Fall fehlt es nämlich an einer inländischen Niederlassung.

Erlaubnistatbestände für öffentliche Stellen
In § 4 ABDSG sollen spezifische Erlaubnistatbestände für Verarbeitungen durch öffentliche Stellen geschaffen werden. Das BMI möchte hier von den Öffnungsklauseln der Art. 6 Abs. 1 lit. e i. V. m. Art. 6 Abs. 3 S. 1 DSGVO Gebrauch machen. Die in § 4 Abs. 2 ABDSG aufgeführten Zwecke dienen insbesondere der Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe. Nach Abs. 2 Nr. 8 wird klargestellt, dass die Verarbeitung von personenbezogenen Daten zur Gewährleistung der Netz-, Daten- und Informationssicherheit ein öffentliches Interesse darstellt. Nach der Begründung zum Entwurf muss, wo dies erforderlich ist, das Sammeln, Auswerten und Untersuchen von Informationen über Sicherheitsrisiken oder -vorkehrungen und die gegenseitige Information, Beratung und Warnung von Staat, Wirtschaft oder Gesellschaft möglich sein. Ganz bewusst hat sich das BMI zudem dagegen entschieden, die Erlaubnis nur auf für das Gemeinwohl besonders wichtige Einrichtungen (wie z.B. Betreiber kritischer Infrastrukturen) zu beschränken.

Verarbeitung besonderer Kategorien personenbezogener Daten

In § 5 ABDSG (der nicht nur für öffentliche Stellen gilt) macht das BMI von der Öffnungsklausel des Art. 9 Abs. 2 lit. g) DSGVO Gebrauch. Besondere Kategorien personenbezogener Daten sollen in Zukunft auch dann verarbeitet werden dürfen, wenn dies aus Gründen eines „erheblichen öffentlichen Interesses“ erforderlich ist. Zu diesen erheblichen öffentlichen Interessen zählt das BMI etwa die Verarbeitung geometrischer Daten zu Zwecken der eindeutigen Identifikation einer Person (§ 5 Abs. 1 Nr. 1 ABDSG).

Zweckändernde Verarbeitung
In § 6 ABDSG schafft das BMI die Möglichkeit, personenbezogene Daten für einen anderen und auch mit dem Zweck der Erhebung unvereinbaren Zweck weiterzuverarbeiten. Diese Möglichkeit bietet Art. 6 Abs. 4 DSGVO. Die Regelung gilt sowohl für öffentliche als auch nicht-öffentliche Stellen. Man Meinungsbereich des § 6 dürfen auch besondere Kategorien personenbezogener Daten für andere und unvereinbare Zwecke weiterverarbeitet werden.

Beschränkungen der Betroffenenrechte
In den §§ 7 – 13 ABDSG macht das BMI von der Möglichkeit des Art. 23 DSGVO Gebrauch, dass in engen Grenzen die Betroffenenrechte beschränkt werden können. Nach § 7 Abs. 2 ABDSG wird die Informationspflicht des Verantwortlichen im Fall einer Weiterverarbeitung der Daten für andere Zwecke (Art. 13 Abs. 3 DSGVO) beschränkt. Soweit die Erteilung der Information einen unverhältnismäßigen Aufwand erfordern würde, muss der Verantwortliche nicht über diesen anderen Zweck informieren. Jedoch muss der verantwortliche in diesem Fall dafür sorgen, dass geeignete Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person ergriffen werden. Hierzu zählt insbesondere die Bereitstellung der Informationen über die anderen Zwecke für die Öffentlichkeit, was etwa durch Informationen auf einer Webseite erfolgen kann.

Nach § 7 Abs. 3 ABDSG schränkt die allgemeine Informationspflicht nach Art. 13 DSGVO für Fälle der Videoüberwachung öffentlich zugänglicher Räume ein. In diesem Fall muss aber der Umstand der Beobachtung (etwa durch ein Hinweisschild) erkennbar sein.

In § 9 ABDSG wird das Auskunftsrecht der Betroffenen beschränkt. Nach § 9 Abs. 2 lit. d) ABDSG besteht das Recht auf Auskunft und Erhalt einer Kopie nach Art. 15 DS GVO nicht, wenn die gespeicherten Daten ausschließlichen (!) Zwecken der Datensicherung oder der Datenschutzkontrolle dienen. Zudem müsse die Erteilung der Auskunft einen unverhältnismäßigen Aufwand erfordern.

Interessant ist auch die Ausnahme nach § 9 Abs. 2 lit. e) ABDSG, wonach das Auskunftsrecht dann nicht besteht, wenn die Benachrichtigung die Geschäftszwecke des Verantwortlichen erheblich gefährden würde.
Das Recht auf Löschung von Daten (Art. 17 DSGVO) soll nach § 10 Abs. 2 ABDSG dann nicht bestehen, wenn die Löschung aufgrund der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigen Aufwand möglich ist. Diese Beschränkung, so der Entwurf des BMI, dient dem Schutz der Rechte und Freiheiten anderer Personen (Art. 23 Abs. 1 lit. i) DSGVO).

Nach § 12 Abs. 2 ABDSG darf eine Einzelentscheidung, die gegenüber der betroffenen Person rechtliche Wirkung entfaltet und die ausschließlich auf einer automatisierten Verarbeitung beruht, auch über die in Art. 22 Abs. 2 DSGVO vorgesehenen Ausnahmen dann erfolgen, wenn diese Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertrages oder eines sonstigen Rechtsgeschäfts (hier geht des ABDSG über die Ausnahme des Art. 22 Abs. 2 lit. a) DSGVO hinaus) zwischen der betroffenen Person und dem Verantwortlichen ergeht und dem Begehren der betroffenen Person stattgegeben wird. Die Entscheidung (bzw. die ihr zugrundeliegende Verarbeitung) muss also nicht für die Erfüllung des Vertrages oder Rechtsgeschäftes erforderlich sein.

Datenschutzbeauftragter
§ 14 ABDSG sieht, über die Vorgaben der DS GVO hinausgehend, vor, wann zwingend ein Datenschutzbeauftragter zu bestellen ist. Insbesondere soll dies der Fall sein, wenn in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Klagerecht gegen Privacy Shield & Co.
Nachdem bereits vor einigen Monaten der Bundesrat ein neues Klagerecht für Aufsichtsbehörden gegen Angemessenheitsentscheidung der Europäischen Kommission für das Schutzniveau personenbezogener Daten in Drittstaaten gefordert hatte, wird dieses neue Klagerecht nun in § 28 ABDSG aufgenommen. Jedoch mit ein paar inhaltlichen Abweichungen zu dem ursprünglichen Vorschlag im Bundesrat.

Aufsichtsbehörden können danach bei der Prüfung eine Beschwerde einer betroffenen Person gegen eine Angemessenheitsentscheidung (wie jetzt zum Privacy Shield) im Wege einer Feststellungsklage vor das Bundesverwaltungsgericht ziehen. Interessant ist, welchen Inhalt der Antrag auf Feststellung haben soll. Der Antrag soll darauf lauten festzustellen, dass das Bundesverwaltungsgericht „die Zweifel der Aufsichtsbehörde an der Gültigkeit eines zur Rechtfertigung der Übermittlung angewendeten Angemessenheitsbeschlusses der Kommission teilt“. Der ursprüngliche Gesetzesvorschlag für einen neuen § 38b BDSG sah noch die Feststellung einer Ungültigkeit der Angemessenheitsentscheidung der Kommission vor. Die Ungültigkeit eines EU Rechtsaktes kann ein nationales Gericht jedoch gerade nicht feststellen. Hierauf hatte ich auch im Rahmen eines Blogbeitrages zu dem damaligen Gesetzesvorschlag hingewiesen.

Vertretung im Europäischen Datenschutzausschuss
Ausführlich regelt der Entwurf für das ABDSG zudem das Verfahren der Vertretung der deutschen Datenschutzbehörden im Europäischen Datenschutzausschuss (Kapitel 6). Grundsätzlich soll hier der oder die Bundesbeauftragte für den Datenschutz der gemeinsame Vertreter der deutschen Behörden sein. Zusätzlich stellen die Landesbehörden jedoch einen Stellvertreter. Dieser wird vom Bundesrat gewählt. Je nach der im europäischen Datenschutzausschuss beratenen Angelegenheit muss dann der gemeinsame Vertreter die Verhandlungsführung und das Stimmrecht im Europäischen Datenschutzausschuss auf den Vertreter der Landesbehörden übertragen.

Des Weiteren wird ausführlich das Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder geregelt.

Beschäftigtendatenschutz
In § 33 ABDSG enthält der Referentenentwurf auch eine Vorschrift zur Datenverarbeitung im Beschäftigungskontext. Hier gibt es jedoch keine Überraschungen. Zitat aus der Entwurfsbegründung: „Absätze 1 bis 3 entsprechen § 32 Bundesdatenschutzgesetz.“

TMG
In dem Entwurf des ABDSG finden sich keine Regelungen zur Datenverarbeitung im Bereich der Telemedien. Man darf gespannt sein, ob hier eventuell noch das Bundeswirtschaftsministerium entsprechende Vorschläge unterbreitet. Da jedoch ohnehin fast alle Regelungen des TMG zum Datenschutz nicht auf einer Umsetzung der sogenannten ePrivacy-Richtlinie beruhen, werden die entsprechenden Vorschriften ab dem vom 25. Mai 2018 nicht mehr anwendbar sein.

Niederländische Datenschutzbehörde: SmartTV-Anbieter müssen nachbessern

Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) hat in der letzten Woche mitgeteilt (Englisch), dass ein Prüfverfahren von Anbietern von SmartTV-Geräten mit einer Anpassung der Datenverarbeitung durch die Anbieter beendet wurde.

Im Juni 2016 veröffentlichte die Behörde einen Abschlussbericht (Englisch, pdf) zu ihrer Prüfung der Datenschutzkonformität des SmartTV-Angebotes. In dem Bericht noch aufgezeigte Mängel wurden von dem Anbieter nun ausgebessert. Die beanstandeten datenschutzrechtlichen Unzulänglichkeiten lesen sich wie die “Klassiker” der möglichen Fehler.

Unter anderem bemängelte die Aufsichtsbehörde, dass zu Beginn des Prüfverfahrens in der Datenschutzerklärung des Anbieters überhaupt keine Informationen zum Umgang mit personenbezogenen Daten erteilt wurden. Es fehlten auch Informationen zur Identität der verantwortlichen Stelle (vorliegend wurden zwei gemeinsam verantwortliche Stelle tätig) und den Zweck der Verarbeitung personenbezogener Daten.

Zwar gesteht die Aufsichtsbehörde zu, dass die Anbieter personenbezogene Daten zum Betrieb des Systems, zur Erbringung von Diensten über den SmartTV und auch zur Durchführung des jeweiligen Vertrages (z. B. Video on Demand) mit dem Kunden ohne dessen Einwilligung verarbeiten dürfen. Jedoch beanstandete die Behörde in ihrem Bericht, dass die Verarbeitung dennoch unzulässig war, weil die Anbieter hierüber nicht ausreichend informiert hatten.

Der Datenschutz bei SmartTV-Geräten ist auch in Deutschland ein Thema. So hat die Verbraucherzentrale NRW den Hersteller Samsung vor dem Landgericht Frankfurt am Main verklagt (Az. 2-03 O 364/15) und zum Teil Recht bekommen. Das Bayerische Landesamt für Datenschutzaufsicht hat bereits im Jahr 2015 eine umfassendere datenschutzrechtliche Prüfung von SmartTV-Geräten vorgenommen (zur Pressemitteilung, pdf).

Federal Government: No new right for data protection authorities to directly challenge Privacy Shield

On 13 May 2016, the German Bundesrat (representing the sixteen Länder) in a resolution (BR Drs. 171/16 (B) pdf, German) prompted the Federal Government to introduce a new law for a right of action by data protection authorities against so-called adequacy decisions of the EU Commission for third-country transfers of personal data, as formerly Safe Harbor and now the EU-U.S. Privacy Shield (see my earlier post, German). This demand originated in particular from the judgment of the ECJ in “Schrems” (C-362/14) in October 2015.

In a statement (pdf, German) from July 15, 2016 the Federal Government now takes a stand on this resolution of the Bundesrat.

The Ministry of the Interior indicates that it is already currently working intensively on the adaptation of the national data protection law to the General Data Protection Regulation (GDPR). The new national data protection law shall, in accordance to the provision of Art. 58 para 5 GDPR, also provide legal remedies for data protection authorities.

However, the Ministry of the Interior does not directly mention the possibility of a judicial remedy against an adequacy decision of the European Commission but only refers to Art. 58 para 5 GDPR. Art. 58 para 5 GDPR also does not refer to the legal challenge of adequacy decisions of the European Commission as such, but to “infringements of this Regulation”.

This refers to a transfer of data to a third country as such that is not in accordance with the provisions of the GDPR, for example not based on a decision on adequacy or for example standard contractual clauses. The binding adequacy decision of the European Commission’s decision is, at least in my interpretation, not the subject of Art. 58 para 5 GDPR, but the processing of personal data as such which could be illegal and therefore challenged. Of course, the basis for this transfer (like an adequacy decision) could then also be assessed by the ECJ as part of a the general assessment of lawfulness of the transfer.

This would also be in line with the ECJ case law, as the Court has emphasized (margin 61 of Schrems judgment, C-362 /14)): „the Court alone has jurisdiction to declare that an EU act, such as a Commission decision adopted pursuant to Article 25(6) of Directive 95/46, is invalid, the exclusivity of that jurisdiction having the purpose of guaranteeing legal certainty by ensuring that EU law is applied uniformly“.

The Federal Government also does not want to grant data protection authorities the right to launch an action for annulment before the ECJ in accordance with Art. 263 TFEU on behalf of the Federal Republic of Germany. This is mainly because the data protection supervisory authorities are and must be independent.