Post Safe Harbor: The position of the German Data Protection Authorities

The German Data Protection Authorities (in total 17 for the private sector) have today published their position (German) on the consequences for transfers of personal data to the USA after the Court of Justice of the European Union (CJEU) recently struck down the Safe Harbor decision of the European Commission (Case C-362/14).

Not an easy task

According to recent media reports (https://www.tagesschau.de/inland/safe-harbor-105.html, in German), the process of finding a common approach was not an easy task. Not all Data Protection Commissioners seem to share the same view on the legal conclusions and consequences for businesses that have to be drawn from the court’s judgment. So the position now published seems to reflect only the lowest common denominator. On 14th October for example, the Data Protection Authority of Schleswig-Holstein (known for its strict interpretation of the law) published its own assessment of the judgment (available in English) and concluded that “a data transfer on the basis of Standard Contractual Clauses to the US is no longer permitted”.

The official position

I will hereinafter summarize the position of the German authorities:

Just like already stated by the Article 29 Working Party in its statement (PDF), the German authorities highlight that data transfers to the USA are unlawful if they are solely based on the Safe Harbor decision.

The German authorities further clarify that they will prohibit any data transfer based on Safe Harbor they gain knowledge of. The watchdogs will base the exercise of their powers under Article 4 of the respective decisions by the European Commission for standard contractual clauses (2004/915/EC and 2010/87/EC) on the principles formulated by the CJEU in margin numbers 94 and 95 of its judgment. This refers especially to the finding of the CJEU that legislation in the European Union, permitting public authorities to have access on a generalized basis to the content of electronic communications must be regarded as compromising the essence of the fundamental right to respect for private life, as guaranteed by Article 7 of the Charter of Fundamental Rights.

At the moment, the German authorities will not grant new approvals for data transfers on the basis of Binding Corporate Rules (BCR) or contracts to export personal data to the USA.

Consent may be an acceptable basis for data transfers, according to the authorities. But only wihtin narrow limits. In general, the respective data transfer may not take place repeatedly or as a matter of routine.

The German authorities ask the national legislator to provide the authorities with their own legal remedies enabling them to put forward their objection against an adequacy decision by the European Commission before the national courts (see margin number 65 of the judgment).

Furthermore the authorities request the European Commission to amend the current standard contractual clauses in light of the CJEU’s decision in a timely manner. The deadline set by the Article 29 Working Party (31st January 2016) is welcomed by the German watchdogs.

Interestingly, the German authorities also call on the German government to directly contact the US government and to press for adherence to an adequate level of protection of the fundamental rights of privacy and data protection.

Prospect

As already mentioned this position only forms the lowest common denominator and is not binding. Views in the different federal states may therefore differ. To recall one of the central points of the CJEU’s decision, Data Protection Authorities are responsible for monitoring, with complete independence, compliance with EU rules on the protection of individuals with regard to the processing of such data. It can therefore not be ruled out that we might see differing implementations of the judgment within Germany. The authorities also highlight the fact of independence in their position.

Juristischer Dienst des Europäischen Parlaments: EuGH urteilte nicht zu US-Gesetzen

Gestern fand im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments eine Aussprache zum Safe Harbor-Urteil des EuGH statt. Unter anderem präsentierte ein Vertreter des juristischen Dienstes des Europäischen Parlaments die Kernelemente der Entscheidung.  Das Video zu der Aussprache ist hier abrufbar. Die Präsentation beginnt ab ca. 15.18.00.

Meines Erachtens von besonderer Relevanz und begrüßenswert sind die Feststellungen des juristischen Dienstes im Hinblick auf jene Urteilsgründe, in denen sich der EuGH mit der Zulässigkeit der Überwachung der Kommunikation durch stattliche Behörden befasst. In der Berichterstattung zu dem Urteil wurde oft auf die Rz. 93, 94 und 95 verwiesen, die ich hier noch einmal abbilde:

93 Nicht auf das absolut Notwendige beschränkt ist eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen (vgl. in diesem Sinne, in Bezug auf die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG [ABl. L 105, S. 54], Urteil Digital Rights Ireland u. a., C?293/12 und C?594/12, EU:C:2014:238, Rn. 57 bis 61).

94 Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens (vgl. in diesem Sinne Urteil Digital Rights Ireland u. a., C?293/12 und C?594/12, EU:C:2014:238, Rn. 39).

95 Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz. Nach Art. 47 Abs. 1 der Charta hat nämlich jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, das Recht, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. Insoweit ist schon das Vorhandensein einer wirksamen, zur Gewährleistung der Einhaltung des Unionsrechts dienenden gerichtlichen Kontrolle dem Wesen eines Rechtsstaats inhärent (vgl. in diesem Sinne Urteile Les Verts/Parlament, 294/83, EU:C:1986:166, Rn. 23, Johnston, 222/84, EU:C:1986:206, Rn. 18 und 19, Heylens u. a., 222/86, EU:C:1987:442, Rn. 14, sowie UGT?Rioja u. a., C?428/06 bis C?434/06, EU:C:2008:488, Rn. 80).

Vor allem aus der Feststellung in Rz. 94 könnte man schließen, dass es sich dabei um „Regelungen“ in US-Gesetzen handelt oder dass der EuGH mit „Regelungen“ ausländische Vorschriften anspricht. Doch dies ist gerade nicht der Fall. Der EuGH bezieht sich in diesen Randnummern auf das Schutzniveau innerhalb der EU und was im Rahmen dieses Schutzniveaus gesetzlich nicht zulässig ist.

Klar wird der Bezug auf das europäische Recht auch, wenn man Rz. 96 betrachtet. Dort fasst der EuGH noch einmal zusammen, dass eine Angemessenheitsentscheidung eines Mitgliedstaates oder der EU-Kommission mit Blick auf das Schutzniveau in einem Drittstaat begründete Feststellungen enthalten muss,

dass das betreffende Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleistet, das dem in der Rechtsordnung der Union garantierten Niveau, wie es sich insbesondere aus den vorstehenden Randnummern des vorliegenden Urteils ergibt, der Sache nach gleichwertig ist. (Hervorhebung durch mich)

Der EuGH bezieht sich hier noch einmal auf die Rz. 93 ff. und macht deutlich, dass es sich in den Ausführungen in diesen Randnummern um das in der Union garantierte Schutzniveau und die (grund)rechtlichen Vorgaben innerhalb der EU geht. Gegenstand der Begutachtung war nicht das amerikanische Recht. Inhalt eines Angemessenheitsbeschlusses muss damit die Feststellung sein, dass die Gesetze und/oder Verpflichtungen aus internationalen Abkommen in dem Drittstaat dieses in der Union garantierte Niveau (welches sich aus den Rz. 93 ff ergibt) nicht unterschreiten. Der EuGH gibt dem Grund nach also im Groben vor, welches Schutzniveau in der Union mit Blick auf die Überwachung durch Geheimdienste und Rechtsschutzmöglichkeiten für Bürger gilt und dass dieses Niveau gleichwertig in einem Drittland existieren muss. Ob dies für die USA der Fall ist, dazu hat sich der EuGH nicht verhalten. In der zu beurteilenden Safe Harbor-Entscheidung wurde schlicht die gesetzlich erforderliche Feststellung zum Schutzniveau nicht vorgenommen. Aus diesem Grund ist Safe Harbor ungültig.

Update vom 14.10.2015:

In einem Interview mit dem „The Wall Street Journal“ stellt auch der neue Präsident des EuGH noch einmal ausdrücklich klar, dass das Urteil sich nicht mit den Vorgaben und dem Schutzumfang des amerikanischen Rechts befasst, sondern allein das Schutzniveau innerhalb der EU und die europäischen Voraussetzungen für Datentransfers im Blick hat:

We are not judging the U.S. system here; we are judging the requirements of EU law in terms of the conditions to transfer data to third countries, whatever they may be.

Auskunftsverlangen nach Safe Harbor: Muss über den Ort der Datenverarbeitung informiert werden?

Nach der Safe Harbor-Entscheidung des EuGH (hierzu mein Blogbeitrag), dürften sich Auskunftsersuchen von Betroffenen häufen, die ihr Recht aus § 34 BDSG geltend machen. Zumindest bei mir lag einen Tag nach dem Urteil bereits die erste Anfrage hierzu auf dem Tisch. Häufig wird in diesem Zusammenhang (und vor dem Hintergrund der Entscheidung des EuGH durchaus verständlicherweise) auch danach gefragt, wo (örtlich) die personenbezogenen Daten des Betroffenen verarbeitet werden. So sieht etwa auch der Musterbrief der Verbraucherzentrale NRW (PDF) eine solche Frage vor. Doch muss eine verantwortliche Stelle hierüber tatsächlich Auskunft geben?

Europäische Vorgaben

Nach Art. 8 Abs. 2 S. 2 der Charta der Europäischen Union hat jede Person das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten. Die Grundrechte der EU binden zwar nicht direkt private Unternehmen. Dennoch soll diese Vorgabe als Ausgangspunkt der Betrachtung dienen.

Nach Art. 12 der europäischen Datenschutz-Richtlinie (DS-RL) garantieren die Mitgliedstaaten jeder betroffenen Person das Recht, vom für die Verarbeitung Verantwortlichen folgendes zu erhalten:

  • zumindest Informationen über die Zweckbestimmungen dieser Verarbeitungen, die Kategorien der Daten, die Gegenstand der Verarbeitung sind, und die Empfänger oder Kategorien der Empfänger, an die die Daten übermittelt werden;
  • eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie die verfügbaren Informationen über die Herkunft der Daten;

Der Ort der Datenverarbeitung wird hier nicht genannt. Jedoch stellen diese Vorgaben auch nur Mindestanforderungen an die nationalen Datenschutzgesetze dar („zumindest“). Die Mitgliedstaaten können also in ihren nationalen Rechtsordnungen weitere Informationen vorsehen.

§ 34 BDSG

Nach § 34 Abs. 1 BDSG hat die verantwortliche Stelle dem Betroffenen auf Verlangen Auskunft zu erteilen über

  • die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
  • den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und
  • den Zweck der Speicherung.

Auch in den deutschen Vorgaben des Auskunftsanspruchs wird der Ort der Datenverarbeitung also nicht als verpflichtende Information genannt. Ausreichend ist zudem die Auskunft über die „Kategorien“ von Empfängern der Daten. Die Datenempfänger (z.B. dritte Unternehmen) müssen also nicht notwendigerweise genau benannt werden.

Kommentarliteratur

Die datenschutzrechtliche Kommentarliteratur ist zu dieser Frage gespalten. Schmidt-Wudy (Beck’scher Online-Kommentar Datenschutzrecht, § 34 BDSG, Rn. 47) verweist nur darauf, dass eine Auffassung existiert, die auch den Standort der Datenverarbeitung vom Auskunftsanspruch umfasst ansieht. Dix (Simitis, § 34 BDSG, Rn. 23) vertritt die Ansicht, dass Ort der Datenverarbeitung gerade im Fall des Cloud Computing besonders bedeutsam ist und aus diesem Grund vom Auskunftsanspruch umfasst sein muss. Dix verweist zur Begründung seiner Ansicht zudem darauf, dass der Ort der Datenverarbeitung entscheidend für die Frage des anwendbaren Datenschutzrechts sei und der Betroffene daher hierzu Informationen erhalten muss.

Dass es für die Frage des anwendbaren Datenschutzrechts jedoch gerade nicht auf den Ort der technischen Datenverarbeitung ankommt (wo also die Server/Computer stehen), hat bereits im Jahre 2002 die Art. 29 Datenschutzgruppe festgestellt (Stellungnahme WP 56, S. 9,  pdf). Auch der EuGH hat in der kürzlich ergangenen (und leider bisher kaum öffentlich wahrgenommenen) Entscheidung „Weltimmo“ der Tatsache, in welchem Land die Server eines Unternehmens stehen, um eine Website zu betreiben über die personenbezogene Daten verarbeitet werden, ausdrücklich keine Bedeutung für die zu beurteilende Frage des anwendbaren Datenschutzrechts beigemessen (vgl. EuGH, Rechtssache C-230/14, Rz. 18; mein Blogbeitrag hierzu). Aus diesem Grund halte ich es daher nicht für erforderlich bzw. gesetzlich geboten, den Ort der Datenverarbeitung in den Auskunftsanspruch aufzunehmen.

Neben dem Wortlaut der deutschen und europäischen Vorschriften spricht meines Erachtens auch der hinter dem Auskunftsanspruch liegende Zweck gegen eine Pflicht, den Ort der Datenverarbeitung im Rahmen des Auskunftsanspruchs nennen zu müssen. Der BGH hat bereits 1983 entschieden, dass der Auskunftsanspruch das notwendige Korrelat zu den Ansprüchen auf Berichtigung, Sperrung und Löschung darstellt (Urteil vom 15.12.1983 – III ZR 187/82). So sieht dies auch der EuGH. Seiner Auffassung nach dient der Auskunftsanspruch vor allem dem Zweck, es der betroffenen Person zu ermöglich, von über ihre Person gespeicherten Daten Kenntnis zu erlangen und zu prüfen, ob sie richtig sind und der gesetzlichen Vorgaben gemäß verarbeitet werden, so dass diese Person gegebenenfalls die ihr zustehenden Rechte auf Berichtigung und Löschung ausüben kann (vgl. EuGH, Rechtssachen C?141/12 und C?372/12, Rz. 57). Um jedoch den Berichtigungs- oder Löschungsanspruch ausüben zu können, muss eine Person nicht wissen, wo die Daten physisch liegen (im Übrigen weiß dies in der heutigen Zeit oft nicht einmal die verantwortliche Stelle selbst, da Daten oft dupliziert auf verschiedenen Servern in mehreren Ländern abgespeichert werden). Völlig ausreichend ist, dass sie Kenntnis davon hat, welche Daten vorhanden sind und wozu sie genutzt werden. Ob die Daten nun in Deutschland, England oder Amerika gespeichert sind ändert nichts daran, dass bei einer datenschutzrechtswidrigen Verarbeitung diese Daten zu löschen oder zu berichtigen sind.

Informationspflichten nach TMG

Wenn im Rahmen des Auskunftsanspruchs zwar nicht über den Ort der Datenverarbeitung zu informieren ist, so besteht für eine verantwortliche Stelle im Anwendungsbereich des TMG jedoch nach § 13 Abs. 1 TMG die Pflicht,

den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten.

Hier muss der Diensteanbieter (etwa im Internet oder in einer App) zumindest allgemein darüber informieren, dass personenbezogene Daten in sog. Drittstaaten verarbeitet werden. Nicht aufklären muss die verantwortliche Stelle über den konkreten Ort in einem Drittstaat. Ebenso wenig muss darüber informiert werden, ob personenbezogene Daten in anderen Ländern innerhalb des EWR verarbeitet werden. Zumindest im Anwendungsbereich es TMG besteht also eine Art eingeschränkter Informationspflicht über den Ort der Datenverarbeitung.

Safe Harbor-Urteil des EuGH: Die Kommission hat ihre Kompetenzen unter- und überschritten

Heute hat der Europäische Gerichtshof (EuGH) entschieden (Az. C-362/14), dass die Safe Harbor-Entscheidung der Europäischen Kommission, die eine von mehreren möglichen Grundlagen der Übermittlung von personenbezogenen Daten aus dem EWR in die USA darstellt, ungültig ist.

Der zuständige Generalanwalt Bot hatte seine Schlussanträge erst vor zwei Wochen präsentiert (hierzu mein Blogbeitrag und ein Beitrag bei Legal Tribune Online). Mit seinem heutigen Urteil folgt der EuGH dem Generalanwalt in einigen, jedoch nicht in allen Punkten.

Was hat der EuGH nun konkret entschieden? Was sind die Gründe des Urteils? Nachfolgend möchte ich zu diesen Fragen einige erste Einschätzungen geben. Die Erwägungen des EuGH sind teilweise doch etwas überraschend. Folgende Informationen bereits vorab, da es in der Berichterstattung zu dem Urteil bereits (leider) oft anders dargestellt wird:

  • Der EuGH verhält sich in keinster Weise zum konkreten Schutzniveau für personenbezogene Daten in den USA.
  • Der EuGH stützt sein Urteil nicht ausdrücklich (wie noch der Generalanwalt) auf die Zugriffsmöglichkeiten von speziellen Geheimdiensten, insbesondere der NSA, sondern begründet seine Entscheidung allgemeiner. Auch stützt er seine Entscheidung nicht auf die Berichterstattung und Enthüllungen von Edward Snowden.
  • Entscheidungsgegenstand ist ein Rechtsakt der EU-Kommission, der nach Auffassung des EuGH nicht den Anforderungen des EU-Rechts (insbesondere Verhältnismäßigkeit) an europäische Rechtsakte und durch diese ermöglichte Eingriffe in Grundrechte genügt.

Befugnisse nationaler Datenschutzbehörden und Angemessenheitsbeschlüsse

Zunächst befasst sich der EuGH mit den Befugnissen der nationalen Datenschutzbehörden und wie diese bei Vorliegen eines Angemessenheitsbeschlusses der Kommission (wie Safe Harbor) ihre Befugnisse ausüben dürfen. Nach Art. 28 Abs. 1 der geltenden Datenschutz-Richtlinie (DS-RL, RL 95/46/EG) dürfen die Aufsichtsbehörden die ihnen gesetzlich übertragenen Befugnisses allein im Hoheitsgebiet ihres Mitgliedstaates ausüben (Rz. 44). Also etwa nicht in einem Drittstaat, wie den USA oder auch in einem anderen Mitgliedstaat innerhalb der EU.

Eine Datenübermittlung aus einem Mitgliedstaat in einen Drittstaat stellt aber selbstverständlich eine Datenverarbeitung innerhalb des Mitgliedstaates dar, die durch die Aufsichtsbehörde geprüft werden kann (Rz. 45). Die Feststellung, dass ein Drittstaat über ein „angemessenes“ Niveau für den Schutz personenbezogener Daten verfügt und damit eine Übermittlung in diesen Drittstaat überhaupt erst möglich ist, kann sowohl von der Kommission als auch von einem Mitgliedstaat getroffen werden (Rz. 50). Fällt die Kommission eine solche Entscheidung auf der Grundlage von Art. 25 Abs. 6 DS-RL, so sind hieran die Mitgliedstaaten und all ihre Organe gebunden (Rz. 51). Dies betrifft auch die nationalen Aufsichtsbehörden. Ab hier scheint sich der EuGH nun etwas von der Auffassung des Generalanwalts in dessen Schlussanträgen zu entfernen.

Der EuGH urteilt weitert, dass allein der EuGH selbst eine solche Entscheidung der Kommission aufheben darf. Bis zur Aufhebung oder auch Anpassung durch die Kommission selbst, dürfen jedoch die Mitgliedstaaten und damit auch die Aufsichtsbehörden keine abweichenden Entscheidungen treffen (Rz. 52). Freileich muss es für Betroffene, auch bei einer Bindungswirkung der Kommissionsentscheidung, möglich sein, Beschwerden hinsichtlich eines Datentransfers in den Drittstaat vorzubringen. Ebenso stehen den Aufsichtsbehörden auch weiterhin ihre gesetzlichen Aufsichts-, Untersuchungs- und Sanktionsmaßnahmen zu (Rz. 53). Aufsichtsbehörden müssen also, nach Beschwerden, auch bei bestehendem Angemessenheitsbeschluss, Untersuchungen durchführen (Rz. 57). Wenn jedoch eine Beschwerde die Frage der Rechtmäßigkeit von Datentransfers betrifft, für die schon ein entsprechender Beschluss der Kommission existiert (so wie hier), dann ist eine solche als insgesamt gegen die Gültigkeit des Angemessenheitsbeschlusses anzusehen (Rz. 59). Wie jeder andere europäische Rechtsakte (Verordnungen, Richtlinien), so muss sich auch ein Angemessenheitsbeschluss der Kommission an den rechtsstaatlichen Vorgaben des EU-Rechts messen lassen (Rz. 60). Nur der EuGH jedoch kann eine entsprechende Entscheidung der Kommission für ungültig erklären (Rz. 61). Nationale Aufsichtsbehörden können, wie bereits erwähnt, keine inhaltlich abweichenden Entscheidungen treffen oder gar einen Angemessenheitsbeschluss als unwirksam ansehen (Rz. 62). Wenn ein Betroffener mit seiner Beschwerde, die sich auf den Datentransfer in einen Drittstaat bezieht, von der zuständigen Aufsichtsbehörde abgewiesen wird, so muss er die Möglichkeit haben, hiergegen gerichtlich vorzugehen. Ebenso muss es den nationalen Aufsichtsbehörden möglich sein, eine Angemessenheitsentscheidung gerichtlich prüfen lassen zu können. Am Ende beider verfahren muss die Vorlage an den EuGH durch das nationale Gericht stehen (Rz. 64 ff.).

Was ist „angemessen“?

Danach geht der EuGH auf Safe Harbor und dessen Wirksamkeit ein.

Zunächst beleuchtet das Gericht die Frage, was unter dem Begriff „angemessen“ i.S.d. Art. 25 Abs. 1 DS-RL zu verstehen ist. Denn nur wenn ein angemessenes Schutzniveau in einem Drittstaat festgellt wurde (entweder durch die Kommission oder durch einen Mitgliedstaat), kann ein Angemessenheitsbeschluss erfolgen. Der Begriff selbst wird in der DS-RL jedoch nicht näher umschrieben oder etwa definiert (Rz. 70). Für den EuGH ist klar, dass der grundrechtlich garantierte Schutz personenbezogener Daten des Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union dem Grunde nach auch für solche Daten gelten muss, die in Drittstaaten übermittelt werden (Rz. 72). „Angemessen“ bedeutet jedoch nach dem EuGH nicht, dass in dem Drittstaat etwa dasselbe Schutzniveau existieren muss, wie es in der EU vorhanden ist. Im Kern muss der Schutz jedoch gleichwertig sein. Dieser Schutz von personenbezogenen Daten kann durch die nationalen Gesetze oder auch internationale Abkommen erreicht werden, denen der Drittstaat beigetreten ist (Rz. 73). Überspitzt formuliert postuliert der EuGH damit den Export des europäischen Datenschutzrechts und seiner grundlegenden Prinzipien in jeden Drittstaat. Das grundlegende Schutzniveau „wandert“ mit den Daten also mit.

Zudem weist der EuGH darauf hin, dass ein einmal existierender Angemessenheitsbeschluss nicht bedeutet, dass die Frage der „Angemessenheit“ des Schutzniveaus damit grundsätzlich beantwortet wäre. Vielmehr muss die Kommission eine solche Entscheidung grundsätzlich über die Zeit hinweg prüfen und vor allem aktuelle Entwicklungen berücksichtigen, die sich auf das Schutzniveau auswirken können (Rz. 76). Wenn die Kommission im Rahmen der Prüfung des Schutzniveaus in einem Drittstaat die dortigen Gesetze und Vorgaben zum Schutz personenbezogener Daten untersucht, so steht ihr nach Auffassung des EuGH nur ein eingeschränkter Beurteilungsspielraum zu und sie hat besonders strenge Maßstäbe anzulegen (Rz. 78).

Gültigkeit der Safe Harbor-Entscheidung

Im Folgenden setzt sich der EuGH mit der Safe Harbor-Entscheidung selbst auseinander…und nimmt sie auseinander.

Zunächst stellt der EuGH jedoch fest, dass das Prinzip der Selbstzertifizierung durch Unternehmen in einem Drittstaat grundsätzlich nicht gegen die Wirksamkeit eines Angemessenheitsbeschluss oder das Vorliegen eines angemessenen Schutzniveaus spricht (Rz. 81). Jedoch erfordert ein solcher Mechanismus dann auch ein wirksames System der Überwachung der Einhaltung der Vorgaben und effiziente Sanktionen bei Verstößen.

Nachfolgend kritisiert der EuGH, dass die Safe Harbor-Prinzipien, an die sich amerikanische Unternehmen halten müssen, gerade nur privatwirtschaftliche Akteure adressieren und staatlichen Einheiten in den USA keine Pflichten auferlegen und diese daher nicht an die Prinzipien gebunden sind, wenn sie Zugriff auf Daten nehmen die bei amerikanischen Unternehmen gespeichert sind (Rz. 82).

Desweiteren kritisiert der EuGH, dass die Angemessenheitsentscheidung der Kommission, entgegen den Vorgaben der DS-RL, sich überhaupt nicht mit den einschlägigen Gesetzen in den USA befasst oder deren möglichen Schutzumfang näher untersucht (Rz. 83). Die Kommission habe es versäumt, ausreichend zu prüfen, inwiefern in den USA personenbezogene Daten (nicht) geschützt sind, um auf dieser Grundlage ihre Entscheidung zu treffen. Die in Safe Harbor vorgesehen Ausnahmen, wann von den Schutzprinzipien der Entscheidung abgewichen werden darf, sind nach Ansicht des EuGH (wie auch nach Ansicht des Generalanwalts) zu weit gefasst. Zudem erlauben sie für Zwecke der nationalen Sicherheit und Strafverfolgung ein Abweichen durch staatliche Behörden. Nationale Vorschriften in den USA können den Schutzprinzipien vorgehen und diese im Endeffekt außer Kraft setzen. Amerikanische Unternehmen können von den Vorgaben von Safe Harbor zugunsten dieser nationalen Regelungen abweichen, sogar wenn diese den Schutzprinzipien von Safe Harbor entgegenstehen (Rz. 86). Aus diesem Grund ermöglicht die Safe Harbor-Entscheidung (mit ihren Ausnahmen) den Eingriff in europäische Grundrechte (Rz. 87).

Der EuGH kritisiert weiter, dass die Safe Harbor-Entscheidung keine Untersuchungsergebnisse enthält, inwiefern ein Eingriff in Grundrechte der Betroffenen (durch einen Zugriff auf Daten durch staatliche Stellen) auf ein absolut erforderliches Maß begrenzt wird (Rz. 88). Auch hier bemängelt der EuGH erneut die fehlende Prüfung und Feststellung durch die Kommission.

Desweiteren findet sich in der Safe Harbor-Entscheidung der Kommission kein Verweis auf eventuell existierende Rechtsschutzmöglichkeiten für Betroffene, wenn durch stattliche Behörden auf die übermittelten Daten zugegriffen wird (Rz. 89). Zwar existiere eine Aufsicht durch die amerikanische Federal Trade Commission. Diese bezieht sich jedoch allein auf den privatwirtschaftlichen Sektor und kann nicht den Umgang mit Daten durch staatliche Behörden überwachen.

Nun kommt der EuGH zu der Grundlage seiner faktischen Feststellungen. Die Kommission selbst habe die Mangelhaftigkeit der Safe Harbor-Entscheidung, gerade mit Blick auf die weiten Ausnahmen für Zugriffe durch staatliche Behörden und den fehlenden Rechtsschutz, im Jahre 2013 in zwei Mitteilungen analysiert und festgestellt (Rz. 90; Mitteilung COM(2013) 846 final und Mitteilung COM(2013) 847 final). Insbesondere habe die Kommission erkannt, dass US-Behörden in einer mit den Safe Harbor-Prinzipien unvereinbaren Weise auf Daten zugreifen können. Der Zugriff kann gerade über das erforderliche und absolut notwendige Maß zur Verfolgung der legitimen Zwecke der nationalen Sicherheit oder der Strafverfolgung hinausgehen. Auch habe die Kommission selbst festgestellt, dass Betroffene keine administrativen oder gerichtlichen Rechtsbehelfe haben, um Zugang zu Daten zu erhalten oder eine Berichtigung oder Löschung zu beantragen.

Danach geht der EuGH auf die (hier nicht eingehaltenen) Vorgaben ein, die ein EU-Rechtsakt wie die Safe Harbor-Entscheidung erfüllen muss, wenn durch die Unionsregelung in Grundrechte eingegriffen wird. Nach ständiger Rechtsprechung des Gerichtshofs muss ein solcher Rechtsakt klare und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme vorsehen und Mindestanforderungen aufstellen, so dass die Betroffenen, deren personenbezogene Daten verarbeitet werden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen (Rz. 91).

Abweichungen oder Ausnahmen vom Schutz personenbezogener Daten müssen auf das absolut notwendige Maß beschränkt werden (Rz. 92). Nach Auffassung des EuGH genügt diesen Anforderungen die Safe Harbor-Entscheidung nicht. Nicht auf das absolut Notwendige beschränkt ist nämlich eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen (Rz. 93). Die in Safe Harbor vorgesehenen Ausnahmen (in der Form von Unionsregelungen) erlauben eine generelle und unverhältnismäßige Zugriffsmöglichkeit durch Behörden in den USA auf den Inhalt elektronischer Kommunikation und die Regelung in Safe Harbor verletzt daher den Wesensgehalt des grundrechts aus Art. 7 der Charta. Zudem verletzt eine solche Unionsregelung, die keine Möglichkeit für die Betroffenen vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz (Rz. 95).

Der Hauptkritik des EuGH ist damit folgender:

Die Kommission hat jedoch in der Entscheidung 2000/520 nicht festgestellt, dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“. (Rz. 97)

Aus diesem Grund kommt der EuGH zu dem Ergebnis, dass Art. 1 der Safe Harbor-Entscheidung gegen die in Art. 25 Abs. 6 DS-RL im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist (Rz. 98).

Ein wichtiger Aspekt hierbei ist, dass der EuGH im Ergebnis eine Grundrechtsverletzung durch einen mangelhaften Unionsrechtsakt annimmt. Die EU-Kommission habe nicht die Anforderungen des EU-Rechts beachtet, als sie die Safe Harbor-Entscheidung getroffen hat. Bereits die Struktur von Safe Harbor und die unterbliebene Untersuchung und Feststellung des Schutzniveaus durch die Kommission stellt damit eine Grundrechtsverletzung dar.

Ausdrücklich urteilt der EuGH nicht über die generelle Frage der Angemessenheit des Schutzniveaus für personenbezogene Daten in den USA oder auch, ob die Safe Harbor-Prinzipien inhaltlich ein entsprechendes Schutzniveau herstellen.

ohne dass es einer Prüfung des Inhalts der Grundsätze des „sicheren Hafens“ bedarf. (Rz. 98)

Allein die fehlerhafte Struktur und mangelnde Einhaltung der Vorgaben der DS-RL durch die Kommission bei Safe Harbor stellen die Grundrechtsverletzung dar.

Ein weiterer Grund, warum Safe Harbor ungültig ist, ist für den EuGH, dass die Kommission mit der Entscheidung die Befugnisse der nationalen Datenschutzbehörden beschränkt, obwohl sie dazu rechtliche nicht befugt ist (Rz. 99 ff.). Nach Art. 3 von Safe Harbor dürfen Aufsichtsbehörden nur in besonderen Fällen Datentransfers unterbinden. Die Kopplung der Befugnisse der Behörden an bestimmte Voraussetzungen durch die Kommission stellt jedoch eine Überschreitung ihrer Befugnisse dar, so der EuGH. Mit dem Erlass von Art. 3 der Safe Harbor-Entscheidung habe die Kommission daher die ihr durch Art. 25 Abs. 6 DS-RL im Licht der Charta übertragene Zuständigkeit überschritten hat, so dass dieser Artikel ungültig ist.

Da nach Auffassung des EuGH Art. 1 und Art. 3 der Safe Harbor-Entscheidung ungültig sind und diese Artikel untrennbar mit den übrigen Vorgaben der Entscheidung im Zusammenhang stehen, berührt die Ungültigkeit der beiden Artikel die gesamte Entscheidung (Rz. 105).

Fazit

Das Urteil des EuGH befasst sich nicht mit der Frage, ob ein angemessenes Schutzniveau für Daten in den USA existiert. Die Ungültigkeit der Entscheidung rührt vielmehr bereits aus dem Umstand, dass die Kommission zum einen ihre Kompetenzen und auch ihre Pflichten auf Grundlage der DS-RL in Bezug auf Art. 1 der Safe Harbor-Entscheidung nicht korrekt ausgeübt und unterschritten hat. IN Bezug auf Art. 3 der Safe Harbor-Entscheidung stellt der EuGH dann eine Überschreitung der Kompetenzen fest. Die in Rede stehende Unionsregelung (Safe Harbor) verstößt aufgrund ihrer Struktur und ihrer Unvereinbarkeit mit den EU-rechtlichen Vorgaben an solche Unionsregelungen gegen mehrere Grundrechte.

 

 

 

EuGH fällt wichtige Entscheidung für Webseitenbetreiber: wann gilt welches Datenschutzrecht? Zudem dürfen Behörden nicht alles.

Heute hat der Europäische Gerichtshof (EuGH) ein wichtiges Urteil für das europäische Datenschutzrecht gefällt. Im Verfahren „Weltimmo“ (C-230/14) geht es im Grunde um zwei Themenkomplexe (in einem früheren Blogbeitrag habe ich ausführlich zu dem Sachverhalt und der Vorlagefrage berichtet):

Zum einen geht es um die Frage des anwendbaren Datenschutzrechts, wenn ein Unternehmen (hier: Weltimmo), welches allein in einem Mitgliedstaat der EU ansässig ist (hier: Slowakei), seine Dienste über das Internet auch in anderen Mitgliedstaaten (hier: Ungarn) anbietet. Gilt dann nur das Datenschutzrecht des Mitgliedstaates, in dem das Unternehmen, als verantwortliche Stelle, seinen Sitz hat?

Zum anderen geht es um die Frage, wie weit die Kompetenzen von nationalen Datenschutzaufsichtsbehörden (hier: die ungarische Behörde) reichen, wenn das Datenschutzrecht ihres Mitgliedstaates nicht anwendbar ist, sie jedoch die Datenverarbeitung durch ein Unternehmen prüfen möchten, welches zwar in einem anderen Mitgliedstaat niedergelassen ist, seine Dienste (etwa über eine Website) jedoch auch im Mitgliedstaat der Aufsichtsbehörde anbietet.

Die untersuchten Konstellationen betreffen insoweit „EU-Sachverhalte“. Datenverarbeitungen finden allein innerhalb der EU statt und auch die für die Datenverarbeitung Verantwortlichen sind allein in der EU niedergelassen. Dies ist ein wichtiger Unterschied zum „Google-Urteil“ des EuGH aus dem Mail 2014. Denn dort hatte die verantwortliche Stelle (Google Inc.) ihren Sitz in den USA.

Schlussanträge des Generalanwalts

Der zuständige Generalanwalt Pedro Cruz Villalón, hatte seine Schlussanträge im Juni 2015 vorgelegt (hierzu mein ausführlicher Blogbeitrag).

Kurz zusammengefasst ging er davon aus, dass es der ungarischen Datenschutzbehörde verwehrt ist, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist.

Zudem ging der Generalanwalt davon aus, dass zwar dem Grunde nach jede Datenschutzbehörde gewisse Grundbefugnisse besitzt, u.a. auch eine Untersuchung einer Datenverarbeitung einzuleiten, die einem anderen nationalen Datenschutzrecht unterliegt. Aufgrund der territorialen Souveränität jedes Staates enden die öffentlich-rechtlichen Befugnisse von Aufsichtsbehörden jedoch an den Landesgrenzen. Eine Aufsichtsbehörde, deren Datenschutzrecht nicht anwendbar ist, kann daher nicht rechtsverbindlich feststellen, dass eine Datenverarbeitung rechtswidrig ist und sie kann auch keine Sanktionsmaßnahmen vornehmen, wie etwa ein Bußgeld festsetzen. Dies ist allein derjenigen Aufsichtsbehörde vorbehalten, deren nationales Datenschutzrecht anwendbar ist.

Die Entscheidung des EuGH

Kurz gesagt, bestätigt der EuGH die Ausführungen des Generalanwalts in dessen Schlussanträgen. Gerade mit Blick auf den ersten Themenkomplex (anwendbares Datenschutzrecht), geht das Gericht aber noch etwas über die Vorschläge des Generalanwalts hinaus.

Zum anwendbaren Recht

Bereits zu Beginn weist der EuGH auf zusätzlich tatsächliche Informationen hin, die für das Urteil im konkreten Verfahren von Bedeutung sind. Nach Informationen der ungarischen Datenschutzbehörde soll Weltimmo am Ort ihres Gesellschaftssitzes, der Slowakei, keine Tätigkeit ausüben. Außerdem habe Weltimmo diesen Sitz mehrmals von einem Staat in einen anderen verlegt. Zudem habe Weltimmo in Ungarn ein Bankkonto zur Einziehung ihrer Forderungen eröffnet und in diesem Mitgliedstaat ein Postfach für ihre laufenden Geschäfte besessen. Die Post sei regelmäßig abgeholt worden. Weltimmo selbst sei einfach nur in der Slowakei als Gesellschaft eingetragen.

Wie auch schon in seinem Google-Urteil, so legt der EuGH auch hier zunächst den Begriff der „Niederlassung“ aus Art. 4 Abs. 1 Buchst. a der Datenschutz-Richtlinie (RL 95/46/EG) aus. Die Wendung „im Rahmen der Tätigkeiten einer Niederlassung“ kann, so der EuGH, im Hinblick auf das Ziel der Richtlinie 95/46, nämlich bei der Verarbeitung personenbezogener Daten einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Rechts auf Privatleben, zu gewährleisten, nicht eng ausgelegt werden.

Dem Generalanwalt folgend ergibt sich für den EuGH aus Erwägungsgrund 19 der Datenschutz-Richtlinie, eine flexible Konzeption des Begriffs der Niederlassung, die Abstand nimmt von einer formalistischen Sichtweise, nach der ein Unternehmen ausschließlich an dem Ort niedergelassen sein kann, an dem es eingetragen ist (Rz. 29). Diese Feststellung ist hier besonders wichtig, da Weltimmo in der Slowakei tatsächlich anscheinend allein im Handelsregister eingetragen war. Zudem ist sie von besonderer Bedeutung für Unternehmen, die ihr Geschäft vor allem über das Internet betreiben und Dienste online, in mehreren Mitgliedstaaten anbieten.

Der EuGH führt weiter aus, dass sowohl der Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten in einem anderen Mitgliedstaat unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen ist. Dies gelte insbesondere für Unternehmen, die Leistungen ausschließlich über das Internet anbieten. Es sei auch davon auszugehen, dass das Vorhandensein eines einzigen Vertreters unter bestimmten Umständen ausreichen kann, um eine feste Einrichtung (die Voraussetzung einer „Niederlassung“ ist) zu begründen, wenn dieser mit einem ausreichenden Grad an Beständigkeit mit den für die Erbringung der betreffenden konkreten Dienstleistungen erforderlichen Mitteln im fraglichen Mitgliedstaat tätig ist. Vorliegend stellt der EuGH fest, dass Weltimmo mit dem Betreiben einer oder mehrerer Websites zur Vermittlung von in Ungarn belegenen Immobilien, die in ungarischer Sprache verfasst sind und deren Inserate nach einem Monat kostenpflichtig werden, eine tatsächliche und effektive Tätigkeit in Ungarn ausübt. Eine Niederlassung in Ungarn würde damit vorliegen. Jedoch weist der EuGH auch darauf hin, dass das tatsächliche Vorliegen eines Vertreters, eines Postfachs und eines Bankkontos in Ungarn (also der Voraussetzungen einer Niederlassung), noch durch das vorlegende Gericht geprüft werden müssen.

Danach widmet sich der EuGH dem Begriff der Verarbeitung personenbezogener Daten, die „im Rahmen der Tätigkeiten“ dieser Niederlassung ausgeführt werden (Rz. 34). Erfreulicherweise nimmt der EuGH hier die konkret in Rede stehenden Datenverarbeitungen in den Blick.

„Im vorliegenden Fall besteht die im Ausgangsverfahren in Rede stehende Verarbeitung insbesondere in der Veröffentlichung von personenbezogenen Daten der Eigentümer dieser Immobilien auf den Websites zur Vermittlung von Immobilien von Weltimmo sowie gegebenenfalls in der Nutzung dieser Daten für Zwecke der Abrechnung der Inserate nach Ablauf eines Monats.“

Für den bestehen keine Zweifel, dass diese Verarbeitung im Rahmen der Tätigkeiten stattgefunden hat, die Weltimmo in Ungarn ausübt (Rz. 38).

Interessant ist zudem, dass der EuGH dem nationalen Gericht noch eine Handreichung dazu gibt, wie das Gericht bestimmen können soll, ob Weltimmo in Ungarn eine effektive und tatsächliche Tätigkeit ausübt. Dazu gehört:

  • dass die Tätigkeit des für diese Verarbeitung Verantwortlichen, in deren Rahmen diese stattfindet, im Betreiben von Websites besteht, die der Vermittlung von Immobilien dienen, die sich im Hoheitsgebiet dieses Mitgliedstaats befinden,
  • dass die Websites in dessen Sprache verfasst sind,
  • und dass sie daher hauptsächlich oder sogar vollständig auf diesen Mitgliedstaat ausgerichtet ist,
  • und zum anderen, dass dieser Verantwortliche über einen Vertreter in diesem Mitgliedstaat verfügt, der dafür zuständig ist, die Forderungen aus dieser Tätigkeit einzuziehen sowie den Verantwortlichen im Verwaltungsverfahren und im gerichtlichen Verfahren über die Verarbeitung der betreffenden Daten zu vertreten.

Sollten das ungarische Gericht anhand dieser Kriterien zu dem Schluss gelangen, dass eine Niederlassung in Ungarn besteht, dann gelte auch ungarisches Datenschutzrecht.

Kompetenzen von Datenschutzbehörden

Hier geht es um die Frage, wie weit die Befugnisse der ungarischen Behörde reichen, wenn eine Niederlassung von Weltimmo in Ungarn nicht existieren sollte und damit nicht ungarisches Recht anzuwenden wäre.

Der EuGH geht dabei zunächst auf Art. 28 Abs. 3 Datenschutz-Richtlinie ein und stellt fest, dass die Datenschutzbehörden danach insbesondere über Untersuchungsbefugnisse, wie das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen, und über wirksame Einwirkungsbefugnisse, wie die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten, verfügen (Rz. 48).

Diese Auflistung ist jedoch nicht abschließend. Nach dem EuGH ist davon auszugehen, dass diese Einwirkungsbefugnisse die Befugnis umfassen können, den für die Datenverarbeitung Verantwortlichen zu bestrafen, indem gegen ihn gegebenenfalls ein Bußgeld verhängt wird (Rz. 49).

Zudem sind die den Behörden eingeräumten Befugnisse allein gemäß dem Verfahrensrecht ihres Mitgliedstaats auszuüben (Rz. 50).

Weiterhin geht der EuGH auf Art. 28 Abs. 6 Datenschutz-Richtlinie ein und stellt fest, dass aus diesem hervorgehe, dass die Kontrollstelle eines Mitgliedstaats, an die sich natürliche Personen mit einer Beschwerde über die Verarbeitung der sie betreffenden personenbezogenen Daten wenden, diese Beschwerde unabhängig vom anwendbaren Recht und daher selbst dann prüfen kann, wenn das auf die Verarbeitung der betreffenden Daten anwendbare Recht das eines anderen Mitgliedstaats ist.

Der EuGH folgt danach den Ausführungen des Generalanwalts und stellt fest, dass die Sanktionsgewalt der Behörden grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden kann, in denen eine Behörde nach dem Recht ihres Mitgliedstaats ermächtigt ist (Rz. 56).

Daraus ergibt sich für den EuGH die Schlussfolgerung, dass, wenn bei einer Kontrollstelle eine Beschwerde eingereicht wird, diese Stelle ihre Untersuchungsbefugnisse unabhängig vom anwendbaren Recht und noch bevor sie weiß, welches nationale Recht auf die fragliche Verarbeitung anzuwenden ist, ausüben kann.

Doch, so der EuGH weiter, wenn die Behörde feststellt, dass das Recht eines anderen Mitgliedstaats anwendbar ist, darf sie keine Sanktionen außerhalb des Hoheitsgebiets ihres Mitgliedstaats verhängen. In einer solchen Situation obliegt es ihr in Wahrnehmung der Verpflichtung zur Zusammenarbeit, die Kontrollstelle dieses anderen Mitgliedstaats zu ersuchen, einen möglichen Verstoß gegen dieses Recht festzustellen und Sanktionen zu verhängen (Rz. 57).

Für das konkrete Verfahren bedeutet dies, dass die ungarische Kontrollstelle für den Fall, dass das anwendbare Recht das eines anderen Mitgliedstaats als Ungarn ist, die ihr durch das ungarische Recht übertragenen Sanktionsbefugnisse nicht ausüben darf.

Fazit

Der EuGH bleibt seiner Rechtsprechung zum Recht auf den Schutz personenbezogener Daten treu. Den Begriff der „Niederlassung“, der für die Anwendbarkeit des Datenschutzrechts bedeutsam ist, legt er, wie auch im Urteil zu Google, sehr weit aus. Vorliegend lässt er die Existenz eines Vertreters, eines Handelsregistereintrages und eines Bankkontos ausreichen, um ungarisches Datenschutzrecht zur Anwendung zu bringen. Insbesondere die Ausführungen zur flexiblen Anwendung des Begriffs und auch der „Checkliste“ für das nationale Gericht, sind besonders interessant.

Was bedeutet dies nun? Unternehmen, die (wenn auch nur über Webseiten) ihre Dienste in mehreren Mitgliedstaaten anbieten und dazu einen (Handels-)Vertreter in einem Mitgliedstaat und dazu eventuell noch einen Handelsregistereintrag besitzen, werden sich mit mehreren, im äußersten Fall 28 verschiedenen, nationalen Datenschutzgesetzen auseinandersetzen müssen. Damit einhergehend auch mit 28 verschiedenen Datenschutzbehörden und deren Auslegung des Datenschutzrechts. Möchte ein Unternehmen nicht in diese Situation geraten, so müsste es jegliche physische Verbindungen in Form von Büros, Mitarbeitern oder Handelsregistereintragungen, zu Mitgliedstaaten kappen und seine Dienste über das Internet allein von einem Ort aus anbieten. Dann gilt auch nur das Datenschutzrecht des Mitgliedstaates am Ort der einzigen Niederlassung.

Für mich wird leider oft zu wenig Wert auf eine genau Trennung und Prüfung der einzelnen Datenverarbeitungen gelegt, wenn über die Frage des anwendbaren Datenschutzrechts gesprochen wird. Eine generelle Aussage, dass etwa für Weltimmo stets nun (auch) ungarisches Datenschutzrecht gilt, wäre meines Erachtens falsch. Denn Datenverarbeitungsprozesse werden zu ganz verschiedenen Zwecken vorgenommen. Der eine etwa, um Mitarbeiterdaten für Abrechnungszwecke zu verarbeiten, der andere, um Forderungen von Kunden einzuziehen und wiederum ein anderer Prozess, um Angebote auf einer Website ein- und darzustellen. Wie genau der hier vom EuGH als mögliche Niederlassung qualifizierte Vertreter in Ungarn jedoch mit diesen Datenverarbeitungen verbunden ist, muss das nationale Gericht noch klären.

Wenn man gerade im Bereich der Feststellung des anwendbaren Datenschutzrechts mit eine groben Kelle arbeiten würde und pauschal ein Datenschutzrecht für ein Unternehmen für anwendbar erklärt, fänden wir uns am Ende in der oben geschilderten Situation wieder, dass nämlich Unternehmen (und es geht hier nicht nur um amerikanische, chinesische oder japanische Unternehmen, die auf dem europäischen Markt unterwegs sind) einfach dem Grunde nach mehrere Datenschutzgesetze parallel beachten müssen. Genau das wollte aber die geltende Datenschutz-Richtlinie nicht. Aus gutem Grund. Denn dann hätte es einer europäischen Vereinheitlichung überhaupt nicht bedurft.