Ich selbst konnte noch nicht alle Materialien sichten, die am Montag zum EU-US Privacy Shield veröffentlicht wurden. Bei so umfangreichen Dokumenten, gerade mit juristischem Inhalt, finde ich es oft hilfreich und unabdingbar, wenn man eine systematische Sichtung vornimmt. Insbesondere bei der Frage, ob der nun von der Europäischen Kommission veröffentlichte Entwurf einer Angemessenheitsentscheidung (pdf) die Anforderungen des Europäischen Gerichtshofs (EuGH) gerecht wird, die im Urteil zu Safe Harbor (C?362/14) aufgestellt wurden, bietet sich meines Erachtens eine Art Checkliste an. Hier die Vorgaben des EuGH, dort die Maßnahmen der Kommission.

Auf meinem Blog zum EU-US Privacy Shield habe ich den Versuch einer ersten Analyse unternommen. Hier geht es zu dem Beitrag.

Open Data und Datenschutz. Oft ein nicht ganz simples Thema. Auf der einen Seite sollen bei öffentlichen Stellen vorhandene Informationen allgemein verfügbar und für eine Weiterverwendung nutzbar gemacht werden. Auf der anderen Seite steht das Grundrecht auf den Schutz personenbezogener Daten von Personen, deren Daten betroffen sind.

Grundsätzlich: Personenbezug

Solange es sich bei den von öffentlichen Stellen herausgegebenen Daten um solche Informationen handelt, die nicht auf eine natürliche Person beziehbar sind, spielt das Datenschutzrecht keine Rolle. Denn dann ist sein Anwendungsbereich nicht eröffnet.

Bereits auf dieser Stufe stellt sich jedoch ein Problem: die Auslegung des Begriffs „personenbezogenes Datum“. Gerade Aufsichtsbehörden verstehen diesen, ihrem gesetzlichen Auftrag entsprechend, recht weit und fassen bekanntermaßen z.B. IP- oder MAC-Adressen hierunter. Es kommt nicht darauf an, ob allein jene Stelle, bei der die Daten liegen, einen Personenbezug herstellen kann, sondern es ist auch die Möglichkeit für Dritte, einen Personenbezug herzustellen, zu prüfen, zumindest soweit damit vernünftigerweise gerechnet werden kann.

Werden personenbezogene Daten (z.B. in Dokumenten) etwa durch eine Behörde veröffentlicht oder an eine anfragende Person herausgegeben, so liegt eine rechtfertigungsbedürftige Datenverarbeitung vor.

Nachfolgend möchte ich schlaglichtartig auf die Frage eingehen, welche Vorgaben die in Zukunft in Europa geltende Datenschutz-Grundverordnung (DS-GVO) in dem Bereich Open Data bzw. bei dem Zugang zu Dokumenten bei öffentlichen Stellen aufstellt.

Art. 80a DS-GVO

Allein Art. 80a DS-GVO befasst sich recht knapp mit der Datenverarbeitung im Rahmen des öffentlichen Zugangs zu amtlichen bzw. behördlichen Dokumenten.

Wichtig ist zunächst, dass die DS-GVO und damit auch ihr Art. 80a allein dann anwendbar ist, wenn es sich bei den in Rede stehenden Daten um solche mit Personenbezug handelt. Daher ein kurzer Seitenblick auf die Definition in Art. 4 Abs. 1 DS-GVO.

Danach ist ein personenbezogenes Datum jede Information, die sich auf eine bestimmte oder auch nur bestimmbare natürliche Person bezieht. Bei dieser bestimmbaren Person handelt es sich um eine solche, die direkt oder indirekt, insbesondere durch bestimmte Zuordnungsmerkmale, bestimmt werden kann. Grundsätzlich ist der Begriff, betrachtet man zudem die Erwägungsgründe, wohl weit auszulegen. Erwägungsgrund 23 macht klar, dass auch solche Daten hierunter fallen, die pseudonymisiert wurden, wenn die Bestimmbarkeit der Person durch den Einsatz zusätzlicher Informationen hergestellt werden kann. Zudem wird dort bestimmt, dass bei der Prüfung des Personenbezugs alle Mittel berücksichtigt werden sollen, deren Einsatz zumindest wahrscheinlich erscheint.

Noch ein Hinweis: nach Erwägungsgrund 23aa gilt die DS-GVO nicht für verstorbene Personen. Jedoch sind die EU-Mitgliedstaaten frei, diesbezüglich abweichende Regelungen zu erlassen.

Art. 80a DS-GVO bestimmt, dass nationale Behörden und öffentliche Stellen amtliche Dokumente, in denen sich personenbezogene Daten befinden, in Übereinstimmung mit den auf die jeweilige Stelle anwendbaren nationalen oder europäischen Regelungen herausgeben und veröffentlichen dürfen, um einen Ausgleich zwischen dem Anspruch auf Zugang zu amtlichen Dokumenten und dem Recht auf Schutz personenbezogener Daten nach der DS-GVO zu schaffen.

Art. 80a DS-GVO ist in der Tat ein einziger Satz und daher schwer verständlich. Nachfolgend folgt der Versuch einer Einschätzung:

Personenbezogene Daten dürfen auch in Zukunft öffentlich zugänglich gemacht werden. Dies muss jedoch zum einen in Übereinstimmung mit den geltenden nationalen Regelungen der Mitgliedstaaten geschehen.

Hier fragt man sich, ob damit auch die Erlaubnistatbestände für eine Weitergabe personenbezogener Daten im nationalen Datenschutzrecht gemeint sind. Dagegen könnte jedoch sprechen, dass die DS-GVO als Verordnung nationalen Vorschriften vorgehen wird. Zumindest soweit keine Öffnungsklauseln in der DS-GVO geschaffen wurde. Inwieweit es sich bei Art. 80a DS-GVO um eine solche Öffnungsklausel handelt, ist ebenfalls nicht ganz klar. Zwar wird davon ausgegangen, dass weiterhin nationales Recht existiert, welches den Zugang und die Veröffentlichung von amtlichen Dokumenten regelt. Jedoch wird nicht ausdrücklich darauf verwiesen, dass die Mitgliedstaaten eigene Regelungen zur Datenverarbeitung in diesem Bereich treffen können. Im Zweifel muss man wohl davon ausgehen, dass die Erlaubnistatbestände der DS-GVO (Art. 6) zu beachten sind und sich, ergänzend hierzu, weitere Anforderungen aus jedem nationalen Recht, dann freilich auch jeweils abweichend voneinander, ergeben können.

Daneben verweist Art. 80a DS-GVO jedoch nicht nur darauf, dass die Veröffentlichung von Daten in Übereinstimmung den nationalen Vorgaben erfolgen muss, sondern dass diese wiederum das Recht auf Zugang zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten entsprechend der DS-GVO in Einklang bringen müssen. Dabei scheint sich der Verweis auf die Übereinstimmung mit den Vorgaben der DS-GVO auf die nationalen Gesetze zu beziehen. Das nationale Recht muss sich also wohl an den Vorgaben der DS-GVO messen lassen.

Erwägungsgrund 121

Erwägungsgrund 121 versucht den Inhalt des Art. 80a DS-GVO etwas konkreter zu umschreiben. Grundsätzlich müsse das Prinzip des Zugangs zu amtlichen Dokumenten im Anwendungsbereich der DS-GVO berücksichtigt werden. Zudem wird ausdrücklich darauf verwiese, dass es sich bei dem Zugang zu bzw. Veröffentlichung von amtlichen Dokumenten um ein „öffentlichen Interesse“ handeln kann. Dieser Verweis scheint darauf hinzudeuten, dass in der Tat die Erlaubnistatbestände des Art. 6 DS-GVO anzuwenden sind, hier insbesondere der Art. 6 (e) DS-GVO, nach dem eine Datenverarbeitung zulässig ist, wenn sie zur Erfüllung eines öffentlichen Interesses erforderlich ist.

Erwägungsgrund 121 spricht auf noch die europäische Richtlinie zur Weiterverwendung von Informationen des öffentlichen Sektors (RL 2003/98/EG, sog. PSI-Richtlinie) an. Diese ist weiterhin anwendbar, hat jedoch keinen Einfluss auf die unter der DS-GVO geschaffenen Rechte und Pflichten hinsichtlich des Schutzes personenbezogener Daten. Diese gelten also unabhängig von der Richtlinie. Daneben schreibt Erwägungsgrund 121 vor, dass die PSI-Richtlinie nicht auf Daten anwendbar ist, die durch die Vorgaben des Datenschutzrechts vor einer Weiterverwendung geschützt sind. Hier scheint der Verordnungsgeber klar machen zu wollen, dass die DS-GVO (denn diese regelt ja den Bereich des Datenschutzrechts) der PSI-Richtlinie vorgeht. Insgesamt ist jedoch leider auch Erwägungsgrund 121 nur schwer verständlich.

Es lässt sich daher nach dieser kurzen Analyse festhalten, dass nationale Regelungen, die den Zugang zu amtlichen Dokumenten und deren Veröffentlichung regeln, weiter anwendbar sind. Diese müssen sich jedoch datenschutzrechtlich an den Anforderungen der DS-GVO, insbesondere was die Zulässigkeit der Verarbeitung angeht, messen lassen.

Hinweis: Die stiftung neue verantwortung hat zu dem Thema „Privacy & Open Data“ ein Projekt ins Leben gerufen und möchte in diesem Rahmen konkrete Empfehlungen entwickeln.

Die Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) haben eine Orientierungshilfe zu den Datenschutzanforderung an Smart-TV-Dienste veröffentlicht (pdf, Stand: September 2015). Diese Orientierungshilfe richtet sich, so das Papier, an Anbieter von Smart-TV-Diensten und -Produkten. Hierzu gehören unter anderem Gerätehersteller App-Anbieter und Anbieter von HbbTV-Angeboten.

Nachfolgend möchte ich einen kurzen Überblick über einige in dem Papier behandelte Themen geben.

Was sind personenbezogene Daten?

Die Aufsichtsbehörden nennen in dem Papier Beispiele für ihrer Auffassung nach personenbezogene Daten im Umfeld von Smart-TVs. Hierzu gehören die IP-Adresse des Nutzers und Geräte-IDs, die dauerhaft mit dem Gerät verbunden sind. Nach Ansicht der Behörden ist hierbei unerheblich, dass eventuell mehrere Personen ein Fernsehgerät nutzen. Im Zweifel gehen die Behörden daher von einem Personenbezug aus. Weitere Beispiele sind Audiodaten, Foto -und Filmaufnahmen, das Fernsehanstalten oder Registrierungsdaten.

Wer ist datenschutzrechtlich verantwortlich?

Regelmäßig datenschutzrechtlich verantwortlich sind vor allem die Gerätehersteller, die etwa Updates auf Geräte aufspielen oder Statistiken über die Bedienung des Gerätes erstellen. Ebenfalls datenschutzrechtlich verantwortlich können App-Anbieter sein. Auch die Anbieter von HbbTV-Zusatzangeboten können oft als datenschutzrechtlich verantwortliche Stelle und Diensteanbieter im Sinne des Telemedienrechts qualifiziert werden.

Welches Recht gilt?

Grundsätzlich gilt das deutsche Datenschutzrecht, beim Umgang mit personenbezogenen Daten durch stellen mit Sitz in Deutschland. Nach Auffassung der Behörden gilt das deutsche Datenschutzrecht auch, wenn ein Anbieter, der außerhalb des europäischen Wirtschaftsraums niedergelassen ist, personenbezogene Daten im Inland erhebt. Interessant ist die Ansicht der Aufsichtsbehörden, dass das deutsche Datenschutzrecht nicht gilt, wenn ein Anbieter in einem anderen Mitgliedstaat des europäischen Wirtschaftsraums niedergelassen ist und in Deutschland personenbezogene Daten erhebt und dies nicht durch eine Niederlassung in Deutschland erfolgt. Dann gilt das Recht des jeweiligen Mitgliedstaates. Nach Auffassung des Düsseldorfer Kreises scheint also allein die Existenz einer Niederlassung in Deutschland (richtigerweise) noch nicht zur Anwendbarkeit deutschen Datenschutzrechts zu führen.

Rechtsgrundlagen der Datenverarbeitung

Danach geht die Orientierungshilfe auf die verschiedenen Erlaubnistatbestände des TMG zum Umgang mit personenbezogenen Daten ein. Das TMG stellt gerade im Bereich der Datenverarbeitung über Smart-TVs das gegenüber dem Bundesdatenschutzgesetz speziellere Gesetz dar.

Die Aufsichtsbehörden geben verschiedene Beispiele für die im TMG angesprochenen Bestands- und Nutzungsdaten. Nach Auffassung der Behörden stellen Bestandsdaten im Sinne des § 14 Abs. 1 TMG etwa Registrierungsdaten in einem online Portal dar. Nutzungsdaten im Sinne des§ 15 Abs. 1 TMG sind unter anderem die IP-Adresse und eindeutige Kennnummern.

Auch befasst sich die Orientierungshilfe mit dem Thema der pseudonymisierten Nutzungsprofile (§ 15 Abs. 3 TMG). Der erforderliche Hinweis auf die Erstellung solcher Nutzungsprofile muss nach Auffassung der Behörden zumindest in der Datenschutzerklärung erfolgen. Die Widerspruchsmöglichkeit (Opt-Out) kann in Form eines Links oder der Möglichkeit des Auskreuzens bereitgestellt werden. Nach Ansicht des Düsseldorfer Kreises genügt jedoch die Möglichkeit, per E-Mail oder per Post ein Opt-Out zu erklären, den gesetzlichen Anforderungen nicht.

Die Orientierungshilfe setzt sich im weiteren mit den Themen „Reichweitenmessung“ und „werbefinanzierte Dienste“ auseinander.

Datenschutzerklärung

Die Aufsichtsbehörden geben auch Hinweise dazu, wie die Nutzer von Smart-TVs wirksam über stattfindende Datenverarbeitungen zu informieren sind. Informationspflichten der Anbieter ergeben sich aus § 13 Abs. 1 TMG. Nach Auffassung der Behörden besteht für verantwortliche Stellen die Verpflichtung, die Datenschutzhinweise derart zu verankern, dass der Nutzer zwangsläufig und so frühzeitig wie möglich mit diesen in Berührung gelangt. Fraglich ist, wie der Begriff „zwangsläufig“ zu verstehen ist. Gehen die Behörden davon aus, dass Datenschutzerklärung per Popup eingeblendet werden müssen? In jedem Fall genügt eine Information, die im Impressum oder den Allgemeinen Geschäftsbedingungen erfolgt, nicht den Anforderungen an die Transparenz. Wichtig ist auch der Hinweis der Behörden, dass nicht sonstige Textbausteine, die häufig für herkömmliche Webseiten erstellt werden, genutzt werden dürfen. Nicht ausreichend sind ebenso die Wiedergabe gesetzlicher Normen oder allgemeine Floskeln zur Wichtigkeit des Datenschutzrechts.

Anforderungen an die IT-Sicherheit

Nach Auffassung der Behörden müssen die verantwortlichen Stellen regelmäßig Sicherheitsupdates für die eingesetzten Geräte anbieten. Zudem sollen personenbezogene Daten nach dem Stand der Technik verschlüsselt werden als Orientierung verweist der Düsseldorfer Kreis auf Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik. Zudem formuliert das Papier Mindestanforderungen. Hierzu gehören: HTTPS, Perfect Forward Secrecy, kein SSL2/SSL3, mindestens 2048-Bit beim X.509 Zertifikat, keine RC4-Verschlüsselung, kein SHA1-Hashverfahren.

Hinweise für jeden Beteiligten

Im letzten Abschnitt des Papiers gehen die Behörden auf die konkreten Situationen und Probleme ein, die sich für den jeweiligen Verantwortlichen bei der Datenverarbeitung stellen. Sowohl für Gerätehersteller, App- oder HbbTV-Anbieter werden konkrete Szenarien des Umgangs mit personenbezogenen Daten betrachtet und analysiert.

The German Data Protection Authorities (in total 17 for the private sector) have today published their position (German) on the consequences for transfers of personal data to the USA after the Court of Justice of the European Union (CJEU) recently struck down the Safe Harbor decision of the European Commission (Case C-362/14).

Not an easy task

According to recent media reports (https://www.tagesschau.de/inland/safe-harbor-105.html, in German), the process of finding a common approach was not an easy task. Not all Data Protection Commissioners seem to share the same view on the legal conclusions and consequences for businesses that have to be drawn from the court’s judgment. So the position now published seems to reflect only the lowest common denominator. On 14^th October for example, the Data Protection Authority of Schleswig-Holstein (known for its strict interpretation of the law) published its own assessment of the judgment (available in English) and concluded that “a data transfer on the basis of Standard Contractual Clauses to the US is no longer permitted”.

The official position

I will hereinafter summarize the position of the German authorities:

Just like already stated by the Article 29 Working Party in its statement (PDF), the German authorities highlight that data transfers to the USA are unlawful if they are solely based on the Safe Harbor decision.

The German authorities further clarify that they will prohibit any data transfer based on Safe Harbor they gain knowledge of. The watchdogs will base the exercise of their powers under Article 4 of the respective decisions by the European Commission for standard contractual clauses (2004/915/EC and 2010/87/EC) on the principles formulated by the CJEU in margin numbers 94 and 95 of its judgment. This refers especially to the finding of the CJEU that legislation in the European Union, permitting public authorities to have access on a generalized basis to the content of electronic communications must be regarded as compromising the essence of the fundamental right to respect for private life, as guaranteed by Article 7 of the Charter of Fundamental Rights.

At the moment, the German authorities will not grant new approvals for data transfers on the basis of Binding Corporate Rules (BCR) or contracts to export personal data to the USA.

Consent may be an acceptable basis for data transfers, according to the authorities. But only wihtin narrow limits. In general, the respective data transfer may not take place repeatedly or as a matter of routine.

The German authorities ask the national legislator to provide the authorities with their own legal remedies enabling them to put forward their objection against an adequacy decision by the European Commission before the national courts (see margin number 65 of the judgment).

Furthermore the authorities request the European Commission to amend the current standard contractual clauses in light of the CJEU’s decision in a timely manner. The deadline set by the Article 29 Working Party (31^st January 2016) is welcomed by the German watchdogs.

Interestingly, the German authorities also call on the German government to directly contact the US government and to press for adherence to an adequate level of protection of the fundamental rights of privacy and data protection.

Prospect

As already mentioned this position only forms the lowest common denominator and is not binding. Views in the different federal states may therefore differ. To recall one of the central points of the CJEU’s decision, Data Protection Authorities are responsible for monitoring, with complete independence, compliance with EU rules on the protection of individuals with regard to the processing of such data. It can therefore not be ruled out that we might see differing implementations of the judgment within Germany. The authorities also highlight the fact of independence in their position.

Heute hat der Europäische Gerichtshof (EuGH) ein wichtiges Urteil für das europäische Datenschutzrecht gefällt. Im Verfahren „Weltimmo“ (C-230/14) geht es im Grunde um zwei Themenkomplexe (in einem früheren Blogbeitrag habe ich ausführlich zu dem Sachverhalt und der Vorlagefrage berichtet):

Zum einen geht es um die Frage des anwendbaren Datenschutzrechts, wenn ein Unternehmen (hier: Weltimmo), welches allein in einem Mitgliedstaat der EU ansässig ist (hier: Slowakei), seine Dienste über das Internet auch in anderen Mitgliedstaaten (hier: Ungarn) anbietet. Gilt dann nur das Datenschutzrecht des Mitgliedstaates, in dem das Unternehmen, als verantwortliche Stelle, seinen Sitz hat?

Zum anderen geht es um die Frage, wie weit die Kompetenzen von nationalen Datenschutzaufsichtsbehörden (hier: die ungarische Behörde) reichen, wenn das Datenschutzrecht ihres Mitgliedstaates nicht anwendbar ist, sie jedoch die Datenverarbeitung durch ein Unternehmen prüfen möchten, welches zwar in einem anderen Mitgliedstaat niedergelassen ist, seine Dienste (etwa über eine Website) jedoch auch im Mitgliedstaat der Aufsichtsbehörde anbietet.

Die untersuchten Konstellationen betreffen insoweit „EU-Sachverhalte“. Datenverarbeitungen finden allein innerhalb der EU statt und auch die für die Datenverarbeitung Verantwortlichen sind allein in der EU niedergelassen. Dies ist ein wichtiger Unterschied zum „Google-Urteil“ des EuGH aus dem Mail 2014. Denn dort hatte die verantwortliche Stelle (Google Inc.) ihren Sitz in den USA.

Schlussanträge des Generalanwalts

Der zuständige Generalanwalt Pedro Cruz Villalón, hatte seine Schlussanträge im Juni 2015 vorgelegt (hierzu mein ausführlicher Blogbeitrag).

Kurz zusammengefasst ging er davon aus, dass es der ungarischen Datenschutzbehörde verwehrt ist, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist.

Zudem ging der Generalanwalt davon aus, dass zwar dem Grunde nach jede Datenschutzbehörde gewisse Grundbefugnisse besitzt, u.a. auch eine Untersuchung einer Datenverarbeitung einzuleiten, die einem anderen nationalen Datenschutzrecht unterliegt. Aufgrund der territorialen Souveränität jedes Staates enden die öffentlich-rechtlichen Befugnisse von Aufsichtsbehörden jedoch an den Landesgrenzen. Eine Aufsichtsbehörde, deren Datenschutzrecht nicht anwendbar ist, kann daher nicht rechtsverbindlich feststellen, dass eine Datenverarbeitung rechtswidrig ist und sie kann auch keine Sanktionsmaßnahmen vornehmen, wie etwa ein Bußgeld festsetzen. Dies ist allein derjenigen Aufsichtsbehörde vorbehalten, deren nationales Datenschutzrecht anwendbar ist.

Die Entscheidung des EuGH

Kurz gesagt, bestätigt der EuGH die Ausführungen des Generalanwalts in dessen Schlussanträgen. Gerade mit Blick auf den ersten Themenkomplex (anwendbares Datenschutzrecht), geht das Gericht aber noch etwas über die Vorschläge des Generalanwalts hinaus.

Zum anwendbaren Recht

Bereits zu Beginn weist der EuGH auf zusätzlich tatsächliche Informationen hin, die für das Urteil im konkreten Verfahren von Bedeutung sind. Nach Informationen der ungarischen Datenschutzbehörde soll Weltimmo am Ort ihres Gesellschaftssitzes, der Slowakei, keine Tätigkeit ausüben. Außerdem habe Weltimmo diesen Sitz mehrmals von einem Staat in einen anderen verlegt. Zudem habe Weltimmo in Ungarn ein Bankkonto zur Einziehung ihrer Forderungen eröffnet und in diesem Mitgliedstaat ein Postfach für ihre laufenden Geschäfte besessen. Die Post sei regelmäßig abgeholt worden. Weltimmo selbst sei einfach nur in der Slowakei als Gesellschaft eingetragen.

Wie auch schon in seinem Google-Urteil, so legt der EuGH auch hier zunächst den Begriff der „Niederlassung“ aus Art. 4 Abs. 1 Buchst. a der Datenschutz-Richtlinie (RL 95/46/EG) aus. Die Wendung „im Rahmen der Tätigkeiten einer Niederlassung“ kann, so der EuGH, im Hinblick auf das Ziel der Richtlinie 95/46, nämlich bei der Verarbeitung personenbezogener Daten einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Rechts auf Privatleben, zu gewährleisten, nicht eng ausgelegt werden.

Dem Generalanwalt folgend ergibt sich für den EuGH aus Erwägungsgrund 19 der Datenschutz-Richtlinie, eine flexible Konzeption des Begriffs der Niederlassung, die Abstand nimmt von einer formalistischen Sichtweise, nach der ein Unternehmen ausschließlich an dem Ort niedergelassen sein kann, an dem es eingetragen ist (Rz. 29). Diese Feststellung ist hier besonders wichtig, da Weltimmo in der Slowakei tatsächlich anscheinend allein im Handelsregister eingetragen war. Zudem ist sie von besonderer Bedeutung für Unternehmen, die ihr Geschäft vor allem über das Internet betreiben und Dienste online, in mehreren Mitgliedstaaten anbieten.

Der EuGH führt weiter aus, dass sowohl der Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten in einem anderen Mitgliedstaat unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen ist. Dies gelte insbesondere für Unternehmen, die Leistungen ausschließlich über das Internet anbieten. Es sei auch davon auszugehen, dass das Vorhandensein eines einzigen Vertreters unter bestimmten Umständen ausreichen kann, um eine feste Einrichtung (die Voraussetzung einer „Niederlassung“ ist) zu begründen, wenn dieser mit einem ausreichenden Grad an Beständigkeit mit den für die Erbringung der betreffenden konkreten Dienstleistungen erforderlichen Mitteln im fraglichen Mitgliedstaat tätig ist. Vorliegend stellt der EuGH fest, dass Weltimmo mit dem Betreiben einer oder mehrerer Websites zur Vermittlung von in Ungarn belegenen Immobilien, die in ungarischer Sprache verfasst sind und deren Inserate nach einem Monat kostenpflichtig werden, eine tatsächliche und effektive Tätigkeit in Ungarn ausübt. Eine Niederlassung in Ungarn würde damit vorliegen. Jedoch weist der EuGH auch darauf hin, dass das tatsächliche Vorliegen eines Vertreters, eines Postfachs und eines Bankkontos in Ungarn (also der Voraussetzungen einer Niederlassung), noch durch das vorlegende Gericht geprüft werden müssen.

Danach widmet sich der EuGH dem Begriff der Verarbeitung personenbezogener Daten, die „im Rahmen der Tätigkeiten“ dieser Niederlassung ausgeführt werden (Rz. 34). Erfreulicherweise nimmt der EuGH hier die konkret in Rede stehenden Datenverarbeitungen in den Blick.

„Im vorliegenden Fall besteht die im Ausgangsverfahren in Rede stehende Verarbeitung insbesondere in der Veröffentlichung von personenbezogenen Daten der Eigentümer dieser Immobilien auf den Websites zur Vermittlung von Immobilien von Weltimmo sowie gegebenenfalls in der Nutzung dieser Daten für Zwecke der Abrechnung der Inserate nach Ablauf eines Monats.“

Für den bestehen keine Zweifel, dass diese Verarbeitung im Rahmen der Tätigkeiten stattgefunden hat, die Weltimmo in Ungarn ausübt (Rz. 38).

Interessant ist zudem, dass der EuGH dem nationalen Gericht noch eine Handreichung dazu gibt, wie das Gericht bestimmen können soll, ob Weltimmo in Ungarn eine effektive und tatsächliche Tätigkeit ausübt. Dazu gehört:

• dass die Tätigkeit des für diese Verarbeitung Verantwortlichen, in deren Rahmen diese stattfindet, im Betreiben von Websites besteht, die der Vermittlung von Immobilien dienen, die sich im Hoheitsgebiet dieses Mitgliedstaats befinden,
• dass die Websites in dessen Sprache verfasst sind,
• und dass sie daher hauptsächlich oder sogar vollständig auf diesen Mitgliedstaat ausgerichtet ist,
• und zum anderen, dass dieser Verantwortliche über einen Vertreter in diesem Mitgliedstaat verfügt, der dafür zuständig ist, die Forderungen aus dieser Tätigkeit einzuziehen sowie den Verantwortlichen im Verwaltungsverfahren und im gerichtlichen Verfahren über die Verarbeitung der betreffenden Daten zu vertreten.

Sollten das ungarische Gericht anhand dieser Kriterien zu dem Schluss gelangen, dass eine Niederlassung in Ungarn besteht, dann gelte auch ungarisches Datenschutzrecht.

Kompetenzen von Datenschutzbehörden

Hier geht es um die Frage, wie weit die Befugnisse der ungarischen Behörde reichen, wenn eine Niederlassung von Weltimmo in Ungarn nicht existieren sollte und damit nicht ungarisches Recht anzuwenden wäre.

Der EuGH geht dabei zunächst auf Art. 28 Abs. 3 Datenschutz-Richtlinie ein und stellt fest, dass die Datenschutzbehörden danach insbesondere über Untersuchungsbefugnisse, wie das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen, und über wirksame Einwirkungsbefugnisse, wie die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten, verfügen (Rz. 48).

Diese Auflistung ist jedoch nicht abschließend. Nach dem EuGH ist davon auszugehen, dass diese Einwirkungsbefugnisse die Befugnis umfassen können, den für die Datenverarbeitung Verantwortlichen zu bestrafen, indem gegen ihn gegebenenfalls ein Bußgeld verhängt wird (Rz. 49).

Zudem sind die den Behörden eingeräumten Befugnisse allein gemäß dem Verfahrensrecht ihres Mitgliedstaats auszuüben (Rz. 50).

Weiterhin geht der EuGH auf Art. 28 Abs. 6 Datenschutz-Richtlinie ein und stellt fest, dass aus diesem hervorgehe, dass die Kontrollstelle eines Mitgliedstaats, an die sich natürliche Personen mit einer Beschwerde über die Verarbeitung der sie betreffenden personenbezogenen Daten wenden, diese Beschwerde unabhängig vom anwendbaren Recht und daher selbst dann prüfen kann, wenn das auf die Verarbeitung der betreffenden Daten anwendbare Recht das eines anderen Mitgliedstaats ist.

Der EuGH folgt danach den Ausführungen des Generalanwalts und stellt fest, dass die Sanktionsgewalt der Behörden grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden kann, in denen eine Behörde nach dem Recht ihres Mitgliedstaats ermächtigt ist (Rz. 56).

Daraus ergibt sich für den EuGH die Schlussfolgerung, dass, wenn bei einer Kontrollstelle eine Beschwerde eingereicht wird, diese Stelle ihre Untersuchungsbefugnisse unabhängig vom anwendbaren Recht und noch bevor sie weiß, welches nationale Recht auf die fragliche Verarbeitung anzuwenden ist, ausüben kann.

Doch, so der EuGH weiter, wenn die Behörde feststellt, dass das Recht eines anderen Mitgliedstaats anwendbar ist, darf sie keine Sanktionen außerhalb des Hoheitsgebiets ihres Mitgliedstaats verhängen. In einer solchen Situation obliegt es ihr in Wahrnehmung der Verpflichtung zur Zusammenarbeit, die Kontrollstelle dieses anderen Mitgliedstaats zu ersuchen, einen möglichen Verstoß gegen dieses Recht festzustellen und Sanktionen zu verhängen (Rz. 57).

Für das konkrete Verfahren bedeutet dies, dass die ungarische Kontrollstelle für den Fall, dass das anwendbare Recht das eines anderen Mitgliedstaats als Ungarn ist, die ihr durch das ungarische Recht übertragenen Sanktionsbefugnisse nicht ausüben darf.

Fazit

Der EuGH bleibt seiner Rechtsprechung zum Recht auf den Schutz personenbezogener Daten treu. Den Begriff der „Niederlassung“, der für die Anwendbarkeit des Datenschutzrechts bedeutsam ist, legt er, wie auch im Urteil zu Google, sehr weit aus. Vorliegend lässt er die Existenz eines Vertreters, eines Handelsregistereintrages und eines Bankkontos ausreichen, um ungarisches Datenschutzrecht zur Anwendung zu bringen. Insbesondere die Ausführungen zur flexiblen Anwendung des Begriffs und auch der „Checkliste“ für das nationale Gericht, sind besonders interessant.

Was bedeutet dies nun? Unternehmen, die (wenn auch nur über Webseiten) ihre Dienste in mehreren Mitgliedstaaten anbieten und dazu einen (Handels-)Vertreter in einem Mitgliedstaat und dazu eventuell noch einen Handelsregistereintrag besitzen, werden sich mit mehreren, im äußersten Fall 28 verschiedenen, nationalen Datenschutzgesetzen auseinandersetzen müssen. Damit einhergehend auch mit 28 verschiedenen Datenschutzbehörden und deren Auslegung des Datenschutzrechts. Möchte ein Unternehmen nicht in diese Situation geraten, so müsste es jegliche physische Verbindungen in Form von Büros, Mitarbeitern oder Handelsregistereintragungen, zu Mitgliedstaaten kappen und seine Dienste über das Internet allein von einem Ort aus anbieten. Dann gilt auch nur das Datenschutzrecht des Mitgliedstaates am Ort der einzigen Niederlassung.

Für mich wird leider oft zu wenig Wert auf eine genau Trennung und Prüfung der einzelnen Datenverarbeitungen gelegt, wenn über die Frage des anwendbaren Datenschutzrechts gesprochen wird. Eine generelle Aussage, dass etwa für Weltimmo stets nun (auch) ungarisches Datenschutzrecht gilt, wäre meines Erachtens falsch. Denn Datenverarbeitungsprozesse werden zu ganz verschiedenen Zwecken vorgenommen. Der eine etwa, um Mitarbeiterdaten für Abrechnungszwecke zu verarbeiten, der andere, um Forderungen von Kunden einzuziehen und wiederum ein anderer Prozess, um Angebote auf einer Website ein- und darzustellen. Wie genau der hier vom EuGH als mögliche Niederlassung qualifizierte Vertreter in Ungarn jedoch mit diesen Datenverarbeitungen verbunden ist, muss das nationale Gericht noch klären.

Wenn man gerade im Bereich der Feststellung des anwendbaren Datenschutzrechts mit eine groben Kelle arbeiten würde und pauschal ein Datenschutzrecht für ein Unternehmen für anwendbar erklärt, fänden wir uns am Ende in der oben geschilderten Situation wieder, dass nämlich Unternehmen (und es geht hier nicht nur um amerikanische, chinesische oder japanische Unternehmen, die auf dem europäischen Markt unterwegs sind) einfach dem Grunde nach mehrere Datenschutzgesetze parallel beachten müssen. Genau das wollte aber die geltende Datenschutz-Richtlinie nicht. Aus gutem Grund. Denn dann hätte es einer europäischen Vereinheitlichung überhaupt nicht bedurft.

Die CDU möchte sich, neben der Verabschiedung der geplanten Datenschutz-Grundverordnung auf europäischer Ebene, einer Reform des nationalen Datenschutzrechts widmen. Dies geht aus dem Abschlussbericht der Kommission „Arbeit der Zukunft – Zukunft der Arbeit“ (PDF) hervor. Die Kommission wurde, neben anderen Kommissionen, nach der Klausurtagung des Bundesvorstandes 2014 eingesetzt, um die Parteiarbeit inhaltlich und programmatisch weiterzuentwickeln.

Ziel der CDU soll nach dem Abschlussbericht sein, Rahmenbedingungen dafür zu schaffen, damit das Potenzial der Speicherung und Auswertung von Daten genutzt werden kann. Dabei werde man auf die Einhaltung hoher Datenschutzstandards und offener Märkte achten.

Wem gehören Daten? Was ist ihr Preis?
Angestoßen werden soll zudem eine gesellschaftliche Debatte, darüber, wie mit Daten in Zukunft umgegangen werden soll (bzw. darf). Zu diskutierende Fragen sind aus Sicht der Kommission unter anderem:

• Wem gehören welche Daten?
• In welchen Bereichen sind Daten ein Wirtschaftsgut?
• Wo müssen die Bürger in die Lage versetzt werden, von Unternehmen eine angemessene Gegenleistung für ihre Daten einzufordern?
• In welchen Bereichen sind Daten als Ausdruck der persönlichen Freiheit absolut schützenswert?
• Wo muss der Staat als Gesetzgeber eingreifen und mit welcher Intensität?

Die Diskussion um das „Eigentum“ an Daten ist nicht unbedingt neu, wird jedoch gerade im Zusammenhang mit dem Internet der Dinge wieder öffentlicher geführt. Interessant ist die Frage des Abschlussberichts nach einer „angemessenen Gegenleistung“ für Daten. Soll diese etwa gesetzlich festgelegt werden? Etwa: Gesundheitsdaten 5 € je Information? Oder soll ein Rahmen vorgegeben werden, in dem sich der Markt selbst regulieren und die Preise für Daten festlegen kann?

Zudem diskutieren lässt sich über die vorgeschlagene Frage, nach dem „absoluten“ Schutz von bestimmten Datenarten. Soll es tatsächlich Informationen geben, die niemals genutzt werden dürfen? Deren Schutz sich also stets (absolut) gegenüber anderen Interessen und auch Grundrechten durchsetzt?

Reform des behördlichen Aufsichtssystems in Deutschland
Ebenfalls angegangen werden soll nach dem Vorschlag der Kommission die derzeitige Ausgestaltung der Kompetenzen der Datenschutzbehörden in Deutschland. Der Abschlussbericht hierzu:

Das geltende Datenschutzrecht wird in den einzelnen Bundesländern häufig unterschiedlich ausgelegt. Das ist gerade für digitale Produkte und Dienstleistungen nicht praktikabel, da diese in Deutschland nur einheitlich erbracht werden können. Wir wollen das geplante „One-Stop-Shop“-Prinzip der EU-Datenschutz-Grundverordnung auch in Deutschland einheitlich und verbindlich regeln.

Gedanke des angesprochenen One-stop-shop-Systems ist, dass für eine verantwortliche Stelle in Europa auch nur eine Datenschutzbehörde hauptverantwortlich ist. Datenschutzbehörden in anderen EU-Ländern können zwar Meinungen abgeben oder auch ein Veto gegen Entscheidungen der Hauptdatenschutzbehörde einlegen. Die letztendliche Vollzugsbefugnis (gerade was etwa Strafen oder die Feststellung von Datenschutzverstößen angeht) soll aber bei einer Aufsichtsbehörde liegen.

Dieses System soll nach dem Vorschlag der Kommission nun auch innerhalb Deutschlands etabliert werden. Der Abschlussbericht spricht diesbezüglich gerade digitale Dienste an. Derzeit ist in Deutschland dem Grundsatz nach diejenige Datenschutzbehörde zuständig, in deren Bundesland die verantwortliche Stelle ihren Sitz hat.

Könnte die CDU etwa planen, diese Kompetenzverteilung für bestimmte Geschäftsfelder neu zu regeln. Zum Beispiel: digitale Dienste in Deutschland werden ausschließlich durch den Hamburger Datenschutzbeauftragten beaufsichtigt? Oder soll es vielleicht auch eine neue Aufsichtsbehörde speziell für Anbieter von Telemediendiensten in Deutschland geben

Gerade was die Frage des anwendbaren Datenschutzrechts und die innerhalb Europas zuständige Aufsichtsbehörde für Anbieter betrifft, die in mehreren Mitgliedstaaten Dienste über das Internet erbringen, hat erst kürzlich der Generalanwalt am Europäischen Gerichtshof, Cruz Villalón, seine lesenswerten Schlussanträge vorgelegt. Hierzu mein Beitrag.

Die Pläne der CDU scheinen durchaus ambitioniert, wenn man sich zudem vor Augen führt, dass bald das gesamte deutsche Datenschutzrecht im Zuge der neuen Datenschutz-Grundverordnung überarbeitet werden muss. Grundsätzlich werden die Antworten zum Umgang mit personenbezogenen Daten dann nicht mehr im nationalen Recht, sondern in der Verordnung zu finden (bzw. zu suchen) sein. Wem Daten „gehören“ oder was sie für einen Gegenwert besitzen, wird dort jedoch nicht geregelt.

Die Diskussion um die Einführung einer Vorratsdatenspeicherung in Deutschland geht weiter. Am 15. April 2015 stellte Bundesminister Heiko Maas Leitlinien zur Einführung einer Speicherpflicht und Höchstspeicherfristen für Verkehrsdaten vor. Diese geben eine erste Auskunft dazu, wie die Bundesregierung die Vorgaben des Bundesverfassungsgerichts und auch der Europäischen Gerichtshofs (C-293/12) in einem nationalen Gesetz umsetzen möchte.

Insbesondere wurden die Leitlinien deshalb kritisiert, weil auch zukünftig eine „anlasslose“ Speicherung von Verkehrsdaten vorgesehen ist. Prof. Härting konstatiert: die Speicherverpflichtung soll – wie gehabt – flächendeckend und anlasslos gelten.

Wie reagiert die Bundesregierung auf die Kritik? Bisher noch zurückhaltend.

Im Bundestag hat jedoch kürzlich Christian Lange, Parl. Staatssekretär beim Bundesminister der Justiz und für Verbraucherschutz, im Rahmen einer Fragestunde (PDF, ab S. 9441) interessante neue Einblicke in die Begründung der Bundesregierung und ihre Sichtweise zur Rechtmäßigkeit der geplanten Regelungen gegeben.

Nach Aussage von Lange kombinieren die vorgestellten Leitlinien

zeitlich und inhaltlich eng begrenzte Speicherfristen mit sehr strengen Abrufregelungen. Auf diese Weise wird den Vorgaben des Europäischen Gerichtshofs nachgekommen.

Die Antworten des parlamentarischen Staatssekretärs erfolgten auf Fragen der Bundestagsabgeordneten Katja Keul (Grüne). Frau Keul kritisierte vor allem, dass die vorgestellten Leitlinien weiterhin eine „anlasslose“ Speicherung von Verkehrsdaten vorsehen. Doch diese Anlasslosigkeit, also eine Speicherung von Verkehrsdaten von Personen, „bei denen keinerlei Anhaltspunkt dafür besteht, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen könnte“ (so der EuGH in seinem Urteil, Rz. 58), führte im Fall der europäischen Richtlinie zur Vorratsdatenspeicherung unter anderem zu deren Unwirksamkeit.

Herr Lange verweist in seiner Antwort ebenfalls auf Rz. 57 und 58 des EuGH-Urteils. Den dort von dem Gerichtshof aufgestellten Vorgaben, werde die Bundesregierung dadurch

nachkommen, dass gerade nicht alle Daten gespeichert werden – wie ich es in der Antwort eben dargestellt habe. So sind die Daten von Diensten der elektronischen Post komplett ausgenommen. Auch aufgerufene Internetseiten und Inhalte der Kommunikationen werden nicht gespeichert.

Leider verweist Herr Lange nicht auf den Umstand, dass ein Teil seiner Begründungen völlig ins Leere gehen. Denn die vom EuGH für ungültig erklärte Richtlinie sah überhaupt keine Speicherung von aufgerufenen Internetseiten oder gar Inhalten der Kommunikation vor. Es werden also Argumente für eine Einhaltung der Vorgaben des EuGH vorgebracht, die der EuGH überhaupt nicht zu prüfen und in seine Erwägung einbezogen hatte.

Herr Lange weiter:

Schließlich werden Berufsgeheimnisträger besonders geschützt.

Unabhängig davon, wie dieser Schutz nach (!) einer Erhebung und Speicherung der Verkehrsdaten von Berufsgeheimnisträgern ausgestaltet ist, werden die Verkehrsdaten dieser Personengruppe nach den Leitlinien auch anlasslos erhoben und gespeichert.

Etwas zum Schmunzeln und in der politischen Beratung im Bundestag bestimmt ein ungewöhnlicher Vorgang (noch dazu wenn man bedenkt, dass hier die Bundesregierung einen noch nicht vorgelegten Gesetzesentwurf verteidigt), ist dann noch der Hinweis von Frau Keul auf den bekannten Tweet von Justizminister Maas, der lautet:

#VDS lehne ich entschieden ab – verstößt gg Recht auf Privatheit u Datenschutz. Kein deutsches Gesetz u keine EU-RL! http://t.co/TOnbqi2vST

— Heiko Maas (@HeikoMaas) 15. Dezember 2014

Die Vereinbarkeit einer solchen Aussage mit den später vorgestellten Leitlinien wurde auf Twitter kritisiert. Auch hierzu äußert sich Herr Lange und erklärt abschließend:

Deshalb ist dieser Tweet in vollem Einklang mit dem Vorgehen der Bundesregierung.