Europäischer Datenschutzausschuss: was ist ein internationaler Datentransfer und in welchen Fällen sind die Pflichten des Kapitel V der DSGVO zu beachten?

Posted on 21. November 2021 by Carlo Piltz

Letzte Woche hat der EDSA seine Leitlinien 05/2021 über das Zusammenspiel zwischen Art. 3 DSGVO und den Bestimmungen über internationale Übermittlungen veröffentlicht (PDF). Diese Leitlinien wurden seit einiger Zeit mit Interesse erwartet, da die DSGVO keine eigene Definition für „internationale Übermittlungen“ vorsieht. Daneben enthalten die Leitlinien einige sehr praxisrelevante Feststellungen der europäischen Behörden, wann die zusätzlichen Anforderungen des Kapitel V zu beachten sind und wann nicht.

Art. 46 DSGVO? Immer die Erforderlichkeit zusätzlicher Schutzmaßnahmen prüfen

Zunächst stellt der EDSA (erneut) fest, dass bei der Inanspruchnahme eines der in Art. 46 DSGVO aufgeführten Übermittlungsinstrumente, wie etwa von EU Standarddatenschutzklauseln, stets geprüft werden muss, ob zusätzliche Schutzmaßnahmen umgesetzt werden müssen, um das Schutzniveau der übermittelten Daten auf den EU-Standard der wesentlichen Gleichwertigkeit zu bringen. Diese Ansicht ist nicht neu, für die Praxis jedoch wichtig.

Dies gilt nach Ansicht des EDSA übrigens auch in Situationen, in denen die Verarbeitung unter Art. 3 Abs. 2 DSGVO fällt. Dies, um zu vermeiden, dass der durch die DSGVO gewährte Schutz durch andere Rechtsvorschriften, denen der Importeur unterliegt, untergraben wird. Bereits hier in der Einleitung wird also klar: der EDSA geht von einer internationalen Übermittlung im Sinne des Kapitel V aus, auch wenn der Importeur der Daten bereits selbst nach Art. 3 Abs. 2 DSGVO dem europäischen Recht unterliegt (hierzu aber später noch mehr).

Was ist eine „Übermittlung an ein Drittland oder eine internationale Organisation“?

Da die DSGVO keine rechtliche Definition des Begriffs „Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation“ (vgl. Art. 44 S. 1 DSGVO) enthält, muss dieser Begriff nach Auffassung des EDSA „unbedingt geklärt werden“.

Vor diesem Hintergrund macht der EDSA einen eigenen Vorschlag für eine solche Definition. Zu beachten ist hierbei freilich, dass diese Auslegung „nur“ die Ansicht der europäischen Behörden darstellt und etwa die EU Kommission eine andere Auffassung vertreten könnte. Dennoch sind die Vorgaben des EDSA für die Praxis von besonderer Relevanz.

Der EDSA hat drei kumulative Kriterien vorgeschlagen, die eine Verarbeitung als Übermittlung qualifizieren. Es müssen also alle drei Anforderungen gemeinsam erfüllt sein:

1. Ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter unterliegt in Bezug auf die betreffende Verarbeitung den Bestimmungen der DSGVO.

2. Dieser Verantwortliche oder Auftragsverarbeiter („Exporteur“) macht durch Übermittlung oder auf andere Weise personenbezogene Daten, die Gegenstand dieser Verarbeitung sind, einem anderen Verantwortlichen, gemeinsamen Verantwortlichen oder Auftragsverarbeiter („Importeur“) zugänglich.

Auch im Fall der Weitergabe von Daten zwischen gemeinsam Verantwortlichen kann also eine Übermittlung in ein Drittland vorliegen. Keine Privilegierung der Weitergabe zwischen diesen gemeinsam Verantwortlichen.

3. Der Importeur befindet sich in einem Drittland oder ist eine internationale Organisation, ungeachtet dessen, ob dieser Importeur in Bezug auf die betreffende Verarbeitung gemäß Art. 3 der DSGVO unterliegt oder nicht.

Wichtig: hier wird direkt eine relevante Klarstellung des EDSA deutlich. Der Exporteur muss gerade nicht (!) in der EU oder dem EWR ansässig sein. Nur der Empfänger der Daten, der Importeur, muss zwingend in einem Drittland ansässig sein. Diese Ansicht ist eigentlich auch nicht mehr überraschend, jedoch sollte man sich in der Praxis stets in Erinnerung rufen, dass für eine Anwendung der Vorschriften in Kapitel V gerade nicht Voraussetzung ist, dass der Exporteur unbedingt in der EU ansässig sein muss.

Zudem muss beachtet werden, dass es für die Frage der Anwendbarkeit von Art. 3 DSGVO stets auf die jeweilige Verarbeitung ankommt. Man muss also auf die einzelne Verarbeitung schauen und kann nicht global und allgemein die Anwendung von Art. 3 DSGVO allein mit Blick auf die datenverarbeitende Organisation prüfen.

Keine Übermittlung, wenn Betroffener selbst Daten freigibt

Das zweite Kriterium setzt nach Ansicht des EDSA stets voraus, dass entweder ein (gemeinsam) Verantwortlicher oder ein Auftragsverarbeiter handelt und die Daten durch Übermittlung oder in anderer Weise zur Verfügung stellt.

Dieses zweite Kriterium kann daher nicht als erfüllt angesehen werden, wenn die Daten direkt und auf auf eigene Initiative der betroffenen Person an den Empfänger weitergegeben werden. In diesem Fall gibt es keinen Verantwortlichen oder Auftragsverarbeiter, der die Daten übermittelt oder zur Verfügung stellt („Exporteur“).

„Übermittlung an ein Drittland“ kann auch vorliegen, wenn der Empfänger der DSGVO unterliegt

Besonders relevant ist die Ansicht des EDSA, ob die Vorgaben des Kapitel V auch dann zu beachten sind, wenn der Importeur der Daten bereits unmittelbar nach Art. 3 Abs. 2 DSGVO dieser unterliegt (derzeit arbeitet die EU Kommission wohl an weiteren Standardvertragsklauseln für genau diese Konstellation). Man könnte ja argumentieren, dass es in diesem Fall eigentlich nicht erforderlich ist, zusätzliche Übermittlungsanforderungen nach Kapitel V vorzusehen.

Der EDSA hebt hervor, dass für Verantwortliche und Auftragsverarbeiter, die nicht in der EU ansässig sind, gemäß Art. 3 Abs. 2 DSGVO für eine bestimmte Verarbeitung der DSGVO unterliegen können und daher bei der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation die Bestimmungen von Kapitel V einhalten müssen, wenn sie personenbezogene Daten in ein Drittland übermitteln oder als Importeur diese Daten erhalten.

Spannend sind hier die Aussagen des EDSA zu zukünftigen Standardvertragsklauseln für diese Konstellation. Denn nach Ansicht des EDSA sind bei der Übermittlung personenbezogener Daten an einen Verantwortlichen in einem Drittland weniger Schutzmaßnahmen/Garantien erforderlich, wenn dieser für die betreffende Verarbeitung bereits der DSGVO unterliegt. Und im Grunde adressiert der EDSA dann direkt die EU Kommission:

„Daher sollte bei der Entwicklung entsprechender Übermittlungsinstrumente (die derzeit nur theoretisch zur Verfügung stehen), d. h. Standardvertragsklauseln oder Ad-hoc-Vertragsklauseln, die Situation nach Art. 3 Abs. 2 berücksichtigt werden, um die Verpflichtungen der Datenschutz-Grundverordnung nicht zu duplizieren, sondern vielmehr die „fehlenden“ Elemente und Grundsätze anzusprechen, die notwendig sind, um die Lücken zu schließen…“.

Ein Beispiel: der reisende Mitarbeiter – es müssen verschiedene juristische Personen vorliegen

In den Leitlinien sind zudem einige Beispiele enthalten. In Beispiel 5 geht der EDSA davon aus, dass durch Drittländer reisende Mitarbeiter, die remote Zugriff auf die Systeme des Arbeitgebers in der EU nehmen, keine internationale Übermittlung auslösen.

Der Grund: Exporteur und Importeur der Daten müssen nach Ansicht des EDSA stets getrennte juristische Einheiten sein. Damit es sich um eine internationale Übermittlung handeln kann, muss es einen Verantwortlichen oder einen Auftragsverarbeiter geben, der die Daten offenlegt (der Exporteur), und einen anderen Verantwortlichen oder einen anderen Auftragsverarbeiter, der die Daten erhält oder Zugang zu ihnen erhält (der Importeur). Im Fall des reisenden Mitarbeiters werden die Verarbeitungen, einschließlich des Fernzugriffs, juristisch betrachtet von seinem Arbeitgeber durchgeführt, d. h. von einem für die Verarbeitung Verantwortlichen mit Sitz in der Union.

Absender und Empfänger der Daten müssen nach Auffassung der Aufsichtsbehörden nicht verschiedene für die Verarbeitung Verantwortliche/Auftragsverarbeiter sein. Sind sie dies nicht, sollte die Weitergabe von
personenbezogener Daten nicht als Übermittlung gemäß Kapitel V DSGVO betrachtet werden, „da die Daten
innerhalb desselben für die Verarbeitung Verantwortlichen/Auftragsverarbeiters verarbeitet werden„.

(Räumlicher) Anwendungsbereich des neuen TTDSG – Rechtsunsicherheit vorprogrammiert

Posted on 25. Mai 2021 by Carlo Piltz

Am 20. Mai hat der Bundestag bekanntlich das neue „Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) in der Fassung des federführenden Ausschusses für Wirtschaft angenommen. Die Beschlussempfehlung mit dem angenommenen Gesetzestext findet sich hier (PDF).

Das neue TTDSG tritt zum 1. Dezember 2021 in Kraft.

In § 26 TTDSG enthält das Gesetz auch eine Vorschrift zur Umsetzung von Art. 5 Abs. 3 ePrivacy-Richtlinie, also dem Einwilligungserfordernis im Fall des Zugriffs auf Informationen in Endgeräten oder des Speichern von Informationen in Endgeräten. Oder kurz: für das (Online)Tracking.

In diesem Beitrag möchte ich aber nicht hierauf eingehen, sondern möchte auf einen Aspekt hinweisen, der meines Erachtens aus praktischer Sicht noch einige Fragen (oder auch unschöne Situationen) hervorrufen dürfte. Es geht um die Frage, wann denn das TTDSG und damit auch die Regelung des § 26 TTDSG überhaupt anwendbar ist. Im Rahmen der Stellungnahmen zu Ausschussanhörung sind auf diesen Aspekt auch der BITKOM (PDF) und der Kollege Alexander Golland (PDF) eingegangen.

§ 1 Abs. 3 TTDSG

Die relevante Vorgabe zum Anwendungsbereich (insbesondere auch räumlich) enthält § 1 Abs. 3 TTDSG: „Diesem Gesetz unterliegen alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen. § 3 des Telemediengesetzes bleibt unberührt“.

Zunächst fällt auf, dass die Anwendung des TTDSG nicht von einer Verarbeitung personenbezogener Daten abhängt. Das ist natürlich auch richtig, da die ePrivacy-Richtlinie ebenfalls nicht (erst) beim Umgang mit personenbezogenen Daten gilt, was auch der EuGH in seinem Urteil in der Rs C‑673/17 ebenfalls klargestellt hat (Rz. 70„Dieser Schutz erstreckt sich auf alle in solchen Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personenbezogene Daten handelt“).

Die Vorschrift ist in mehrere Alternativen unterteilt. Voraussetzung ist stets, dass Unternehmen oder Personen handeln und diese, entweder

1) im Geltungsbereich des TTDSG eine Niederlassung haben oder
2) Dienstleistungen erbringen oder daran mitwirken oder
3) Waren auf dem Markt bereitstellen.

Kurz ein paar kritische Anmerkungen zu 1) und 2).

Zu 1)

Für die Anwendbarkeit des TTDSG reicht es aus, dass ein Unternehmen eine Niederlassung in Deutschland hat. Es ist nicht erforderlich, dass diese Niederlassung irgendwie aktiv in Tätigkeiten eingebunden ist, die zB ein Tracking beinhalten. Allein das Vorhandensein einer Niederlassung ist ausreichend. Das ist ein sehr weiter Anwendungsbereich und geht sogar noch über Art. 3 Abs. 1 DSGVO hinaus, der ja zumindest verlangt, dass eine Datenverarbeitung „im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt“ (Hervorhebung durch mich).

Man kann natürlich politisch eine solche weite Ausdehnung verlangen. Nur sollte man sich dann auch mit der praktischen Umsetzung und vor allem Durchsetzung des Rechts auseinandersetzen. Ein Beispiel: ein Unternehmen aus der Schweiz bietet über einen Online-Shop Waren in der Schweiz und Frankreich an. Das Unternehmen hat auch eine Niederlassung in Deutschland, die jedoch nur für den Einkauf von Waren verantwortlich ist.

Nach § 1 Abs. 3 TTDSG unterliegt ein Tracking auf der Webseite des Schweizer Unternehmens dem TTDSG. Ohne dass der Online-Shop überhaupt Waren in Deutschland anbietet oder darauf ausgerichtet ist. Man mag mich dafür schelten, aber ich glaube nicht, dass dies die gesetzgeberische Intention war.

Zu 2)

Doch es geht noch weiter. Auch wenn keine Niederlassung in Deutschland vorhanden ist, soll das TTDSG Anwendung finden. Dies dann, wenn Unternehmen im Geltungsbereich des TTDSG „Dienstleistungen erbringen oder daran mitwirken“. Wenn also Dienstleistungen in Deutschland erbracht werden.

Wen diese Vorschrift an eine andere Regelung erinnert, der liegt richtig, wenn er in Art. 3 Abs. 2 DSGVO sucht. Dort wird das sog. Marktortprinzip festgeschrieben. Die Aufnahme dieses Prinzips im Anwendungsberiech des TTDSG ist auch ausdrücklich vom Gesetzgeber gewollt (S. 34 des Gesetzentwurfs, PDF): „Dabei gilt nach wie vor das Marktortprinzip. Die im Verhältnis zur E-Privacy-Richtlinie subsidiär geltende DSGVO enthält bereits das Marktortprinzip, das damit auch für die Verarbeitung von personenbezogenen Daten durch Telekommunikationsanbieter gilt“. Und: „§ 1 Absatz 3 TTDSG hat daher Bedeutung für alle Bestimmungen, die sich nicht auf die Verarbeitung personenbezogener Daten beziehen und die nicht unter § 3 des Telemediengesetzes fallen, so dass das Marktortprinzip bei der Anwendung dieses Gesetzes gilt, soweit nicht § 3 des Telemediengesetzes Anwendung findet„.

Auch ohne Niederlassung in Deutschland, gilt also § 26 TTDSG für ein Unternehmen aus Indien, welches über eine Webseite Dienstleistungen in Deutschland erbringt. Aber, nur weil ein Gesetz gilt, bedeutet dies nicht, dass es auch eingehalten bzw. durchgesetzt wird.

Der Gesetzgeber des TTDSG hat jedoch auf halber Strecke halt gemacht und keine entsprechenden Folgereglungen zur Durchsetzung des TTDSG ggü. Unternehmen in Drittstaaten erlassen. In Art. 27 DSGVO ist etwa für diesen Fall vorgesehen, dass ein Vertreter in der EU zu benennen ist. Eine solche Pflicht enthält das TTDSG nicht.

Und noch zwei Anmerkungen zum Tatbestand selbst.

Erfasst ist dem Wortlaut nach allein das „Erbringen“ von Dienstleistungen. Nicht erwähnt ist das „Anbieten“. Versteht man dies so, dass nur die aktive Ausführung einer Dienstleistung relevant ist, würde zB ein Tracking auf Webseiten nicht in den Anwendungsbereich des TTDSG fallen, soweit etwa ein Online-Shop Waren und Dienstleistungen nur präsentiert; also „anbietet“. Erst, wenn eine Person eine Dienstleistung bestellt und einen Vertrag hierüber schließt („erbringen“), würden die Vorgaben des TTDSG greifen. Ist das gewollt? Ich meine nein. So steht es aber in § 1 Abs. 3 TTDSG.

Zum anderen wird nicht nur das „Erbringen“ erwähnt, sondern sogar ein „Mitwirken“ hieran. Also Unterstützungsleistungen im Hintergrund. Man denke an Auftragsverarbeiter oder andere Dienstleister. Auch diese Unternehmen wären, ohne Niederlassung in Deutschland, von den Vorgaben des TTDSG erfasst, wenn sie bei der Erbringung von Dienstleistungen (in welcher Form auch immer?) mitwirken. Im TTDSG selbst wird der Begriff nicht definiert. Nach § 2 Abs. 1 TTDSG gelten die Begriffsbestimmungen des TKG. Dort kennt man den Begriff des „Mitwirkens“ (zB in § 3 Nr. 6 TKG). Möchte man diese Parallele zwischen TKG und TMG ziehen (was mE zumindest in der Pauschalität auch schon diskutiert werden kann), dann zeigt sich eine weites Verständnis des Begriffs. So etwa die BNetzA: „Das Eröffnen dieser Nutzungsmöglichkeit stellt im Regelfall kein eigenständiges Erbringen, sondern lediglich eine “Mitwirkung an der Erbringung von Telekommunikationsdiensten“ (vgl. § 3 Nr. 6 b TKG) eines Dritten (Netzbetreiber und/oder TK-Diensteanbieter, einschließlich Wiederverkäufer) dar“ (S. 1, PDF).

Fazit Diese Anmerkungen stellen nur eine erste kleine Einschätzung zu möglichen Praxisproblemen bei der Anwendung des neuen TTDSG, insbesondere im Fall von Auslandsbezügen, dar. Ich bin sehr gespannt, ob und wenn ja wie die Datenschutzbehörden mit möglichen Durchsetzungslücken in der Praxis umgehen.

Generalanwalt am Europäischen Gerichtshof: Betreiber von Facebook-Seiten (Fanpages) sind datenschutzrechtlich (mit)verantwortlich

Posted on 24. Oktober 2017 by Carlo Piltz

Eine ziemliche Überraschung aus Luxemburg. So könnte man die heute veröffentlichen Schlussanträge des Generalanwalts Bot in der Rechtssache C-210/16 bezeichnen. Sollte der Europäische Gerichtshof (EuGH) dem Ergebnis der Einschätzung des Generalanwaltes folgen, dürfte dies auch Auswirkungen auf die Praxis der digitalen Wirtschaft haben.

Nachfolgend eine ganz kurze Zusammenfassung der Schlussanträge des Generalanwaltes zur datenschutzrechtlichen Verantwortlichkeit.

Ausgangsverfahren

Das Bundesverwaltungsgericht (BVerwG) legte dem EuGH mit Beschluss vom 25.02.2016 – 1 C 28.14 mehrere Fragen rund um die datenschutzrechtliche Verantwortlichkeit eines Betreibers einer Facebook-Seite (Fanpage) und die Zuständigkeit der Aufsichtsbehörden vor.

Nach den Feststellungen zum Sachverhalt können die Betreiber von Fanpages mittels des von Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zu ihrer Verfügung gestellten Tools „Facebook Insights“ Besucherstatistiken erhalten. Diese Statistiken werden von Facebook erstellt und vom Betreiber einer Fanpage anhand verschiedener Kriterien, die er wählen kann – wie Alter oder Geschlecht –, personalisiert. Diese Statistiken liefern somit anonyme Informationen über die Eigenschaften und die Gewohnheiten der Personen, die diese Fanpages besucht haben, und gestatten den Betreibern dieser Seiten, gezielter zu kommunizieren. Um solche Besucherstatistiken zu erstellen, speichert Facebook zumindest ein Cookie, das eine eindeutige ID-Nummer enthält und für zwei Jahre aktiv ist, auf dem Rechner der Person, die die Fanpage aufgerufen hat. Die ID-Nummer, die mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Facebook-Seiten erhoben und verarbeitet.

Ursprünglich klagte die Wirtschaftsakademie Schleswig-Holstein, ein privatrechtlich organisiertes Bildungsunternehmen, gegen einen Bescheid der Landesdatenschutzbehörde in Schleswig-Holstein. Die Wirtschaftsakademie bewirbt ihre Bildungsangebote u.a. durch eine Fanpage bei Facebook.

Die Aufsichtsbehörde ordnete mit Bescheid vom 3.11.2011 gegenüber der Klägerin an, dafür Sorge zu tragen, dass die von ihr unter www.facebook.com/wirtschaftsakademie bei Facebook betriebene Fanpage deaktiviert wird, und drohte für den Fall der nicht fristgerechten Umsetzung ein Zwangsgeld an. Hiergegen wendete sich die Wirtschaftsakademie. Das Verfahren landete über mehrere Instanzen beim BVerwG, welches dem EuGH u.a. die folgenden Fragen vorlegte.

Erste Frage und zweite Frage

Nach Ansicht des BVerwG ist die Wirtschaftsakademie weder datenschutzrechtlich für die Datenverarbeitung durch Facebook, in Form der Erhebung von Daten von Seitenbesuchern, als auch für die weitere Nutzung der Daten durch Facebook verantwortlich.

Zudem ist nach Ansicht des BVerwG die Wirtschaftsakademie auch nicht Auftraggeber einer Datenverarbeitung im Auftrag. Es stellte sich jedoch die Frage, ob es eine andere Form der datenschutzrechtlichen Verantwortlichkeit des Betreibers einer Fanpage geben kann und die Aufsichtsbehörde auch gegen andere Stelle, die nicht Verantwortlicher sind, vorgehen kann.

Das BVerwG hielt eine Klärung für erforderlich, ob bzw. unter welchen Voraussetzungen sich in mehrstufigen Anbieterverhältnissen, wie sie für soziale Netzwerke kennzeichnend sind, die Kontroll- und Eingriffsbefugnisse der Datenschutzaufsichtsbehörde allein auf die „verantwortliche Stelle“ im Sinne des Art. 2 Buchst. d) RL 95/46/EG (§ 3 Abs. 7 BDSG) beziehen können oder ob daneben Raum für eine Verantwortlichkeit einer Stelle, die nicht im Sinne des Art. 2 Buchst. d) RL 95/46/EG für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für sein Informationsangebot bleibt.

Vor diesem Hintergrund erstrebt die erste Vorlagefrage die Klärung, ob mit dem Begriff des „für die Verarbeitung Verantwortlichen“ (Art. 2 Buchst. d) RL 95/46/EG) auch die möglichen Adressaten von Eingriffsmaßnahmen abschließend und erschöpfend umschrieben sind oder ob im Rahmen der „geeigneten Maßnahmen“ nach Art. 24 und der „wirksamen Eingriffsbefugnisse“ nach Art. 28 Abs. 3 Spiegelstrich 2 RL 95/46/EG daneben Raum für eine datenschutzrechtliche Verantwortlichkeit für die Auswahl des Betreibers eines Informationsangebotes bleibt.

Der Generalanwalt teilt nicht die Meinung des BVerwG. Das ist durchaus überraschend.

Meines Erachtens ist nämlich davon auszugehen, dass die Wirtschaftsakademie für die in der Erhebung von personenbezogenen Daten durch Facebook bestehende Phase der Verarbeitung gemeinsam mit Facebook verantwortlich ist.

Die Wirtschaftsakademie ist, zusammen mit Facebook Inc. und Facebook Ltd., gemeinsamer Verantwortlicher. Und zwar für die Verarbeitungsphase der Erhebung personenbezogener durch Facebook, wenn Nutzer die Facebook-Seite besuchen. Facebook ist verantwortlich, da es die Technologie entwickelt hat und auch das dahinter liegende Geschäftsmodell der Nutzung der Daten. Zudem ist auch Wirtschaftsakademie als Administrator der Facebook-Seite zumindest für die Phase der Erhebung der Daten verantwortlich.

Indem der Betreiber der Fanpage Facebook für die Verbreitung seines Informationsangebots nutzt, schließt er sich dem Grundsatz der Durchführung einer Verarbeitung personenbezogener Daten der Besucher seiner Seite zum Zweck der Erstellung von Besucherstatistiken an.

Durch Nutzung des Insights Tools und den Zugriff auf die Statistiken nehme er an Entscheidung über Zwecke und Mittel der Verarbeitung teil. Zum einen, weil er die Entscheidung trifft, das Tool zu nutzen. Nur dadurch würde die Datenverarbeitung überhaupt initiiert. Zudem gestatte er Facebook die Nutzung der Daten. Er erteile also seine Zustimmung zu dem System und der Verarbeitung durch Facebook und damit zu den von Facebook verwendeten Mitteln und den Zwecken. Zudem habe er Möglichkeit, die Datenverarbeitung zu beenden und zwar durch Löschung der Facebook-Seite.

Zudem habe er die Möglichkeit des Einflusses auf die Darstellung der Statistik und welche Kriterien verwendet werden.

der Betreiber einer Fanpage [hat] die Möglichkeit, die konkrete Umsetzung dieses Tools zu beeinflussen, indem er die Kriterien definiert, auf deren Grundlage die Besucherstatistiken erstellt werden.

Der Betreiber einer Fanpage kann mittels Filtern ein personalisiertes Zielpublikum festlegen, was ihm erlaubt, nicht nur die Personengruppe genau zu bestimmen, an die die Informationen über sein kommerzielles Angebot verbreitet werden, sondern insbesondere die Kategorien von Personen zu bezeichnen, deren personenbezogene Daten sodann von Facebook erhoben werden.

Der Generalanwalt stellt als Ergebnis fest, dass unter diesen Umständen ein Betreiber einer Fanpage eines sozialen Netzwerks wie Facebook als Verantwortlicher für die Phase der Verarbeitung personenbezogener Daten anzusehen ist, die in der Erhebung von Daten über die diese Seite besuchenden Personen durch dieses soziale Netzwerk besteht.

Der Generalanwalt bleibt hier jedoch nicht stehen. Zudem sollen diese Ausführungen auch für das anhängige Verfahren zum Like Button (C-40/17, Fashion ID) gelten. Auch bei der Einbindung eines Plugins (hier für den Like-Button) sei Webseitenbetreiber Verantwortlicher für die Phase der Erhebung von Daten durch Facebook, weil er den Code einbinde. Der Generalanwalt hierzu:

Meiner Ansicht nach müsste in einem solchen Kontext der Betreiber einer Website, die ein Social Plugin enthält, soweit er einen tatsächlichen Einfluss auf die die Übermittlung personenbezogener Daten an Facebook betreffende Phase der Verarbeitung ausübt, wie der Betreiber einer Fanpage als „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 eingestuft werden.

Diese Auffassung ist durchaus überraschend, da der Generalanwalt sich der Auslegung des BVerwG entgegenstellt und die datenschutzrechtliche Verantwortlichkeit (die das BVerwG ablehnte) auf Betreiber einer Facebook-Seite erstreckt.

Sollte der EuGH dieser Einschätzung folgen, stellen sich einige praktische Fragen. Unter anderem nach der korrekten Erfüllung der Informationspflichten durch den Betreiber der Facebook-Seite. Nach der Logik der Schlussanträge müsste der Betreiber, da er für die Erhebung der Daten mitverantwortlich ist, über die betroffenen Daten und die Zwecke der Verarbeitung informieren. Tatsächlich kann es aber den Betreibern von Facebook-Seiten oder anderen vergleichbaren Plattformangeboten schwer fallen, diese Informationen inhaltlich korrekt an die Besucher zu kommunizieren. Eventuell hat der Betreiber gar keine Kenntnis darüber, welche Daten konkret für welche Zwecke durch Facebook verarbeitet werden. Zudem müsste der Betreiber der Webseite auf die Informationen zur Datenerhebung auch klar und verständlich auf seiner Facebook-Seite hinweisen. Zuletzt dürfte die generelle Frage zu beantworten sein, auf der Grundlage welches Erlaubnistatbestandes die personenbezogenen Daten durch Facebook (Inc. und Ltd.) und den Betreiber der Webseite erhoben werden. Diese Fragen müssen sich, sollte das Urteil den Schlussanträgen folgen, Betreiber von Facebook-Seiten stellen und beantworten.

Daneben ist anzumerken, dass der vorliegende Fall zwar ein spezielles Produkt (die Fanpage) und das dahinterliegende System betrachtet. Die Ausführungen des Generalanwaltes zur gemeinsamen Verantwortlichkeit dürften jedoch zu einem großen Teil auch auf andere Plattformen und Systeme übertragbar sein, bei denen ein Kunde die Infrastruktur und quasi das vorgefertigte Produkt eines Anbieters nutzt und bei dessen Bereitstellung personenbezogene Daten von Nutzern oder Besuchern verarbeitet werden, insbesondere, wenn der Kunde die Möglichkeit hat, Nutzerstatistiken zu nutzen.

Weitere Fragen

Auch die Ausführungen des Generalanwaltes zum anwendbaren Datenschutzrecht und der Zuständigkeit der Aufsichtsbehörden sind interessant. Vor allem von Relevanz ist, dass er die Gründe des EuGH-Urteils zu Google Spain auf eine Situation überträgt, in der der (Mit)Verantwortliche in der Union niedergelassen ist.

Er geht davon aus, dass die streitige Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten der deutschen Niederlassung von Facebook durchgeführt wird und dass in einer Situation wie der im Ausgangsverfahren in Rede stehenden die Anwendung des deutschen Datenschutzrechts erlaubt ist.

Die deutsche Kontrollstelle ist daher befugt, ihr nationales Recht auf die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten anzuwenden.

Zudem geht der Generalanwalt davon aus, dass die nationale Aufsichtsbehörde ihre Befugnisse, also auch eine Untersagung der Verarbeitung, nicht etwa gegen die nationale Niederlassung richten muss. Vielmehr könne eine aufsichtsbehördliche Maßnahme nach deutschem Recht gegenüber dem Verantwortlichen erfolgen, auch wenn dieser, wie hier die Facebook Ltd., in einem anderen Mitgliedstaat niedergelassen ist.

…dass diese Kontrollstelle sämtliche wirksamen Einwirkungsbefugnisse, die ihr gemäß Art. 28 Abs. 3 dieser Richtlinie übertragen sind, gegenüber dem für die Verarbeitung Verantwortlichen ausüben darf, und zwar auch dann, wenn dieser Verantwortliche seinen Sitz in einem anderen Mitgliedstaat oder einem Drittstaat hat.

Natürlich muss man noch das Urteil des EuGH abwarten. Da dieser den Schlussanträgen jedoch oft folgt, darf man mutmaßen, dass auch das Urteil des EuGH in eine ähnliche Richtung gehen wird.

Germany extends territorial scope of its new Federal Data Protection Act

Posted on 27. Juli 2017 by Carlo Piltz

Germany was the first EU Member State to pass its new national data protection law in order to align existing legislation with the General Data Protection Regulation (GDPR). The new Federal Data Protection Act (BDSG, pdf in German) will enter into force on 25 May 2018.

What should be of utmost importance to companies outside the European Economic Area are the provisions in the BDSG concerning the territorial application of the new law. The relevant provision is Sec. 1 para 4 BDSG. Mind you that the GPDR is absolutely silent on the issue of applicability of national data protection laws beside the GDPR.

Sec. 1 para 4 BDSG consists of three alternative possibilities with regard to the questions of application of the law.

No. 1: The law applies to data processing in Germany. No. 2 stipulates that the provisions of the BDSG apply to the processing of personal data in the context of the activities of an establishment of a controller or a processor in Germany.

I will now focus on the important provision in No. 3, but also would like to mention that No. 1 seems to contradict Art. 3 para 1 GDPR since according to Art. 3 para 1 GDPR, the regulation applies regardless of whether the processing takes place in the Union or not. Sec. 4 para 1 No. 1 BDSG however surprisingly really only refers to the location of the processing. So one might conclude that No. 1 violates European law.

Now to Sec. para 1 No. 3 BDSG, the relevant provision for controllers and processors with no establishment in the EU.

According to No. 3, this “Act shall apply to non-public bodies, provided that the controller or processor has no establishment in a Member State of the European Union or in any other Contracting State to the Agreement on the European Economic Area, but falls within the scope of the” GDPR.

No. 3 clearly refers to Art. 3 para 2 GDPR according to which the GDPR applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union in two different situations. The problem is that No. 3 does in no way establish a connecting factor with Germany. The provision only refers to the “scope of the GDPR”. But in order to fall within the scope of the GPDR, a company located outside the EU must not necessarily offer goods or services to persons in Germany (Art. 3 para 2 (a) GDPR) or monitor their behaviour as far as their behaviour takes place within Germany (Art. 3 para 2 (b) GDPR). The GDPR will apply according to Art. 3 para 2, if for example, a company in Russia offers services to persons in Poland or Austria, or if a company from the US monitors the behavior of persons in Spain or the Netherlands.

According to Sec. 1 para 4 No. 3 BDSG though, in both aforementioned cases the BDSG will apply, since the company falls within the “scope of the GPDR”. The wording is clear.

One might of course think of an interpretation of that provision in the BDSG in a way that one must read Art. 3 para 2 GDPR always with a connecting factor to Germany in mind. For example: offer goods or services to persons in Germany (Art. 3 para 2 (a) GDPR). But the wording of the BDSG is quite clear here and might not allow such an interpretation. Also the reasoning by the legislator does not shed any light on this issue.

In the end, controllers and processors with no establishment in the EU should carefully follow the developments and also the application of the BDSG in the future. Perhaps we will only get certainty on this issue if Sec. 1 para 4 BDSG will be interpreted by national courts or finally by the European Court of Justice.

Anwendbares Datenschutzrecht: Europäischer Gerichtshof schafft ein wenig mehr Klarheit

Posted on 28. Juli 2016 by Carlo Piltz

Heute hat der Europäische Gerichtshof in der Rechtssache C?191/15 sein Urteil gefällt. In dem aus Österreich stammenden Ausgangsverfahren ist der Verein für Konsumenteninformation (ein Verbraucherschutzverein) gegen die Amazon EU Sàrl und deren verwendete AGB vorgegangen. Amazon EU ist eine in Luxemburg ansässige Gesellschaft, die sich über eine Website der Top-Level-Domain „.de“ an Verbraucher mit Wohnsitz in Österreich wendet. Der Verein für Konsumenteninformation griff mehrere der Klauseln in den AGB von Amazon EU an. Unter anderem fand sich dort eine Rechtswahlklauseln („Es gilt luxemburgisches Recht unter Ausschluss des UN-Kaufrechts“).

Missbräuchliche Klauseln
Im ersten Teil seiner Entscheidung befasst sich der EuGH mit der Frage des anwendbaren Rechts zum einen auf die Klage der Verbraucherschützer selbst und zum anderen hinsichtlich der Zulässigkeit der in den AGB verwendeten Klauseln. Diese Unterscheidung ist besonders wichtig. Der EuGH stellt in seinem Urteil ausdrücklich klar, dass bei der Prüfung der Missbräuchlichkeit von Klauseln in Verbraucherverträgen, die Gegenstand einer Unterlassungsklage sind, anzuwendende Recht eigenständig anhand der Art dieser Klauseln zu bestimmen ist (Rz. 49).

Bei der Bestimmung des anwendbaren Rechts ist daher, so das Gericht, zwischen der Beurteilung der betreffenden Klauseln einerseits und der von einer Vereinigung wie dem Verein für Konsumenteninformation erhobenen Klage auf Unterlassung der Verwendung dieser Klauseln andererseits zu unterscheiden. Es ist möglich, dass jeweils das gleiche nationale Recht zur Anwendung gelangt. Es ist jedoch ebenso möglich, dass etwa eine Klage nach österreichischem Recht zu beurteilen ist wohingegen die Zulässigkeit von in den AGB verwendeten Klauseln etwa nach deutschem oder spanischem Recht zu prüfen ist.

Zu der Frage, ob die durch Amazon EU verwendeten Klauseln tatsächlich missbräuchlich sind, äußert sich der EuGH nicht. Er gibt den nationalen Gerichten, deren Sache es ist, diese Frage inhaltlich zu prüfen, jedoch einige Leitlinien für deren Prüfung an die Hand. Insbesondere sei es Sache des nationalen Gerichts, zu ermitteln, ob eine Klausel in Anbetracht der jeweiligen Umstände des Einzelfalls den Anforderungen an Treu und Glauben, Ausgewogenheit und Transparenz genügt (Rz. 65).

Die oben erwähnte Rechtswahlklausel sieht der EuGH nicht per se als missbräuchlich an. Denn das Unionsrecht lasse solche Rechtswahlklauseln grundsätzlich zu. Eine vorformulierte Rechtswahlklausel sei jedoch dann missbräuchlich, wenn sie bestimmte, mit ihrem Wortlaut oder ihrem Kontext zusammenhängende Besonderheiten aufweist, die ein erhebliches und ungerechtfertigtes Missverhältnis der Rechte und Pflichten der Vertragspartner verursachen (Rz. 67). Insbesondere ist es, wenn die Wirkungen einer Klausel durch bindende Rechtsvorschriften bestimmt werden, entscheidend, dass Unternehmen den Verbraucher über diese Vorschriften unterrichten.

Datenschutzrecht
Bei der Frage des anwendbaren Datenschutzrechts, welches dann auch den Prüfungsmaßstab für in den AGB vorhandene Klauseln zum Umgang mit personenbezogenen Daten darstellen würde, geht der EuGH auf die Rechtswahlmöglichkeit richtigerweise überhaupt nicht ein. Diese ist im Datenschutzrecht nämlich nicht möglich. Das anwendbare Datenschutzrecht bestimmt sich vielmehr nach den gesetzlichen Vorgaben, auf europäischer Ebene also Art. 4 Abs. 1 der Datenschutzrichtlinie (hier konkret Art. 4 Abs. 1 lit. a)).

Die Ausführungen und die Prüfung des EuGH in diesem Zusammenhang machen deutlich, dass vergangene Urteile, in denen etwa der Verbraucherzentrale Bundesverband gegen Facebook geklagt hatte und das Landgericht Berlin (Urteil vom 6. März 2012, Az. 16 O 551/10) und auch das Kammergericht (Urteil vom 24. Januar 2014, Az. 5 U 42/12) zur Anwendbarkeit deutsches Datenschutzrechts über eine Rechtswahl der Parteien kamen, kritisch zu hinterfragen sind. Obwohl ja etwa Amazon EU eine Rechtswahlklausel in den AGB vorsah, beurteilt der EuGH das anwendbare Datenschutzrecht konsequent nach den gesetzlichen Vorschriften.

Gegenstand seiner Prüfung ist die Vorschrift des Art. 4 Abs. 1 lit. a) Datenschutzrichtlinie. Danach wendet jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung der Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Hinsichtlich des Merkmals „Niederlassung“ geht der EuGH davon aus, dass eine solche nicht bloß deswegen in einem Mitgliedstaat bestehe, weil von dort aus auf die Website des fraglichen Unternehmens zugegriffen werden kann. Der EuGH verweist insoweit auf sein Urteil vom 1. Oktober 2015, Weltimmo, C?230/14.

Viel entscheidender sind jedoch die Ausführungen des EuGH zu dem Merkmal „im Rahmen der Tätigkeiten“. Dies spielt etwa auch in dem derzeitigen Verfahren der Hamburger Datenschutzbehörde gegen Facebook zu Klarnamenpflicht eine entscheidende Rolle. Es geht hierbei insbesondere um die Frage, ob dieses Merkmal im Sinne des Urteils des EuGH in Google Spain (C-131/12) sehr weit auszulegen ist oder aber doch bei Sachverhalten (wie auch hier vorliegend), die sich allein innerhalb der EU abspielen, ein anderer Maßstab anzulegen und die Begründung des EuGH aus seinem Google Spain Urteil nicht einfach übertragbar ist. Für eine solche Übertragung der Auslegung des Begriffs hatten sich etwa auch die europäischen Datenschutzbeauftragten in einer Stellungnahme (pdf; hierzu mein Beitrag) ausgesprochen.

Der EuGH verweist für seine Auslegung des Begriffs „im Rahmen der Tätigkeiten“ allein auf sein Urteil in der Sache Welt Immo. Ein Verweis auf Google Spain erfolgt gerade nicht. Der EuGH lehnt es vorliegend also ab, auf die Weite Auslegung des Begriffs zu verweisen. Eine Übertragung der Begründung aus Google Spain erscheint daher meines Erachtens nach diesem Urteil des EuGH nicht mehr möglich. Der EuGH führt aus, dass es grundsätzlich Sache des nationalen Gerichts sei, im Lichte dieser Rechtsprechung (wobei er sich auch hier auf den Verweis allein auf seine Weltimmo Entscheidung bezieht) zu bestimmen, ob Amazon EU die fragliche Verarbeitung personenbezogene Daten im Rahmen der Tätigkeit einer Niederlassung vornimmt, die sich in Luxemburg oder in einem anderen Mitgliedstaat befindet. Das Gericht verweist diesbezüglich auch auf die Möglichkeit, dass deutsches Datenschutzrecht auf die Prüfung der Klauseln in den AGB Anwendung finden könnte, wenn sich die Niederlassung nämlich in Deutschland befindet.

Google wehrt sich gegen französische Behörde: gilt das „Recht auf Vergessenwerden“ weltweit?

Posted on 19. Mai 2016 by Carlo Piltz

Heute hat Google in einem Blogpost bekannt gegeben, dass sich das Unternehmen gegen eine durch die französische Datenschutzbehörde (CNIL) verhängte Geldstrafe in Höhe von 100.000 EUR juristisch zur Wehr setzen wird. Informationen zu dem Verfahren gibt es auf der Seite der CNIL. Dort ist auch eine inoffizielle Übersetzung des entsprechenden Beschlusses (PDF) ins Englische verfügbar.

Insbesondere vertritt die CNIL die Auffassung, dass es unter dem geltenden europäischen Datenschutzrecht und mit Blick auf das Urteil des Europäischen Gerichtshofs (EuGH) in seinem Google-Urteil (C-131/12) nicht ausreicht, wenn nach einer Beschwerde einer betroffenen Person Links aus Suchergebnislisten allein auf Webseiten mit europäischen Endungen (z.B. .de, .es oder .fr) und auch bei Suchanfragen aus dem jeweiligen Mitgliedstaat des Beschwerdeführers auf allen Webseiten der Suchmaschine (also auch auf Google.com) unterdrückt werden. Dieses Vorgehen hatte Google zuletzt gewählt. Die französische Behörde verlangt vielmehr, dass Links aus Ergebnislisten von allen Webseiten der Suchmaschine entfernt werden müssen und zudem unabhängig davon, in welchem Mitgliedstaat der Beschwerdeführer sitzt und von wo aus die Suchanfrage gestellt wird.

Im Ergebnis stellt sich die Frage, ob das europäische Datenschutzrecht und insbesondere seine Durchsetzung durch die Datenschutzbehörden globale Geltung beanspruchen. Ob also etwa auf Anweisung einer französischen Behörde zum einen Nutzer der Suchmaschine in anderen Mitgliedstaaten (z.B. in Deutschland oder Spanien) und zum anderen in Staaten außerhalb des EWR wie z.B. den USA (Google.com) oder Japan (Google.co.jp) nur die veränderte Ergebnisliste angezeigt bekommen dürfen.

Dazu nachfolgend einige Gedanken, die sicherlich nicht abschließend sind, jedoch eventuell zur Diskussion anregen.

Grundsätzlich lässt sich die Feststellung treffen, dass der EuGH in seinem Google-Urteil keine konkreten Aussagen zur territorialen Reichweite des sog. „Recht auf Vergessenwerden“ getroffen hat. Was er in seinem Urteil jedoch stets betont, ist die Bedeutung, die der Durchsetzung und vollen Entfaltung der in der Datenschutzrichtlinie (DS-RL) aufgestellten Garantien für betroffene Personen zukommt.

Der EuGH führt in seinem Google Urteil aus, dass der für Verarbeitung Verantwortliche (also etwa der Suchmaschinenbetreiber)

in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten dafür zu sorgen [hat], dass die Verarbeitung den Anforderungen der Richtlinie 95/46 genügt, so dass die von dieser vorgesehenen Garantien ihre volle Wirkung entfalten können (Rz. 83)

Eine wichtige Rolle bei der Erreichung dieses Ziels der Durchsetzung des europäischen Rechts spielen natürlich die Aufsichtsbehörden. Hierauf weist auch der EuGH in seinem Urteil hin:

In diesem Zusammenhang ist darauf hinzuweisen, dass sich nach Art. 28 Abs. 3 und 4 der Richtlinie 95/46 jede Person zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden kann und jede Kontrollstelle über Untersuchungsbefugnisse und wirksame Einwirkungsbefugnisse verfügt, aufgrund deren sie u. a. die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung personenbezogener Daten anordnen kann. (Rz. 78)

Hieraus lässt sich bereits der Schluss ziehen, dass die Frage, ob europäisches Datenschutzrecht weltweit gelten soll, stets auch im Zusammenhang mit seiner Durchsetzung durch die Aufsichtsbehörden zu sehen ist. Denn allein die Anwendbarkeit europäischen Datenschutzrechts hat noch nichts mit der Verwirklichung der vorgesehenen Garantien aus der DS-RL oder auch aus der Charta der Grundrechte der Europäischen Union für die betroffenen Personen zu tun.

Ich möchte, zur Untermauerung dieser Ansicht, auf das bekannte Urteil des EuGH zur Aufhebung der Vorratsdatenspeicherungsrichtlinie hinweisen (C?293/12 und C?594/12). Dort kritisiert das Gericht nämlich, dass die betreffende Richtlinie keine Pflicht vorsieht,

dass die fraglichen Daten im Unionsgebiet auf Vorrat gespeichert werden, so dass es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten (vgl. in diesem Sinne Urteil Kommission/Österreich, C 614/10, EU:C:2012:631, Rn. 37) (Rz. 68).

Der EuGH geht also selbst davon aus, dass überhaupt nur dann eine den Anforderungen der Charta der Grundrechte und auch der DS-RL entsprechende Garantie für den Schutz personenbezogener Daten möglich ist, wenn die Einhaltung der Vorschriften durch die jeweils zuständigen europäischen Datenschutzbehörden überwacht und gegebenenfalls auch durchgesetzt werden kann. Dies kann allein im Unionsgebiet möglich sein.

Geht man also, mit der vorstehenden Argumentation davon aus, dass neben der reinen Anwendbarkeit europäischen Datenschutzrechts auch immer die Möglichkeit seiner Einhaltung und insbesondere Durchsetzung als inhärente Garantie zu sehen ist, stellt sich unweigerlich die Frage, wie weit die Befugnisse europäischer Datenschutzbehörden, insbesondere territorial, reichen.

Hierzu möchte ich auf eine weitere Entscheidung des EuGH, die sog. Weltimmo-Entscheidung (C-230/14) hinweisen. In diesem Urteil befasst sich das Gericht mit der Frage, wie weit die Kompetenzen der europäischen Aufsichtsbehörden reichen.

So hat nach Art. 28 Abs. 1 DS-RL jede von einem Mitgliedstaat eingeführte Kontrollstelle dafür Sorge zu tragen hat, dass die von den Mitgliedstaaten zur Umsetzung der DS-RL erlassenen Vorschriften im Hoheitsgebiet dieses Mitgliedstaats eingehalten werden (Rz. 47; Hervorhebung durch mich). Zudem, so der EuGH, ergibt sich aus Art. 28 Abs. 1 und 3 DS-RL, dass jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaats übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen (Rz. 51; Hervorhebung durch mich). Auch stellt der EuGH klar, dass aus den Anforderungen, die sich aus der territorialen Souveränität des betreffenden Mitgliedstaats, der Gesetzmäßigkeit der Verwaltung und dem Begriff des Rechtsstaats ergeben, folgt, dass die Sanktionsgewalt grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden kann, in denen eine Behörde nach dem Recht ihres Mitgliedstaats ermächtigt ist (Rz. 56; Hervorhebung durch mich).

In dem Fall Weltimmo ging es um einen innereuropäischen Sachverhalt, also die Frage, inwieweit die Aufsichtsbehörde eines Mitgliedstaates im Territorium eines anderen Mitgliedstaates Sanktionsgewalt ausüben darf. Dies lehnt das Gericht mit obiger Begründung ab. Die Sanktionsgewalt darf nicht außerhalb der gesetzlichen Grenzen des eigenen Mitgliedstaates ausgeübt werden.

Übertragen auf die Auseinandersetzung zwischen Google und der französischen Behörde stellt sich nun die Frage, ob es mit der vorgenannten Rechtsprechung des EuGH konform wäre, einer europäischen Aufsichtsbehörde die Befugnis zuzugestehen, Datenverarbeitungen, die zum einen entweder von Personen in anderen europäischen Mitgliedstaaten (der jeweilige Nutzer der Suchmaschine, der nach einem Namen einer betroffenen Person sucht) oder die zum anderen von Personen auf einem Territorium eines Staates außerhalb der Europäischen Union durchgeführt werden, zu regulieren und am Ende mit einem entsprechenden verwaltungsrechtlichen Beschluss, der von seinem Anwendungsbereich her eigentlich nur auf das Territorium des jeweiligen Mitgliedstaates begrenzt ist, zu beeinflussen. Die Maßnahme einer europäischen Behörde hätte dann direkte Auswirkungen in anderen Staaten. Bereits für die erste Konstellation, dass sich ein entsprechender französischer Beschluss etwa auf deutsches oder spanisches Territorium bzw. die dortigen Personen auswirkt, hätte ich meine Zweifel. Dies gilt freilich erst recht in der zweiten Konstellation, also außerhalb der Europäischen Union und damit auch des Kompetenzbereichs der europäischen Datenschutzbehörden.

Nun wird man sicher als Gegenargument anführen können, dass der territoriale Anwendungsbereich europäischen Datenschutzrechts aber doch auch durch den EuGH sehr weit interpretiert wird und eben auch europäisches Datenschutzrecht für die Tätigkeiten einer Google Inc. mit Sitz in den USA gilt. Das ist korrekt. Doch meiner Ansicht nach ist, wie oben beschrieben, für die Verwirklichung der in der europäischen Datenschutzrichtlinie und auch in der Charta der Grundrechte der Europäischen Union festgelegten Rechte und Garantien unweigerlich erforderlich, dass diese durchgesetzt werden (ich verweise noch einmal auf das Urteil des EuGH zur Vorratsdatenspeicherungsrichtlinie). Eine solche Durchsetzung ist aber, aufgrund des Prinzips der territorialen Souveränität von Staaten, nicht immer möglich. Im Ergebnis scheint mir der aktuelle Ansatz von Google zumindest nicht außerhalb der Vorgaben europäischen Rechts zu liegen.

Dieser Problematik scheinen sich im Prinzip auch die europäischen Datenschutzbehörden bewusst zu sein. Wenn man sich die Leitlinien der europäischen Behörden zur Umsetzung des Google-Urteils anschaut (WP 225, PDF), so findet sich auf Seite 8 unter Ziffer 19 der Hinweis, dass die Behörden sich in der Praxis auf solche Fälle „fokussieren“ werden, die einen deutlichen Bezug zum Territorium eines europäischen Mitgliedstaates aufweisen, insbesondere, wenn es sich um ein EU-Bürger handelt.

Am Ende bleibt wohl nur festzustellen, dass die territoriale Durchsetzung europäischen Datenschutzrechts sicherlich kein einfaches und auch ein streitbares Thema darstellt. Man darf gespannt sein, wie dieses Verfahren in Frankreich weitergeht. Am Ende könnte erneut eine Entscheidung des Europäischen Gerichtshofs stehen.

Europäische Kommission: Für PayPal gilt luxemburgisches Datenschutzrecht

Posted on 8. März 2016 by Carlo Piltz

Im Rahmen der Beschwerde eines deutschen Staatsbürgers hat sich die Europäische Kommission unter anderem zur Frage des anwendbaren Datenschutzrechts und der zuständigen Datenschutzaufsichtsbehörde für das Unternehmen PayPal geäußert. Die Stellungnahme der Europäischen Kommission ist über die Webseite des Petitionsausschusses des Europäischen Parlaments abrufbar (pdf).

Der Petent rügte unter anderem, dass PayPal personenbezogene Daten, auch auf Aufforderung, nicht löschen würde und dass Kundenkonten nach einer Sperrung nur nach Übermittlung personenbezogener Daten wieder freigeschaltet werden würden.

Die Kommission befasst sich in ihrer Stellungnahme zunächst mit allgemeinen Grundsätzen und Vorgaben des geltenden Datenschutzrechts. Mit Blick auf PayPal weißt die Kommission darauf hin, dass das unternehmen eventuell gesetzlich dazu verpflichtet sein kann, personenbezogene Daten für Zwecke der Verhinderung der Geldwäsche und Terrorismusfinanzierung zu verarbeiten. In einem solchen Fall sei die Datenverarbeitung auch gerechtfertigt, jedoch muss sich diese auf das erforderliche Maß zur Erfüllung der gesetzlichen Pflichten beschränken.

Zudem führt die Kommission aus, dass es in erster Linie Aufgabe der nationalen Aufsichtsbehörden sei, die Einhaltung der datenschutzrechtlichen Regelungen zu überwachen. Da PayPal (Europe) in Luxemburg niedergelassen ist und die von der Beschwerde umfassten Datenverarbeitungen im Rahmen der Tätigkeiten dieser Niederlassung ausgeführt werden, sei auf den ersten Blick auch luxemburgisches Datenschutzrecht anwendbar.

Wenn der Petent der Ansicht ist, dass die Datenverarbeitung nicht den Vorgaben des luxemburgischen Rechts entspreche, dann kann er sich, so die Kommission, mit einer Beschwerde an die luxemburgische Datenschutzbehörde wenden.

Alternativ könne er sich auch an die für ihn zuständige Aufsichtsbehörde in Deutschland wenden, die dann mit der Aufsichtsbehörde in Luxemburg kooperieren müsse. Denn jede nationale Aufsichtsbehörde ist, unabhängig vom anwendbaren Recht, dem Grunde nach erst einmal befugt und auch verpflichtet, Beschwerden von Bürgern entgegen zu nehmen. Sie darf, bei Anwendbarkeit eines anderen Datenschutzrechts, jedoch z.B. keine sanktionierenden Maßnahmen erlassen. Diesbezüglich verweist die Kommission auf das Urteil des EuGH in der Sache „Weltimmo“ (C-230/14).

Stellungnahme europäischer Datenschützer: Weiter Anwendungsbereich des europäischen Datenschutzrechts

Posted on 25. Januar 2016 by Carlo Piltz

Die Art. 29 Datenschutzgruppe hat am 16. Dezember 2015 eine überarbeitete Version (pdf) ihrer Stellungnahme 8/2010 zum anwendbaren Datenschutzrecht (pdf) verabschiedet. Die Überarbeitung wurde insbesondere nach den Urteilen den Europäischen Gerichtshofs (EuGH) in der Sache „Google Spain“ (C-131/12) und „Weltimmo“ (C-230/14) erforderlich, in denen der Gerichtshofs die Vorschrift des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie auslegte.

Die europäische Regelung

Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie beantwortet die Frage (oder versucht dies zumindest), wann das jeweils nationale Datenschutzrecht eines EU-Mitgliedstaates anwendbar ist:

Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält.

Stellungnahme der Art. 29 Datenschutzgruppe

Grundsätzlich analysieren die Datenschützer das Google Spain-Urteil des EuGH und gehen vereinzelt auch auf das zeitlich später ergangene Weltimmo-Urteil ein.

Nach Auffassung der Datenschützer wendet der EuGH europäisches Datenschutzrecht auf Datenverarbeitungen an, die durch eine verantwortliche Stelle vorgenommen werden, die in einem Staat außerhalb der EU niedergelassen ist, wenn sie eine „relevante“ Niederlassung innerhalb der EU besitzt. Jedoch werfe dieser sehr weite Anwendungsbereich europäischen Rechts auch Fragen auf.

Ebenfalls wichtig für die Art.29 Gruppe ist die Frage, inwieweit bei Konstellationen, in denen die verantwortliche Stelle in der EU niedergelassen ist und mehrere Niederlassungen in anderen Mitgliedstaaten besitzt, die Vorgaben des EuGH übertragbar sind und ob eventuell stets nur ein nationales Datenschutzrecht anwendbar ist.

Auslegung der EuGH-Urteile durch die Art. 29 Datenschutzgruppe

Zunächst befasst sich die Stellungnahme mit dem Tatbestandsmerkmal „im Rahmen der Tätigkeiten einer Niederlassung“. Die Art. 29 Gruppe weist auf eine weite Auslegung des Begriffs „Niederlassung“ in beiden Urteilen hin. Zudem kreiere der EuGH das Merkmal der „untrennbaren Verbundenheit“ der Tätigkeiten der europäischen Niederlassung mit der verantwortlichen Stelle, die in einem Staat außerhalb der EU ihren Sitzt hat.

Die Art. 29 Gruppe versteht diese Verbundenheit vor allem im Sinne eines wirtschaftlichen Konnexes, etwa im Sinne von Umsätzen der EU-Niederlassung. Es dürfe keine Trennung der Tätigkeiten möglich sein, ohne dass das Angebot des ausländischen Dienstes, etwa einer Suchmaschine, wirtschaftlich unrentabel werde.

Zu dem Merkmal der untrennbaren Verbundenheit stellt die Art. 29 Gruppe weiter fest, dass bei deren Vorliegen europäisches Datenschutzrecht anwendbar ist, selbst wenn die EU-Niederlassung gar keine Rolle bei Datenverarbeitung der verantwortlichen Stelle spielt. Nach Auffassung der Datenschützer können jedoch die Tätigkeiten der Niederlassung so mit der verantwortlichen Stelle verbunden sein, dass europäisches Recht auf deren Datenverarbeitung anwendbar ist. Hierzu bildet die Art. 29 Gruppe etwa ein Beispiel, in dem eine verantwortliche Stelle mehrere Verkaufsbüros in der EU besitzt. Dann beurteile sich Verarbeitung der verantwortlichen Stelle nach europäischem Datenschutzrecht, selbst wenn die Niederlassung in der EU an der Datenverarbeitung nicht beteiligt ist.

Zudem stellen die Datenschützer fest, dass das EuGH-Urteil das Geschäftsmodell einer Internetsuchmaschine und deren Generierung von Werbeeinnahmen betraf. Es wäre aus diesem Grund ein Fehler zu glauben, dass nun jede Verbindung zwischen einer EU-Niederlassung und der verantwortlichen Stelle im EU-Ausland ausreichen würde, um europäisches Datenschutzrecht zur Anwendung zu bringen. Jeder Fall muss für sich betrachtet werden. Andererseits dürfe das Urteil nach Ansicht der Art. 29 Gruppe aber auch nicht zu eng ausgelegt und etwa nur auf Suchmaschinen und deren Geschäftsmodell angewendet werden.

Aus Sicht der Praxis von Interesse dürfte die Aussage der Datenschützer sein, dass das Urteil ihrer Auffassung nach je nach Einzelfall vor allem auf Unternehmen anwendbar sein kann, die kostenlose Dienste in der EU anbieten und Daten, die von Nutzern dieser Dienste erhoben und verarbeitet werden, dann in der ein oder anderen Form kommerziell, z. B. für Werbezwecke, genutzt werden.

Auch der Frage, wie die Urteile des EuGH mit Blick auf Sachverhalte zu beurteilen sind, die allein Innerhalb der EU spielen, gehen die Datenschützer nach. Es geht hierbei um Fälle, bei denen mehrere Niederlassungen in verschiedenen Mitgliedstaaten bestehen und eine Hauptniederlassung in einem Mitgliedstaat existiert, die allein als verantwortliche Stelle agiert.

Ist in einem solchen Fall jedes nationale Recht und damit nebeneinander verschiedene Rechtsordnungen auf verschiedene Datenverarbeitung derselben verantwortlichen Stelle anwendbar, wenn die „untrennbare Verbundenheit“ besteht, selbst wenn diese Niederlassungen nicht an der Verarbeitung beteiligt sind?

Nach richtiger Auffassung der Art. 29 Gruppe hat der EuGH in seinem Google Spain-Urteil hierzu nichts gesagt und auch keine Unterscheidung getroffen, wie der Fall zu beurteilen wäre, wenn die verantwortliche Stelle in der EU ansässig ist. Ich möchte hinzufügen: das musste er auch gar nicht. Dennoch habe der EuGH für die Anwendung des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie eine neue Voraussetzung geschaffen: die untrennbare Verbundenheit zwischen verantwortlicher Stelle und der Niederlassung. Das Argument des EuGH, europäisches Recht anzuwenden, da ansonsten die Gefahr bestünde, dass der Betroffene den ihm gewährten Schutz verlieren würde, ist nach Ansicht der Datenschützer in den Konstellationen, die allein in der EU spielen, nicht zwingend. Denn in einem solchen Fall geht es nur darum im Anwendungsbereich der Datenschutzrichtlinie zu bestimmen, welches nationale Recht anwendbar ist.

Doch geht die Art. 29 Gruppe davon aus, dass derzeit keine Vollharmonisierung unter dem europäischen Datenschutzrecht existiert. Daher sei es schon wichtig, welches nationale Recht gilt. Zudem führen die Datenschützer aus, dass die Datenschutzrichtlinie keine Form eines „one stop shops“ für das anwendbare Recht vorsieht. Es sei vielmehr jedes nationale Recht anwendbar, in dem eine Niederlassung existiert, die mit ihren Tätigkeiten untrennbar mit der verantwortlichen Stelle verbunden ist. Die Begründung: ansonsten bestünde die Gefahr des forum shoppings in der EU.

Das Fazit der Art. 29 Gruppe: der EuGH schafft ein neues Kriterium im Rahmen des Tatbestandsmerkmals des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie („im Rahmen der Tätigkeiten einer Niederlassung“), die untrennbare Verbundenheit. Hier gehen die Datenschützer noch einmal deutlich darauf ein, dass es sich um eine wirtschaftliche Verbundenheit handeln muss.

Im zweiten Teil der Stellungnahme beschreiben die Datenschützer konkrete Änderungen ihrer alten Stellungnahme. Zudem stellen sie klar, dass selbst wenn nicht EU-Recht auf eine außerhalb der EU sitzende verantwortliche Stelle anwendbar ist, doch immer noch nationales Recht für solche Datenverarbeitungen gilt, die „lokal“ von einer EU-Niederlassung vorgenommen werden, etwa im Rahmen der Verwaltung eigener Dienstleister oder Mitarbeiter.

Zudem sei EU-Recht auch anwendbar, wenn nur eine einzige Niederlassung einer außereuropäischen verantwortlichen Stelle in der EU existiert, die Dienstleistungen in der EU anbietet. Dann scheint nach Ansicht der Art. 29 Gruppe eine Art Vermutung dafür zu streiten, dass die Tätigkeiten dieser EU-Niederlassung mit der verantwortlichen Stelle untrennbar verbunden sein müssen.

Zudem fügen die Datenschützer noch einige neue Beispiele für die Praxis in ihre Stellungnahme ein. Sehr relevant ist, dass die Art. 29 Gruppe in diesem Zusammenhang klarstellt, dass allein die gesellschaftsrechtliche Verbundenheit nicht für eine „untrennbare Verbundenheit“ ausreicht. Selbst wenn nur eine Niederlassung in der EU vorhanden sein sollte und eine finanzielle Verbindung zur verantwortlichen Stelle (hier in Kanada) besteht, reicht dies nicht aus, wenn die EU-Niederlassung tatsächlich im Rahmen völlig andere Tätigkeiten agiert, als die verantwortliche Stelle.

EuGH-Generalanwalt zur Frage des anwendbaren Datenschutzrechts und der Zuständigkeit von Datenschutzbehörden

Posted on 25. Juni 2015 by Carlo Piltz

Heute hat der Generalanwalt („GA“) am Europäischen Gerichtshof, Pedro Cruz Villalón, seine Schlussanträge in der Sache „Weltimmo“ (C-230/14) vorgelegt. In diesem Vorabentscheidungsersuchen geht es um zwei wichtige Fragen des europäischen Datenschutzrechts:

Welches Recht ist innerhalb der EU anwendbar auf ein Unternehmen, mit alleinigem Sitz in einem Mitgliedstaat, das jedoch über Internetseiten Dienstleistungen auch in anderen Ländern anbietet?
Welche Kompetenzen besitzen Datenschutzbehörden, wenn es darum geht, gegen Unternehmen vorzugehen, die nicht im Mitgliedstaat der Behörde niedergelassen sind und wenn nicht das Datenschutzrecht des Mitgliedstaates dieser Behörde anwendbar ist?

Zu der Vorlagefrage selbst und auch zu dem Sachverhalt habe ich bereits ausführlich berichtet. Ich möchte mich daher nachfolgend auf eine kurze Zusammenfassung der Feststellungen des Generalanwalts beschränken.

Zum anwendbaren Recht und zum Begriff der Niederlassung (Nr. 1)

In dem Verfahren geht es hinsichtlich des anwendbaren Rechts um Art. 4 Abs. 1 lit. a) der Datenschutz-Richtlinie (RL 95/46/EG, „DS-RL“) in dem es heißt:

Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an: a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Zunächst stellt der GA fest, dass diese Vorschrift als Norm fungiert, die im Verhältnis der Mitgliedstaaten zueinander das anwendbare Recht bestimmt. Art. 4 Abs. 1 lit. a ist daher die entscheidende Vorschrift, die als Kollisionsnorm zwischen den Rechtsordnungen der verschiedenen Mitgliedstaaten das anwendbare Recht bestimmt. Mit dieser Aussage des GA wird meines Erachtens auch deutlich, dass eine Rechtswahl des Datenschutzrechts derzeit gerade nicht möglich ist. Welches nationale Datenschutzrecht bindend gilt, ergibt sich eben gerade aus der oben bezeichneten Kollisionsnorm.

Für die korrekte Anwendung von Art. 4 Abs. 1 lit. a DS-RL kommt es entscheidend darauf an, wie der Begriff der „Niederlassung“ ausgelegt wird. So prüft dann auch der GA zunächst, ob Weltimmo eine Niederlassung auf ungarischem Staatsgebiet besitzt. In einem zweiten Schritt wird es um das Merkmal „im Rahmen der Tätigkeit“ gehen und die Frage zu beantworten sein, ob die Datenverarbeitung im Bereich der Tätigkeit dieser Niederlassung stattgefunden hat.

Zunächst geht der GA darauf ein, dass das Unionsrecht besonderen Wert auf einen Begriff der Niederlassung legt, die sich auf die effektive Ausübung der wirtschaftlichen Tätigkeiten und auf einen gewissen Grad an Beständigkeit stützt. Der GA schlägt vor, den Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen.

Danach geht der GA speziell auf die Situation eines ausschließlich über das Internet tätigen Unternehmens ein.

Nach Ansicht des GA kann unter bestimmten Umständen ein Vertreter eines Unternehmens mit dauerhafter Präsenz und wenig mehr als einem tragbaren Computer eine ausreichende Struktur darstellen, um eine effektive, tatsächliche Tätigkeit mit einem ausreichenden Grad an Beständigkeit in einem anderen Mitgliedstaat durchzuführen, als jenem der Hauptniederlassung des Unternehmens. Daher sei es, laut dem GA, notwendig, bei der Bewertung dieser personellen und technischen Mittel sorgfältig die Eigenheiten von Unternehmen zu berücksichtigen, die Leistungen über das Internet anbieten, wobei auf die Besonderheiten der jeweiligen konkreten Situation einzugehen ist.

Zudem macht der GA weitere wichtige Anmerkungen, zu den gerade nicht mit in die Prüfung des anwendbaren Rechts einzubeziehenden Faktoren. So haben, meines Erachtens richtigerweise,

„der Ort, von dem aus die Daten eingegeben wurden, der Mitgliedstaat, auf den die Dienstleistungen ausgerichtet sind, die Staatsangehörigkeit der Betroffenen oder der Ort, an dem die Eigentümer des Unternehmens ihren Wohnsitz haben“

keinen direkten und entscheidenden Einfluss auf die Bestimmung des anzuwendenden Rechts.

Hinsichtlich des weiteren Merkmals von Art. 4 Abs. 1 lit. a DS-RL („im Rahmen der Tätigkeit“), verweist der AG vor allem auf das Urteil des EuGH in Sachen „Google Spain“ (C-131/12).

Für den GA ist jedoch klar, dass wenn die tatsächlichen Feststellungen ergeben sollten, dass Weltimmo ausschließlich in der Slowakei niedergelassen ist, auch nicht ungarisches Datenschutzrecht gelten kann. Selbst wenn Dienstleistungen in der Slowakei angeboten werden. Der GA dazu:

… in dem Sinne zu beantworten, dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 es der ungarischen Datenschutzbehörde verwehrt, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist.

Diese Aussage, so sie denn der EuGH in seinem späteren Urteil bestätigen sollte, wäre für in der EU niedergelassene Unternehmen, die ihre relevante Hauptniederlassung in einem Land konzentrieren, besonders relevant.

Zur zuständigen Aufsichtsbehörde und zu den möglichen Aufsichtsmaßnahmen (Nr. 2)

Sodann geht der GA auf die Vorlagefrage ein, ob es denn möglich wäre, dass zwar slowakisches Datenschutzrecht anwendbar wäre, die ungarische Datenschutzbehörde dennoch Sanktionen verhängen oder die Rechtswidrigkeit der Datenverarbeitung feststellen könnte.

Bereits vorweg: der GA verneint diese Möglichkeit.

Der Kern der Frage, welche Kompetenzen mitgliedstaatliche Aufsichtsbehörden innerhalb der EU über Landesgrenzen hinweg ausüben können, ist von besonderer Praxisrelevanz und spielt auch im Rahmen der finalen Verhandlungen zur Datenschutz-Grundverordnung und dem sog. One stop shop eine wichtige Rolle. Immerhin geht es um das Handeln staatlicher Institutionen und die Ausübung hoheitlicher Befugnisse in anderen Mitgliedstaaten. So führt auch der GA aus:

In der Tat ist im Zusammenhang mit der Zuständigkeit öffentlicher Stellen und folglich mit der Ausübung öffentlich-rechtlicher Hoheitsbefugnisse, insbesondere der Sanktionsbefugnis, unbedingt von den Anforderungen auszugehen, die sich aus den Grundsätzen der territorialen Souveränität des Staates, der Gesetzmäßigkeit der Verwaltung und damit letztlich dem Begriff des Rechtsstaats ergeben.

Die Ausübung von Sanktionsgewalt kann, so der GA, grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden, in denen eine Behörde nach ihrem nationalen Recht ermächtigt ist. Eine Abweichung von dieser Regel scheint zumindest eine spezielle gesetzliche Grundlage zu erfordern, die die Anwendung des öffentlichen Rechts eines anderen Mitgliedstaats erlaubt und abgrenzt. Eine solche gesetzliche Regelung existiert derzeit jedoch nicht. Zu untersuchen ist hier insbesondere Art. 28 Abs. 6 S. 1 DS-RL. Dieser lautet:

Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist.

Der referenzierte Art. 28 Abs. 3 DS-RL listet verschiedene Rechte der Aufsichtsbehörde auf (Untersuchungsbefugnis, Einwirkungsbefugnis und Klagebefugnis). Jedoch gerade nicht die Sanktionsbefugnis. Zwar erlauben die Vorschriften der DS-RL nach Ansicht des GA, dass die Behörde eines Mitgliedstaats die in ihrem Hoheitsgebiet ausgeübten Tätigkeiten überwacht, und zwar auch dann, wenn das Recht eines anderen Mitgliedstaats anwendbar ist. Letztlich besitzen die Aufsichtsbehörden unabhängig vom im Einzelfall anzuwendenden Recht die Untersuchungs- und Einwirkungsbefugnisse, die in Art. 28 Abs. 3 DS-RL genannt sind, allerdings allein in der in ihrem nationalen Recht geregelten Form, im Bereich ihrer geografischen Zuständigkeit.

Möchte also eine Aufsichtsbehörde eines Mitgliedstaates, dessen Datenschutzrecht auf die betreffende Datenverarbeitung nicht anwendbar ist, auch Sanktionen gegen den Verantwortlichen verhängen, so kann sie dies nicht selbst tun. Jedoch hat sie die Möglichkeit, unter Berücksichtigung der Verpflichtung zur Zusammenarbeit der Datenschutzbehörden nach Art. 28 Abs. 6 DS-RL die Behörde des Mitgliedstaats, dessen Recht auf die Datenverarbeitung anwendbar ist, zu ersuchen, die eventuelle Feststellung eines Verstoßes gegen das anwendbare Recht und die eventuelle Verhängung von Sanktionen auf der Grundlage der eingeholten Informationen vorzunehmen. Die unzuständige Behörde besitzt nach Ansicht des GA also durchaus ein Grundgerüst an möglichen Handlungen, jedoch steht ihr nicht die Befugnis zu, eine Datenverarbeitung eines Verantwortlichen aus einem anderen Mitgliedstaat offiziell als rechtswidrig zu bescheiden oder etwa ein Bußgeld zu verhängen.

In Deutschland dürften diese Ausführungen insbesondere für Verfahren gegen Facebook interessant sein. Denn wenn irisches Datenschutzrecht gilt (also keine relevante Niederlassung in Deutschland existiert), so ist die irische Datenschutzbehörde nach Ansicht des GA zumindest für Sanktionen und die Feststellung von rechtswidrigen Verarbeitungen allein verantwortlich.

Der GA führt abschließend aus:

Insbesondere müssen eine eventuelle Feststellung der Rechtswidrigkeit der Datenverarbeitung und die gleichfalls eventuelle Verhängung von Sanktionen, die sich daraus ergibt, in jedem Fall durch die Behörde des Staates erfolgen, dessen materielles Recht nach dem Anknüpfungskriterium von Art. 4 Abs. 1 Buchst. a der Richtlinie auf die Datenverarbeitung anwendbar ist.

All diese Fragen sind hiermit freilich nicht final entschieden. Das Urteil des EuGH steht noch aus. Die Thematik ist jedoch, wie erwähnt, von besonderer Praxisrelevanz und dürfte gerade auch im Trilog zur Datenschutz-Grundverordnung auf den Tisch kommen.

Datenschutz und „Internet der Dinge“ – Position der Europäischen Datenschützer

Posted on 24. September 2014 by Carlo Piltz

Die Artikel 29 Datenschutzgruppe (Art. 29 Gruppe), das Gremium der Vertreter der europäischen Aufsichtsbehörden für den Datenschutz, hat in einer neuen Stellungnahme (WP 223, PDF) zum „Internet der Dinge“ (IoT) ihre Positionen zu verschiedenen datenschutzrechtlichen Fragen im Zusammenhang mit der Datenverarbeitung rund um Smartwatches, Fitnesstracker oder intelligente Thermostate dargelegt. Im Folgenden möchte ich einige der in der Stellungnahme angesprochenen Themenbereiche näher beleuchten.

Räumlicher Anwendungsbereich
Nach Ansicht der Art. 29 Gruppe ist das europäischen Datenschutzrecht (bzw. die jeweilige nationale Umsetzung der Vorgaben der geltenden Datenschutzrichtlinie (DS-RL) 95/46/EG) zum einen dann anwendbar, wenn Datenverarbeitungen „im Rahmen der Tätigkeiten“ einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche (hierzu sogleich) in der Europäischen Union besitzt (Art. 4 Abs. 1 lit. a DS-RL). Was genau unter der Umschreibung „im Rahmen der Tätigkeiten“ zu verstehen ist, wird in dieser Stellungnahme nicht näher erläutert. Jedoch verweisen die Datenschützer auf das Google-Urteil des Europäischen Gerichtshofs (C-131/12) und die dort vorgenommene sehr weite (meines Erachtens mit dem Wortlaut der Datenschutzrichtlinie kaum zu vereinbarende) Auslegung dieses Begriffs. Sollte der für die Datenverarbeitung Verantwortliche nicht in der EU niedergelassen sein, ist das europäische Datenschutzrecht dennoch anwendbar, wenn er nach Art. 4 Abs. 1 lit. c DS-RL auf Mittel zurückgreift, welche in einem Mitgliedstaat belegen sind. Nach Ansicht der Datenschützer stellen alle Geräte, die zur Erhebung oder weiteren Verarbeitung von personenbezogenen Daten im Rahmen eines IoT-Dienstes eingesetzt werden, solche „Mittel“ im Sinne der DS-RL dar. Hierzu gehören aber auch die Smartphones oder Tablets der Nutzer, auf denen entsprechende Software oder Apps zum Analysieren oder Übermitteln der erhobenen Daten installiert sind.

Personenbezogene Daten
Für die Datenschützer sind die Informationen, die von den IoT-Geräten erhoben werden, in den meisten Fällen als personenbezogen im Sinne des Art. 2 DS-RL anzusehen. Entweder kann eine bestimmte Person direkt hierüber identifiziert oder es können Lebensmuster und –gewohnheiten einer Person oder Familie erkannt werden. Jedoch gehen die Datenschützer in ihrer Stellungnahme noch weiter. Selbst wenn Daten pseudonymisiert oder gar anonymsiert werden, so bestünde doch aufgrund der Schieren Menge an Informationen stets ein latentes Risiko einer Re-Identifizierung. Dies reiche aus, um von personenbezogenen Daten auszugehen.

Für die Datenverarbeitung Verantwortlicher
Bei der Frage des für die Verarbeitung Verantwortlichen geht es um die Bestimmung derjenigen Stelle, welche die gesetzlichen Pflichten des Datenschutzrechts treffen. Die Art. 29 Gruppe verweist darauf, dass im Bereich des Internet der Dinge viele verschiedene Spieler beteiligt sind und daher eine genaue Analyse Ihrer Beteiligungen an den jeweiligen Datenverarbeitungsprozessen vorzunehmen ist. Der Gerätehersteller ist nach Ansicht der Datenschützer vor allem dann für die Datenverarbeitung verantwortlich, wenn er nicht nur das physische Gerät verkauft, sondern auch die Software programmiert und damit vorgibt, wie und welche Daten erhoben und zu welchen Zwecken verarbeitet werden. Auch Internetplattformen, auf denen Nutzer die über das Gerät erhoben Daten teilen und veröffentlichen können, besitzen unter gewissen Umständen datenschutzrechtliche Pflichten. So ist etwa der Anbieter eines sozialen Netzwerkes nach Ansicht der Datenschützer dann als Verantwortlicher anzusehen, wenn er Daten aus dem IoT-Gerät eines Nutzers für eigene Zwecke verwendet, z.B. um personalisierte Werbung für passionierte Jogger auszuspielen. Und auch Anbieter von Drittdiensten, etwa speziellen Apps, die auf IoT-Daten zugreifen, sind als für die Verarbeitung Verantwortlichen anzusehen, wenn sie über eine vorhandene API auf Informationen auf dem jeweiligen Gerät zugreifen. Nach Ansicht der Art. 29 Gruppe bedarf es hierfür zumeist der Einwilligung des Betroffenen, welche im Rahmen des Installationsprozesses der App einzuholen ist.

Einwilligung nach der ePrivacy-Richtlinie
Die Art. 29 Gruppe weist in ihrer Stellungnahme darauf hin, dass neben den Regelungen der DS-RL auch einzelne Bestimmungen anderer Gesetze zur Anwendung kommen können. Insbesondere im Blick haben die Datenschützer hierbei Art. 5 Abs. 3 der sog. ePrivacy-Richtlinie (2002/58/EG). Danach ist die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat. Dieses Einwilligungserfordernis betrifft nach Ansicht der Datenschützer vor allem den Gerätehersteller. Zu beachten ist, dass die Einwilligung sich nicht nur auf personenbezogene Daten bezieht, sondern ganz allgemein auf Informationen, die in einem IoT-Gerät gespeichert sind.

Erlaubnistatbestände der Datenverarbeitung
Die Verarbeitung personenbezogener Daten, die über ein IoT-Gerät erhoben werden, bedarf nach dem geltenden Prinzip des Verbots mit Erlaubnisvorbehalt eines Erlaubnistatbestandes. Art. 7 DS-RL listet die möglichen gesetzlichen Grundlagen einer Verarbeitung personenbezogener Daten auf. Die Voraussetzungen einer der Alternativen des Art. 7 DS-RL sind neben den Voraussetzungen des Art. 5 Abs. 3 ePrivacy-Richtlinie zu erfüllen (der ja bereits bei einem Zugriff auf Informationen einschlägig ist). Nach Ansicht der Art. 29 Gruppe kommen im Rahmen des Einsatzes von IoT-Geräten vor allem drei Varianten des Art. 7 DS-RL in Betracht. Zum einen Art. 7 lit. a DS-RL, wenn der Betroffene seine Einwilligung in die Datenverarbeitung erteilt hat. Zum anderen Art. 7 lit. b DS-RL, wenn die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist. Die Art. 29 Gruppe weist darauf hin, dass der Anwendungsbereich dieses Erlaubnistatbestandes durch das Merkmal der „Erforderlichkeit“ begrenzt ist. Zum Dritten stellt auch Art. 7 lit. f DS-RL einen tauglichen Erlaubnistatbestand dar, wenn die Verarbeitung zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird erforderlich ist. Dies jedoch nur, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. In diesem Zusammenhang verweisen die Datenschützer erneut auf das Google-Urteil des EuGH und nehmen die Aussagen des Gerichts zum Anlass darauf einzugehen, dass eine Datenverarbeitung über IoT-Geräte sehr wahrscheinlich die Grundrechte auf Privatleben und den Schutz personenbezogener Daten in besonderer Weise berührt. Die Daten beziehen sich etwa auf die Gesundheit der Betroffenen oder ihre private Umgebung. Nach Ansicht der Art. 29 Gruppe ist eine Datenverarbeitung unter diesen Gegebenheiten kaum allein durch die wirtschaftlichen Interessen des jeweils Verantwortlichen zu rechtfertigen.

Zusammenfassung
Die Stellungnahme der Art. 29 Gruppe geht noch auf weitere Aspekte ein, etwa Anforderungen an die Datenqualität, die Verarbeitung besonderer Arten von personenbezogenen Daten (z. B. Gesundheitsdaten) oder auch zu ergreifende technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten. Insgesamt dient die Stellungnahme der Datenschützer sicherlich als informative Lektüre, um eine grobe Einschätzung des immer bedeutender werdenden Bereichs des Internets der Dinge aus Sicht der Aufsichtsbehörden zu erhalten. Meines Erachtens sind die Positionen der Art. 29 Gruppe freilich nicht in jedem Punkt las eine Art „obiter dictum“ hinzunehmen. So stellt sich etwa für Geräte- oder Softwarehersteller die Frage des Sinns (bzw. Unsinns) von Anonymisierungsverfahren, wenn nach Ansicht der Datenschützer selbst dann die datenschutzrechtlichen Pflichten eingreifen. Als ob also eine Anonymisierung von Daten gar nicht stattgefunden hätte. Warum sollten Unternehmen dann noch eine Anonymisierung (die mit tatsächlichen und finanziellen Aufwandverbunden ist) vornehmen? Auch in Zukunft werden das vernetzte Haus, das smarte Auto oder die intelligenten Uhren den Datenschutz vor Herausforderungen stellen. Es sollte daher auch genau auf eine mögliche Berücksichtigung dieser Technologien in der geplanten Datenschutz-Grundverordnung geachtet werden und wie das künftige Datenschutzrecht mit technologischen Entwicklungen umgehen wird.

Page 1 of 312 3

de lege data

Datenschutz – Privacy – Web 2.0

Category Archives: Anwendbares Recht