EU-Datenschützer: Nicht jede Verarbeitung birgt ein hohes Risiko für Betroffene

Die Art. 29 Datenschutzgruppe hat den Entwurf für Leitlinien zur Datenschutz-Folgenabschätzung nach der EU-Datenschutz-Grundverordnung (DSGVO) veröffentlicht (pdf). Bis zum 23. Mai 2017 haben interessierte Kreise die Möglichkeit, den Entwurf der Leitlinien zu kommentieren.

Bekanntermaßen sieht die ab dem 25. Mai 2018 geltende DSGVO in Art. 35 Abs. 1 die Pflicht für den Verantwortlichen vor, vor Beginn einer geplanten Datenverarbeitung eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen, wenn diese Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Folgenabschätzung ist zu dokumentieren.

Nach Art. 35 Abs. 4 DSGVO sind die Aufsichtsbehörden verpflichtet, eine Liste der Verarbeitungsvorgänge, für die ihrer Ansicht nach eine Datenschutz-Folgenabschätzung durchzuführen ist, zu erstellen und zu veröffentlichen.

Mit den nun im Entwurf vorliegenden Leitlinien, möchten die europäischen Datenschützer ihre Interpretation der zum Teil doch recht offen gehaltenen Begrifflichkeiten darlegen und zudem erste Empfehlungen für datenverarbeitenden Stellen aussprechen, insbesondere auch zu der noch offenen Frage, wann die Aufsichtsbehörden wohl von einem „hohen Risiko“ für die Rechte und Freiheiten natürlicher Personen ausgehen.

In dem Entwurf benennen die Datenschützer zehn Kriterien, die Verantwortliche berücksichtigen könnten, wenn sie im Zuge der Prüfung einer Verarbeitung das Merkmal des „hohen Risikos“ interpretieren sollen. Hohe Risiken können aus Sicht der Datenschützer etwa bei der Erstellung von Profilen von Personen bestehen oder aber auch bei der Übermittlung von Daten in Länder außerhalb des EWR. Je mehr der zehn Kriterien erfüllt sind, desto eher sei von einem hohen Risiko der Verarbeitung auszugehen.

Die Datenschützer nennen auch einige Praxisbeispiele und ordnen diese nach den Kategorien „Folgenabschätzung erforderlich: ja/nein“ ein. So soll eine Folgenabschätzung etwa nötig sein, wenn Daten aus öffentlichen Profilen in sozialen Medien entnommen werden, um mit diesen eigene Profile zu erstellen, z. B. für Kontaktverzeichnisse. Keine Folgenabschätzung sei jedoch erforderlich, wenn ein Onlineshop-Betreiber eingeschränkt personalisierte Werbung auf seiner Webseite einblendet, die sich aus Daten aus vergangenem Kaufverhalten ergibt.

Zudem weisen die Datenschützer darauf hin, dass ihrer Ansicht nach aktuell vorgenommene Verarbeitungen grundsätzlich nicht einer Folgenabschätzung unterzogen werden müssen. Dies würde sich jedoch ändern, wenn sich etwa die Datenquantität oder die Verarbeitungszwecke ändern.

Ganz generell gehen die Datenschützer, meines Erachtens durchaus diskutabel, davon aus, dass eine Folgenabschätzung spätestens alle drei Jahre zu wiederholen sei. Aus der DSGVO selbst ergibt sich diese Frist von drei Jahren nicht.

Privacy Shield: Europäische Datenschützer veröffentlichen Leitfaden für Unternehmen

Die Art. 29 Datenschutzgruppe, die Versammlung der nationalen Datenschutzbehörden, hat am 13. Dezember 2016 ein Papier mit Fragen und Antworten (FAQ) zur praktischen Handhabe des EU-US Datenschutzschildes (Privacy Shield) für europäische Unternehmen veröffentlicht (pdf).

Unter anderem geben die europäischen Datenschützer darüber Auskunft, was ein europäisches Unternehmen zu beachten hat, bevor es personenbezogenen Daten an ein US-Unternehmen übermittelt, welches unter dem Privacy Shield zertifiziert ist.

Prüfung der Zertifizierung und umfasster Datenkategorien

Zum einen müssen sich europäische Unternehmen vergewissern, dass das US-Unternehmen eine aktive Zertifizierung besitzt und zum anderen, dass diese Zertifizierung auch die der geplanten Übermittlung zu Grunde liegenden Daten (eine wichtige Unterscheidung besteht hier zwischen Daten von Mitarbeitern und anderen personenbezogenen Daten) umfasst. Um diese Prüfung vorzunehmen, müssen europäische Unternehmen die Zertifizierung des jeweiligen amerikanischen Unternehmens auf der Webseite des US-Handelsministeriums verifizieren: https://www.privacyshield.gov/welcome

Sollte ein amerikanisches Unternehmen nicht in dieser Liste verzeichnet sein, bestehen dennoch Möglichkeiten, personenbezogene Daten an dieses Unternehmen zu übertragen. Hierauf weisen die europäischen Datenschützer auch ausdrücklich in ihrer Leitlinie hin. Insbesondere können die EU-Standardvertragsklauseln zum Einsatz kommen.

Amerikanisches Unternehmen als Verantwortlicher

Werden personenbezogene Daten an ein amerikanisches Unternehmen übermittelt, welches in der Rolle eines datenschutzrechtlich Verantwortlichen („controller“) agiert, muss das europäische Unternehmen dafür Sorge tragen, dass für den Verarbeitungsvorgang der Übermittlung europäisches Datenschutzrecht eingehalten wird. Insbesondere bedeutet dies, dass für die Übermittlung ein Erlaubnistatbestand (etwa eine Einwilligung oder ein Vertrag) vorhanden sein muss. Zudem weisen die europäischen Datenschützer darauf hin, dass auch alle übrigen Voraussetzungen für eine zulässige Datenverarbeitung erfüllt sein müssen, wie etwa die Erfüllung von Informationspflichten und das Prinzip der Zweckbindung.

Nach Auffassung der europäischen Datenschützer muss ein europäisches Unternehmen, wenn es personenbezogene Daten an ein amerikanisches Unternehmen übermittelt, welches unter dem Privacy Shield zertifiziert ist, betroffene Personen über die Identität der jeweiligen Datenempfänger und über die Tatsache, dass die übermittelten personenbezogenen Daten unter dem Schutz des Privacy Shield übermittelt werden, informieren. Ob ein europäisches Unternehmen jedoch tatsächlich über die konkrete Identität eines amerikanischen Unternehmens als Empfänger von Daten informieren muss, lässt sich meines Erachtens hinterfragen. So erfordert Art. 10 EU-Datenschutzrichtlinie, dass über die Empfänger oder Kategorien der Empfänger der Daten zu informieren ist. Auch die Information über Kategorien ist also ausreichend. Eine andere Frage ist freilich, ob das amerikanische Unternehmen selbst dazu verpflichtet ist, die betroffenen Personen zu informieren. Eine solche Pflicht besteht nach den Datenschutzgrundsätzen des Privacy Shield (Anhang II, II. Grundsätze, Ziffer 1.).

Amerikanisches Unternehmen als Auftragsverarbeiter

Von besonderem Interesse für europäische Unternehmen dürften zudem die Leitlinien der europäischen Datenschützer für Situationen sein, in denen das amerikanische Unternehmen als Auftragsverarbeiter („processor“) agiert. In einem solchen Fall sind beide Unternehmen dazu verpflichtet, einen Vertrag zur Auftragsverarbeitung abzuschließen. Dieser Hinweis, der sich auf Art. 17 EU-Datenschutzrichtlinie stützt, ist wichtig. Denn dies bedeutet, dass etwa ein deutsches Unternehmen nicht einfach personenbezogene Daten an ein amerikanisches Unternehmen, welches unter dem Privacy Shield zertifiziert ist, übermitteln darf, wenn dieses Unternehmen als Auftragsverarbeiter agiert. Zusätzlich ist vielmehr der Abschluss eines Vertrages zur Auftragsverarbeitung erforderlich. Diese Voraussetzung gilt im Übrigen auch unabhängig davon, ob das empfangende Unternehmen unter dem Privacy Shield zertifiziert ist.

Die europäischen Datenschützer weisen in ihren Leitlinien zudem darauf hin, dass jeweiliges nationales Datenschutzrecht noch zusätzliche Anforderungen an diesen Vertrag aufstellen kann. Grundsätzlich empfehlen die europäischen Datenschützer zudem, dass ein europäisches Unternehmen in einem solchen Vertrag festlegt, ob es mit einer Einschaltung von Unterauftragsverarbeitern durch das amerikanische Unternehmen einverstanden ist oder nicht.

Internationale Datentransfers: EU Kommission ändert Angemessenheitsbeschlüsse und Standardvertragsklauseln

Gestern habe ich hier im Blog noch darüber berichtet, dass die geltenden Angemessenheitsbeschlüsse für das Schutzniveau personenbezogener Daten in Drittstaaten als auch die Beschlüsse zu den geltenden EU Standardvertragsklauseln überarbeitet wurden und die europäischen Datenschützer (Art. 29 Datenschutzgruppe) im Rahmen dieser Überarbeitung eine interessante Stellungnahme abgegeben haben.

Nun wurde ich darauf aufmerksam gemacht, dass die finalen Durchführungsbeschlüsse der Kommission am 17. Dezember 2016 im Amtsblatt der Europäischen Union veröffentlicht wurden. Zur Änderung der Beschlüsse über die Standardvertragsklauseln und zur Änderung der Beschlüsse über die Angemessenheit des Schutzes personenbezogener Daten in bestimmten Drittländern.

Die an den geltenden Beschlüssen vorgenommenen Ergänzungen betreffen jeweils Artikel, die sich mit den Befugnissen der nationalen Datenschutzbehörden befassen.

In den Beschlüssen zu den Standardvertragsklauseln wird jeweils Artikel 4 angepasst. Die Ausübung der Befugnisse der Datenschutzbehörden, insbesondere im Fall einer Untersagung eines Datentransfers in einen Drittstaat, wird nun nicht mehr von bestimmten Voraussetzungen abhängig gemacht, die erfüllt sein müssen, bevor die Befugnis ausgeübt werden kann. In seinem Schrems-Urteil hatte der Europäische Gerichtshof diese Beschränkung der Befugnisse der nationalen Behörden kritisiert und die Safe Harbor-Entscheidung unter anderem aus diesem Grund für ungültig erklärt. Nach den neuen Artikeln 4 müssen die Mitgliedstaaten die Europäische Kommission nun nur noch informieren, wenn eine Aufsichtsbehörde einen Datentransfer, der auf der Grundlage von Standardvertragsklauseln stattfindet, untersagt.

Wichtig, insbesondere für die Praxis, dürfte der Hinweis sein, dass der Text der Standardvertragsklauseln selbst, also jener Teil der Beschlüsse der Kommission, der von den Parteien, die Daten austauschen, zu unterzeichnen ist, nicht abgeändert wird. Die Änderungen beziehen sich nicht auf den Vertrag selbst, sondern auf das dahinterliegende System der Überwachung, Prüfung und Durchsetzung der europäischen Regelungen durch die nationalen Behörden.

Eine solche angepasste Regelung findet sich nun auch in den jeweiligen Angemessenheitsentscheidung der Kommission zum Schutzniveau in Drittstaaten. Dort wird jeweils Artikel 3 angepasst. Zudem wird jedoch in einem neuen Artikel 3a die Kommission dazu verpflichtet, die Entwicklungen in der Rechtsordnung des jeweiligen Drittstaates laufend zu überwachen, die die Funktionsweise der jeweiligen Angemessenheitsentscheidung beeinträchtigten könnten. Zudem werden die Kommission aber auch die Mitgliedstaaten dazu verpflichtet, sich gegenseitig zu unterrichten, wenn Anhaltspunkte dafür vorliegen, dass Eingriffe der Behörden des jeweiligen Drittstaates in das Recht von Privatpersonen den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen in den Drittstaat besteht.

Europäische Datenschützer: Geltende Angemessenheitsbeschlüsse für Drittstaaten wohl ungültig

Wie hier im Blog berichtet, werden derzeit sowohl die geltenden Angemessenheitsentscheidungen der Europäischen Kommission für das Schutzniveau in Drittstaaten als auch die Beschlüsse zu den geltenden EU-Standardvertragsklauseln überarbeitet. Hintergrund dieser Anpassungen ist das Urteil des EuGH im Fall Schrems (C-362/14).

Dieser Prozess scheint dem Grunde nach bereits abgeschlossen zu sein. Denn im zuständigen Art. 31 Ausschuss haben die Mitgliedstaaten schon über die Entwürfe zur Anpassung der geltenden Beschlüsse (positiv) abgestimmt. Leider sind die neu gefassten Beschlüsse immer noch nicht veröffentlicht. Mir selbst liegen nur die Entwürfe vor, über die im Art. 31 Ausschuss abgestimmt wurde, die dann aber wieder von der Webseite entfernt wurden. Über die Ergänzungen in den jeweiligen Beschlüssen habe ich hier berichtet.

Im Zuge der Beratungen zu den Änderungen an den geltenden Beschlüssen wurde auch die Art. 29 Datenschutzgruppe um eine Stellungnahme gebeten. Diese Stellungnahme ist hier abrufbar (pdf).

Zunächst kritisieren die Datenschützer die sehr kurz bemessene Frist, in der sie zu den Änderungen der Beschlüsse Stellung nehmen sollen. Dies vor allem aus dem Grund, weil die Änderungen die Rechte der Datenschutzbehörden betreffen.

Danach weisen die Datenschützer darauf hin, dass die Kommission mit den Anpassungen den Zweck verfolge, die Vorgaben des EuGH im Schrems-Urteil vollständig umzusetzen. Jedoch bemängeln die Datenschützer, dass die vorgeschlagenen Änderungen gerade keine vollständige Umsetzung der Kritik des EuGH darstellen. Zwar sollen die Befugnisse der Behörden zur Untersagung von Datentransfers nun nicht mehr von bestimmten Bedingungen abhängig gemacht werden. Dies war jedoch nur ein Grund, warum der EuGH die Safe Harbor-Entscheidung für ungültig erklärte.

Daneben wurde die Entscheidung gerade auch deshalb aufgehoben, weil die Kommission keine Feststellungen dazu traf, dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“. Die Datenschützer weisen darauf hin, dass diese erforderlichen Feststellungen ebenfalls nicht in anderen, derzeit gültigen, Angemessenheitsentscheidungen für Drittstaaten wie die Schweiz, Kanada oder Israel enthalten sind und diese Entscheidungen daher wohl nicht die Anforderungen des EuGH erfüllen und in der Konsequenz, falls sie angefochten werden würden, wohl auch für ungültig erklärt werden könnten.

The assessment made by the Commission as to the compliance with this requirement does not seem sufficient to meet the requirements stated by the CJEU in the Case C-362/147 and could jeopardize their legal validity possibly leading to a referral to a competent Court.

Die Art. 29 Gruppe fordert die Kommission daher auf, die erforderlichen Feststellungen für die betreffenden Drittländer so schnell wie möglich vorzunehmen.

International Data Transfers: New Commission Decisions on Standard Contractual Clauses and Adequacy Decisions

As reported in my blog, the European Commission revised both the current decisions on the EU standard contractual clauses (EU Model Clauses) as well as the adequacy decisions on the level of protection of personal data in third countries. In the course of these adjustments, which the European Commission had to discuss with the representatives of the Member States in the so-called Article 31 Committee, the Commission has, inter alia, stated that the decisions in force concerning the standard contract clauses and also the adequacy of the level of protection in Third countries, in their current version are unlawful.

The two new decisions by the European Commission are based on the judgement of the ECJ in its Safe Harbor ruling (C-362/14). The judges found, inter alia, that current provisions in the decisions for the adequacy in third countries as well as the EU Model Clauses restrict the powers of the national supervisory authorities and such a restriction by the Commission is not allowed. The Commission therefore exceeds its competence with its decisions currently in force.

On 15 November, Article 31 Committee met to discuss and vote on the draft decisions to amend the provisions in force. The Commission’s Decisions for the adaptation of the adequacy decisions and the EU standard contractual clauses were available on the website of the EU Comitology Register last week. Unfortunately, the draft decisions are currently not available any more. I hope that the two decisions will be published shortly on the official website for international data transfers of the European Commission.

According to the summary record of the meeting on 15 November, the Article 31 Committee delivered a positive opinion on the two draft implementing decisions (txt).

In terms of content, the adjustments that are to be made to the respective decisions are quite similar. In each case, the article which makes the exercise of the powers of the supervisory authorities (in particular the prohibition of the transfer of data to a third country) conditional on the fulfillment of certain requirements will be deleted. In the decisions on the standard contract clauses (2001/497/EC, 2010/87/EC) Article 4 is replaced by a revised Article 4. The additional preconditions for the prohibition of data transfers will be deleted and the Member States will now only be obliged to notify the Commission if a supervisory authority forbids the transfer of data to a third country.

No substantive changes are made to the standard contract clauses themselves. Therefore, from my point of view, the standard contract clauses that have been used by companies so far can also be used further. However, one will recognize that recital 11 of decision 2010/87/EC and recital 15 of decision 2001/497/EC which refer to the ban of transfers by the authorities, will not be amended or repealed. Bit still, I think that currently used EU Model Clauses will not be affected.

The amendments to the various adequacy decisions also relate, in particular, to the lifting or replacement of an article which made the prohibition of the transfer of data to the third country subject to certain conditions (in each case Article 3). In addition, there is a new Article 3a which obliges the Commission to monitor continuously the development of the legal situation in the respective third country concerned in order to examine whether such a development affects existing adequacy decisions.

European Commission: Current adequacy decisions and the decisions on standard contractual clauses are illegal

At the end of September I reported in my blog that the European Commission is currently working on two draft Commission Implementing Decisions amending the existing adequacy decisions (on the level of protection in certain third countries) and the decisions on standard contractual clauses (EU Model Clauses). The so-called Art. 31 Committee (composed of representatives of the Member States) discussed these drafts on 3 October 2016.

A summary record of this meeting has now been published (txt).

According to this summary, the Commissions’ drafts refer in particular to the amendment of the existing decisions in order to remove any restriction and limitations on the powers of national supervisory authorities, as I have already suggested in the blog contribution at the time.

The European Court of Justice in its Schrems ruling invalidating Safe Harbor declared that such a restriction was inadmissible and that the Commission exceeded its powers.

However, the Commission’s finding at the meeting of 3 October is likely to be particularly explosive, in view of the fact that the decisions currently in place are illegal. According to the summary record, the European Commission

explained that the purpose of both draft decisions is to cure the illegality that follows from the findings in the Court of Justice’s Schrems ruling.

This conclusion should not necessarily come as a surprise to many observers. However, it is at least interesting to see that it is published in a minutes of the meeting as a statement by the European Commission.

Apparently, certain delegations were not yet ready to take a decision and asked to be given more time. It was therefore decided to convene a further meeting in the coming weeks. In the meantime, the Article 29 Working Party (the assembly of the European Data Protection Authorities) will be asked to present its views on the two draft decisions.

Europäische Kommission: Geltende Angemessenheitsbeschlüsse und Standardvertragsklauseln sind rechtswidrig

Ende September hatte ich hier im Blog berichtet, dass die Europäische Kommission derzeit an Entwürfen für zwei Beschlüsse zur Anpassung der den derzeit geltenden EU-Standardvertragsklauseln zugrunde liegenden Entscheidungen und Angemessenheitsbeschlüsse hinsichtlich des Schutzniveaus in bestimmten Drittstaaten. In dem sogenannten Art. 31 Ausschuss (der sich aus Vertretern der Mitgliedstaaten zusammensetzt und zuletzt etwa über den Beschluss zum EU-US Datenschutzschild abgestimmt hat) hat man am 3. Oktober 2016 über diese Entwürfe beraten.

Eine Zusammenfassung der Sitzung wurde nun veröffentlicht (txt).

Aus dieser Zusammenfassung geht hervor, dass, wie von mir bereits im damaligen Blogbeitrag vermutet, die Entwürfe der Kommission sich insbesondere auf die Anpassung der existierenden Beschlüsse hinsichtlich der Befugnisse der Datenschutzaufsichtsbehörden beziehen. Jegliche Beschränkung der Befugnisse der Aufsichtsbehörden soll durch die beiden neuen Entwürfe gestrichen werden. Eine solche Beschränkung hatte nämlich der europäische Gerichtshof in seinem Urteil zu Safe Harbor für unzulässig erklärt.

Von besonderer Brisanz dürfte jedoch die Feststellung der Kommission in der Sitzung vom 3. Oktober sein, dass ihrer Auffassung nach die derzeit existierenden Beschlüsse, sowohl hinsichtlich der Angemessenheitsentscheidungen für Drittländer als auch hinsichtlich der EU-Standardvertragsklauseln, rechtswidrig sind.

It explained that the purpose of both draft decisions is to cure the illegality that follows from the findings in the Court of Justice’s Schrems ruling.

Diese Schlussfolgerung dürfte nun für viele Beobachter nicht unbedingt überraschend kommen. Dass sie jedoch tatsächlich so öffentlich in einem Protokoll zur Sitzung als Aussage der Kommission festgehalten wird, finde ich zumindest interessant. Zudem geht aus dem Protokoll zur Sitzung hervor, dass einige der anwesenden Mitgliedstaaten die beiden Entwürfe für neue Beschlüsse positiv bewerteten. Jedoch seien andere Mitgliedstaaten aktuell nicht in der Lage gewesen, eine Entscheidung hinsichtlich der vorgelegten Beschlussentwürfe zu treffen und baten um eine Vertagung. Nun soll die Art. 29 Datenschutzgruppe (die Vertreter der europäischen Datenschutzbehörden) um eine Stellungnahme zu den Entwürfen gebeten werden.

Europäische Datenschützer: WhatsApp und Co. sollen wie TK-Anbieter reguliert werden

Die Europäische Kommission überarbeitet derzeit die geltenden Regeln zum Schutz der Privatsphäre und der Vertraulichkeit im Bereich der elektronischen Kommunikation. Die für diese Thematik einschlägige Richtlinie 2002/58/EG (konsolidiert durch Richtlinie 2009/136/EG, pdf; sog. ePrivacy Richtlinie) soll reformiert werden.

In einer neuen Stellungnahme (Stellungnahme 3/2016, pdf) haben sich nun auch die Vertreter der Datenschutzbehörden der verschiedenen Mitgliedstaaten (die Art. 29 Datenschutzgruppe) zu diesen Reformplänen geäußert und ihre Wünsche und Vorschläge für ein zukünftiges Regelwerk eingebracht.

Grundsätzlich unterstützen die Datenschützer das Ansinnen der europäischen Kommission, spezifische rechtliche Vorgaben für den Schutz der Privatsphäre und der Vertraulichkeit im Rahmen der elektronischen Kommunikation zu kreieren. Für den Schutz personenbezogener Daten gilt ab dem vom 20. Mai 2018 die Datenschutz-Grundverordnung (DSGVO). Die Vertraulichkeit der Kommunikation sollte jedoch durch ein spezielles rechtliches Instrument geschützt sein.

Nach Auffassung der Art. 29 Datenschutzgruppe werden die Regelungen der DSGVO nicht gelten, soweit die ePrivacy Richtlinie spezifische Pflichten mit demselben Ziel (wie jene in der DSGVO) vorsieht (Art. 95 DSGVO). In allen anderen Fällen soll die DSGVO anwendbar sein. Da jedoch, so die Datenschützer, Verkehrs-, Kommunikations- und Standortdaten in den meisten Fällen personenbezogene Daten darstellen, wird es in der Zukunft in einigen Fällen zu Überschneidungen der beiden gesetzlichen Instrumente kommen.

Der Wunsch der Datenschützer ist es, dass die Nachfolgeregelungen zur ePrivacy Richtlinie zusätzliche Vorgaben zum Schutz der Sicherheit der elektronischen Kommunikation vorsehen. Diese Schutzpflichten sollen insbesondere auch nicht davon abhängig sein, ob personenbezogene Daten verarbeitet werden.

Die Art. 29 Datenschutzgruppe fordert, dass die Nachfolgeregelungen zur ePrivacy Richtlinie den Wesensgehalt der aktuellen Regelungen beibehalten, diese jedoch effektiver und für die Praxis leichter anwendbar ausgestaltet werden sollen, insbesondere durch die Ausweitung des Anwendungsbereichs der Regelungen zur Geolokalisierung und den Verkehrsdaten.

Viele der aktuell geltenden Vorgaben der ePrivacy Richtlinie sind nicht auf Anbieter von Internettelefonie- , E-Mail- oder Kurznachrichtendiensten anwendbar. Nach Auffassung der Datenschützer muss die Nachfolgeregelung zur ePrivacy Richtlinie die Privatsphäre und Vertraulichkeit bei der Nutzung solcher Dienste, die sich für europäische Anwender als funktional gleichwertig zu den klassischen elektronischen Kommunikationsdiensten darstellen, schützen. Die Art. 29 Datenschutzgruppe Events in ihrer Stellungnahme beispielhaft Dienste wie WhatsApp, Google GMail, Skype and Facebook Messenger (sog. OTT-Dienste). Insbesondere müsse ein solcher Schutz für private Nachrichten zwischen einzelnen Nutzern oder auch Gruppen geschaffen werden. Die gesetzliche Verpflichtung zur Sicherstellung der Vertraulichkeit der Kommunikation muss nach Auffassung der Datenschützer ebenso für diese Diensteanbieter gelten.

Als problematisch sehen die europäischen Datenschützer die derzeit teils erheblich divergierende Auslegung und Anwendung der Regelungen der ePrivacy Richtlinie in den europäischen Mitgliedstaaten an. Welches gesetzgeberische Instrument die europäische Kommission für die Nachfolgeregelungen wählen soll, lassen die Datenschützer im Ergebnis zwar offen. Sie fordern jedoch, dass die neuen Regelungen eindeutig und klar sein müssen. Sollte eine Richtlinie gewählt werden, so dürften deren Regelungen nach Ansicht der Datenschützer jedoch nur wenig Interpretationsspielraum für die Mitgliedstaaten ermöglichen. Der europäische Datenschutzbeauftragte hat sich kürzlich in einer eigenen Stellungnahme (pdf) für das Instrument der Verordnung stark gemacht.

Auch fordert die Art. 29 Datenschutzgruppe, dass die Verarbeitung personenbezogener Daten im Rahmen des Angebots von öffentlich zugänglichen elektronischen Kommunikationsdiensten oder auch öffentlich zugänglichen privaten elektronischen Kommunikationsnetzen den Nachfolgeregelungen der ePrivacy Richtlinie unterfallen soll. Die Datenschützer beziehen sich hier auf das Angebot von WLANs in der Öffentlichkeit, etwa in Hotels, Bars oder Geschäften. Interessanterweise wird auch die Schaffung eines Hotspots durch eine Privatperson in die Überlegungen mit einbezogen.

Hinsichtlich des bekannten Art. 5 Abs. 3 (sog. Cookie-Regelung) fordern die Datenschützer, dass die geltenden Regelungen mit dem Ziel überarbeitet werden, die Vertraulichkeit der von Nutzern eingesetzten Geräte besser zu schützen. Die zukünftigen Vorgaben zur Erhebung bzw. zum Zugriff auf Informationen in dem Gerät eines Nutzers sollten weder von der Art des eingesetzten Gerätes noch von der Technologie des Unternehmens zum Zugriff auf die Informationen abhängen. Zusätzlich fordern die Datenschützer jedoch auch, dass die Europäische Kommission über weitere Ausnahmeregelungen für das grundsätzliche Erfordernis einer Einwilligung des Nutzers nachdenkt. Insbesondere soll es dann keine Einwilligung des Nutzers bedürfen, wenn die Verarbeitung von Informationen keine oder nur wenig Einfluss auf die Rechte der Nutzer und insbesondere auf die Vertraulichkeit der Kommunikation und ihre Privatsphäre hat. Beispielhaft nennen die Datenschützer hier das Thema „Sicherheit“. Wenn eine Verarbeitung von Informationen allein dafür erforderlich ist, um proaktiv oder auch defensiv ausgerichtet die technische Sicherheit eines Netzwerkes oder eines Dienstes zu gewährleisten, soll eine Einwilligung nicht erforderlich sein. Ein anders Beispiel sehen die Datenschützer im Bereich „Anonymisierung“. Wenn Informationen direkt nach der Erhebung unwiederbringlich anonymisiert werden, sei es auf dem Gerät oder an den Endpunkten des Netzwerkes, sollte eine Einwilligung nicht erforderlich sein. Diese Ausnahme dürfte jedoch zum Beispiel dann nicht gelten, wenn der Anbieter weiterhin Zugang zur den Quelldaten hat und damit die Möglichkeit einer De-Anonymisierung besteht.

EU-US-Datenschutzschild: Europäische Datenschützer warten die erste gemeinsame Überprüfung ab

Nachdem die Europäische Kommission am 12. Juli 2016 das EU-US-Datenschutzschild (Privacy Shield) angenommen hat, äußerte sich heute in einer Pressemitteilung (pdf) die Art. 29 Datenschutzgruppe (die Vertreter der Datenschutzbehörden der Mitgliedstaaten) hierzu.

Grundsätzlich begrüßen die Datenschützer die Verbesserungen, welche sich gegenüber der im Jahre 2015 durch den Europäischen Gerichtshof für ungültig erklärten Safe Harbor-Entscheidung im Datenschutzschild finden. In ihrer Stellungnahme 01/2016 (pdf) zum Datenschutzschild beleuchteten die Datenschützer dennoch eine Vielzahl von aus ihrer Sicht verbesserungswürdigen Punkten. Einem Teil dieser Kritik hat die Europäische Kommission zusammen mit der US-amerikanischen Regierung nach Auffassung der Art. 29 Datenschutzgruppe nun in dem endgültigen Angemessenheitsbeschluss zum EU-US-Datenschutzschild Rechnung getragen.

Dennoch bemängeln die Datenschutzbeauftragten, dass ihrer Ansicht nach weiterhin gewisse Defizite sowohl im Teil der Regelungen zum privatwirtschaftlichen Datenaustausch als auch hinsichtlich des Zugangs zu personenbezogenen Daten durch US-amerikanische Behörden existieren. Nach Auffassung der Datenschutzbeauftragten stellt daher die erste jährliche Überprüfung der Funktionsweise des Datenschutzschildes (diese ist in dem Beschluss der Europäischen Kommission verbindlich vorgesehen) den Schlüsselmoment für die Frage der zukünftigen Effektivität des Datenschutzschildes dar. Im Rahmen dieser gemeinsamen Überprüfung werden sich daher auch die Datenschutzbehörden genau ansehen, ob die Europäische Kommission alle Kritikpunkte zu ihrer Zufriedenheit adressiert hat. Zudem, so die europäischen Datenschutzbeauftragten, wolle man insbesondere prüfen, ob sich die vorgesehenen Schutzmaßnahmen als tragfähig und effektiv erwiesen haben.

Das Ergebnis dieser ersten Überprüfung kann nach Auffassung der europäischen Datenschutzbeauftragten auch Einfluss auf andere Instrumente für die Datenübermittlung in Drittstaaten haben. Hierzu zählen insbesondere die sogenannten EU-Standardvertragsklauseln.

In ihrer Pressemitteilung gehen die europäischen Datenschutzbeauftragten nicht darauf ein, ob sie die Angemessenheitsentscheidung der europäischen Kommission bereits vor der ersten jährlichen Überprüfung angreifen möchten. Insbesondere die deutschen Aufsichtsbehörden hatten ja ein neues Klagerecht gefordert, um derartige Beschlüsse der Europäischen Kommission gerichtlich überprüfen lassen zu können. Insgesamt scheint die Pressemitteilung dafür zu sprechen, dass sich die europäischen Datenschutzbeauftragten zumindest planmäßig erstmalig inhaltlich mit dem neuen Datenschutzschild im Rahmen der jährlichen Überprüfung befassen werden und kein gemeinsames rechtliches Vorgehen geplant ist.

Das US-Handelsministerium hat in der Zwischenzeit auch eine offizielle Webseite zum EU-US-Datenschutzschild in Betrieb genommen. US-amerikanische Unternehmen können sich ab dem 1. August 2016 selbst zertifizieren.

Die Angemessenheitsentscheidung der Europäischen Kommission zum EU-US-Datenschutzschild findet man in deutscher Sprache hier (pdf; über die Webseite der österreichischen Datenschutzbehörde).

Google wehrt sich gegen französische Behörde: gilt das „Recht auf Vergessenwerden“ weltweit?

Heute hat Google in einem Blogpost bekannt gegeben, dass sich das Unternehmen gegen eine durch die französische Datenschutzbehörde (CNIL) verhängte Geldstrafe in Höhe von 100.000 EUR juristisch zur Wehr setzen wird. Informationen zu dem Verfahren gibt es auf der Seite der CNIL. Dort ist auch eine inoffizielle Übersetzung des entsprechenden Beschlusses (PDF) ins Englische verfügbar.

Insbesondere vertritt die CNIL die Auffassung, dass es unter dem geltenden europäischen Datenschutzrecht und mit Blick auf das Urteil des Europäischen Gerichtshofs (EuGH) in seinem Google-Urteil (C-131/12) nicht ausreicht, wenn nach einer Beschwerde einer betroffenen Person Links aus Suchergebnislisten allein auf Webseiten mit europäischen Endungen (z.B. .de, .es oder .fr) und auch bei Suchanfragen aus dem jeweiligen Mitgliedstaat des Beschwerdeführers auf allen Webseiten der Suchmaschine (also auch auf Google.com) unterdrückt werden. Dieses Vorgehen hatte Google zuletzt gewählt. Die französische Behörde verlangt vielmehr, dass Links aus Ergebnislisten von allen Webseiten der Suchmaschine entfernt werden müssen und zudem unabhängig davon, in welchem Mitgliedstaat der Beschwerdeführer sitzt und von wo aus die Suchanfrage gestellt wird.

Im Ergebnis stellt sich die Frage, ob das europäische Datenschutzrecht und insbesondere seine Durchsetzung durch die Datenschutzbehörden globale Geltung beanspruchen. Ob also etwa auf Anweisung einer französischen Behörde zum einen Nutzer der Suchmaschine in anderen Mitgliedstaaten (z.B. in Deutschland oder Spanien) und zum anderen in Staaten außerhalb des EWR wie z.B. den USA (Google.com) oder Japan (Google.co.jp) nur die veränderte Ergebnisliste angezeigt bekommen dürfen.

Dazu nachfolgend einige Gedanken, die sicherlich nicht abschließend sind, jedoch eventuell zur Diskussion anregen.

Grundsätzlich lässt sich die Feststellung treffen, dass der EuGH in seinem Google-Urteil keine konkreten Aussagen zur territorialen Reichweite des sog. „Recht auf Vergessenwerden“ getroffen hat. Was er in seinem Urteil jedoch stets betont, ist die Bedeutung, die der Durchsetzung und vollen Entfaltung der in der Datenschutzrichtlinie (DS-RL) aufgestellten Garantien für betroffene Personen zukommt.

Der EuGH führt in seinem Google Urteil aus, dass der für Verarbeitung Verantwortliche (also etwa der Suchmaschinenbetreiber)

in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten dafür zu sorgen [hat], dass die Verarbeitung den Anforderungen der Richtlinie 95/46 genügt, so dass die von dieser vorgesehenen Garantien ihre volle Wirkung entfalten können (Rz. 83)

Eine wichtige Rolle bei der Erreichung dieses Ziels der Durchsetzung des europäischen Rechts spielen natürlich die Aufsichtsbehörden. Hierauf weist auch der EuGH in seinem Urteil hin:

In diesem Zusammenhang ist darauf hinzuweisen, dass sich nach Art. 28 Abs. 3 und 4 der Richtlinie 95/46 jede Person zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden kann und jede Kontrollstelle über Untersuchungsbefugnisse und wirksame Einwirkungsbefugnisse verfügt, aufgrund deren sie u. a. die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung personenbezogener Daten anordnen kann. (Rz. 78)

Hieraus lässt sich bereits der Schluss ziehen, dass die Frage, ob europäisches Datenschutzrecht weltweit gelten soll, stets auch im Zusammenhang mit seiner Durchsetzung durch die Aufsichtsbehörden zu sehen ist. Denn allein die Anwendbarkeit europäischen Datenschutzrechts hat noch nichts mit der Verwirklichung der vorgesehenen Garantien aus der DS-RL oder auch aus der Charta der Grundrechte der Europäischen Union für die betroffenen Personen zu tun.

Ich möchte, zur Untermauerung dieser Ansicht, auf das bekannte Urteil des EuGH zur Aufhebung der Vorratsdatenspeicherungsrichtlinie hinweisen (C?293/12 und C?594/12). Dort kritisiert das Gericht nämlich, dass die betreffende Richtlinie keine Pflicht vorsieht,

dass die fraglichen Daten im Unionsgebiet auf Vorrat gespeichert werden, so dass es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten (vgl. in diesem Sinne Urteil Kommission/Österreich, C 614/10, EU:C:2012:631, Rn. 37) (Rz. 68).

Der EuGH geht also selbst davon aus, dass überhaupt nur dann eine den Anforderungen der Charta der Grundrechte und auch der DS-RL entsprechende Garantie für den Schutz personenbezogener Daten möglich ist, wenn die Einhaltung der Vorschriften durch die jeweils zuständigen europäischen Datenschutzbehörden überwacht und gegebenenfalls auch durchgesetzt werden kann. Dies kann allein im Unionsgebiet möglich sein.

Geht man also, mit der vorstehenden Argumentation davon aus, dass neben der reinen Anwendbarkeit europäischen Datenschutzrechts auch immer die Möglichkeit seiner Einhaltung und insbesondere Durchsetzung als inhärente Garantie zu sehen ist, stellt sich unweigerlich die Frage, wie weit die Befugnisse europäischer Datenschutzbehörden, insbesondere territorial, reichen.

Hierzu möchte ich auf eine weitere Entscheidung des EuGH, die sog. Weltimmo-Entscheidung (C-230/14) hinweisen. In diesem Urteil befasst sich das Gericht mit der Frage, wie weit die Kompetenzen der europäischen Aufsichtsbehörden reichen.

So hat nach Art. 28 Abs. 1 DS-RL jede von einem Mitgliedstaat eingeführte Kontrollstelle dafür Sorge zu tragen hat, dass die von den Mitgliedstaaten zur Umsetzung der DS-RL erlassenen Vorschriften im Hoheitsgebiet dieses Mitgliedstaats eingehalten werden (Rz. 47; Hervorhebung durch mich). Zudem, so der EuGH, ergibt sich aus Art. 28 Abs. 1 und 3 DS-RL, dass jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaats übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen (Rz. 51; Hervorhebung durch mich). Auch stellt der EuGH klar, dass aus den Anforderungen, die sich aus der territorialen Souveränität des betreffenden Mitgliedstaats, der Gesetzmäßigkeit der Verwaltung und dem Begriff des Rechtsstaats ergeben, folgt, dass die Sanktionsgewalt grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden kann, in denen eine Behörde nach dem Recht ihres Mitgliedstaats ermächtigt ist (Rz. 56; Hervorhebung durch mich).

In dem Fall Weltimmo ging es um einen innereuropäischen Sachverhalt, also die Frage, inwieweit die Aufsichtsbehörde eines Mitgliedstaates im Territorium eines anderen Mitgliedstaates Sanktionsgewalt ausüben darf. Dies lehnt das Gericht mit obiger Begründung ab. Die Sanktionsgewalt darf nicht außerhalb der gesetzlichen Grenzen des eigenen Mitgliedstaates ausgeübt werden.

Übertragen auf die Auseinandersetzung zwischen Google und der französischen Behörde stellt sich nun die Frage, ob es mit der vorgenannten Rechtsprechung des EuGH konform wäre, einer europäischen Aufsichtsbehörde die Befugnis zuzugestehen, Datenverarbeitungen, die zum einen entweder von Personen in anderen europäischen Mitgliedstaaten (der jeweilige Nutzer der Suchmaschine, der nach einem Namen einer betroffenen Person sucht) oder die zum anderen von Personen auf einem Territorium eines Staates außerhalb der Europäischen Union durchgeführt werden, zu regulieren und am Ende mit einem entsprechenden verwaltungsrechtlichen Beschluss, der von seinem Anwendungsbereich her eigentlich nur auf das Territorium des jeweiligen Mitgliedstaates begrenzt ist, zu beeinflussen. Die Maßnahme einer europäischen Behörde hätte dann direkte Auswirkungen in anderen Staaten. Bereits für die erste Konstellation, dass sich ein entsprechender französischer Beschluss etwa auf deutsches oder spanisches Territorium bzw. die dortigen Personen auswirkt, hätte ich meine Zweifel. Dies gilt freilich erst recht in der zweiten Konstellation, also außerhalb der Europäischen Union und damit auch des Kompetenzbereichs der europäischen Datenschutzbehörden.

Nun wird man sicher als Gegenargument anführen können, dass der territoriale Anwendungsbereich europäischen Datenschutzrechts aber doch auch durch den EuGH sehr weit interpretiert wird und eben auch europäisches Datenschutzrecht für die Tätigkeiten einer Google Inc. mit Sitz in den USA gilt. Das ist korrekt. Doch meiner Ansicht nach ist, wie oben beschrieben, für die Verwirklichung der in der europäischen Datenschutzrichtlinie und auch in der Charta der Grundrechte der Europäischen Union festgelegten Rechte und Garantien unweigerlich erforderlich, dass diese durchgesetzt werden (ich verweise noch einmal auf das Urteil des EuGH zur Vorratsdatenspeicherungsrichtlinie). Eine solche Durchsetzung ist aber, aufgrund des Prinzips der territorialen Souveränität von Staaten, nicht immer möglich. Im Ergebnis scheint mir der aktuelle Ansatz von Google zumindest nicht außerhalb der Vorgaben europäischen Rechts zu liegen.

Dieser Problematik scheinen sich im Prinzip auch die europäischen Datenschutzbehörden bewusst zu sein. Wenn man sich die Leitlinien der europäischen Behörden zur Umsetzung des Google-Urteils anschaut (WP 225, PDF), so findet sich auf Seite 8 unter Ziffer 19 der Hinweis, dass die Behörden sich in der Praxis auf solche Fälle „fokussieren“ werden, die einen deutlichen Bezug zum Territorium eines europäischen Mitgliedstaates aufweisen, insbesondere, wenn es sich um ein EU-Bürger handelt.

Am Ende bleibt wohl nur festzustellen, dass die territoriale Durchsetzung europäischen Datenschutzrechts sicherlich kein einfaches und auch ein streitbares Thema darstellt. Man darf gespannt sein, wie dieses Verfahren in Frankreich weitergeht. Am Ende könnte erneut eine Entscheidung des Europäischen Gerichtshofs stehen.