EU-US-Datenschutzschild: Europäische Datenschützer warten die erste gemeinsame Überprüfung ab

Nachdem die Europäische Kommission am 12. Juli 2016 das EU-US-Datenschutzschild (Privacy Shield) angenommen hat, äußerte sich heute in einer Pressemitteilung (pdf) die Art. 29 Datenschutzgruppe (die Vertreter der Datenschutzbehörden der Mitgliedstaaten) hierzu.

Grundsätzlich begrüßen die Datenschützer die Verbesserungen, welche sich gegenüber der im Jahre 2015 durch den Europäischen Gerichtshof für ungültig erklärten Safe Harbor-Entscheidung im Datenschutzschild finden. In ihrer Stellungnahme 01/2016 (pdf) zum Datenschutzschild beleuchteten die Datenschützer dennoch eine Vielzahl von aus ihrer Sicht verbesserungswürdigen Punkten. Einem Teil dieser Kritik hat die Europäische Kommission zusammen mit der US-amerikanischen Regierung nach Auffassung der Art. 29 Datenschutzgruppe nun in dem endgültigen Angemessenheitsbeschluss zum EU-US-Datenschutzschild Rechnung getragen.

Dennoch bemängeln die Datenschutzbeauftragten, dass ihrer Ansicht nach weiterhin gewisse Defizite sowohl im Teil der Regelungen zum privatwirtschaftlichen Datenaustausch als auch hinsichtlich des Zugangs zu personenbezogenen Daten durch US-amerikanische Behörden existieren. Nach Auffassung der Datenschutzbeauftragten stellt daher die erste jährliche Überprüfung der Funktionsweise des Datenschutzschildes (diese ist in dem Beschluss der Europäischen Kommission verbindlich vorgesehen) den Schlüsselmoment für die Frage der zukünftigen Effektivität des Datenschutzschildes dar. Im Rahmen dieser gemeinsamen Überprüfung werden sich daher auch die Datenschutzbehörden genau ansehen, ob die Europäische Kommission alle Kritikpunkte zu ihrer Zufriedenheit adressiert hat. Zudem, so die europäischen Datenschutzbeauftragten, wolle man insbesondere prüfen, ob sich die vorgesehenen Schutzmaßnahmen als tragfähig und effektiv erwiesen haben.

Das Ergebnis dieser ersten Überprüfung kann nach Auffassung der europäischen Datenschutzbeauftragten auch Einfluss auf andere Instrumente für die Datenübermittlung in Drittstaaten haben. Hierzu zählen insbesondere die sogenannten EU-Standardvertragsklauseln.

In ihrer Pressemitteilung gehen die europäischen Datenschutzbeauftragten nicht darauf ein, ob sie die Angemessenheitsentscheidung der europäischen Kommission bereits vor der ersten jährlichen Überprüfung angreifen möchten. Insbesondere die deutschen Aufsichtsbehörden hatten ja ein neues Klagerecht gefordert, um derartige Beschlüsse der Europäischen Kommission gerichtlich überprüfen lassen zu können. Insgesamt scheint die Pressemitteilung dafür zu sprechen, dass sich die europäischen Datenschutzbeauftragten zumindest planmäßig erstmalig inhaltlich mit dem neuen Datenschutzschild im Rahmen der jährlichen Überprüfung befassen werden und kein gemeinsames rechtliches Vorgehen geplant ist.

Das US-Handelsministerium hat in der Zwischenzeit auch eine offizielle Webseite zum EU-US-Datenschutzschild in Betrieb genommen. US-amerikanische Unternehmen können sich ab dem 1. August 2016 selbst zertifizieren.

Die Angemessenheitsentscheidung der Europäischen Kommission zum EU-US-Datenschutzschild findet man in deutscher Sprache hier (pdf; über die Webseite der österreichischen Datenschutzbehörde).

Google wehrt sich gegen französische Behörde: gilt das „Recht auf Vergessenwerden“ weltweit?

Heute hat Google in einem Blogpost bekannt gegeben, dass sich das Unternehmen gegen eine durch die französische Datenschutzbehörde (CNIL) verhängte Geldstrafe in Höhe von 100.000 EUR juristisch zur Wehr setzen wird. Informationen zu dem Verfahren gibt es auf der Seite der CNIL. Dort ist auch eine inoffizielle Übersetzung des entsprechenden Beschlusses (PDF) ins Englische verfügbar.

Insbesondere vertritt die CNIL die Auffassung, dass es unter dem geltenden europäischen Datenschutzrecht und mit Blick auf das Urteil des Europäischen Gerichtshofs (EuGH) in seinem Google-Urteil (C-131/12) nicht ausreicht, wenn nach einer Beschwerde einer betroffenen Person Links aus Suchergebnislisten allein auf Webseiten mit europäischen Endungen (z.B. .de, .es oder .fr) und auch bei Suchanfragen aus dem jeweiligen Mitgliedstaat des Beschwerdeführers auf allen Webseiten der Suchmaschine (also auch auf Google.com) unterdrückt werden. Dieses Vorgehen hatte Google zuletzt gewählt. Die französische Behörde verlangt vielmehr, dass Links aus Ergebnislisten von allen Webseiten der Suchmaschine entfernt werden müssen und zudem unabhängig davon, in welchem Mitgliedstaat der Beschwerdeführer sitzt und von wo aus die Suchanfrage gestellt wird.

Im Ergebnis stellt sich die Frage, ob das europäische Datenschutzrecht und insbesondere seine Durchsetzung durch die Datenschutzbehörden globale Geltung beanspruchen. Ob also etwa auf Anweisung einer französischen Behörde zum einen Nutzer der Suchmaschine in anderen Mitgliedstaaten (z.B. in Deutschland oder Spanien) und zum anderen in Staaten außerhalb des EWR wie z.B. den USA (Google.com) oder Japan (Google.co.jp) nur die veränderte Ergebnisliste angezeigt bekommen dürfen.

Dazu nachfolgend einige Gedanken, die sicherlich nicht abschließend sind, jedoch eventuell zur Diskussion anregen.

Grundsätzlich lässt sich die Feststellung treffen, dass der EuGH in seinem Google-Urteil keine konkreten Aussagen zur territorialen Reichweite des sog. „Recht auf Vergessenwerden“ getroffen hat. Was er in seinem Urteil jedoch stets betont, ist die Bedeutung, die der Durchsetzung und vollen Entfaltung der in der Datenschutzrichtlinie (DS-RL) aufgestellten Garantien für betroffene Personen zukommt.

Der EuGH führt in seinem Google Urteil aus, dass der für Verarbeitung Verantwortliche (also etwa der Suchmaschinenbetreiber)

in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten dafür zu sorgen [hat], dass die Verarbeitung den Anforderungen der Richtlinie 95/46 genügt, so dass die von dieser vorgesehenen Garantien ihre volle Wirkung entfalten können (Rz. 83)

Eine wichtige Rolle bei der Erreichung dieses Ziels der Durchsetzung des europäischen Rechts spielen natürlich die Aufsichtsbehörden. Hierauf weist auch der EuGH in seinem Urteil hin:

In diesem Zusammenhang ist darauf hinzuweisen, dass sich nach Art. 28 Abs. 3 und 4 der Richtlinie 95/46 jede Person zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden kann und jede Kontrollstelle über Untersuchungsbefugnisse und wirksame Einwirkungsbefugnisse verfügt, aufgrund deren sie u. a. die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung personenbezogener Daten anordnen kann. (Rz. 78)

Hieraus lässt sich bereits der Schluss ziehen, dass die Frage, ob europäisches Datenschutzrecht weltweit gelten soll, stets auch im Zusammenhang mit seiner Durchsetzung durch die Aufsichtsbehörden zu sehen ist. Denn allein die Anwendbarkeit europäischen Datenschutzrechts hat noch nichts mit der Verwirklichung der vorgesehenen Garantien aus der DS-RL oder auch aus der Charta der Grundrechte der Europäischen Union für die betroffenen Personen zu tun.

Ich möchte, zur Untermauerung dieser Ansicht, auf das bekannte Urteil des EuGH zur Aufhebung der Vorratsdatenspeicherungsrichtlinie hinweisen (C?293/12 und C?594/12). Dort kritisiert das Gericht nämlich, dass die betreffende Richtlinie keine Pflicht vorsieht,

dass die fraglichen Daten im Unionsgebiet auf Vorrat gespeichert werden, so dass es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten (vgl. in diesem Sinne Urteil Kommission/Österreich, C 614/10, EU:C:2012:631, Rn. 37) (Rz. 68).

Der EuGH geht also selbst davon aus, dass überhaupt nur dann eine den Anforderungen der Charta der Grundrechte und auch der DS-RL entsprechende Garantie für den Schutz personenbezogener Daten möglich ist, wenn die Einhaltung der Vorschriften durch die jeweils zuständigen europäischen Datenschutzbehörden überwacht und gegebenenfalls auch durchgesetzt werden kann. Dies kann allein im Unionsgebiet möglich sein.

Geht man also, mit der vorstehenden Argumentation davon aus, dass neben der reinen Anwendbarkeit europäischen Datenschutzrechts auch immer die Möglichkeit seiner Einhaltung und insbesondere Durchsetzung als inhärente Garantie zu sehen ist, stellt sich unweigerlich die Frage, wie weit die Befugnisse europäischer Datenschutzbehörden, insbesondere territorial, reichen.

Hierzu möchte ich auf eine weitere Entscheidung des EuGH, die sog. Weltimmo-Entscheidung (C-230/14) hinweisen. In diesem Urteil befasst sich das Gericht mit der Frage, wie weit die Kompetenzen der europäischen Aufsichtsbehörden reichen.

So hat nach Art. 28 Abs. 1 DS-RL jede von einem Mitgliedstaat eingeführte Kontrollstelle dafür Sorge zu tragen hat, dass die von den Mitgliedstaaten zur Umsetzung der DS-RL erlassenen Vorschriften im Hoheitsgebiet dieses Mitgliedstaats eingehalten werden (Rz. 47; Hervorhebung durch mich). Zudem, so der EuGH, ergibt sich aus Art. 28 Abs. 1 und 3 DS-RL, dass jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaats übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen (Rz. 51; Hervorhebung durch mich). Auch stellt der EuGH klar, dass aus den Anforderungen, die sich aus der territorialen Souveränität des betreffenden Mitgliedstaats, der Gesetzmäßigkeit der Verwaltung und dem Begriff des Rechtsstaats ergeben, folgt, dass die Sanktionsgewalt grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden kann, in denen eine Behörde nach dem Recht ihres Mitgliedstaats ermächtigt ist (Rz. 56; Hervorhebung durch mich).

In dem Fall Weltimmo ging es um einen innereuropäischen Sachverhalt, also die Frage, inwieweit die Aufsichtsbehörde eines Mitgliedstaates im Territorium eines anderen Mitgliedstaates Sanktionsgewalt ausüben darf. Dies lehnt das Gericht mit obiger Begründung ab. Die Sanktionsgewalt darf nicht außerhalb der gesetzlichen Grenzen des eigenen Mitgliedstaates ausgeübt werden.

Übertragen auf die Auseinandersetzung zwischen Google und der französischen Behörde stellt sich nun die Frage, ob es mit der vorgenannten Rechtsprechung des EuGH konform wäre, einer europäischen Aufsichtsbehörde die Befugnis zuzugestehen, Datenverarbeitungen, die zum einen entweder von Personen in anderen europäischen Mitgliedstaaten (der jeweilige Nutzer der Suchmaschine, der nach einem Namen einer betroffenen Person sucht) oder die zum anderen von Personen auf einem Territorium eines Staates außerhalb der Europäischen Union durchgeführt werden, zu regulieren und am Ende mit einem entsprechenden verwaltungsrechtlichen Beschluss, der von seinem Anwendungsbereich her eigentlich nur auf das Territorium des jeweiligen Mitgliedstaates begrenzt ist, zu beeinflussen. Die Maßnahme einer europäischen Behörde hätte dann direkte Auswirkungen in anderen Staaten. Bereits für die erste Konstellation, dass sich ein entsprechender französischer Beschluss etwa auf deutsches oder spanisches Territorium bzw. die dortigen Personen auswirkt, hätte ich meine Zweifel. Dies gilt freilich erst recht in der zweiten Konstellation, also außerhalb der Europäischen Union und damit auch des Kompetenzbereichs der europäischen Datenschutzbehörden.

Nun wird man sicher als Gegenargument anführen können, dass der territoriale Anwendungsbereich europäischen Datenschutzrechts aber doch auch durch den EuGH sehr weit interpretiert wird und eben auch europäisches Datenschutzrecht für die Tätigkeiten einer Google Inc. mit Sitz in den USA gilt. Das ist korrekt. Doch meiner Ansicht nach ist, wie oben beschrieben, für die Verwirklichung der in der europäischen Datenschutzrichtlinie und auch in der Charta der Grundrechte der Europäischen Union festgelegten Rechte und Garantien unweigerlich erforderlich, dass diese durchgesetzt werden (ich verweise noch einmal auf das Urteil des EuGH zur Vorratsdatenspeicherungsrichtlinie). Eine solche Durchsetzung ist aber, aufgrund des Prinzips der territorialen Souveränität von Staaten, nicht immer möglich. Im Ergebnis scheint mir der aktuelle Ansatz von Google zumindest nicht außerhalb der Vorgaben europäischen Rechts zu liegen.

Dieser Problematik scheinen sich im Prinzip auch die europäischen Datenschutzbehörden bewusst zu sein. Wenn man sich die Leitlinien der europäischen Behörden zur Umsetzung des Google-Urteils anschaut (WP 225, PDF), so findet sich auf Seite 8 unter Ziffer 19 der Hinweis, dass die Behörden sich in der Praxis auf solche Fälle „fokussieren“ werden, die einen deutlichen Bezug zum Territorium eines europäischen Mitgliedstaates aufweisen, insbesondere, wenn es sich um ein EU-Bürger handelt.

Am Ende bleibt wohl nur festzustellen, dass die territoriale Durchsetzung europäischen Datenschutzrechts sicherlich kein einfaches und auch ein streitbares Thema darstellt. Man darf gespannt sein, wie dieses Verfahren in Frankreich weitergeht. Am Ende könnte erneut eine Entscheidung des Europäischen Gerichtshofs stehen.

Französische Datenschutzbehörde prüft Facebook – Analyse und Kritik

Am 8. Februar 2016 hat die französische Datenschutzbehörde (CNIL) bekannt gegeben, dass sie den Betreiber des sozialen Online-Netzwerks Facebook am 26. Januar 2016 durch ein förmliches Anschreiben dazu aufgefordert hat, mehrere Verstöße gegen das französische Datenschutzrecht innerhalb von drei Monaten abzustellen. Sollten nicht alle in dem Anschreiben (pdf; Englisch) beanstandeten Datenschutzverstöße innerhalb dieses Zeitraums abgestellt werden, so weist die Behörde darauf hin, dass es am Ende möglicherweise zu Sanktionen kommen könnte. Nachfolgend möchte ich auf einige Aspekte der Feststellung der französischen Datenschutzbehörde näher eingehen.

Anwendbares Recht

Wenig überraschend geht die Behörde zunächst davon aus, dass auf die Datenverarbeitungen des Unternehmens französisches Datenschutzrecht anwendbar sei. „Wenig überraschend“ ist dies vor allem vor dem Hintergrund, dass der EuGH in seinen beiden Entscheidungen Google Spain (C-131/12) und Weltimmo (C-230/14) den Anwendungsbereich europäischen Datenschutzrechts sehr weit ausgedehnt hat.

In der Entscheidung „Weltimmo“, die aufgrund des eine Woche später gefällten Urteil zu Safe Harbor nur wenig Beachtung fand, konkretisierte EuGH die Anforderungen an das Vorliegen einer „Niederlassung“ im Sinne des Art. 4 Abs. 1 Buchst a der Datenschutzrichtlinie (RL 95/46/EG). Meine Blogbeiträge sowohl zu dem Urteil als auch zu den entsprechenden Schlussanträgen findet man hier.

Mit dem ebenfalls für die Anwendbarkeit europäischen Datenschutzrechts relevanten Merkmal der Datenverarbeitung „im Rahmen der Tätigkeit“ eine Niederlassung, hat sich der EuGH in seinem „Google Spain“ Urteil auseinandergesetzt und auch dieses Tatbestandsmerkmal sehr weit ausgelegt.

Dem Grunde nach reicht dem Gericht für die Bejahung der Anwendbarkeit europäischen Datenschutzrechts (bzw. des jeweils nationalen Datenschutzrechts) eine untrennbare wirtschaftliche Verbundenheit zwischen der verantwortlichen Stelle und einer Niederlassung in einem Mitgliedstaat aus. Die Niederlassung muss nicht einmal selbst bei der untersuchten Datenverarbeitung mitwirken.

Vor allem stellte der EuGH auch darauf ab, dass eine nationale Niederlassung an der Generierung von Einnahmen für den Mutterkonzern beteiligt ist.

Hier stellt sich für mich die Frage, wie der Niederlassung zu beurteilen wären die überhaupt keine Einnahmen für ein Mutterkonzern in einem anderen Mitgliedstaat oder sogar außerhalb der EU generieren, sondern vielmehr nur Ausgaben produzieren. Man denke etwa an Repräsentanzen, die sich allein um die Öffentlichkeit Arbeit eines Unternehmens kümmern, zu Veranstaltungen einladen etc. da hier keine Einnahmen generiert werden, könnte man sich fragen, ob in einer solchen Situation das jeweils nationale Datenschutzrecht Anwendung findet.

Zurück zum Verfahren der französischen Datenschutzbehörde: aus einer gesamteuropäischen Betrachtungsweise lässt sich kritisch anmerken dass wir gerade in Deutschland völlig divergierende Gerichtsentscheidungen dazu haben, welches Datenschutzrecht nun konkret auf Facebook anwendbar ist (Kammergericht Berlin, Az. 5 U 42/12; Oberverwaltungsgericht Schleswig-Holstein: Az. 4 MB 10/13). Kritisieren lässt sich zudem, dass sowohl in den dortigen deutschen Verfahren, als auch jetzt im Verfahren der CNIL (zumindest soweit dies aus den veröffentlichten Dokumenten hervorgeht) ganz allgemein auf Datenverarbeitungen abgestellt wird, ohne diese einzelnen zu konkretisieren und jede Datenverarbeitung für sich zu betrachten. Meines Erachtens ist genau dieser Prüfung Schritt jedoch erforderlich. Für die Frage der Rechtmäßigkeit einer Datenverarbeitung prüft man ja auch nicht alle Datenverarbeitungen auf einmal, sondern muss sich auf jede einzelne Verarbeitung konzentrieren. Warum soll in Bezug auf die Frage des anwendbaren Datenschutzrechts etwas anderes?

Interessanterweise stellt die CNIL zudem in ihrem Schreiben fest dass sowohl die Facebook Inc. als auch Facebook Irland Ltd. gemeinsam für die Verarbeitung verantwortliche darstellen würden. Auch diese Feststellung laufend diametral zu jenen von deutschen Gerichten. Mir geht es hier vor allen Dingen darum das Problem aufzuzeigen, in dem sich international agierende Unternehmen befinden. Nimmt man die in den europäischen Mitgliedstaaten vorherrschenden verschiedenen Feststellungen von Gerichten und Datenschutzbehörden zusammen, erscheint ein recht sicheres Wirtschaften nur schwer möglich, selbst wenn man einen dementsprechenden Anspruch an seine Tätigkeiten hat (was meines Erachtens stets der Fall sein sollte).

Zuletzt möchte ich mit Blick auf die Frage des anwendbaren Datenschutzrechts noch auf die kürzlich veröffentlichte überarbeitete Stellungnahme 179 (pdf) der Art 29 Datenschutzgruppe verweisen. In dieser analysiert das Gremium die oben genannten Entscheidungen des EuGH.

Insbesondere gehen die Datenschützer darin begrüßenswerte weise auch davon aus, dass es ein Fehler wäre, wenn man die Entscheidungen des EuGH zu weit auslegen und zu dem Schluss kommen würde,  dass die Existenz jeglicher Niederlassung die nur im entferntesten mit einer Datenverarbeitung der verantwortlichen Stelle zu tun hat zur Anwendbarkeit europäischen Datenschutzrechts führen würde.

Insbesondere stellt die Art. 29 Datenschutzgruppe auch heraus, dass der EuGH in seiner “Google Spain” Entscheidung zu Begründung anführt, dass Betroffene in der EU ansonsten den durch die Datenschutzrichtlinie gewährten Schutz verlieren würden. Dieses Argument, so die Datenschützer, würde jedoch in dem Fall, in dem eine verantwortliche Stelle in einem EU Mitgliedstaat sitzt, nicht greifen. Denn in einem solchen Fall würde stets europäisches Datenschutzrecht anwendbar sein. Es käme nur auf die Frage an, welches nationale Recht.

Zuletzt noch der Hinweis auf eine weitere Feststellung der Art 29 Gruppe in ihrer neuen Stellungnahme: allein eine gesellschaftsrechtliche Verbundenheit zwischen einem Mutterunternehmen und einer Niederlassung in einem europäischen Mitgliedstaat reicht für sich betrachtet noch nicht aus, um das jeweilige Datenschutzrecht zur Anwendung zu bringen. Genau mit diesem Argument hatte jedoch das Kammergericht in Berlin das deutsche Datenschutzrecht für anwendbar erklärt.

Datenverarbeitung für Werbezwecke

Des Weiteren bemängelt die CNIL, dass Facebook personenbezogenen Daten von Mitgliedern für Werbezwecke verarbeitete und dafür keine Rechtsgrundlage vorliege. Eine vorherige Einwilligung der betroffenen Nutzer liege nicht vor. Damit kommen im Ergebnis als Grundlage der Verarbeitung nur ein Vertrag oder aber die berechtigten Interessen von Facebook in Betracht wenn die schutzwürdigen Interessen des Betroffenen nicht überwiegen würden.

Hinsichtlich einer Verarbeitung für vertragliche Zwecke stellt die CNIL fest, dass die Nutzung der Daten für Werbezwecke gerade nicht der Durchführung des Vertrages mit den Betroffenen diene. Die Datenverarbeitung sei nur einen Nebenzweck, um vertragliche Pflichten zu erfüllen. Zudem führen die französischen Datenschützer an, dass Nutzer die Möglichkeit hätten der Verarbeitung ihrer Daten für Werbezwecke zu widersprechen (opt-out). Dies würde dafür sprechen, dass sie Datenverarbeitung für Werkezwecke nicht für die Durchführung des Nutzungsvertrages mit dem Betroffenen erforderlich ist.

Hier stellt sich freilich aus Praxis sich die Frage, ob man dann als Unternehmen in Zukunft einfach vertraglich die Verarbeitung für Werbezwecke gegenüber dem Nutzer regeln und diese zum Vertragsinhalt machen sollte. Zudem würde man dann eben keine Widerspruchsmöglichkeit anbieten. Nach der Argumentation der CNIL, könnte die Datenverarbeitung dann ja eventuell zulässig sein. Auf die Frage, wie dies dann mit Vorgaben wie jener des § 28 Abs. 4 BDSG in Einklang gebracht werden kann, möchte ich hier nicht näher eingehen.

Auch lehnt die CNIL die Datenverarbeitung auf der Grundlage berechtigter Interessen von Facebook ab. Dies soll nur möglich sein, wenn Nutzer Kontrolle darüber haben, wie personenbezogene Daten genutzt werden und sie ihre Rechte effektiv ausüben können. Dies sei hier jedoch nicht gegeben.

Besondere Arten personenbezogener Daten

Im Profil bei Facebook können Nutzer unter anderem Informationen über ihre religiöse Einstellung oder auch ihre sexuelle Orientierung angeben. Bei diesen Arten von Informationen handelt es sich umso genannte besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG), deren Verarbeitung nach den gesetzlichen Vorgaben nur unter sehr eingeschränkten Voraussetzungen möglich ist.

Was man hierbei beachten sollte ist, dass Datenschutzbehörden den Begriff der besonderen Arten personenbezogenen Daten grundsätzlich sehr weit auslegen und hierunter viel mehr Informationen fallen, als vielen vielleicht bewusst ist. So geht etwa die Art. 29 Gruppe in einer Stellungnahme zur Verarbeitung von Gesundheitsdaten bei der Nutzung von Apps (pdf) davon aus, dass die Information, dass jemand einer Brille trägt ein solches besonderes Datum darstellt. Das bedeutet: ein Foto, auf dem jemand eine normale Brille trägt, würde auch unter diese Kategorie fallen. In der Stellungnahme kommen die Datenschützer der Art 29 Gruppe im Prinzip zu dem Ergebnis, dass eigentlich nur eine Einwilligung die Datenverarbeitung für solche Fälle (Apps, Internet, etc.) rechtfertigen kann. Meinen Beitrag zu der erwähnten Stellungnahme findet man hier und hier einen weiteren zu einer Einschätzung durch die Bundesregierung.

Die CNIL verlangt in ihrem Anschreiben, dass eine Einwilligung für die Verarbeitung dieser Arten von Daten überhaupt nur dann wirksam abgegeben werden könnte, wenn ein Kästchen durch den Nutzer angeklickt wird. Erst dann sei die Voraussetzung erfüllt, dass die betroffene Person „ausdrücklich in die Verarbeitung der genannten Daten eingewilligt“ (so in Art. 8 Abs. 2 Buchst a) Datenschutzrichtlinie) habe.

Ausdrücklich verneint die französische Datenschutzbehörde das Vorliegen einer Einwilligung durch den Nutzer, wenn dieser freiwillig die betroffenen Daten in seinem Profil eingegeben und dann zur Ansicht freigegeben bzw. hochgeladen hat. Warum es sich hierbei nicht um eine ausdrückliche Einwilligung handeln soll, kann ich jedoch nicht ganz nachvollziehen.

Natürliche stets Voraussetzung, dass der Nutzer zuvor weiß, in Wasser einwilligt, um welche Daten es sich handelt und für welche Zwecke diese Daten genutzt werden. Ist diese Voraussetzung jedoch gegeben, und gibt der Nutzer in Kenntnis dieser Informationen freiwillig derartige Daten an und führt dann noch aktiv eine entsprechende Handlung aus, wie etwa den Klick auf einen Button, um die Daten im Profil anzeigen zu lassen, lässt sich meines Erachtens durchaus argumentieren, dass eine ausdrückliche Einwilligung vorliegt. Hier zeigt sich leider einmal mehr ein in der Praxis bekanntes Problem bei dem Versuch, datenschutzrechtlich sicher zu handeln: die geltenden Vorgaben sind teilweise schlicht realitätsfern und werden in der Masse einfach nicht mehr beachtet. Ich persönlich kann mich zum Beispiel nicht entsinnen, dass sich eine den Anforderungen der französischen Datenschützer entsprechende Einwilligung abgeben musste, als ich mein Profilbild bei Twitter hochgeladen habe. Genau dieses Argument habe ich auch gegenüber der Abgeordneten im europäischen Parlament, Frau Birgit Sippel, im Rahmen einer Diskussion auf Twitter entgegengehalten. Nachfolgend Auszüge aus der Diskussion:

Zuletzt sei noch der Hinweis gestattet, dass die europäischen Datenschützer in ihrer Stellungnahme 187 (pdf) festgestellt haben, dass in der Online-Umgebung eine ausdrückliche Einwilligung durch die Verwendung elektronischer oder digitaler Signaturen gegeben werden. Sie kann abhängig vom Zusammenhang aber auch durch anklickbare Schaltflächen, das Versenden einer bestätigenden E-Mail, das Anklicken von Icons usw. erteilt werden.

Warum soll es aber dann nicht ausreichen, wenn man im Profil bei Facebook seine Daten ausfüllt und danach auf eine Schaltfläche klickt, um diese hochzuladen? Die Anforderung der französischen Datenschutzbehörde ist ja, dass zusätzlich zu diesem aktiven Verhalten noch in jedem Falle eine Checkbox vorgehalten werden muss die auch noch einmal aktiv angeklickt werden muss. Endeffekt verlangen die Datenschützer damit zwei aktive, ausdrückliche Handlungen.

Schwaches Passwort

Zudem kritisiert die französische Datenschutzbehörde die Vorgaben für das Passwort bei dem sozialen Netzwerk. Dieses muss dort aus mindestens 6 Zeichen, einer Zahl und einem Buchstaben bestehen. Diese Anforderung ist nach Auffassung der CNIL jedoch keine ausreichende Daten Sicherheitsmaßnahme und verstößt gegen Vorgaben französischen Rechts. Unweigerlich möchte man sich natürlich fragen, wie viele Unternehmen im Internet gegen diese Vorgabe wohl verstoßen. Hinsichtlich dieser Beanstandung verweist die französische Datenschutzbehörde zudem darauf, dass ein entsprechender Verstoß mit einer Strafe in Höhe von bis zu 1.5 Mio EUR geahndet werden kann.

Datentransfers in Drittstaaten

Auch bemängelt die CNIL, dass Facebook, zumindest nach eigener Aussage gegenüber der Behörde im Rahmen der Prüfung, immer noch personenbezogene Daten auf der Grundlage der Angemessenheitsentscheidung der Europäischen Kommission zu Safe Harbor übermitteln würde. Da diese Angemessenheitsentscheidung seit dem entsprechenden Urteil des EuGH jedoch nicht mehr existiert, kann dieses Instrument richtigerweise nicht mehr für Datentransfers genutzt werden. Des Weiteren nutze Facebook jedoch auch Standardvertragsklauseln als Grundlage einer Datenübermittlung in Drittstaaten. Im Ergebnis wird man hier eine genauere Untersuchung, die ja gerade auch im Land im Rahmen der Beschwerde von Max Schrems läuft, abwarten müssen.

Was mich persönlich jedoch verblüfft hat, ist, dass die Entscheidung der CNIL bzw. das vorliegende Anschreiben auf den 26. Januar 2016 datiert. Nach eigener Aussage (Pressemitteilung vom 16. Oktober 2015,  pdf) wollten die europäischen Datenschutzbehörden, deren Vorsitz gerade die Leiterin der CNIL inne hat, Unternehmen jedoch bis Ende Januar (also bis zum 31. Januar 2016) Zeit geben, Datentransfers in die USA auf entsprechende neue Grundlagen zu stützen. Auch der Hamburgische Beauftragte für den Datenschutz hatte im November 2015 informiert (pdf), dass Unternehmen, die Daten auf der Grundlage der ungültigen Angemessenheitsentscheidung zu Safe Harbor übermitteln, „ab Februar 2016 mit Maßnahmen durch die Aufsichtsbehörden rechnen“ müssen. Die damals aufgestellte Übergangsfrist scheint also daher eher eine grobe Richtschnur gewesen und von den Aufsichtsbehörden unterschiedlich in der Praxis umgesetzt worden zu sein.

Ausblick

Auch in Deutschland kämpft Facebook derzeit an mehreren Datenschutzfronten. In Hamburg ist vor dem Verwaltungsgericht ein Verfahren zur Frage der Klarnamenpflicht in dem sozialen Netzwerk anhängig. Am 25. Februar 2016 findet die Verhandlung vor dem Bundesverwaltungsgericht zur Frage statt, ob Fanpage Betreiber datenschutzrechtlich verantwortlich sind.

EU-US Privacy Shield: Was wir bisher wissen.

Am 2. Februar 2016 hat die Europäische Kommission eine politische Einigung mit der amerikanischen Regierung auf ein neues System bzw. einen Rahmen für transatlantische Datentransfers bekanntgegeben, das „EU-US Privacy Shield“. Was genau der Inhalt dieses Systems sein wird, dazu existieren derzeit kaum valide Informationen. Das mag man kritisieren. In der Öffentlichkeit wurden zwar bereits Einschätzungen diskutiert, nach denen das EU-US Privacy Shield den datenschutzrechtlichen Anforderungen an Datentransfers in Drittstaaten (insbesondere unter Berücksichtigung des Urteils des EuGH vom 6. Oktober 2015, C-362/14) klar nicht genügen würde. Derartige inhaltliche Meinungen halte ich persönlich jedoch für verfrüht und warte daher gerne auf einen konkreten Text (insbesondere die Angemessenheitsentscheidung der Europäischen Kommission), der sich dann juristisch prüfen lässt.

Dennoch brennt die Frage, was da auf transatlantische Datenübermittlungen und betroffene Organisationen zukommt, verständlicherweise vielen Beteiligten unter den Nägeln. Bis also ein offizieller Text vorliegt, lässt sich dem Grunde nach nur zusammentragen, was aus verschiedenen Quellen bekannt gegeben wurde. An diesen Ankündigungen muss sich das System dann auch messen lassen. Nachfolgend möchte ich versuchen, eine solche Übersicht (Stand 4. Februar 2016) zu erstellen.

Pressemitteilung der Europäischen Kommission vom 2. Februar 2016

Überwachung und Durchsetzung der Regelungen durch das US-Handelsministerium und die Federal Trade Commission (FTC).

Vorgaben zur verstärkten Zusammenarbeit mit den europäischen Datenschutzbehörden.

Zusagen der US-Regierung, dass die Möglichkeiten für Behörden, nach dem amerikanischen Recht auf im Rahmen der neuen Vereinbarung übertragene personenbezogene Daten zuzugreifen, an klare Bedingungen, Beschränkungen und Aufsicht geknüpft ist, um einen allgemeinen Zugang zu verhindern.

Europäer werden die Möglichkeit haben, jede Anfrage oder Beschwerde in diesem Zusammenhang bei einer neu zu schaffenden Ombudsperson vorzubringen.

Verbindliche Zusicherungen der US-Regierung, dass der Zugang durch Behörden für Zwecke der nationalen Sicherheit klaren Grenzen, Schutz- und Aufsichtsmechanismen unterliegen wird.

Zum ersten Mal wird für EU-Bürger die Möglichkeit bestehen, Rechtsschutzverfahren in diesem Bereich [Anm. d. Autors: bezieht sich auf den Zugang durch Behörden für Zwecke der nationalen Sicherheit] in Anspruch zu nehmen.

Jährliche gemeinsame Überprüfung, um die Umsetzung dieser Verpflichtungen genau zu beobachten. Die Europäische Kommission und das US-Handelsministerium werden die Überprüfung durchführen und Experten für Nachrichtendienste aus den USA und europäische Datenschutzbehörden zur Teilnahme einladen.

US-Unternehmen, die personenbezogene Daten aus Europa importieren möchten, müssen sich zur Einhaltung von Vorgaben verpflichten, wie personenbezogene Daten verarbeitet und die Rechte des Einzelnen gewährleistet werden.

Darüber hinaus muss sich jedes Unternehmen, welches mit Arbeitnehmerdaten aus Europa umgeht, dazu verpflichten, Entscheidungen der europäischen Datenschutzbehörden anzuerkennen und nachzukommen.

Jeder Bürger, der der Auffassung ist, dass seine Daten im Rahmen des neuen Systems unzulässig verwendet wurden, wird mehrere Rechtsbehelfsverfahren zur Auswahl haben.

Unternehmen haben konkrete Fristen zu beachten, um auf Beschwerden zu antworten.

Europäische Datenschutzbehörden können Beschwerden an das US-Handelsministerium und die Federal Trade Commission weiterleiten.

Alternative Streitbeilegungsmechanismen werden kostenlos sein.

Die Europäische Kommission wird nun in den nächsten Wochen einen Entwurf für eine Angemessenheitsentscheidung [Anm. d. Autors: Nach Art. 25 Abs. 6 der Europäischen Datenschutzrichtlinie] erarbeiten. Dieser wird der Art. 29 Datenschutzgruppe für eine Stellungnahme zugeleitet und muss nach dem Ausschussverfahren [Anm. d. Autors: Art. 31 der Europäischen Datenschutzrichtlinie] angenommen werden.

Fragerunde des US Handelsministeriums auf Twitter vom 3. Februar 2016

Um am Privacy Shield teilnehmen zu können, müssen US-Unternehmen entweder Durchsetzungsbefugnissen der FTC oder des US-Transportministeriums unterliegen.

Ich selbst hatte zwei Fragen gestellt: 1) Ob das System erneut auf einer Selbstzertifizierung der US-Unternehmen basieren wird? 2) Ob noch amerikanisches Recht angepasst werden muss?

Die Antwort des US-Handelsministeriums, kurz und knapp:

Derzeit unter Safe Harbor zertifizierte Unternehmen werden einen Übergangszeitraum erhalten.

Das US-Handelsministerium wird die für das Privacy Shield zuständige Mitarbeiterzahl verdoppeln.

Auf die Frage eines Twitter-Nutzers, ob die „Presidential Policy Directive 28“ (PPD-28) ein rechtlich bindendes Instrument darstelle, antwortete das US-Handelsministerium:

Informationsblatt des US Handelsministeriums vom 2. Februar 2016 (hier Informationen, die über jene der Europäischen Kommission hinausgehen)

Unternehmen werden sich verpflichten, an Schiedsverfahren als mögliche letzte Instanz bei Beschwerden teilzunehmen, um sicherzustellen, dass EU-Bürger die Möglichkeit haben, auf diesem Wege Rechtsmittel einzulegen.

Das Privacy Shield enthält neue vertragliche Vorgaben zum Schutz der Privatsphäre und zur Aufsicht für Daten, die von teilnehmenden Unternehmen an Dritte weitergegeben oder von deren Dienstleistern verarbeitet werden, um die Haftung besser zu regeln und die Fortgeltung des Schutzes zu gewährleisten.

Ankündigung

Und noch eine Ankündigung zum Schluss: unter www.euusprivacyshield.de werde ich bald eine eigene Informationsseite einrichten und dort versuchen, die neuesten Entwicklung rund um dieses wichtige Projekt zu verfolgen und zu kommentieren.

Stellungnahme europäischer Datenschützer: Weiter Anwendungsbereich des europäischen Datenschutzrechts

Die Art. 29 Datenschutzgruppe hat am 16. Dezember 2015 eine überarbeitete Version (pdf) ihrer Stellungnahme 8/2010 zum anwendbaren Datenschutzrecht (pdf) verabschiedet. Die Überarbeitung wurde insbesondere nach den Urteilen den Europäischen Gerichtshofs (EuGH) in der Sache „Google Spain“ (C-131/12) und „Weltimmo“ (C-230/14) erforderlich, in denen der Gerichtshofs die Vorschrift des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie auslegte.

Die europäische Regelung

Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie beantwortet die Frage (oder versucht dies zumindest), wann das jeweils nationale Datenschutzrecht eines EU-Mitgliedstaates anwendbar ist:

Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält.

Stellungnahme der Art. 29 Datenschutzgruppe

Grundsätzlich analysieren die Datenschützer das Google Spain-Urteil des EuGH und gehen vereinzelt auch auf das zeitlich später ergangene Weltimmo-Urteil ein.

Nach Auffassung der Datenschützer wendet der EuGH europäisches Datenschutzrecht auf Datenverarbeitungen an, die durch eine verantwortliche Stelle vorgenommen werden, die in einem Staat außerhalb der EU niedergelassen ist, wenn sie eine „relevante“ Niederlassung innerhalb der EU besitzt. Jedoch werfe dieser sehr weite Anwendungsbereich europäischen Rechts auch Fragen auf.

Ebenfalls wichtig für die Art.29 Gruppe ist die Frage, inwieweit bei Konstellationen, in denen die verantwortliche Stelle in der EU niedergelassen ist und mehrere Niederlassungen in anderen Mitgliedstaaten besitzt, die Vorgaben des EuGH übertragbar sind und ob eventuell stets nur ein nationales Datenschutzrecht anwendbar ist.

Auslegung der EuGH-Urteile durch die Art. 29 Datenschutzgruppe

Zunächst befasst sich die Stellungnahme mit dem Tatbestandsmerkmal „im Rahmen der Tätigkeiten einer Niederlassung“. Die Art. 29 Gruppe weist auf eine weite Auslegung des Begriffs „Niederlassung“ in beiden Urteilen hin. Zudem kreiere der EuGH das Merkmal der „untrennbaren Verbundenheit“ der Tätigkeiten der europäischen Niederlassung mit der verantwortlichen Stelle, die in einem Staat außerhalb der EU ihren Sitzt hat.

Die Art. 29 Gruppe versteht diese Verbundenheit vor allem im Sinne eines wirtschaftlichen Konnexes, etwa im Sinne von Umsätzen der EU-Niederlassung. Es dürfe keine Trennung der Tätigkeiten möglich sein, ohne dass das Angebot des ausländischen Dienstes, etwa einer Suchmaschine, wirtschaftlich unrentabel werde.

Zu dem Merkmal der untrennbaren Verbundenheit stellt die Art. 29 Gruppe weiter fest, dass bei deren Vorliegen europäisches Datenschutzrecht anwendbar ist, selbst wenn die EU-Niederlassung gar keine Rolle bei Datenverarbeitung der verantwortlichen Stelle spielt. Nach Auffassung der Datenschützer können jedoch die Tätigkeiten der Niederlassung so mit der verantwortlichen Stelle verbunden sein, dass europäisches Recht auf deren Datenverarbeitung anwendbar ist. Hierzu bildet die Art. 29 Gruppe etwa ein Beispiel, in dem eine verantwortliche Stelle mehrere Verkaufsbüros in der EU besitzt. Dann beurteile sich Verarbeitung der verantwortlichen Stelle nach europäischem Datenschutzrecht, selbst wenn die Niederlassung in der EU an der Datenverarbeitung nicht beteiligt ist.

Zudem stellen die Datenschützer fest, dass das EuGH-Urteil das Geschäftsmodell einer Internetsuchmaschine und deren Generierung von Werbeeinnahmen betraf. Es wäre aus diesem Grund ein Fehler zu glauben, dass nun jede Verbindung zwischen einer EU-Niederlassung und der verantwortlichen Stelle im EU-Ausland ausreichen würde, um europäisches Datenschutzrecht zur Anwendung zu bringen. Jeder Fall muss für sich betrachtet werden. Andererseits dürfe das Urteil nach Ansicht der Art. 29 Gruppe aber auch nicht zu eng ausgelegt und etwa nur auf Suchmaschinen und deren Geschäftsmodell angewendet werden.

Aus Sicht der Praxis von Interesse dürfte die Aussage der Datenschützer sein, dass das Urteil ihrer Auffassung nach je nach Einzelfall vor allem auf Unternehmen anwendbar sein kann, die kostenlose Dienste in der EU anbieten und Daten, die von Nutzern dieser Dienste erhoben und verarbeitet werden, dann in der ein oder anderen Form kommerziell, z. B. für Werbezwecke, genutzt werden.

Auch der Frage, wie die Urteile des EuGH mit Blick auf Sachverhalte zu beurteilen sind, die allein Innerhalb der EU spielen, gehen die Datenschützer nach. Es geht hierbei um Fälle, bei denen mehrere Niederlassungen in verschiedenen Mitgliedstaaten bestehen und eine Hauptniederlassung in einem Mitgliedstaat existiert, die allein als verantwortliche Stelle agiert.

Ist in einem solchen Fall jedes nationale Recht und damit nebeneinander verschiedene Rechtsordnungen auf verschiedene Datenverarbeitung derselben verantwortlichen Stelle anwendbar, wenn die „untrennbare Verbundenheit“ besteht, selbst wenn diese Niederlassungen nicht an der Verarbeitung beteiligt sind?

Nach richtiger Auffassung der Art. 29 Gruppe hat der EuGH in seinem Google Spain-Urteil hierzu nichts gesagt und auch keine Unterscheidung getroffen, wie der Fall zu beurteilen wäre, wenn die verantwortliche Stelle in der EU ansässig ist. Ich möchte hinzufügen: das musste er auch gar nicht. Dennoch habe der EuGH für die Anwendung des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie eine neue Voraussetzung geschaffen: die untrennbare Verbundenheit zwischen verantwortlicher Stelle und der Niederlassung. Das Argument des EuGH, europäisches Recht anzuwenden, da ansonsten die Gefahr bestünde, dass der Betroffene den ihm gewährten Schutz verlieren würde, ist nach Ansicht der Datenschützer in den Konstellationen, die allein in der EU spielen, nicht zwingend. Denn in einem solchen Fall geht es nur darum im Anwendungsbereich der Datenschutzrichtlinie zu bestimmen, welches nationale Recht anwendbar ist.

Doch geht die Art. 29 Gruppe davon aus, dass derzeit keine Vollharmonisierung unter dem europäischen Datenschutzrecht existiert. Daher sei es schon wichtig, welches nationale Recht gilt. Zudem führen die Datenschützer aus, dass die Datenschutzrichtlinie keine Form eines „one stop shops“ für das anwendbare Recht vorsieht. Es sei vielmehr jedes nationale Recht anwendbar, in dem eine Niederlassung existiert, die mit ihren Tätigkeiten untrennbar mit der verantwortlichen Stelle verbunden ist. Die Begründung: ansonsten bestünde die Gefahr des forum shoppings in der EU.

Das Fazit der Art. 29 Gruppe: der EuGH schafft ein neues Kriterium im Rahmen des Tatbestandsmerkmals des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie („im Rahmen der Tätigkeiten einer Niederlassung“), die untrennbare Verbundenheit. Hier gehen die Datenschützer noch einmal deutlich darauf ein, dass es sich um eine wirtschaftliche Verbundenheit handeln muss.

Im zweiten Teil der Stellungnahme beschreiben die Datenschützer konkrete Änderungen ihrer alten Stellungnahme. Zudem stellen sie klar, dass selbst wenn nicht EU-Recht auf eine außerhalb der EU sitzende verantwortliche Stelle anwendbar ist, doch immer noch nationales Recht für solche Datenverarbeitungen gilt, die „lokal“ von einer EU-Niederlassung vorgenommen werden, etwa im Rahmen der Verwaltung eigener Dienstleister oder Mitarbeiter.

Zudem sei EU-Recht auch anwendbar, wenn nur eine einzige Niederlassung einer außereuropäischen verantwortlichen Stelle in der EU existiert, die Dienstleistungen in der EU anbietet. Dann scheint nach Ansicht der Art. 29 Gruppe eine Art Vermutung dafür zu streiten, dass die Tätigkeiten dieser EU-Niederlassung mit der verantwortlichen Stelle untrennbar verbunden sein müssen.

Zudem fügen die Datenschützer noch einige neue Beispiele für die Praxis in ihre Stellungnahme ein. Sehr relevant ist, dass die Art. 29 Gruppe in diesem Zusammenhang klarstellt, dass allein die gesellschaftsrechtliche Verbundenheit nicht für eine „untrennbare Verbundenheit“ ausreicht. Selbst wenn nur eine Niederlassung in der EU vorhanden sein sollte und eine finanzielle Verbindung zur verantwortlichen Stelle (hier in Kanada) besteht, reicht dies nicht aus, wenn die EU-Niederlassung tatsächlich im Rahmen völlig andere Tätigkeiten agiert, als die verantwortliche Stelle.

OLG Frankfurt: Einsatz von Cookies für Werbezwecke erfordert kein Opt-in

Das OLG Frankfurt am Main hat mit Urteil vom 17.12.2015 (Az.: 6 U 30/15) über die Wirksamkeit der im Rahmen eines Gewinnspiels im Internet eingeholten Einwilligung in die Datenverarbeitung für Werbezwecke mittels Cookies entschieden. (Hinweis: JBB Rechtsanwälte waren an dem Rechtsstreit als Verfahrensbevollmächtigte beteiligt).

Das Urteil ist insbesondere deshalb interessant, weil es sich unter anderem mit der Frage auseinandersetzt, ob die sogenannte ePrivacy- oder Cookie-Richtlinie (RL 2002/58/EG in der Fassung der RL 2009/136/EG, PDF) und deren Vorgaben zur Einwilligung beim Einsatz von Cookies in Deutschland unmittelbar anwendbar sind. Diese Frage ist seit Jahren umstritten.

Ausgangslage

Im ursprünglichen Verfahren hat ein Verbraucherschutzverband gegen den Veranstalter eines Gewinnspiels im Internet geklagt. Angegriffen wurde hierbei unter anderem eine Einwilligungserklärung, in der sich Teilnehmer des Gewinnspiels damit einverstanden erklärten, dass nach ihrer Registrierung ein Cookie gesetzt wird, über das eine Auswertung des Surf- und Nutzungsverhaltens auf Webseiten von Werbepartnern und eine Verwendung für interessengerechte Werbung ermöglicht werden.

In der Einwilligungserklärung, die mittels eines bereits angekreuzten Kästchens (opt-out) eingeholt wurde, fand sich zudem ein Link auf weitere Informationen zum Einsatz des  Cookies und der damit zusammenhängenden Datenverarbeitung.

Urteil

Der vom Verbraucherschutzverband geltend gemachte Unterlassungsanspruch (§ 1 UKlaG) gegen die Einwilligungserklärung wurde vom OLG zurückgewiesen.

Die Einwilligungserklärungen qualifizierte das Gericht als eine Allgemeine Geschäftsbedingung und war damit nach Auffassung des Senats auch einer Inhaltskontrolle (§ 307 BGB) zugänglich. Jedoch verstößt die Einwilligungserklärung gegen keine der insoweit maßgeblichen gesetzlichen Vorgaben der §§ 4a, 28 Abs. 3a BDSG sowie §§ 13 Abs. 2, 15 Abs. 3 TMG).

Dies gilt, so das OLG, auch dann, wenn man diese Vorschriften nach Ablauf der Umsetzungsfrist der Neuregelung des Artikel 5 Abs. 3 ePrivacy-Richtlinie richtlinienkonform auslegen möchte.

Opt-out ausreichend

Das Gericht stellt fest, dass den genannten datenschutzrechtlichen Vorschriften das Erfordernis einer ausdrücklich erteilten Einwilligung (opt-in) nicht zu entnehmen ist. Vielmehr kann die Einwilligung auch dadurch erklärt werden, dass der Nutzer einen bereits gesetzten Haken in einem Kästchen nicht entfernt (opt-out). Das Gericht verweist hierzu auf das sogenannte Payback-Urteil des Bundesgerichtshofs.

Ohne Erfolg berief sich der Verbraucherschutzverband darauf, dass nach Ablauf der Umsetzungsfrist der ePrivacy-Richtlinie das nationale Recht richtlinienkonform dahingehend ausgelegt werden müsste, dass ein solches Opt-Out Verfahren nicht ausreiche. Art. 5 Abs. 3 ePrivacy-Richtlinie enthält nämlich keine Regelung, die ein Ort in Verfahren zwingend vorschreiben würde. Danach haben die Mitgliedstaaten sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Hierzu das Gericht:

Dort ist jeweils nur von der klaren und umfassenden bzw. verständlichen Information die Rede, die dem Nutzer vor Abgabe der Einwilligungserklärung gegeben werden muss. Dem steht ein “opt-out”-Verfahren nicht generell entgegen.

Zudem, lässt sich zusätzlich anführen, dass der Begriff der „Einwilligung“ in der ePrivacy-Richtlinie genau derselbe ist wie in der europäischen Datenschutzrichtlinie (RL 95/46/EG) (vgl. Art. 2 f) ePrivacy-Richtlinie).

Der Verbraucherschutzverband argumentierte zudem mit einer Stellungnahme der europäischen Art. 29 Datenschutzgruppe vom 8.12.2011. Dabei handelt es sich aber nach Auffassung des Gerichts

nur um eine unverbindliche Meinungsäußerung dieses Beratungsgremiums.

Dieser Meinungsäußerung folgt das OLG Frankfurt nicht. Zwar fordert die Art. 29 Datenschutzgruppe eine „bejahende Handlung“ des Nutzers, durch die das Setzen des Cookies und die danach erfolgende Datenverarbeitung akzeptiert werden müsse. Dies beziehe sich jedoch nicht auf die Frage, ob eine Einwilligungserklärung auch im Rahmen des Opt-Out-Verfahrens eingeholt werden kann.

Möglichkeit der Verweigerung

Zudem stellt das OLG fest, dass der durchschnittliche Internetnutzer heute weiß, dass er ein Häkchen in einem Kästchen durch Anklicken des Feldes entfernen und damit seine Einwilligung verweigern kann. Ein ausdrücklicher Hinweis auf diese Möglichkeit ist daher nicht erforderlich.

Hervorhebung der Einwilligungserklärung

Auch ist es nicht unzulässig, dass wesentliche Informationen zum Einsatz des Cookies unter Datenverarbeitung nicht schon in der Einwilligungserklärung selbst, sondern erst in der verlinkten Erläuterung erteilt werden. Zwar verlangt § 28 Abs. 3a S. 2 BDSG hier, dass die Einwilligung „in drucktechnisch deutlicher Gestaltung besonders hervorzuheben” ist. Dies war jedoch der Fall. Denn die besondere Hervorhebung bezieht sich nur auf die Einwilligungserklärung selbst, und nicht auf die weiteren erläuternden Informationen, die durchaus (über einen deutlich gekennzeichneten Link) auf einer weiteren Informationsebene erteilt werden können.

Auch inhaltlich beanstandete das OLG Frankfurt die Einwilligungserklärung nicht. Insbesondere würden die Funktionen des Cookies richtig herausgestellt werden. Dabei müssen sich die Anforderungen an die erforderlichen Informationen für den Nutzer (wenn sie denn ihren Sinn erfüllen sollten) auch an der Fähigkeit und Bereitschaft des Nutzers orientieren, sich mit diesen Fragen überhaupt tatsächlich zu befassen.

Fazit

Die Frage, ob die ePrivacy-Richtlinie in Deutschland tatsächlich umgesetzt wurde oder nicht, stellt das OLG nicht. Selbst bei einer richtlinienkonform Auslegung der Richtlinie würde die Einholung einer Einwilligung für Werbezwecke im Rahmen eines Opt-Out-Verfahrens genügen. Die ausdrückliche Erteilung der Einwilligung (etwa durch aktives Ankreuzen eines Kästchens) ist also beim Einsatz von Cookies für Werbezwecke nicht erforderlich.

Wichtige Änderung bei Google: Einwilligung beim Einsatz von AdSense und DoubleClick erforderlich

Am 27. Juli 2015 hat Google wichtige Änderungen seiner Produkte AdSense und DoubleClick bekanntgegeben (hier der offizielle Beitrag im AdSense-Blog. Diese Änderungen betreffen alle Webseitenbetreiber, die an den benannten Programmen teilnehmen.

Die Änderungen beziehen sich auf das Erfordernis der Einholung einer datenschutzrechtlichen Einwilligung von Webseitenbesuchern. Google hat im Zuge dessen eine neue „Richtlinie über die Zustimmung der Nutzer in der EU“ veröffentlicht. Wenn ein Webseitenbetreiber ein Google-Produkt verwendet, für das diese Richtlinie gilt, muss der Webseitenbetreiber in Zukunft Endnutzern in der Europäischen Union zum einen bestimmte Informationen offenlegen und es müssen zum anderen Einwilligungen der Endnutzer in die Datenverarbeitung eingeholt werden.

Welche Werbeprodukte für Publisher sind betroffen?
Nach Angaben von Google müssen alle Publisher die Richtlinie über die Zustimmung der Nutzer in der EU befolgen, einschließlich aller Nutzer von AdSense, DoubleClick Ad Exchange und DoubleClick for Publishers.

Was verlangt Google?
Die „Richtlinie zur Einwilligung der Nutzer in der EU“ besteht aus zwei Maßnahmen.

  • Zum einen müssen Publisher wirtschaftlich vertretbare Maßnahmen ergreifen, damit jegliche Datenerfassung, -weitergabe und -nutzung klar offengelegt wird, die auf Websites, in Apps, E-Mails oder anderen Inhalten infolge Ihrer Verwendung von Google-Produkten erfolgt, und sie müssen eine entsprechende Einwilligung einholen.
  • Zum anderen müssen wirtschaftlich angemessene Maßnahmen ergriffen werden, um sicherzustellen, dass ein Endnutzer verständliche und umfassende Informationen zur Speicherung von und zum Zugriff auf Cookies und Daten auf dem Gerät des Endnutzers erhält und diesen Aktivitäten zustimmt, wenn derartige Aktivitäten im Zusammenhang mit der Verwendung eines Produkts erfolgen, für das die Richtlinie gilt.

Bin ich zur Umsetzung der Maßnahmen verpflichtet?
Bei der Antwort auf diese Frage sollte man eine gesetzliche Verpflichtung auf der einen Seite und eine vertragliche Verpflichtung (gegenüber Google) auf der anderen Seite unterscheiden.

Ob man als Webseitenbetreiber, der an ein entsprechendes Google-Produkt nutzt, tatsächlich gesetzlich dazu verpflichtet ist, die Einwilligung der Nutzer in die Datenverarbeitung einzuholen, ist meines Erachtens zumindest diskutabel. Google verweist in den Informationen im AdSense-Blog auf Forderungen der europäischen Datenschützer, die eine Anpassung der bestehenden Umstände zur Einholung einer Einwilligung der Nutzer verlangen. Diesen Forderungen möchte Google nun anscheinend nachkommen. Zu beachten ist, dass es sich hierbei um Anforderungen an die Datenverarbeitung durch Google, bzw. durch seine Produkte, handelt. Mein Eindruck ist, dass die von Google nun verlangte Einholung der Einwilligung also nicht den Webseitenbetreiber als Adressaten der Erlaubnis betrifft, sondern Google selbst. Die Einwilligung wird dann von Google über die Webseitenbetreiber an die teilnehmenden Publisher sozusagen weitergereicht.

Dass Webseitenbetreiber selbst keine datenschutzrechtliche Pflicht zur Einholung einer Einwilligung besitzen, wenn auf ihrer Webseite Anzeigen geschaltet sind, die von einem Anbieter eines Werbenetzwerks mit Inhalten befüllt werden, haben die europäischen Datenschütze in einer Stellungnahme aus dem Jahre 2010 festgesellt (WP 171, PDF). Informationspflichten dazu, ob Cookies gesetzt werden und wenn ja, welche Arten von Informationen in dem Cookie gespeichert werden, sollen für Webseitenbetreiber aber in jedem Fall bestehen.

Wichtig ist jedoch auch die vertragliche Ebene zu betrachten. Google selbst informiert die teilnehmenden Publisher, dass wenn sie Google-Produkte wie Google AdSense oder DoubleClick for Publishers verwenden, sie vertraglich gegenüber Google dazu verpflichtet, die EU-Richtlinie zum Einholen der Zustimmung von Google zu befolgen. Unabhängig von gesetzlichen Pflichten, besteht also eine vertragliche Pflicht gegenüber Google, wenn man ein entsprechendes Produkt verwendet.

Wie muss man die Anforderungen umsetzen?
Google selbst bietet hierzu Informationen auf einer Hilfe-Seite an. Dort finden sich Lösungen dazu, wie Zustimmungsmechanismen in Webseiten und Apps integriert werden können. Außerdem sind hier Beispieltexte für Nachrichten verfügbar, mit denen die Einwilligung der Nutzer eingeholt werden kann. Dort wird auch deutlich, dass Google mit den nun vorgestellten Änderungen die Anforderungen der Datenschutzbehörden beim Einsatz von Cookies auf Webseiten umsetzen möchte. Diese Forderung, beim Einsatz von bestimmten Cookies eine Einwilligung einzuholen, entspringt einer europäischen Richtlinie (2002/58/EG, sog. ePrivacy Richtlinie). Die Umsetzung der ePrivacy Richtlinie in den europäischen Mitgliedstaaten ist jedoch recht unterschiedlich erfolgt. Teilweise wird von dem Erfordernis eines Opt-ins, teilweise von einem Opt-out ausgegangen.

Fazit
Die nun von Google vorgestellten Änderungen betreffen alle Webseiten/App-Betreiber, die bestimmte Google-Produkte nutzen. Unabhängig von der Frage einer gesetzlichen Verpflichtung zur Einholung einer Einwilligung, sind die Betreiber vertraglich zur Umsetzung der Vorgaben verpflichtet. Google selbst macht mit diesem Anpassungsprozess meines Erachtens einen großen Schritt auf die europäischen Datenschützer und deren Forderungen zu.

Update
Der Kollege Thomas Schwenke informiert in seinem Blog ebenfalls über die Änderungen bei Google.

Einheitlicher Datenschutz durch #EUDataP? Denkste. Nicht bei Nutzerprofilen für Werbezwecke.

Die Verhandlungen zur geplanten Datenschutz-Grundverordnung (DS-GVO) schreiten voran. Der Rat der Europäischen Union möchte noch im Juni eine gemeinsame Position erzielen, mit der dann in die Trilog-Verhandlungen mit dem Parlament und der Kommission eingestiegen werden kann.

Ein in letzter Zeit gerade von deutschen Politikern immer wieder ins Feld geführter Vorteil der DS-GVO wird es sein, dass grundsätzlich ein einheitliches Datenschutzrecht für Europa geschaffen wird. Ein „level playing field“. Doch wenn der Jurist „grundsätzlich“ sagt, dann gibt es immer mindestens eine Ausnahme. Und diese Ausnahme wird, nach derzeitigem Stand, die Erstellung von Profilen unter Pseudonym (etwa durch Cookies) im Internet sein. In Deutschland gilt in diesen Fällen nach § 15 Abs. 3 TMG ein Opt-out-Prinzip. Der Nutzer muss auf sein Widerspruchsrecht hingewiesen werden. In anderen europäischen Ländern gilt ein Opt-in, also die vorherige Einwilligung.

Diese Unterschiede ergeben sich aus einer uneinheitlichen Umsetzung der europäischen Richtlinie 2002/58/EG (geändert durch RL 2009/136/EG; sog. ePrivacy-RL). Als eine Richtlinie macht dieses Instrument den Mitgliedstaaten nur generelle Vorgaben, welchen Inhalt nationale Gesetze haben müssen. Daher exisitiert auch eine in den Mitgliedstaaten uneinheitliche Umsetzung im jeweiligen Recht.

Art. 5 Abs. 3 der RL 2002/58/EG besagt, dass die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Eigentlich, so denkt man, wird hier klar eine Einwilligungspflicht vorgeschrieben. Und dies vor allem nicht nur für „personenbezogene Daten“, sondern für die Speicherung von Informationen (!) oder den Zugriff auf solche. In Deutschland war lange unklar, ob das geltende Telemediengesetz diese Vorgaben wirklich umsetzt.

Seit Februar 2014 und einem Artikel von Adrian Schneider auf Telemedicus wissen wir jedoch: sowohl die EU-Kommission als auch das Bundeswirtschaftsministerium gehen davon aus, dass die ePrivacy-RL in Deutschland umgesetzt wurde. Interessanterweise sehen das übrigens auch die europäischen Datenschützer (versammelt in der Art. 29 Gruppe) so. Dies ergibt sich aus einer Stellungnahme aus dem Jahr 2013 (WP 208, dort S. 2). Dort geht die Art. 29 Gruppe davon aus, dass die ePrivacy-RL seit Januar 2013 in allen EU-Staaten umgesetzt wurde.

Schön. Nun wissen wir also, dass unser geltendes TMG die europäischen Vorgaben nach Ansicht der zuständigen Stellen umsetzt.

Und wie komme ich nun zu der Annahme, dass es nach Inkrafttreten der DS-GVO weiterhin dabei bleibt, dass für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellt werden dürfen, sofern der Nutzer dem nicht widerspricht (=Opt-out)?

Diese Woche hat die Europäische Kommission ihre Initiative für den Digitalen Binnenmarkt vorgestellt. Sie behandelt darin viele wichtige Themen. Fast beiläufig findet sich auf S. 47 des Arbeitspapiers (PDF) die Aussage, dass die ePrivacy-RL eine sog. „lex specialis”, also ein spezielles Gesetz, das dem allgemeinen Gesetz (dann der DS-GVO) in ihrem Anwendungsbereich vorgeht. Damit würde auch die Vorgabe aus Art. 5 Abs. 3 der ePrivacy-RL, die ja nach Angaben der Ministerien und der Kommission in Deutschland umgesetzt ist, ebenfalls den Regeln der DS-GVO, etwa zur Bildung von Profilen unter Pseudonymen, vorgehen.

Man könnte nun noch fragen, ob denn die ePrivacy-RL nicht nur für den Bereich der elektronischen Kommunikation ein Spezialgesetzt ist, also etwa das Angebot der Telekommunikationsunternehmen. Meines Erachtens nicht. Denn das besondere an Art. 5 Abs. 3 der ePrivacy-RL ist gerade, dass diese Vorgabe nicht nur auf Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste und auf Betreiber öffentlicher Kommunikationsnetze in der Gemeinschaft anwendbar ist, sondern für jede Rechtsperson, die Informationen auf intelligente Endgeräte überträgt oder auf diesen Geräten liest, gilt. So im übrigen auch die Art. 29 Gruppe in ihrer Stellungnahme WP 202 (PDF), dort S. 9.

Also, wenn sich nicht innerhalb der Verhandlungen zur DS-GVO etwas am Verhältnis zur ePrivacy-RL ändert oder hierzu eine Klarstellung erfolgt, gilt in Zukunft weiterhin ein uneinheitlicher Datenschutz in Europa, zumindest in Bezug auf die Erstellung von Nutzerprofilen über Cookies zu Werbezwecken unter Pseudonym. Happy level playing field!

Besuch von EU-Datenschützern: Google stimmt Vor-Ort-Kontrollen in den USA zu

Am 20. Februar 2015 gab die italienische Datenschutzbehörde bekannt, dass man sich im Rahmen eines Prüfverfahrens der Datenschutzrichtlinie des Suchmaschinenbetreibers Google und der Verarbeitung von personenbezogenen Daten von Nutzern, auf verschiedene Umsetzungs- und Änderungsmaßnahmen geeinigt habe, die von der Behörde vorgeschlagen wurden.

Danach wird Google bis zum Januar 2016 unter anderem die Art und die Form seiner Datenschutzhinweise überarbeiten. Die Informationen darüber, wie Google personenbezogene Daten verarbeitet sollen noch deutlicher und klarer abgefasst werden. Zudem soll der Suchmaschinenbetreiber auch die Einwilligung von Nutzern einholen, wenn deren Verhalten über verschiedene angebotene Dienste hinweg in Profilen gespeichert werden soll. Auch bei der Speicherdauer von Kundendaten soll Google nach den Wünschen den italienischen Datenschützer nachbessern. Insbesondere soll es in Zukunft festgelegte Zeiträume geben, nach denen nicht mehr erforderliche Nutzerdaten und Backups gelöscht werden müssen.

Google hat den durch die italienische Behörde vorgegebenen Änderungsmaßnahmen zugestimmt und hat nun bis Januar 2016 Zeit, diese umzusetzen. Um den Fortgang der Maßnahmen zu prüfen, erhält die italienische Datenschutzbehörde das Recht, Vor-Ort-Kontrollen am Hauptsitz des Suchmaschinenbetreibers in Kalifornien durchzuführen. Nach den Informationen der Behörde, ist dieses Vorgehen und auch das Zugeständnis von Google, die italienischen Datenschützer am Hauptsitz in den USA die Kontrolle der Änderungen zu ermöglichen, eine Premiere im europäischen Datenschutzrecht.

Das Verfahren der italienischen Behörde steht im Zusammenhang mit einer breiter angelegten Prüfaktion verschiedener Datenschutzbehörden in ganz Europa. Diese begannen mit der Einführung der neuen Datenschutzerklärung beim Suchmaschinenbetreiber im Jahre 2012. Erst kürzlich einigte sich Google etwa auch mit der Datenschutzbehörde in England (hierzu mein Beitrag). In Deutschland läuft derzeit noch ein Verfahren beim Hamburgischen Beauftragten für den Datenschutz.

Datenschutz und Lifestyle-Apps: Europäische Datenschützer fordern Schutz der Gesundheitsdaten

Sog. Lifestyle-Apps, mobile Anwendungen auf Smartphones, Uhren oder Armbändern, die den täglichen Alltag einer Person aufzeichnen und dann Analysen der gesammelten Daten bieten, erfreuen sich immer größerer Beliebtheit. Ein Stichwort ist das sog. „quantified self“.

Das bei diesen Entwicklungen eine Vielzahl an Informationen erhoben, verarbeitet und analysiert wird, dürfte jedem klar. Es geht ja dem Träger zumeist gerade darum, dass das Gerät oder eine App seinen Alltag aufzeichnet und er daraus Schlüsse, etwa zur Verbesserung der eigenen Gesundheit, ziehen kann.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der sog. Art. 29 Gruppe, haben nun eine kurze Stellungnahme veröffentlicht (PDF), in der sie auf die grundsätzliche Definition des Begriffs „Gesundheitsdaten“, die möglichen Risiken einer Verarbeitung solcher Daten und der gesetzlichen Grundlagen des Umgangs mit diesen Daten eingehen. Nachfolgend möchte ich einige der in dem Papier besprochenen Themenfelder kurz darstellen.

Was sind „Gesundheitsdaten“?
Weit überwiegend befassen sich die Datenschützer mit der Frage, was denn überhaupt genau sog. „Gesundheitsdaten“ sind. Denn Art. 8 Abs. 1 der europäischen Datenschutzrichtlinie (RL 95/46/EG) definiert nur die „besonderen Kategorien personenbezogener Daten“, worunter auch „Daten über Gesundheit“ fallen. Was jedoch hierunter zu verstehen ist, das lässt die Richtlinie offen. Auch das deutsche Datenschutzrecht definiert nur die Oberkategorie der „besonderen Arten personenbezogener Daten“ (§ 3 Abs. 9 BDSG). Hierunter fallen auch Angaben über die Gesundheit. Was aber unter den „Angaben über die Gesundheit zu verstehen ist, das wird nicht erläutert.

Die Art. 29 Gruppe geht davon aus, dass es in Europa bestimmte Arten von Informationen gibt, die ohne weiteres als Gesundheitsdaten angesehen werden. Hierzu gehören medizinische Daten, Daten über den physischen oder psychischen Zustand, die im Zusammenhang mit einem beruflichen, medizinischen Kontext entstehen. Nach Ansicht der Datenschützer fallen jedoch unter den Begriff der Gesundheitsdaten noch vielmehr Informationen. So etwa die Information, dass sich eine Person ein Bein gebrochen hat, dass eine Person eine Brille oder Kontaktlinsen trägt oder aber Informationen zu dem Trink- oder Rauchverhalten.

Grundsätzlich möchten die Datenschützer den Begriff der Gesundheitsdaten sehr weit auslegen. So ist es nach ihrer Ansicht gerade auch möglich, dass „rohe“ und für sich genommen völlig belanglose Daten, wie etwa die Information „Person X hat heute 4786 Schritt zurückgelegt“, in Kombination mit anderen Informationen, aus denen man dann auf den Gesundheitszustand schließen kann, zu Gesundheitsdaten werden. Die Kombination von neutralen Informationen und ihre Analyse zu Zwecken der Gesundheit führen also zur Entstehung von Gesundheitsdaten.

Gesetzliche Grundlage der Datenverarbeitung

Nach Art. 8 Abs. 1 RL 95/46/EG ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Dieses Verbot wird durch einzelne gesetzliche Erlaubnistatbestände durchbrochen, etwa wenn die Verarbeitung zum Zweck der Gesundheitsvorsorge oder der medizinischen Diagnostik erforderlich ist und die Verarbeitung durch ärztliches Personal erfolgt. Relevant für die Praxis und gerade für die hier angesprochenen Lifestyle-Apps ist insofern die ausdrücklich Einwilligung der betroffenen Person (Art. 8 Abs. 2 a) RL 95/46/EG bzw. § 4a Abs. 3 BDSG).
Wenn ein Anbieter eines Armbandes oder einer Lifestyle-App Gesundheitsdaten erhebt und verarbeitet, wird nach Ansicht der Art. 29 Gruppe häufig allein die Einwilligung der Nutzer die einzige Möglichkeit darstellen, um diese Daten rechtmäßig verarbeiten zu können.

Zu beachtende Datenschutzprinzipien

Daneben weisen die Datenschützer auf wichtige Prinzipien hin, die beim Umgang mit personenbezogenen Daten und gerade mit besonders sensiblen Gesundheitsdaten zu beachten sind. Insbesondere eine genaue Information der Betroffenen über die erhobenen und verarbeiteten Daten und die Zwecke der Verarbeitung ist hier wichtig. Dies auch vor dem Hintergrund, dass Voraussetzung einer wirksamen Einwilligung ist, dass sie „für den konkreten Fall und in Kenntnis der Sachlage erfolgt“. Die Informationen zum Umgang mit den Gesundheitsdaten müssen den Nutzern von Apps bereits vor der ersten Datenverarbeitung erteilt werden, also nach Ansicht der Art. 29 Gruppe bereits vor dem Download einer App. Daneben gilt es weitere Datenschutzprinzipien wie den Zweckbindungsgrundsatz und das Gebot der Datensparsamkeit zu beachten.