Kundentracking im Shopping-Center – Schweizer Datenschutzbehörde veröffentlicht Leitlinien

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat auf seiner Webseite eine Einschätzung zum Betrieb von Personentrackingsystemen veröffentlicht, die, wenn auch das Datenschutzrecht in der Schweiz keine direkte Umsetzung der europäischen Datenschutzrichtlinie darstellt, für die Anwendung des europäischen und deutschen Datenschutzrechts in solchen Szenarien interessant ist. Denn viele Vorgaben des schweizerischen Datenschutzrechts sind mit jenen des europäischen und deutschen Datenschutzrechts vergleichbar.

In seiner Analyse stellt der EDÖB zwei Varianten des Personentrackings dar und verweist darauf, dass die Variante, in der man an einem bestimmten Ort (z.B. am Eingang eines Einkaufszentrums oder auf der Autobahneinfahrt) bestimmte Merkmale der passierenden Objekte so erfasst, dass man sie an nachfolgenden Kontrollpunkten wiedererkennen und deren Bewegungen nachvollziehen kann, in der Praxis immer häufiger zum Einsatz komme.

Mit Blick auf die wichtige Frage, ob überhaupt personenbezogene Daten verarbeitet werden und dann die Regelungen des Datenschutzrechts eingreifen, geht der EDÖB davon aus, dass einige Systeme direkt personenbezogene Merkmale wie biometrische Gesichtsdaten oder Autokennzeichen erfassen, um Personen und Fahrzeuge beim Passieren der Kontrollpunkte wiederzuerkennen. Andere Systeme erfassen Daten der von den passierenden Personen getragenen Mobilfunkgeräte (IMSI- und TMSI-Nummern oder Mac-Adresse) und zeichnen so den Weg des Trägers auf. Hier ist der EDÖB der Auffassung, dass diese Daten zwar für sich nicht unbedingt einen Personenbezug aufweisen.

Jedoch kann sich der Personenbezug gerade aus den erstellten Bewegungsprofilen ergeben. Ein Beispiel: So unterscheiden sich beispielsweise die Bewegungsprofile des Verkaufspersonals in einem Ladengeschäft von denjenigen der Kunden. Bei kleineren Läden lässt sich so rasch ein Bewegungsprofil einem bestimmten Mitarbeiter zuordnen. Der EDÖB ist daher der Ansicht, dass auch bei diesen Systemen von der Verarbeitung personenbezogener Daten auszugehen ist.

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Nach Ansicht des EDÖB kommen vorliegend ein überwiegendes privates oder öffentliches Interesse der datenverarbeitenden Stelle oder die Einwilligung der Betroffenen in Betracht. Auch im europäischen und deutschen Datenschutzrecht kennen wir diese Erlaubnistatbestände.

Mit Blick auf die Einwilligung der Betroffenen verweist der EDÖB richtigerweise auf praktische Schwierigkeiten, um die Voraussetzungen einer wirksamen Einwilligung zu erfüllen. So müssen die betroffenen Personen, bevor sie einwilligen, angemessen über die fragliche Datenerhebung und -bearbeitung informiert werden. An Orten mit großem Publikumsverkehr, wo Menschen ständig in Bewegung sind, kann dies schwierig sein.

Als Erlaubnistatbestand kommt dann die Interessenabwägung in Frage, bei der die berechtigten Interessen der datenverarbeitenden Stelle oder Dritter mit jenen der Betroffenen abgewogen werden müssen. Nach Auffassung des EDÖB kann in den Fällen, in denen ein Personentrackingsystem z.B. zur Analyse von Personenströmen zur Verbesserung der Sicherheit in Flughäfen oder Bahnhöfen eingesetzt wird, von einem überwiegenden öffentlichen Interessen ausgegangen werden, sofern dabei nicht das Verhalten bestimmter Personen analysiert wird. Dasselbe gilt für die Analyse von Verkehrsströmen auf Autobahnen zur Vermeidung von Staus.

Komplizierter wird es jedoch, wenn das Tracking personenbezogen zum Zwecke der Werbung erfolgen soll. Zwar sieht es der EDÖB auch noch als zulässig an, wenn mit dem System Kundenfrequenzen gemessen oder das durchschnittliche Verhalten von Kundenkategorien analysiert werden soll. Kein Rechtfertigungsgrund bestehe jedoch in der Regel für Auswertungen des persönlichen Verhaltens bestimmter Personen, um diesen z.B. massgeschneiderte Werbung zuzustellen.

Daneben sind weitere Vorgaben des Datenschutzrechts, wie die Pflicht, personenbezogene Daten zu löschen, wenn deren Verarbeitung für den festgelegten Zweck nicht mehr erforderlich ist, oder auch die generelle Informationspflicht zu beachten.

Like-Button vor dem EuGH: OLG Düsseldorf möchte wissen, wer verantwortlich ist

Im Verfahren zwischen der Verbrauchzentrale Nordrhein-Westfalen (VZNRW) und der Fashion ID GmbH & Co. KG (ein Unternehmen der Unternehmensgruppe Peek & Cloppenburg KG) zur datenschutzrechtlichen Zulässigkeit der Einbindung des Facebook Like-Buttons auf einer Webseite, hat das OLD Düsseldorf das Verfahren ausgesetzt und dem EuGH mehrere interessante Datenschutzfragen vorgelegt (Beschluss vom 19.01.2017 – I-20 U 40/16; derzeit leider noch nicht frei zugänglich). Die Vorinstanz, das LG Düsseldorf, hatte Fashion ID u.a. dazu verurteilt, die Einwilligung von Webseitenbesuchern einzuholen, bevor über das Plugin die IP-Adresse der Besucher an Facebook übermittelt wird (Urt. v.  09.03.2016 – 12 O 151/15; hier mein Blogbeitrag zu dem Urteil).

Facebook ist dem dem Rechtsstreit auf Seiten der Beklagten beigetreten. Das OLG Düsseldorf legt dem EuGH mehrere interessante Fragen zur Auslegung der geltenden EU-Datenschutzrichtlinie (RL 95/46/EG) vor.

Zunächst möchte das Gericht aber einmal wissen, ob denn die VZNRW überhaupt klagebfugt ist. Das LG Düsseldorf hatte dies noch, auf der Grundlage von § 8 Abs. 3 Nr. 3 UWG bejaht und angenommen, die Datenschutzvorschriften des TMG seien Marktverhaltensvorschriften. Fashion ID argumentiert, dass dieses Verständnis nicht in Einklang mit der RL 95/46/EG stehe. Eine Verbandsklage sei dort nicht vorgesehen. Die Richtlinie stelle insoweit eine abschließende Regelung dar. Interessant ist diese Vorlagefrage vor allem mit Blick auf das (nicht mehr ganz) neue Verbandsklagerecht in Deutschland. Das OLG Düsseldorf lässt in seinem Beschluss  erkennen, dass es davon ausgeht, dass eine solche Verbandsklagebefugnis der RL 95/46/EG nicht entgegensteht.

Natürlich möchte das OLG dann wissen, ob der Webseitenbetreiber, der das Plugin (also Code) einbindet, datenschutzrechtlich die „verantwortliche Stelle“ ist. Hier tendiert das OLG in seiner Begründung dazu, diese Verantwortlichkeit abzulehnen und verweist dazu auch auf den Vorlagebeschluss des BVerwG zu dem ebenfalls beim EuGH anhängigen Verfahren zu Facebook Fanpages.

Eine Stelle, die weder einen rechtlichen, noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, könne nicht als für die Verarbeitung Verantwortlicher angesehen werden (BVerwG Beschl. v. 25.02.2016, 1 C 28/14 Rn. 27, beim Gerichtshof anhängig unter C-210/16).

Das OLG Düsseldorf führt dazu richtigerweise aus, dass die gegenteilige Auffassung, allein durch die Einbindung von Dritten bereitgestellter Inhalte werde auch der Einbindende „für die Verarbeitung Verantwortlicher“ praktisch datenschutzrechtlich eine derartige Einbindung unmöglich mache. Denn der hierdurch ausgelöste Datenverarbeitungsvorgang ist für den Einbindenden nicht zu kontrollieren.

Interessant ist dann die Anschlussfrage des OLG, wenn keine datenschutzrechtliche Verantwortlichkeit angenommen wird. Man könnte dann nämlich über eine (m.E. abzulehnende Anwendung der Figur des „Störers“) nachdenken. Insofern stellt sich dann die Frage, ob Art. 2 Buchst. d) RL 95/46/EG insofern abschließend ist, als eine zivilrechtliche Haftung für von Dritten zu verantwortenden Datenschutzverstößen ausgeschlossen ist und die Haftung auf die Verantwortlichen beschränkt ist.

Wie auch das Vorlageverfahren des BVerwG (C-210/16), so ist auch dieses Verfahren von praktischer Relevanz. Im hiesigen Verfahren am OLG insofern eventuell in einer noch gesteigerten Form, da in der Praxis sowohl auf Webseiten und in Apps massenweise tagtäglich Plugins eingebunden werden. Eine datenschutzrechtliche Klärung ist daher zu begrüßen. Eventuell muss man sich aber mit dem Gedanken anfreunden, dass ein Urteil des EuGH erst nach dem 25. Mai 2018 und damit erst dann gefällt wird, wenn die Datenschutz-Grundverordnung (DSGVO) anwendbar ist und die RL 95/46/EG nicht mehr existiert. Nichtsdestotrotz ist die Frage nach der datenschutzrechtlichen Verantwortlichkeit und auch ein möglicher Rückgriff auf die Figur der Störerhaftung auch unter der DSGVO relevant.

Privacy Shield: Europäische Datenschützer veröffentlichen Leitfaden für Unternehmen

Die Art. 29 Datenschutzgruppe, die Versammlung der nationalen Datenschutzbehörden, hat am 13. Dezember 2016 ein Papier mit Fragen und Antworten (FAQ) zur praktischen Handhabe des EU-US Datenschutzschildes (Privacy Shield) für europäische Unternehmen veröffentlicht (pdf).

Unter anderem geben die europäischen Datenschützer darüber Auskunft, was ein europäisches Unternehmen zu beachten hat, bevor es personenbezogenen Daten an ein US-Unternehmen übermittelt, welches unter dem Privacy Shield zertifiziert ist.

Prüfung der Zertifizierung und umfasster Datenkategorien

Zum einen müssen sich europäische Unternehmen vergewissern, dass das US-Unternehmen eine aktive Zertifizierung besitzt und zum anderen, dass diese Zertifizierung auch die der geplanten Übermittlung zu Grunde liegenden Daten (eine wichtige Unterscheidung besteht hier zwischen Daten von Mitarbeitern und anderen personenbezogenen Daten) umfasst. Um diese Prüfung vorzunehmen, müssen europäische Unternehmen die Zertifizierung des jeweiligen amerikanischen Unternehmens auf der Webseite des US-Handelsministeriums verifizieren: https://www.privacyshield.gov/welcome

Sollte ein amerikanisches Unternehmen nicht in dieser Liste verzeichnet sein, bestehen dennoch Möglichkeiten, personenbezogene Daten an dieses Unternehmen zu übertragen. Hierauf weisen die europäischen Datenschützer auch ausdrücklich in ihrer Leitlinie hin. Insbesondere können die EU-Standardvertragsklauseln zum Einsatz kommen.

Amerikanisches Unternehmen als Verantwortlicher

Werden personenbezogene Daten an ein amerikanisches Unternehmen übermittelt, welches in der Rolle eines datenschutzrechtlich Verantwortlichen („controller“) agiert, muss das europäische Unternehmen dafür Sorge tragen, dass für den Verarbeitungsvorgang der Übermittlung europäisches Datenschutzrecht eingehalten wird. Insbesondere bedeutet dies, dass für die Übermittlung ein Erlaubnistatbestand (etwa eine Einwilligung oder ein Vertrag) vorhanden sein muss. Zudem weisen die europäischen Datenschützer darauf hin, dass auch alle übrigen Voraussetzungen für eine zulässige Datenverarbeitung erfüllt sein müssen, wie etwa die Erfüllung von Informationspflichten und das Prinzip der Zweckbindung.

Nach Auffassung der europäischen Datenschützer muss ein europäisches Unternehmen, wenn es personenbezogene Daten an ein amerikanisches Unternehmen übermittelt, welches unter dem Privacy Shield zertifiziert ist, betroffene Personen über die Identität der jeweiligen Datenempfänger und über die Tatsache, dass die übermittelten personenbezogenen Daten unter dem Schutz des Privacy Shield übermittelt werden, informieren. Ob ein europäisches Unternehmen jedoch tatsächlich über die konkrete Identität eines amerikanischen Unternehmens als Empfänger von Daten informieren muss, lässt sich meines Erachtens hinterfragen. So erfordert Art. 10 EU-Datenschutzrichtlinie, dass über die Empfänger oder Kategorien der Empfänger der Daten zu informieren ist. Auch die Information über Kategorien ist also ausreichend. Eine andere Frage ist freilich, ob das amerikanische Unternehmen selbst dazu verpflichtet ist, die betroffenen Personen zu informieren. Eine solche Pflicht besteht nach den Datenschutzgrundsätzen des Privacy Shield (Anhang II, II. Grundsätze, Ziffer 1.).

Amerikanisches Unternehmen als Auftragsverarbeiter

Von besonderem Interesse für europäische Unternehmen dürften zudem die Leitlinien der europäischen Datenschützer für Situationen sein, in denen das amerikanische Unternehmen als Auftragsverarbeiter („processor“) agiert. In einem solchen Fall sind beide Unternehmen dazu verpflichtet, einen Vertrag zur Auftragsverarbeitung abzuschließen. Dieser Hinweis, der sich auf Art. 17 EU-Datenschutzrichtlinie stützt, ist wichtig. Denn dies bedeutet, dass etwa ein deutsches Unternehmen nicht einfach personenbezogene Daten an ein amerikanisches Unternehmen, welches unter dem Privacy Shield zertifiziert ist, übermitteln darf, wenn dieses Unternehmen als Auftragsverarbeiter agiert. Zusätzlich ist vielmehr der Abschluss eines Vertrages zur Auftragsverarbeitung erforderlich. Diese Voraussetzung gilt im Übrigen auch unabhängig davon, ob das empfangende Unternehmen unter dem Privacy Shield zertifiziert ist.

Die europäischen Datenschützer weisen in ihren Leitlinien zudem darauf hin, dass jeweiliges nationales Datenschutzrecht noch zusätzliche Anforderungen an diesen Vertrag aufstellen kann. Grundsätzlich empfehlen die europäischen Datenschützer zudem, dass ein europäisches Unternehmen in einem solchen Vertrag festlegt, ob es mit einer Einschaltung von Unterauftragsverarbeitern durch das amerikanische Unternehmen einverstanden ist oder nicht.

Internationale Datentransfers: EU Kommission ändert Angemessenheitsbeschlüsse und Standardvertragsklauseln

Gestern habe ich hier im Blog noch darüber berichtet, dass die geltenden Angemessenheitsbeschlüsse für das Schutzniveau personenbezogener Daten in Drittstaaten als auch die Beschlüsse zu den geltenden EU Standardvertragsklauseln überarbeitet wurden und die europäischen Datenschützer (Art. 29 Datenschutzgruppe) im Rahmen dieser Überarbeitung eine interessante Stellungnahme abgegeben haben.

Nun wurde ich darauf aufmerksam gemacht, dass die finalen Durchführungsbeschlüsse der Kommission am 17. Dezember 2016 im Amtsblatt der Europäischen Union veröffentlicht wurden. Zur Änderung der Beschlüsse über die Standardvertragsklauseln und zur Änderung der Beschlüsse über die Angemessenheit des Schutzes personenbezogener Daten in bestimmten Drittländern.

Die an den geltenden Beschlüssen vorgenommenen Ergänzungen betreffen jeweils Artikel, die sich mit den Befugnissen der nationalen Datenschutzbehörden befassen.

In den Beschlüssen zu den Standardvertragsklauseln wird jeweils Artikel 4 angepasst. Die Ausübung der Befugnisse der Datenschutzbehörden, insbesondere im Fall einer Untersagung eines Datentransfers in einen Drittstaat, wird nun nicht mehr von bestimmten Voraussetzungen abhängig gemacht, die erfüllt sein müssen, bevor die Befugnis ausgeübt werden kann. In seinem Schrems-Urteil hatte der Europäische Gerichtshof diese Beschränkung der Befugnisse der nationalen Behörden kritisiert und die Safe Harbor-Entscheidung unter anderem aus diesem Grund für ungültig erklärt. Nach den neuen Artikeln 4 müssen die Mitgliedstaaten die Europäische Kommission nun nur noch informieren, wenn eine Aufsichtsbehörde einen Datentransfer, der auf der Grundlage von Standardvertragsklauseln stattfindet, untersagt.

Wichtig, insbesondere für die Praxis, dürfte der Hinweis sein, dass der Text der Standardvertragsklauseln selbst, also jener Teil der Beschlüsse der Kommission, der von den Parteien, die Daten austauschen, zu unterzeichnen ist, nicht abgeändert wird. Die Änderungen beziehen sich nicht auf den Vertrag selbst, sondern auf das dahinterliegende System der Überwachung, Prüfung und Durchsetzung der europäischen Regelungen durch die nationalen Behörden.

Eine solche angepasste Regelung findet sich nun auch in den jeweiligen Angemessenheitsentscheidung der Kommission zum Schutzniveau in Drittstaaten. Dort wird jeweils Artikel 3 angepasst. Zudem wird jedoch in einem neuen Artikel 3a die Kommission dazu verpflichtet, die Entwicklungen in der Rechtsordnung des jeweiligen Drittstaates laufend zu überwachen, die die Funktionsweise der jeweiligen Angemessenheitsentscheidung beeinträchtigten könnten. Zudem werden die Kommission aber auch die Mitgliedstaaten dazu verpflichtet, sich gegenseitig zu unterrichten, wenn Anhaltspunkte dafür vorliegen, dass Eingriffe der Behörden des jeweiligen Drittstaates in das Recht von Privatpersonen den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen in den Drittstaat besteht.

Europäische Datenschützer: Geltende Angemessenheitsbeschlüsse für Drittstaaten wohl ungültig

Wie hier im Blog berichtet, werden derzeit sowohl die geltenden Angemessenheitsentscheidungen der Europäischen Kommission für das Schutzniveau in Drittstaaten als auch die Beschlüsse zu den geltenden EU-Standardvertragsklauseln überarbeitet. Hintergrund dieser Anpassungen ist das Urteil des EuGH im Fall Schrems (C-362/14).

Dieser Prozess scheint dem Grunde nach bereits abgeschlossen zu sein. Denn im zuständigen Art. 31 Ausschuss haben die Mitgliedstaaten schon über die Entwürfe zur Anpassung der geltenden Beschlüsse (positiv) abgestimmt. Leider sind die neu gefassten Beschlüsse immer noch nicht veröffentlicht. Mir selbst liegen nur die Entwürfe vor, über die im Art. 31 Ausschuss abgestimmt wurde, die dann aber wieder von der Webseite entfernt wurden. Über die Ergänzungen in den jeweiligen Beschlüssen habe ich hier berichtet.

Im Zuge der Beratungen zu den Änderungen an den geltenden Beschlüssen wurde auch die Art. 29 Datenschutzgruppe um eine Stellungnahme gebeten. Diese Stellungnahme ist hier abrufbar (pdf).

Zunächst kritisieren die Datenschützer die sehr kurz bemessene Frist, in der sie zu den Änderungen der Beschlüsse Stellung nehmen sollen. Dies vor allem aus dem Grund, weil die Änderungen die Rechte der Datenschutzbehörden betreffen.

Danach weisen die Datenschützer darauf hin, dass die Kommission mit den Anpassungen den Zweck verfolge, die Vorgaben des EuGH im Schrems-Urteil vollständig umzusetzen. Jedoch bemängeln die Datenschützer, dass die vorgeschlagenen Änderungen gerade keine vollständige Umsetzung der Kritik des EuGH darstellen. Zwar sollen die Befugnisse der Behörden zur Untersagung von Datentransfers nun nicht mehr von bestimmten Bedingungen abhängig gemacht werden. Dies war jedoch nur ein Grund, warum der EuGH die Safe Harbor-Entscheidung für ungültig erklärte.

Daneben wurde die Entscheidung gerade auch deshalb aufgehoben, weil die Kommission keine Feststellungen dazu traf, dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“. Die Datenschützer weisen darauf hin, dass diese erforderlichen Feststellungen ebenfalls nicht in anderen, derzeit gültigen, Angemessenheitsentscheidungen für Drittstaaten wie die Schweiz, Kanada oder Israel enthalten sind und diese Entscheidungen daher wohl nicht die Anforderungen des EuGH erfüllen und in der Konsequenz, falls sie angefochten werden würden, wohl auch für ungültig erklärt werden könnten.

The assessment made by the Commission as to the compliance with this requirement does not seem sufficient to meet the requirements stated by the CJEU in the Case C-362/147 and could jeopardize their legal validity possibly leading to a referral to a competent Court.

Die Art. 29 Gruppe fordert die Kommission daher auf, die erforderlichen Feststellungen für die betreffenden Drittländer so schnell wie möglich vorzunehmen.

Entwurf der ePrivacy-Verordnung: Erste Anmerkungen

Auf der Webseite von politico.eu wurde gestern ein Entwurf für eine neue ePrivacy-Verordnung der Europäischen Kommission veröffentlicht (pdf). Diese Verordnung soll die bisher geltende Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG in der Fassung durch RL 2009/136/EG) ersetzen und inhaltlich mit der bereits in Kraft getretenen Datenschutz-Grundverordnung abstimmen.

Ob es sich bei dem nun veröffentlichten Entwurf tatsächlich um den letzten Stand handelt oder wie am Ende der offiziell veröffentlichte Entwurf für eine ePrivacy-Verordnung (ePrivacy-VO) aussieht, lässt sich momentan noch nicht sagen. Daher sollte man in jedem Fall im Hinterkopf behalten, dass es auch noch inhaltliche Änderungen an diesem Entwurf geben kann. Nichtsdestotrotz möchte ich nachfolgend einige interessante Aspekte der vorgeschlagenen Verordnung ansprechen.

Verhältnis zur Datenschutz-Grundverordnung (DSGVO)

Sowohl aus den Erwägungsgründen (5 und 7) als auch aus den Artikeln des Entwurfs (insbesondere Art. 1 Abs. 3) wird deutlich, dass die geplante ePrivacy-VO die speziellere Regelung gegenüber der DSGVO sein wird. Soweit also der Anwendungsbereich der ePrivacy-VO eröffnet ist, tritt die DSGVO zurück. Da die ePrivacy-VO jedoch weit weniger umfassende Regelungen trifft als die DSGVO, werden viele Vorgaben der DSGVO die Lücken in der ePrivacy-VO füllen. Dies betrifft etwa die Rechte der Betroffenen (vgl. Ziffer. 1.2. ePrivacy-VO).

Keine Regelung zur Vorratsdatenspeicherung

Ausdrücklich macht die Kommission in ihren Verordnungsentwurf klar, dass sie keine spezifischen Vorgaben zu einer Speicherung von Daten auf Vorrat vorsieht (Ziffer 1.3.; am Ende). Die Kommission stellt doch gleichzeitig klar, dass die Mitgliedstaaten weiterhin die Möglichkeit besitzen, nationale Regeln zu einer Vorratsdatenspeicherung beizubehalten oder zu kreieren.

Anwendungsbereich der ePrivacy-VO

Nach Art. 2 Abs. 1 soll die Verordnung für die Verarbeitung elektronischer Kommunikationsdaten im Zusammenhang mit der Bereitstellung und Benutzung elektronischer Kommunikationsdienste gelten. Hiervon umfasst sind nach der Begriffsbestimmung in Art. 4 Abs. 2 lit. (b) sowohl Inhalts- als auch Metadaten.

Wichtig ist zudem der Hinweis darauf, dass sich der Anwendungsbereich nach Art. 2 Abs. 1 auch allein auf „Informationen“ erstreckt, die sich auf die Endgeräteinrichtungen von Endnutzern beziehen. Umfasst sind damit von der Verordnung also nicht nur klassische Kommunikationsdaten.

Räumlich soll die ePrivacy-VO, den Regelungen der DSGVO entsprechend, einen weiten Anwendungsbereich haben (vergleiche Art. 3). Insbesondere ist sie anwendbar auf die Verarbeitung elektronischer Kommunikationsdaten im Zusammenhang mit der Bereitstellung von elektronischen Kommunikationsdiensten in der Europäischen Union, unabhängig davon, ob die Verarbeitung selbst in der Europäischen Union stattfindet oder nicht. Der räumliche Anwendungsbereich erstreckt sich auch auf den Schutz von Informationen bezogen auf Endgeräte von Nutzern, die sich in der Europäischen Union befinden (vgl. Art. 3 Abs. 1 lit (a)).

Räumlich ist die ePrivacy-VO auch auf eine Verarbeitung elektronischer Kommunikationsdaten anwendbar, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste außerhalb der Europäischen Union an Endnutzer in der Europäischen Union steht. Auch diese Regelung erinnert an die neuen Vorgaben der DSGVO (vgl. Art. 3 Abs. 1 lit. (b).

Neue Pflichten für OTT-Dienste

Im Rahmen der Diskussionen zu der Neuregelung der ePrivacy-VO wurde stets auch eine Erweiterung des Anwendungsbereichs auf sogenannte OTT-Dienste erörtert. Diese Erweiterung soll nun tatsächlich mit der ePrivacy-VO kommen. Nach Auffassung der Kommission (siehe Erwägungsgrund 13) hat die bisherige Situation, dass Anbieter von over-the-top-Diensten nicht den Pflichten der bisher geltenden ePrivacy-Richtlinie Unterlagen, dazu geführt, dass ein unzureichender Schutz der Vertraulichkeit der Kommunikation existierte. Aus diesem Grund müsse der Anwendungsbereich der existierenden Richtlinie mit der nun vorliegenden Verordnung erweitert werden.

Internet der Dinge und Industrie 4.0

Ausdrückliche Erwähnung findet in den Erwägungsgründen (14) auch das Internet der Dinge vernetzte Geräte und Maschinen. Der Fokus der Kommission liegt im Rahmen dieses Entwurfs jedoch nicht nur auf eine Kommunikation zwischen Maschine und einem Endbenutzer sondern ausdrücklich auch auf der Kommunikation zwischen zwei Maschinen. Informationen, die im Rahmen der vernetzten Industrie und auch verletzter Haushaltsgeräte zwischen zwei Geräten ausgetauscht werden, können auch personenbezogene Daten im Sinne der DSGVO enthalten.

Um dem Schutz der Privatsphäre und auch der vertraulichen Kommission größtmögliche Rechnung zu tragen stellt die Kommission klar, dass die ePrivacy-VO auch für die Maschine-Maschine-Kommunikation und damit also auch für den Informationsaustausch zwischen vernetzten Geräten selbst, etwa im Rahmen der Industrie 4.0, Anwendung findet.

„Cookie-Regelung“

Eines der umstrittensten Themen bereits unter der geltenden ePrivacy-Richtlinie und dann auch im Zuge der Diskussion um deren Überarbeitung war die Frage nach dem regulatorischen Umgang mit Cookies und anderen Techniken, mit denen auf Informationen in Endgeräten von Nutzern zugegriffen wird bzw. Informationen auf Endgeräten von Nutzern abgelegt werden.

Vorgaben hier zu finden sich in Art. 8 ePrivacy-VO. Grundsätzlich soll nach Art. 8 Abs. 1 verboten sein, die Rechen- und Speicherleistung eines Endgerätes zu nutzen und auch Informationen über Endgeräte eines Endnutzers (einschließlich Informationen über Software und Hardware) zu erheben.

Von diesem Grundsatz gibt es einige wenige Ausnahmen. Unter anderem dann, wenn es erforderlich ist für den alleinigen Zweck der Übertragung der Kommunikation über ein elektronisches Kommunikationsnetzwerk oder aber wenn der Endnutzer zuvor dieser Datenerhebung oder der Nutzung der Speicherkapazität seines Endgeräts zugestimmt hat.

Nicht erforderlich ist eine Einwilligung beim Einsatz von Cookies auch dann, wenn ihre Verwendung für die Nutzung eines bestimmten Dienstes erforderlich ist und ausdrücklich von dem Endbenutzer gewünscht wird. In Erwägungsgrund 25 wird beispielhaft ein Cookie zur Personalisierung einer Benutzeroberfläche erwähnt, insbesondere etwa auch um Spracheinstellungen zu speichern. Hierzu gehören nach dem Erwägungsgrund 25 auch solche Cookies, die die Eingaben von Nutzer speichern, während dieser über mehrere Webseiten hinweg Formulare ausfüllt.

Insgesamt sind die Erwägungsgründe 25 bis 28 durchaus lesenswert. In Erwägungsgrund 26 wird konstatiert, dass derzeit sich die Nutzer im Internet bei der Erteilung von Einwilligungen einer Informationsüberflutung gegenübersehen und daher zum Einsatz zentralisierter, transparenter und benutzerfreundlicher Einstellungen zur Privatsphäre „ermutigt“ werden soll. Grundsätzlich wird auch klargestellt, dass die Einstellungen im Browser oder in der Anwendung durch einen Nutzer als Einwilligung in die Verarbeitung von Daten angesehen werden kann.

Interessant ist die neue Regelung in Art. 8 Abs. 2. Diese befasst sich mit dem oben bereits erwähnten erweiterten Anwendungsbereich der ePrivacy-VO auf die Maschinen-Maschinen-Kommunikation und dem Internet der Dinge. Nach Art. 8 Abs. 2 ist der Erhebung von Daten (Achtung: nicht etwa nur elektronischen Kommunikationsdaten), die von Endgeräten ausgesendet werden, um eine Verbindung mit einem anderen Gerät oder einem Netzwerk herzustellen, ebenfalls grundsätzlich ausgeschlossen. Auch hier bestehen jedoch Ausnahmen. Die Erhebung solcher Daten ist dann gestattet, wenn dies ausschließlich dem Zweck einer Verbindungsaufbau zwischen den Geräten dient. Außerdem ist Erhebung und Nutzung solcher Daten auch für Werbezwecke möglich (Art. 8 Abs. 2 lit. (b)), jedoch ist hierfür erforderlich, dass ein klarer und deutlicher Hinweis über die Umstände der Erhebung, die Zwecke, den Verantwortlichen und jene Maßnahmen erteilt wird, die Endbenutzer der Endgeräte unternehmen können, um den Erhebungsumfang zu verringern. Sollten solche Daten für Werbezwecke oder das Pro feilen genutzt werden, so hat der Nutzer ein Widerspruchsrecht wie dies in Art. 21 DSGVO vorgesehen ist.

Zusätzlich, und dies ist insbesondere auch für Unternehmen im Bereich der Industrie 4.0 und der vernetzten Geräte interessant, müssen angemessene technische und obligatorische Maßnahmen getroffen werden um ein angemessenes Sicherheitsniveau zu schaffen. Auch hier verweist der Verordnungsentwurf auf die DSGVO, nämlich Art. 32.

Beschränkungen durch die Mitgliedstaaten

Nach Art. 11 ePrivacy-VO  ist es den Mitgliedstaaten jedoch auch gestattet, in gewissen Grenzen die Rechte und Pflichten welche in den Artikeln 5,6, 7 und 8 vorgesehen sind zu begrenzen. Diese Möglichkeit der Beschränkung erinnert ebenfalls an jene in der DSGVO. Auch hier dürfte sich da das Problem ergeben, dass es zur abweichenden Regelung in den verschiedenen Mitgliedstaaten kommen kann, und der Harmonisierungseffekt der Verordnung zumindest nur bis zu einem gewissen Grad erreicht wird.

Einwilligung

Was die Einwilligung anbelangt, so verweist die ePrivacy-VO  auf die Vorgaben der DSGVO. Dennoch sieht Art. 9 ePrivacy-VO einige Spezialitäten bei der Einwilligung vor. So wird etwa ausdrücklich darauf hingewiesen, dass die Einwilligung auch durch die Nutzung angemessener technischer Einstellungen von Softwareprodukten erteilt werden kann, die den Zugang zum Internet ermöglichen. Hier scheint die Europäische Kommission also insbesondere Webbrowser im Blick zu haben.

Zudem sollen Nutzer, die in die Verarbeitung elektronischer Kommunikationsdaten eingewilligt haben, stets die Möglichkeit haben, ihre Einwilligung mit Wirkung für die Zukunft zu widerrufen und zusätzlich in periodischen Intervallen von 6 Monaten diese Widerrufsmöglichkeit haben. Diese letzte Verpflichtung erscheint jedoch etwas unverständlich, da ja ohnehin stets eine Widerrufsmöglichkeit existiert. Die Vorgabe einer periodischen Widerrufsmöglichkeit alle 6 Monate lässt sich daher eventuell nur so verstehen, dass das Unternehmen alle 6 Monate den jeweiligen Nutzer darauf hinweisen muss, dass er seine Einwilligung widerrufen kann.

Privacy by Design

In Erwägungsgrund 28 wird vorgesehen, dass Softwareanbieter dazu verpflichtet werden sollten, Software am Markt nur mit Privatsphäre-freundlichen Einstellungen zu vertreiben. Insbesondere hiervon umfasst sind Anbieter von Webbrowsern oder andere Software, mit denen man im Internet surfen kann. Zudem möchte die Kommission vorsehen, dass Nutzer beim 1. Aktivieren der Software ihre Privatsphäre Einstellungen wählen müssen. Nimmt ein Nutzer dann keine Einstellungen vor, soll der Webbrowser die Voreinstellung besitzen, dass er jegliche Speicherung durch Cookies von Dritten oder andere Art von Zwecken nicht gestattet.

In Art. 10 befasst sich die ePrivacy-VO ausdrücklich mit dem Prinzip des Privacy by Design. Nach Abs. 1 müssen die Einstellungen aller Komponenten eines Endgerätes, welches im europäischen Markt vertrieben wird, als Grundeinstellung vorsehen, dass Dritte keine Informationen auf dem Endgerät speichern können oder Informationen aus diesem Endgerät erheben können. Für Softwareanbieter sieht Abs. 2 eine ähnliche Verpflichtung vor.

Bei den Verpflichtungen des Art. 10 fragt man sich freilich, welche Pflichten Adressaten hier angesprochen sind. Denn bei dem Hersteller eines Endgerätes oder bei dem Softwarehersteller muss es sich nicht stets um den Anbieter eines elektronischen Kommunikationsdienstes handeln. Der Anwendungsbereich der ePrivacy-VO erstreckt sich nach ihm Art. 2 Jahr aber grundsätzlich nur auf die Verarbeitung elektronischer Kommunikationsdaten oder aber zumindest die Verarbeitung von „Informationen“ in Bezug auf Endgeräte. Die in Art. 10 beschriebenen Pflichten setzen aber bereits in der Produktionskette eher an. Man wird hier abwarten müssen, ob es noch eine entsprechende Anpassung des Art. 10 gibt.

Vorgaben für Werbung

Wie bisher wird auch die ePrivacy-VO gewisse Regelungen zur Nutzung elektronischer Kommunikationsdienste für Werbezwecke vorsehen. Grundsätzlich soll nach Art. 16 Abs. 1 die Nutzung elektronischer Kommunikationsdienste für den Zweck der Übertragung von Direktwerbung nur nach vorheriger Einwilligung des Endnutzers gestattet sein.

Art. 16 Abs. 2 macht hiervon eine Ausnahme für den bereits jetzt bekannten Fall, dass eine Kundenbeziehung zwischen den werbenden und dem Endnutzer existiert. Ausdrücklich wird jedoch darauf Bezug genommen dass es sich um ein „Kunden“ handeln muss und etwa ein Unternehmen von diesem elektronische Kontaktdaten im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung erhalten hat. Dieser Schritt der Erhebung der elektronischen Kontaktdaten unterliegt nach Art. 16 Abs. 2 der DSGVO und muss den Vorgaben eben dieser entsprechen. Grundsätzlich hat der Kunde dann auch jederzeit ein Recht, der Direktwerbung zu widersprechen.

Aufsichtsbehörden und Kooperation

Zudem ist noch darauf hinzuweisen, dass Art. 19 ePrivacy-VO vorsieht, dass die Regelungen des Kapitels 2 der ePrivacy-VO durch die nationalen Datenschutzbehörden überwacht werden sollen. Art. 19 Abs. 2 verweist ja ausdrücklich auf die Aufsichtsbehörden, welche auch für die Überwachung der Einhaltung der DSGVO zuständig sind.

Diese ausdrückliche Zuweisung ist insbesondere deshalb interessant, weil sie einmal inhaltlich wichtige Pflichten der geplanten ePrivacy-VO umfasst, wie die Vorgaben zur Einwilligung, zur Zulässigkeit der Verarbeitung elektronischer Kommunikationsdaten, zum Einsatz von Cookies und anderen ähnlichen Technologien oder auch zu den Vorgaben des Privacy by Design. In Deutschland wären dann alle Landesaufsichtsbehörden und nicht etwa nur exklusiv die Bundesbeauftragte für den Datenschutz im Rahmen ihrer Zuständigkeit für Telekommunikationsunternehmen, für die Überwachung und Durchsetzung des Kapitels II der ePrivacy-VO zuständig.

Bußgelder

In Art. 25 werden die Vorgaben für die Verhängung von Bußgeldern beschrieben. Diese sind in weiten Teilen an jene Regelungen der DSGVO angelehnt. Dies bedeutet gleichzeitig auch, dass die Höhe der möglichen Bußgeldbeträge auf 4 % des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres eines Unternehmens festgesetzt wird.

Ab wann ist die ePrivacy-VO anwendbar?

Auf diese Frage findet sich in dem Entwurf noch keine Antwort. Im Unterschied zu DSGVO ist jedoch in Art. 31 Abs. 2 vorgesehen, dass die ePrivacy-VO 6 Monate nach dem Datum des Inkrafttretens anwendbar sein soll. Die Übergangszeit ist hier also deutlich kürzer bemessen als mit Blick auf die zwei Jahre bei der DSGVO. Dies ist im Endeffekt aber auch konsequent, da es der Plan der europäischen Kommission sein wird, die DSGVO und auch die neue ePrivacy-VO dem Grunde nach zeitgleich zur Anwendung zu bringen. Die kürzere Frist zur Umstellung auf die neuen Vorgaben der ePrivacy-VO bedeutet für Unternehmen aber gleichzeitig auch erhöhten Anpassungsbedarf und –druck.

International Data Transfers: New Commission Decisions on Standard Contractual Clauses and Adequacy Decisions

As reported in my blog, the European Commission revised both the current decisions on the EU standard contractual clauses (EU Model Clauses) as well as the adequacy decisions on the level of protection of personal data in third countries. In the course of these adjustments, which the European Commission had to discuss with the representatives of the Member States in the so-called Article 31 Committee, the Commission has, inter alia, stated that the decisions in force concerning the standard contract clauses and also the adequacy of the level of protection in Third countries, in their current version are unlawful.

The two new decisions by the European Commission are based on the judgement of the ECJ in its Safe Harbor ruling (C-362/14). The judges found, inter alia, that current provisions in the decisions for the adequacy in third countries as well as the EU Model Clauses restrict the powers of the national supervisory authorities and such a restriction by the Commission is not allowed. The Commission therefore exceeds its competence with its decisions currently in force.

On 15 November, Article 31 Committee met to discuss and vote on the draft decisions to amend the provisions in force. The Commission’s Decisions for the adaptation of the adequacy decisions and the EU standard contractual clauses were available on the website of the EU Comitology Register last week. Unfortunately, the draft decisions are currently not available any more. I hope that the two decisions will be published shortly on the official website for international data transfers of the European Commission.

According to the summary record of the meeting on 15 November, the Article 31 Committee delivered a positive opinion on the two draft implementing decisions (txt).

In terms of content, the adjustments that are to be made to the respective decisions are quite similar. In each case, the article which makes the exercise of the powers of the supervisory authorities (in particular the prohibition of the transfer of data to a third country) conditional on the fulfillment of certain requirements will be deleted. In the decisions on the standard contract clauses (2001/497/EC, 2010/87/EC) Article 4 is replaced by a revised Article 4. The additional preconditions for the prohibition of data transfers will be deleted and the Member States will now only be obliged to notify the Commission if a supervisory authority forbids the transfer of data to a third country.

No substantive changes are made to the standard contract clauses themselves. Therefore, from my point of view, the standard contract clauses that have been used by companies so far can also be used further. However, one will recognize that recital 11 of decision 2010/87/EC and recital 15 of decision 2001/497/EC which refer to the ban of transfers by the authorities, will not be amended or repealed. Bit still, I think that currently used EU Model Clauses will not be affected.

The amendments to the various adequacy decisions also relate, in particular, to the lifting or replacement of an article which made the prohibition of the transfer of data to the third country subject to certain conditions (in each case Article 3). In addition, there is a new Article 3a which obliges the Commission to monitor continuously the development of the legal situation in the respective third country concerned in order to examine whether such a development affects existing adequacy decisions.

Internationale Datentransfers: Neue Beschlüsse der Kommission zu Standardvertragsklauseln und Angemessenheitsentscheidungen

Wie bereits hier im Blog berichtet, befindet sich die Europäische Kommission derzeit im Prozess der Überarbeitung sowohl von geltenden Beschlüssen zu den EU-Standardvertragsklauseln als auch von Angemessenheitsentscheidungen zum Schutzniveau für personenbezogene Daten in Drittstaaten.

Im Zuge dieser Anpassungen, die die Europäische Kommission im sog. Art. 31 Ausschuss mit Vertretern der Mitgliedstaaten besprechen und von diesen absegnen lassen muss, hat die Kommission unter anderem selbst festgestellt, dass die geltenden Beschlüsse zu den Standardvertragsklauseln und auch der Angemessenheit des Schutzniveaus in Drittstaaten, in ihrer derzeitigen Fassung rechtswidrig sind (hierzu mein Blogbeitrag)

Hintergrund dieser Anpassungen sind die Vorgaben des EuGH in seinem Urteil zu Safe Harbor (C-362/14.) Dort stellten die Richter unter anderem fest, dass derzeit vorhandene Vorgaben in den Beschlüssen die Befugnisse der nationalen Aufsichtsbehörden beschränken und eine solche Beschränkung durch die Kommission nicht erlaubt ist. Mit ihren derzeit noch geltenden Beschlüssen überschreitet die Kommission daher ihre Kompetenz.

Am 15. November hat sich der Art. 31 Ausschuss getroffen, um über die Beschlussentwürfe zur Änderung der geltenden Vorgaben zu beraten und abzustimmen. Die Beschlussentwürfe der Kommission zur Anpassung der Angemessenheitsentscheidungen (txt) und der EU-Standardvertragsklauseln (txt) sind nun abrufbar.

Inhaltlich ähneln sich die Anpassungen, die an den jeweiligen Beschlüssen vorgenommen werden sollen. Es geht jeweils um eine Streichung eines Artikels, der die Ausübung der Befugnisse der Aufsichtsbehörden (insbesondere zur Untersagung von Datentransfers in einen Drittstaat) von gewissen Voraussetzungen abhängig macht. In den Beschlüssen zu den Standardvertragsklauseln (2001/497/EC; 2010/87/EC) werden jeweils die Artikel 4 durch einen überarbeiteten Artikel 4 ersetzt. Die zusätzlichen Voraussetzungen für die Untersagung von Datentransfers werden gestrichen und die Mitgliedstaaten werden nun nur noch dazu verpflichtet, die Kommission zu benachrichtigen, wenn eine Aufsichtsbehörde eine Datenübermittlung in einen Drittstaat untersagt.

An den Standardvertragsklauseln selbst werden keine inhaltlichen Änderungen vorgenommen. Daher wird man davon ausgehen können, dass bislang im Einsatz befindliche Standardvertragsklausen auch weiter genutzt werden können.

Auch die Änderungen der verschiedenen Angemessenheitsbeschlüsse beziehen sich insbesondere auf die Aufhebung bzw. Ersetzung eines Artikels, der die Untersagung von Datenübermittlung in den jeweiligen Drittstaat von gewissen Voraussetzungen abhängig machte (jeweils Artikel 3). Neu hinzu kommt noch ein Artikel 3a, mit dem die Kommission verpflichtet wird, kontinuierlich die Entwicklung der Rechtslage in dem jeweils betroffenen Drittland zu beobachten, um zu prüfen, ob eine solche Entwicklung Auswirkungen auf bestehende Angemessenheitsbeschlüsse hat.

Hamburger Datenschutzbehörde: Keine wirksame Einwilligung gegenüber Facebook. Wirklich?

Mit Bescheid vom 23. September 2016 hat der Hamburger Datenschutzbeauftragte der Facebook Irleand Ltd. u.a. die Erhebung und Speicherung von Bestandsdaten deutscher WhatsApp-Nutzer untersagt. Den Bescheid der Behörde hat der Kollege Dirks veröffentlicht (pdf).

Die Hamburger Behörde begründet ihre Verfügung materiell-rechtlich insbesondere mit einer fehlenden Rechtsgrundlage seitens Facebook für die Erhebung und Speicherung der Daten, die das Unternehmen von WhatsApp erhält. Der Datenschutzbeauftragte stützt seine Argumentation auf das sog. Doppeltürmodell des BVerfG (Urt. 24. 1. 2014 – 1 BvR 1299/05), nach dem sich ein Datenaustausch zwischen zwei öffentlichen Stellen durch einander korrespondiere Eingriffe von Abfrage und Übermittlung vollzieht, die jeweils einer eigenen Rechtsgrundlage bedürfen.

So weit, so klar. Staatliches Handeln bedarf einer Rechtsgrundlage. Der Vorgang der Übertragung von Daten stellt eine Datenverarbeitung dar, eine Übermittlung. Der Vorgang des Abrufs von Daten und deren Speicherung stellen Datenverarbeitungen dar, eine Erhebung und Speicherung. Bis hier hin eigentlich keine Überraschung, da Art. 7 der Datenschutz-Richtlinie vorsieht, dass die Verarbeitung personenbezogener Daten nur erfolgen darf, wenn die Voraussetzungen eines Erlaubnistatbestandes in Art. 7 lit. a) bis f) erfüllt sind. Als ein solcher Erlaubnistatbestand kam hier die Einwilligung der WhatsApp-Nutzer in Betracht, die diese im Rahmen der Aktualisierung der AGB und Datenschutzbestimmungen abgaben.

Wie gesagt, meines Erachtens ist unstreitig und nicht neu, dass beide involvierte Stellen, WhatsApp einerseits und Facebook andererseits, für die Datenverarbeitungen einen Erlaubnistatbestand benötigen. Das stellt das BVerfG in seinem Urteil klar. Mehr nicht.

Vorliegend stört sich die Aufsichtsbehörde aber daran, dass die Betroffenen (also WhatsApp-Nutzer) mit ihrer Einwilligung gegenüber WhatsApp „nicht gleichzeitig ihre Einwilligung gegenüber Facebook Ireland Ltd.“ erteilen. Es fehle daher an einem Erlaubnistatbestand für Facebook. Zwar wurden WhatsApp-Nutzer auf den Datenaustausch mit Facebook und auch die Zwecke der Verarbeitung der Daten durch Facebook hingewiesen, jedoch werde die Einwilligung eben nicht gegenüber Facebook erteilt.

Die Frage ist: ist das überhaupt erforderlich? Meiner Meinung nach sprechen gute Argumente gegen die Ansicht der Behörde.

Erstens

Der Wortlaut der Datenschutzrichtlinie. Nach Art. 2 lit. h) wird die “Einwilligung der betroffenen Person” als jede Willensbekundung definiert, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden. Die Legaldefinition sagt jedoch nichts dazu aus, wem tatsächlich die Willensbekundung gegenüber abzugeben ist. Natürlich muss ihr Inhalt die geplante Datenverarbeitung abdecken und auch die Stelle benannt sein, die die Verarbeitung vornimmt. Der Adressat der Einwilligungserklärung selbst, wem die Einwilligung wie zugehen muss, wird aber nicht benannt (etwa: gegenüber dem Verantwortlichen).

Zweitens

Urteil des EuGH vom 5. Mai 2011 – C-543/09. Dieses betraf einen Rechtsstreit zwischen der Deutschen Telekom AG und der Bundesnetzagentur, über die gemäß dem Telekommunikationsgesetz bestehende Verpflichtung der Unternehmen, die Telefonnummern zuweisen, ihnen vorliegende Daten von Teilnehmern dritter Unternehmen anderen Unternehmen, deren Tätigkeit in der Bereitstellung von öffentlich zugänglichen Auskunftsdiensten oder Teilnehmerverzeichnissen besteht, zur Verfügung zu stellen.

Entscheidende Vorschriften ergaben sich aus der Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG), die mit Blick auf die „Einwilligung“ auf die Definition der Datenschutz-Richtlinie (siehe oben) verweist.

Nach Art. 12 Abs. 1 Datenschutzrichtlinie für elektronische Kommunikation müssen Teilnehmer (also Kunden des TK-Anbieters) vor Aufnahme in öffentliche Teilnehmerverzeichnisse über deren Zweck bzw. Zwecke und über eine eventuelle besondere Nutzung, insbesondere aufgrund der in die Software der elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen, informiert werden.

Hierzu stellt der EuGH fest (Rz. 58), dass diese vorherige Unterrichtung es dem betroffenen Teilnehmer ermöglicht, „in die Veröffentlichung seiner personenbezogenen Daten in öffentliche Teilnehmerverzeichnisse ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage im Sinne von Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 einzuwilligen“.

Nach Art. 12 Abs. 2 Datenschutzrichtlinie für elektronische Kommunikation kann der Teilnehmer lediglich entscheiden, ob seine personenbezogenen Daten – und gegebenenfalls welche – in ein öffentliches Verzeichnis aufgenommen werden. Diese Zustimmung (also die Einwilligung) bezieht sich auf den Zweck der Veröffentlichung der personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis und nicht auf einen bestimmten Anbieter eines Verzeichnisses (Rz. 61).

Der EuGH stellt danach fest (Rz. 65), dass sich die Zustimmung eines ordnungsgemäß unterrichteten Teilnehmers zur Veröffentlichung seiner personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis gemäß Art. 12 Abs. 2 der Datenschutzrichtlinie für elektronische Kommunikation auf den Zweck dieser Veröffentlichung bezieht

und erstreckt sich daher auf jede spätere Verarbeitung dieser Daten durch dritte Unternehmen, die auf dem Markt öffentlich zugänglicher Telefonauskunftsdienste und Teilnehmerverzeichnisse tätig sind, sofern diese Verarbeitung denselben Zweck verfolgt.

Die inhaltlichen Anforderungen an die Einwilligung sind hier also noch geringer angesetzt, als es bei WhatsApp und Facebook der Fall war. Im Fall der EuGH mussten in der Einwilligung z.B. nicht einmal konkrete dritte Unternehmen benannte werden. Zudem wird auch deutlich, dass die einmal gegenüber einem Unternehmen erteilte Einwilligung auch spätere Datenverarbeitungen durch unbekannte Dritte legitimiert, solange die Zwecke bekannt waren und eingehalten werden.

Drittens

Die Art. 29 Datenschutzgruppe hat sich auch schon zu der Frage geäußert, welcher Stelle konkret gegenüber eine Einwilligung abzugeben ist. Stets dem Verantwortlichen? Nein.

In der Arbeitsunterlage WP 12 (pdf) gehen die Datenschützer für Datenübermittlungen in Drittstaaten auf der Grundlage einer Einwilligung klar davon aus (S. 38), dass eine Einwilligung entweder direkt durch übermittelnde Stelle selbst oder „in ihrem Auftrag“ durch eine andere Stelle eingeholt werden kann.

Übertragen auf den hiesigen Fall, könnte WhatsApp also natürlich für Facebook die Einwilligung der Betroffenen einholen.

Auch in einem weiteren Bespiel (S. 40) gehen die Datenschützer ausdrücklich davon aus, dass Einwilligung nicht durch die verantwortliche Stelle selbst eingeholt werden müssen.

Man wird nun abwarten müssen, wie das Verwaltungsgericht Hamburg entscheidet. Vorgelagert zu der obigen Thematik muss sich das Gericht mit der Frage befassen, ob überhaupt deutsches Datenschutzrecht anwendbar ist.

Europäische Kommission: Geltende Angemessenheitsbeschlüsse und Standardvertragsklauseln sind rechtswidrig

Ende September hatte ich hier im Blog berichtet, dass die Europäische Kommission derzeit an Entwürfen für zwei Beschlüsse zur Anpassung der den derzeit geltenden EU-Standardvertragsklauseln zugrunde liegenden Entscheidungen und Angemessenheitsbeschlüsse hinsichtlich des Schutzniveaus in bestimmten Drittstaaten. In dem sogenannten Art. 31 Ausschuss (der sich aus Vertretern der Mitgliedstaaten zusammensetzt und zuletzt etwa über den Beschluss zum EU-US Datenschutzschild abgestimmt hat) hat man am 3. Oktober 2016 über diese Entwürfe beraten.

Eine Zusammenfassung der Sitzung wurde nun veröffentlicht (txt).

Aus dieser Zusammenfassung geht hervor, dass, wie von mir bereits im damaligen Blogbeitrag vermutet, die Entwürfe der Kommission sich insbesondere auf die Anpassung der existierenden Beschlüsse hinsichtlich der Befugnisse der Datenschutzaufsichtsbehörden beziehen. Jegliche Beschränkung der Befugnisse der Aufsichtsbehörden soll durch die beiden neuen Entwürfe gestrichen werden. Eine solche Beschränkung hatte nämlich der europäische Gerichtshof in seinem Urteil zu Safe Harbor für unzulässig erklärt.

Von besonderer Brisanz dürfte jedoch die Feststellung der Kommission in der Sitzung vom 3. Oktober sein, dass ihrer Auffassung nach die derzeit existierenden Beschlüsse, sowohl hinsichtlich der Angemessenheitsentscheidungen für Drittländer als auch hinsichtlich der EU-Standardvertragsklauseln, rechtswidrig sind.

It explained that the purpose of both draft decisions is to cure the illegality that follows from the findings in the Court of Justice’s Schrems ruling.

Diese Schlussfolgerung dürfte nun für viele Beobachter nicht unbedingt überraschend kommen. Dass sie jedoch tatsächlich so öffentlich in einem Protokoll zur Sitzung als Aussage der Kommission festgehalten wird, finde ich zumindest interessant. Zudem geht aus dem Protokoll zur Sitzung hervor, dass einige der anwesenden Mitgliedstaaten die beiden Entwürfe für neue Beschlüsse positiv bewerteten. Jedoch seien andere Mitgliedstaaten aktuell nicht in der Lage gewesen, eine Entscheidung hinsichtlich der vorgelegten Beschlussentwürfe zu treffen und baten um eine Vertagung. Nun soll die Art. 29 Datenschutzgruppe (die Vertreter der europäischen Datenschutzbehörden) um eine Stellungnahme zu den Entwürfen gebeten werden.