Hamburg Data Protection Watchdog Fines International Companies For Illegal Data Transfers

Today, the Data Protection Authority of Hamburg (“authority”) informed in a press statement (German) that, in the past months, it reviewed the data transfers of 35 international organizations based in Hamburg.

After the Schrems judgment in October 2015 by the European Court of Justice, declaring the former Safe Harbor-decision by the European Commission invalid, the authority contacted organizations in Hamburg operating also in the USA and reviewed the legality of the transfer of personal data to America, especially if other instruments than the Safe Harbor-decision was used. According to the press statement, the tests have shown that the vast majority of the companies had changed the legal basis of their transfers of data, implementing the so-called standard contractual clauses which are also based on a decision by the European Commission.

However, the authority informs that a few companies had not switched to a valid alternative within half a year after the judgement. The data transfers of these companies were therefore considered unlawful.
While some of the initiated proceedings could until now not be completed and other reviews are still running, three administrative fines issued due to illegal transfers of personal data of customers and employees have become legally binding now.

With regard to the new EU-US Privacy Shield, the designated successor of the Safe Harbor-decision, the Data Protection Commissioner of Hamburg, Prof. Caspar, calls on the European Commission and the US government to revise the draft decision in several key areas. Against this background, Prof. Caspar also wants to put the question of the legality of the EU standard contractual clauses on the table. But the commissioner also highlights that the use of these alterative instruments for data transfers to third countries is currently not objected.

Update:
According to a report by Spiegel Online (German), the three fined companies are Adobe (fine: 8.000 Euros), Punica (fine: 9.000 Euros) and Unilever (fine: 11.000 Euros). Since all three companies have changed the legal basis for data transfers during the proceeding, the fine was significantly smaller than the theoretical maximum of 300.000 Euros.

Datenschutz-Grundverordnung: Deutsche Datenschutzbehörden fordern mehr Personal und finanzielle Mittel

Am 24. Mai 2016 ist die Datenschutz-Grundverordnung in Kraft getreten. Ab dem 25. Mai 2018 wird sie in allen europäischen Mitgliedstaaten unmittelbar anwendbar sein. Nicht nur Unternehmen oder Behörden haben also nun zwei Jahre Zeit, ihre Datenverarbeitungsprozesse den zukünftigen Vorgaben anzupassen. Auch die jeweiligen nationalen Gesetzgeber müssen die geltenden datenschutzrechtlichen Bestimmungen in ihrem Mitgliedstaat auf Konformität mit den zukünftigen Regelungen prüfen.

Die Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder fordert vor diesem Hintergrund in einer Entschließung vom 25. Mai 2016 den deutschen Landes und Bundesgesetzgeber auf, den Datenschutzaufsichtsbehörden mehr Personal und auch finanzielle Mittel zur Verfügung zu stellen, damit die Behörden die ihnen zugedachten Aufgaben wirksam erfüllen können.

Die deutschen Aufsichtsbehörden weisen in ihrer Entschließung darauf hin, dass die Datenschutz-Grundverordnung die Mitgliedstaaten verpflichtet, die Aufsichtsbehörden zur Gewährleistung ihrer Unabhängigkeit mit den erforderlichen personellen, finanziellen und technischen Ressourcen auszustatten (Art. 52 Abs. 4 DSGVO). Aus Sicht der deutschen Behörden ist es

für die Bewältigung der neuen Aufgaben zwingend erforderlich, für die Datenschutzbehörden in Deutschland erweiterte personelle und finanzielle Ressourcen vorzusehen. Dies gilt bereits für die jetzt laufende Vorbereitungsphase, in der die Weichen für eine funktionierende Umsetzung der Datenschutz-Grundverordnung gestellt werden.

Dieser Forderung der deutschen Aufsichtsbehörden wird man sich, wenn man bereits die aktuelle Situation betrachtet, durchaus anschließen können. Interessant würde es natürlich werden, wenn die deutschen Aufsichtsbehörden nicht mit den erforderlichen Mitteln und dem nötigen Personal ausgestattet werden und bei Anwendbarkeit der Datenschutz-Grundverordnung dann eventuell ein Mitgliedstaat durch die Europäische Kommission im Wege einer Vertragsverletzungsklage nach Art. 258 AEUV verklagt wird. Derartige Klagen gab es ja bereits unter der geltenden Datenschutzrichtlinie (z.B. in der Rechtssache C?614/10).

Ein weiterer interessanter Aspekt der Entschließung ist, dass sich die bayerischen Behörden bei der Abstimmung zur Annahme dieser Entschließung enthalten haben. Sowohl der Bayerische Landesbeauftragte für den Datenschutz als auch das Bayerische Landesamt für Datenschutzaufsicht scheinen also die Positionen der übrigen Aufsichtsbehörden zumindest nicht in Gänze zu teilen. Man darf gespannt sein, inwieweit der Gesetzgeber auf Landes- und Bundesebene der Forderung der Aufsichtsbehörden nachkommt.

Google wehrt sich gegen französische Behörde: gilt das „Recht auf Vergessenwerden“ weltweit?

Heute hat Google in einem Blogpost bekannt gegeben, dass sich das Unternehmen gegen eine durch die französische Datenschutzbehörde (CNIL) verhängte Geldstrafe in Höhe von 100.000 EUR juristisch zur Wehr setzen wird. Informationen zu dem Verfahren gibt es auf der Seite der CNIL. Dort ist auch eine inoffizielle Übersetzung des entsprechenden Beschlusses (PDF) ins Englische verfügbar.

Insbesondere vertritt die CNIL die Auffassung, dass es unter dem geltenden europäischen Datenschutzrecht und mit Blick auf das Urteil des Europäischen Gerichtshofs (EuGH) in seinem Google-Urteil (C-131/12) nicht ausreicht, wenn nach einer Beschwerde einer betroffenen Person Links aus Suchergebnislisten allein auf Webseiten mit europäischen Endungen (z.B. .de, .es oder .fr) und auch bei Suchanfragen aus dem jeweiligen Mitgliedstaat des Beschwerdeführers auf allen Webseiten der Suchmaschine (also auch auf Google.com) unterdrückt werden. Dieses Vorgehen hatte Google zuletzt gewählt. Die französische Behörde verlangt vielmehr, dass Links aus Ergebnislisten von allen Webseiten der Suchmaschine entfernt werden müssen und zudem unabhängig davon, in welchem Mitgliedstaat der Beschwerdeführer sitzt und von wo aus die Suchanfrage gestellt wird.

Im Ergebnis stellt sich die Frage, ob das europäische Datenschutzrecht und insbesondere seine Durchsetzung durch die Datenschutzbehörden globale Geltung beanspruchen. Ob also etwa auf Anweisung einer französischen Behörde zum einen Nutzer der Suchmaschine in anderen Mitgliedstaaten (z.B. in Deutschland oder Spanien) und zum anderen in Staaten außerhalb des EWR wie z.B. den USA (Google.com) oder Japan (Google.co.jp) nur die veränderte Ergebnisliste angezeigt bekommen dürfen.

Dazu nachfolgend einige Gedanken, die sicherlich nicht abschließend sind, jedoch eventuell zur Diskussion anregen.

Grundsätzlich lässt sich die Feststellung treffen, dass der EuGH in seinem Google-Urteil keine konkreten Aussagen zur territorialen Reichweite des sog. „Recht auf Vergessenwerden“ getroffen hat. Was er in seinem Urteil jedoch stets betont, ist die Bedeutung, die der Durchsetzung und vollen Entfaltung der in der Datenschutzrichtlinie (DS-RL) aufgestellten Garantien für betroffene Personen zukommt.

Der EuGH führt in seinem Google Urteil aus, dass der für Verarbeitung Verantwortliche (also etwa der Suchmaschinenbetreiber)

in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten dafür zu sorgen [hat], dass die Verarbeitung den Anforderungen der Richtlinie 95/46 genügt, so dass die von dieser vorgesehenen Garantien ihre volle Wirkung entfalten können (Rz. 83)

Eine wichtige Rolle bei der Erreichung dieses Ziels der Durchsetzung des europäischen Rechts spielen natürlich die Aufsichtsbehörden. Hierauf weist auch der EuGH in seinem Urteil hin:

In diesem Zusammenhang ist darauf hinzuweisen, dass sich nach Art. 28 Abs. 3 und 4 der Richtlinie 95/46 jede Person zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden kann und jede Kontrollstelle über Untersuchungsbefugnisse und wirksame Einwirkungsbefugnisse verfügt, aufgrund deren sie u. a. die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung personenbezogener Daten anordnen kann. (Rz. 78)

Hieraus lässt sich bereits der Schluss ziehen, dass die Frage, ob europäisches Datenschutzrecht weltweit gelten soll, stets auch im Zusammenhang mit seiner Durchsetzung durch die Aufsichtsbehörden zu sehen ist. Denn allein die Anwendbarkeit europäischen Datenschutzrechts hat noch nichts mit der Verwirklichung der vorgesehenen Garantien aus der DS-RL oder auch aus der Charta der Grundrechte der Europäischen Union für die betroffenen Personen zu tun.

Ich möchte, zur Untermauerung dieser Ansicht, auf das bekannte Urteil des EuGH zur Aufhebung der Vorratsdatenspeicherungsrichtlinie hinweisen (C?293/12 und C?594/12). Dort kritisiert das Gericht nämlich, dass die betreffende Richtlinie keine Pflicht vorsieht,

dass die fraglichen Daten im Unionsgebiet auf Vorrat gespeichert werden, so dass es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten (vgl. in diesem Sinne Urteil Kommission/Österreich, C 614/10, EU:C:2012:631, Rn. 37) (Rz. 68).

Der EuGH geht also selbst davon aus, dass überhaupt nur dann eine den Anforderungen der Charta der Grundrechte und auch der DS-RL entsprechende Garantie für den Schutz personenbezogener Daten möglich ist, wenn die Einhaltung der Vorschriften durch die jeweils zuständigen europäischen Datenschutzbehörden überwacht und gegebenenfalls auch durchgesetzt werden kann. Dies kann allein im Unionsgebiet möglich sein.

Geht man also, mit der vorstehenden Argumentation davon aus, dass neben der reinen Anwendbarkeit europäischen Datenschutzrechts auch immer die Möglichkeit seiner Einhaltung und insbesondere Durchsetzung als inhärente Garantie zu sehen ist, stellt sich unweigerlich die Frage, wie weit die Befugnisse europäischer Datenschutzbehörden, insbesondere territorial, reichen.

Hierzu möchte ich auf eine weitere Entscheidung des EuGH, die sog. Weltimmo-Entscheidung (C-230/14) hinweisen. In diesem Urteil befasst sich das Gericht mit der Frage, wie weit die Kompetenzen der europäischen Aufsichtsbehörden reichen.

So hat nach Art. 28 Abs. 1 DS-RL jede von einem Mitgliedstaat eingeführte Kontrollstelle dafür Sorge zu tragen hat, dass die von den Mitgliedstaaten zur Umsetzung der DS-RL erlassenen Vorschriften im Hoheitsgebiet dieses Mitgliedstaats eingehalten werden (Rz. 47; Hervorhebung durch mich). Zudem, so der EuGH, ergibt sich aus Art. 28 Abs. 1 und 3 DS-RL, dass jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaats übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen (Rz. 51; Hervorhebung durch mich). Auch stellt der EuGH klar, dass aus den Anforderungen, die sich aus der territorialen Souveränität des betreffenden Mitgliedstaats, der Gesetzmäßigkeit der Verwaltung und dem Begriff des Rechtsstaats ergeben, folgt, dass die Sanktionsgewalt grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden kann, in denen eine Behörde nach dem Recht ihres Mitgliedstaats ermächtigt ist (Rz. 56; Hervorhebung durch mich).

In dem Fall Weltimmo ging es um einen innereuropäischen Sachverhalt, also die Frage, inwieweit die Aufsichtsbehörde eines Mitgliedstaates im Territorium eines anderen Mitgliedstaates Sanktionsgewalt ausüben darf. Dies lehnt das Gericht mit obiger Begründung ab. Die Sanktionsgewalt darf nicht außerhalb der gesetzlichen Grenzen des eigenen Mitgliedstaates ausgeübt werden.

Übertragen auf die Auseinandersetzung zwischen Google und der französischen Behörde stellt sich nun die Frage, ob es mit der vorgenannten Rechtsprechung des EuGH konform wäre, einer europäischen Aufsichtsbehörde die Befugnis zuzugestehen, Datenverarbeitungen, die zum einen entweder von Personen in anderen europäischen Mitgliedstaaten (der jeweilige Nutzer der Suchmaschine, der nach einem Namen einer betroffenen Person sucht) oder die zum anderen von Personen auf einem Territorium eines Staates außerhalb der Europäischen Union durchgeführt werden, zu regulieren und am Ende mit einem entsprechenden verwaltungsrechtlichen Beschluss, der von seinem Anwendungsbereich her eigentlich nur auf das Territorium des jeweiligen Mitgliedstaates begrenzt ist, zu beeinflussen. Die Maßnahme einer europäischen Behörde hätte dann direkte Auswirkungen in anderen Staaten. Bereits für die erste Konstellation, dass sich ein entsprechender französischer Beschluss etwa auf deutsches oder spanisches Territorium bzw. die dortigen Personen auswirkt, hätte ich meine Zweifel. Dies gilt freilich erst recht in der zweiten Konstellation, also außerhalb der Europäischen Union und damit auch des Kompetenzbereichs der europäischen Datenschutzbehörden.

Nun wird man sicher als Gegenargument anführen können, dass der territoriale Anwendungsbereich europäischen Datenschutzrechts aber doch auch durch den EuGH sehr weit interpretiert wird und eben auch europäisches Datenschutzrecht für die Tätigkeiten einer Google Inc. mit Sitz in den USA gilt. Das ist korrekt. Doch meiner Ansicht nach ist, wie oben beschrieben, für die Verwirklichung der in der europäischen Datenschutzrichtlinie und auch in der Charta der Grundrechte der Europäischen Union festgelegten Rechte und Garantien unweigerlich erforderlich, dass diese durchgesetzt werden (ich verweise noch einmal auf das Urteil des EuGH zur Vorratsdatenspeicherungsrichtlinie). Eine solche Durchsetzung ist aber, aufgrund des Prinzips der territorialen Souveränität von Staaten, nicht immer möglich. Im Ergebnis scheint mir der aktuelle Ansatz von Google zumindest nicht außerhalb der Vorgaben europäischen Rechts zu liegen.

Dieser Problematik scheinen sich im Prinzip auch die europäischen Datenschutzbehörden bewusst zu sein. Wenn man sich die Leitlinien der europäischen Behörden zur Umsetzung des Google-Urteils anschaut (WP 225, PDF), so findet sich auf Seite 8 unter Ziffer 19 der Hinweis, dass die Behörden sich in der Praxis auf solche Fälle „fokussieren“ werden, die einen deutlichen Bezug zum Territorium eines europäischen Mitgliedstaates aufweisen, insbesondere, wenn es sich um ein EU-Bürger handelt.

Am Ende bleibt wohl nur festzustellen, dass die territoriale Durchsetzung europäischen Datenschutzrechts sicherlich kein einfaches und auch ein streitbares Thema darstellt. Man darf gespannt sein, wie dieses Verfahren in Frankreich weitergeht. Am Ende könnte erneut eine Entscheidung des Europäischen Gerichtshofs stehen.

Datenschutzverstoß durch Verlinkung von Freunden auf Facebook?

Viele Facebook-Nutzer dürften die Funktion kennen, durch die man auf Facebook Profile von Freunden verlinken kann, indem man den Namen des jeweiligen Freundes in einem Text (zum Beispiel in einem Post) erwähnt. Klickt man dann auf den hervorgehobenen Namen, so wird man direkt auf das Facebook-Profil der Person weitergeleitet.

Im Rahmen einer, meines Erachtens doch recht kuriosen, Beschwerde bei der Landesdatenschutzbeauftragten in Brandenburg, war ein Facebook-Nutzer mit eben dieser Funktion und Verlinkung auf sein Facebook-Profil durch einen Freund nicht einverstanden. Über diesen Fall berichtet die Landesdatenschutzbeauftragte in ihrem am 12. April 2016 veröffentlichen Tätigkeitsbericht (S. 143, pdf) für die Jahre 2014/2015.

Die Landesdatenschutzbeauftragte hatte jedoch bereits berechtigte Zweifel, ob das Datenschutzrecht hier überhaupt Anwendung finde. Denn nach § 1 Abs. 2 Nr. 3 BDSG gilt das Datenschutzrecht nicht, wenn die Datenverarbeitung ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. Die Datenschutzbehörde stellt in ihrer Begutachtung fest, dass die Verlinkung durch die betroffene Person in dem sozialen Netzwerk allein zu persönlichen Zwecken erfolgte. Wenn man den Facebook Nutzer selbst als datenschutzrechtlich verantwortlich ansieht, dann wäre auf diese Datenverarbeitung das Datenschutzrecht nicht anwendbar gewesen. Ähnlich sah dies auch schon die Art. 29 Datenschutzgruppe auf europäischer Ebene in ihrer Stellungnahme zu sozialen Online-Netzwerken aus dem Jahre 2009 (dort ab S. 6; pdf).

Mit Blick auf die Frage, ob der Anbieter des sozialen Netzwerk datenschutzrechtlich verantwortlich sei, schien die brandenburgische Datenschutzbeauftragte der Auffassung zu sein, dass wenn überhaupt, allein der Facebook Nutzer selbst verantwortlich ist. Facebook stelle nämlich nur die technischen Möglichkeiten zur Verfügung, um eine Verlinkung auf das Profil eines Freundes herzustellen. Zudem hatte die Landesdatenschutzbeauftragte, mit Blick auf die Verantwortlichkeit von Facebook, in Zweifel gezogen, ob sie überhaupt örtlich zuständig sei.

Aus diesem Grund habe man die Angelegenheit zu Prüfung auch an den Hamburgischen Datenschutzbeauftragten weitergeleitet. Auch die norddeutsche Behörde verneinte einen Datenschutzverstoß durch Facebook selbst, da an der zugrunde liegenden Datenverarbeitung (Verlinkung des Facebook-Profils durch Erwähnung des Namens) ein Interesse Dritter Personen, in diesem Fall des Facebook-Nutzers der die Verknüpfung herstellte, bestehe. Damit sah die Hamburger Behörde die Voraussetzung des Erlaubnistatbestandes des § 28 Abs. 1 S. 1 Nr. 2 BDSG als erfüllt an. Schutzwürdige Interessen der verlinkten Personen stünden dem zu dem nicht entgegen:

Die Nutzer eines sozialen Netzwerks, die sich freiwillig daran beteiligen und die „Spielregeln“ akzeptiert haben, müssen es hinnehmen, dass ihre Daten im rechtlich zulässigen Rahmen von anderen Mitgliedern des sozialen Netzwerks genutzt werden.

German authorities slam draft Privacy Shield – Call for new legal remedies to challenge Commission decision

The draft EU-US Privacy Shield does not ensures an adequate level of protection for data transfers to the USA. That’s one conclusion of a new resolution (dated 20th April 2016, German) by the Conference of independent German data protection authorities (“Conference”).

Last week, the European data protection authorities (the Article 29 Working Party) published their critical “Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision” (PDF).

Now, also the German authorities publicly voice their concern. According to the resolution, the Conference shares the comprehensive analysis and supports the call on the EU Commission to make substantial improvements before adopting the adequacy decision contained therein. Specifically, the Conference holds that it

believes that the “EU-US Privacy Shield” in its current form is not sufficient to ensure the “adequate level of data protection” required for the transfer of personal data to the United States.

Furthermore, the Conference requests the German legislator to create, as soon as possible, a new legal remedy for data protection authorities to challenge adequacy decisions by the EU Commission in front of national courts in order to initiate a request for a preliminary ruling to the European Court of Justice (ECJ).

According to the resolution, the reason for the request of the Conference is the presentation of the draft EU-US Privacy Shield.

In the Safe Harbor judgment (C-362/14) of 6 October 2015, the ECJ hold that national supervisors must be able to engage in legal proceedings, where the national supervisory authority considers that the objections advanced by a person who has lodged with it a claim concerning the protection of his rights and freedoms in regard to the transfer of his personal data to a third country based on an adequacy decision are well founded. The ECJ ruled:

It is incumbent upon the national legislature to provide for legal remedies enabling the national supervisory authority concerned to put forward the objections which it considers well founded before the national courts in order for them, if they share its doubts as to the validity of the Commission decision, to make a reference for a preliminary ruling for the purpose of examination of the decision’s validity.

Whether such a legal remedy exists in Germany, is at least “doubtful”. That’s how the state of Hamburg describes the situation in a proposal to create such a new legal remedy. Therefore, at the next meeting of the German Federal Council (Bundesrat), on 22 April 2016, Hamburg will propose to demand the federal government to make appropriate changes in legislation at the federal level in administrative law. The request is available (PDF, German) on the website of the Federal Council.

This new resolution seems to show that German authorities already now prepare themselves for possible legal challenges against a future adequacy decision by the EU Commission. It will be interesting to see if the proposal by the state of Hamburg will be adopted in the Federal Council.

Bundesrat: Hamburg fordert neues Klagerecht für Datenschutzbehörden

In seinem Safe Harbor-Urteil (C-362/14) vom 6. Oktober 2015 stellte der Europäische Gerichtshof (EuGH) unter anderem fest, dass den nationalen Aufsichtsbehörden für den Datenschutz ein Klagerecht für den Fall zustehen muss, wenn ein Betroffener sich gegen eine Datenübermittlung in einen Drittstaat (wie die USA) wendet, die auf einer Angemessenheitsentscheidung der Europäischen Kommission beruht. Dann müsse die Aufsichtsbehörde die Möglichkeit haben, vor den nationalen Gerichten von sich aus mit dem Ziel zu klagen, dass das angerufene Gericht die Frage der Gültigkeit eines Angemessenheitsbeschlusses (wie vormals Safe Harbor) dem EuGH vorzulegen. Denn, auch dies hat der EuGH klargestellt, alleine er besitzt die Kompetenz, eine Kommissionsentscheidung für ungültig zu erklären.

Hier noch einmal die entsprechende Aufforderung des EuGH an den nationalen Gesetzgeber aus seinem Urteil:

Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese, wenn sie die Zweifel der Kontrollstelle an der Gültigkeit der Entscheidung der Kommission teilen, um eine Vorabentscheidung über deren Gültigkeit ersuchen.

Ob ein solches Klagerecht der Behörden in Deutschland existiert, ist nach Auffassung des Landes Hamburg zumindest „unsicher“. Aus diesem Grund wird Hamburg in der nächsten Sitzung des Bundesrates, am 22. April 2016, vorschlagen, die Bundesregierung aufzufordern, entsprechende Gesetzesänderungen auf Bundesebene im Verwaltungsrecht vorzunehmen. Der entsprechende Antrag ist auf der Webseite des Bundesrates abrufbar (PDF). Nach Ansicht der Antragsteller soll mit der Einführung eines solchen Klagerechts auch nicht gewartet werden, bis das nationale Datenschutzrecht den zukünftigen Vorgaben der Datenschutz-Grundverordnung angepasst wurde. Diese Alternative hat in der Vergangenheit die Bundesregierung favorisiert, wie sich etwa aus der Antwort auf eine kleine Anfrage im Bundestag ergibt, PDF, dort S. 7).

Man darf gespannt sein, ob der Antrag aus Hamburg, nachdem er in den Ausschüssen des Bundesrates beraten wurde, in dieser Form der Bundesregierung zugeleitet wird.

Beschluss des Bundesverwaltungsgerichts zu Fanpages: Betreiber ist nicht verantwortlich. Oder vielleicht doch?

Gestern Nacht hat mich „Joma“ auf Twitter darauf aufmerksam gemacht, dass nun der Beschluss des Bundesverwaltungsgerichts vom 25. Februar 2016 in dem Verfahren (BVerwG 1 C 28.14) zwischen dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH (WAK) im Volltext veröffentlicht wurde.

Bekanntlich hat das Bundesverwaltungsgericht das Verfahren ausgesetzt und dem Europäischen Gerichtshof in Luxemburg mehrere Fragen zur Auslegung des geltenden Datenschutzrechts vorgelegt. Auch wenn das Bundesverwaltungsgericht noch nicht abschließend in diesem Verfahren entschieden hat, so ergeben sich aus dem Beschluss bereits einige rechtliche Aussagen des Gerichts, die für Facebook Fanpagebetreiber in Deutschland von Interesse sein dürften.

Das Bundesverwaltungsgericht geht nämlich davon aus, dass die WAK für die Erhebung und Verarbeitung der Nutzerdaten ihrer Fanpage durch Facebook nicht die “Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt” (§ 3 Abs. 7 BDSG) bzw. die “Stelle, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet” (Art. 2 Buchst. d) RL 95/46/EG) ist (Rz. 24). Nach Auffassung des Bundesverwaltungsgerichts ist also ein Facebook Fanpagebetreiber nicht als verantwortliche Stelle im Sinne des Datenschutzrechts anzusehen. Damit einher geht meines Erachtens zwingend die Schlussfolgerung, dass der Facebook Fanpagebetreiber, soweit es sich um Datenverarbeitungen handelt, die von Facebook durchgeführt werden und auf die der Fanpagebetreiber keinen Einfluss hat, auch nicht für eventuell unzulässige Datenverarbeitungen verantwortlich ist.

Nun mag sich der Leser fragen, warum dann überhaupt noch der Europäische Gerichtshof angerufen wird. Dies liegt daran, dass das Bundesverwaltungsgericht, auch wenn der Fanpagebetreiber nicht als verantwortliche Stelle im Sinne des Datenschutzrechts anzusehen ist, den Europäischen Gerichtshof fragt, ob nicht doch eine gewisse Auswahlverantwortlichkeit des Fanpagebetreibers besteht. Ohne selbst für die Datenverarbeitung verantwortlich zu sein, hält es das Bundesverwaltungsgericht nämlich für denkbar, die geltenden gesetzlichen Vorgaben eventuell in dem Sinne auszulegen, dass die zuständige Datenschutzaufsichtsbehörde wegen einer fehlerhaften Auswahl eines Plattformbetreibers (in diesem Beispiel etwa Facebook für Fanpages) durch den Fanpagebetreiber (also z.B. ein Unternehmen, einen Verein etc.), gegen diesen vorgehen kann. Das Bundesverwaltungsgericht beschreibt diese aus seiner Sicht möglicherweise existierende Verantwortlichkeit wie folgt:

Diese datenschutzrechtliche Verantwortung bezieht sich zwar nicht auf die Erhebung und Verarbeitung der Daten durch den Infrastrukturanbieter selbst, die in einer Infrastruktur wie der von der Beigeladenen angebotenen rechtlich und tatsächlich durch den Informationsanbieter nicht gesteuert werden kann. Sie bezieht sich aber auf die sorgfältige Auswahl des Betreibers der Infrastruktur, die für das eigene Informationsangebot genutzt wird.

Der Fanpagebetreiber wäre also nicht für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und müsste diese, auch bei einer eventuell existierenden Auswahlverantwortlichkeit, nicht prüfen.

die Nutzer von Infrastrukturangeboten und Plattformen bleiben zudem von der Notwendigkeit befreit, die Rechtmäßigkeit der Datenverarbeitung durch den ausgewählten Anbieter (inzident) überprüfen zu müssen. (Rz. 36)

Jedoch könnten den Fanpagebetreiber im Rahmen der Auswahl einer Plattform vorgelagerte Prüfungspflichten (“Auswahl- und Überprüfungspflichten”) treffen, deren Herleitung das das Bundesverwaltungsgericht (unter Hinweis auf Martini/Fritzsche, Mitverantwortung in sozialen Netzwerken. Facebook-Fanpage-Betreiber in der datenschutzrechtlichen Grauzone, NVwZ-Extra 21/2015) aus den Regelungen zur Auftragsdatenverarbeitung (§ 11 Abs. 2 Satz 1 und 4 BDSG) zumindest für möglich hält.

Ein Aktenzeichen beim Europäischen Gerichtshof für dieses Verfahren ist mir derzeit noch nicht bekannt.

German DPAs „leak“ EU-US Privacy Shield assessment by European Authorities

On 6th and 7th April 2016, the German Data Protection Authorities (“DPAs”) met to discuss several current privacy topics.

One point on the agenda has of course been the assessment of the proposed EU-US Privacy Shield (the successor of the Safe Harbor regime). Currently, the European Data Protection Authorities (the so called “Article 29 Working Party”) are finalizing their common position on the proposed adequacy decision by the European Commission (pdf).

Today, the resolution of the DPAs for the mandate of the German representatives in the Article 29 Working Party has been published (German, pdf). (Update: The link to the resolution has been deleted from the websites of the DPAs. However, I was able to download it and I think it is definitely in the interest of the public to access this resolution. You can download it here:  “Mandat für die Vertreter Deutschlands in der Artikel-29-Gruppe“).

In this resolution, the DPAs present two original wordings apparently taken from the current draft assessment of the Article 29 Working Party:

Until these issues are addressed, the WP29 considers it is not in a position to reach an overall conclusion on the draft adequacy decision. It stresses that some of the clarifications and concerns – in particular relating to national security – may also impact the viability of the other transfer tools.

And:

Therefore, the WP29 is not yet in a position to confirm that the current draft adequacy decision does, indeed, ensure a level of protection that is essentially equivalent to that in the EU.

These excerpts show that the European Data Protection Authorities are not able to okay the draft adequacy decision by the European Commission.

Since the opinion of the Article 29 Working Party is not binding and a negative opinion would therefore not deter the European Commission from proceeding with the adoption of a (comitology) Commission decision based on Article 25.6 of the Directive, such a result would not necessarily stop the whole the EU US Privacy Shield from becoming effective.

Apparently, the DPAs already assume that the European Commission might proceed despite a negative opinion by the European Data Protection Authorities. For this reason, the DPAs include in their mandate for the German representatives the demand that if the European Commission proceeds without patching the deficiencies, the Article 29 Working Party shall support test cases and legal actions against the adequacy decision in order to find its way to the European Court of Justice in Luxembourg (see No. 4 of the resolution).

Update:
The linked document of the DPAs has now been deleted from all websites of the German authorities. This, from my point of view, supports the theory that the document contained parts of the draft Art. 29 Working Party opinion and that the publication perhaps has not been agreed upon with other European authorities.

EU-US Privacy Shield: Europäische Datenschützer fordern Verbesserung – zur Not will man klagen

Am 6. und 7. April 2016 haben sich die deutschen Datenschutzbehörden zu ihrer ein 90 Konferenz in Schwerin getroffen. Im Rahmen dieses Treffens wurde unter anderem auch die vorgeschlagene Angemessenheitsentscheidung der europäischen Kommission zum neuen EU-US Privacy Shield beraten. Ob gewollt oder nicht, in dem nun veröffentlichten Beschluss der Konferenz der unabhängigen Datenschutzbehörden (pdf) veröffentlichen die Datenschützer bereits jetzt das Ergebnis der Prüfung des EU-US Privacy Shield durch die sogenannte Art. 29 Gruppe, die Versammlung aller europäischen Datenschutzbehörden. Der nun veröffentlichte Beschluss dient als Mandat für die Vertreter der deutschen Behörden in diesem Gremium.

(Update: Der Link zu dem Beschluss wurden zwischenzeitlich von den Webseiten der Behörden entfernt. Mit einer gewissen Vorahnung habe ich das Dokument aber direkt heruntergeladen, als es noch online verfügbar war. Den Beschluss stelle ich hier gerne zur Verfügung: Mandat für die Vertreter Deutschlands in der Artikel-29-Gruppe).

Im bisherigen Text der Stellungnahme der Art. 29 Datenschutzgruppe finden sich folgende Schlussfolgerungen und Ergebnisse:

Until these issues are addressed, the WP29 considers it is not in a position to reach an overall conclusion on the draft adequacy decision. It stresses that some of the clarifications and concerns – in particular relating to national security – may also impact the viability of the other transfer tools.

Therefore, the WP29 is not yet in a position to confirm that the current draft adequacy decision does, indeed, ensure a level of protection that is essentially equivalent to that in the EU.

Das Mandat der deutschen Vertreter soll insbesondere die Argumentationslinie umfassen, dass der bislang vorgelegte Entwurf der Adäquanzentscheidung nicht genügt, um von einem angemessenen (essentially equivalent) Datenschutzniveau sprechen zu können.

Auf der Basis der derzeit vorgelegten Dokumente können die Art. 29 Datenschutzgruppe keine zustimmende Stellungnahme abgeben.

Zu beachten ist freilich, dass die Stellungnahme der europäischen Datenschützer keine bindende Wirkung hat. Sollte diese also tatsächlich negativ ausfallen, so würde dies die europäische Kommission nicht daran hindern, die Angemessenheit Entscheidung dennoch anzunehmen. Diesen Fall scheinen die deutschen Datenschutzbehörden vorherzusehen. In dem Mandat für die deutschen Vertreter findet sich nämlich auch die Vorgabe, sich dafür einzusetzen, dass für den Fall, dass die Kommission die Adäquanzentscheidung trifft, ohne die Defizite auszuräumen, die Art. 29 Gruppe befürworten werde,

dass diese Entscheidung (etwa durch Musterklagen einzelner Datenschutzaufsichtsbehörden) durch Vorlage an den EuGH überprüft wird.

Die folgenden Tage und Wochen im Rahmen der Verhandlung um den EU-US Privacy Shield dürfen auf der Grundlage dieser Informationen mit Spannung verfolgt werden.

Update:
Nach wenigen Stunden und der Verbreitung (insb. international) der Information, dass die deutschen Behörden das oben verlinkte Dokument zum Privacy Shield veröffentlicht haben, ist das Dokument nun auf keiner Webseite der deutschen Behörden zu finden.

Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe für Einwilligungserklärungen

Der sogenannte Düsseldorfer Kreis, die deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, hat eine neue „Orientierungshilfe zu datenschutzrechtlichen Einwilligungserklärung in Formularen“ (pdf) veröffentlicht. In dem Dokument (Stand: März 2016) liegen die deutschen Aufsichtsbehörden ihre Ansichten zu den Voraussetzungen für die Abgabe einer zulässigen, datenschutzrechtlichen Einwilligungserklärung in Formularen dar. Dabei beziehen sich die Ausführungen sowohl auf schriftliche Einwilligungserklärung (§ 4a BDSG) als auch auf elektronische Erklärungen (§  13 Abs. 2 und 3 TMG).

Inhaltlich befassen sich die Aufsichtsbehörden mit den verschiedenen Anforderungen, die an eine wirksame Einwilligungserklärung zu stellen sind. Dabei gehen sie zunächst auf die in der Praxis vor allem genutzten Formulierungen ein, mit denen auf datenschutzrechtliche Einwilligungserklärung hingewiesen wird.

Positiv bewerten die Behörden, wenn Überschriften direkt auf den Charakter als Einwilligungserklärung hinweisen. Als nicht ausreichend sehen es die Aufsichtsbehörden an, wenn eine Einwilligungserklärung in einem Dokument mit der Überschrift „Datenschutzerklärung“ oder „Datenschutz“ vorgehalten wird.

Zudem verlangen die Aufsichtsbehörden, dass die Betroffenen durch entsprechende Formulierung klar darauf hingewiesen werden, dass es sich um eine Einwilligungserklärung handelt. Hierzu sollen etwa Formulierungen wie „Ich willige ein, dass…“ oder „Ich bin einverstanden, dass…“ genutzt werden.

Interessant ist die Auffassung der Behörden, dass allein ein opt-in Mechanismus, also ein aktives Ankreuzen, das Erfordernis einer „bewussten Erklärung“ der Betroffenen erfüllen würde. Vorangekreuzt Einwilligungstexte oder das Bestehen einer Abwahlmöglichkeit (opt-out) genügen nach Auffassung der Behörden den gesetzlichen Anforderungen nicht. Diesbezüglich ist jedoch darauf hinzuweisen, dass bereits der Bundesgerichtshof in seiner Payback-Entscheidung (Az. VIII ZR 348/06) im Jahre 2008 eine andere Auffassung (zumindest solange es sich nicht um eine UWG-Einwilligung handelt) vertrat und die Möglichkeit eines Opt-Outs im Rahmen des § 4a BDSG als zulässig ansah (u.a. Rz. 23):

Aus § 4a BDSG ergibt sich nicht, dass die Einwilligung nur dann wirksam sein soll, wenn sie, wie die Revision es für erforderlich hält, in der Weise “aktiv” erklärt wird, dass der Verbraucher eine gesonderte Einwilligungserklärung unterzeichnen oder ein für die Erteilung der Einwilligung vorzusehendes Kästchen ankreuzen muss (“Opt-in”-Erklärung).

Insgesamt bietet die Orientierungshilfe für die Praxis einen guten Überblick dafür, welche Anforderungen aus Sicht der Behörde beim Einholen von Einwilligungserklärung zu beachten sind.