Category Archives: Datenschutzrecht

Bundesrat: Hamburg fordert neues Klagerecht für Datenschutzbehörden

Posted on by

In seinem Safe Harbor-Urteil (C-362/14) vom 6. Oktober 2015 stellte der Europäische Gerichtshof (EuGH) unter anderem fest, dass den nationalen Aufsichtsbehörden für den Datenschutz ein Klagerecht für den Fall zustehen muss, wenn ein Betroffener sich gegen eine Datenübermittlung in einen Drittstaat (wie die USA) wendet, die auf einer Angemessenheitsentscheidung der Europäischen Kommission beruht. Dann müsse die Aufsichtsbehörde die Möglichkeit haben, vor den nationalen Gerichten von sich aus mit dem Ziel zu klagen, dass das angerufene Gericht die Frage der Gültigkeit eines Angemessenheitsbeschlusses (wie vormals Safe Harbor) dem EuGH vorzulegen. Denn, auch dies hat der EuGH klargestellt, alleine er besitzt die Kompetenz, eine Kommissionsentscheidung für ungültig zu erklären.

Hier noch einmal die entsprechende Aufforderung des EuGH an den nationalen Gesetzgeber aus seinem Urteil:

Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese, wenn sie die Zweifel der Kontrollstelle an der Gültigkeit der Entscheidung der Kommission teilen, um eine Vorabentscheidung über deren Gültigkeit ersuchen.

Ob ein solches Klagerecht der Behörden in Deutschland existiert, ist nach Auffassung des Landes Hamburg zumindest „unsicher“. Aus diesem Grund wird Hamburg in der nächsten Sitzung des Bundesrates, am 22. April 2016, vorschlagen, die Bundesregierung aufzufordern, entsprechende Gesetzesänderungen auf Bundesebene im Verwaltungsrecht vorzunehmen. Der entsprechende Antrag ist auf der Webseite des Bundesrates abrufbar (PDF). Nach Ansicht der Antragsteller soll mit der Einführung eines solchen Klagerechts auch nicht gewartet werden, bis das nationale Datenschutzrecht den zukünftigen Vorgaben der Datenschutz-Grundverordnung angepasst wurde. Diese Alternative hat in der Vergangenheit die Bundesregierung favorisiert, wie sich etwa aus der Antwort auf eine kleine Anfrage im Bundestag ergibt, PDF, dort S. 7).

Man darf gespannt sein, ob der Antrag aus Hamburg, nachdem er in den Ausschüssen des Bundesrates beraten wurde, in dieser Form der Bundesregierung zugeleitet wird.

Beschluss des Bundesverwaltungsgerichts zu Fanpages: Betreiber ist nicht verantwortlich. Oder vielleicht doch?

Posted on by

Gestern Nacht hat mich „Joma“ auf Twitter darauf aufmerksam gemacht, dass nun der Beschluss des Bundesverwaltungsgerichts vom 25. Februar 2016 in dem Verfahren (BVerwG 1 C 28.14) zwischen dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH (WAK) im Volltext veröffentlicht wurde.

Bekanntlich hat das Bundesverwaltungsgericht das Verfahren ausgesetzt und dem Europäischen Gerichtshof in Luxemburg mehrere Fragen zur Auslegung des geltenden Datenschutzrechts vorgelegt. Auch wenn das Bundesverwaltungsgericht noch nicht abschließend in diesem Verfahren entschieden hat, so ergeben sich aus dem Beschluss bereits einige rechtliche Aussagen des Gerichts, die für Facebook Fanpagebetreiber in Deutschland von Interesse sein dürften.

Das Bundesverwaltungsgericht geht nämlich davon aus, dass die WAK für die Erhebung und Verarbeitung der Nutzerdaten ihrer Fanpage durch Facebook nicht die „Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“ (§ 3 Abs. 7 BDSG) bzw. die „Stelle, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 2 Buchst. d) RL 95/46/EG) ist (Rz. 24). Nach Auffassung des Bundesverwaltungsgerichts ist also ein Facebook Fanpagebetreiber nicht als verantwortliche Stelle im Sinne des Datenschutzrechts anzusehen. Damit einher geht meines Erachtens zwingend die Schlussfolgerung, dass der Facebook Fanpagebetreiber, soweit es sich um Datenverarbeitungen handelt, die von Facebook durchgeführt werden und auf die der Fanpagebetreiber keinen Einfluss hat, auch nicht für eventuell unzulässige Datenverarbeitungen verantwortlich ist.

Nun mag sich der Leser fragen, warum dann überhaupt noch der Europäische Gerichtshof angerufen wird. Dies liegt daran, dass das Bundesverwaltungsgericht, auch wenn der Fanpagebetreiber nicht als verantwortliche Stelle im Sinne des Datenschutzrechts anzusehen ist, den Europäischen Gerichtshof fragt, ob nicht doch eine gewisse Auswahlverantwortlichkeit des Fanpagebetreibers besteht. Ohne selbst für die Datenverarbeitung verantwortlich zu sein, hält es das Bundesverwaltungsgericht nämlich für denkbar, die geltenden gesetzlichen Vorgaben eventuell in dem Sinne auszulegen, dass die zuständige Datenschutzaufsichtsbehörde wegen einer fehlerhaften Auswahl eines Plattformbetreibers (in diesem Beispiel etwa Facebook für Fanpages) durch den Fanpagebetreiber (also z.B. ein Unternehmen, einen Verein etc.), gegen diesen vorgehen kann. Das Bundesverwaltungsgericht beschreibt diese aus seiner Sicht möglicherweise existierende Verantwortlichkeit wie folgt:

Diese datenschutzrechtliche Verantwortung bezieht sich zwar nicht auf die Erhebung und Verarbeitung der Daten durch den Infrastrukturanbieter selbst, die in einer Infrastruktur wie der von der Beigeladenen angebotenen rechtlich und tatsächlich durch den Informationsanbieter nicht gesteuert werden kann. Sie bezieht sich aber auf die sorgfältige Auswahl des Betreibers der Infrastruktur, die für das eigene Informationsangebot genutzt wird.

Der Fanpagebetreiber wäre also nicht für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und müsste diese, auch bei einer eventuell existierenden Auswahlverantwortlichkeit, nicht prüfen.

die Nutzer von Infrastrukturangeboten und Plattformen bleiben zudem von der Notwendigkeit befreit, die Rechtmäßigkeit der Datenverarbeitung durch den ausgewählten Anbieter (inzident) überprüfen zu müssen. (Rz. 36)

Jedoch könnten den Fanpagebetreiber im Rahmen der Auswahl einer Plattform vorgelagerte Prüfungspflichten („Auswahl- und Überprüfungspflichten“) treffen, deren Herleitung das das Bundesverwaltungsgericht (unter Hinweis auf Martini/Fritzsche, Mitverantwortung in sozialen Netzwerken. Facebook-Fanpage-Betreiber in der datenschutzrechtlichen Grauzone, NVwZ-Extra 21/2015) aus den Regelungen zur Auftragsdatenverarbeitung (§ 11 Abs. 2 Satz 1 und 4 BDSG) zumindest für möglich hält.

Ein Aktenzeichen beim Europäischen Gerichtshof für dieses Verfahren ist mir derzeit noch nicht bekannt.

European Court of Justice hears arguments in two procedures on national data retention laws

Posted on by

Today, the hearing takes place before the European Court of Justice (ECJ) in Luxembourg in joined Cases C-203/15 and C-698/15 place (Link to the calendar of the ECJ). In these procedures, the question of the conformity of national laws, forcing telecommunications providers to store traffic data, with EU law is at stake. In 2014, the ECJ ruled invalid the European Data Retention Directive (Ruling of 8th April 2014, C -293 / 12).

In the now negotiated procedures, the Court has to deal with national laws that impose obligations on providers to store traffic data.

In a Swedish preliminary ruling (Tele2 Sverige, C-203/15) the referring court asks whether

a general obligation to retain traffic data covering all persons, all means of electronic communication and all traffic data without any distinctions, limitations or exceptions for the purpose of combating crime

is compatible with Article 15(1) of Directive 2002/58/EC, taking account of Articles 7, 8 and 15(1) of the Charter of Fundamental Rights. The Swedish court furthermore wants to know if the retention may nevertheless be permitted where, inter alia all relevant data are to be retained for six months.

At the same time, the ECJ will assess a preliminary ruling from the UK (Davis and Others, C-698/15) which also deals with the question of the conformity of national regulations on data retention.

Today, „only“ the hearing takes place. This means that the various parties can express their positions. The Court may ask questions in connection with the preliminary ruling. Sometimes, these questions already show a tendency for a subsequent judgment.

The request for a preliminary ruling from Sweden is particularly relevant for Germany, where recently a new data retention law has been adopted by the Parliament. In the reasoning of the new law, „Law establishing a storage requirement and a maximum retention period for traffic data“ (pdf, German), the German legislature explicitly refers to the application of Art. 15 (1) of Directive 2002/58/EC and assumes that national rules on data retention must therefore be measured against the requirements of the Charter of Fundamental rights of the European Union.

Europäischer Gerichtshof verhandelt über Vorratsdatenspeicherung

Posted on by

Heute findet vor dem europäischen Gerichtshof (EuGH) in Luxemburg die mündliche Verhandlung in den verbundenen Rechtssachen C-203/15 und C-698/15 statt (Link zum Sitzungskalender). In den Verfahren geht es um die Frage der Konformität nationaler Gesetze mit EU-Recht, die Telekommunikationsanbieter zur Speicherung von Verkehrsdaten verpflichten. Im Jahr 2014 hat der EuGH die europäische Richtlinie zur Vorratsdatenspeicherung für ungültig erklärt (Urt. v. 8. April 2014, C-293/12).

In den nun verhandelten Verfahren muss ich der EuGH mit nationalen Gesetzen befassen, die eine Speicherung von Verkehrsdaten vorschreiben.

In einem schwedischen Vorabentscheidungsersuchen (Tele2 Sverige, C-203/15) stellt das vorlegende Gericht die Frage, ob

eine generelle Verpflichtung zur Vorratsspeicherung von Verkehrsdaten, die sich (wie [im Vorabentscheidungsersuchen] beschrieben) auf alle Personen und alle elektronischen Kommunikationsmittel sowie auf sämtliche Verkehrsdaten erstreckt, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung von Straftaten vorzusehen, mit Art. 15 Abs. 1 der Richtlinie 2002/58 unter Berücksichtigung der Art. 7, 8 und 52 Abs. 1 der Charta vereinbar

ist.

Falls der EuGH diese erste Frage verneinen sollte, möchte das vorlegende Gericht wissen, ob die Vorratsspeicherung dennoch zulässig sein kann, wenn

a) der Zugang der nationalen Behörden zu den gespeicherten Daten wie [im Vorabentscheidungsersuchen] beschrieben festgelegt ist und
b) die Sicherheitsanforderungen wie [im Vorabentscheidungsersuchen] beschrieben geregelt sind und
c) sämtliche relevanten Daten wie [im Vorabentscheidungsersuchen] beschrieben für einen Zeitraum von sechs Monaten ab dem Tag, an dem die Kommunikation beendet wird, gespeichert und anschließend gelöscht werden müssen?

Verbunden mit diesem Verfahren wird zugleich ein Vorabentscheidungsersuchen aus England behandelt (Davis u.a., C-698/15), in dem es ebenfalls um die Frage der Konformität nationaler Regelungen zur Vorratsdatenspeicherung geht. Hier stellt das vorlegende Gericht unter anderem die Frage, ob das Urteil des EuGH in der Rechtssache C-293/12

verbindliche, für die nationale Regelung eines Mitgliedstaats über den Zugang zu gemäß den nationalen Rechtsvorschriften auf Vorrat gespeicherten Daten geltende Voraussetzungen für die Vereinbarkeit mit den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) fest

legt.

Heute wird zunächst einmal nur verhandelt. Das bedeutet, dass die verschiedenen Beteiligten ihre Positionen darlegen können. Der Gerichtshof kann im Rahmen der mündlichen Verhandlung aber auch Fragen stellen, aus denen sich bereits oft eine Tendenz für ein späteres Urteil abzeichnet.

Gerade das Vorabentscheidungsersuchen aus Schweden ist insbesondere auch für die kürzlich in Deutschland (wieder) beschlossene Vorratsdatenspeicherung relevant. Denn der deutsche Gesetzgeber geht für das „Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (pdf) unter anderem davon aus, dass der Anwendungsbereich des Art. 15 Abs. 1 der Richtlinie 2002/58 eröffnet ist und nationale Regelungen zur Vorratsdatenspeicherung sich an den Vorgaben der Charta der Grundrechte der Europäischen Union messen lassen müssen.

German DPAs „leak“ EU-US Privacy Shield assessment by European Authorities

Posted on by

On 6th and 7th April 2016, the German Data Protection Authorities (“DPAs”) met to discuss several current privacy topics.

One point on the agenda has of course been the assessment of the proposed EU-US Privacy Shield (the successor of the Safe Harbor regime). Currently, the European Data Protection Authorities (the so called “Article 29 Working Party”) are finalizing their common position on the proposed adequacy decision by the European Commission (pdf).

Today, the resolution of the DPAs for the mandate of the German representatives in the Article 29 Working Party has been published (German, pdf). (Update: The link to the resolution has been deleted from the websites of the DPAs. However, I was able to download it and I think it is definitely in the interest of the public to access this resolution. You can download it here:  „Mandat für die Vertreter Deutschlands in der Artikel-29-Gruppe„).

In this resolution, the DPAs present two original wordings apparently taken from the current draft assessment of the Article 29 Working Party:

Until these issues are addressed, the WP29 considers it is not in a position to reach an overall conclusion on the draft adequacy decision. It stresses that some of the clarifications and concerns – in particular relating to national security – may also impact the viability of the other transfer tools.

And:

Therefore, the WP29 is not yet in a position to confirm that the current draft adequacy decision does, indeed, ensure a level of protection that is essentially equivalent to that in the EU.

These excerpts show that the European Data Protection Authorities are not able to okay the draft adequacy decision by the European Commission.

Since the opinion of the Article 29 Working Party is not binding and a negative opinion would therefore not deter the European Commission from proceeding with the adoption of a (comitology) Commission decision based on Article 25.6 of the Directive, such a result would not necessarily stop the whole the EU US Privacy Shield from becoming effective.

Apparently, the DPAs already assume that the European Commission might proceed despite a negative opinion by the European Data Protection Authorities. For this reason, the DPAs include in their mandate for the German representatives the demand that if the European Commission proceeds without patching the deficiencies, the Article 29 Working Party shall support test cases and legal actions against the adequacy decision in order to find its way to the European Court of Justice in Luxembourg (see No. 4 of the resolution).

Update:
The linked document of the DPAs has now been deleted from all websites of the German authorities. This, from my point of view, supports the theory that the document contained parts of the draft Art. 29 Working Party opinion and that the publication perhaps has not been agreed upon with other European authorities.

EU-US Privacy Shield: Europäische Datenschützer fordern Verbesserung – zur Not will man klagen

Posted on by

Am 6. und 7. April 2016 haben sich die deutschen Datenschutzbehörden zu ihrer ein 90 Konferenz in Schwerin getroffen. Im Rahmen dieses Treffens wurde unter anderem auch die vorgeschlagene Angemessenheitsentscheidung der europäischen Kommission zum neuen EU-US Privacy Shield beraten. Ob gewollt oder nicht, in dem nun veröffentlichten Beschluss der Konferenz der unabhängigen Datenschutzbehörden (pdf) veröffentlichen die Datenschützer bereits jetzt das Ergebnis der Prüfung des EU-US Privacy Shield durch die sogenannte Art. 29 Gruppe, die Versammlung aller europäischen Datenschutzbehörden. Der nun veröffentlichte Beschluss dient als Mandat für die Vertreter der deutschen Behörden in diesem Gremium.

(Update: Der Link zu dem Beschluss wurden zwischenzeitlich von den Webseiten der Behörden entfernt. Mit einer gewissen Vorahnung habe ich das Dokument aber direkt heruntergeladen, als es noch online verfügbar war. Den Beschluss stelle ich hier gerne zur Verfügung: Mandat für die Vertreter Deutschlands in der Artikel-29-Gruppe).

Im bisherigen Text der Stellungnahme der Art. 29 Datenschutzgruppe finden sich folgende Schlussfolgerungen und Ergebnisse:

Until these issues are addressed, the WP29 considers it is not in a position to reach an overall conclusion on the draft adequacy decision. It stresses that some of the clarifications and concerns – in particular relating to national security – may also impact the viability of the other transfer tools.

Therefore, the WP29 is not yet in a position to confirm that the current draft adequacy decision does, indeed, ensure a level of protection that is essentially equivalent to that in the EU.

Das Mandat der deutschen Vertreter soll insbesondere die Argumentationslinie umfassen, dass der bislang vorgelegte Entwurf der Adäquanzentscheidung nicht genügt, um von einem angemessenen (essentially equivalent) Datenschutzniveau sprechen zu können.

Auf der Basis der derzeit vorgelegten Dokumente können die Art. 29 Datenschutzgruppe keine zustimmende Stellungnahme abgeben.

Zu beachten ist freilich, dass die Stellungnahme der europäischen Datenschützer keine bindende Wirkung hat. Sollte diese also tatsächlich negativ ausfallen, so würde dies die europäische Kommission nicht daran hindern, die Angemessenheit Entscheidung dennoch anzunehmen. Diesen Fall scheinen die deutschen Datenschutzbehörden vorherzusehen. In dem Mandat für die deutschen Vertreter findet sich nämlich auch die Vorgabe, sich dafür einzusetzen, dass für den Fall, dass die Kommission die Adäquanzentscheidung trifft, ohne die Defizite auszuräumen, die Art. 29 Gruppe befürworten werde,

dass diese Entscheidung (etwa durch Musterklagen einzelner Datenschutzaufsichtsbehörden) durch Vorlage an den EuGH überprüft wird.

Die folgenden Tage und Wochen im Rahmen der Verhandlung um den EU-US Privacy Shield dürfen auf der Grundlage dieser Informationen mit Spannung verfolgt werden.

Update:
Nach wenigen Stunden und der Verbreitung (insb. international) der Information, dass die deutschen Behörden das oben verlinkte Dokument zum Privacy Shield veröffentlicht haben, ist das Dokument nun auf keiner Webseite der deutschen Behörden zu finden.

Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe für Einwilligungserklärungen

Posted on by

Der sogenannte Düsseldorfer Kreis, die deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, hat eine neue „Orientierungshilfe zu datenschutzrechtlichen Einwilligungserklärung in Formularen“ (pdf) veröffentlicht. In dem Dokument (Stand: März 2016) liegen die deutschen Aufsichtsbehörden ihre Ansichten zu den Voraussetzungen für die Abgabe einer zulässigen, datenschutzrechtlichen Einwilligungserklärung in Formularen dar. Dabei beziehen sich die Ausführungen sowohl auf schriftliche Einwilligungserklärung (§ 4a BDSG) als auch auf elektronische Erklärungen (§  13 Abs. 2 und 3 TMG).

Inhaltlich befassen sich die Aufsichtsbehörden mit den verschiedenen Anforderungen, die an eine wirksame Einwilligungserklärung zu stellen sind. Dabei gehen sie zunächst auf die in der Praxis vor allem genutzten Formulierungen ein, mit denen auf datenschutzrechtliche Einwilligungserklärung hingewiesen wird.

Positiv bewerten die Behörden, wenn Überschriften direkt auf den Charakter als Einwilligungserklärung hinweisen. Als nicht ausreichend sehen es die Aufsichtsbehörden an, wenn eine Einwilligungserklärung in einem Dokument mit der Überschrift „Datenschutzerklärung“ oder „Datenschutz“ vorgehalten wird.

Zudem verlangen die Aufsichtsbehörden, dass die Betroffenen durch entsprechende Formulierung klar darauf hingewiesen werden, dass es sich um eine Einwilligungserklärung handelt. Hierzu sollen etwa Formulierungen wie „Ich willige ein, dass…“ oder „Ich bin einverstanden, dass…“ genutzt werden.

Interessant ist die Auffassung der Behörden, dass allein ein opt-in Mechanismus, also ein aktives Ankreuzen, das Erfordernis einer „bewussten Erklärung“ der Betroffenen erfüllen würde. Vorangekreuzt Einwilligungstexte oder das Bestehen einer Abwahlmöglichkeit (opt-out) genügen nach Auffassung der Behörden den gesetzlichen Anforderungen nicht. Diesbezüglich ist jedoch darauf hinzuweisen, dass bereits der Bundesgerichtshof in seiner Payback-Entscheidung (Az. VIII ZR 348/06) im Jahre 2008 eine andere Auffassung (zumindest solange es sich nicht um eine UWG-Einwilligung handelt) vertrat und die Möglichkeit eines Opt-Outs im Rahmen des § 4a BDSG als zulässig ansah (u.a. Rz. 23):

Aus § 4a BDSG ergibt sich nicht, dass die Einwilligung nur dann wirksam sein soll, wenn sie, wie die Revision es für erforderlich hält, in der Weise „aktiv“ erklärt wird, dass der Verbraucher eine gesonderte Einwilligungserklärung unterzeichnen oder ein für die Erteilung der Einwilligung vorzusehendes Kästchen ankreuzen muss („Opt-in“-Erklärung).

Insgesamt bietet die Orientierungshilfe für die Praxis einen guten Überblick dafür, welche Anforderungen aus Sicht der Behörde beim Einholen von Einwilligungserklärung zu beachten sind.

Verbandsklagerecht bei Datenschutzverstößen – Verfassungsrechtliche Bedenken

Posted on by

In der aktuellen Ausgabe der Zeitschrift WRP haben der Kollege Dr. Jaschinski und ich einen Fachbeitrag zu dem „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ veröffentlicht. Der Beitrag ist auf der Webseite der WRP im Volltext abrufbar (auch als PDF).

In dem Beitrag geben wir einen Überblick zu den Neuerungen des Gesetzes, natürlich mit einem besonderen Schwerpunkt auf der Verbandsklagebefugnis bei Datenschutzrechtsverletzungen (§ 2 Abs. 2 S. 1 Nr. 11 UKlaG). Verfassungsrechtliche Bedenken haben wir vor allem bei der Beteiligung der Datenschutzaufsichtsbehörden in zivilrechtlichen Verfahren vor den Landgerichten. Viel Freude beim Lesen.

Landgericht Hamburg untersagt fehlerhaften Einsatz von Google Analytics

Posted on by

Google Analytics ist eines der beliebtesten Analysetools für Webseitenbetreiber überhaupt. Bei der Einbindung dieses Dienstes auf der eigenen Webseite sind jedoch insbesondere datenschutzrechtliche Anforderungen (konkret vor allem jene des Telemediengesetzes und der Auftragsdatenverarbeitung) zu beachten.  Sollten diese Voraussetzung nicht erfüllt werden, besteht unter anderem die Gefahr, von Wettbewerbern abgemahnt und auf Unterlassung und Ersatz der Abmahn- und Gerichtskosten in Anspruch genommen zu werden.

Genauso hat in einem aktuellen Fall das Landgericht Hamburg per Beschluss im Wege der einstweiligen Verfügung entschieden (Az. 312 O 127/16, PDF). In dem Fall wurde es einem Webseitenbetreiber untersagt, auf seinem Internetangebot den Analysedienst Google Analytics einzusetzen, ohne die Besucher des Internetangebots zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten. Den Streitwert hat das Gericht auf 20.000 € festgesetzt.

Schon im Jahr 2011 haben die deutschen Datenschutzbehörden darüber informiert, wie aus ihrer Sicht ein zulässiger Einsatz des Analysetools auszusehen hat (Informationen der Datenschutzbehörde aus Hamburg):

  • Webseitenbetreiber müssen den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Diesen Vertrag erhalten Sie unter „http://www.google.com/analytics/terms/de.pdf“.
  • Webseitenbetreiber müssen die Nutzer Ihrer Website in Ihrer Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung durch Google Analytics hinweisen. Hierbei sollte möglichst auf die entsprechende Seite „http://tools.google.com/dlpage/gaoptout?hl=de“ verlinkt werden.
  • Webseitenbetreiber müssen durch entsprechende Einstellungen im Google Analytics-Programmcode Google mit der Kürzung der IP-Adressen beauftragen. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion „_anonymizeIp()“ zu ergänzen.

Im konkreten Fall stellte der Webseitenbetreiber überhaupt keine Datenschutzerklärung und damit auch keine Informationen zum Einsatz von Google Analytics zur Verfügung. Damit lag ein Verstoß gegen die Informationspflicht des § 13 Abs. 1 S. 1 TMG vor. Bei dieser Vorschrift handelt es sich nach Auffassung vieler Gerichte (u.a. auch des OLG Hamburg, Urt. v. 27. Juni 2013 – Az. 3 U 26/12) um eine sogenannte Marktverhaltensregelung im Sinne des § 3a UWG. Die Verletzung einer solchen Regelung kann durch Wettbewerber abgemahnt und die Abgabe einer Unterlassungserklärung gefordert werden. Wenn eine solche Erklärung nicht rechtzeitig abgegeben wird, kann der Unterlassungsanspruch im Wege der einstweiligen Verfügung vor Gericht durchgesetzt werden, wie der oben verlinkte Beschluss einmal mehr zeigt.

Für den Abgemahnten bzw. im Fall des Erlasses einer einstweiligen Verfügung, den Antragsgegner, können am Ende Kosten in vierstelliger Höhe entstehen, die er dem Antragsteller zu ersetzen hat. Hinzu kommt, dass spätestens mit Zustellung der einstweiligen Verfügung der weitere Einsatz von Google Analytics nur noch möglich ist, wenn sofort die oben geschilderten Anforderungen umgesetzt werden. Andernfalls droht ein empfindliches Ordnungsgeld. Jeder Webseitenbetreiber, der Google Analytics nutzt, sollte daher darauf achten, in jedem Fall die oben aufgeführten Anforderungen umzusetzen. Man mag vielleicht meinen, dass es eher unwahrscheinlich ist, in das Visier einer Datenschutzbehörde zu gelangen. Die Gefahr, von einem Wettbewerber abgemahnt zu werden, ist jedenfalls durchaus realistisch.

Disclaimer: Die Kanzlei JBB Rechtsanwälte war an dem Verfahren vor dem Landgericht Hamburg als Vertreter der Antragstellerseite beteiligt.

Datenschutz-Grundverordnung: Auslegungshilfe und praktischer Überblick

Posted on by

Die endgültige Textfassung der zukünftigen Datenschutz-Grundverordnung wird derzeit noch durch den Übersetzungsdienst der Europäischen Union, in Absprache mit dem europäischen Parlament und den Mitgliedstaaten, erstellt. Inhaltlich weiß man im Groben seit der Einigung im Trilog am 17. bzw. 18. Dezember 2015 auf einen gemeinsamen Text, welche Regelungen in Zukunft für den Umgang mit Person bezogenen Daten in Europa gelten werden.

Zwar werden viele altbekannte Prinzipien der geltenden EU-Datenschutzrichtlinie fortgeführt und unverändert übernommen. Nichtsdestotrotz wird es an vielen Stellen auch (größere oder kleinere) Änderungen geben. Datenschutzpraktiker sind vor diesem Hintergrund für jede Anwendungs- und Auslegungshilfe zu den neuen Regelungen dankbar.

Der Rat der Europäischen Union hat nun den Entwurf der Begründung des Rates (pdf) zu der Datenschutz-Grundverordnung veröffentlicht. Im Prinzip handelt es sich bei diesem 36-seitigen Dokument um einen hilfreichen, wenn auch groben Überblick über und eine geraffte Zusammenfassung der zukünftigen Regelungen. Mit Blick auf die zukünftige Auslegung der Datenschutz-Grundverordnung durch die Praxis, die Gerichte oder die Datenschutzaufsichtsbehörden dürfte dieses Dokument durchaus nützlich sein.