Die Rolle von „Übereinkommen Nr. 108+“ im Rahmen der Prüfung des Datenschutzniveaus in Drittländern nach der DSGVO

Nach der Entscheidung des EuGH in der Rechtssache Schrems II (C-311/18) wird vermehrt deutlich, dass der Inhalt dieses Urteils bei weitem nicht nur Auswirkungen auf Datenübermittlungen in die USA hat. Wenn kein Angemessenheitsbeschluss der Europäischen Kommission existiert, fordert der EuGH von datenexportierenden Verantwortlichen, dass sie vor der Übermittlung prüfen, ob in dem jeweiligen Drittland ein gleichwertiges Schutzniveau für personenbezogene Daten existiert.

Es stellt sich die Frage, welche Bedeutung das Übereinkommen Nr. 108+ (man spricht von „Nr. 108+“, da das alte Übereinkommen im Jahre 2018 angepasst wurde) des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen Nr. 108) bei der Prüfung des Schutzniveaus in Drittländer spielt, die Vertragspartei dieses völkerrechtlichen Übereinkommens sind. Mein Kollege Philipp Quiel und ich haben uns hierzu ein paar tiefergehende Gedanken gemacht und die Vorgaben der DSGVO für ein “gleichwertiges Schutzniveau” den Regelungen des Übereinkommen Nr. 108+ gegenübergestellt. Den Beitrag kann man hier herunterladen (PDF).

Ergänzung vom 31.8.2020: aufgrund des Feedbacks auf Twitter haben wir die gegenüberstellende Analyse um die Regelungen des Übereinkommens 108 und Informationen zum Gültigkeitsstatus ergänzt. Danke.

Das SchremsII-Urteil des EuGH: Folgen für die Praxis des Einsatzes von Standarddatenschutzklauseln

Was sind die Konsequenzen des Schrems II-Urteils des EuGH (C-311/18)? Was ist bei Datentransfers in die USA und auch andere Drittländer zu beachten? Diese Fragen stellen sich aktuell natürlich viele Unternehmen und allgemein datenverarbeitende Stellen. Ich habe nicht den Anspruch, hierauf abschließende Antworten zu geben.

Gerne möchte ich aber in diesem Beitrag versuchen, das Urteil zum einen systematisch einzuordnen und etwas „aufzudröseln“. Zum anderen auch mögliche (!) praktische Konsequenzen für datenverarbeitende Stellen abzuleiten. Im Blick sollen hierbei die Standardvertragsklauseln (jetzt: Standarddatenschutzklauseln, „SDK“) stehen. Das andere Interpretation des Urteils sicherlich ebenso vertretbar sind, versteht sich meines Erachtens von selbst.

Ich verzichte hier bewusst auf eine Darstellung, was Hintergrund des Verfahrens war und auch auf Erläuterungen, was das EU US Privacy Shield oder die SDK sind.

Da dieser Beitrag relativ lang ist, stelle ich ihn auch in einem PDF-Dokument zum Download bereit.

A. Systematik des Urteils

Meines Erachtens bietet sich zunächst an, den Prüfaufbau des EuGH in den Blick zu nehmen. Dies ist, gerade aufgrund der Länge des Urteils relevant. Denn man kann sich gut in der Begründung verlieren, nur um dann die Frage zu stellen, was denn eigentlich gerade geprüft wird. Hierzu habe ich eine kleine Gliederung erstellt:

1. Das erforderliche Schutzniveau nach Art. 46 Abs. 1 und Art. 46 Abs. 2 lit. c DSGVO, wenn Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden? (ab Rz. 90)

2. Aussetzungspflicht der Datenschutzbehörde, wenn die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können? (ab Rz. 106)

3. Gültigkeit des Standarddatenschutzklausel-Beschlusses im Hinblick auf die Art. 7, 8 und 47 der Charta („angemessenes Schutzniveau“)? (ab Rz. 122)

4. Ob und inwieweit eine Datenschutzbehörde („DSB“) eines Mitgliedstaats an die Feststellungen im Privacy Shield-Beschluss gebunden ist // ob die auf die Standarddatenschutzklauseln gestützte Übermittlung personenbezogener Daten in die USA die durch die Art. 7, 8 und 47 der Charta verbürgten Rechte verletzt? (ab Rz. 150)

a. Zum Inhalt des Privacy Shield-Beschlusses (ab Rz. 163)

b. Zur Feststellung eines angemessenen Schutzniveaus (ab Rz. 168)

B. Einheitliches Schutzniveau für Kapitel V der DSGVO

Aus der Gliederung wird bereits deutlich, dass der EuGH in dem Urteil zunächst prüft, was denn überhaupt für ein Schutzniveau zu erreichen ist, wenn Daten auf der Grundlage von Art. 46 DSGVO übermittelt werden. In der Prüfung im ersten Abschnitt befasst sich der EuGH ganz allgemein mit der Frage, welches Schutzniveau „geeignete Garantien“ erreichen müssen.

Also ganz abstrakt: gibt es einen Unterschied des zu erreichenden Schutzniveaus bei den Transfermechanismen nach Kapitel V DSGVO?

Nein. Nach dem EuGH gilt für die ganze DSGVO und damit auch Kapitel V ein einheitliches Schutzniveau. Das bedeutet, dass die in Art. 46 Abs. 1 DSGVO genannten „geeigneten Garantien“ so beschaffen sein müssen, dass sie für Personen, deren personenbezogene Daten auf der Grundlage von SDK in ein Drittland übermittelt werden – wie im Rahmen einer auf einen Angemessenheitsbeschluss gestützten Übermittlung – ein Schutzniveau gewährleisten, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig ist (Rz. 96).

In den Rz. 90-105 geht es noch gar nicht spezifisch um die aktuell geltenden SDK, sondern allgemein um dieses Transferinstrument an sich. Das Gericht betrachtet den allgemeinen Prüfungsmaßstab, der an Datentransfers nach Art. 46 DSGVO zu stellen ist. Die SDK stellen dabei ein Beispiel dar.

C. Anforderungen an Datentransfers ohne Angemessenheitsbeschluss

Nach dem EuGH (und der Vorgaben in Art. 46 Abs. 1 DSGVO) dürfen, bei fehlendem Angemessenheitsbeschluss, personenbezogene Daten an ein Drittland übermitteln werden, wenn der Exporteur folgende drei Ziele erreicht:

  • er „geeignete Garantien“ vorgesehen hat (diese können u.a. in den SDK bestehen)
  • den betroffenen Personen „durchsetzbare Rechte“ und
  • wirksame Rechtsbehelfe“ zur Verfügung stehen (Rz. 91)

Dies sind, für Art. 46 DSGVO, die maßgeblichen drei Kriterien des angemessenen Schutzniveaus.

Wichtig: im Rahmen des Art. 46 DSGVO (und damit auch der SDK) muss aber nicht das Zielland und die dortige Rechtsordnung ein der Sache nach gleichwertiges Schutzniveau aufweisen. Sondern die „geeigneten Garantien“ selbst, also zB die SDK, sollen für Personen ein Schutzniveau gewährleisten, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig (Rz. 96).

Das bedeutet dann auch, dass der Prüfungsmaßstab für das Schutzniveau inhaltlich ein anderer ist, als im Fall des Angemessenheitsbeschlusses nach Art. 45 DSGVO (vgl. auch Rz. 129 und 130). Das zu erreichende Ziel (Gleichwertigkeit) ist aber dasselbe.

Meine verbildlichte Darstellung: im Fall des Angemessenheitsbeschlusses ist das ganze Drittland eine schöne grüne Datenschutzwiese. Im Fall des Art. 46 DGSVO (also etwa des Einsatzes von SDK) ist das Drittland aber eine böse Vulkanlandschaft, in der Daten nicht sicher sind und mit den SDK wollen wir nun einen Tunnel zu einem bestimmten Empfänger schaffen. Es existiert also, quasi als Voraussetzung, ein Mangel an Datenschutz, der durch den Tunnel für eine Übermittlung ausgeglichen werden muss (Rz. 95). Dieser Tunnel muss die Daten entsprechend den Anforderungen des Art. 46 DSGVO gegen die Vulkanlandschaft schützen.

D. Schutzniveau beim Einsatz von SDK

Das vorlegende Gericht wollte vom EuGH auch wissen, welche Gesichtspunkte denn konkret zu berücksichtigen sind, um festzustellen, ob ein angemessenes Schutzniveau besteht, wenn personenbezogene Daten auf der Grundlage der SDK übermittelt werden (Rz. 102).

Die Antwort des EuGH hierauf ist wenig spezifisch und praxistauglich. Er orientiert sich natürlich an dem oben aufgestellten Schutzniveau für Art. 46 DSGVO. Hinsichtlich seiner bereits zuvor herausgestellten drei Kriterien, erläutert er aber in Rz. 104 zusätzlich, dass in Bezug auf eine Übermittlung auf Grundlage der SDK folgende Punkte zu berücksichtigen sind:

  • insbesondere die vertraglichen Regelungen, die zwischen dem in der Union ansässigen Verantwortlichen und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie,
  • was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes.

Und hier vollzieht der EuGH einen wichtigen vergleichenden Schwenk zu den Voraussetzungen für einen Angemessenheitsbeschluss: hinsichtlich des Zugriffs von Behörden des Drittlands auf die übermittelten personenbezogenen Daten entsprechen die Elemente, die im Kontext von Art. 46 DSGVO zu berücksichtigen sind, jenen, die in Art. 45 Abs. 2 DSGVO in nicht abschließender Weise aufgezählt werden.

E. Bewertung der aktuell geltenden SDK (2010/87/EU)

Erfüllen die aktuell geltenden SDK diese Anforderungen? Und was ist konkret bei ihrem Einsatz zu beachten? Mit den aktuell geltenden SDK (bzw. genauer, mit dem zugrundliegenden Beschluss der Kommission) befasst sich der EuGH ab Rz. 122.

Die erste wichtig Feststellung des EuGH ist, dass es Situationen geben kann, in denen die SDK unverändert genutzt werden können, da sie selbst das angemessene Schutzniveau schaffen. Der EuGH unterscheidet zwei Szenarien (Rz. 126):

  • Szenario 1: Der Empfänger einer Übermittlung kann, in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland, den erforderlichen Datenschutz allein auf der Grundlage der SDK garantieren kann.
  • Szenario 2: Situationen, in denen die in den SDK enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten.

Zu Szenario 2 nennt das Gericht ein Beispiel: wenn das Recht dieses Drittlands dessen Behörden bezüglicher dieser Daten Eingriffe in die Rechte der betroffenen Personen erlaubt.

Achtung: nur weil Eingriffe in die Rechte der Betroffenen möglich und durch die nicht angepasste Form der SDK nicht ausgeschlossen werden können, sind die SDK aber nicht untauglich. Das ist meines Erachtens wichtig zu erkennen.

Denn Art. 46 Abs. 2 DSGVO verlangt laut dem EuGH nicht, dass sämtliche Garantien zwangsläufig in einem Beschluss der Kommission wie dem SDK-Beschluss vorgesehen sind (Rz. 128). Dies ist auch gar nicht möglich, denn die SDK sind nur allgemein erstellt und gelten für alle Drittländer (Rz. 130, 133).

Ab Rz. 137 befasst sich der EuGH dann mit dem Beschluss der Kommission zu den aktuell geltenden SDK. Die Ausführungen sind also eher abstrakt wertender Natur. Jedoch geht der EuGH in seiner Prüfung der Gültigkeit des Beschlusses auch auf Pflichten ein, die für Verantwortliche gelten und er erläutert, wie diese auszuüben sind.

F. Pflichten des Verantwortlichen (Exporteur) und des Auftragsverarbeiters (Importeur)

Und nun nähern wir uns auch praktischen Vorgaben. Nach dem EuGH kann es, aufgrund dieses allgemeinen Charakters der SDK, in dem oben erwähnten Szenario 2, je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung des Schutzniveaus der SDK zu gewährleisten (Rz. 133).

Noch einmal zur Erinnerung: Schutzniveau der SDK ist nach EuGH ein der Sache nach gleichwertiges Schutzniveau wie in der EU.

Und der EuGH geht noch weiter: es obliege vor allem Verantwortlichen, in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von SDK übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren (Rz. 134).

Achtung: das bedeutet, dass der exportierende Verantwortliche zumindest vor der Übermittlung validieren muss, ob die unveränderte Form der SDK zum Einsatz kommen kann, um das Schutzniveau (das sie per se schaffen) zu halten. Es geht bei dieser Prüfung nicht um das komplette Recht des Drittlandes. Der EuGH verweist klar auf die konkret übermittelten Daten: „einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet“ (Rz. 134). Zudem wäre eine Prüfung der gesamten Rechtsordnung nicht mit der vorherigen Begründung des EuGH zu dem Unterschied zwischen Angemessenheitsbeschluss und SDK vereinbar.

Kann der Exporteur oder der Empfänger der Daten keine zusätzlichen Maßnahmen ergreifen, um den Standard der SCC zu halten, ist er verpflichtet, die Übermittlung personenbezogener Daten in das betreffende Drittland auszusetzen oder zu beenden (Rz. 135). Der EuGH nennt auch ein Beispiel: wenn das Recht des Drittlands dem Empfänger Verpflichtungen auferlegt, die den SDK widersprechen und daher geeignet sind, die vertragliche Garantie zu untergraben.

1. Umfang der Prüfpflicht des Verantwortlichen

Und es stellt sich dann natürlich die Frage, was konkret der Verantwortliche vor der Übermittlung zu prüfen hat? Reicht der Nachweis durch den Importeur, dass er sich an die SDK halten kann? Muss der Verantwortliche eigene Untersuchungen anstellen?

Die Antwort hierauf ergibt sich nach dem EuGH (Rz. 141) aus den Klauseln der SDK, konkret Klausel 4 Buchst. a sowie Klausel 5 Buchst. a und b. Diese verpflichten den in der Union ansässigen Verantwortlichen und den Empfänger, sich vor der Übermittlung personenbezogener Daten in ein Drittland zu vergewissern, dass das Recht des Bestimmungsdrittlands es dem Empfänger erlaubt, die SDK einzuhalten.

Das bedeutet, dass die Prüfungsfrage hier auf erster Stufe lautet: kann der Empfänger die SDK auf Basis des für ihn geltenden Rechts einhalten?

Daraus ergeben sich direkt einige wertvolle Erkenntnisse:

  • Es geht immer um die in den SDK festgelegte Übermittlung; nicht generell um Übermittlungen in das Drittland.
  • Das bedeutet, die Einhaltung der SDK ist grundsätzlich vertragsspezifisch zu prüfen.
  • Die Einhaltung der SDK im Hinblick auf das Recht im Drittland, muss daher wohl auch konkret anhand der zu übermittelnden Daten und des spezifischen Empfängers geprüft werden (und nicht allgemein).
  • Sowohl der Verantwortliche als auch der Empfänger sind verpflichtet, sich entsprechend zu vergewissern (natürlich insbesondere in Form der Zusammenarbeit).

2. Inhalt der Prüfpflicht

Und der EuGH gibt zudem noch einen Hinweis darauf, was die Vertragsparteien bei dieser Prüfung als Bewertungskriterien zu berücksichtigen haben, wovon sie sich also „vergewissern“ müssen.

In der Fußnote zu Klausel 5 der SDK wird klargestellt, dass zwingende Erfordernisse des Rechts im Drittland, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft zur Gewährleistung u. a. der Sicherheit des Staates, der Landesverteidigung und der öffentlichen Sicherheit erforderlich ist, nicht den Standarddatenschutzklauseln widersprechen.

Das heißt: ein angemessenes Schutzniveau kann auf Basis der SDK auch dann bestehen, wenn Behörden des Drittlandes Zugriff auf die übermittelnden Daten nehmen. Das ist eine wichtige Klarstellung des EuGH, die auch in der Praxis Relevanz hat.

Nur muss dieser Zugriff legislativ so ausgestaltet sein, dass er den Anforderungen des vormaligen Art. 13 Abs. 1 RL 95/46/EG genügt. Dort wurden Ziele aufgeführt, die einschränkende Gesetzesmaßnahmen verfolgen müssen, damit sie zulässig sind.

Art. 13 RL 95/46/EG existiert jedoch nicht mehr. Da nach Art. 94 Abs. 2 DSGVO Verweise auf die RL 95/46/EG als Verweise auf die DSGVO zu verstehen sind, muss man hier meines Erachtens an die Stelle des Art. 13 Abs. 1 RL 95/46/EG nun Art. 23 Abs. 1 DSGVO und die dort benannten Ziele setzen (die jenen des Art. 13 Abs. 1 RL 95/46/EG sehr ähnlich sind. Hierzu gehören:

  • die nationale Sicherheit;
  • die Landesverteidigung;
  • die öffentliche Sicherheit;
  • die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
  • den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;
  • den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
  • die Durchsetzung zivilrechtlicher Ansprüche.

Aber: es reicht nicht, dass das Recht des Drittlandes bei dem Zugriff auf die Daten ein solches Ziel verfolgt. Der Zugriff muss auch zur Verfolgung dieses Ziels erforderlich sein. Verlangt wird also eine Verhältnismäßigkeitsprüfung. Und hier wird es meines Erachtens für europäische Unternehmen alleine sehr schwer, diese Prüfung valide vornehmen zu können. Insbesondere sollten hierbei daher die Empfänger im Drittland unterstützen.

Der EuGH stellt klar, dass es als Verstoß gegen die SDK anzusehen ist, wenn einer aus dem Recht des Bestimmungsdrittlands folgenden Verpflichtung nachgekommen wird, die über das hinausgeht, was für Zwecke wie die oben genannten erforderlich ist.

3. Umsetzung in der Praxis?

In der Praxis könnte der Verantwortliche etwa über einen vorgefertigten Fragenkatalog an den Empfänger validieren, ob Zugriffe möglich sind und wenn ja, zu welchem Zweck. Sind Zugriffe auf die Daten möglich, so muss dieser Zugriff auf seine Erforderlichkeit hin geprüft werden. Meines Erachtens ergibt sich aus dem Urteil nicht, dass der Verantwortliche selbst diese Prüfung vorzunehmen hat. Es dürfte auch in Ordnung sein, wenn der Importeur (etwa über ein rechtliches Gutachten) dem Verantwortlichen nachweisen kann, dass die Zugriffe durch Behörden die europäischen Anforderungen erfüllen.

Die Prüfung erfolgt also grob wie folgt:

Stufe 1: Einsatz der unveränderten SDK. Kann der Empfänger alle SDK Pflichten einhalten?

  • Verantwortlicher muss sich hiervon „vergewissern“ (ggfs. in Zusammenarbeit mit dem Empfänger).
  • „Vergewissern“ umfasst die Prüfung, ob Zugriffe von Behörden auf die Daten möglich sind.
  • Wenn ja, dann muss geprüft werden, ob die Zugriffe erforderlich sind, um einem in Art. 23 Abs. 1 DSGVO erwähnten Ziel zu dienen und erforderlich sind.

Stufe 2: Pflichten der SDK reichen allein nicht aus. Zusätzliche Maßnahmen sind umzusetzen (Rz. 146).

  • Diese Maßnahmen können sowohl vertraglicher als auch technischer Natur sein.
  • Achtung: Risiko für den Importeur, gegen nationales Recht zu verstoßen.

Meines Erachtens ist noch einmal wichtig klarzustellen, dass die fehlende Möglichkeit, die SDK Pflichten einzuhalten, nach Ansicht des EuGH nicht direkt zur Unzulässigkeit der Übermittlung führt. Nur wenn dann auch zusätzliche Mittel bzw. Garantien nicht helfen, muss die Aufsichtsbehörde den Transfer untersagen bzw. vorher schon der Exporteur. Dies ergibt sich aus Rz. 146: „…,dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann“.

Der EuGH endet dann in Rz. 149 mit der Feststellung, dass die SDK in ihrer aktuellen Fassung und durch die dort enthaltenen Garantien grundsätzlich das erforderliche Schutzniveau (Rz. 96, „gleichwertig“) bieten. Ist die Einhaltung der SDK nicht möglich, müsste man mit der oben genannten Stufe 2 der Prüfung und Umsetzung weiterer Garantien fortfahren.

Berliner Datenschutzbeauftragte: Verfassung von Berlin ist wegen fehlender Unabhängigkeit der Datenschutzbehörde europarechtswidrig

Die in der Verfassung von Berlin niedergelegte Dienstaufsicht des Präsidenten des Abgeordnetenhauses von Berlin über die Berliner Datenschutzbeauftragte verstößt gegen Europarecht. Diese Ansicht vertritt die Berliner Datenschutzbeauftragte in ihrem aktuellen Jahresbericht (pdf, S. 202 ff)

Diese sehr klar Positionierung ist, soweit ersichtlich, bislang noch nicht öffentlich kommentiert oder diskutiert worden, birgt jedoch durchaus Konfliktpotential. Beispielsweise könnte die Europäische Kommission aufgrund der aktuellen Regelung ein Vertragsverletzungsverfahren gegen Deutschland einleiten.

Derzeit lautet Art. 47 Abs. 1 Verfassung von Berlin (VvB) wie folgt:

Zur Wahrung des Rechts der informationellen Selbstbestimmung wählt das Abgeordnetenhaus einen Datenschutzbeauftragten. Er wird vom Präsidenten des Abgeordnetenhauses ernannt und unterliegt dessen Dienstaufsicht.

Art. 52 Abs. 1 DSGVO sieht vor, dass jede Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse völlig unabhängig handelt. Nach Ansicht der BlnBfDI wird diese Vorgabe noch durch Art. 52 Abs. 2 DSGVO konkretisiert.

Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen und ersuchen weder um Weisung noch nehmen sie Weisungen entgegen“.

Die BlnBfDI begründet ihre Ansicht insbesondere mit Verweisen auf das europäische Primärrecht sowie die Rechtsprechung des EuGH zur Unabhängigkeit der Datenschutzbehörden (noch zur alten EU Datenschutz-Richtlinie).

Nach Art. 16 Abs. 2 S. 2 AEUV wird die Einhaltung der Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten von unabhängigen Behörden überwacht. Ähnliches sieht auch Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union vor:

Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

In seinem Urteil vom 9. März 2010 (C-518/07) hatte sich der EuGH mit der entsprechenden Vorgabe zur Unabhängigkeit der Aufsichtsbehörden unter Geltung der EU Datenschutz-Richtlinie befasst (Art. 28 Abs. 1 RL 95/46). Dieser lautete:

Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.“

Der EuGH befand, dass die staatliche Aufsicht gleich welcher Art es der Regierung des betroffenen Landes oder einer Stelle der ihr untergeordneten Verwaltung grundsätzlich ermöglicht, auf Entscheidungen der Kontrollstellen unmittelbar oder mittelbar Einfluss zu nehmen bzw. diese Entscheidungen aufzuheben und zu ersetzen.

Zwar mag es sein, dass die staatliche Aufsicht nur sicherstellen soll, dass das Handeln der Kontrollstellen den geltenden nationalen und gemeinschaftsrechtlichen Bestimmungen entspricht, und demnach nicht darauf abzielt, diese Stellen dazu zu zwingen, politische Zielsetzungen zu verfolgen, die dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den Grundrechten zuwiderlaufen.

Jedoch, so der EuGH, lasse sich nicht ausschließen, dass die Aufsichtsstellen, die Teil der allgemeinen Staatsverwaltung und damit der Regierung des jeweiligen Landes unterstellt sind, nicht zu objektivem Vorgehen in der Lage sind, wenn sie die Vorschriften über die Verarbeitung personenbezogener Daten auslegen und anwenden. Hinzu kommt, dass bereits die bloße Gefahr einer politischen Einflussnahme der Aufsichtsbehörden auf die Entscheidungen der Kontrollstellen ausreicht, um deren unabhängige Wahrnehmung ihrer Aufgaben zu beeinträchtigen.

Nach Ansicht der BlnBfDI ermöglicht eine staatliche Aufsicht „gleich welcher Art“ jedoch eine solche Einflussnahme. Selbst wenn die Aufsicht einer übergeordneten Stelle in der Praxis regelmäßig nicht zu konkreten Weisungen an die Aufsichtsbehörden führe, reiche die bloße Gefahr einer politischen Einflussnahme, um deren unabhängige Aufgabenwahrnehmung zu beeinträchtigen.

Da Art. 47 Abs. 1 Verfassung von Berlin eine Dienstaufsicht über die BlnBfDI vorsieht, verstoße diese Vorschrift gegen die europäischen Vorgaben.

Die in der Berliner Verfassung noch immer geregelte Dienstaufsicht der Berliner Beauftragten für Datenschutz und Informationsfreiheit durch den Präsidenten des Abgeordnetenhauses verstößt gegen Art. 52 Abs. 1 und 2 DS-GVO.

Zudem weist die BlnBfDI darauf hin, dass Art. 52 DSGVO auf nationaler Ebene unmittelbar anwendbares Unionsrecht darstellen und somit dem nationalen Recht vorrangig anzuwenden sind. Die Folge eines Verstoßes des Landes Berlin gegen die DSGVO kann etwa die Einleitung eines Vertragsverletzungsverfahrens gegen Deutschland sein.

Interessant ist hier zudem ein weiterer Hinweis der BlnBfDI:

Im Fall von Verstößen der Mitgliedsstaaten gegen Art. 52 DS-GVO können sich die Aufsichtsbehörden unmittelbar auf die DS-GVO berufen und gerichtlichen Rechtsschutz suchen.

Die BlnBfDI deutet hier also an, dass sie eventuell selbst gegen die aus ihrer Sicht europarechtswidrige Regelung vorgehen möchte. Zuletzt schlägt die BlnBfDI auch einen neuen Text für Art. 47 Abs. 1 VvB vor.

Bayerischer Verwaltungsgerichtshof zum Beschäftigtendatenschutz unter der DSGVO

Wenn es um Datenschutz im Arbeitsverhältnis geht, erhalten wir Entscheidungen zumeist eigentlich von den Arbeitsgerichten. Nun hat aber der Bayerische Verwaltungsgerichtshof (VGH) eine sehr interessante Entscheidung zum Beschäftigtendatenschutz im Anwendungsbereich der DSGVO im öffentlichen Dienstverhältnis getroffen (Beschluss vom 21.05.201917 P 18.2581). Die Entscheidung ist vor allem deshalb relevant, weil sich der VGH u.a. auch mit dem Verhältnis von nationalem Datenschutzrecht im Arbeitsverhältnis zur DSGVO und einzelnen Rechtsgrundlagen zur Verarbeitung von Mitarbeiterdaten befasst.

Sachverhalt

Das Verfahren betrifft Datenschutzfragen zur Unterrichtung der Personalvertretung durch die Dienststelle bei der Mitbestimmung anlässlich der Versetzung von Arbeitnehmern (nicht Beamten) ohne Bestenauslese. Im Kern geht es um die Frage, ob der Personalvertretung auch hinsichtlich solcher Arbeitnehmer, die für Versetzungen zur Auswahl stehen, aber von der Dienststelle gerade nicht ausgewählt werden, Angaben unter Nennung des Namens zu übermitteln sind oder ob insoweit anonymisierte Daten ausreichen. Die Dienststelle benannte gegenüber dem Bezirkspersonalrat bislang nur den jeweils von der Dienststelle ausgewählten Bewerber namentlich, während sie auf Mitbewerber nur anonymisiert verweist. Daneben enthält die Mitteilung die Anzahl der weiteren Versetzungsbewerber, die Darstellung der jeweiligen sozialen Auswahlkriterien der Versetzungsbewerber sowie eine Begründung der getroffenen Auswahlermessensentscheidung.

Der Bezirkspersonalrat vertritt die Auffassung, nur mit Kenntnis der Namen und der Beschäftigungsbehörden der Mitbewerber sei eine wirksame Nichtzustimmung begründbar bzw. überhaupt zu erkennen, ob eine Nichtzustimmung angezeigt sei. Er beruft sich u.a. auf Art. 69 Abs. 2 S. 3 BayPVG. Er zieht einerseits eine Parallele zur Mitbestimmung bei der Einstellung von Arbeitnehmern und andererseits eine Parallele zur Informationsweitergabe an den Personalrat beim sog. betrieblichen Eingliederungsmanagement. Die Angabe anonymisierter Daten genüge nicht.

Entscheidung

Der VGH lehnt die Beschwerde des Bezirkspersonalrates (es ging konkret um einen Feststellungsantrag) ab.

Nach Ansicht des VGH ergibt sich der Anspruch nicht aus Art. 69 Abs. 2 S. 1 und 2 BayPVG. Danach ist der Personalrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten. Ihm sind die hierfür erforderlichen Unterlagen zur Verfügung zu stellen.

Nach Auffassung des VGH ist die vorliegend beantragte nicht anonymisierte Datenübermittlung unter Berücksichtigung des Gewichts der informationellen Selbstbestimmung der von der Datenübermittlung betroffenen Personen nicht nach Art. 69 Abs. 2 S. 1 und 2 BayPVG zu rechtfertigen.

Begriff der „Erforderlichkeit“

Der VGH befasst sich in seiner Begründung mit der Frage, wie der Begriff „erforderlich“ nach Art. 69 Abs. 2 S. 2 BayPVG zu verstehen ist. Zunächst stellt der VGH diesbezüglich fest, dass die in Art. 69 Abs. 2 S. 1 und 2 BayPVG vorgesehene Unterrichtungspflicht streng aufgabenbezogen zu interpretieren ist. Weiter führt der VGH aus:

Was in diesem Sinn „erforderlich“ ist, lässt sich nicht rein begrifflich klären, sondern setzt als Korrektiv eine wertende Betrachtung voraus, in die neben einer Bewertung des Aufgabenbezugs selbst auch grundrechtliche Wertungen im Hinblick auf die von Art. 2 Abs. 1 GG geschützte informationelle Selbstbestimmung … einzufließen haben, wobei personalvertretungsrechtliche Datenübermittlungen auch nicht gegen unionsrechtliche Datenschutzvorgaben verstoßen dürfen.

Dies ist eine erste relevante Aussage des Gerichts, die auch im nicht-öffentlichen Bereich der Verarbeitung von Mitarbeiterdaten Relevanz entfalten kann. Was bedeutet „erforderlich“? (vgl. etwa auch in § 26 Abs. 1 S. 1 BDSG oder § 80 Abs. 2 BetrVG). Ausdrücklich verweist das Gericht hier darauf, dass sowohl grundrechtliche Erwägungen als auch Vorgaben des EU-Datenschutzrechts zu beachten sind. Meines Erachtens wird man die Begründung des VGH durchaus auch im privatwirtschaftlichen Bereich, wenn es um die Übergabe von Unterlagen und Daten an einen Betriebsrat geht, übertragen können.

Der VGH begründet seine Ablehnung der Übergabe umfassender Unterlagen an die Personalvertretung hier damit, dass die für die Personalvertretung bei der Versetzungsmitbestimmung maßgeblichen Kriterien auch auf der Basis bloß anonymisierter Daten weitgehend überprüft werden.

Eine darüber hinausgehende Datenübermittlung ist in der beantragten Tragweite nicht erforderlich.

Eine pauschale namentliche Datenübermittlung ist nicht erforderlich i.S.v. Art. 69 Abs. 2 S. 1 und 2 BayPVG, weil sie im Vergleich zu einer anonymisierten nicht wesentlich besser geeignet ist, um Art. 75 Abs. 2 BayPVG bei Versetzungen zu prüfen, gleichzeitig, so der VGH, aber im Vergleich zu anonymisierten Datenübermittlungen deutlich intensiver in die informationelle Selbstbestimmung (Art. 2 Abs. 1 GG) eingreift.

DSGVO gilt auch für den Beschäftigtendatenschutz

Danach befasst sich der VGH mit der DSGVO und den europäischen Datenschutzvorgaben.

Nach Ansicht des VGH spricht auch das mit Anwendbarkeit der DSGVO unionsrechtlich geregelte Datenschutzrecht im Hinblick auf den mit der Datenübermittlung verbundenen Eingriff in das unionsrechtliche Grundrecht auf Schutz personenbezogener Daten (Art. 8 i.V.m. Art. Art. 51 Abs. 1 S. 1 GRCh) gegen die vorliegend von der Personalvertretung begehrte pauschale Übermittlung namentlicher Sozialauswahldaten.

Zunächst stellte sich die Frage, ob die DSGVO auf den vorliegenden Sachverhalt Anwendung findet, da die Datenweitergabe ja unstreitig im Arbeitsverhältnis stattfindet und dieser Bereich des Arbeitnehmerdatenschutzes evtl. aus der Regelungskompetenz der EU ausgenommen ist.

Das VGH sieht dies, meines Erachtens zu Recht, nicht so.

Die Datenschutz-Grundverordnung erfasst unmittelbar auch die vorliegend streitgegenständliche Datenübermittlung im Rahmen des Arbeitnehmerdatenschutzes.

Zwar mag Art. 69 Abs. 2 BayPVG als bereichsspezifische Gesamtregelung dem nationalen Bayerischen Datenschutzgesetz vorgehen. Jedoch, so der VGH,

erfasst die direkt anwendbare Datenschutz-Grundverordnung im Hinblick auf den Anwendungsvorrang des Unionsrechts unmittelbar auch den Beschäftigtendatenschutz.

Auch geht der VGH klar davon aus, dass die Datenübermittlung im Zusammenhang mit der Beteiligung einer Personalvertretung nicht aus dem Anwendungsbereich des Unionsrechts herausfällt. Die Begründung: es ist von einschlägigen Rechtsetzungskompetenzen der Europäischen Union auszugehen.

Die Rechtsetzungskompetenz der Europäischen Union kann durchaus auch den Bereich des Arbeitsrechts und der diesbezüglichen Mitarbeitervertretung (hier: Personalvertretung) betreffen, was etwa durch Art. 2 Buchst. f, Art. 4 Abs. 4, Art. 6 Abs. 1 Satz 1 oder Abs. 7 der Richtlinie 2002/14/EG belegt werde.

Zudem weist der VGH noch darauf hin, dass das bayerische Landesrecht – anders als etwa § 26 BDSG – für den Bereich des Beschäftigtendatenschutzes die Ausnahmemöglichkeit des Art. 88 DSGVO nicht ausgeschöpft hat.

Personalvertretung als eigener Verantwortlicher?

Natürlich handelt es sich bei der begehrten Weitergabe von Unterlagen und Daten an die Personalvertretung auch um eine Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 1 und Nr. 2 DSGVO. Interessant ist hier natürlich, welche Form der Verarbeitung der VGH in der Weitergabe von Daten des Arbeitgebers an die Personalvertretung erkennt. Stichwort: Betriebsrat (hier: Personalvertretung) als eigener Verantwortlicher.

Der VGH lässt diese Frage leider ausdrücklich unbeantwortet und geht davon aus, dass die begehrte Weitergabe der Daten zumindest in Form der Verwendung durch Zurverfügungstellung an die Personalvertretung eine Verarbeitung darstellt.

Für die Frage der „Datenverarbeitung“ unerheblich ist, ob „Verantwortlicher“ i.S.v. Art. 4 Nr. 7 DSGVO beim Umgang mit diesen Daten durch die Personalvertretung die Dienststelle ist (deren Teil die Personalvertretung ist) oder ob die Personalvertretung eine eigene Verantwortlichkeit hat.

Der VGH positioniert sich also leider nicht zu dem aktuellen Streit, ob die Personalvertretung als eigener Verantwortlicher anzusehen ist.

Öffnungsklausel des Art. 88 DSGVO

Sehr relevant für den privatwirtschaftlichen Bereich sind die nachfolgenden Aussagen des VGH zu Art. 88 DSGVO und die Diskussion, wie die „Öffnungsklauseln“ der DSGVO zu verstehen sind. Insbesondere, ob der nationale Gesetzgeber strengere Regelungen im Beschäftigtendatenschutz schaffen darf.

Nach Ansicht des VGH ergibt sich aus Art. 88 DSGVO keine Ausnahme vom Geltungsbereich der Datenschutz-Grundverordnung für den Beschäftigtendatenschutz an sich. Hiergegen spreche schon der Wortlaut des Art. 88 Abs. 1 DSGVO, wo von „spezifischeren Vorschriften“ die Rede ist.

Die Verwendung des Komparativs (spezifischerer) ist ein deutlicher Hinweis darauf, dass es sich insoweit nicht um eine vollständige Geltungsbereichsausnahme, sondern vielmehr um eine Öffnungsklausel handelt, die den Mitgliedstaaten die Möglichkeit gibt, die im Ausgangspunkt einschlägigen Regelungen der Datenschutz-Grundverordnung durch spezifischere nationale Vorschriften zu präzisieren.

Das bayerische Landesrecht sieht im Zusammenhang mit der Versetzungsmitbestimmung und der diesbezüglichen Datenübermittlung an die Personalvertretung aber gerade keine „spezifischere“ Regelung vor. Die hier relevanten nationalen Normen, Art. 69 Abs. 2 S. 1 und 2 BayPVG weisen nach Ansicht des VGH im Vergleich zu Art. 88 DSGVO und zu Art. 5, 6 und 9 DSGVO keine höhere Spezifizierung auf – insbesondere auch nicht hinsichtlich der in Art. 88 DSGVO betonten Grundrechte der jeweils betroffenen Personen. Zudem kenne das bayerische Landesrecht bislang auch keine dem § 26 Abs. 6 BDSG vergleichbare explizite Vorschrift.

Hieraus folgt der VGH, dass die DSGVO im konkreten Fall unmittelbar für den Umgang mit Beschäftigtendaten gilt.

Deshalb bleibt es derzeit im Bereich des bayerischen Personalvertretungsrechts bei der unmittelbaren Anwendbarkeit der Datenschutz-Grundverordnung, und damit insbesondere auch der dort (Art. 6 DSGVO) vorgesehenen Rechtmäßigkeitsvoraussetzungen für Datenverarbeitungen.

Prüfung der Erlaubnistatbestände nach Art. 6 DSGVO

Danach befasst sich der VGH mit den verschiedenen, in Betracht kommenden Erlaubnistatbeständen für die Datenverarbeitung.

Zunächst lehnt der VGH richtigerweise das Vorliegen einer Einwilligung ab.

Insbesondere kann in der bloßen Äußerung eines Versetzungswunsches – auch wenn sie sich auf behördenintern bekannt gegebene, zu besetzende Dienstposten bezieht – noch keine i.S.v. Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO hinreichende Einwilligung in eine Datenübermittlung der Dienststelle an die Personalvertretung gesehen werden.

Zudem verweist der VGH darauf, dass die bloße Äußerung eines Versetzungswunsches auch nicht ausreicht, um i.S.v. Art. 7 Abs. 1 DS-GVO „nachzuweisen“, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten in Form der Übermittlung ihrer sozialen Auswahldaten an die Personalvertretung eingewilligt hat.

Auch eine Rechtfertigung der Verarbeitung über Art. 6 Abs. 1 lit. c DSGVO lehnt der VGH ab. Hier knüpft er an seine Ausführungen zur „Erforderlichkeit“ der Übergabe der Unteralgen an.

Der VGH begründet dies damit, dass die Weitergabe der Daten bei einer Auslegung im Licht des Art. 8 GRCh für die Erfüllung der rechtlichen Pflichten der Dienststelle nicht „erforderlich“ ist. Die unionsrechtskonforme Auslegung unter Berücksichtigung des Rechts auf Schutz der personenbezogenen Daten (Art. 8 GRCh) komme als Korrektiv dort zum Zuge, wo sich die typisierende gesetzliche Abwägung des Art. 69 Abs. 2 S. 1 und 2 BayPVG im Einzelfall als unverhältnismäßig erweist. Der Unterscheidung zwischen namentlichen und anonymisierten Daten komme auch aus Sicht des unionsrechtlichen Datenschutzes große Bedeutung zu.

Nach Auffassung des VGH spreche die abstrakt gesehen mögliche Sensibilität der gewünschten namensbezogenen Datenübermittlung (angesichts der ohnehin auch bei anonymisierten Daten bestehenden Rückschlussmöglichkeiten) gegen die Erforderlichkeit der von der Personalvertretung abstrakt und generell begehrten namensbezogenen Übermittlung.

Zuletzt lehnt der VGH die Datenverarbeitung auch auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO ab. Der VGH lässt hier die Frage offen, ob eine Geltung dieser Vorschrift im Zusammenhang mit personalvertretungsrechtlicher Aufgabenerfüllung nicht schon gemäß Art. 6 Abs. 1 Unterabs. 2 DSGVO ausgeschlossen ist. Jedoch könne die in Art. 6 Abs. 1 lit. f DSGVO vorgeschriebene Interessenabwägung im Hinblick auf den von Art. 8 GRCh vermittelten Grundrechtsschutz nicht anders ausfallen als die Erforderlichkeitsprüfung bei Art. 6 Abs. 1 lit. c DSGVO.

Fazit

Die Entscheidung des VGH ist ein Schatz an interessanten und für die Praxis relevanten Auslegungen und Interpretationen der DSGVO im Bereich des Beschäftigtendatenschutz. Besonders bedeutsam ist auch der Umstand, wie sehr der VGH hier (meines Erachtens absolut zu Recht) auf eine europarechtskonforme Auslegung der Vorschriften pocht und immer wieder auf die Charta der Grundrechte verweist. Man kann es nicht oft genug betonen: Datenschutz, auch der Beschäftigtendatenschutz, ist im Kern europäisches Recht und daher auch so zu behandeln.

Zukunft der EU-Standardvertragsklauseln: Irische Datenschutzbehörde veröffentlicht Informationen zum aktuellen Verfahren

Die irische Datenschutzbehörde hat auf ihrer Webseite Hintergrundinformationen zu einem derzeit vor dem irischen High Court anhängigen Verfahren zur Frage der Gültigkeit der EU-Standardvertragsklauseln (genauer: den zugrundeliegenden Beschlüssen der Europäischen Kommission) veröffentlicht. Hiermit möchte die Behörde über die Hintergründe des Verfahrens, an dem Maximilian Schrems und Facebook beteiligt sind, und den aktuellen Stand informieren. EU-Standardvertragsklauseln sind ein Instrument, um personenbezogene Daten in Staaten außerhalb des EWR zu übermitteln zu dürfen, die, aus Sicht des europäischen Rechts, nicht über ein angemessenes Schutzniveau für personenbezogene Daten verfügen. Die von der Kommission entwickelten Klauseln stellen ihrer Auffassung nach „ausreichende Garantien“ (Art. 26 Abs. 2 Datenschutzrichtlinie 95/46/EG) für den Schutz der Privatsphäre und der Grundrechte der betroffenen Personen dar. Anders als etwa eine Angemessenheitsentscheidung der Kommission, wie jüngst zum EU US Datenschutzschild, entfalten die Klauseln jedoch ihre Wirkung nur im Verhältnis der Parteien, die diese nutzen.

Die Aufsichtsbehörde weist darauf hin, dass Facebook und auch andere international tätige Unternehmen diese Klauseln nutzen, um personenbezogene Daten aus der EU in die USA zu übermitteln. Nach Auffassung der Behörde genügen die von der Kommission entwickelten Standardvertragsklauseln aber in drei Punkten nicht den Anforderungen europäischen Rechts.

Zum einen stünden europäischen Bürgern in den USA keine vergleichbar wirksamen Rechtsbehelfe zur Verfügung, wie sie Art. 47 der Charta der Grundrechte der Europäischen Union fordert, wenn die Daten in den USA durch staatliche Behörden für Zwecke der nationalen Sicherheit verwendet werden.

Zum anderen behandeln die Standardvertragsklauseln die Frage des wirksamen Rechtsbehelfs nicht entsprechend den Vorgaben des Europäischen Gerichtshofs, die er in seinem Urteil zur Safe Harbor-Entscheidung der Kommission (C-362/14, Schrems) aufstellte.

Zuletzt, so die Behörde, ergebe sich daraus, dass die Standardvertragsklauseln (bzw. die diesen zugrundeliegenden Beschlüssen der Kommission) selbst gegen Art. 47 der Charta verstoßen.

Entsprechend den Vorgaben des Europäischen Gerichtshofs in seinem Urteil zu Safe Harbor, habe die Aufsichtsbehörde daher die Gültigkeit der Standardvertragsklauseln vor einem irischen Gericht in Zweifel gezogen. Das Gericht könnte nun die Frage der Gültigkeit der Klauseln dem Europäischen Gerichtshof vorlegen. Wann dies genau geschieht, ist noch unklar. Derzeit befinde man sich in einer Phase des Austauschs von Meinungen und rechtlichen Ansichten zu dem Fall, der bis zum 20. Januar 2017 abgeschlossen sein soll.

Die Aufsichtsbehörde wird fortlaufend über dieses Verfahren berichten.

Generalanwalt zur Vorratsdatenspeicherung: Ja, aber…

Heute hat der Generalanwalt am europäischen Gerichtshof (EuGH), Saugmandsgaard Øe, seine Schlussanträge in den verbundenen Rechtssachen C-203/15 und C-698/15 vorgelegt. Es geht um die, gerade auch aus deutscher Sicht, wichtige Frage, inwiefern nationale Regelungen, die eine Speicherung von Kommunikationsdaten auf Vorrat vorsehen, mit europäischem Recht vereinbar sind.

Die Schlussanträge des Generalanwalts sind sehr ausführlich. Ich möchte daher nachfolgend nur einige Schlaglichter auf aus meiner Sicht besonders interessante Aspekte werfen.

Deutsche Regierung: Pflicht zur Vorratsdatenspeicherung nach EU-Recht zu beurteilen

Im Rahmen des Gesetzgebungsverfahrens zur Anpassung des Telekommunikationsgesetzes (TKG) in Deutschland und zur Einführung der Vorratsdatenspeicherung wurde teilweise vertreten, dass die neuen nationalen Regelungen sich nicht an europäische Standards messen lassen müssten, damit den neuen Regelungen im TKG kein europäisches Recht durchgeführt wird. Die deutsche Regierung hat bereits im Gesetzgebungsentwurf darauf hingewiesen, dass ihre Ansicht nach sehr wohl europäische Vorgaben zu beachten sind. Diese Ansicht bekräftigt die Bundesregierung noch einmal in dem Verfahren vor dem EuGH (Rz. 91). Die generelle Verpflichtung zur Vorratsspeicherung stellt eine Durchführung des Art. 15 Abs. 1 der Richtlinie 2002/58 dar. Auch die neuen Regelungen im TKG müssen also die Vorgaben europäischen Rechts beachten und aus diesem Grunde ist auch der Ausgang des hier vorliegenden Verfahrens für die Vorratsdatenspeicherung in Deutschland von besonderem Interesse.

Trennung zwischen Speicherung und Zugang

Der Generalanwalt trennt in seinen Schlussanträgen grundsätzlich zwischen der Verpflichtung und technischen Phase der Speicherung von Verkehrsdaten einerseits und dem späteren Zugang und technischen Zugriff auf diese gesammelten Verkehrsdaten durch nationale Behörden andererseits. Die Pflicht zur Speicherung fällt nicht unter die Ausnahmeregelung des Art. 1 Abs. 3 der Richtlinie 2002/58 (für Tätigkeiten im Rahmen der öffentlichen Sicherheit, der Landesverteidigung, der Sicherheit des Staates und der Tätigkeit des Staates im strafrechtlichen Bereich). Denn die Pflicht zur Speicherung trifft private Wirtschaftsteilnehmer im Rahmen ihrer privaten Tätigkeit (Rz. 94). Die in Art. 15 Abs. 1 der Richtlinie 2002/58 erlaube gerade die Einführung einer generellen Verpflichtung zur Vorratsdatenspeicherung. Die Inanspruchnahme dieser Befugnis durch den nationalen Gesetzgeber ist jedoch von der Einhaltung strenger Voraussetzungen abhängig (Rz. 116).

Der Generalanwalt stellt auch klar, dass seiner Ansicht nach die nationalen Bestimmungen die den Zugang zu den auf Vorrat gespeicherten Daten regeln nicht in den Anwendungsbereich der europäischen Charta der Grundrechte fallen (Rz. 123). Jedoch könne man seiner Ansicht nach die Problematik der Vorratsspeicherung und diejenige des nachgelagerten Zugangs nicht vollständig voneinander getrennt beobachten. Denn die konkrete Ausgestaltung des Zugangs ist von entscheidender Bedeutung für die Beurteilung der Frage, ob die Bestimmungen zur Einführung der Vorratsdatenspeicherung (also die vorgelagerte 1. Stufe) mit der Charta der Grundrechte der Europäischen Union und den Vorgaben der Richtlinie 2002/58 vereinbar sind (Rz. 125).

Zweifacher Eingriff: 6 kumulative Voraussetzungen zu erfüllen

Nach Auffassung des Generalanwalts stellt die generelle Verpflichtung zur Vorratsdatenspeicherung sowohl ein Eingriff in die in der Richtlinie 2002/58 verankerten Rechte als auch in die in den Art. 7 und 8 der Charta der Grundrechte verankerten Grundrechte dar (Rz. 127). Für eine Rechtfertigung dieser Eingriffe müssen sowohl die Vorgaben von Art. 15 Abs. 1 der Richtlinie 2002/58 und von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union, ausgelegt im Lichte des Urteils des EuGH in Sachen Digital Rights Ireland, erfüllt sein. Nach Auffassung des Generalanwalts müssen folgende Voraussetzungen kumulativ erfüllt werden:

  • Die Vorratsspeicherungspflicht muss eine gesetzliche Grundlage haben;
  • sie muss den Wesensgehalt der in der Charta verankerten Rechte wahren;
  • sie muss einer dem Gemeinwohl dienenden Zielsetzung entsprechen;
  • sie muss zur Verfolgung dieses Ziels geeignet sein;
  • sie muss für die Verfolgung des genannten Ziels erforderlich sein, und
  • sie muss in einer demokratischen Gesellschaft in angemessenem Verhältnis zur Verfolgung dieses Ziels stehen.

Einfache Kriminalität rechtfertigt keine generelle Verpflichtung zur Vorratsdatenspeicherung

teilweise wurde in dem Verfahren vorgebracht, dass jede Zielsetzung, die in Art. 15 Abs. 3 der Richtlinie 2002/58 oder auch in Art. 13 Abs. 1 der geltenden Datenschutzrichtlinie (95/46/EG) genannt sei eine generelle Verpflichtung zur Vorratsdatenspeicherung rechtfertigen könne auch bei Straftaten im Rahmen „einfacher“ Kriminalität oder im Kontext nicht strafrechtlicher Verfahren wäre die generelle Verpflichtung zur Vorratsdatenspeicherung gerechtfertigt (Rz. 169). Diese Auffassung teilt der Generalanwalt nicht. Seiner Ansicht nach schließt es das Erfordernis der Verhältnismäßigkeit in einer demokratischen Gesellschaft aus, dass die Bekämpfung einfacher Kriminalität eine Rechtfertigung für eine generelle Verpflichtung zur Vorratsdatenspeicherung sein kann. Die erheblichen Gefahren, die von dieser Verpflichtung ausgingen, stünden nämlich außer Verhältnis zu den Vorteilen, die sie bei der Bekämpfung leichter Kriminalität verschaffen würden (Rz. 172).

Erforderlichkeit: Einschränkung des Rechts aus Schutz personenbezogener Daten aus das „absolut Notwendige“

Im Rahmen der Prüfung der Erforderlichkeit der generellen Verpflichtung zur Vorratsdatenspeicherung macht der Generalanwalt unter anderem auch allgemeingültige Ausführung dazu, wann seiner Ansicht nach die Voraussetzungen der absoluten Notwendigkeit erfüllt sind. Das Merkmal der absoluten Notwendigkeit wird von dem EuGH gerade im Bereich des Datenschutzrechts und des Eingriffs in das entsprechende Grundrecht sehr oft ausgelegt und geprüft. Zuletzt etwa auch in seinem Schrems-Urteil zu Safe Harbor bei der Frage, welches Schutzniveau für personenbezogene Daten in der europäischen Union hinsichtlich der Verarbeitung dieser Daten durch staatliche Behörden existiert.

Nach Auffassung des Generalanwalts geht eine Verpflichtung zur Vorratsdatenspeicherung nicht über das absolut wendige hinaus, sofern mit dieser Speicherung bestimmte Garantien einhergehen die den Zugang zu den Daten, die Dauer der Vorratsspeicherung und den Schutz und die Sicherheit der Daten betreffen (Rz. 193). Diese Differenzierung ist meines Erachtens zum Verständnis der Schlussanträge sehr wichtig. Der Generalanwalt leitet in der Folge seine Auffassung aus früheren Urteilen des EuGH ab, dass dieser nicht entschieden habe, dass eine mangelnde Differenzierung bei der Erhebung und Speicherung personenbezogener Daten bedeuten würde, dass die Verpflichtung zu dieser Speicherung als solche über das absolut notwendige hinausgehen (Rz. 199). Sie geht jedoch dann über das absolut wendige hinaus, wenn, quasi als Auffanglager Schale einer fehlenden Differenzierung bei der Erhebung und Speicherung, keine geeigneten Garantien hinsichtlich der Datensicherheit und des Zugriffs auf die Daten vorhanden sind.

Diesbezüglich verweist der Generalanwalt auch auf das Urteil des EuGH in Sachen Schrems, wo das Gericht in Rz. 93 diese Zweigliedrigkeit bei der Auslegung des Begriffs des „absolut Notwendigen“ noch einmal klar formulierte. Der Generalanwalt folgert, dass eine Verpflichtung zur Vorratsspeicherung über das absolut notwendige stets dann hinausgeht, wenn mit ihr keine Garantien hinsichtlich des Datenzugangs, der Dauer der Vorratsspeicherung sowie des Schutzes und der Sicherheit der Daten einhergehen (Rz. 205).

Interessant sind die diesbezüglichen Verstellung des Generalanwalts insbesondere hinsichtlich der Frage, inwieweit die neue Angemessenheitsentscheidung der Europäischen Kommission zum Privacy Shield ein angemessenes Schutzniveau hinsichtlich personenbezogener Daten, die in die USA übertragen werden, gewährleistet. Vor der offiziellen Verabschiedung des Privacy Shield wurde ja gerade auch über die Thematik der generellen Erhebung und Speicherung von personenbezogenen Daten durch US-Behörden einerseits und den Vorgaben der US-Behörden hinsichtlich des Zugangs und der Nutzung dieser Daten andererseits diskutiert. Man könnte sich also meines Erachtens durchaus die Frage stellen, inwieweit die durch die US-Regierung zugesicherten Garantien den Anforderungen jener Garantien genügen, die der Generalanwalt in diesem Verfahren formuliert.

Google wehrt sich gegen französische Behörde: gilt das „Recht auf Vergessenwerden“ weltweit?

Heute hat Google in einem Blogpost bekannt gegeben, dass sich das Unternehmen gegen eine durch die französische Datenschutzbehörde (CNIL) verhängte Geldstrafe in Höhe von 100.000 EUR juristisch zur Wehr setzen wird. Informationen zu dem Verfahren gibt es auf der Seite der CNIL. Dort ist auch eine inoffizielle Übersetzung des entsprechenden Beschlusses (PDF) ins Englische verfügbar.

Insbesondere vertritt die CNIL die Auffassung, dass es unter dem geltenden europäischen Datenschutzrecht und mit Blick auf das Urteil des Europäischen Gerichtshofs (EuGH) in seinem Google-Urteil (C-131/12) nicht ausreicht, wenn nach einer Beschwerde einer betroffenen Person Links aus Suchergebnislisten allein auf Webseiten mit europäischen Endungen (z.B. .de, .es oder .fr) und auch bei Suchanfragen aus dem jeweiligen Mitgliedstaat des Beschwerdeführers auf allen Webseiten der Suchmaschine (also auch auf Google.com) unterdrückt werden. Dieses Vorgehen hatte Google zuletzt gewählt. Die französische Behörde verlangt vielmehr, dass Links aus Ergebnislisten von allen Webseiten der Suchmaschine entfernt werden müssen und zudem unabhängig davon, in welchem Mitgliedstaat der Beschwerdeführer sitzt und von wo aus die Suchanfrage gestellt wird.

Im Ergebnis stellt sich die Frage, ob das europäische Datenschutzrecht und insbesondere seine Durchsetzung durch die Datenschutzbehörden globale Geltung beanspruchen. Ob also etwa auf Anweisung einer französischen Behörde zum einen Nutzer der Suchmaschine in anderen Mitgliedstaaten (z.B. in Deutschland oder Spanien) und zum anderen in Staaten außerhalb des EWR wie z.B. den USA (Google.com) oder Japan (Google.co.jp) nur die veränderte Ergebnisliste angezeigt bekommen dürfen.

Dazu nachfolgend einige Gedanken, die sicherlich nicht abschließend sind, jedoch eventuell zur Diskussion anregen.

Grundsätzlich lässt sich die Feststellung treffen, dass der EuGH in seinem Google-Urteil keine konkreten Aussagen zur territorialen Reichweite des sog. „Recht auf Vergessenwerden“ getroffen hat. Was er in seinem Urteil jedoch stets betont, ist die Bedeutung, die der Durchsetzung und vollen Entfaltung der in der Datenschutzrichtlinie (DS-RL) aufgestellten Garantien für betroffene Personen zukommt.

Der EuGH führt in seinem Google Urteil aus, dass der für Verarbeitung Verantwortliche (also etwa der Suchmaschinenbetreiber)

in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten dafür zu sorgen [hat], dass die Verarbeitung den Anforderungen der Richtlinie 95/46 genügt, so dass die von dieser vorgesehenen Garantien ihre volle Wirkung entfalten können (Rz. 83)

Eine wichtige Rolle bei der Erreichung dieses Ziels der Durchsetzung des europäischen Rechts spielen natürlich die Aufsichtsbehörden. Hierauf weist auch der EuGH in seinem Urteil hin:

In diesem Zusammenhang ist darauf hinzuweisen, dass sich nach Art. 28 Abs. 3 und 4 der Richtlinie 95/46 jede Person zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden kann und jede Kontrollstelle über Untersuchungsbefugnisse und wirksame Einwirkungsbefugnisse verfügt, aufgrund deren sie u. a. die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung personenbezogener Daten anordnen kann. (Rz. 78)

Hieraus lässt sich bereits der Schluss ziehen, dass die Frage, ob europäisches Datenschutzrecht weltweit gelten soll, stets auch im Zusammenhang mit seiner Durchsetzung durch die Aufsichtsbehörden zu sehen ist. Denn allein die Anwendbarkeit europäischen Datenschutzrechts hat noch nichts mit der Verwirklichung der vorgesehenen Garantien aus der DS-RL oder auch aus der Charta der Grundrechte der Europäischen Union für die betroffenen Personen zu tun.

Ich möchte, zur Untermauerung dieser Ansicht, auf das bekannte Urteil des EuGH zur Aufhebung der Vorratsdatenspeicherungsrichtlinie hinweisen (C?293/12 und C?594/12). Dort kritisiert das Gericht nämlich, dass die betreffende Richtlinie keine Pflicht vorsieht,

dass die fraglichen Daten im Unionsgebiet auf Vorrat gespeichert werden, so dass es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten (vgl. in diesem Sinne Urteil Kommission/Österreich, C 614/10, EU:C:2012:631, Rn. 37) (Rz. 68).

Der EuGH geht also selbst davon aus, dass überhaupt nur dann eine den Anforderungen der Charta der Grundrechte und auch der DS-RL entsprechende Garantie für den Schutz personenbezogener Daten möglich ist, wenn die Einhaltung der Vorschriften durch die jeweils zuständigen europäischen Datenschutzbehörden überwacht und gegebenenfalls auch durchgesetzt werden kann. Dies kann allein im Unionsgebiet möglich sein.

Geht man also, mit der vorstehenden Argumentation davon aus, dass neben der reinen Anwendbarkeit europäischen Datenschutzrechts auch immer die Möglichkeit seiner Einhaltung und insbesondere Durchsetzung als inhärente Garantie zu sehen ist, stellt sich unweigerlich die Frage, wie weit die Befugnisse europäischer Datenschutzbehörden, insbesondere territorial, reichen.

Hierzu möchte ich auf eine weitere Entscheidung des EuGH, die sog. Weltimmo-Entscheidung (C-230/14) hinweisen. In diesem Urteil befasst sich das Gericht mit der Frage, wie weit die Kompetenzen der europäischen Aufsichtsbehörden reichen.

So hat nach Art. 28 Abs. 1 DS-RL jede von einem Mitgliedstaat eingeführte Kontrollstelle dafür Sorge zu tragen hat, dass die von den Mitgliedstaaten zur Umsetzung der DS-RL erlassenen Vorschriften im Hoheitsgebiet dieses Mitgliedstaats eingehalten werden (Rz. 47; Hervorhebung durch mich). Zudem, so der EuGH, ergibt sich aus Art. 28 Abs. 1 und 3 DS-RL, dass jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaats übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen (Rz. 51; Hervorhebung durch mich). Auch stellt der EuGH klar, dass aus den Anforderungen, die sich aus der territorialen Souveränität des betreffenden Mitgliedstaats, der Gesetzmäßigkeit der Verwaltung und dem Begriff des Rechtsstaats ergeben, folgt, dass die Sanktionsgewalt grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden kann, in denen eine Behörde nach dem Recht ihres Mitgliedstaats ermächtigt ist (Rz. 56; Hervorhebung durch mich).

In dem Fall Weltimmo ging es um einen innereuropäischen Sachverhalt, also die Frage, inwieweit die Aufsichtsbehörde eines Mitgliedstaates im Territorium eines anderen Mitgliedstaates Sanktionsgewalt ausüben darf. Dies lehnt das Gericht mit obiger Begründung ab. Die Sanktionsgewalt darf nicht außerhalb der gesetzlichen Grenzen des eigenen Mitgliedstaates ausgeübt werden.

Übertragen auf die Auseinandersetzung zwischen Google und der französischen Behörde stellt sich nun die Frage, ob es mit der vorgenannten Rechtsprechung des EuGH konform wäre, einer europäischen Aufsichtsbehörde die Befugnis zuzugestehen, Datenverarbeitungen, die zum einen entweder von Personen in anderen europäischen Mitgliedstaaten (der jeweilige Nutzer der Suchmaschine, der nach einem Namen einer betroffenen Person sucht) oder die zum anderen von Personen auf einem Territorium eines Staates außerhalb der Europäischen Union durchgeführt werden, zu regulieren und am Ende mit einem entsprechenden verwaltungsrechtlichen Beschluss, der von seinem Anwendungsbereich her eigentlich nur auf das Territorium des jeweiligen Mitgliedstaates begrenzt ist, zu beeinflussen. Die Maßnahme einer europäischen Behörde hätte dann direkte Auswirkungen in anderen Staaten. Bereits für die erste Konstellation, dass sich ein entsprechender französischer Beschluss etwa auf deutsches oder spanisches Territorium bzw. die dortigen Personen auswirkt, hätte ich meine Zweifel. Dies gilt freilich erst recht in der zweiten Konstellation, also außerhalb der Europäischen Union und damit auch des Kompetenzbereichs der europäischen Datenschutzbehörden.

Nun wird man sicher als Gegenargument anführen können, dass der territoriale Anwendungsbereich europäischen Datenschutzrechts aber doch auch durch den EuGH sehr weit interpretiert wird und eben auch europäisches Datenschutzrecht für die Tätigkeiten einer Google Inc. mit Sitz in den USA gilt. Das ist korrekt. Doch meiner Ansicht nach ist, wie oben beschrieben, für die Verwirklichung der in der europäischen Datenschutzrichtlinie und auch in der Charta der Grundrechte der Europäischen Union festgelegten Rechte und Garantien unweigerlich erforderlich, dass diese durchgesetzt werden (ich verweise noch einmal auf das Urteil des EuGH zur Vorratsdatenspeicherungsrichtlinie). Eine solche Durchsetzung ist aber, aufgrund des Prinzips der territorialen Souveränität von Staaten, nicht immer möglich. Im Ergebnis scheint mir der aktuelle Ansatz von Google zumindest nicht außerhalb der Vorgaben europäischen Rechts zu liegen.

Dieser Problematik scheinen sich im Prinzip auch die europäischen Datenschutzbehörden bewusst zu sein. Wenn man sich die Leitlinien der europäischen Behörden zur Umsetzung des Google-Urteils anschaut (WP 225, PDF), so findet sich auf Seite 8 unter Ziffer 19 der Hinweis, dass die Behörden sich in der Praxis auf solche Fälle „fokussieren“ werden, die einen deutlichen Bezug zum Territorium eines europäischen Mitgliedstaates aufweisen, insbesondere, wenn es sich um ein EU-Bürger handelt.

Am Ende bleibt wohl nur festzustellen, dass die territoriale Durchsetzung europäischen Datenschutzrechts sicherlich kein einfaches und auch ein streitbares Thema darstellt. Man darf gespannt sein, wie dieses Verfahren in Frankreich weitergeht. Am Ende könnte erneut eine Entscheidung des Europäischen Gerichtshofs stehen.

European Court of Justice hears arguments in two procedures on national data retention laws

Today, the hearing takes place before the European Court of Justice (ECJ) in Luxembourg in joined Cases C-203/15 and C-698/15 place (Link to the calendar of the ECJ). In these procedures, the question of the conformity of national laws, forcing telecommunications providers to store traffic data, with EU law is at stake. In 2014, the ECJ ruled invalid the European Data Retention Directive (Ruling of 8th April 2014, C -293 / 12).

In the now negotiated procedures, the Court has to deal with national laws that impose obligations on providers to store traffic data.

In a Swedish preliminary ruling (Tele2 Sverige, C-203/15) the referring court asks whether

a general obligation to retain traffic data covering all persons, all means of electronic communication and all traffic data without any distinctions, limitations or exceptions for the purpose of combating crime

is compatible with Article 15(1) of Directive 2002/58/EC, taking account of Articles 7, 8 and 15(1) of the Charter of Fundamental Rights. The Swedish court furthermore wants to know if the retention may nevertheless be permitted where, inter alia all relevant data are to be retained for six months.

At the same time, the ECJ will assess a preliminary ruling from the UK (Davis and Others, C-698/15) which also deals with the question of the conformity of national regulations on data retention.

Today, “only” the hearing takes place. This means that the various parties can express their positions. The Court may ask questions in connection with the preliminary ruling. Sometimes, these questions already show a tendency for a subsequent judgment.

The request for a preliminary ruling from Sweden is particularly relevant for Germany, where recently a new data retention law has been adopted by the Parliament. In the reasoning of the new law, “Law establishing a storage requirement and a maximum retention period for traffic data” (pdf, German), the German legislature explicitly refers to the application of Art. 15 (1) of Directive 2002/58/EC and assumes that national rules on data retention must therefore be measured against the requirements of the Charter of Fundamental rights of the European Union.

Europäischer Gerichtshof verhandelt über Vorratsdatenspeicherung

Heute findet vor dem europäischen Gerichtshof (EuGH) in Luxemburg die mündliche Verhandlung in den verbundenen Rechtssachen C-203/15 und C-698/15 statt (Link zum Sitzungskalender). In den Verfahren geht es um die Frage der Konformität nationaler Gesetze mit EU-Recht, die Telekommunikationsanbieter zur Speicherung von Verkehrsdaten verpflichten. Im Jahr 2014 hat der EuGH die europäische Richtlinie zur Vorratsdatenspeicherung für ungültig erklärt (Urt. v. 8. April 2014, C-293/12).

In den nun verhandelten Verfahren muss ich der EuGH mit nationalen Gesetzen befassen, die eine Speicherung von Verkehrsdaten vorschreiben.

In einem schwedischen Vorabentscheidungsersuchen (Tele2 Sverige, C-203/15) stellt das vorlegende Gericht die Frage, ob

eine generelle Verpflichtung zur Vorratsspeicherung von Verkehrsdaten, die sich (wie [im Vorabentscheidungsersuchen] beschrieben) auf alle Personen und alle elektronischen Kommunikationsmittel sowie auf sämtliche Verkehrsdaten erstreckt, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung von Straftaten vorzusehen, mit Art. 15 Abs. 1 der Richtlinie 2002/58 unter Berücksichtigung der Art. 7, 8 und 52 Abs. 1 der Charta vereinbar

ist.

Falls der EuGH diese erste Frage verneinen sollte, möchte das vorlegende Gericht wissen, ob die Vorratsspeicherung dennoch zulässig sein kann, wenn

a) der Zugang der nationalen Behörden zu den gespeicherten Daten wie [im Vorabentscheidungsersuchen] beschrieben festgelegt ist und
b) die Sicherheitsanforderungen wie [im Vorabentscheidungsersuchen] beschrieben geregelt sind und
c) sämtliche relevanten Daten wie [im Vorabentscheidungsersuchen] beschrieben für einen Zeitraum von sechs Monaten ab dem Tag, an dem die Kommunikation beendet wird, gespeichert und anschließend gelöscht werden müssen?

Verbunden mit diesem Verfahren wird zugleich ein Vorabentscheidungsersuchen aus England behandelt (Davis u.a., C-698/15), in dem es ebenfalls um die Frage der Konformität nationaler Regelungen zur Vorratsdatenspeicherung geht. Hier stellt das vorlegende Gericht unter anderem die Frage, ob das Urteil des EuGH in der Rechtssache C-293/12

verbindliche, für die nationale Regelung eines Mitgliedstaats über den Zugang zu gemäß den nationalen Rechtsvorschriften auf Vorrat gespeicherten Daten geltende Voraussetzungen für die Vereinbarkeit mit den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) fest

legt.

Heute wird zunächst einmal nur verhandelt. Das bedeutet, dass die verschiedenen Beteiligten ihre Positionen darlegen können. Der Gerichtshof kann im Rahmen der mündlichen Verhandlung aber auch Fragen stellen, aus denen sich bereits oft eine Tendenz für ein späteres Urteil abzeichnet.

Gerade das Vorabentscheidungsersuchen aus Schweden ist insbesondere auch für die kürzlich in Deutschland (wieder) beschlossene Vorratsdatenspeicherung relevant. Denn der deutsche Gesetzgeber geht für das „Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (pdf) unter anderem davon aus, dass der Anwendungsbereich des Art. 15 Abs. 1 der Richtlinie 2002/58 eröffnet ist und nationale Regelungen zur Vorratsdatenspeicherung sich an den Vorgaben der Charta der Grundrechte der Europäischen Union messen lassen müssen.

Generalanwalt: Safe Harbor-Entscheidung verletzt europäische Grundrechte. Nicht Facebook.

Heute hat der Generalanwalt am EuGH seine Schlussanträge im Verfahren von Max Schrems gegen die irische Datenschutzbehörde (C-362/14) präsentiert. In der Presse (z.B. Golem und FAZ) und in Blogs (etwa bei Thomas Stadler) wurde bereits darüber berichtet und erste Schlussfolgerungen gezogen.

Ich möchte nachfolgend, nachdem ich die Schlussanträge einmal grob überfliegen konnte, auf einige Besonderheiten und besonders relevante Aussagen des Generalanwalts hinweisen, die vielleicht bisher noch nicht beleuchtet wurden.

Starke Stellung der Datenschutzbehörden

Wenig überraschend vertritt der Generalanwalt die Auffassung, dass nationale Datenschutzbehörden durch einen Angemessenheitsbeschluss der Kommission (um den es sich bei Safe Harbor handelt) nicht absolut gebunden sind und weiterhin die ihnen durch die Charta der Grundrechte der Europäischen Union und die Datenschutz-Richtlinie (RL 95/46/EG) übertragenen Befugnisse ausüben dürfen. Wenn es um den Schutz von Grundrechten (im vorliegenden Fall von Art. 7 und 8 der Charta) geht, dürfen nationale Behörden eigene Untersuchungen vornehmen und erforderlichenfalls auch Datentransfers in Drittstaaten untersagen, selbst wenn ein Angemessenheitsbeschluss der Kommission existiert. Rechtlich gesprochen nimmt eine Angemessenheitsentscheidung nach Art. 25 Abs. 6 RL 95/46/EG den Aufsichtsbehörden nicht ihre Befugnisse nach Art. 28 RL 95/46/EG (vgl. Rz. 120 der Schlussanträge).

Grundvoraussetzung: gleicher Schutz

Wenn personenbezogene Daten aus der Europäischen Union heraus, auf der Grundlage einer Angemessenheitsentscheidung, in Drittstaaten übertragen werden können sollen, dann muss in diesem Drittstaat dem Grunde nach dasselbe Schutzniveau gelten, wie es durch die Vorgaben der Grundrechtecharta und der RL 95/46/EG auch innerhalb der EU existiert (Rz. 144). Ein wichtiger Baustein hierfür ist die Existenz einer unabhängigen Kontrollinstanz, die die Einhaltung der datenschutzrechtlichen Vorgaben überwacht und durchsetzt (Rz. 145).

Unklare Ausnahmeregelungen für Zwecke der nationalen Sicherheit

Der Generalanwalt kritisiert die in der Safe Harbor-Entscheidung vorgesehenen Möglichkeiten, für Zwecke der nationalen Sicherheit von den vorgegebenen Prinzipien zum Schutz personenbezogener Daten abweichen zu können (Anhang I Absatz 4). Der Wortlaut der Vorschriften sei viel zu allgemein gehalten und werde von Sicherheitsbehörden in den USA weit ausgelegt und genutzt, um auf personenbezogene Daten zugreifen zu können (Rz. 164).

Keine Möglichkeit des Rechtsschutzes in den USA

Ebenfalls kritisiert der Generalanwalt, dass EU-Bürger keine Möglichkeit hätten, Rechtsschutz gegen Datenverarbeitungen zu suchen, die über jene Zwecke hinausgehen, für die die Daten ursprünglich in die USA übermittelt wurden (Rz. 165).

Facebook verletzt nicht die Vorgaben von Safe Harbor

Der Generalanwalt stellt zudem klar, dass Facebook nicht gegen die Vorgaben von Safe Harbor verstößt (Rz. 168). Denn ein Zugriff von Sicherheitsbehörden auf Daten oder eine Weiterleitung der Daten auf der Grundlage nationaler Gesetze in den USA ist in der Safe Harbor-Entscheidung gerade vorgesehen. Die Frage ist daher vielmehr, ob die Safe Harbor-Entscheidung selbst (und in ihr aufgestellte Prinzipien und auch die Ausnahmen) gegen europäisches Recht verstößt. Die in der Safe Harbor-Entscheidung ausdrücklich zugelassene Weitergabe von Daten für Zwecke der nationalen Sicherheit stellt einen Eingriff in die Grundrechte der EU-Bürger dar (nicht jedoch durch die privaten Unternehmen) und muss gerechtfertigt sein (Rz. 174).

Ausnahmeregelungen in Safe Harbor verstoßen gegen Grundrechte

Die in der Safe Harbor-Entscheidung vorgesehenen Ausnahmen sind nach Auffassung des Generalanwalts viel zu offen und ungenau formuliert, um einen Eingriff in die Grundrechte aus Art. 7 und 8 der Charta zu rechtfertigen. Es existieren keine ausreichenden und genau definierten Schutzmechanismen, um eine Massenüberwachung durch ausländische Sicherheitsbehörden zu unterbinden (Rz. 202).

Verstoß gegen Verhältnismäßigkeitsgrundsatz

Ein Eingriff in Grundrechte kann gerechtfertigt sein. Muss dafür jedoch geeignet, erforderlich und angemessen sein. Der Generalanwalt stellt klar, dass die EU-Kommission, mit Annahme der Safe Harbor-Entscheidung und ihrer Aufrechterhaltung, gegen den Verhältnismäßigkeitsgrundsatz verstoßen hat und eine Verletzung der Grundrechte aus Art. 7 und 8 der Charta sowie Art. 52 Abs. 1 der Charta vorliegt. Aus diesem Grund ist die Entscheidung der Kommission für ungültig zu erklären (Rz. 215 f.). Hinzu kommt nach Ansicht des Generalanwalts, dass die EU-Kommission Safe Harbor auch noch während der Verhandlungen über eine neue Version weiterhin in Kraft belassen hat (Rz. 233 und 236).

Ausblick

Abschließend möchte ich anmerken, dass man nun abwarten muss, wie der EuGH entscheiden wird. Ich denke, die Tendenz ist aber klar. Doch was bedeutet es, wenn von einem auf den anderen Tag Safe Harbor ungültig wäre? Natürlich dürften personenbezogene Daten aus Europa auch weiterhin in die USA übermittelt werden. Hierfür wäre dann jedoch eine andere Grundlage (Einwilligung, Standardvertragsklauseln, etc.) erforderlich. Ich denke zudem, dass man nicht unbedingt einen großen Gewinn für den transatlantischen Datenschutz einfährt, wenn Safe Harbor, ohne Nachfolgeregelungen, für ungültig erklärt wird. Denn dass die Datenstrome einfach aufhören zu fließen, daran kann niemand wirklich glauben. Man wird dann einfach eine Situation mit tausendfacher Rechtsverletzung kreieren. Die Unternehmen stehen natürlich zwischen zwei Stühlen. Verschiedenen, auf sie anwendbare Rechtsordnung. Auch wenn Safe Harbor fällt, werden Sicherheitsbehörden (im Übrigen nicht nur in Drittsaaten) auf Daten bei Unternehmen zugreifen. In diesem Zusammenhang sollte man sich auch einmal die Frage stellen, wie denn der Rechtsschutz und die Aufsicht über den Zugriff von Geheimdiensten bei uns in der EU ausgestaltet sind.