Verwaltungsgericht: Facebook Custom Audience mit Kundenliste ist ohne Einwilligung unzulässig

Dass der Einsatz von Facebook Custom Audience aus datenschutzrechtlicher Sicht nicht unkritisch ist, dürfte seit einiger Zeit bekannt sein. Zuletzt hatte die bayerische Aufsichtsbehörde für Unternehmen, das BayLDA, im Oktober 2017 in einer Pressemitteilung darauf hingewiesen, dass Unternehmen in Bayern diesbezüglich überprüft wurden. Zudem stellte das BayLDA seine Sichtweise zur Zulässigkeit der verschiedenen Varianten des Werbe-Tools dar.

Die Variante „Facebook Custom Audience über die Kundenliste“ sieht das BayLDA nur als datenschutzrechtlich zulässig an, wenn Betroffene, deren Daten, u.a. auch die E-Mail-Adresse, gehasht an Facebook zum Abgleich mit Facebook-Nutzern weitergegeben wird, zuvor in die Verwendung der Daten für den werblichen Zweck eingewilligt haben.

Nachdem ein bayerisches Unternehmen, welches diese Variante von Facebook Custom Audience nutzte, vom BayLDA geprüft wurde und der Ansicht der Behörde nicht folgte, dass in diesem Fall die Einwilligung er Betroffenen erforderlich sei (diese lag nicht vor), erließ das BayLDA gegen das Unternehmen einen Bescheid, mit dem das Unternehmen verpflichtet wurde, binnen zwei Wochen nach Zustellung des Bescheides die erstellten Custom Audiences (Kundenlisten) zu löschen.

Gegen diesen Bescheid ging das Unternehmen, zunächst im Wege des vorläufigen Rechtsschutzes, vor dem Verwaltungsgericht (VG) Bayreuth gerichtlich vor. Das Verwaltungsgericht entschied nun mit Beschluss v. 08.05.2018 – B 1 S 18.105, dass der Antrag des Unternehmens abgelehnt wird, da Sache die in der Hauptsache erhobene Klage Unternehmens voraussichtlich ohne Erfolg bleiben wird.

Oder kurz: das Gericht folgt der Auffassung des BayLDA („folgt das Gericht den Gründen der angegriffenen Anordnung vom 16.01.2018“), dass der Einsatz der Variante von Facebook Custom Audience über das Hochladen von Kundenlisten in den eigenen Facebook Account des Unternehmens der vorherigen Einwilligung der Betroffenen bedarf.

Der Beschluss des VG ist sehr ausführlich und durchaus lesenswert. Insbesondere die Darstellung der verschiedenen Rechtspositionen und Begründungen der Parteien ist interessant.

Zudem noch ein Hinweis: der Beschluss erging auf Grundlage der alten Rechtslage vor dem 25.5.2018. Das heißt nicht, dass alle in dem Beschluss benannten Gründe und Erwägungen nun hinfällig wären. Denn wie wir wissen, unterscheidet sich die DSGVO gar nicht so sehr von dem alten BDSG. An der ein oder anderen Stelle, können sich meines Erachtens aber auch Unterschiede ergeben (Beispiel: die DSGVO kennt kein Listenprivileg für Werbezwecke, sondern benennt die Verarbeitung für Zwecke der Direktwerbung als ein mögliches berechtigtes Interesse; das alte BDSG definierte die Anonymisierung von Daten, die DSGVO jedoch nicht).

Nachfolgend möchte ich ganz kurz die Gründe des VG für seine Entscheidung aufführen:

  • Uber die verwendeten E-Mail-Adressen ist ein Personenbezug herstellbar. Durch den Vorgang des „Hashens“ werden die Daten nicht (i.S.v. § 3 Abs. 6 BDSG) anonymisiert, da der Personenbezug hierdurch nicht völlig aufgehoben wird. Vielmehr ist es weiterhin mit nicht nur unverhältnismäßigem Aufwand möglich, sie einer bestimmten oder bestimmbaren Person zuzuordnen.
  • Bei der Übermittlung der gehashten E-Mail-Adressen der Kunden des Unternehmens an Facebook handelt es sich nicht um eine Übermittlung im Rahmen einer Auftragsdatenverarbeitung, sondern um eine Übermittlung an Dritte und in der Folge eine Datenverarbeitung.
  • In der vorliegenden Sachverhaltsgestaltung ist nicht von einer Auftragsdatenverarbeitung, sondern vielmehr von einer sog. „Funktionsübertragung“ auszugehen. Die Übermittlung der (gehashten) E-Mail-Adressen ist integraler Bestandteil der Werbemaßnahme. Eine eigenständige Bedeutung der bloßen Durchführung eines Datenabgleichs, der dann als Teil einer Auftragsdatenverarbeitung angesehen werden könnte, ist nicht zu erkennen.
  • Das Unternehmen kann die Zulässigkeit der Datenübermittlung nicht auf das sog. „Listenprivileg“ (§ 28 Abs. 3 Satz 2 BDSG (alt)) stützen. Bei E-Mail-Adressen handelt es sich nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs. 3 Satz 2 BDSG nicht enthalten sind.
  • Eine Berechtigung zur Übermittlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG (alt), da dieser lediglich das „Hinzuspeichern“ und somit allein die Vervollständigung der Informationen erlaubt, jedoch keine eigene Übermittlungsbefugnis hinsichtlich weiterer Daten enthält. Darüber hinaus wäre jedoch zusätzlich eine zugunsten des Unternehmens ausgehende Interessenabwägung notwendig (§ 28 Abs. 3 Satz 6 BDSG (alt)), die jedoch hier zum Nachteil des Unternehmens ausgeht.
  • Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG (alt) (Interessenabwägung) kann die Übermittlung der (gehashten) E-Mail-Adressen nicht gerechtfertigt werden. Im Rahmen der insoweit vorzunehmenden Interessenabwägung sind die im § 28 Abs. 3 BDSG (alt) getroffenen Wertungen des Gesetzgebers zu berücksichtigen. In der hiesigen Fallgestaltung ist festzustellen, dass die hier beanstandete Übermittlung der E-Mail-Adressen nach den Regelungen in § 28 Abs. 3 BDSG (alt) selbst dann rechtswidrig wäre, wenn man insoweit die Privilegierungen für Listendaten zugrunde legen würde. Dies spricht im Rahmen der Interessenabwägung für das Überwiegen der Betroffenenrechte.
  • Generell setzt die Zulässigkeit einer Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG (alt) voraus, dass diese zur Wahrung berechtigter Interessen der verantwortlichen Stelle „erforderlich“ ist – nicht etwa lediglich aus Sicht der verantwortlichen Stelle geeignet oder zweckmäßig. Gemeint sind Verwendungen, zu denen es keine objektiv zumutbare Alternative gibt. Zu berücksichtigen ist daher auch, dass das Unternehmen die Daten insbesondere im Rahmen von Bestellvorgängen erwirbt und es ihr deswegen ohne einen unverhältnismäßig großen Aufwand möglich wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten einzuholen.

Wie gesagt, sind einzelne Begründung aufgrund der neuen Rechtslage nicht per se übertragbar. Es zeigt sich aber insgesamt, dass das VG hier in allen entscheidenden Punkten der Argumentation des BayLDA folgt.

Besonders spannend ist für mich, aus juristischer Sicht, die Frage nach der Auftragsverarbeitung durch Facebook. Das VG verweist hier deutlich darauf, dass es nicht unbedingt auf den zwischen Facebook und dem Unternehmen abgeschlossenen Vertrag ankommt, sondern die faktischen Gegebenheiten entscheiden. Das bedeutet aber auch, dass es wohl faktische Gegebenheiten geben kann, in denen man Facebook durchaus als Auftragsverarbeiter des Unternehmens ansehen könnte.

Zu beachten zudem, dass sich diese Entscheidung nur auf eine Alternative des Werbe-Tools von Facebook bezieht. Daneben gibt es auch noch die Möglichkeit, ein Pixel des Netzwerkes in die eigene Webseite einzubinden (also keine Listen mit Kundendaten hochzuladen).

Wie ein schlechter Scherz: EU Gesetzgeber passt die DSGVO an – Einen Monat vor Anwendbarkeit

Es ist eigentlich kaum zu glauben, mit was der europäische Gesetzgeber, einen Monat vor Anwendbarkeit der DSGVO, nun um die Ecke kommt.

In einem 386 Seiten starken Dokument (Ratsdokument vom 19.4.2018, pdf, ab S. 47 beginnt die deutsche Fassung) nimmt er umfassende Anpassungen an allen Sprachfassungen der DSGVO vor.

Eigentlich soll es bei diesen Anpassungen nur um offensichtliche Fehler innerhalb der DSGVO gehen. Also etwa um Rechtschreibfehler oder auch um Verweisfehler auf Absätze, die nicht existieren.

Ich halte selbst solche Änderungen eines in Kraft getretenen Gesetzestextes für kritisch. Zumindest muss man hier wirklich mit der gebotenen Umsicht und Sorgfalt agieren. Denn wir Juristen wissen, dass es bei der Auslegung und Anwendung von Gesetzen gerade auf einzelne Wörter und ihre Bedeutung ankommen kann. Nun mag man nachträgliche Änderungen von Gesetzen noch gutheißen, wenn es tatsächlich um Rechtschreibfehler und auch offensichtliche Fehler in einer Sprachfassung geht, die in anderen Sprachfassungen nicht vorhanden sind. Es geht ja um die Schaffung von Rechtssicherheit für die Anwender.

Das ist bei diesen Vorschlägen zur Anpassung der DSGVO aber nicht immer der Fall. Betrachtet man die Änderungen etwas genauer, wird schnell klar, dass einige Änderungen sich tatsächlich auch auf den Sinn und den Aussagegehalt einer Vorschrift erstrecken.

Das bedeutet, dass eine Regelung, mit der Unternehmen seit Inkrafttreten im Mai 2016 arbeiten und auf die sie ihre Datenverarbeitungsprozesse anpassen, nun im schlimmsten Fall einen anderen Sinn und eine andere Regelungsvorgabe enthält. Als Berater zur Umsetzung der DSVGO fehlt mir da tatsächlich das Verständnis und lässt mich doch etwas sprachlos zurück.

Ich möchte diese Kritik an einigen Beispielen verdeutlichen:

ErwG 71 befasst sich mit den Vorgaben für das Profiling (Art. 22 DSGVO). Es geht dort u.a. auch darum, welche Maßnahmen der Verantwortliche zum Schutz der Betroffenen treffen muss.

… und mit denen verhindert wird, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu Maßnahmen kommt, die eine solche Wirkung haben“.

Die Berichtigung wird nun „oder zu Maßnahmen kommt“ durch „oder zu einer Verarbeitung kommt“ ersetzen. Meines Erachtens wird durch Einfügung des Begriffs „Verarbeitung“ durchaus der Sinn der Vorschrift geändert. Denn „Maßnahmen“ würde ich persönlich weiter verstehen als eine „Verarbeitung“; diese bezieht sich allein auf den Umgang mit personenbezogenen Daten, wohingegen „Maßnahmen“ umfassender zu verstehen ist.

Ein weiteres Beispiel:

In ErwG 145 geht es um die Klagemöglichkeit Betroffener gegen Verantwortliche und Auftragsverarbeiter. Derzeit wird hier noch, zum Ort, an dem Klage eingereicht werden kann, vorgegeben: „des Mitgliedstaats, in dem die betroffene Person ihren Aufenthaltsort hat“. In der offiziellen Berichtigung wird nun „Aufenthaltsort“ durch „in dem die betroffene Person wohnt“ ersetzt. Auch dies ist meines Erachtens nach nicht nur eine marginale sprachliche Anpassung. Denn den „Aufenthaltsort“ wird man weiter verstehen können als den reinen „Wohnort“. Der Knaller ist aber, dass der entsprechende Artikel, Art. 79 Abs. 2, nicht angepasst wird. Dort heißt es „in dem die betroffene Person ihren Aufenthaltsort hat“. Also ändert der Gesetzgeber nun den ErwG 145 abweichend zu der Vorgabe in dem entsprechenden Artikel.

Und ein letztes Beispiel:

Art. 25 Abs. 2 S. 1 heißt momentan: „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“. Die offizielle Berichtigung löscht nun das Wort „grundsätzlich“. In Zukunft heißt es also: „…die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung…“. Als Juristen wissen wir, dass das Wort „grundsätzlich“ eine durchaus relevante Bedeutung hat, nämlich dass es noch Ausnahmen gibt bzw. die jeweilige Regelung nicht unbedingt abschließend ist. Diese Interpretation des Art. 25 Abs. 2 S. 1 wird nun aber gänzlich unmöglich, denn „grundsätzlich“ wird gelöscht. Die Vorgabe ist mithin als abschließend und zwingend anzusehen. Auch dies stellt, finde ich, nicht allein nur eine sprachliche Anpassung des Textes dar, sondern verändert den Inhalt der gesetzlichen Regelung.

Ich frage mich wirklich, was nun Unternehmen denken, die zwei Jahre lang mit dem Text der DSGVO gearbeitet, Geld und Zeit investiert haben, und nun, einen Monat vor Anwendbarkeit eine textlich und auch inhaltlich angepasste DSGVO serviert bekommen.

Nun mag man argumentieren, dass ja die einzelnen Sprachfassungen ohne Bedeutung seien und die englische Fassung stets die entscheidende war und dort entsprechende Fehler auch nicht enthalten sind. Das sin der englischen Fassung manche der oben genannten Anpassungen nicht vorgenommen werden, mag zutreffen. Jedoch ist es ständige Rechtsprechung des EuGH, dass grundsätzlich allen Sprachfassungen einer Gemeinschaftsvorschrift der gleiche Wert beizumessen ist (z.B. C-152/01). Die englische Fassung ist also per se nicht richtiger oder besser als die deutsche.

Ich für meinen Teil finde es leider abstrus, dass nun, so kurz vor Anwendbarkeit der DSGVO, tatsächlich auch noch inhaltliche Änderungen an der DSGVO vorgenommen werden.

DSGVO-Prax – Name des Datenschutzbeauftragten in der Datenschutzerklärung?

Im Blog war es in den letzten Wochen ein wenig ruhiger. Der Grund hierfür hat einen Namen: DSGVO. Immer mehr Unternehmen befassen sich in den letzten Monaten mit der bald anwendbaren DSGVO und der Beratungsbedarf steigt daher stetig.

Aus diesen verschiedenen Beratungsanfragen und DSGVO-Projekten möchte ich in den nächsten Wochen immer mal wieder ein paar (hoffentlich) relevante Fragestellungen hier im Blog präsentieren. Sozusagen das “Best of”. Also Fragen aus und Antworten für die Praxis: DSGVO-Prax.

Der heutige Beitrag befasst sich mit einer Frage, die ich in der Beratung oder auch bei Seminaren oder Vorträgen eigentlich immer gestellt bekomme. Warum diese Frage immer wieder auftaucht, kann ich selber gar nicht genau einschätzen. In vielen Unternehmen bzw. besser, für viele Datenschutzbeauftragte, scheint sie aber sehr relevant zu sein.

Erfordert die Vorgabe des Art. 13 Abs. 1 lit. b) und Art. 14 Abs. 1 lit. b) DSGVO die Nennung des Namens des Datenschutzbeauftragten in der Datenschutzerklärung (z. B. auf der Webseite oder in Datenschutzinformationen für Mitarbeiter)?

Meiner Ansicht nach ist die klare Antwort: nein. Der Name des Datenschutzbeauftragten muss nicht genannt werden. Natürlich kann man ihn dennoch angeben. Aber gesetzlich zwingend ist die Angabe im Rahmen der Informationspflichten nach Art. 13 und 14 DSGVO nicht.

Dies ergibt sich zum einen schlicht aus dem Wortlaut. Art. 13 Abs. 1 lit. b) DSGVO verlangt, dass gegebenenfalls „die Kontaktdaten des Datenschutzbeauftragten“ mitzuteilen sind. „Kontaktdaten“ sind aber kein Name, sondern etwa die Telefonnummer oder die E-Mail-Adresse.

Zudem ergibt sich dieses Ergebnis aus einer systematischen Gesamtschau. Der europäische Gesetzgeber sieht nämlich in der DSGVO durchaus die Pflicht vor, den Namen des Datenschutzbeauftragten zu nennen, etwa in Art. 30 Abs. 1 lit. a) DSGVO im Verzeichnis der Verarbeitungstätigkeiten. Dies spricht dafür, dass er in einem Fall (Art. 13/14 DSVGO) den Namen bewusst nicht von der Informationspflicht umfasst sieht, in einem anderen Fall (Art. 30 DSGVO) den Namen aber im Verzeichnis aufgenommen haben möchte. Ein anderes Beispiel für die Erwähnung des Namens des Datenschutzbeauftragten ist Art. 33 Abs. 3 lit. b) DSGVO bei der Meldung einer Datenschutzverletzung.

Also: im Rahmen der Datenschutzinformationen muss der Name nicht genannt werden.

Flickenteppich bei Landesdatenschutzgesetzen – Rechtunsicherheit ist vorprogrammiert

Derzeit überarbeiten auch die Bundesländer ihre Landesdatenschutzgesetze, um diese den Vorgaben der DSGVO und auch der Datenschutzrichtlinie im Bereich Strafverfolgung und –vollstreckung (JIRL) anzupassen. Also jene Vorgaben, die schwerpunktmäßig den Umgang mit personenbezogenen Daten durch Landesbehörden regeln.

Wer gehofft hat, dass Landesbehörden in Zukunft einheitlichen Regelungen beim Umgang mit personenbezogenen Daten folgen werden, dem wird nach Sichtung der verschiedenen Entwürfe schnell klar, dass dies nicht der Fall ist. Sollten die Gesetzesentwürfe in ihrer jetzigen Form verabschiedet werden, dürfte die Folge vor allem eine große Rechtsunsicherheit bei der betroffenen Behörden, aber vor allem auch Bürgern und Unternehmen sein, die als Dienstleister und Geschäftspartner der Landesbehörden agieren. Nachfolgend nur ein paar Beispiele für dieses teils stark abweichende Regelungsgeflecht.

Wartung von Systemen als Auftragsverarbeitung?

Sowohl das neue BDSG als auch der Gesetzentwurf in Brandenburg sehen keine gesetzliche Fiktion der Auftragsverarbeitung für die Durchführung von Wartungsarbeiten an Systemen (wie derzeit noch in § 11 Abs. 5 BDSG geregelt) vor. Im Entwurf aus Hessen soll diese Fiktion in § 3 Abs. 2 HDSIG-E jedoch vorgeschrieben werden. Es stellt sich jedoch die Frage, ob eine solche Regelung im Anwendungsbereich der DSGVO überhaupt europarechtskonform möglich ist. Denn Art. 4 Nr. 8 DSGVO definiert, wer „Auftragsverarbeiter“ ist. Dort findet sich keine Fiktion für Wartungsarbeiten. Im Entwurf in NRW wird die Fiktion (§ 52) nur auf den Anwendungsbereich der JIRL beschränkt (§§ 35 ff.).

Dienstleister für hessische Behörden müssten also, wenn sie Wartungen an Systemen durchführen, einen Vertrag zur Auftragsverarbeitung abschließen. Für dieselbe Tätigkeit für Behörden in Brandenburg wäre dies nicht nötig. In NRW müsste vorher geprüft werden, ob die Tätigkeit der Behörden in den Anwendungsbereich der JIRL (also die §§ 35 ff. des Entwurfs des LDSG NRW) fällt.

Videoüberwachung

Auch die Erlaubnisnorm zur Vornahme der Videoüberwachung ist in den verschiedenen Gesetzen ganz unterschiedlich ausgestaltet. In Brandenburg (§ 27) geht es um die „Erhebung personenbezogener Daten mit Hilfe von optisch-elektronischen Einrichtungen (Videoüberwachung) und deren weitere Verarbeitung“, in Hessen (§ 4) um die „Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung)“, in Sachsen (§ 13) um die „Verarbeitung personenbezogener Daten mit Hilfe von optisch-elektronischen Einrichtungen (Videoüberwachung), einschließlich der Speicherung und Verwendung der erhobenen Daten“. Nun mag man argumentieren, dass das im Ergebnis ja egal sei. Dies würde ich jedoch nicht so sehen, da es in der Praxis durchaus relevant sein kann, wann die Vorgaben zur Videoüberwachung einzuhalten sind und wann nicht. Geht es um eine „Beobachtung“, eine „Verarbeitung“ oder eine „Erhebung“?

Anonymisierung

Die DSGVO kennt den Begriff der „anonymen Informationen“ und erwähnt diesen in ErwG 26 DSGVO. Eine gesetzliche Begriffsbestimmung in Art. 4 DSGVO existiert aber nicht. Das neue BDSG enthält keine Definition der „Anonymisierung“ oder „anonymen Informationen“. In Hessen soll in § 2 Abs. 4 der Begriff „anonyme Informationen“ gesetzlich festgelegt werden. Der Entwurf orientiert sich hierbei an ErwG 26. In Brandenburg wird in § 3 gleich eine ganz eigene Begriffsbestimmung für „Anonymisierung“ festgelegt, die sich so nicht aus der DSGVO ergibt. Auch im Entwurf aus NRW wird die „Anonymisierung“ gesetzlich definiert. Es stellt sich jedoch dir Frage, ob Landesgesetzgeber diesen Begriff legal definieren dürfen, wenn die DSGVO (und damit der europäische Gesetzgeber) den Begriff der „anonymen Informationen“ kennt, jedoch ganz klar keine Legaldefinition in Art. 4 DSGVO aufgenommen hat. Bleiben die Definitionen bestehen, würde dies bedeuten, dass in den einzelnen Bundesländern jeweils unterschiedliche Vorgaben dazu existieren, wann eine „Anonymisierung“ gegeben ist und wann nicht.

ePrivacy Verordnung: Mitgliedstaaten sollen über opt-in oder opt-out für den Einsatz von Cookies für Werbezwecke entscheiden

Im Rat der Europäischen Union wird zwischen den Mitgliedstaaten weiter über den Entwurf der ePrivacy Verordnung diskutiert (mein älterer Beitrag hierzu). Im Januar 2017 hat die Europäische Kommission ihren Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) veröffentlicht. Mit der neuen ePrivacyVO soll die geltende ePrivacy-Richtlinie ersetzt werden.

Nun hat die Ratspräsidentschaft ein aktuelles Sachstandspapier (pdf) vom 11.1.2018 zu noch offen diskutierten Themen veröffentlicht, in dem sie die Mitgliedstaaten dazu auffordert, Stellungnahmen zu verschiedenen Lösungsvorschlägen abzugeben. Betroffene Themen sind u.a. ganz allgemein das Verhältnis der ePrivacyVO zur EU Datenschutz-Grundverordnung, die Regulierung der Maschine-Maschine-Kommunikation, die Anforderungen an Software (Browser, Apps) aber natürlich auch die zukünftigen rechtlichen Anforderungen zum Zugriff auf Informationen oder das Ablegen von Informationen in Endgeräten der Nutzer. Also insbesondere der Einsatz von Cookies und anderen Trackingtechnologien für werbliche Zwecke.

Sowohl der Entwurf der Kommission als auch die Entschließung des Europäischen Parlaments zur ePrivacyVO sahen in Art. 8 Abs. 1 dem Grunde nach keine Möglichkeit vor, Informationen auf Endgeräten abzulegen oder auf Informationen in Endgeräten von Nutzern für rein werbliche Zwecke (z.B. Onlinewerbung) zuzugreifen, ohne dass die Einwilligung des Nutzers vorliegt.

Die Ratspräsidentschaft bittet in dem aktuellen Diskussionspapier nun um Stellungnahmen der Delegationen zu der Frage, ob Art. 8 Abs. 1 in der Hinsicht angepasst werden sollte, dass ein Erlaubnistatbestand aufgenommen wird, der, auf der Grundlage berechtigter Interessen und dem Recht des Betroffenen auf Widerspruch, Unternehmen die Möglichkeit eröffnet, Cookies und andere Technologien für werbliche Zwecke einzusetzen. Es geht hier also um die Frage, ob eine Interessenabwägung auch im Bereich des Zugriffs auf Informationen in oder das Ablegen von Informationen (wie Cookies) auf Endgeräte als Erlaubnistatbestand Einzug in die ePrivacyVO halten soll. Sollte dieser Vorschlag Zuspruch finden, dürfte diese Änderung sicherlich noch für Diskussionen im (wohl für Herbst bzw. Ende 2018 geplanten) Trilog zwischen Kommission, Parlament und Rat sorgen.

Europäische Kommission: Vereinigtes Königreich ist ab dem 30.3.2019 ein Drittland – Handlungsbedarf für Unternehmen

Die Europäische Kommission hat in einer Mitteilung (pdf) vom 9.1.2018 bestätigt, wovon die meisten Beobachter ohnehin bereits ausgegangen sind. Ab dem 30.3.2019 ist das Vereinigte Königreich aufgrund seines erklärten Austritts aus der Europäischen Union als „Drittland“ im Sinne der dann geltenden EU Datenschutz-Grundverordnung (DSGVO) zu behandeln. Datenschutzrechtlich betrachtet steht das Vereinigte Königreich dann auf einer Stufe mit Ländern wie USA, China oder auch Russland, für die kein Angemessenheitsbeschluss der Europäischen Kommission zum Schutzniveau für personenbezogene Daten existiert.

Die nun vorliegende schriftliche Klarstellung der Kommission macht deutlich, dass es keine automatische Anerkennung des Datenschutzniveaus im Vereinigten Königreich nach dem Austritt geben wird. Manch einer mag gehofft haben, dass das Schutzniveau des Datenschutzrechts im Vereinigten Königreich quasi automatisch als angemessen angesehen wird, da ja zumindest bis zum Austritt aus der Union auch dort die DSGVO gilt. Einem solchen Automatismus erteilt die Kommission jedoch eine Absage. Gegen die automatische Anerkennung des Schutzniveaus spricht im Übrigen auch der veränderte Prüfungsmaßstab der Kommission, wenn sie die Angemessenheit des Schutzniveaus nach Art. 45 Abs. 2 DSGVO prüft. Denn sie muss dann auch nationale Rechtsvorschriften in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten prüfen (Art. 45 Abs. 2 lit. a) DSGVO). Solange das Vereinigte Königreich aber Mitglied der Europäischen Union ist, ist die Frage der nationalen Sicherheit aber der Kompetenz der Kommission entzogen.

Zu Recht macht die Kommission in ihrer Mitteilung auf die Konsequenzen für Unternehmen aufmerksam, wenn diese personenbezogene Daten auch nach dem Stichtag an Stellen im Vereinigten Königreich übermitteln möchten. Für die Zulässigkeit solcher Übermittlungen müssen bestimmte Voraussetzungen erfüllt werden, die in den Art. 44 ff DSGVO näher beschrieben sind. Mangels eines Angemessenheitsbeschlusses der Kommission (Art. 45 DSGVO) werden für Unternehmen also vor allem die Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) DSGVO, jetzige EU Standardvertragsklauseln) eine wichtige Rolle spielen. Diese Verträge sind dann mit Unternehmen im Vereinigten Königreich abzuschließen.

Daneben kommen in Zukunft unter der DSGVO auch weitere Instrumente, wie etwa genehmigte Verhaltensregeln oder genehmigte Zertifizierungsmechanismen als Grundlage für eine Übermittlung in Betracht.

Unternehmen in der Europäischen Union müssen sich also innerhalb des nächsten Jahres darum kümmern, Datenübermittlungen in das Vereinigte Königreich aus rechtssichere Füße zu stellen.

Datenschutz-Grundverordnung in der Arztpraxis – Fragebogen der Datenschutzbehörde zur Praxisorganisation

Die ab dem 25.5.2018 anwendbare EU Datenschutz-Grundverordnung (DSGVO) gilt nicht nur für große, internationale Unternehmen. Auch mittelständische Betriebe und Selbstständige müssen sich mit den, teilweise neuen, Vorgaben zum Umgang mit personenbezogenen Daten befassen. In Deutschland kommen zudem die Regelungen des ebenfalls ab dem 25.5.2018 geltenden neuen Bundesdatenschutzgesetzes hinzu.

Der Landesbeauftragte für Datenschutz in Mecklenburg-Vorpommern hat Ende 2017 einen Fragebogen (pdf) an zufällig ausgewählte Arztpraxen versendet, in dem er die Erfüllung verschiedenster Anforderungen der DSGVO abfragt. Die Ergebnisse der Befragung sollen der Behörde helfen, den Beratungsbedarf bei Arztpraxen einzuschätzen.

Arztpraxen (aber selbstverständlich auch andere datenverarbeitende Stellen) sollten sich, auch wenn sie den Fragebogen nicht selbst erhalten haben, mit den Fragen auseinandersetzen und für sich prüfen, ob sie entsprechende Antworten geben könnten. Die Fragen der Behörde stellen eine erste Richtungsvorgabe dafür dar, was Unternehmen ab dem 25.5.2018 für Anfragen von Seiten der Aufsichtsbehörden erwarten könnten und welche Regelungsbereiche der DSGVO aus Sicht der Behörde besondere Relevanz haben.

Klage gegen das EU US Privacy Shield gescheitert: Digital Rights Ireland verliert vor dem Europäischen Gerichtshof

Verschnaufpause für Datentransfers an Unternehmen in die USA. Digital Rights Ireland, eine Gesellschaft aus Irland, die sich mit der Förderung und dem Schutz der Bürger- und Menschenrechte, insbesondere in der Welt der modernen Kommunikationstechnologien, befasst, ist mit ihrer Nichtigkeitsklage (Art. 263 AEUV) vor dem Gerichtshof der Europäischen Union (hier das „Gericht“) in der Rechtssache T-670/16 gegen den Beschluss der EU Kommission zum EU US Privacy Shield gescheitert. Das Gericht entschied am 22.11.2017 per Beschluss, dass die Klage unzulässig ist, da es der Klägerin an der Klagebefugnis mangelt.

Bereits in meinem ersten Beitrag zu der Klage (hier im Blog), habe ich Zweifel an der Zulässigkeit der Klage geäußert.

Im Fall der hier eingelegten Nichtigkeitsklage nach Art. 263 Abs. 4 AEUV ist im Rahmen der Zulässigkeit, konkret bei der Klagebefugnis, zu berücksichtigen, dass zwar natürliche oder juristische Person eine solche Klage erheben können. Jedoch nur dann, wenn es sich um an sie gerichteten oder sie unmittelbar und individuell betreffenden Handlungen sowie gegen Rechtsakte mit Verordnungscharakter, die sie unmittelbar betreffen und keine Durchführungsmaßnahmen nach sich ziehen, handelt. Die 1. Alternative schallt im Fall der Angemessenheitsentscheidung der Europäischen Kommission aus. Denn der Beschluss ist nicht an natürliche oder juristische Person in den Mitgliedstaaten gerichtet, sondern an die Mitgliedstaaten selbst (vgl. Art. 6 des Beschlusses). Digital Rights Ireland Ltd wird also vor allem darlegen müssen, dass sich bei dem Beschluss um eine sie „unmittelbar und individuell betreffende Handlung“ der Europäischen Kommission handelt.

Zum einen weist das Gericht hier nun darauf hin, dass die noch geltende Datenschutz-Richtlinie 95/46/EG nur die personenbezogenen Daten natürlicher Personen erfasst; nicht jedoch Daten von juristischen Personen, wie hier Digital Rights Ireland. Die Klägerin kann daher schon keine Rechtsverletzung geltend machen.

Zum anderen schränke der Beschluss der EU Kommission zum EU US Privacy Shield nicht die Rechte der Klägerin als juristische Person und datenschutzrechtlich verantwortliche Stelle ein. Das Privacy Shield verpflichtet vielmehr amerikanische Unternehmen, an die Daten übermittelt werden sollen. Europäische datenverarbeitende Stellen erhalten vielmehr die Befugnis, auf der Grundlage des EU US Privacy Shield Daten an diese Unternehmen zu versenden.

Soweit es die Rechte der Unterstützter der Klägerin betrifft, weist das Gericht darauf hin, dass Art. 263 AEUV und das EU Recht keine Möglichkeit für Klagen im Namen des öffentlichen Interesses vorsieht.

Zuletzt berief sich Digital Rights Ireland unverständlicherweise auf die erst ab 25. Mai 2018 anwendbare EU Datenschutz-Grundverordnung und den Art. 80 DSGVO. Dieser sieht die Möglichkeit für Mitgliedstaaten vor, eine Verbandsklagebefugnis zu schaffen. Das Gericht macht es hier kurz: die DSGVO ist noch nicht anwendbar.

Der Beschluss des Gerichts kommt nicht völlig überraschend. Zu beachten ist, dass eine ähnliche Klage im Verfahren T-738/16 anhängig ist. Auch dort klagen Vereinigungen und nicht einzelne Personen. Daher dürfte auch dort die Frage der Unzulässigkeit aufkommen.

Das EU US Privacy Shield wird also zunächst einmal weiter Bestand haben.

Complaint against the EU US Privacy Shield failed: Digital Rights Ireland loses in front of the European General Court

Breather for data transfers to companies in the US. Digital Rights Ireland, an Irish company concerned with the promotion and protection of civil and human rights, particularly in the world of modern communication technologies, which has brought an action for annulment (Article 263 TFEU) before the Court of Justice of the European Union (here the General Court) in the case T-670/16 against the decision of the EU Commission for the EU US Privacy Shield, lost the battle, before it even really started.

The Court rules (Order) that the applicant does not have an interest in bringing proceedings. The annulment of the contested decision is not capable of having, in itself, legal consequences for the applicant or of procuring for it an advantage in regard to personal data.

Furthermore, according to the Court, the contested decision by the EU Commission has the effect of entitling the applicant as a controller of personal data to carry out transfers under certain conditions. It does not restrict its rights or impose obligations on it.

Additionally, the Court clarifies that it follows from the existence of specific conditions governing the admissibility of actions for annulment brought by individuals, provided for in Article 263 TFEU, that EU law does not, in principle, allow for the possibility of an applicant to bring an actio popularis in the public interest.

The action is therefore inadmissible.

The decision of the Court is not completely surprising, since the Article 263 TFEU and also the case law of the court stipulate quite high demands for the admissibility of an action for annulment. It should be noted that a similar claim is pending in case T-738/16. Also there complaining associations are not individuals. Therefore, the issue of inadmissibility might probably also arise there.

Landesarbeitsgericht: Weitergabe von Entgeltlisten an den Betriebsrat auch unter der DSGVO zulässig

Das Landesarbeitsgericht (LAG) Hamm hat in einer Entscheidung (Beschl. v. 19.9.2017 – 7 TaBV 43/17) zum Einsichtsrecht des Betriebsrates in Bruttoentgeltlisten in einem Nebensatz auch Feststellungen zur Zulässigkeit der Weitergabe personenbezogener Daten vom Arbeitsgeber an den Betriebsrat gemacht.

In dem Fall stritt der Betriebsrat in einem Klinikum mit der Arbeitgeberin über den Umfang des Einsichtsrechts in Bruttoentgeltlisten. Die Arbeitgeberin stellte nur anonymisierte Listen zur Verfügung, da der Betriebsrat ihrer Ansicht nach für die Wahrnehmung seiner Aufgaben nicht die Angabe der Namen der Beschäftigten benötigte. Maßgeblich ging es um die Vorschrift des § 80 Abs. 2 S. 2 2. HS BetrVG. Dieser lautet:

Dem Betriebsrat sind auf Verlangen jederzeit die zur Durchführung seiner Aufgaben erforderlichen Unterlagen zur Verfügung zu stellen; in diesem Rahmen ist der Betriebsausschuss oder ein nach § 28 gebildeter Ausschuss berechtigt, in die Listen über die Bruttolöhne und -gehälter Einblick zu nehmen.

Das LAG stellte, nach Ausführungen zur Reichweite und dem Inhalt des § 80 Abs. 2 S. 2 2. HS BetrVG fest, dass dem Anspruch des Betriebsrates zur Einsichtnahme durch den Betriebsausschuss gemäß § 80 Abs. 2 Satz 2 2. Halbsatz BetrVG auch datenschutzrechtliche Belange nicht entgegenstünden. Das LAG verwies dazu auf die Entscheidung des Bundesarbeitsgerichts vom 14.01.2014 (1 ABR 54/12),

wonach es sich bei dem Einsichtsrecht in die Bruttogehaltslisten um eine nach § 32 Abs. 1 BDSG zulässige Form der Datennutzung handelt.

Dort entscheid das BAG, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten nach § 32 Abs. 3 BDSG durch die nach § 32 Abs. 1 BDSG erlaubte Datennutzung nicht berührt werden. Das BAG bezieht sich hier auf die Datennutzung innerhalb einer verantwortlichen Stelle (dem Arbeitgeber). Nach der Respr. des BAG und der hM in der Literatur ist der Betriebsrat nämlich Teil der verantwortlichen Stelle und vor allem nicht Dritter. Das BAG:

Die Einsichtsgewährung stellt daher keine Weitergabe von Daten an Dritte dar.

Sehrwohl stellt die Weitergabe aber eine Nutzung von personenbezogenen Daten dar. Ob diese Auffassung zur Einordnung des Betriebsrates auch unter Geltung der Datenschutz-Grundverordnung (DSGVO) ab dem 25.5.2018 so beibehalten werden kann, wird derzeit diskutiert. Zum Teil wird davon ausgegangen, dass der Betriebsrat als eigener Verantwortlicher anzusehen ist und daher auch selbst rechtlichen Pflichten der DSGVO nachkommen muss (Gola, in: Gola, DS-GVO, 2017, Art. 4 Rn. 55; Selk, in: Ehmann/Selmayr, DS-GVO, 2017, Art. 88 Rn. 166 ff.). Im neuen § 26 Abs. 1 BDSG 2018 sieht der deutsche Gesetzgeber ausdrücklich vor, dass personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Bislang fehlte eine ausdrückliche Regelung für die Frage der Zulässigkeit der Übermittlung von Daten an die Interessenvertretung der Beschäftigten. Der Verantwortliche darf in Zukunft auf der Grundlage von § 26 Abs. 1 S. 1 BDSG 2018 Daten an Betriebs- oder Personalräte weitergeben, soweit dies gesetzlich vorgesehen und erforderlich ist (Piltz, BDSG, 2018, § 26 Rn. 49 ff.). Meines Erachtens spricht diese Regelung klar dafür, dass der Gesetzgeber den Betriebsrat selbst als Verantwortlichen ansieht.

Im vorliegenden Beschluss bezog sich das LAG auch noch direkt auf die DSGVO. Das LAG geht davon aus, dass sich bei der Frage der Zulässigkeit der Weitergabe der Daten an den Betriebsrat

auch aus den Erwägungen und dem Wortlaut zur Datenschutzgrundverordnung…keine abweichende Beurteilung ergeben kann, da Art. 6 DSGVO insofern beschreibt, dass eine Datenverarbeitung rechtmäßig ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der für die Datenverarbeitung Verantwortliche unterliegt. Dies ist der Fall, wie oben ausgeführt.

Zu beachten, dass das LAG hier leider etwas vage bleibt, welche Verarbeitungsphase denn konkret gemeint ist. Da es sich jedoch auf eine rechtliche Pflicht (und damit Art. 6 Abs. 1 lit. c) DSGVO) bezieht, dürfte es die Phase der Bereitstellung und Weitergabe der Arbeitgeberin avisiert haben. Denn diese ist nach § 80 Abs. 2 Satz 2 2. Halbsatz BetrVG rechtlich verpflichtet. Der Betriebsrat selbst hat ein Recht auf Einsicht. Auf den Umgang mit den Daten durch den Betriebsrat selbst scheint sich das LAG hier nicht zu beziehen.