Klage gegen das EU US Privacy Shield gescheitert: Digital Rights Ireland verliert vor dem Europäischen Gerichtshof

Verschnaufpause für Datentransfers an Unternehmen in die USA. Digital Rights Ireland, eine Gesellschaft aus Irland, die sich mit der Förderung und dem Schutz der Bürger- und Menschenrechte, insbesondere in der Welt der modernen Kommunikationstechnologien, befasst, ist mit ihrer Nichtigkeitsklage (Art. 263 AEUV) vor dem Gerichtshof der Europäischen Union (hier das „Gericht“) in der Rechtssache T-670/16 gegen den Beschluss der EU Kommission zum EU US Privacy Shield gescheitert. Das Gericht entschied am 22.11.2017 per Beschluss, dass die Klage unzulässig ist, da es der Klägerin an der Klagebefugnis mangelt.

Bereits in meinem ersten Beitrag zu der Klage (hier im Blog), habe ich Zweifel an der Zulässigkeit der Klage geäußert.

Im Fall der hier eingelegten Nichtigkeitsklage nach Art. 263 Abs. 4 AEUV ist im Rahmen der Zulässigkeit, konkret bei der Klagebefugnis, zu berücksichtigen, dass zwar natürliche oder juristische Person eine solche Klage erheben können. Jedoch nur dann, wenn es sich um an sie gerichteten oder sie unmittelbar und individuell betreffenden Handlungen sowie gegen Rechtsakte mit Verordnungscharakter, die sie unmittelbar betreffen und keine Durchführungsmaßnahmen nach sich ziehen, handelt. Die 1. Alternative schallt im Fall der Angemessenheitsentscheidung der Europäischen Kommission aus. Denn der Beschluss ist nicht an natürliche oder juristische Person in den Mitgliedstaaten gerichtet, sondern an die Mitgliedstaaten selbst (vgl. Art. 6 des Beschlusses). Digital Rights Ireland Ltd wird also vor allem darlegen müssen, dass sich bei dem Beschluss um eine sie „unmittelbar und individuell betreffende Handlung“ der Europäischen Kommission handelt.

Zum einen weist das Gericht hier nun darauf hin, dass die noch geltende Datenschutz-Richtlinie 95/46/EG nur die personenbezogenen Daten natürlicher Personen erfasst; nicht jedoch Daten von juristischen Personen, wie hier Digital Rights Ireland. Die Klägerin kann daher schon keine Rechtsverletzung geltend machen.

Zum anderen schränke der Beschluss der EU Kommission zum EU US Privacy Shield nicht die Rechte der Klägerin als juristische Person und datenschutzrechtlich verantwortliche Stelle ein. Das Privacy Shield verpflichtet vielmehr amerikanische Unternehmen, an die Daten übermittelt werden sollen. Europäische datenverarbeitende Stellen erhalten vielmehr die Befugnis, auf der Grundlage des EU US Privacy Shield Daten an diese Unternehmen zu versenden.

Soweit es die Rechte der Unterstützter der Klägerin betrifft, weist das Gericht darauf hin, dass Art. 263 AEUV und das EU Recht keine Möglichkeit für Klagen im Namen des öffentlichen Interesses vorsieht.

Zuletzt berief sich Digital Rights Ireland unverständlicherweise auf die erst ab 25. Mai 2018 anwendbare EU Datenschutz-Grundverordnung und den Art. 80 DSGVO. Dieser sieht die Möglichkeit für Mitgliedstaaten vor, eine Verbandsklagebefugnis zu schaffen. Das Gericht macht es hier kurz: die DSGVO ist noch nicht anwendbar.

Der Beschluss des Gerichts kommt nicht völlig überraschend. Zu beachten ist, dass eine ähnliche Klage im Verfahren T-738/16 anhängig ist. Auch dort klagen Vereinigungen und nicht einzelne Personen. Daher dürfte auch dort die Frage der Unzulässigkeit aufkommen.

Das EU US Privacy Shield wird also zunächst einmal weiter Bestand haben.

Complaint against the EU US Privacy Shield failed: Digital Rights Ireland loses in front of the European General Court

Breather for data transfers to companies in the US. Digital Rights Ireland, an Irish company concerned with the promotion and protection of civil and human rights, particularly in the world of modern communication technologies, which has brought an action for annulment (Article 263 TFEU) before the Court of Justice of the European Union (here the General Court) in the case T-670/16 against the decision of the EU Commission for the EU US Privacy Shield, lost the battle, before it even really started.

The Court rules (Order) that the applicant does not have an interest in bringing proceedings. The annulment of the contested decision is not capable of having, in itself, legal consequences for the applicant or of procuring for it an advantage in regard to personal data.

Furthermore, according to the Court, the contested decision by the EU Commission has the effect of entitling the applicant as a controller of personal data to carry out transfers under certain conditions. It does not restrict its rights or impose obligations on it.

Additionally, the Court clarifies that it follows from the existence of specific conditions governing the admissibility of actions for annulment brought by individuals, provided for in Article 263 TFEU, that EU law does not, in principle, allow for the possibility of an applicant to bring an actio popularis in the public interest.

The action is therefore inadmissible.

The decision of the Court is not completely surprising, since the Article 263 TFEU and also the case law of the court stipulate quite high demands for the admissibility of an action for annulment. It should be noted that a similar claim is pending in case T-738/16. Also there complaining associations are not individuals. Therefore, the issue of inadmissibility might probably also arise there.

Ist die Datenschutz-Grundverordnung doch schon anwendbar? Zwei Gerichte sagen: ja.

Liest man sich den Art. 99 Abs. 2 DSGVO durch, ist eigentlich dem ersten Anschein nach klar, dass der Gesetzgeber den datenverarbeitenden Stellen (mögen diese nun öffentliche oder nichtöffentliche Stellen sein) und auch den nationalen Gesetzgebern eine Frist von 2 Jahren einräumen wollte, um den Anforderungen der DSGVO gerecht zu werden.

(1)   Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2)   Sie gilt ab dem 25. Mai 2018.

Die DSGVO und ihre Vorgaben sind also erst ab dem 25.5.2018 anwendbar. Im Sommer diesen Jahres hob genau aus diesem Grund das Verwaltungsgericht Karlsruhe eine Verfügung der Datenschutzbehörde in Baden-Württemberg auf (hierzu mein Blogbeitrag). Das Verwaltungsgericht (VG) Karlsruhe entschied (Urt. v. 6.7.2017 – 10 K 7698/16), dass die DSGVO

erst ab 25.5.2018 Gültigkeit beanspruchen wird.

Doch zwei weitere Entscheidungen von deutschen Gerichten machen nun stutzig. Sowohl das VG Wiesbaden (Beschluss v. 21.9.2017 – 6 L 3805/17.WI.A) als auch das Finanzgericht (FG) Düsseldorf (Beschluss v. 9.8.2017 – 4 K 1404/17) gehen davon aus, dass die DSGVO bereits jetzt durch deutsche Behörden anzuwenden und zu beachten ist. In beiden Fällen gehen die Gerichte ausdrücklich von Datenschutzverstößen von Behörden gegen die Vorgaben der DSGVO aus.

Das VG Wiesbaden entschied, dass das Bundesamt für Migration und Flüchtlinge (BAMF) unzulässigerweise eine Markierung zu einer Person zum Zwecke eines Asylbescheides nutzte. Die Datenmarkierung ist ein technischer Vorgang zur Sicherung der Datenqualität. Die Markierung ist aber kein Datum, welches zu speichern und zu übermitteln ist. Das VG stellt hier auf einen Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO ab. Die Nutzung der Markierung durch das BAMF bedürfte gemäß Art. 6 Abs. 3 lit. a) DSGVO einer Rechtsgrundlage, die die Zwecke, für die die personenbezogenen Daten verarbeitet werden dürfen, festlegt. Eine solche existiere nicht.

Doch wie kommt das VG hier überhaupt dazu, die DSGVO als anwendbar anzusehen und Verstöße des BAMF gegen die Artikel der DSGVO festzustellen?

Das VG verweist hierfür auf eine Entscheidung des FG Düsseldorf und damit auch auf eine dort ebenfalls zitierte Entscheidung des EuGH (Urteil v. 18.12.1997, C-129/96).

Die DSGVO ist am 25.05.2016 in Kraft getreten und gilt ab dem 25.05.2018 (Art. 99 Abs. 2 DSGVO. Die Verordnung ist daher auf das vorliegende Verfahren anzuwenden. Denn der Gesetzgebungsakt entfaltet vom Zeitpunkt seiner Bekanntgabe an Rechtswirkungen (EuGH, Urteil v. 18.12.1997, Az. C-129/96 – zur Richtlinienumsetzung, was im Falle einer Verordnung jedoch erst recht gelten muss; so FG Düsseldorf, Beschluss vom 09.08.2017, Az. 4 K 1404/17.Z – nach Juris).

Da die für das BMAF maßgebliche EURODAC-VO (VO (EU) 603/2013) auf die noch gültige RL 95/46/EG verweist, die DSGVO in Art. 94 Abs. 2 wiederum aber vorschreibt, dass Verweise auf die RL 95/46/EG als Verweise auf die DSGVO zu verstehen sind, so dass die EURODAC-VO im Einklang mit den Vorgaben der DSGVO stehen muss.

Dies mit der Folge, dass die Datenschutzgrundverordnung insoweit immer ergänzend heranzuziehen ist.

Im Ergebnis dieselbe Argumentation verfolgt das FG Düsseldorf in seiner Entscheidung. Das FG Düsseldorf verweist auch auf das obige Urteil des EuGH. Die referenzierte Randnummer 41 lautet:

Sodann werden nach Artikel 191 Absatz 2 EWG-Vertrag, der auf den im Ausgangsverfahren maßgebenden Zeitraum Anwendung findet, die “Richtlinien und Entscheidungen … denjenigen, für die sie bestimmt sind, bekanntgegeben und werden durch diese Bekanntgabe wirksam”. Aus dieser Vorschrift ergibt sich, daß eine Richtlinie gegenüber dem Mitgliedstaat, an den sie gerichtet ist, schon vom Zeitpunkt ihrer Bekanntgabe an Rechtswirkungen entfaltet.

Meines Erachtens sind beide Entscheidungen des VG Wiesbaden und des FG Düsseldorf nicht richtig.

Beide Gerichte referenzieren auf ein Urteil des EuGH vom 18.12.1997. Ebenfalls begründen beide deutschen Gerichte ihre Entscheidung damit, dass zwar der EuGH zu einer Richtlinie entschied, aber dies müsse ja erst recht für eine Verordnung wie die DSGVO gelten.

Beide Gerichte verkennen jedoch, dass der EuGH sich hier auf eine Vorschrift stützt (Art. 191 EWG-Vertrag), die so nicht mehr existiert. Dort hieß es:

Die Richtlinien und Entscheidungen werden denjenigen, für die sie bestimmt sind, bekanntgegeben und werden durch diese Bekanntgabe wirksam.

Die Nachfolgevorschrift ist Art. 297 AEUV. Diese ist inhaltlich viel detaillierter und anders aufgebaut. Art. 297 AEUV regelt die Unterzeichnung, Veröffentlichung, Bekanntgabe und das Inkrafttreten der Gesetzgebungsakte sowie der Rechtsakte ohne Gesetzescharakter. Die Vorschrift geht zwar u.a. auf Art. 191 EWG-Vertrag zurück, der jedoch erheblich ausgedehnt wurden. Die ursprüngliche Fassung des Art. 191 EWG-Vertrag sah lediglich eine Veröffentlichungspflicht für Verordnungen und eine Bekanntgabepflicht für Richtlinien und Entscheidungen vor (GHN/Krajewski/Rösslein AEUV Art. 297 Rn. 1).

Art. 297 AEUV unterscheidet aber nun zwischen Rechtsakten mit und ohne Gesetzescharakter. Diese Unterscheidung traf Art. 191 EWG-Vertrag nicht. Für die DSGVO, als Verordnung und damit Gesetzgebungsakt, sieht Art. 297 Abs. 1 AEUV keine Bekanntgabepflicht vor. Für die DSGVO hat die Frage der Bekanntgabe also gar keine Relevanz. Der Verweis der deutschen Gerichte geht hier fehl.  Die DSGVO entfaltet also gerade noch keine unmittelbare Rechtswirkung, auf die sich Betroffene, Unternehmen oder auch wie hier Behörden stützten könnten. Mit Inkrafttreten wird die DSGVO zwar Bestandteil des Unionsrechts. Nach Art. 92 Abs. 2 DSGVO darf die Europäische Kommission ab dem Inkrafttreten etwa auch ihre Befugnis zum Erlass delegierter Rechtsakte ausüben. Die DSGVO ist aber eben noch nicht unmittelbar im Mitgliedstaat anwendbar.

Dies ergibt sich auch aus der Systematik der DSGVO selbst. Nach Art. 94 Abs. 1 DSGVO wird die Richtlinie 95/46/EG mit Wirkung vom 25. Mai 2018 aufgehoben. Würde die DSGVO jetzt für datenverarbeitende Stellen schon Vorgaben machen, hätte diese Regelung keinen Sinn. Denn dann würden derzeit dem Grunde nach zwei europäische Regelungssysteme parallel und im Anwendungsbereich überlappend den Schutz personenbezogener Daten regeln. Im Ergebnis würde auch die in Art. 99 DSGVO etablierte Übergangsfrist von zwei Jahren keinen Sinn machen, wenn man davon ausgeht, dass die DSGVO bereits jetzt unmittelbar anwendbar wäre.

Die Entscheidungen des VG Wiesbaden und des FG Düsseldorf sind kritisch zu sehen und abzulehnen.

Generalanwalt am Europäischen Gerichtshof: Betreiber von Facebook-Seiten (Fanpages) sind datenschutzrechtlich (mit)verantwortlich

Eine ziemliche Überraschung aus Luxemburg. So könnte man die heute veröffentlichen Schlussanträge des Generalanwalts Bot in der Rechtssache C-210/16 bezeichnen. Sollte der Europäische Gerichtshof (EuGH) dem Ergebnis der Einschätzung des Generalanwaltes folgen, dürfte dies auch Auswirkungen auf die Praxis der digitalen Wirtschaft haben.

Nachfolgend eine ganz kurze Zusammenfassung der Schlussanträge des Generalanwaltes zur datenschutzrechtlichen Verantwortlichkeit.

Ausgangsverfahren

Das Bundesverwaltungsgericht (BVerwG) legte dem EuGH mit Beschluss vom 25.02.2016 – 1 C 28.14 mehrere Fragen rund um die datenschutzrechtliche Verantwortlichkeit eines Betreibers einer Facebook-Seite (Fanpage) und die Zuständigkeit der Aufsichtsbehörden vor.

Nach den Feststellungen zum Sachverhalt können die Betreiber von Fanpages mittels des von Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zu ihrer Verfügung gestellten Tools „Facebook Insights“ Besucherstatistiken erhalten. Diese Statistiken werden von Facebook erstellt und vom Betreiber einer Fanpage anhand verschiedener Kriterien, die er wählen kann – wie Alter oder Geschlecht –, personalisiert. Diese Statistiken liefern somit anonyme Informationen über die Eigenschaften und die Gewohnheiten der Personen, die diese Fanpages besucht haben, und gestatten den Betreibern dieser Seiten, gezielter zu kommunizieren. Um solche Besucherstatistiken zu erstellen, speichert Facebook zumindest ein Cookie, das eine eindeutige ID-Nummer enthält und für zwei Jahre aktiv ist, auf dem Rechner der Person, die die Fanpage aufgerufen hat. Die ID-Nummer, die mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Facebook-Seiten erhoben und verarbeitet.

Ursprünglich klagte die Wirtschaftsakademie Schleswig-Holstein, ein privatrechtlich organisiertes Bildungsunternehmen, gegen einen Bescheid der Landesdatenschutzbehörde in Schleswig-Holstein.  Die Wirtschaftsakademie bewirbt ihre Bildungsangebote u.a. durch eine Fanpage bei Facebook.

Die Aufsichtsbehörde ordnete mit Bescheid vom 3.11.2011 gegenüber der Klägerin an, dafür Sorge zu tragen, dass die von ihr unter www.facebook.com/wirtschaftsakademie bei Facebook betriebene Fanpage deaktiviert wird, und drohte für den Fall der nicht fristgerechten Umsetzung ein Zwangsgeld an. Hiergegen wendete sich die Wirtschaftsakademie. Das Verfahren landete über mehrere Instanzen beim BVerwG, welches dem EuGH u.a. die folgenden Fragen vorlegte.

Erste Frage und zweite Frage

Nach Ansicht des BVerwG ist die Wirtschaftsakademie weder datenschutzrechtlich für die Datenverarbeitung durch Facebook, in Form der Erhebung von Daten von Seitenbesuchern, als auch für die weitere Nutzung der Daten durch Facebook verantwortlich.

Zudem ist nach Ansicht des BVerwG die Wirtschaftsakademie auch nicht Auftraggeber einer Datenverarbeitung im Auftrag. Es stellte sich jedoch die Frage, ob es eine andere Form der datenschutzrechtlichen Verantwortlichkeit des Betreibers einer Fanpage geben kann und die Aufsichtsbehörde auch gegen andere Stelle, die nicht Verantwortlicher sind, vorgehen kann.

Das BVerwG hielt eine Klärung für erforderlich, ob bzw. unter welchen Voraussetzungen sich in mehrstufigen Anbieterverhältnissen, wie sie für soziale Netzwerke kennzeichnend sind, die Kontroll- und Eingriffsbefugnisse der Datenschutzaufsichtsbehörde allein auf die “verantwortliche Stelle” im Sinne des Art. 2 Buchst. d) RL 95/46/EG (§ 3 Abs. 7 BDSG) beziehen können oder ob daneben Raum für eine Verantwortlichkeit einer Stelle, die nicht im Sinne des Art. 2 Buchst. d) RL 95/46/EG für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für sein Informationsangebot bleibt.

Vor diesem Hintergrund erstrebt die erste Vorlagefrage die Klärung, ob mit dem Begriff des “für die Verarbeitung Verantwortlichen” (Art. 2 Buchst. d) RL 95/46/EG) auch die möglichen Adressaten von Eingriffsmaßnahmen abschließend und erschöpfend umschrieben sind oder ob im Rahmen der “geeigneten Maßnahmen” nach Art. 24 und der “wirksamen Eingriffsbefugnisse” nach Art. 28 Abs. 3 Spiegelstrich 2 RL 95/46/EG daneben Raum für eine datenschutzrechtliche Verantwortlichkeit für die Auswahl des Betreibers eines Informationsangebotes bleibt.

Der Generalanwalt teilt nicht die Meinung des BVerwG. Das ist durchaus überraschend.

Meines Erachtens ist nämlich davon auszugehen, dass die Wirtschaftsakademie für die in der Erhebung von personenbezogenen Daten durch Facebook bestehende Phase der Verarbeitung gemeinsam mit Facebook verantwortlich ist.

Die Wirtschaftsakademie ist, zusammen mit Facebook Inc. und Facebook Ltd., gemeinsamer Verantwortlicher. Und zwar für die Verarbeitungsphase der Erhebung personenbezogener durch Facebook, wenn Nutzer die Facebook-Seite besuchen. Facebook ist verantwortlich, da es die Technologie entwickelt hat und auch das dahinter liegende Geschäftsmodell der Nutzung der Daten. Zudem ist auch Wirtschaftsakademie als Administrator der Facebook-Seite zumindest für die Phase der Erhebung der Daten verantwortlich.

Indem der Betreiber der Fanpage Facebook für die Verbreitung seines Informationsangebots nutzt, schließt er sich dem Grundsatz der Durchführung einer Verarbeitung personenbezogener Daten der Besucher seiner Seite zum Zweck der Erstellung von Besucherstatistiken an.

Durch Nutzung des Insights Tools und den Zugriff auf die Statistiken nehme er an Entscheidung über Zwecke und Mittel der Verarbeitung teil. Zum einen, weil er die Entscheidung trifft, das Tool zu nutzen. Nur dadurch würde die Datenverarbeitung überhaupt initiiert. Zudem gestatte er Facebook die Nutzung der Daten. Er erteile also seine Zustimmung zu dem System und der Verarbeitung durch Facebook und damit zu den von Facebook verwendeten Mitteln und den Zwecken. Zudem habe er Möglichkeit, die Datenverarbeitung zu beenden und zwar durch Löschung der Facebook-Seite.

Zudem habe er die Möglichkeit des Einflusses auf die Darstellung der Statistik und welche Kriterien verwendet werden.

der Betreiber einer Fanpage [hat] die Möglichkeit, die konkrete Umsetzung dieses Tools zu beeinflussen, indem er die Kriterien definiert, auf deren Grundlage die Besucherstatistiken erstellt werden.

Der Betreiber einer Fanpage kann mittels Filtern ein personalisiertes Zielpublikum festlegen, was ihm erlaubt, nicht nur die Personengruppe genau zu bestimmen, an die die Informationen über sein kommerzielles Angebot verbreitet werden, sondern insbesondere die Kategorien von Personen zu bezeichnen, deren personenbezogene Daten sodann von Facebook erhoben werden.

Der Generalanwalt stellt als Ergebnis fest, dass unter diesen Umständen ein Betreiber einer Fanpage eines sozialen Netzwerks wie Facebook als Verantwortlicher für die Phase der Verarbeitung personenbezogener Daten anzusehen ist, die in der Erhebung von Daten über die diese Seite besuchenden Personen durch dieses soziale Netzwerk besteht.

Der Generalanwalt bleibt hier jedoch nicht stehen. Zudem sollen diese Ausführungen auch für das anhängige Verfahren zum Like Button (C-40/17, Fashion ID) gelten. Auch bei der Einbindung eines Plugins (hier für den Like-Button) sei Webseitenbetreiber Verantwortlicher für die Phase der Erhebung von Daten durch Facebook, weil er den Code einbinde. Der Generalanwalt hierzu:

Meiner Ansicht nach müsste in einem solchen Kontext der Betreiber einer Website, die ein Social Plugin enthält, soweit er einen tatsächlichen Einfluss auf die die Übermittlung personenbezogener Daten an Facebook betreffende Phase der Verarbeitung ausübt, wie der Betreiber einer Fanpage als „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 eingestuft werden.

Diese Auffassung ist durchaus überraschend, da der Generalanwalt sich der Auslegung des BVerwG entgegenstellt und die datenschutzrechtliche Verantwortlichkeit (die das BVerwG ablehnte) auf Betreiber einer Facebook-Seite erstreckt.

Sollte der EuGH dieser Einschätzung folgen, stellen sich einige praktische Fragen. Unter anderem nach der korrekten Erfüllung der Informationspflichten durch den Betreiber der Facebook-Seite. Nach der Logik der Schlussanträge müsste der Betreiber, da er für die Erhebung der Daten mitverantwortlich ist, über die betroffenen Daten und die Zwecke der Verarbeitung informieren. Tatsächlich kann es aber den Betreibern von Facebook-Seiten oder anderen vergleichbaren Plattformangeboten schwer fallen, diese Informationen inhaltlich korrekt an die Besucher zu kommunizieren. Eventuell hat der Betreiber gar keine Kenntnis darüber, welche Daten konkret für welche Zwecke durch Facebook verarbeitet werden. Zudem müsste der Betreiber der Webseite auf die Informationen zur Datenerhebung auch klar und verständlich auf seiner Facebook-Seite hinweisen. Zuletzt dürfte die generelle Frage zu beantworten sein, auf der Grundlage welches Erlaubnistatbestandes die personenbezogenen Daten durch Facebook (Inc. und Ltd.) und den Betreiber der Webseite erhoben werden. Diese Fragen müssen sich, sollte das Urteil den Schlussanträgen folgen, Betreiber von Facebook-Seiten stellen und beantworten.

Daneben ist anzumerken, dass der vorliegende Fall zwar ein spezielles Produkt (die Fanpage) und das dahinterliegende System betrachtet. Die Ausführungen des Generalanwaltes zur gemeinsamen Verantwortlichkeit dürften jedoch zu einem großen Teil auch auf andere Plattformen und Systeme übertragbar sein, bei denen ein Kunde die Infrastruktur und quasi das vorgefertigte Produkt eines Anbieters nutzt und bei dessen Bereitstellung personenbezogene Daten von Nutzern oder Besuchern verarbeitet werden, insbesondere, wenn der Kunde die Möglichkeit hat, Nutzerstatistiken zu nutzen.

Weitere Fragen

Auch die Ausführungen des Generalanwaltes zum anwendbaren Datenschutzrecht und der Zuständigkeit der Aufsichtsbehörden sind interessant. Vor allem von Relevanz ist, dass er die Gründe des EuGH-Urteils zu Google Spain auf eine Situation überträgt, in der der (Mit)Verantwortliche in der Union niedergelassen ist.

Er geht davon aus, dass die streitige Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten der deutschen Niederlassung von Facebook durchgeführt wird und dass in einer Situation wie der im Ausgangsverfahren in Rede stehenden die Anwendung des deutschen Datenschutzrechts erlaubt ist.

Die deutsche Kontrollstelle ist daher befugt, ihr nationales Recht auf die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten anzuwenden.

Zudem geht der Generalanwalt davon aus, dass die nationale Aufsichtsbehörde ihre Befugnisse, also auch eine Untersagung der Verarbeitung, nicht etwa gegen die nationale Niederlassung richten muss. Vielmehr könne eine aufsichtsbehördliche Maßnahme nach deutschem Recht gegenüber dem Verantwortlichen erfolgen, auch wenn dieser, wie hier die Facebook Ltd., in einem anderen Mitgliedstaat niedergelassen ist.

…dass diese Kontrollstelle sämtliche wirksamen Einwirkungsbefugnisse, die ihr gemäß Art. 28 Abs. 3 dieser Richtlinie übertragen sind, gegenüber dem für die Verarbeitung Verantwortlichen ausüben darf, und zwar auch dann, wenn dieser Verantwortliche seinen Sitz in einem anderen Mitgliedstaat oder einem Drittstaat hat.

Natürlich muss man noch das Urteil des EuGH abwarten. Da dieser den Schlussanträgen jedoch oft folgt, darf man mutmaßen, dass auch das Urteil des EuGH in eine ähnliche Richtung gehen wird.

Europäische Datenschutzbehörden veröffentlichen Leitlinien zum Beschäftigtendatenschutz

Mit ihrer Stellungnahme 2/2017 vom 8. Juni 2017 (PDF) haben sich die europäischen Datenschutzbehörden, die in der Art. 29 Datenschutzgruppe versammelt sind, zu verschiedenen Fragen der Verarbeitung personenbezogener Daten im Rahmen des Beschäftigungsverhältnisses geäußert. Interessant und für die Praxis besonders relevant ist, dass sich die Datenschutzbehörden in ihrer Stellungnahme nicht nur zur aktuellen Rechtslage (also zur europäischen Datenschutzrichtlinie 95/46/EG) äußern, sondern auch ein Ausblick auf die Auslegung der EU Datenschutz-Grundverordnung (DSGVO) im Kontext der Verarbeitung personenbezogener Daten von Beschäftigten geben.

Die nun veröffentlichte Stellungnahme ist nicht die erste, die sich mit dem Beschäftigtendatenschutz befasst. Bereits im Jahre 2001 und 2002 hat die Art. 29 Datenschutzgruppe Stellungnahmen hierzu veröffentlicht. Die nun vorliegende Stellungnahme ist jedoch nach Ansicht der Datenschützer insbesondere deshalb erforderlich, da sich seit Veröffentlichung der vorherigen Stellungnahmen die technischen Gegebenheiten und Möglichkeiten zur Verarbeitung personenbezogener Daten gerade auch im Beschäftigungsverhältnis geändert haben. Aus diesem Grund möchten die Datenschützer auch hier neue Leitlinien veröffentlichen.

Die vorliegende Stellungnahme befasst sich daher insbesondere auch mit neuen Verarbeitungsmöglichkeiten, etwa im Rahmen von Social Media Plattformen. Insgesamt behandelt Stellungnahme hierzu neun beispielhafte Szenarien und die Datenschützer stellen dar, inwiefern Datenverarbeitung in diesen Szenarien ihrer Auffassung nach zulässig sind. Hier bereits der Hinweis: die Stellungnahme der Art. 29 Datenschutzgruppe ist kein Gesetz und nicht bindend, für die Praxis aber natürlich durchaus von Relevanz.

Wer ist Beschäftigter?

Ganz zu Beginn ihrer Stellungnahme weisen die Datenschützer darauf hin, dass der Begriff des „Beschäftigten“ im Rahmen ihrer Stellungnahme nicht zu eng zu verstehen ist und insbesondere nicht unbedingt den klassischen festen Anstellungsvertrag voraussetzt. Die Datenschützer erwähnen etwa auch freie Mitarbeiter, die ihrer Ansicht nach unter den Begriff des Beschäftigten im Rahmen dieser Stellungnahme fallen. Den Datenschützern geht es gerade nicht darum, nur solche Szenarien abzudecken, in denen tatsächlich ein Arbeitsvertrag besteht.

Möglichkeiten der Verarbeitung im Beschäftigungsverhältnis

Zunächst befasst sich die Stellungnahme mit den Verarbeitungsmöglichkeiten auf der Grundlage der noch geltenden EU Datenschutzrichtlinie. Zudem weisen die europäischen Datenschutzbehörden darauf hin, dass sie sich wünschen würden, dass in dem derzeit diskutierten Vorschlag für eine ePrivacy-Verordnung eine spezifische Ausnahme für den Zugriffs auf Endgeräte von Arbeitnehmern aufgenommen wird. Diese Möglichkeit wurde kürzlich im Entwurf eines Berichts des LIBE-Ausschusses im Europäischen Parlament vorgesehen. Meines Erachtens nach ergeben sich mit Einführung einer solchen Spezifizierung hinsichtlich des Zugriffs auf Endgeräte im Arbeitsverhältnis jedoch schwierige Fragen der Abgrenzung zur DSGVO und auch dem neuen BDSG. Hierzu mein Blogbeitrag.

Einwilligung

Nach Auffassung der Datenschutzbehörden stellt die Einwilligung der Beschäftigten für die überwiegende Mehrheit von Datenverarbeitungsvorgängen zumeist nicht die passende Grundlage dar. Diese Auffassung der Datenschutzbehörden (gerade auch in Deutschland) ist nicht unbedingt neu. Gerne wird auch pauschal die Möglichkeit verneint, dass Beschäftigte eine datenschutzrechtliche Einwilligung gegenüber ihrem Arbeitgeber abgeben könnten. In Deutschland hat das Bundesarbeitsgericht (Urt. v. 11.12.2014 – 8 AZR 1010/13) völlig zu Recht entschieden, dass natürlich auch im Beschäftigungsverhältnis die Möglichkeit einer datenschutzrechtlichen Einwilligung per se erst einmal gegeben ist. Es kommt dann freilich immer stets auf die Umstände an, ob die Anforderungen der Einwilligung tatsächlich auch erfüllt sind, wie etwa die Freiwilligkeit der Abgabe der Einwilligungserklärung. Die Datenschutzbehörden gehen davon aus, dass eine Einwilligung im Beschäftigungsverhältnis insbesondere dann nicht wirksam ist, wenn sich an die Weigerung der Abgabe einer Willenserklärung durch den Beschäftigten eine negative Folge für diesen knüpfen würde. In diesem Fall fehlt es an der Freiwilligkeit der Abgabe der Einwilligungserklärung.

Durchführung des Arbeitsvertrages

Viele Datenverarbeitungen im Beschäftigungsverhältnis können in der Praxis auf der Grundlage des Arbeitsvertrages und zu dessen Durchführung vorgenommen werden. Dieser Auffassung sind auch die Datenschützer und verweisen beispielhaft etwa auf Datenverarbeitung im Rahmen von Gehaltszahlungen.

Interessenabwägung

Die in der Praxis jedoch wohl wichtigste Grundlage für eine Verarbeitung personenbezogener Daten von Beschäftigten stellt die Möglichkeit einer Interessenabwägung zwischen den berechtigten Interessen des Arbeitgebers und den schutzwürdigen Interessen des Arbeitnehmers dar (Art. 7 f) EU Datenschutzrichtlinie). Nach Auffassung der Datenschutzbehörden muss die Datenverarbeitung in diesem Fall in jedem Fall angemessen und verhältnismäßig sein. Zudem sollten Datenverarbeitungen im Arbeitsverhältnis stets die am wenigsten einschneidende Maßnahme in Bezug auf die Rechte des Arbeitnehmers darstellen. In jedem Fall, so die Datenschutzbehörden, ist es erforderlich, das durch den Arbeitgeber bestimmte Maßnahmen umgesetzt sind, um die Risiken für die Arbeitnehmer zu minimieren und die schutzwürdigen Interessen der Arbeitnehmer gebührend zu berücksichtigen. Am Beispiel der Überwachung von Arbeitnehmern stellen die Datenschützer dar, dass solche Maßnahmen etwa eine geographische Begrenzung der Überwachung darstellen können, die Begrenzung kann sich aber auch auf bestimmte Datenkategorien beziehen oder aber auch auf bestimmte Zeitintervalle erstreckt werden. Dies wären nach Auffassung der Datenschutzbehörden solche angemessenen Maßnahmen, um die schutzwürdigen Interessen der betroffenen Arbeitnehmer zu berücksichtigen.

DSGVO

Des Weiteren befassen sich die Datenschutzbehörden auch mit der Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis unter den Vorgaben der DSGVO. Zumindest wird in der Stellungnahme kurz auf einige Besonderheiten der DSGVO hingewiesen. Zum einen auf die Anforderungen des Art. 25 DSGVO, dem Prinzip des Datenschutzes durch Technikgestaltung und durch Voreinstellungen. Nach Auffassung der Datenschutzbehörden bedeutet dies für die Arbeitgeber, dass, wenn sie Endgeräte an ihre Arbeitnehmer herausgeben, diese Endgeräte mit datenschutzfreundlichen Voreinstellungen bestückt sein müssen und das Prinzip der Datenminimierung auf der technischen Ebene beachtet werden muss.

Zu dem für den Beschäftigtendatenschutz relevanten Art. 88 DSGVO (umgesetzt im neuen § 26 BDSG) verhalten sich die Datenschutzbehörden nicht besonders ausführlich. Sie geben allein den Inhalt des Artikels wieder. Jedoch weisen die Datenschutzbehörden darauf hin, dass die Anforderungen des Art. 88 Abs. 2 DSGVO, dass Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umzusetzen sind, im Rahmen der in der vorliegenden Stellungnahme dargestellten Szenarien beachtet wurden. Die in der Stellungnahme entwickelten Leitlinien erläutern den zulässigen Einsatz von neuen Technologien und stellen dabei die erforderlichen Anforderungen dar, die nach Art. 88 Abs. 2 DSGVO bei der Datenverarbeitung zu erfüllen sind. Dies bedeutet in der Praxis, dass die in der Stellungnahme der Datenschutzbehörden dargestellten Sachverhalte und vorgeschlagenen Lösungsvarianten aus Sicht der Datenschutzbehörden die Anforderungen der DSGVO erfüllen.

Datenverarbeitung aus sozialen Netzwerken

In einem dargestellten Sachverhalt befassen sich die Datenschutzbehörden mit der Situation, das ein potenzieller Arbeitgeber sich vor oder nach einem Vorstellungsgespräch im Rahmen einer Suche im Internet und in Profilen von sozialen Netzwerken ein eigenes Bild über den Kandidaten machen will. Die Datenschutzbehörden weisen jedoch darauf hin, dass nur weil Informationen in einem Profil in einem sozialen Netzwerk öffentlich abrufbar sind, die Arbeitgeber diese Information nicht auch unbedingt für eigene Zwecke nutzen können. Stets ist für jede Datenverarbeitung ein gesetzlicher Erlaubnistatbestand zu erfüllen. Sie weisen jedoch darauf hin, dass, bevor ein Arbeitgeber ein Profil eines Sozialen Netzwerkes genauer untersucht, zunächst zu prüfen ist, um was für eine Art von sozialem Netzwerk es sich handelt. Um ein berufliches Netzwerk oder ein Netzwerk mit privatem Hintergrund. Insbesondere im Rahmen der Interessenabwägung als Erlaubnistatbestand kann dieser Umstand eine Rolle spielen. Zudem, so die Datenschutzbehörden, dürfen potentielle Arbeitgeber Daten nur in dem Umfang erheben und verarbeiten, wie dies für den Bewerbungsprozess tatsächlich absolut notwendig ist. Nach Auffassung der Datenschutzbehörden müssen zudem alle im Rahmen des Bewerbungsprozesses erhobenen und gespeicherten Daten unverzüglich gelöscht werden, sobald deutlich wird, dass den Kandidaten kein Job angeboten wird. Hier lässt sich zumindest kritisch anmerken, dass insbesondere auch in Deutschland die Datenschutzbehörden nicht direkt nach Ende des Auswahlverfahrens die Löschung der Daten verlangen. Insbesondere aufgrund der Möglichkeit des abgelehnten Kandidaten, noch gegen den ablehnenden Arbeitgeber rechtlich vorzugehen (AGG), gestehen auch in Deutschland die Datenschutzbehörden den Unternehmen eine Frist zur Speicherung der Daten zur abgelehnten Bewerbern von einigen Monaten zu.

Überwachung des Datenverkehrs

Ein weiteres Szenario was von den Datenschutzbehörden angesprochen wird, ist die Überwachung und Analyse des Datenverkehrs in das Netzwerk eines Unternehmens und hinaus. Insbesondere aus Sicherheitsgesichtspunkten und zum Schutz der Systeme gestehen die Datenschutzbehörden den Arbeitgebern eine solche Analyse und damit zusammenhängende Datenverarbeitung auch von Arbeitnehmern bis zu einem gewissen Grad zu. Sie weisen jedoch darauf hin, dass eine Überwachung in der Form der Aufzeichnung jeglicher Onlineaktivität von Arbeitnehmern ihrer Auffassung nach eine unverhältnismäßige Maßnahme darstellen würde, insbesondere mit Blick auf das Fernmeldegeheimnis. Interessant ist hierbei, dass die Datenschutzbehörden davon auszugehen scheinen, dass für den Arbeitgeber die Vorgabe der Einhaltung des Fernmeldegeheimnisses per se zu beachten ist. In Deutschland ist diese Frage jedoch umstritten, insbesondere im Rahmen der gestatteten oder nicht gestatteten privaten Nutzung das Onlinezugangs am Arbeitsplatz.

Weitere Szenarien

Auch zum Thema Bring Your Own Device äußern sich die Datenschutzbehörden in ihrer Stellungnahme. Neben weiteren Szenarien erläutern die Datenschutzbehörden auch, was es im Rahmen des Transfers personenbezogener Daten in das Ausland zu beachten gilt. Hier bleiben die Hinweise der Datenschutzbehörden jedoch recht allgemein. Sie weisen allein darauf hin, dass die Anforderungen des Art. 25 der geltenden EU Datenschutzrichtlinie einzuhalten sind. Nach Auffassung der Datenschutzbehörden sollten sich Arbeitgeber in Fällen der Übermittlung von personenbezogenen Daten der Arbeitnehmer in Drittstaaten außerhalb des Europäischen Wirtschaftsraumes insbesondere auf die Mechanismen des Angemessenheitsbeschlusses durch die Europäische Kommission (Bsp: EU US Privacy Shield) verlassen. Daneben können auch die EU Standardvertragsklauseln eine Möglichkeit zum Datentransfer in Drittstaaten sein. Weniger geeignet halten die europäischen Datenschutzbehörden die Ausnahmen für besondere Übermittlungssituationen, wie etwa die ausdrückliche Einwilligung des Arbeitnehmers.

Fazit

Insgesamt ist die doch recht umfangreiche Stellungnahme der Datenschutzbehörden durchaus lesenswert und insbesondere, da sie auch schon die DSGVO im Blick hat, besonders praxisrelevant. Wie immer gilt natürlich, dass man auch hier nicht jegliche Meinung teilen muss. Die Stellungnahme gibt jedoch einen guten Überblick dazu, wie die europäischen Datenschutzbehörden insbesondere in Grenzfällen das Gesetz auslegen bzw. aus ihrer Sicht anwenden.

EuGH-Urteil zur Datenverarbeitung auf der Grundlage berechtigter Interessen

Am 4. Mai 2017 hat der EuGH sein Urteil in der Rechtssache C-13/16 (Rigas) gefällt. Das Urteil selbst würde ich nicht als „datenschutzrechtlichen Knaller“ bezeichnen. Weitaus unterhaltsamer und bestimmt auch streitbarer sind die Schlussanträge des Generalanwalts aus Februar 2017, auf die ich schon einmal auf Twitter hingewiesen hatte.

In seinen Schlussanträgen nimmt sich Generalanwalt Bobek die Zeit für ein „Nachwort zum Datenschutz“ (ab Rz. 91), das er damit einleitet, dass es sich vorliegend „um einen etwas sonderbaren Fall“ handelt. Und:

Der Fall erzeugt nicht nur beim uninformierten Betrachter ein gewisses gedankliches Unwohlsein mit Blick auf die angemessene Anwendung und das vernünftige Wirken von Datenschutzvorschriften.

Zudem geht der Generalanwalt auch detaillierter auf den hier interessierenden Erlaubnistatbestand der Interessenabwägung (Art. 7 lit. f) EU-Datenschutzrichtlinie) ein (ab Rz. 60). Nun aber zurück zum Urteil des EuGH.

Das Gericht befasst sich mit der Frage, wie Art. 7 lit. f) EU-Datenschutzrichtlinie auszulegen und anzuwenden ist. Danach ist die Verarbeitung personenbezogener Daten zulässig, wenn die Verarbeitung erforderlich ist zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Art. 1 Abs. 1 EU-Datenschutzrichtlinie geschützt sind, überwiegen.

Zunächst stellt der EuGH fest, dass nach Art. 7 lit. f) EU-Datenschutzrichtlinie eine Verarbeitung personenbezogener Daten unter drei kumulativen Voraussetzungen zulässig ist:

  • berechtigtes Interesse, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden (1),
  • Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses (2) und
  • kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person (3).

Im Hinblick auf die erste Voraussetzung stellt der EuGH fest, dass „kein Zweifel daran besteht“, dass das Interesse eines Dritten, eine persönliche Information über eine Person zu erlangen, die sein Eigentum verletzt hat, um gegen sie eine Schadensersatzklage zu erheben, berechtigt ist.

Mit Blick auf die zweite Voraussetzung, die Erforderlichkeit, geht der EuGH als Grundsatz davon aus, dass sich jegliche Ausnahmen und auch Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten stets auf das absolut Notwendige beschränken müssen. In der Praxis muss sich eine datenverarbeitende Stelle also die Frage stellen, ob es (für das Grundrecht auf Schutz personenbezogener Daten) weniger einschneidende aber ebenso effektive Möglichkeiten gibt, um das Ziel zu erreichen bzw. einen bestimmten Zweck zu erfüllen.

Bei der letzten Voraussetzung (der Interessenabwägung) ist von Bedeutung, dass sich schematische oder standardisierte Vorgaben praktisch verbieten. Der EuGH stellt vielmehr zu recht fest, dass die Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen grundsätzlich von den konkreten Umständen des betreffenden Einzelfalls abhängt. Ein möglicher Faktor ist etwa die Beeinträchtigung der Grundrechte der Betroffenen in unterschiedlicher Intensität, je nachdem, ob die in Rede stehenden Daten z. B. öffentlich zugänglich sind oder nicht.

Die Auslegung des EuGH ist, wie bereits erwähnt, nicht absolut überraschend. Die Ausführungen des EuGH zu Art. 7 lit. f) EU-Datenschutzrichtlinie lassen sich auch auf die zukünftige Auslegung und Anwendung des Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung übertragen.

European Commission: EU-US Privacy Shield complies with the requirements of the General Data Protection Regulation

Maria Grapini, Member of the European Parliament, asked the European Commission what measures the Commission is planning to adapt the EU-US Privacy Shield, which exists since July 2016, in order to comply with the (partly new) requirements of the upcoming General Data Protection Regulation (GDPR).

The Privacy Shield is based on an adequacy decision by the Commission, just like the former Safe Harbor framework which was invalidated by the European Court of Justice (ECJ). The Privacy Shield provides one possibility to legally transfer personal data from the European Union to companies in the USA, self-certified under the Privacy Shield framework.

In her answer, Justice Commissioner Jourová expressed a rather optimistic view.

Firstly, the Commission refers to the standards for an adequacy finding to ascertain that a third country ensures “a level of protection that is essentially equivalent to that guaranteed within the European Union”.

According to Art. 25 para 6 of the current EU Data Protection Directive (95/46/EC), the Commission may find that a third country ensures an adequate level of protection by reason of its domestic law or of the international commitments it has entered into for the protection of the private lives and basic freedoms and rights of individuals.

In its answer, the Commission refers to the decision by the ECJ in the Schrems case (C-362/14) and its interpretation of Art. 25 para 6. According to the ECJ, the word “adequate” signifies that

a third country cannot be required to ensure a level of protection identical to that guaranteed in the EU legal order.

However, the term “adequate level of protection” must be understood as requiring the third country in fact to ensure a level of protection of fundamental rights and freedoms that is essentially equivalent to that guaranteed within the European Union.

According to the Commission, this means that it is not necessary for the third country in question to have data protection rules which are a “photocopy” of the EU system. It is especially not necessary that each individual provision in European data protection law is reflected in the third country’s legal order.

Secondly, the Commissioner further comments on the question of the continuation of existing adequacy decisions under the future GDPR. The Commission emphasizes that the GDPR rests on the same core principles, rights and obligations as Directive 95/46/EC.

The Privacy Shield framework already reflects these core elements.

The Commission is therefore assuming that the EU-US Privacy Shield adequately respects the data protection principles, rights and obligations of the future GDPR in order to fulfill the requirements for an adequacy decision as of May 2018.

However, the Commission points to Recital 146 of the EU-US Privacy Shield, according to which it will assess whether there might be a need to adapt the Privacy Shield decision in the light of the entry into application of the GDPR. According to Justice Commissioner Jourová, this will also form part of the discussions with the U.S. authorities in the context of the annual review planned for the second half of 2017.

EU-Kommission: EU-US Datenschutzschild erfüllt Anforderungen der Datenschutz-Grundverordnung

Von der Abgeordneten im Europaparlament, Maria Grapini, wurde die Europäische Kommission gefragt, welche Maßnahmen die Kommission zur Anpassung des seit Juli 2016 existierenden EU-US Datenschutzschildes an die EU Datenschutz-Grundverordnung (DSGVO) plant. Das Datenschutzschild stellt, wie früher Safe Harbor, eine Angemessenheitsentscheidung der Kommission zum Schutzniveau für personenbezogene Daten, die an Unternehmen in den USA übertragen werden, dar. In ihrer Antwort (txt) äußert sich die Justiz-Kommissarin Jourová recht optimistisch.

Zunächst geht die Kommission auf die an einen Angemessenheitsbeschluss zum Datenschutzniveau in einem Drittstaat zu stellende Anforderungen ein. Hierzu verweist die Kommission auf das EuGH-Urteil zu Safe Harbor (Rechtssache C?362/14). Nach Art. 25 Abs. 6 der EU-Datenschutzrichtlinie kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau gewährleistet. Nach dem EuGH impliziert das Wort „angemessen“ in Art. 25 Abs. 6,

dass nicht verlangt werden kann, dass ein Drittland ein dem in der Unionsrechtsordnung garantiertes identisches Schutzniveau gewährleistet.

Das Drittland muss aber aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleisten, das dem in der Union garantierten Niveau der Sache nach gleichwertig ist.

In Ihrer Antwort stellt die Kommission hierzu fest, dass dies bedeutet, dass ein Drittland keine „fotokopierten“ Datenschutzregelungen der EU vorhalten muss. Insbesondere müsse nicht jede einzelne Norm des europäischen Datenschutzrechts in dem Datenschutzrecht des Drittstaates vorhanden sein.

Interessant sind die Ausführungen der Kommission zu der Frage nach der Fortgeltung derzeit existierender Angemessenheitsbeschlüsse, die sich an den weniger umfassenden Anforderungen der EU-Datenschutzrichtlinie orientieren, nach der Anwendbarkeit der DSGVO ab dem 25. Mai 2018.

Nach Ansicht der Kommission fußt die DSGVO auf den Grundprinzipien und Regelungen der existierenden EU-Datenschutzrichtlinie. Der EU-US Datenschutzschild beinhalte bereits diese Kernelemente. Die Kommission geht also davon aus, dass der EU-US Datenschutzschild die Datenschutzgrundsätze, Rechte und Pflichten der DSGVO ausreichend beachtet, um auch ab Mai 2018 die Anforderungen an einen Angemessenheitsbeschluss unter der DSGVO zu erfüllen.

Dennoch weist die Kommission darauf hin, dass sie im EU-US Datenschutzschild ausdrücklich darauf hingewiesen hat (dort Erwägungsgrund 146), dass sie prüfen wird, ob im Zuge der Anwendung der DSGVO ein Bedarf für Anpassungen besteht. Diese Prüfung ist Bestandteil der vorgeschriebenen jährlichen Überprüfung des EU-US Datenschutzschilds, die für das zweite Halbjahr 2017 geplant ist.

Datenschutz nach dem Brexit: Vereinigtes Königreich strebt Angemessenheitsbeschluss der EU-Kommission an

Die britische Regierung hat ein Weißbuch für den Plan zum Austritt aus der Europäischen Union veröffentlicht (pdf, Stand: Februar 2017). In dem Weißbuch wird auch knapp das Thema „Datenschutz“ gestreift (S. 45).

In dem Weißbuch erkennt die britische Regierung den besonderen Stellenwert eines Datentransfers für viele Wirtschaftssektoren an. Solange das Vereinigte Königreich noch Teil der Europäischen Union ist, existieren auch keine anderen datenschutzrechtlichen Anforderungen für Unternehmen, wenn diese etwa personenbezogene Daten mit einem Dienstleister in England austauschen möchten, als wenn sie einen Dienstleister im eigenen EU-Mitgliedstaat wählen würden.

Jedoch wird sich datenschutzrechtlich der Status des Vereinigten Königreichs nach dem Brexit ändern: in ein sog. Drittland. An Datentransfers in diese Länder bestehen bekanntlich höhere datenschutzrechtliche Anforderungen. Grundsätzlich dürfen derzeit und auch unter der Datenschutz-Grundverordnung, keine personenbezogene Daten aus der EU in Drittländer übermittelt werden, die nicht über ein angemessenes Schutzniveau für personenbezogene Daten verfügen oder ein anderes besonderes Instrument, wie etwa die EU-Standardvertragsklauseln oder gesetzliche Ausnahmen, nutzen.

Die Angemessenheit des Datenschutzniveaus in einem Drittland wird durch die Europäische Kommission geprüft und bestätigt. Ein Beispiel hierfür ist etwa der Beschluss zum EU-US Datenschutzschild.

Laut dem Weißbuch möchte auch die britische Regierung in Zukunft wohl in den Genuss eines Angemessenheitsbeschlusses der Kommission kommen. Zumindest wird darauf hingewiesen, dass der Kommission diese Befugnis zusteht und die britische Regierung alles dafür tun werde, um die Beständigkeit von Datentransfers zwischen EU-Mitgliedstaaten und dem Vereinigten Königreich zu sichern.

Ob jedoch ein solcher Angemessenheitsbeschluss der Kommission so einfach erlassen wird, darüber kann man zumindest diskutieren. Dies mag verwundern, da das Vereinigte Königreich ja derzeit als Mitgliedstaat der EU qua Gesetz (der Richtlinie 95/46/EG) ein angemessenes Niveau bietet und man hinterfragen könnte, was sich denn groß ändert, wenn doch das nationale Datenschutzrecht wie bisher auch nach dem Brexit erhalten bleibt. Der Grund für eine kritische Diskussion über den Erfolg eines Angemessenheitsbeschlusses findet man jedoch in dem Konstrukt der Kompetenzen der EU. Das europäische Datenschutzrecht und allgemein die EU hat keine Wirkung bzw. keine Befugnis auf dem Gebiet der nationalen Sicherheit, insbesondere der Tätigkeit der Geheimdienste. Selbst wenn man also derzeit die Tätigkeit des britischen GCHQ kritisiert, ändert dies nichts daran, dass im Vereinigten Königreich per se ein angemessenes Datenschutzniveau existiert. Soll die Kommission jedoch das Schutzniveau im Vereinigten Königreich nach dem Brexit prüfen, so sind von dieser Prüfung auch die Tätigkeiten der Sicherheitsbehörden, deren Datenverarbeitungsmaßnahmen und entsprechende Schutzmaßnahmen für EU-Bürger umfasst (vgl. etwa das Urteil des EuGH zu Safe Harbor, C?362/14, Rz. 88). Das Vereinigte Königreich ist in diesem Moment ein Drittland und die Kommission darf (und muss) dann im Rahmen ihrer Kompetenz das Schutzniveau für personenbezogene Daten in Gänze prüfen.

Man darf also auf die Prüfung durch die Kommission gespannt sein.

Like-Button vor dem EuGH: OLG Düsseldorf möchte wissen, wer verantwortlich ist

Im Verfahren zwischen der Verbrauchzentrale Nordrhein-Westfalen (VZNRW) und der Fashion ID GmbH & Co. KG (ein Unternehmen der Unternehmensgruppe Peek & Cloppenburg KG) zur datenschutzrechtlichen Zulässigkeit der Einbindung des Facebook Like-Buttons auf einer Webseite, hat das OLD Düsseldorf das Verfahren ausgesetzt und dem EuGH mehrere interessante Datenschutzfragen vorgelegt (Beschluss vom 19.01.2017 – I-20 U 40/16; derzeit leider noch nicht frei zugänglich). Die Vorinstanz, das LG Düsseldorf, hatte Fashion ID u.a. dazu verurteilt, die Einwilligung von Webseitenbesuchern einzuholen, bevor über das Plugin die IP-Adresse der Besucher an Facebook übermittelt wird (Urt. v.  09.03.2016 – 12 O 151/15; hier mein Blogbeitrag zu dem Urteil).

Facebook ist dem dem Rechtsstreit auf Seiten der Beklagten beigetreten. Das OLG Düsseldorf legt dem EuGH mehrere interessante Fragen zur Auslegung der geltenden EU-Datenschutzrichtlinie (RL 95/46/EG) vor.

Zunächst möchte das Gericht aber einmal wissen, ob denn die VZNRW überhaupt klagebfugt ist. Das LG Düsseldorf hatte dies noch, auf der Grundlage von § 8 Abs. 3 Nr. 3 UWG bejaht und angenommen, die Datenschutzvorschriften des TMG seien Marktverhaltensvorschriften. Fashion ID argumentiert, dass dieses Verständnis nicht in Einklang mit der RL 95/46/EG stehe. Eine Verbandsklage sei dort nicht vorgesehen. Die Richtlinie stelle insoweit eine abschließende Regelung dar. Interessant ist diese Vorlagefrage vor allem mit Blick auf das (nicht mehr ganz) neue Verbandsklagerecht in Deutschland. Das OLG Düsseldorf lässt in seinem Beschluss  erkennen, dass es davon ausgeht, dass eine solche Verbandsklagebefugnis der RL 95/46/EG nicht entgegensteht.

Natürlich möchte das OLG dann wissen, ob der Webseitenbetreiber, der das Plugin (also Code) einbindet, datenschutzrechtlich die „verantwortliche Stelle“ ist. Hier tendiert das OLG in seiner Begründung dazu, diese Verantwortlichkeit abzulehnen und verweist dazu auch auf den Vorlagebeschluss des BVerwG zu dem ebenfalls beim EuGH anhängigen Verfahren zu Facebook Fanpages.

Eine Stelle, die weder einen rechtlichen, noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, könne nicht als für die Verarbeitung Verantwortlicher angesehen werden (BVerwG Beschl. v. 25.02.2016, 1 C 28/14 Rn. 27, beim Gerichtshof anhängig unter C-210/16).

Das OLG Düsseldorf führt dazu richtigerweise aus, dass die gegenteilige Auffassung, allein durch die Einbindung von Dritten bereitgestellter Inhalte werde auch der Einbindende „für die Verarbeitung Verantwortlicher“ praktisch datenschutzrechtlich eine derartige Einbindung unmöglich mache. Denn der hierdurch ausgelöste Datenverarbeitungsvorgang ist für den Einbindenden nicht zu kontrollieren.

Interessant ist dann die Anschlussfrage des OLG, wenn keine datenschutzrechtliche Verantwortlichkeit angenommen wird. Man könnte dann nämlich über eine (m.E. abzulehnende Anwendung der Figur des „Störers“) nachdenken. Insofern stellt sich dann die Frage, ob Art. 2 Buchst. d) RL 95/46/EG insofern abschließend ist, als eine zivilrechtliche Haftung für von Dritten zu verantwortenden Datenschutzverstößen ausgeschlossen ist und die Haftung auf die Verantwortlichen beschränkt ist.

Wie auch das Vorlageverfahren des BVerwG (C-210/16), so ist auch dieses Verfahren von praktischer Relevanz. Im hiesigen Verfahren am OLG insofern eventuell in einer noch gesteigerten Form, da in der Praxis sowohl auf Webseiten und in Apps massenweise tagtäglich Plugins eingebunden werden. Eine datenschutzrechtliche Klärung ist daher zu begrüßen. Eventuell muss man sich aber mit dem Gedanken anfreunden, dass ein Urteil des EuGH erst nach dem 25. Mai 2018 und damit erst dann gefällt wird, wenn die Datenschutz-Grundverordnung (DSGVO) anwendbar ist und die RL 95/46/EG nicht mehr existiert. Nichtsdestotrotz ist die Frage nach der datenschutzrechtlichen Verantwortlichkeit und auch ein möglicher Rückgriff auf die Figur der Störerhaftung auch unter der DSGVO relevant.