Category Archives: Europa

Beschluss des Bundesverwaltungsgerichts zu Fanpages: Betreiber ist nicht verantwortlich. Oder vielleicht doch?

Posted on by

Gestern Nacht hat mich „Joma“ auf Twitter darauf aufmerksam gemacht, dass nun der Beschluss des Bundesverwaltungsgerichts vom 25. Februar 2016 in dem Verfahren (BVerwG 1 C 28.14) zwischen dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH (WAK) im Volltext veröffentlicht wurde.

Bekanntlich hat das Bundesverwaltungsgericht das Verfahren ausgesetzt und dem Europäischen Gerichtshof in Luxemburg mehrere Fragen zur Auslegung des geltenden Datenschutzrechts vorgelegt. Auch wenn das Bundesverwaltungsgericht noch nicht abschließend in diesem Verfahren entschieden hat, so ergeben sich aus dem Beschluss bereits einige rechtliche Aussagen des Gerichts, die für Facebook Fanpagebetreiber in Deutschland von Interesse sein dürften.

Das Bundesverwaltungsgericht geht nämlich davon aus, dass die WAK für die Erhebung und Verarbeitung der Nutzerdaten ihrer Fanpage durch Facebook nicht die „Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“ (§ 3 Abs. 7 BDSG) bzw. die „Stelle, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 2 Buchst. d) RL 95/46/EG) ist (Rz. 24). Nach Auffassung des Bundesverwaltungsgerichts ist also ein Facebook Fanpagebetreiber nicht als verantwortliche Stelle im Sinne des Datenschutzrechts anzusehen. Damit einher geht meines Erachtens zwingend die Schlussfolgerung, dass der Facebook Fanpagebetreiber, soweit es sich um Datenverarbeitungen handelt, die von Facebook durchgeführt werden und auf die der Fanpagebetreiber keinen Einfluss hat, auch nicht für eventuell unzulässige Datenverarbeitungen verantwortlich ist.

Nun mag sich der Leser fragen, warum dann überhaupt noch der Europäische Gerichtshof angerufen wird. Dies liegt daran, dass das Bundesverwaltungsgericht, auch wenn der Fanpagebetreiber nicht als verantwortliche Stelle im Sinne des Datenschutzrechts anzusehen ist, den Europäischen Gerichtshof fragt, ob nicht doch eine gewisse Auswahlverantwortlichkeit des Fanpagebetreibers besteht. Ohne selbst für die Datenverarbeitung verantwortlich zu sein, hält es das Bundesverwaltungsgericht nämlich für denkbar, die geltenden gesetzlichen Vorgaben eventuell in dem Sinne auszulegen, dass die zuständige Datenschutzaufsichtsbehörde wegen einer fehlerhaften Auswahl eines Plattformbetreibers (in diesem Beispiel etwa Facebook für Fanpages) durch den Fanpagebetreiber (also z.B. ein Unternehmen, einen Verein etc.), gegen diesen vorgehen kann. Das Bundesverwaltungsgericht beschreibt diese aus seiner Sicht möglicherweise existierende Verantwortlichkeit wie folgt:

Diese datenschutzrechtliche Verantwortung bezieht sich zwar nicht auf die Erhebung und Verarbeitung der Daten durch den Infrastrukturanbieter selbst, die in einer Infrastruktur wie der von der Beigeladenen angebotenen rechtlich und tatsächlich durch den Informationsanbieter nicht gesteuert werden kann. Sie bezieht sich aber auf die sorgfältige Auswahl des Betreibers der Infrastruktur, die für das eigene Informationsangebot genutzt wird.

Der Fanpagebetreiber wäre also nicht für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und müsste diese, auch bei einer eventuell existierenden Auswahlverantwortlichkeit, nicht prüfen.

die Nutzer von Infrastrukturangeboten und Plattformen bleiben zudem von der Notwendigkeit befreit, die Rechtmäßigkeit der Datenverarbeitung durch den ausgewählten Anbieter (inzident) überprüfen zu müssen. (Rz. 36)

Jedoch könnten den Fanpagebetreiber im Rahmen der Auswahl einer Plattform vorgelagerte Prüfungspflichten („Auswahl- und Überprüfungspflichten“) treffen, deren Herleitung das das Bundesverwaltungsgericht (unter Hinweis auf Martini/Fritzsche, Mitverantwortung in sozialen Netzwerken. Facebook-Fanpage-Betreiber in der datenschutzrechtlichen Grauzone, NVwZ-Extra 21/2015) aus den Regelungen zur Auftragsdatenverarbeitung (§ 11 Abs. 2 Satz 1 und 4 BDSG) zumindest für möglich hält.

Ein Aktenzeichen beim Europäischen Gerichtshof für dieses Verfahren ist mir derzeit noch nicht bekannt.

European Court of Justice hears arguments in two procedures on national data retention laws

Posted on by

Today, the hearing takes place before the European Court of Justice (ECJ) in Luxembourg in joined Cases C-203/15 and C-698/15 place (Link to the calendar of the ECJ). In these procedures, the question of the conformity of national laws, forcing telecommunications providers to store traffic data, with EU law is at stake. In 2014, the ECJ ruled invalid the European Data Retention Directive (Ruling of 8th April 2014, C -293 / 12).

In the now negotiated procedures, the Court has to deal with national laws that impose obligations on providers to store traffic data.

In a Swedish preliminary ruling (Tele2 Sverige, C-203/15) the referring court asks whether

a general obligation to retain traffic data covering all persons, all means of electronic communication and all traffic data without any distinctions, limitations or exceptions for the purpose of combating crime

is compatible with Article 15(1) of Directive 2002/58/EC, taking account of Articles 7, 8 and 15(1) of the Charter of Fundamental Rights. The Swedish court furthermore wants to know if the retention may nevertheless be permitted where, inter alia all relevant data are to be retained for six months.

At the same time, the ECJ will assess a preliminary ruling from the UK (Davis and Others, C-698/15) which also deals with the question of the conformity of national regulations on data retention.

Today, „only“ the hearing takes place. This means that the various parties can express their positions. The Court may ask questions in connection with the preliminary ruling. Sometimes, these questions already show a tendency for a subsequent judgment.

The request for a preliminary ruling from Sweden is particularly relevant for Germany, where recently a new data retention law has been adopted by the Parliament. In the reasoning of the new law, „Law establishing a storage requirement and a maximum retention period for traffic data“ (pdf, German), the German legislature explicitly refers to the application of Art. 15 (1) of Directive 2002/58/EC and assumes that national rules on data retention must therefore be measured against the requirements of the Charter of Fundamental rights of the European Union.

Europäischer Gerichtshof verhandelt über Vorratsdatenspeicherung

Posted on by

Heute findet vor dem europäischen Gerichtshof (EuGH) in Luxemburg die mündliche Verhandlung in den verbundenen Rechtssachen C-203/15 und C-698/15 statt (Link zum Sitzungskalender). In den Verfahren geht es um die Frage der Konformität nationaler Gesetze mit EU-Recht, die Telekommunikationsanbieter zur Speicherung von Verkehrsdaten verpflichten. Im Jahr 2014 hat der EuGH die europäische Richtlinie zur Vorratsdatenspeicherung für ungültig erklärt (Urt. v. 8. April 2014, C-293/12).

In den nun verhandelten Verfahren muss ich der EuGH mit nationalen Gesetzen befassen, die eine Speicherung von Verkehrsdaten vorschreiben.

In einem schwedischen Vorabentscheidungsersuchen (Tele2 Sverige, C-203/15) stellt das vorlegende Gericht die Frage, ob

eine generelle Verpflichtung zur Vorratsspeicherung von Verkehrsdaten, die sich (wie [im Vorabentscheidungsersuchen] beschrieben) auf alle Personen und alle elektronischen Kommunikationsmittel sowie auf sämtliche Verkehrsdaten erstreckt, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung von Straftaten vorzusehen, mit Art. 15 Abs. 1 der Richtlinie 2002/58 unter Berücksichtigung der Art. 7, 8 und 52 Abs. 1 der Charta vereinbar

ist.

Falls der EuGH diese erste Frage verneinen sollte, möchte das vorlegende Gericht wissen, ob die Vorratsspeicherung dennoch zulässig sein kann, wenn

a) der Zugang der nationalen Behörden zu den gespeicherten Daten wie [im Vorabentscheidungsersuchen] beschrieben festgelegt ist und
b) die Sicherheitsanforderungen wie [im Vorabentscheidungsersuchen] beschrieben geregelt sind und
c) sämtliche relevanten Daten wie [im Vorabentscheidungsersuchen] beschrieben für einen Zeitraum von sechs Monaten ab dem Tag, an dem die Kommunikation beendet wird, gespeichert und anschließend gelöscht werden müssen?

Verbunden mit diesem Verfahren wird zugleich ein Vorabentscheidungsersuchen aus England behandelt (Davis u.a., C-698/15), in dem es ebenfalls um die Frage der Konformität nationaler Regelungen zur Vorratsdatenspeicherung geht. Hier stellt das vorlegende Gericht unter anderem die Frage, ob das Urteil des EuGH in der Rechtssache C-293/12

verbindliche, für die nationale Regelung eines Mitgliedstaats über den Zugang zu gemäß den nationalen Rechtsvorschriften auf Vorrat gespeicherten Daten geltende Voraussetzungen für die Vereinbarkeit mit den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) fest

legt.

Heute wird zunächst einmal nur verhandelt. Das bedeutet, dass die verschiedenen Beteiligten ihre Positionen darlegen können. Der Gerichtshof kann im Rahmen der mündlichen Verhandlung aber auch Fragen stellen, aus denen sich bereits oft eine Tendenz für ein späteres Urteil abzeichnet.

Gerade das Vorabentscheidungsersuchen aus Schweden ist insbesondere auch für die kürzlich in Deutschland (wieder) beschlossene Vorratsdatenspeicherung relevant. Denn der deutsche Gesetzgeber geht für das „Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (pdf) unter anderem davon aus, dass der Anwendungsbereich des Art. 15 Abs. 1 der Richtlinie 2002/58 eröffnet ist und nationale Regelungen zur Vorratsdatenspeicherung sich an den Vorgaben der Charta der Grundrechte der Europäischen Union messen lassen müssen.

EU-US Privacy Shield: Europäische Datenschützer fordern Verbesserung – zur Not will man klagen

Posted on by

Am 6. und 7. April 2016 haben sich die deutschen Datenschutzbehörden zu ihrer ein 90 Konferenz in Schwerin getroffen. Im Rahmen dieses Treffens wurde unter anderem auch die vorgeschlagene Angemessenheitsentscheidung der europäischen Kommission zum neuen EU-US Privacy Shield beraten. Ob gewollt oder nicht, in dem nun veröffentlichten Beschluss der Konferenz der unabhängigen Datenschutzbehörden (pdf) veröffentlichen die Datenschützer bereits jetzt das Ergebnis der Prüfung des EU-US Privacy Shield durch die sogenannte Art. 29 Gruppe, die Versammlung aller europäischen Datenschutzbehörden. Der nun veröffentlichte Beschluss dient als Mandat für die Vertreter der deutschen Behörden in diesem Gremium.

(Update: Der Link zu dem Beschluss wurden zwischenzeitlich von den Webseiten der Behörden entfernt. Mit einer gewissen Vorahnung habe ich das Dokument aber direkt heruntergeladen, als es noch online verfügbar war. Den Beschluss stelle ich hier gerne zur Verfügung: Mandat für die Vertreter Deutschlands in der Artikel-29-Gruppe).

Im bisherigen Text der Stellungnahme der Art. 29 Datenschutzgruppe finden sich folgende Schlussfolgerungen und Ergebnisse:

Until these issues are addressed, the WP29 considers it is not in a position to reach an overall conclusion on the draft adequacy decision. It stresses that some of the clarifications and concerns – in particular relating to national security – may also impact the viability of the other transfer tools.

Therefore, the WP29 is not yet in a position to confirm that the current draft adequacy decision does, indeed, ensure a level of protection that is essentially equivalent to that in the EU.

Das Mandat der deutschen Vertreter soll insbesondere die Argumentationslinie umfassen, dass der bislang vorgelegte Entwurf der Adäquanzentscheidung nicht genügt, um von einem angemessenen (essentially equivalent) Datenschutzniveau sprechen zu können.

Auf der Basis der derzeit vorgelegten Dokumente können die Art. 29 Datenschutzgruppe keine zustimmende Stellungnahme abgeben.

Zu beachten ist freilich, dass die Stellungnahme der europäischen Datenschützer keine bindende Wirkung hat. Sollte diese also tatsächlich negativ ausfallen, so würde dies die europäische Kommission nicht daran hindern, die Angemessenheit Entscheidung dennoch anzunehmen. Diesen Fall scheinen die deutschen Datenschutzbehörden vorherzusehen. In dem Mandat für die deutschen Vertreter findet sich nämlich auch die Vorgabe, sich dafür einzusetzen, dass für den Fall, dass die Kommission die Adäquanzentscheidung trifft, ohne die Defizite auszuräumen, die Art. 29 Gruppe befürworten werde,

dass diese Entscheidung (etwa durch Musterklagen einzelner Datenschutzaufsichtsbehörden) durch Vorlage an den EuGH überprüft wird.

Die folgenden Tage und Wochen im Rahmen der Verhandlung um den EU-US Privacy Shield dürfen auf der Grundlage dieser Informationen mit Spannung verfolgt werden.

Update:
Nach wenigen Stunden und der Verbreitung (insb. international) der Information, dass die deutschen Behörden das oben verlinkte Dokument zum Privacy Shield veröffentlicht haben, ist das Dokument nun auf keiner Webseite der deutschen Behörden zu finden.

Datenschutz-Grundverordnung: Auslegungshilfe und praktischer Überblick

Posted on by

Die endgültige Textfassung der zukünftigen Datenschutz-Grundverordnung wird derzeit noch durch den Übersetzungsdienst der Europäischen Union, in Absprache mit dem europäischen Parlament und den Mitgliedstaaten, erstellt. Inhaltlich weiß man im Groben seit der Einigung im Trilog am 17. bzw. 18. Dezember 2015 auf einen gemeinsamen Text, welche Regelungen in Zukunft für den Umgang mit Person bezogenen Daten in Europa gelten werden.

Zwar werden viele altbekannte Prinzipien der geltenden EU-Datenschutzrichtlinie fortgeführt und unverändert übernommen. Nichtsdestotrotz wird es an vielen Stellen auch (größere oder kleinere) Änderungen geben. Datenschutzpraktiker sind vor diesem Hintergrund für jede Anwendungs- und Auslegungshilfe zu den neuen Regelungen dankbar.

Der Rat der Europäischen Union hat nun den Entwurf der Begründung des Rates (pdf) zu der Datenschutz-Grundverordnung veröffentlicht. Im Prinzip handelt es sich bei diesem 36-seitigen Dokument um einen hilfreichen, wenn auch groben Überblick über und eine geraffte Zusammenfassung der zukünftigen Regelungen. Mit Blick auf die zukünftige Auslegung der Datenschutz-Grundverordnung durch die Praxis, die Gerichte oder die Datenschutzaufsichtsbehörden dürfte dieses Dokument durchaus nützlich sein.

Europäische Kommission: Für PayPal gilt luxemburgisches Datenschutzrecht

Posted on by

Im Rahmen der Beschwerde eines deutschen Staatsbürgers hat sich die Europäische Kommission unter anderem zur Frage des anwendbaren Datenschutzrechts und der zuständigen Datenschutzaufsichtsbehörde für das Unternehmen PayPal geäußert. Die Stellungnahme der Europäischen Kommission ist über die Webseite des Petitionsausschusses des Europäischen Parlaments abrufbar (pdf).

Der Petent rügte unter anderem, dass PayPal personenbezogene Daten, auch auf Aufforderung, nicht löschen würde und dass Kundenkonten nach einer Sperrung nur nach Übermittlung personenbezogener Daten wieder freigeschaltet werden würden.

Die Kommission befasst sich in ihrer Stellungnahme zunächst mit allgemeinen Grundsätzen und Vorgaben des geltenden Datenschutzrechts. Mit Blick auf PayPal weißt die Kommission darauf hin, dass das unternehmen eventuell gesetzlich dazu verpflichtet sein kann, personenbezogene Daten für Zwecke der Verhinderung der Geldwäsche und Terrorismusfinanzierung zu verarbeiten. In einem solchen Fall sei die Datenverarbeitung auch gerechtfertigt, jedoch muss sich diese auf das erforderliche Maß zur Erfüllung der gesetzlichen Pflichten beschränken.

Zudem führt die Kommission aus, dass es in erster Linie Aufgabe der nationalen Aufsichtsbehörden sei, die Einhaltung der datenschutzrechtlichen Regelungen zu überwachen. Da PayPal (Europe) in Luxemburg niedergelassen ist und die von der Beschwerde umfassten Datenverarbeitungen im Rahmen der Tätigkeiten dieser Niederlassung ausgeführt werden, sei auf den ersten Blick auch luxemburgisches Datenschutzrecht anwendbar.

Wenn der Petent der Ansicht ist, dass die Datenverarbeitung nicht den Vorgaben des luxemburgischen Rechts entspreche, dann kann er sich, so die Kommission, mit einer Beschwerde an die luxemburgische Datenschutzbehörde wenden.

Alternativ könne er sich auch an die für ihn zuständige Aufsichtsbehörde in Deutschland wenden, die dann mit der Aufsichtsbehörde in Luxemburg kooperieren müsse. Denn jede nationale Aufsichtsbehörde ist, unabhängig vom anwendbaren Recht, dem Grunde nach erst einmal befugt und auch verpflichtet, Beschwerden von Bürgern entgegen zu nehmen. Sie darf, bei Anwendbarkeit eines anderen Datenschutzrechts, jedoch z.B. keine sanktionierenden Maßnahmen erlassen. Diesbezüglich verweist die Kommission auf das Urteil des EuGH in der Sache „Weltimmo“ (C-230/14).

Administrative Court of Hamburg in Facebook case – Google Spain does not apply

Posted on by

Yesterday the Administrative Court of Hamburg decided (pdf, German) that German data protection law does not apply to the data processing operations relevant for  giving Facebook users access to the social network only with their real names.

Many observers might wonder how the court came to this conclusion after the European Court of Justice widened the scope of the current European data protection law with its decisions in Google and Google Spain (C-131/12) and also interpreted the notion of “establishment” (Art. 4 para 1 lit. a of Directive 95/46/EC) in Weltimmo (C-230/14) quite broadly.

The court ruled that the business operations of Facebook in Dublin as well as those of Facebook Germany constitute an establishment within the meaning of Art. 4 para 1 Directive95/46/EC. Furthermore, the court held that if several national data protection laws might apply due to the fact that the controller is established in several Member States, the law of the Member State should apply in which the establishment with the closest connection to the disputed data processing operation is located. According to the court, that is Facebook Ireland in this specific case.

According to the court, the disputed data processing operation, however, is not carried out in the context of the activities of the German establishment in the sense of Art. 4 para 1 lit. a of Directive 95/46/EC.

The notion “carried out in the context of the activities” is to be interpreted broadly in accordance with the jurisprudence of the European Court of Justice in Google and Google Spain only if the controller is established outside the European Union, like in Google Spain. That broad interpretation of “carried out in the context of the activities” can however not be applied in the present case. Art. para 1 of Directive 95/46/EC is a conflict of law rule and determines the applicable data protection law between the laws of different Member States in case of an inner-EU situation (see also the Opinion of the Advocate General in Weltimmo, margin number 23).

With regard to the Google Spain decision, the court explains that in the present case, there might actually exist an “inextricable link” between the activities of the German and the Irish establishment. But according to the court, the reasoning of the European Court of Justice in that case cannot be applied since it concerns a conflict of jurisdictions within the European Union whereas in the Google Spain case the court in the first place wanted to give effect to European data protection law. The European Court of Justice based its decision on the argument that “it cannot be accepted that the processing of personal data carried out for the purposes of the operation of the search engine should escape the obligations and guarantees laid down by Directive 95/46” (see C-131/12, margin number 58). According to the administrative court, in the present case, the controller is established in a Member State of the European Union (Ireland). Therefore there exists no risk in the present case that natural persons affected by the contested data processing operation could be deprived of the protection offered by Directive 95/46/EC. The question in this case only was which national data protection law (within the scope of Directive 95/46/EC) would apply.

According to the court, in the case of such a conflict of data protection laws of Member States, the law of the country has to apply, in which the establishment with the closest connection of its activities to the disputed data processing operation is located. In this case: Ireland.

Französische Datenschutzbehörde prüft Facebook – Analyse und Kritik

Posted on by

Am 8. Februar 2016 hat die französische Datenschutzbehörde (CNIL) bekannt gegeben, dass sie den Betreiber des sozialen Online-Netzwerks Facebook am 26. Januar 2016 durch ein förmliches Anschreiben dazu aufgefordert hat, mehrere Verstöße gegen das französische Datenschutzrecht innerhalb von drei Monaten abzustellen. Sollten nicht alle in dem Anschreiben (pdf; Englisch) beanstandeten Datenschutzverstöße innerhalb dieses Zeitraums abgestellt werden, so weist die Behörde darauf hin, dass es am Ende möglicherweise zu Sanktionen kommen könnte. Nachfolgend möchte ich auf einige Aspekte der Feststellung der französischen Datenschutzbehörde näher eingehen.

Anwendbares Recht

Wenig überraschend geht die Behörde zunächst davon aus, dass auf die Datenverarbeitungen des Unternehmens französisches Datenschutzrecht anwendbar sei. „Wenig überraschend“ ist dies vor allem vor dem Hintergrund, dass der EuGH in seinen beiden Entscheidungen Google Spain (C-131/12) und Weltimmo (C-230/14) den Anwendungsbereich europäischen Datenschutzrechts sehr weit ausgedehnt hat.

In der Entscheidung „Weltimmo“, die aufgrund des eine Woche später gefällten Urteil zu Safe Harbor nur wenig Beachtung fand, konkretisierte EuGH die Anforderungen an das Vorliegen einer „Niederlassung“ im Sinne des Art. 4 Abs. 1 Buchst a der Datenschutzrichtlinie (RL 95/46/EG). Meine Blogbeiträge sowohl zu dem Urteil als auch zu den entsprechenden Schlussanträgen findet man hier.

Mit dem ebenfalls für die Anwendbarkeit europäischen Datenschutzrechts relevanten Merkmal der Datenverarbeitung „im Rahmen der Tätigkeit“ eine Niederlassung, hat sich der EuGH in seinem „Google Spain“ Urteil auseinandergesetzt und auch dieses Tatbestandsmerkmal sehr weit ausgelegt.

Dem Grunde nach reicht dem Gericht für die Bejahung der Anwendbarkeit europäischen Datenschutzrechts (bzw. des jeweils nationalen Datenschutzrechts) eine untrennbare wirtschaftliche Verbundenheit zwischen der verantwortlichen Stelle und einer Niederlassung in einem Mitgliedstaat aus. Die Niederlassung muss nicht einmal selbst bei der untersuchten Datenverarbeitung mitwirken.

Vor allem stellte der EuGH auch darauf ab, dass eine nationale Niederlassung an der Generierung von Einnahmen für den Mutterkonzern beteiligt ist.

Hier stellt sich für mich die Frage, wie der Niederlassung zu beurteilen wären die überhaupt keine Einnahmen für ein Mutterkonzern in einem anderen Mitgliedstaat oder sogar außerhalb der EU generieren, sondern vielmehr nur Ausgaben produzieren. Man denke etwa an Repräsentanzen, die sich allein um die Öffentlichkeit Arbeit eines Unternehmens kümmern, zu Veranstaltungen einladen etc. da hier keine Einnahmen generiert werden, könnte man sich fragen, ob in einer solchen Situation das jeweils nationale Datenschutzrecht Anwendung findet.

Zurück zum Verfahren der französischen Datenschutzbehörde: aus einer gesamteuropäischen Betrachtungsweise lässt sich kritisch anmerken dass wir gerade in Deutschland völlig divergierende Gerichtsentscheidungen dazu haben, welches Datenschutzrecht nun konkret auf Facebook anwendbar ist (Kammergericht Berlin, Az. 5 U 42/12; Oberverwaltungsgericht Schleswig-Holstein: Az. 4 MB 10/13). Kritisieren lässt sich zudem, dass sowohl in den dortigen deutschen Verfahren, als auch jetzt im Verfahren der CNIL (zumindest soweit dies aus den veröffentlichten Dokumenten hervorgeht) ganz allgemein auf Datenverarbeitungen abgestellt wird, ohne diese einzelnen zu konkretisieren und jede Datenverarbeitung für sich zu betrachten. Meines Erachtens ist genau dieser Prüfung Schritt jedoch erforderlich. Für die Frage der Rechtmäßigkeit einer Datenverarbeitung prüft man ja auch nicht alle Datenverarbeitungen auf einmal, sondern muss sich auf jede einzelne Verarbeitung konzentrieren. Warum soll in Bezug auf die Frage des anwendbaren Datenschutzrechts etwas anderes?

Interessanterweise stellt die CNIL zudem in ihrem Schreiben fest dass sowohl die Facebook Inc. als auch Facebook Irland Ltd. gemeinsam für die Verarbeitung verantwortliche darstellen würden. Auch diese Feststellung laufend diametral zu jenen von deutschen Gerichten. Mir geht es hier vor allen Dingen darum das Problem aufzuzeigen, in dem sich international agierende Unternehmen befinden. Nimmt man die in den europäischen Mitgliedstaaten vorherrschenden verschiedenen Feststellungen von Gerichten und Datenschutzbehörden zusammen, erscheint ein recht sicheres Wirtschaften nur schwer möglich, selbst wenn man einen dementsprechenden Anspruch an seine Tätigkeiten hat (was meines Erachtens stets der Fall sein sollte).

Zuletzt möchte ich mit Blick auf die Frage des anwendbaren Datenschutzrechts noch auf die kürzlich veröffentlichte überarbeitete Stellungnahme 179 (pdf) der Art 29 Datenschutzgruppe verweisen. In dieser analysiert das Gremium die oben genannten Entscheidungen des EuGH.

Insbesondere gehen die Datenschützer darin begrüßenswerte weise auch davon aus, dass es ein Fehler wäre, wenn man die Entscheidungen des EuGH zu weit auslegen und zu dem Schluss kommen würde,  dass die Existenz jeglicher Niederlassung die nur im entferntesten mit einer Datenverarbeitung der verantwortlichen Stelle zu tun hat zur Anwendbarkeit europäischen Datenschutzrechts führen würde.

Insbesondere stellt die Art. 29 Datenschutzgruppe auch heraus, dass der EuGH in seiner “Google Spain” Entscheidung zu Begründung anführt, dass Betroffene in der EU ansonsten den durch die Datenschutzrichtlinie gewährten Schutz verlieren würden. Dieses Argument, so die Datenschützer, würde jedoch in dem Fall, in dem eine verantwortliche Stelle in einem EU Mitgliedstaat sitzt, nicht greifen. Denn in einem solchen Fall würde stets europäisches Datenschutzrecht anwendbar sein. Es käme nur auf die Frage an, welches nationale Recht.

Zuletzt noch der Hinweis auf eine weitere Feststellung der Art 29 Gruppe in ihrer neuen Stellungnahme: allein eine gesellschaftsrechtliche Verbundenheit zwischen einem Mutterunternehmen und einer Niederlassung in einem europäischen Mitgliedstaat reicht für sich betrachtet noch nicht aus, um das jeweilige Datenschutzrecht zur Anwendung zu bringen. Genau mit diesem Argument hatte jedoch das Kammergericht in Berlin das deutsche Datenschutzrecht für anwendbar erklärt.

Datenverarbeitung für Werbezwecke

Des Weiteren bemängelt die CNIL, dass Facebook personenbezogenen Daten von Mitgliedern für Werbezwecke verarbeitete und dafür keine Rechtsgrundlage vorliege. Eine vorherige Einwilligung der betroffenen Nutzer liege nicht vor. Damit kommen im Ergebnis als Grundlage der Verarbeitung nur ein Vertrag oder aber die berechtigten Interessen von Facebook in Betracht wenn die schutzwürdigen Interessen des Betroffenen nicht überwiegen würden.

Hinsichtlich einer Verarbeitung für vertragliche Zwecke stellt die CNIL fest, dass die Nutzung der Daten für Werbezwecke gerade nicht der Durchführung des Vertrages mit den Betroffenen diene. Die Datenverarbeitung sei nur einen Nebenzweck, um vertragliche Pflichten zu erfüllen. Zudem führen die französischen Datenschützer an, dass Nutzer die Möglichkeit hätten der Verarbeitung ihrer Daten für Werbezwecke zu widersprechen (opt-out). Dies würde dafür sprechen, dass sie Datenverarbeitung für Werkezwecke nicht für die Durchführung des Nutzungsvertrages mit dem Betroffenen erforderlich ist.

Hier stellt sich freilich aus Praxis sich die Frage, ob man dann als Unternehmen in Zukunft einfach vertraglich die Verarbeitung für Werbezwecke gegenüber dem Nutzer regeln und diese zum Vertragsinhalt machen sollte. Zudem würde man dann eben keine Widerspruchsmöglichkeit anbieten. Nach der Argumentation der CNIL, könnte die Datenverarbeitung dann ja eventuell zulässig sein. Auf die Frage, wie dies dann mit Vorgaben wie jener des § 28 Abs. 4 BDSG in Einklang gebracht werden kann, möchte ich hier nicht näher eingehen.

Auch lehnt die CNIL die Datenverarbeitung auf der Grundlage berechtigter Interessen von Facebook ab. Dies soll nur möglich sein, wenn Nutzer Kontrolle darüber haben, wie personenbezogene Daten genutzt werden und sie ihre Rechte effektiv ausüben können. Dies sei hier jedoch nicht gegeben.

Besondere Arten personenbezogener Daten

Im Profil bei Facebook können Nutzer unter anderem Informationen über ihre religiöse Einstellung oder auch ihre sexuelle Orientierung angeben. Bei diesen Arten von Informationen handelt es sich umso genannte besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG), deren Verarbeitung nach den gesetzlichen Vorgaben nur unter sehr eingeschränkten Voraussetzungen möglich ist.

Was man hierbei beachten sollte ist, dass Datenschutzbehörden den Begriff der besonderen Arten personenbezogenen Daten grundsätzlich sehr weit auslegen und hierunter viel mehr Informationen fallen, als vielen vielleicht bewusst ist. So geht etwa die Art. 29 Gruppe in einer Stellungnahme zur Verarbeitung von Gesundheitsdaten bei der Nutzung von Apps (pdf) davon aus, dass die Information, dass jemand einer Brille trägt ein solches besonderes Datum darstellt. Das bedeutet: ein Foto, auf dem jemand eine normale Brille trägt, würde auch unter diese Kategorie fallen. In der Stellungnahme kommen die Datenschützer der Art 29 Gruppe im Prinzip zu dem Ergebnis, dass eigentlich nur eine Einwilligung die Datenverarbeitung für solche Fälle (Apps, Internet, etc.) rechtfertigen kann. Meinen Beitrag zu der erwähnten Stellungnahme findet man hier und hier einen weiteren zu einer Einschätzung durch die Bundesregierung.

Die CNIL verlangt in ihrem Anschreiben, dass eine Einwilligung für die Verarbeitung dieser Arten von Daten überhaupt nur dann wirksam abgegeben werden könnte, wenn ein Kästchen durch den Nutzer angeklickt wird. Erst dann sei die Voraussetzung erfüllt, dass die betroffene Person „ausdrücklich in die Verarbeitung der genannten Daten eingewilligt“ (so in Art. 8 Abs. 2 Buchst a) Datenschutzrichtlinie) habe.

Ausdrücklich verneint die französische Datenschutzbehörde das Vorliegen einer Einwilligung durch den Nutzer, wenn dieser freiwillig die betroffenen Daten in seinem Profil eingegeben und dann zur Ansicht freigegeben bzw. hochgeladen hat. Warum es sich hierbei nicht um eine ausdrückliche Einwilligung handeln soll, kann ich jedoch nicht ganz nachvollziehen.

Natürliche stets Voraussetzung, dass der Nutzer zuvor weiß, in Wasser einwilligt, um welche Daten es sich handelt und für welche Zwecke diese Daten genutzt werden. Ist diese Voraussetzung jedoch gegeben, und gibt der Nutzer in Kenntnis dieser Informationen freiwillig derartige Daten an und führt dann noch aktiv eine entsprechende Handlung aus, wie etwa den Klick auf einen Button, um die Daten im Profil anzeigen zu lassen, lässt sich meines Erachtens durchaus argumentieren, dass eine ausdrückliche Einwilligung vorliegt. Hier zeigt sich leider einmal mehr ein in der Praxis bekanntes Problem bei dem Versuch, datenschutzrechtlich sicher zu handeln: die geltenden Vorgaben sind teilweise schlicht realitätsfern und werden in der Masse einfach nicht mehr beachtet. Ich persönlich kann mich zum Beispiel nicht entsinnen, dass sich eine den Anforderungen der französischen Datenschützer entsprechende Einwilligung abgeben musste, als ich mein Profilbild bei Twitter hochgeladen habe. Genau dieses Argument habe ich auch gegenüber der Abgeordneten im europäischen Parlament, Frau Birgit Sippel, im Rahmen einer Diskussion auf Twitter entgegengehalten. Nachfolgend Auszüge aus der Diskussion:

Zuletzt sei noch der Hinweis gestattet, dass die europäischen Datenschützer in ihrer Stellungnahme 187 (pdf) festgestellt haben, dass in der Online-Umgebung eine ausdrückliche Einwilligung durch die Verwendung elektronischer oder digitaler Signaturen gegeben werden. Sie kann abhängig vom Zusammenhang aber auch durch anklickbare Schaltflächen, das Versenden einer bestätigenden E-Mail, das Anklicken von Icons usw. erteilt werden.

Warum soll es aber dann nicht ausreichen, wenn man im Profil bei Facebook seine Daten ausfüllt und danach auf eine Schaltfläche klickt, um diese hochzuladen? Die Anforderung der französischen Datenschutzbehörde ist ja, dass zusätzlich zu diesem aktiven Verhalten noch in jedem Falle eine Checkbox vorgehalten werden muss die auch noch einmal aktiv angeklickt werden muss. Endeffekt verlangen die Datenschützer damit zwei aktive, ausdrückliche Handlungen.

Schwaches Passwort

Zudem kritisiert die französische Datenschutzbehörde die Vorgaben für das Passwort bei dem sozialen Netzwerk. Dieses muss dort aus mindestens 6 Zeichen, einer Zahl und einem Buchstaben bestehen. Diese Anforderung ist nach Auffassung der CNIL jedoch keine ausreichende Daten Sicherheitsmaßnahme und verstößt gegen Vorgaben französischen Rechts. Unweigerlich möchte man sich natürlich fragen, wie viele Unternehmen im Internet gegen diese Vorgabe wohl verstoßen. Hinsichtlich dieser Beanstandung verweist die französische Datenschutzbehörde zudem darauf, dass ein entsprechender Verstoß mit einer Strafe in Höhe von bis zu 1.5 Mio EUR geahndet werden kann.

Datentransfers in Drittstaaten

Auch bemängelt die CNIL, dass Facebook, zumindest nach eigener Aussage gegenüber der Behörde im Rahmen der Prüfung, immer noch personenbezogene Daten auf der Grundlage der Angemessenheitsentscheidung der Europäischen Kommission zu Safe Harbor übermitteln würde. Da diese Angemessenheitsentscheidung seit dem entsprechenden Urteil des EuGH jedoch nicht mehr existiert, kann dieses Instrument richtigerweise nicht mehr für Datentransfers genutzt werden. Des Weiteren nutze Facebook jedoch auch Standardvertragsklauseln als Grundlage einer Datenübermittlung in Drittstaaten. Im Ergebnis wird man hier eine genauere Untersuchung, die ja gerade auch im Land im Rahmen der Beschwerde von Max Schrems läuft, abwarten müssen.

Was mich persönlich jedoch verblüfft hat, ist, dass die Entscheidung der CNIL bzw. das vorliegende Anschreiben auf den 26. Januar 2016 datiert. Nach eigener Aussage (Pressemitteilung vom 16. Oktober 2015,  pdf) wollten die europäischen Datenschutzbehörden, deren Vorsitz gerade die Leiterin der CNIL inne hat, Unternehmen jedoch bis Ende Januar (also bis zum 31. Januar 2016) Zeit geben, Datentransfers in die USA auf entsprechende neue Grundlagen zu stützen. Auch der Hamburgische Beauftragte für den Datenschutz hatte im November 2015 informiert (pdf), dass Unternehmen, die Daten auf der Grundlage der ungültigen Angemessenheitsentscheidung zu Safe Harbor übermitteln, „ab Februar 2016 mit Maßnahmen durch die Aufsichtsbehörden rechnen“ müssen. Die damals aufgestellte Übergangsfrist scheint also daher eher eine grobe Richtschnur gewesen und von den Aufsichtsbehörden unterschiedlich in der Praxis umgesetzt worden zu sein.

Ausblick

Auch in Deutschland kämpft Facebook derzeit an mehreren Datenschutzfronten. In Hamburg ist vor dem Verwaltungsgericht ein Verfahren zur Frage der Klarnamenpflicht in dem sozialen Netzwerk anhängig. Am 25. Februar 2016 findet die Verhandlung vor dem Bundesverwaltungsgericht zur Frage statt, ob Fanpage Betreiber datenschutzrechtlich verantwortlich sind.

Datenschutz-Grundverordnung: „Snowden-Klausel“ wird nicht im Vereinigten Königreich gelten

Posted on by

Die sogenannte „Snowden-Klausel“, Art. 43a der zukünftigen Datenschutz-Grundverordnung (deutsche Fassung, pdf) wurde, ursprünglich in noch weitergehende im Umfang, vom Europäischen Parlament in den Text für das zukünftig geltende Datenschutzrecht in Europa eingebracht. Nachdem sich nunmehr das Europäische Parlament und der Rat auf eine gemeinsame Fassung der Datenschutz-Grundverordnung verständigt haben, lautet der finale Text von Art. 43a (vor der amtlichen Übersetzung):

Nach dem Unionsrecht nicht zulässige Übermittlung oder Weitergabe

Urteile eines Gerichts eines Drittlands und Entscheidungen einer Verwaltungsbehörde eines Drittlands, mit denen von einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Weitergabe personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.

Dieser Artikel besagt, dass bei Anfragen von Behörden aus Staaten außerhalb des europäischen Wirtschaftsraumes, beispielsweise wenn Strafverfolgungsbehörden oder Geheimdienste personenbezogene Daten zu Betroffenen im Rahmen ihrer Ermittlungen verlangen, eine Weitergabe von personenbezogenen Daten rechtlich nur zulässig ist, wenn hierfür eine internationale Übereinkunft (wie etwa ein Rechtshilfeabkommen) mit den jeweiligen Drittstaat existiert oder die Datenübermittlung durch andere Tatbestände des Kapitels V der Datenschutz-Grundverordnung erlaubt ist.

Am 4. Februar 2016 hat nun die parlamentarische Unterstaatssekretärin im Ministerium für Kultur, Medien und Sport des Vereinigten Königreichs, Baroness Neville-Rolfe, in einer schriftlichen Stellungnahme mitgeteilt, dass das Vereinigte Königreich dem Art. 43a Datenschutz-Grundverordnung und seinem Anwendungsbereich nicht unterworfen sein wird. Das Vereinigte Königreich wird das sog. „opt-in“, also die entsprechende Einwilligung zur Anerkennung der bindenden Wirkung, nicht erteilen. Dass das Vereinigte Königreich hier überhaupt eine Wahlmöglichkeit besitzt und entscheiden kann, ob es an bestimmten Maßnahmen der Europäischen Union gebunden ist oder nicht, ist für den Bereich der Justiz und des Inneren im sog. „opt-in Protokol 21“ (pdf) geregelt.

Als Folge ist das Vereinigte Königreich also nicht an die Vorschrift des Art. 43a Datenschutz-Grundverordnung gebunden. Dies bedeutet freilich auch, dass Anfragen von Behörden und Gerichten aus Staaten außerhalb des europäischen Wirtschaftsraumes sich nicht an diesen Vorgaben messen lassen müssen, wenn sie Auftragsverarbeiter oder für die Verarbeitung Verantwortliche mit Sitz im Vereinigten Königreich betreffen.

Dieser Aspekt ist meines Erachtens eine nicht zu unterschätzende Tatsache mit Blick auf das eigentlich mit der Datenschutz-Grundverordnung angestrebte einheitliche Schutzniveau in der Europäischen Union. Man kann trefflich darüber streiten, ob dies überhaupt bereits aufgrund der vielen Öffnungsklauseln in der Datenschutz-Grundverordnung der Fall ist. Das nun angekündigte Ausbleiben des „opt-ins“ durch das Vereinigte Königreich für Artikel 43a, betrifft jedoch zudem einen ganz zentralen Bereich, nämlich die Frage der Zulässigkeit von Datenübermittlung an ausländische Behörden, über den ja etwa derzeit Microsoft mit der amerikanischen Regierung vor Gerichten streitet. Eine Kette ist bekanntlich immer nur so stark, wie ihr schwächstes Glied.

EU-US Privacy Shield: Was wir bisher wissen.

Posted on by

Am 2. Februar 2016 hat die Europäische Kommission eine politische Einigung mit der amerikanischen Regierung auf ein neues System bzw. einen Rahmen für transatlantische Datentransfers bekanntgegeben, das „EU-US Privacy Shield“. Was genau der Inhalt dieses Systems sein wird, dazu existieren derzeit kaum valide Informationen. Das mag man kritisieren. In der Öffentlichkeit wurden zwar bereits Einschätzungen diskutiert, nach denen das EU-US Privacy Shield den datenschutzrechtlichen Anforderungen an Datentransfers in Drittstaaten (insbesondere unter Berücksichtigung des Urteils des EuGH vom 6. Oktober 2015, C-362/14) klar nicht genügen würde. Derartige inhaltliche Meinungen halte ich persönlich jedoch für verfrüht und warte daher gerne auf einen konkreten Text (insbesondere die Angemessenheitsentscheidung der Europäischen Kommission), der sich dann juristisch prüfen lässt.

Dennoch brennt die Frage, was da auf transatlantische Datenübermittlungen und betroffene Organisationen zukommt, verständlicherweise vielen Beteiligten unter den Nägeln. Bis also ein offizieller Text vorliegt, lässt sich dem Grunde nach nur zusammentragen, was aus verschiedenen Quellen bekannt gegeben wurde. An diesen Ankündigungen muss sich das System dann auch messen lassen. Nachfolgend möchte ich versuchen, eine solche Übersicht (Stand 4. Februar 2016) zu erstellen.

Pressemitteilung der Europäischen Kommission vom 2. Februar 2016

Überwachung und Durchsetzung der Regelungen durch das US-Handelsministerium und die Federal Trade Commission (FTC).

Vorgaben zur verstärkten Zusammenarbeit mit den europäischen Datenschutzbehörden.

Zusagen der US-Regierung, dass die Möglichkeiten für Behörden, nach dem amerikanischen Recht auf im Rahmen der neuen Vereinbarung übertragene personenbezogene Daten zuzugreifen, an klare Bedingungen, Beschränkungen und Aufsicht geknüpft ist, um einen allgemeinen Zugang zu verhindern.

Europäer werden die Möglichkeit haben, jede Anfrage oder Beschwerde in diesem Zusammenhang bei einer neu zu schaffenden Ombudsperson vorzubringen.

Verbindliche Zusicherungen der US-Regierung, dass der Zugang durch Behörden für Zwecke der nationalen Sicherheit klaren Grenzen, Schutz- und Aufsichtsmechanismen unterliegen wird.

Zum ersten Mal wird für EU-Bürger die Möglichkeit bestehen, Rechtsschutzverfahren in diesem Bereich [Anm. d. Autors: bezieht sich auf den Zugang durch Behörden für Zwecke der nationalen Sicherheit] in Anspruch zu nehmen.

Jährliche gemeinsame Überprüfung, um die Umsetzung dieser Verpflichtungen genau zu beobachten. Die Europäische Kommission und das US-Handelsministerium werden die Überprüfung durchführen und Experten für Nachrichtendienste aus den USA und europäische Datenschutzbehörden zur Teilnahme einladen.

US-Unternehmen, die personenbezogene Daten aus Europa importieren möchten, müssen sich zur Einhaltung von Vorgaben verpflichten, wie personenbezogene Daten verarbeitet und die Rechte des Einzelnen gewährleistet werden.

Darüber hinaus muss sich jedes Unternehmen, welches mit Arbeitnehmerdaten aus Europa umgeht, dazu verpflichten, Entscheidungen der europäischen Datenschutzbehörden anzuerkennen und nachzukommen.

Jeder Bürger, der der Auffassung ist, dass seine Daten im Rahmen des neuen Systems unzulässig verwendet wurden, wird mehrere Rechtsbehelfsverfahren zur Auswahl haben.

Unternehmen haben konkrete Fristen zu beachten, um auf Beschwerden zu antworten.

Europäische Datenschutzbehörden können Beschwerden an das US-Handelsministerium und die Federal Trade Commission weiterleiten.

Alternative Streitbeilegungsmechanismen werden kostenlos sein.

Die Europäische Kommission wird nun in den nächsten Wochen einen Entwurf für eine Angemessenheitsentscheidung [Anm. d. Autors: Nach Art. 25 Abs. 6 der Europäischen Datenschutzrichtlinie] erarbeiten. Dieser wird der Art. 29 Datenschutzgruppe für eine Stellungnahme zugeleitet und muss nach dem Ausschussverfahren [Anm. d. Autors: Art. 31 der Europäischen Datenschutzrichtlinie] angenommen werden.

Fragerunde des US Handelsministeriums auf Twitter vom 3. Februar 2016

Um am Privacy Shield teilnehmen zu können, müssen US-Unternehmen entweder Durchsetzungsbefugnissen der FTC oder des US-Transportministeriums unterliegen.

Ich selbst hatte zwei Fragen gestellt: 1) Ob das System erneut auf einer Selbstzertifizierung der US-Unternehmen basieren wird? 2) Ob noch amerikanisches Recht angepasst werden muss?

Die Antwort des US-Handelsministeriums, kurz und knapp:

Derzeit unter Safe Harbor zertifizierte Unternehmen werden einen Übergangszeitraum erhalten.

Das US-Handelsministerium wird die für das Privacy Shield zuständige Mitarbeiterzahl verdoppeln.

Auf die Frage eines Twitter-Nutzers, ob die „Presidential Policy Directive 28“ (PPD-28) ein rechtlich bindendes Instrument darstelle, antwortete das US-Handelsministerium:

Informationsblatt des US Handelsministeriums vom 2. Februar 2016 (hier Informationen, die über jene der Europäischen Kommission hinausgehen)

Unternehmen werden sich verpflichten, an Schiedsverfahren als mögliche letzte Instanz bei Beschwerden teilzunehmen, um sicherzustellen, dass EU-Bürger die Möglichkeit haben, auf diesem Wege Rechtsmittel einzulegen.

Das Privacy Shield enthält neue vertragliche Vorgaben zum Schutz der Privatsphäre und zur Aufsicht für Daten, die von teilnehmenden Unternehmen an Dritte weitergegeben oder von deren Dienstleistern verarbeitet werden, um die Haftung besser zu regeln und die Fortgeltung des Schutzes zu gewährleisten.

Ankündigung

Und noch eine Ankündigung zum Schluss: unter www.euusprivacyshield.de werde ich bald eine eigene Informationsseite einrichten und dort versuchen, die neuesten Entwicklung rund um dieses wichtige Projekt zu verfolgen und zu kommentieren.