Category Archives: Internet

Important ruling by the European Court of Justice: More data usage possibilities for website and app operators in Germany

Posted on by

The European Court of Justice (ECJ) has, in its judgment in Case C-582/14, ruled that the data protection provisions of the German Telemedia Act (TMG, pdf) are incompatible with European data protection law (in particular Art. 7 (f) of the Data Protection Directive). As a result, the relatively strict requirements for the processing of personal data in the provisions for telemedia services (e.g. an app or a website operator) pursuant to §§ 14 and 15 TMG must be interpreted and extended in the light of this judgment.

As a result, service providers are able to process personal data of a user not only to if it is needed for the establishment, content or amendment of a contractual relationship between the service provider and the user (§ 14 para 1 TMG) or to the extent necessary to enable and invoice the use of a telemedia service (§ 15 para. 1 TMG).

In his Opinion of 12 May 2016, the Advocate General had already held that § 15 of the TMG was not compatible with the European requirements laid down in Art. 7 (f) of the Data Protection Directive. § 15 TMG does not add additional requirements for the legality of a data processing to those provided for in Art. 7 (f). But it limits the material scope of the condition referred to in Art. 7 (f) thereof.

According to that provision, processing of personal data is allowed if it is necessary for the purposes of the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, except where such interests are overridden by the interests for fundamental rights and freedoms of the data subject

The problem with § 15 para 1 TMG (examined by the court) as well as with § 14 TMG is that these provisions allow processing of personal data only for specific and determined purposes and leave no room for the weighing of interests. However, due to the strictly limited processing possibilities within the framework of the TMG, the German legislator excludes the possibility for data controllers to process personal data in accordance with the European requirement of Article 7 (f). Or, in the words of the Advocate-General in his Opinion: „Paragraph 15 of the TMG would substantially reduce, with regard to Article 7(f) of Directive 95/46, the scope of the relevant legitimate interest justifying the processing of data and not merely define or qualify it“.

According to the ECJ ruling, a national provision which does not allow the legitimate interests of the data-processing body to be taken into account is not compatible with the requirements of the European Data Protection Directive. Neither § 14 nor § 15 TMG allow a weighing of interests according to the European standards. For this reason, in my opinion, the judgment, even though it assessed „only“ § 15 para 1 TMG, must also be taken into account within the framework of the remaining paragraphs of § 15 TMG and also § 14 TMG, which anticipate and restrict the weighing of interests.

In practice, this means that Website and app operators are allowed to process personal data from their users even if this processing serves the realization of a legitimate interest, and does not override any legitimate interests or fundamental rights of users.

The European Court of Justice also explicitly stated in its judgment that such a legitimate interest is the maintenance of the functionality of websites and thus allows the storage of IP addresses for this purpose, even beyond the respective concrete usage process by the visitor. It is important to note that the court did not have to deal with further examples of „legitimate interests“, because this certain case only concerned the maintenance and functionality of a website.

One last point: the “processing of personal data for direct marketing purposes“ may be regarded as carried out for a legitimate interest, as expressly stated in recital 47 of the General Data Protection Regulation.

Wichtiges Urteil des Europäischen Gerichtshofs: Mehr Datennutzungsmöglichkeiten für Webseiten- und App-Betreiber

Posted on by

Der Europäische Gerichtshof (EuGH) hat mit seinem heutigen Urteil in der Rechtssache C-582/14 die datenschutzrechtlichen Vorschriften des deutschen Telemediengesetzes (TMG) dem Grunde nach für mit den europarechtlichen Vorgaben (insbesondere Art. 7 lit. f) der Datenschutzrichtlinie) unvereinbar erklärt. Die Folge ist, dass die relativ strikten Voraussetzungen für eine Verarbeitung personenbezogener Daten bei der Bereitstellung eines Telemediendienstes (also etwa einer App oder einer Webseite) nach den §§ 14 und 15 TMG im Lichte dieses Urteils interpretiert und erweitert werden müssen.

Im Ergebnis bedeutet dies, dass Diensteanbieter personenbezogene Daten eines Nutzers nun nicht mehr nur dann verarbeiten dürfen, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses erforderlich sind (§ 14 Abs. 1 TMG) oder nur erheben und verwenden dürfen, soweit dies erforderlich ist, um die Inanspruchnahme der App oder Webseite zu ermöglichen (§ 15 Abs. 1 TMG).

Bereits der Generalanwalt hatte in seinen Schlussanträgen vom 12. Mai 2016 die Auffassung vertreten, dass § 15 TMG nicht mit den europäischen Vorgaben des Art. 7 lit. f) Datenschutzrichtlinie vereinbar ist. § 15 TMG stelle zwar keine zusätzliche Bedingung für die Rechtmäßigkeit einer Datenverarbeitung auf. Er schränkt aber, die Bedingung des Art. 7 lit. f) Datenschutzrichtlinie ein.  Nach dieser Vorschrift ist eine Verarbeitung personenbezogener Daten auch dann zulässig, wenn die Verarbeitung

zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden,

erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Das Problem der Regelungen sowohl in dem durch das Gericht begutachteten § 15 Abs. 1 TMG als auch etwa in § 14 TMG ist, dass diese Vorschriften eine Verarbeitung personenbezogener Daten nur zu konkret bestimmten und durch den Gesetzgeber festgelegten Zwecken ermöglichen. Durch die so vorgeschriebenen eng begrenzten Verarbeitungsmöglichkeiten im Rahmen des TMG schneidet der deutsche Gesetzgeber jedoch die Möglichkeit für verantwortliche Stellen ab, personenbezogenen Daten entsprechend der europarechtlichen Vorgabe des Art. 7 lit. f) Datenschutzrichtlinie auf der Grundlage einer Interessenabwägung zu verarbeiten. Man könnte es auch mit den Worten des Generalanwalts in seinen Schlussanträgen sagen: „§ 15 TMG verkleinert im Vergleich zu Art. 7 Buchst. f der Richtlinie 95/46 den Umfang des berechtigten Interesses, das die Verarbeitung von Daten rechtfertigen kann, erheblich“.

Nach dem Urteil des EuGH ist eine nationale Vorschrift, die die Berücksichtigung berechtigter Interessen der Daten verarbeitenden Stelle nicht zulässt, jedoch mit den Vorgaben der europäischen Datenschutzrichtlinie nicht vereinbar.

Nach dem EuGH (Rz. 62) hindert Art. 7 lit. f) Datenschutzrichtlinie einen Mitgliedstaat daran,

kategorisch und ganz allgemein die Verarbeitung bestimmter Kategorien personenbezogener Daten auszuschließen, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen.

In keinem der §§ 14, 15 TMG gestattet der deutsche Gesetzgeber jedoch eine Interessenabwägung entsprechend den europarechtlichen Vorgaben. Aus diesem Grund ist meines Erachtens das Urteil, obwohl es „nur“ mit Blick auf Paragraf 15 Abs. 1 TMG ergangen ist, auch im Rahmen der übrigen Absätze des § 15 TMG und auch des § 14 TMG zu berücksichtigen, soweit es sich dort um Vorschriften handelt, die die europarechtlich vorgegebene Interessenabwägung vorwegnehmen und einschränken.

In der Praxis bedeutet dies für Webseiten- und App-Betreiber, dass sie personenbezogene Daten von ihren Nutzern auch dann verarbeiten dürfen, wenn diese Verarbeitung der Verwirklichung eines berechtigten Interesses dient, und keine schutzwürdigen Interessen oder Grundrechte der Nutzer überwiegen („überwiegen“, nicht: „entgegenstehen“). Eine solche Regelung findet sich derzeit etwa in § 28 Abs. 1 S. 1 Nr. 2 BDSG. In Zukunft ist man meiner Meinung nach im Anwendungsbereich des TMG also nicht mehr darauf beschränkt, personenbezogene Daten etwa nur dann zu verarbeiten, soweit dies für die Inanspruchnahme des jeweiligen Dienstes erforderlich ist. Im Ergebnis werden daher die Datennutzungsmöglichkeiten für Webseiten- und App-Betreiber im Vergleich zur jetzigen Rechtslage erweitert. Man mag den Begriff des „berechtigten Interesses“ durchaus als schwammig oder zu unbestimmt verstehen. Jedoch bietet er andererseits gerade für die Praxis die erforderliche Flexibilität, um auch neue Arten von Verarbeitungstätigkeiten zu erfassen. Zudem muss man schlicht konstatieren, dass eine Verarbeitung auf der Grundlage berechtigter Interessen europarechtlich vorgegeben und zulässig ist.

Zuletzt stellte EuGH in seinem Urteil auch ausdrücklich klar, dass ein solches berechtigtes Interesse die Aufrechterhaltung der Funktionsfähigkeit von Webseiten ist und damit eine Speicherung von IP-Adressen zu diesem Zwecke, auch über den jeweiligen konkreten Nutzungsvorgang hinaus, gestattet. Hinzuweisen ist darauf, dass der EuGH sich hier nicht mit weiteren Beispielen für „berechtigte Interessen“ befassen musste, dass in der Vorlagefrage tatsächlich allein um die Aufrechterhaltung der Funktionsfähigkeit einer Webseite ging.

Noch ein letzter Hinweis: berechtigte Interessen sind übrigens anerkanntermaßen auch „Zwecke der Direktwerbung“, wie es nun ausdrücklich in Erwägungsgrund 47 der bereits in Kraft getretenen aber noch nicht anwendbaren Datenschutz-Grundverordnung steht.

Google Analytics: Neuer Vertrag zur Auftragsdatenverarbeitung für deutsche Unternehmen verfügbar

Posted on by

Im Juni diesen Jahres informierte der Hamburger Datenschutzbeauftragte darüber, dass sich die Aufhebung der Safe Harbor Entscheidung durch den Europäischen Gerichtshof unmittelbar auf den Einsatz des Dienstes Google Analytics auswirke (hier mein Beitrag dazu). In dem ursprünglich von Google zur Verfügung gestellten Vertrag zur Auftragsdatenverarbeitung wurde nämlich in Ziffer 4.7 auf die „Safe Harbor-Vereinbarung“ verwiesen. Diese Angemessenheitsentscheidung der Europäischen Kommission konnte jedoch nach dem Urteil des Europäischen Gerichtshofs nicht mehr als Grundlage einer Datenübermittlung von personenbezogenen Daten auf Server von Google in die USA dienen. Daher wurde damals durch die Behörde auch eine Überprüfung der empfohlenen Maßnahmen eingeleitet und Gespräche mit Google geführt.

Nun hat Google für deutsche Kunden des Dienstes Google Analytics einen neuen Vertrag zur Auftragsdatenverarbeitung bereitgestellt. Dieser ist hier abrufbar (PDF). In diesem Vertrag wird in Ziffer 4.7 nun auch nicht mehr auf Safe Harbor verwiesen. Es scheint sich bei diesem Vertragsformular, welches von deutschen Webseiten- oder App-Betreibern, die Analytics einsetzen möchten, unterzeichnet werden muss, um eine mit Blick auf den seit kurzem in Kraft getretenen EU-US Datenschutzschild (Privacy Shield) angefertigte Vertragsversion zu handeln. Der Titel des Dokuments wird als „(Privacy Shield version)“ bezeichnet.

Das passt. Denn seit dem 22. September 2016 ist die Google Inc. auch offiziell unter dem EU-US Datenschutzschild zertifiziert. Unternehmen, die den Dienst Google Analytics einsetzen möchten, können sich für eine Übermittlung personenbezogener Daten an Google in den USA daher nun auf die Teilnahme des US-Unternehmens an dem Datenschutzschild berufen (vgl. auch die Information in der Datenschutzerklärung von Google).

Allein die Zertifizierung von Google unter dem Datenschutzschild reicht jedoch noch nicht aus, damit personenbezogene Daten zulässigerweise auf dieser Grundlage in die USA übermittelt werden dürfen. Erforderlich ist zudem, dass das jeweilige deutsche Unternehmen ein Vertrag zur Auftragsdatenverarbeitung mit Google abschließt (vgl. auch Anhang II, III. Zusatzgrundsätze, Ziffer 10 a. i. des Beschlusses zum Datenschutzschild). Diese Auffassung haben auch bisher die deutschen Datenschutzbehörden zu Safe Harbor vertreten und die Landesdatenschutzbeauftragte in Nordrhein-Westfalen hat erst kürzlich einen Leitfaden zur Anwendung des Datenschutzschildes veröffentlicht, in dem diese Auffassung bestätigt wurde (mein Beitrag dazu hier). Hierüber informiert Google auch in den Google Analytics Bedingungen. Neben dem Abschluss dieses Vertrages zur Auftragsdatenverarbeitung muss insbesondere darauf geachtet werden, in der eigenen Datenschutzerklärung auf den Einsatz des Dienstes hinzuweisen, eine Widerspruchsmöglichkeit bereitzustellen und durch entsprechende Einstellungen im Google-Analytics-Programmcode die Kürzung von IP-Adressen in Auftrag zu geben (Funktion „_anonymizeIp()). Vielleicht gibt es in näherer Zukunft auch noch eine offizielle Information des Hamburger Datenschutzbeauftragten oder einer anderen Aufsichtsbehörde.

 

Datenschutzrechtliche Folgen des WLAN-Urteils des EuGH

Posted on by

Das heutige Urteil des Europäischen Gerichtshofs (C-484/14) in der Sache Mc Fadden und seine konkreten Folgen für die Haftungssituation der Anbieter von WLANs in der Öffentlichkeit, insbesondere für das im Sommer diesen Jahres überarbeitete Telemediengesetz (neuer § 8 Abs. 3 TMG), werden bereits heftig diskutiert.

Ich möchte mich nachfolgend gar nicht so sehr mit den Feststellungen des EuGH zur Haftung eines Anbieters eines WLANs befassen. Vielmehr möchte ich nachfolgend kurz auf die durch den EuGH aufgestellte Anforderung eingehen, dass ein Anbieter, wenn ein Nutzer des von ihm angebotenen offenen WLANs beispielsweise Urheberrechtsverletzungen begeht, gerichtlich dazu verpflichtet werden kann, hinreichend wirksame Maßnahmen zu ergreifen, um einen wirkungsvollen Schutz des Rechts des geistigen Eigentums sicherzustellen.

Nach Auffassung des EuGH muss eine solche Maßnahme bewirken, dass unerlaubte Zugriffe auf die Schutzgegenstände verhindert oder zumindest erschwert werden und dass die Internetnutzer, die die Dienste des WLAN-Anbieters in Anspruch nehmen, zuverlässig davon abgehalten werden, auf die Schutzgegenstände zuzugreifen (Rz. 95).

Im vorliegenden Fall entschied das Gericht, dass unter den gegebenen Umständen eine Maßnahme, die in der Sicherung des Internetanschlusses durch ein Passwort besteht, als erforderlich anzusehen ist (Rz. 99). Das vorlegende deutsche Gericht zog überhaupt nur drei mögliche Maßnahmen in Betracht; meines Erachtens ist daher auch nicht ausgeschlossen, dass andere, in diesem Verfahren nicht erwähnte Maßnahmen, ebenfalls als wirksame Alternativen angesehen werden könnten. Der EuGH verweist mehrmals ausdrücklich darauf, dass seine Prüfung vorliegend allein auf die drei durch das deutsche Gericht erwähnten Maßnahmen beschränkt ist.

Eine solche Sicherung des WLANs durch ein Passwort könnte, so der EuGH, die Nutzer dieses Anschlusses davon abschrecken, ein Urheberrecht oder verwandtes Schutzrecht zu verletzen, soweit diese Nutzer ihre Identität offenbaren müssen, um das erforderliche Passwort zu erhalten, und damit nicht anonym handeln können (Rz. 96).

Der EuGH macht die zu erzielende Abschreckungswirkung davon abhängig, dass sowohl ein Passwort vergeben werden muss und dieses zwingend von der Offenbarung der Identität der WLAN Nutzer abhängt. Das Ergebnis dieser Maßnahme muss nach dem Urteil des EuGH sein, dass die Nutzer „nicht anonym handeln können“.

Damit gestattet es der EuGH, dass WLAN Anbieter gerichtlich dazu verpflichtet werden können personenbezogenen Daten der Nutzer zur Identifizierung zu verarbeiten. Sie müssen ihre „Identität offenbaren“. Folglich wird diese Entscheidung auch datenschutzrechtliche Implikationen für die Anbieter von offenen WLANs haben. Sie können quasi dazu gezwungen werden, personenbezogene Daten zum Zweck der Identifizierung der Nutzer zu verarbeiten. Insbesondere dürfte es nach dem Urteil des EuGH nicht ausreichen, wenn etwa Pseudonyme vergeben werden können oder man sich zum Beispiel auch nur mit seinem Nachnamen anmelden könnte. Das Gericht bekräftigt mehrmals, dass der Nutzer seine Identität offenbaren müsse. Dies wird aber im Ergebnis nur möglich sein, wenn der Nutzer seinen vollen Namen und eventuell weitere personenbezogene Daten angibt.

Aus Sicht eines Anbieters eines WLAN muss sich dann unweigerlich die Frage stellen, auf der Grundlage welches Erlaubnistatbestandes die Verarbeitung entsprechender personenbezogener Daten zur Identifizierung eines Nutzers erlaubt ist.

Dabei wird sich zuallererst die Frage stellen, welches Gesetz überhaupt die einschlägigen datenschutzrechtlichen Regelungen für den Umgang mit personenbezogenen Daten in einem offenen WLAN bereithält. Man könnte zunächst freilich davon ausgehen, dass die datenschutzrechtlichen Regelungen der §§ 11 ff. TMG Anwendung finden, da es ja in dem Urteil um europäische Vorgaben gehen, welche ihre Umsetzung ebenfalls im TMG (§§ 7 und 8) finden. Hier ist jedoch zu beachten, dass die Frage, wer datenschutzrechtlich verantwortlich ist, wer also die „verantwortliche Stelle“ (§ 3 Abs. 7 BDSG) ist, zunächst einmal nach den Vorgaben des BDSG richtet. Dies auch, soweit es die datenschutzrechtlichen Regelungen des TMG betrifft.

Verantwortlich für die Datenverarbeitung (konkret die Identifizierung der Nutzer und die Vergabe eines Passwortes) wird hier in den meisten Fällen natürlich der Anbieter des WLANs sein. Wenn dieser im Rahmen einer vorgeschalteten Webseite, bevor der Nutzer in den Genuss des Zugangs zum freien Internet kommt, personenbezogene Daten, etwa zur Identifizierung erhebt und verarbeitet, dürfte die Datenverarbeitung über diese Website im Rahmen des Bereithaltens eigener Telemedien erfolgen (freilich mag man hier auch die Frage stellen, ob eine Identifizierung über eine Webseite überhaupt wirksam möglich ist). Jedoch erscheint fraglich, ob etwa der Erlaubnistatbestand des § 15 Abs. 1 TMG (also für den Umgang mit Nutzungsdaten; Bestandsdaten nach § 14 dürften nicht vorliegen, da kein Vertragsverhältnis mit dem WLAN-Anbieter besteht) die Verarbeitung personenbezogene Daten zur Identifizierung eines Nutzers gestattet. Zwar darf der Anbieter nach § 15 Abs. 1 TMG personenbezogene Daten eines Nutzers verwenden, jedoch nur soweit dies erforderlich ist, um die Inanspruchnahme des Telemediums (also etwa der vorgeschalteten Anmeldewebseite) zu ermöglichen. Man könnte jedoch wohl auch die Auffassung vertreten, dass die Verarbeitung personenbezogener Daten für eine Identifizierung des Nutzers ja nicht unbedingt erforderlich ist um die vorgeschaltete Webseite zu nutzen, sondern allein den Zweck hat um nach gelagert von dem Internetzugang profitieren zu können. Das Telemedium ist nur die Anmeldeseite, nicht der nachgelagerte Zugang zum Internet. Möglicherweise kann man sich hier nur mit der Einholung einer Einwilligung nach § 13 Abs. 2 TMG behelfen. Sollte die Identifzierung dagegen „offline“ erfolgen (beispielsweise prüft der Kellner im Cafe die Ausweise), würde sich die Datenverarbeitung nach den Vorgaben des BDSG richten.

Daneben muss noch beachtet werden, dass die Anbieter von WLANs als sog. „Diensteanbieter“ im Sinne des § 3 Nr. 6 b) TKG angesehen werden, da sie an der Erbringung von Telekommunikationsdiensten mitwirken. Diese Auffassung vertritt unter anderem die Bundesnetzagentur (Amtsblattmitteilung Nr. 149, 2015, PDF). Dies hat zur Folge, dass grundsätzlich auch die spezialgesetzlichen Regelungen zum Datenschutz im TKG (§§ 91 ff) Anwendung finden. Möglicherweise könnten die Informationen zum Passworte und zur Identität der Nutzer auch unter den Begriff der „Verkehrsdaten“ nach § Nr. 30 TKG fallen. Deren Verarbeitung richtet sich nach den Vorgaben des § 96 TKG.

Man wird abwarten müssen, wie sich die Folgen des Urteils in der Praxis auswirken und mit den nun aufgestellten Vorgaben des Urteils umgegangen wird. Anbieter von WLANs sollten aber in jedem Fall auch die mit diesen Vorgaben des EuGH einhergehenden datenschutzrechtlichen Folgen beachten.

Hamburger Datenschützer: Safe Harbor-Urteil wirkt sich auf Einsatz von Analysetools aus

Posted on by

Seit Jahren herrschte in Deutschland bei der Einbindung von Analysetools durch Webseitenbetreiber, z.B. auch von Google Analytics, eine bewährte und durch die Datenschutzbehörden akzeptierte Praxis. Im Jahre 2009 hatten sich die deutschen Datenschutzbehörden auf Vorgaben für eine datenschutzkonforme Ausgestaltung von „Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ (PDF) geeinigt. Auf Betreiben der Datenschutzbehörde in Hamburg hin hat zudem Ende 2009 auch Google verschiedene Anpassungen an seinem Produkt Google Analytics vorgenommen, um einen aus Sicht der Datenschutzbehörden beanstandungsfreien Betrieb durch Webseitenbetreiber gewährleisten zu können.

Webseitenbetreiber mussten den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Zudem mussten Nutzer der Webseite in der Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufgeklärt und auf die Widerspruchsmöglichkeiten gegen die Erhebung personenbezogener Daten durch Google Analytics hingewiesen werden. Hierbei sollte auf die entsprechende Seite „http://tools.google.com/dlpage/gaoptout?hl=de“ verlinkt werden. Durch entsprechende Einstellungen im Google-Analytics-Programmcode musste die Kürzung von IP-Adressen in Auftrag gegeben werden (Funktion „_anonymizeIp()). Zuvor erhobene Altdaten mussten gelöscht werden. Diese Anforderung finden sich etwa noch auf der Webseite der Datenschutzbehörde in Nordrhein-Westfalen. Von der Webseite des Hamburgischen Beauftragten für Datenschutz wurden sie entfernt.

Der Grund: nach einer Mitteilung des Datenschutzbeauftragten aus Hamburg (Stand: Juni 2016) unterliegt die bisher veröffentlichte Handreichung zu den datenschutzrechtlichen Anforderungen an Webseitenbetreiber mit Sitz in Hamburg beim Einsatz von Google Analytics unter anderem wegen des Urteils des EuGH vom 06.10.2015 (C-362/14- Schrems) zur Ungültigkeit der Entscheidung der Kommission zum sogenannten Safe-Harbor-Abkommen mit den Vereinigten Staaten von Amerika zur Herstellung eines angemessenes Schutzniveaus einer datenschutzrechtlichen Überprüfung und gegebenenfalls einer Überarbeitung.

Der Hamburger Datenschützer weist in seiner Mitteilung darauf hin, dass nach Ziffer 4.7 der Anlage 1 „Regelungen zur Auftragsdatenverarbeitung“ der Google Analytics-Bedingungen zur Herstellung der Angemessenheit des Datenschutzniveaus für Datenübermittlungen in die USA auf die für ungültig erklärte Safe-Harbor-Entscheidung verwiesen wird. Die Angemessenheit des Datenschutzniveaus kann auf dieser Grundlage rechtlich jedoch nicht mehr sichergestellt werden. Die Schlussfolgerung des Datenschutzbeauftragten:

Dies wirkt sich unmittelbar auf den Einsatz des Dienstes aus. Eine Überprüfung der von uns empfohlenen Maßnahmen ist eingeleitet, allerdings noch nicht abgeschlossen. Wir stehen dabei auch im Gespräch mit dem Unternehmen Google.

Man wird nun abwarten müssen, welches Ergebnis nach der Überprüfung durch die Behörde und auch nach den Gesprächen mit Google selbst am Ende herauskommt. Eventuell wird die Behörde von Google fordern, dass Kunden ab sofort die EU-Standardvertragsklauseln abschließen müssen. Diese alternativen Übermittlungsinstrumente werden, so der Hamburgische Datenschutzbeauftragte in einer Pressemitteilung vom 6. Juni 2016, „derzeit nicht beanstandet“.

Hamburg Authority Reviews Recommendations For The Implementation Of Google Analytics

Posted on by

The previously published handout by the Data Protection Commissioner of Hamburg (“Commissioner”) about the data protection requirements for website operators based in Hamburg and their use of Google Analytics is subject to a review and possibly revision. According to a statement (German) by the Commissioner, this review is necessary inter alia because of the judgment of the European Court of Justice of 6.10.2016 (Case C-362/14 – Schrems) in which the court invalidated the adequacy decision of the European Commission for so-called Safe Harbor Agreement with the United States of America.

Paragraph 4.7 of Appendix 1 of the „Data Processing Agreement“ for the Google Analytics terms (PDF, German) refers to the now invalidated Safe Harbor Decision in order to create an adequate level of protection for personal data when it is transferred to the USA.

The adequacy of the level of data protection can no longer be guaranteed on this basis. According to the Commissioner, this “directly affects the use of the service”. A review of the recommendations has been initiated, but is not yet completed. The Commissioner is also in contact with Google.

In the past, the Data Protection Authority of Hamburg negotiated a solution for website operators in Hamburg to lawfully use Google Analytics. This solution was also acknowledged by the other German Data Protection Authorities. In the view of the authorities, the implementation of the tool required the following measures:

  • Conclusion of a data processing agreement (PDF, German) with Google
  • Activation of anonymization of the IP address (IP masking)
  • Information and link to an opt-out Add-on for Browsers and link to an opt-out Cookie
  • Amendment of the privacy policy with additional information about Google Analytics and the possibility to opt-out

This whole process was necessary because the authorities are of the opinion that an IP address must be considered “personal data”. This week, the Commissioner clarified that the use of alternative instruments for data transfers to third countries, especially the EU Model Clauses, will currently not be challenged. Perhaps the Commissioner will require Google to offer such EU Model Clauses for Google Analytics.

Google wehrt sich gegen französische Behörde: gilt das „Recht auf Vergessenwerden“ weltweit?

Posted on by

Heute hat Google in einem Blogpost bekannt gegeben, dass sich das Unternehmen gegen eine durch die französische Datenschutzbehörde (CNIL) verhängte Geldstrafe in Höhe von 100.000 EUR juristisch zur Wehr setzen wird. Informationen zu dem Verfahren gibt es auf der Seite der CNIL. Dort ist auch eine inoffizielle Übersetzung des entsprechenden Beschlusses (PDF) ins Englische verfügbar.

Insbesondere vertritt die CNIL die Auffassung, dass es unter dem geltenden europäischen Datenschutzrecht und mit Blick auf das Urteil des Europäischen Gerichtshofs (EuGH) in seinem Google-Urteil (C-131/12) nicht ausreicht, wenn nach einer Beschwerde einer betroffenen Person Links aus Suchergebnislisten allein auf Webseiten mit europäischen Endungen (z.B. .de, .es oder .fr) und auch bei Suchanfragen aus dem jeweiligen Mitgliedstaat des Beschwerdeführers auf allen Webseiten der Suchmaschine (also auch auf Google.com) unterdrückt werden. Dieses Vorgehen hatte Google zuletzt gewählt. Die französische Behörde verlangt vielmehr, dass Links aus Ergebnislisten von allen Webseiten der Suchmaschine entfernt werden müssen und zudem unabhängig davon, in welchem Mitgliedstaat der Beschwerdeführer sitzt und von wo aus die Suchanfrage gestellt wird.

Im Ergebnis stellt sich die Frage, ob das europäische Datenschutzrecht und insbesondere seine Durchsetzung durch die Datenschutzbehörden globale Geltung beanspruchen. Ob also etwa auf Anweisung einer französischen Behörde zum einen Nutzer der Suchmaschine in anderen Mitgliedstaaten (z.B. in Deutschland oder Spanien) und zum anderen in Staaten außerhalb des EWR wie z.B. den USA (Google.com) oder Japan (Google.co.jp) nur die veränderte Ergebnisliste angezeigt bekommen dürfen.

Dazu nachfolgend einige Gedanken, die sicherlich nicht abschließend sind, jedoch eventuell zur Diskussion anregen.

Grundsätzlich lässt sich die Feststellung treffen, dass der EuGH in seinem Google-Urteil keine konkreten Aussagen zur territorialen Reichweite des sog. „Recht auf Vergessenwerden“ getroffen hat. Was er in seinem Urteil jedoch stets betont, ist die Bedeutung, die der Durchsetzung und vollen Entfaltung der in der Datenschutzrichtlinie (DS-RL) aufgestellten Garantien für betroffene Personen zukommt.

Der EuGH führt in seinem Google Urteil aus, dass der für Verarbeitung Verantwortliche (also etwa der Suchmaschinenbetreiber)

in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten dafür zu sorgen [hat], dass die Verarbeitung den Anforderungen der Richtlinie 95/46 genügt, so dass die von dieser vorgesehenen Garantien ihre volle Wirkung entfalten können (Rz. 83)

Eine wichtige Rolle bei der Erreichung dieses Ziels der Durchsetzung des europäischen Rechts spielen natürlich die Aufsichtsbehörden. Hierauf weist auch der EuGH in seinem Urteil hin:

In diesem Zusammenhang ist darauf hinzuweisen, dass sich nach Art. 28 Abs. 3 und 4 der Richtlinie 95/46 jede Person zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden kann und jede Kontrollstelle über Untersuchungsbefugnisse und wirksame Einwirkungsbefugnisse verfügt, aufgrund deren sie u. a. die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung personenbezogener Daten anordnen kann. (Rz. 78)

Hieraus lässt sich bereits der Schluss ziehen, dass die Frage, ob europäisches Datenschutzrecht weltweit gelten soll, stets auch im Zusammenhang mit seiner Durchsetzung durch die Aufsichtsbehörden zu sehen ist. Denn allein die Anwendbarkeit europäischen Datenschutzrechts hat noch nichts mit der Verwirklichung der vorgesehenen Garantien aus der DS-RL oder auch aus der Charta der Grundrechte der Europäischen Union für die betroffenen Personen zu tun.

Ich möchte, zur Untermauerung dieser Ansicht, auf das bekannte Urteil des EuGH zur Aufhebung der Vorratsdatenspeicherungsrichtlinie hinweisen (C?293/12 und C?594/12). Dort kritisiert das Gericht nämlich, dass die betreffende Richtlinie keine Pflicht vorsieht,

dass die fraglichen Daten im Unionsgebiet auf Vorrat gespeichert werden, so dass es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten (vgl. in diesem Sinne Urteil Kommission/Österreich, C 614/10, EU:C:2012:631, Rn. 37) (Rz. 68).

Der EuGH geht also selbst davon aus, dass überhaupt nur dann eine den Anforderungen der Charta der Grundrechte und auch der DS-RL entsprechende Garantie für den Schutz personenbezogener Daten möglich ist, wenn die Einhaltung der Vorschriften durch die jeweils zuständigen europäischen Datenschutzbehörden überwacht und gegebenenfalls auch durchgesetzt werden kann. Dies kann allein im Unionsgebiet möglich sein.

Geht man also, mit der vorstehenden Argumentation davon aus, dass neben der reinen Anwendbarkeit europäischen Datenschutzrechts auch immer die Möglichkeit seiner Einhaltung und insbesondere Durchsetzung als inhärente Garantie zu sehen ist, stellt sich unweigerlich die Frage, wie weit die Befugnisse europäischer Datenschutzbehörden, insbesondere territorial, reichen.

Hierzu möchte ich auf eine weitere Entscheidung des EuGH, die sog. Weltimmo-Entscheidung (C-230/14) hinweisen. In diesem Urteil befasst sich das Gericht mit der Frage, wie weit die Kompetenzen der europäischen Aufsichtsbehörden reichen.

So hat nach Art. 28 Abs. 1 DS-RL jede von einem Mitgliedstaat eingeführte Kontrollstelle dafür Sorge zu tragen hat, dass die von den Mitgliedstaaten zur Umsetzung der DS-RL erlassenen Vorschriften im Hoheitsgebiet dieses Mitgliedstaats eingehalten werden (Rz. 47; Hervorhebung durch mich). Zudem, so der EuGH, ergibt sich aus Art. 28 Abs. 1 und 3 DS-RL, dass jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaats übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen (Rz. 51; Hervorhebung durch mich). Auch stellt der EuGH klar, dass aus den Anforderungen, die sich aus der territorialen Souveränität des betreffenden Mitgliedstaats, der Gesetzmäßigkeit der Verwaltung und dem Begriff des Rechtsstaats ergeben, folgt, dass die Sanktionsgewalt grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden kann, in denen eine Behörde nach dem Recht ihres Mitgliedstaats ermächtigt ist (Rz. 56; Hervorhebung durch mich).

In dem Fall Weltimmo ging es um einen innereuropäischen Sachverhalt, also die Frage, inwieweit die Aufsichtsbehörde eines Mitgliedstaates im Territorium eines anderen Mitgliedstaates Sanktionsgewalt ausüben darf. Dies lehnt das Gericht mit obiger Begründung ab. Die Sanktionsgewalt darf nicht außerhalb der gesetzlichen Grenzen des eigenen Mitgliedstaates ausgeübt werden.

Übertragen auf die Auseinandersetzung zwischen Google und der französischen Behörde stellt sich nun die Frage, ob es mit der vorgenannten Rechtsprechung des EuGH konform wäre, einer europäischen Aufsichtsbehörde die Befugnis zuzugestehen, Datenverarbeitungen, die zum einen entweder von Personen in anderen europäischen Mitgliedstaaten (der jeweilige Nutzer der Suchmaschine, der nach einem Namen einer betroffenen Person sucht) oder die zum anderen von Personen auf einem Territorium eines Staates außerhalb der Europäischen Union durchgeführt werden, zu regulieren und am Ende mit einem entsprechenden verwaltungsrechtlichen Beschluss, der von seinem Anwendungsbereich her eigentlich nur auf das Territorium des jeweiligen Mitgliedstaates begrenzt ist, zu beeinflussen. Die Maßnahme einer europäischen Behörde hätte dann direkte Auswirkungen in anderen Staaten. Bereits für die erste Konstellation, dass sich ein entsprechender französischer Beschluss etwa auf deutsches oder spanisches Territorium bzw. die dortigen Personen auswirkt, hätte ich meine Zweifel. Dies gilt freilich erst recht in der zweiten Konstellation, also außerhalb der Europäischen Union und damit auch des Kompetenzbereichs der europäischen Datenschutzbehörden.

Nun wird man sicher als Gegenargument anführen können, dass der territoriale Anwendungsbereich europäischen Datenschutzrechts aber doch auch durch den EuGH sehr weit interpretiert wird und eben auch europäisches Datenschutzrecht für die Tätigkeiten einer Google Inc. mit Sitz in den USA gilt. Das ist korrekt. Doch meiner Ansicht nach ist, wie oben beschrieben, für die Verwirklichung der in der europäischen Datenschutzrichtlinie und auch in der Charta der Grundrechte der Europäischen Union festgelegten Rechte und Garantien unweigerlich erforderlich, dass diese durchgesetzt werden (ich verweise noch einmal auf das Urteil des EuGH zur Vorratsdatenspeicherungsrichtlinie). Eine solche Durchsetzung ist aber, aufgrund des Prinzips der territorialen Souveränität von Staaten, nicht immer möglich. Im Ergebnis scheint mir der aktuelle Ansatz von Google zumindest nicht außerhalb der Vorgaben europäischen Rechts zu liegen.

Dieser Problematik scheinen sich im Prinzip auch die europäischen Datenschutzbehörden bewusst zu sein. Wenn man sich die Leitlinien der europäischen Behörden zur Umsetzung des Google-Urteils anschaut (WP 225, PDF), so findet sich auf Seite 8 unter Ziffer 19 der Hinweis, dass die Behörden sich in der Praxis auf solche Fälle „fokussieren“ werden, die einen deutlichen Bezug zum Territorium eines europäischen Mitgliedstaates aufweisen, insbesondere, wenn es sich um ein EU-Bürger handelt.

Am Ende bleibt wohl nur festzustellen, dass die territoriale Durchsetzung europäischen Datenschutzrechts sicherlich kein einfaches und auch ein streitbares Thema darstellt. Man darf gespannt sein, wie dieses Verfahren in Frankreich weitergeht. Am Ende könnte erneut eine Entscheidung des Europäischen Gerichtshofs stehen.

Generalanwalt: Datenschutzvorschriften des deutschen Telemediengesetzes verstoßen gegen EU-Recht

Posted on by

Heute hat der Generalanwalt am Europäischen Gerichtshof (EuGH), Campos Sánchez-Bordona, seine Schlussanträge in dem Verfahren „Breyer“ (C-582/14) vorgelegt. In dem diesem Vorabentscheidungsersuchen des Bundesgerichtshofs zugrundeliegenden Rechtsstreit geht es, sehr vereinfacht formuliert, um zwei Fragen:

1. Sind dynamische IP-Adressen, die ein Webseitenbetreiber über Seitenbesucher erhebt und verarbeitet personenbezogene Daten i. S. d. europäischen Datenschutzrechts (konkret: Art. 2 lit. a Datenschutzrichtlinie 95/46/EG), wenn ein Dritter (hier der Internetzugangsanbieter über Wissen verfügt, um die IP-Adresse einer natürlichen Person zuzuordnen)?

2. Sind die Vorgaben der Vorschrift des § 15 Abs. 1 TMG, wonach Diensteanbieter (z.B. Webseitenbetreiber oder App-Anbieter) personenbezogene Daten eines Nutzers nur erheben und verwenden dürfen, soweit dies erforderlich ist, um die Inanspruchnahme des Telemediums zu ermöglichen und abzurechnen, mit Art. 7 lit. f der Datenschutzrichtlinie vereinbar?

Das Ergebnis des Generalanwalts. Zu 1: ja. Zu 2: nein.

Nachfolgende einige Anmerkungen zu den Schlussanträgen.
Auf die Frage, ob eine dynamische IP-Adresse ein personenbezogenes Datum ist, möchte ich nicht weiter eingehen. Der Streit über diese Frage wird seit Jahren geführt und es gibt meines Erachtens Argumente für und gegen eine Einordnung der Adressen als personenbezogenes Datum. Dem Grunde nach kommt es für das Ergebnis darauf an, ob man bei der Bestimmbarkeit einer natürlichen Person anhand eines Datums allein auf die verantwortliche Stelle, z.B. den Webseitenbetreiber und die ihm zur Verfügung stehen Mittel abstellt. Oder aber man legt eine weitergehende Auffassung zugrunde, wonach es für die Einordnung einer Information als personenbezogenes Datum nicht nur auf die Stelle ankommt, die dieses Datum gerade verarbeitet, sondern auch auf Zusatzwissen von Dritten, im vorliegenden Fall des Access-Providers, ankommt. Der Generalanwalt vertritt die Letztere Auffassung, zumindest soweit er das Wissen Dritter berücksichtigen möchte, an die sich die verantwortliche Stelle „vernünftigerweise“ wenden könnte, um den Personenbezug herzustellen. Der Generalanwalt nimmt hierbei eine durchaus streitbare Auslegung des Erwägungsgrundes 26 der Datenschutzrichtlinie vor. Dort wird von „einem Dritten“ gesprochen. Der Generalanwalt möchte dies jedoch einschränkend auf „bestimmte Dritte“, worunter der Internetzugangsanbieter fällt, auslegen. Hinweisen möchte ich auch noch auf Rz. 50 der Schlussanträge, in denen klargestellt wird, dass hier nicht die Frage behandelt wird, ob dynamische IP Adressen grundsätzlich als personenbezogene Daten einzustufen sind.
Weitaus gravierender für die deutsche Rechtslage und die gesetzlichen Vorgaben zum Umgang mit personenbezogenen Daten im Internet oder in Apps (dafür gelten die §§ 13 ff. TMG), dürften die Ausführungen des Generalanwalts zur zweiten Frage sein.

Nach den Vorgaben des deutschen § 12 Abs. 1 TMG dürfen Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Unterfallen personenbezogene Daten (als sog. Bestandsdaten, § 14 oder Nutzungsdaten, § 15) dem TMG, ist ihre Erhebung und Verwendung nur sehr eingeschränkt möglich, wenn keine Einwilligung des Betroffenen vorliegt. Außerhalb des Anwendungsbereichs des TMG ist das anders. So können personenbezogene Daten z.B. nach § 28 BDSG auch auf der Grundlage eines berechtigten Interesses der verantwortlichen Stelle oder zur Erfüllung einer gesetzlichen Verpflichtung verarbeitet werden. Das entspricht auch den europäischen Vorgaben des Art. 7 der Datenschutzrichtlinie. Die §§ 12, 14 und 15 TMG schränken den Umgang mit personenbezogenen Daten also (soweit keine Einwilligung vorliegt) sehr stark ein.

In dem vorliegenden Verfahren ging es in der zweiten Frage darum, ob diese gesetzliche Beschränkung im TMG (hier ging es konkret um § 15 Abs. 1 und Abs. 4 TMG) und quasi der Ausschluss von gesetzlichen Verarbeitungsgrundlagen, die europarechtlich vorgegeben sind, zulässig ist. Vorliegend wollte der Webseitenbetreiber (ich meine, dass es sich hierbei um das BMJV handelte) personenbezogene Daten für den Zweck, die Funktionsfähigkeit des Telemediums zu gewährleisten, verwenden. Ein solcher Verarbeitungszweck ist nach Auffassung des Generalanwalts auch grundsätzlich als ein berechtigtes Interesse anzusehen. Das Problem: § 15 Abs. 1 und Abs. 4 TMG erlauben die Verwendung der Daten für diesen Zweck dem Wortlaut nach wohl nicht. In jedem Fall aber nicht, wenn die Daten über den Nutzungsvorgang hinaus gespeichert werden sollen.

Diese Beschränkung der Verarbeitungsmöglichkeit und damit das gesetzliche Verbot einer Datenverarbeitung, die europarechtlich eigentlich nach Art. 7 lit. f Datenschutzrichtlinie zulässig sein kann, ist nach Ansicht des Generalanwalts nicht mit dem EU-Recht zu vereinbaren.

Die Argumentation des Generalanwalts lässt sich meines Erachtens auf alle Paragraphen des TMG übertragen, die eine Datenverarbeitung nur für ganz bestimmt Zwecke zulassen und vor allem das berechtigte Interesse des Diensteanbieters nicht berücksichtigen. Also auch die §§ 12 und 14 TMG.

Man darf gespannt die Entscheidung des EuGH in dieser Sache erwarten. Das Gericht ist an die Schlussanträge nicht gebunden, folgt diesen jedoch sehr häufig. Sollte der EuGH ebenfalls der Auffassung sein, dass § 15 Abs. 1 TMG nicht mit Art. 7 lit. f Datenschutzrichtlinie vereinbar ist, so dürfte die deutsche Vorschrift nur noch europarechtskonform angewendet werden, mit der Folge, dass Nutzungsdaten nach dem TMG auch durch Diensteanbeiter (hierbei handelt es sich um die bekannten verantwortlichen Stellen i. S. d. BDSG) verarbeitet werden dürfen, wenn diese zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Datenschutzverstoß durch Verlinkung von Freunden auf Facebook?

Posted on by

Viele Facebook-Nutzer dürften die Funktion kennen, durch die man auf Facebook Profile von Freunden verlinken kann, indem man den Namen des jeweiligen Freundes in einem Text (zum Beispiel in einem Post) erwähnt. Klickt man dann auf den hervorgehobenen Namen, so wird man direkt auf das Facebook-Profil der Person weitergeleitet.

Im Rahmen einer, meines Erachtens doch recht kuriosen, Beschwerde bei der Landesdatenschutzbeauftragten in Brandenburg, war ein Facebook-Nutzer mit eben dieser Funktion und Verlinkung auf sein Facebook-Profil durch einen Freund nicht einverstanden. Über diesen Fall berichtet die Landesdatenschutzbeauftragte in ihrem am 12. April 2016 veröffentlichen Tätigkeitsbericht (S. 143, pdf) für die Jahre 2014/2015.

Die Landesdatenschutzbeauftragte hatte jedoch bereits berechtigte Zweifel, ob das Datenschutzrecht hier überhaupt Anwendung finde. Denn nach § 1 Abs. 2 Nr. 3 BDSG gilt das Datenschutzrecht nicht, wenn die Datenverarbeitung ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. Die Datenschutzbehörde stellt in ihrer Begutachtung fest, dass die Verlinkung durch die betroffene Person in dem sozialen Netzwerk allein zu persönlichen Zwecken erfolgte. Wenn man den Facebook Nutzer selbst als datenschutzrechtlich verantwortlich ansieht, dann wäre auf diese Datenverarbeitung das Datenschutzrecht nicht anwendbar gewesen. Ähnlich sah dies auch schon die Art. 29 Datenschutzgruppe auf europäischer Ebene in ihrer Stellungnahme zu sozialen Online-Netzwerken aus dem Jahre 2009 (dort ab S. 6; pdf).

Mit Blick auf die Frage, ob der Anbieter des sozialen Netzwerk datenschutzrechtlich verantwortlich sei, schien die brandenburgische Datenschutzbeauftragte der Auffassung zu sein, dass wenn überhaupt, allein der Facebook Nutzer selbst verantwortlich ist. Facebook stelle nämlich nur die technischen Möglichkeiten zur Verfügung, um eine Verlinkung auf das Profil eines Freundes herzustellen. Zudem hatte die Landesdatenschutzbeauftragte, mit Blick auf die Verantwortlichkeit von Facebook, in Zweifel gezogen, ob sie überhaupt örtlich zuständig sei.

Aus diesem Grund habe man die Angelegenheit zu Prüfung auch an den Hamburgischen Datenschutzbeauftragten weitergeleitet. Auch die norddeutsche Behörde verneinte einen Datenschutzverstoß durch Facebook selbst, da an der zugrunde liegenden Datenverarbeitung (Verlinkung des Facebook-Profils durch Erwähnung des Namens) ein Interesse Dritter Personen, in diesem Fall des Facebook-Nutzers der die Verknüpfung herstellte, bestehe. Damit sah die Hamburger Behörde die Voraussetzung des Erlaubnistatbestandes des § 28 Abs. 1 S. 1 Nr. 2 BDSG als erfüllt an. Schutzwürdige Interessen der verlinkten Personen stünden dem zu dem nicht entgegen:

Die Nutzer eines sozialen Netzwerks, die sich freiwillig daran beteiligen und die „Spielregeln“ akzeptiert haben, müssen es hinnehmen, dass ihre Daten im rechtlich zulässigen Rahmen von anderen Mitgliedern des sozialen Netzwerks genutzt werden.

Beschluss des Bundesverwaltungsgerichts zu Fanpages: Betreiber ist nicht verantwortlich. Oder vielleicht doch?

Posted on by

Gestern Nacht hat mich „Joma“ auf Twitter darauf aufmerksam gemacht, dass nun der Beschluss des Bundesverwaltungsgerichts vom 25. Februar 2016 in dem Verfahren (BVerwG 1 C 28.14) zwischen dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH (WAK) im Volltext veröffentlicht wurde.

Bekanntlich hat das Bundesverwaltungsgericht das Verfahren ausgesetzt und dem Europäischen Gerichtshof in Luxemburg mehrere Fragen zur Auslegung des geltenden Datenschutzrechts vorgelegt. Auch wenn das Bundesverwaltungsgericht noch nicht abschließend in diesem Verfahren entschieden hat, so ergeben sich aus dem Beschluss bereits einige rechtliche Aussagen des Gerichts, die für Facebook Fanpagebetreiber in Deutschland von Interesse sein dürften.

Das Bundesverwaltungsgericht geht nämlich davon aus, dass die WAK für die Erhebung und Verarbeitung der Nutzerdaten ihrer Fanpage durch Facebook nicht die „Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“ (§ 3 Abs. 7 BDSG) bzw. die „Stelle, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 2 Buchst. d) RL 95/46/EG) ist (Rz. 24). Nach Auffassung des Bundesverwaltungsgerichts ist also ein Facebook Fanpagebetreiber nicht als verantwortliche Stelle im Sinne des Datenschutzrechts anzusehen. Damit einher geht meines Erachtens zwingend die Schlussfolgerung, dass der Facebook Fanpagebetreiber, soweit es sich um Datenverarbeitungen handelt, die von Facebook durchgeführt werden und auf die der Fanpagebetreiber keinen Einfluss hat, auch nicht für eventuell unzulässige Datenverarbeitungen verantwortlich ist.

Nun mag sich der Leser fragen, warum dann überhaupt noch der Europäische Gerichtshof angerufen wird. Dies liegt daran, dass das Bundesverwaltungsgericht, auch wenn der Fanpagebetreiber nicht als verantwortliche Stelle im Sinne des Datenschutzrechts anzusehen ist, den Europäischen Gerichtshof fragt, ob nicht doch eine gewisse Auswahlverantwortlichkeit des Fanpagebetreibers besteht. Ohne selbst für die Datenverarbeitung verantwortlich zu sein, hält es das Bundesverwaltungsgericht nämlich für denkbar, die geltenden gesetzlichen Vorgaben eventuell in dem Sinne auszulegen, dass die zuständige Datenschutzaufsichtsbehörde wegen einer fehlerhaften Auswahl eines Plattformbetreibers (in diesem Beispiel etwa Facebook für Fanpages) durch den Fanpagebetreiber (also z.B. ein Unternehmen, einen Verein etc.), gegen diesen vorgehen kann. Das Bundesverwaltungsgericht beschreibt diese aus seiner Sicht möglicherweise existierende Verantwortlichkeit wie folgt:

Diese datenschutzrechtliche Verantwortung bezieht sich zwar nicht auf die Erhebung und Verarbeitung der Daten durch den Infrastrukturanbieter selbst, die in einer Infrastruktur wie der von der Beigeladenen angebotenen rechtlich und tatsächlich durch den Informationsanbieter nicht gesteuert werden kann. Sie bezieht sich aber auf die sorgfältige Auswahl des Betreibers der Infrastruktur, die für das eigene Informationsangebot genutzt wird.

Der Fanpagebetreiber wäre also nicht für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und müsste diese, auch bei einer eventuell existierenden Auswahlverantwortlichkeit, nicht prüfen.

die Nutzer von Infrastrukturangeboten und Plattformen bleiben zudem von der Notwendigkeit befreit, die Rechtmäßigkeit der Datenverarbeitung durch den ausgewählten Anbieter (inzident) überprüfen zu müssen. (Rz. 36)

Jedoch könnten den Fanpagebetreiber im Rahmen der Auswahl einer Plattform vorgelagerte Prüfungspflichten („Auswahl- und Überprüfungspflichten“) treffen, deren Herleitung das das Bundesverwaltungsgericht (unter Hinweis auf Martini/Fritzsche, Mitverantwortung in sozialen Netzwerken. Facebook-Fanpage-Betreiber in der datenschutzrechtlichen Grauzone, NVwZ-Extra 21/2015) aus den Regelungen zur Auftragsdatenverarbeitung (§ 11 Abs. 2 Satz 1 und 4 BDSG) zumindest für möglich hält.

Ein Aktenzeichen beim Europäischen Gerichtshof für dieses Verfahren ist mir derzeit noch nicht bekannt.