German Court: Data Protection Authorities may not base administrative orders before the 25 May 2018 on the EU General Data Protection Regulation

The General Data Protection Regulation (GDPR) applies from 25 May 2018 (Art. 99 (2) GDPR). The GDPR has already entered into force on 24 May 2016. However, it does not apply until 25 May 2018. Only from this date on, the requirements of the GDPR are binding and enforceable by the data protection authorities (DPAs) in the Member States.

Facts

In Germany, the DPA of the state of Baden-Wuerttemberg at the end of 2016 was of another opinion. On 6 July 2017, the Administrative Court of Karlsruhe (with its decision in case 10 K 7698/16, pdf; in German) (Court) annulled an administrative order by the DPA of 25 November 2016, in which a credit bureau was obligated to delete claims within the meaning of Sec. 28a of the German Federal Data Protection Act (Act) and the related information about persons which the credit bureau stored, after the 24 May 2018, after the expiry of three years, starting with the date of the due date, unless the person concerned is insolvent or unwilling to pay at that time.

The DPA based its decision, among other things, on the purpose to prevent any abuses which the DPA expected to occur after 24 May 2018. The currently still valid Sec. 35 (2) sentence 2 no. 4 of the Act, which stipulates certain deadlines for the examination for the deletion of data, finds no correspondence in the GDPR and also not in the new German Federal Data Protection Act.

Although the credit bureau had announced that it intends to adapt its data erasure concept to the GDPR as of 25 May 2018, in the view of the DPA, this the announcement was merely a declaration of intent.

The judgement

The Court rightly upheld the complaint by the credit bureau against the administrative order of the DPA. There exists no legal basis for the administrative order.

The DPA also based its decision on Recital 39 GDPR, according to which, in order to ensure that personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review. However, Recital 39 GDPR does not indicate that the controller would already be obliged to create appropriate review and deletion periods before the GDPR applies.

The Court notices:

An authorization to act before the application of the GDPR – to ensure at an early stage that the regulations applicable in the future will be respected by the controller in the light of the legal opinion of the supervisory authority – cannot be inferred from the GDPR or the current Act.

This finding of the Court is relevant for companies during the time period until 25 May 2018. The Court correctly clarifies that a DPA is not allowed to enforce any provisions that are not yet applicable at all.

In addition, the DPA relied on Art. 58 (2) d) GDPR. Thereafter, a supervisory authority shall have the corrective power to order the controller or processor to bring processing operations into compliance with the provisions of this Regulation, where appropriate, in a specified manner and within a specified period. Like the entire GDPR, of course, Art. 58 GDPR is only applicable and enforceable if the GDPR applies. Therefore, only from 25 May 2018.

Urteil zur EU Datenschutz-Grundverordnung – Landesdatenschutzbehörde scheitert vor Gericht

Eigentlich ist die EU Datenschutz-Grundverordnung (DSGVO) erst ab 25. Mai 2018 anwendbar (Art. 99 Abs. 2 DSGVO). Die DSGVO ist zwar bereits am 24.5.2016 in Kraft getreten. Sie gilt jedoch erst ab dem 25.5.2018. Erst ab diesem Datum sind die Vorgaben der DSGVO verbindlich anzuwenden und durch die Aufsichtsbehörden durchsetzbar.

Sachverhalt

Der Landesbeauftragte für Datenschutz in Baden-Württemberg (LfDI) sah dies Ende 2016 offenbar anders. Mit Urteil vom 6.7.2017 (Az. 10 K 7698/16, pdf) hob das Verwaltungsgericht Karlsruhe (VG) nun einen Bescheid des LfDI vom 25.11.2016 auf, mit dem eine Auskunftei verpflichtet werden sollte, Forderungen im Sinne von § 28a BDSG und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Auskunftei in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, nach dem 24.5.2018 speichere, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei.

Der LfDI stützte den Verwaltungsakt unter anderem darauf, dass zwar keine gegenwärtigen Datenschutzverstöße der Auskunftei unterbunden werden, jedoch Missstände verhindert werden sollten, die nach dem 24.5.2018 zu erwarten seien. Hintergrund ist, dass der noch geltende § 35 Abs. 2 S. 2 Nr. 4 BDSG, der bestimmte Fristen zur Prüfung für die Löschung von Daten vorsieht, keine Entsprechung in der DSGVO und auch nicht im neuen BDSG findet.

Die Auskunftei hatte zuvor im Schriftverkehr nicht verbindlich zugesichert, ihre Datenspeicherungspraxis ab dem 24.5.2018 entsprechend zu ändern. Zwar hatte die Auskunftei angekündigt, ihre Datenlöschkonzeption zum 25.5.2018 der DSGVO anpassen zu wollen. Bei der Ankündigung handelte es sich nach Ansicht des LfDI aber lediglich um eine Absichtserklärung, nicht hingegen um eine konkrete, vollstreckbare Zusicherung.

Daher, so der LfDI, seien künftige Datenschutzverstöße nicht auszuschließen. Zudem sei ungewiss, ob die Auskunftei den Zeitraum bis zur Geltung der DSGVO nutzen werde, um die Verarbeitung personenbezogener Daten an die neuen Vorgaben anzupassen.

Urteil des VG

Völlig zurecht gab das VG der Anfechtungsklage der Auskunftei gegen den Verwaltungsakt der Aufsichtsbehörde statt. Für die datenschutzrechtliche Verfügung liegt nämlich bereits keine Ermächtigungsgrundlage vor.

Zum einen liegen festgestellte Datenschutzverstöße durch die Auskunftei, welche seitens der Aufsichtsbehörde gerügt worden wären, der Verfügung nicht zugrunde. Dies wäre jedoch nach § 38 Abs. 5 S. 1 BDSG erforderlich; in jedem Fall müsste das künftige Verhalten durch ein bereits in Kraft getretenes Vertragswerk oder eine vergleichbare tragfähige Grundlage deutlich vorgezeichnet sein.

Unverständlicherweise wollte der LfDI seine Verfügung zudem auf § 38 Abs. 5 S. 1 BDSG i.V.m. Erwägungsgrund 39 DSGVO stützen, nach dem der Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfung personenbezogener Daten vorsehen soll, um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden. Aus Erwägungsgrund 39 DSGVO ergibt sich aber nicht, dass die Verantwortliche bereits vor Geltung DSGVO verpflichtet wäre, der Verfügung entsprechende Überprüfungs- und Löschfristen zu schaffen und sie hierzu bereits vor Anwendbarkeit DSGVO durch die Aufsichtsbehörde verpflichtet werden könnte.

Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung – gewissermaßen um frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch die Verantwortlichen eingehalten werden – lässt sich jedoch weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen.

Diese Feststellung des VG ist für Unternehmen bis zum Stichtag am 25.5.2018 durchaus relevant. Denn hierdurch stellt das VG richtigerweise klar, dass eine Aufsichtsbehörde keine Vorschriften durchsetzen darf, die noch gar nicht anwendbar sind.

Der LfDI hatte zur Begründung zudem auf Art. 58 Abs. 2 lit. d) DSGVO verwiesen. Danach verfügt jede Aufsichtsbehörde über Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen. Wie die gesamte DSGVO, so ist aber natürlich auch Art. 58 DSGVO erst anwendbar und durchsetzbar, wenn die DSGVO Anwendung findet. Also erst ab dem 25.5.2018.

In dem Urteil äußert sich das VG zudem auch implizit zu einigen Vorschriften der DSGVO in Bezug auf die Löschung von personenbezogenen Daten.

Die derzeit geltende Regelung des § 35 Abs. 2 S. 2 Nr. 4 BDSG wird mit Neufassung des Bundesdatenschutzgesetz nicht fortbestehen. Die DSGVO enthält über den Erforderlichkeitsgrundsatz (vgl. Art. 5 Abs. 1 lit. e) DSGVO) hinaus keine konkreten Vorgaben zu den Prüf- und Löschfristen. Lediglich aus Erwägungsgrund 39 DSGVO ist zu entnehmen, dass der Verantwortliche die Dauer seiner Datenverarbeitung unabhängig von einem entsprechenden Verlangen des Betroffenen nach Art. 17 DSGVO regelmäßig zu überprüfen hat. Das VG ist der Auffassung, dass eine Überprüfung in bestimmten Intervallen erfolgen kann, so wie es beispielsweise bislang nach § 35 Abs. Absatz 2 S. 2 Nr. 4 BDSG möglich und zulässig war. Zudem weist das VG darauf hin, dass die vom LfDI für angemessen erachtete Frist, wonach Forderungen und die mit diesen in Zusammenhang stehenden Informationen über Personen, die die Klägerin in ihren Datenbeständen, aus denen Bonitätsauskünfte erteilt würden, spätestens nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen seien, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei, keineswegs die einzig mögliche Speicher- und Löschkonzeption darstellt, die mit der DSGVO in Einklang steht bzw. sich aus selbiger zwingend ergibt.

Vielmehr muss sich die künftige Prüf- und Löschpraxis (hier der Auskunfteien) am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 lit. e) DSGVO messen lassen, der aber gerade in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet. Das VG geht aber davon aus, dass innerhalb des vorhandenen Spielraums eine gewisse Bandbreite an mit der DSGVO in Einklang stehenden Prüf- und Löschfristen zulässig ist.

EuGH-Urteil zur Datenverarbeitung auf der Grundlage berechtigter Interessen

Am 4. Mai 2017 hat der EuGH sein Urteil in der Rechtssache C-13/16 (Rigas) gefällt. Das Urteil selbst würde ich nicht als „datenschutzrechtlichen Knaller“ bezeichnen. Weitaus unterhaltsamer und bestimmt auch streitbarer sind die Schlussanträge des Generalanwalts aus Februar 2017, auf die ich schon einmal auf Twitter hingewiesen hatte.

In seinen Schlussanträgen nimmt sich Generalanwalt Bobek die Zeit für ein „Nachwort zum Datenschutz“ (ab Rz. 91), das er damit einleitet, dass es sich vorliegend „um einen etwas sonderbaren Fall“ handelt. Und:

Der Fall erzeugt nicht nur beim uninformierten Betrachter ein gewisses gedankliches Unwohlsein mit Blick auf die angemessene Anwendung und das vernünftige Wirken von Datenschutzvorschriften.

Zudem geht der Generalanwalt auch detaillierter auf den hier interessierenden Erlaubnistatbestand der Interessenabwägung (Art. 7 lit. f) EU-Datenschutzrichtlinie) ein (ab Rz. 60). Nun aber zurück zum Urteil des EuGH.

Das Gericht befasst sich mit der Frage, wie Art. 7 lit. f) EU-Datenschutzrichtlinie auszulegen und anzuwenden ist. Danach ist die Verarbeitung personenbezogener Daten zulässig, wenn die Verarbeitung erforderlich ist zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Art. 1 Abs. 1 EU-Datenschutzrichtlinie geschützt sind, überwiegen.

Zunächst stellt der EuGH fest, dass nach Art. 7 lit. f) EU-Datenschutzrichtlinie eine Verarbeitung personenbezogener Daten unter drei kumulativen Voraussetzungen zulässig ist:

  • berechtigtes Interesse, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden (1),
  • Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses (2) und
  • kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person (3).

Im Hinblick auf die erste Voraussetzung stellt der EuGH fest, dass „kein Zweifel daran besteht“, dass das Interesse eines Dritten, eine persönliche Information über eine Person zu erlangen, die sein Eigentum verletzt hat, um gegen sie eine Schadensersatzklage zu erheben, berechtigt ist.

Mit Blick auf die zweite Voraussetzung, die Erforderlichkeit, geht der EuGH als Grundsatz davon aus, dass sich jegliche Ausnahmen und auch Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten stets auf das absolut Notwendige beschränken müssen. In der Praxis muss sich eine datenverarbeitende Stelle also die Frage stellen, ob es (für das Grundrecht auf Schutz personenbezogener Daten) weniger einschneidende aber ebenso effektive Möglichkeiten gibt, um das Ziel zu erreichen bzw. einen bestimmten Zweck zu erfüllen.

Bei der letzten Voraussetzung (der Interessenabwägung) ist von Bedeutung, dass sich schematische oder standardisierte Vorgaben praktisch verbieten. Der EuGH stellt vielmehr zu recht fest, dass die Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen grundsätzlich von den konkreten Umständen des betreffenden Einzelfalls abhängt. Ein möglicher Faktor ist etwa die Beeinträchtigung der Grundrechte der Betroffenen in unterschiedlicher Intensität, je nachdem, ob die in Rede stehenden Daten z. B. öffentlich zugänglich sind oder nicht.

Die Auslegung des EuGH ist, wie bereits erwähnt, nicht absolut überraschend. Die Ausführungen des EuGH zu Art. 7 lit. f) EU-Datenschutzrichtlinie lassen sich auch auf die zukünftige Auslegung und Anwendung des Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung übertragen.

EU-Kommission: EU-US Datenschutzschild erfüllt Anforderungen der Datenschutz-Grundverordnung

Von der Abgeordneten im Europaparlament, Maria Grapini, wurde die Europäische Kommission gefragt, welche Maßnahmen die Kommission zur Anpassung des seit Juli 2016 existierenden EU-US Datenschutzschildes an die EU Datenschutz-Grundverordnung (DSGVO) plant. Das Datenschutzschild stellt, wie früher Safe Harbor, eine Angemessenheitsentscheidung der Kommission zum Schutzniveau für personenbezogene Daten, die an Unternehmen in den USA übertragen werden, dar. In ihrer Antwort (txt) äußert sich die Justiz-Kommissarin Jourová recht optimistisch.

Zunächst geht die Kommission auf die an einen Angemessenheitsbeschluss zum Datenschutzniveau in einem Drittstaat zu stellende Anforderungen ein. Hierzu verweist die Kommission auf das EuGH-Urteil zu Safe Harbor (Rechtssache C?362/14). Nach Art. 25 Abs. 6 der EU-Datenschutzrichtlinie kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau gewährleistet. Nach dem EuGH impliziert das Wort „angemessen“ in Art. 25 Abs. 6,

dass nicht verlangt werden kann, dass ein Drittland ein dem in der Unionsrechtsordnung garantiertes identisches Schutzniveau gewährleistet.

Das Drittland muss aber aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleisten, das dem in der Union garantierten Niveau der Sache nach gleichwertig ist.

In Ihrer Antwort stellt die Kommission hierzu fest, dass dies bedeutet, dass ein Drittland keine „fotokopierten“ Datenschutzregelungen der EU vorhalten muss. Insbesondere müsse nicht jede einzelne Norm des europäischen Datenschutzrechts in dem Datenschutzrecht des Drittstaates vorhanden sein.

Interessant sind die Ausführungen der Kommission zu der Frage nach der Fortgeltung derzeit existierender Angemessenheitsbeschlüsse, die sich an den weniger umfassenden Anforderungen der EU-Datenschutzrichtlinie orientieren, nach der Anwendbarkeit der DSGVO ab dem 25. Mai 2018.

Nach Ansicht der Kommission fußt die DSGVO auf den Grundprinzipien und Regelungen der existierenden EU-Datenschutzrichtlinie. Der EU-US Datenschutzschild beinhalte bereits diese Kernelemente. Die Kommission geht also davon aus, dass der EU-US Datenschutzschild die Datenschutzgrundsätze, Rechte und Pflichten der DSGVO ausreichend beachtet, um auch ab Mai 2018 die Anforderungen an einen Angemessenheitsbeschluss unter der DSGVO zu erfüllen.

Dennoch weist die Kommission darauf hin, dass sie im EU-US Datenschutzschild ausdrücklich darauf hingewiesen hat (dort Erwägungsgrund 146), dass sie prüfen wird, ob im Zuge der Anwendung der DSGVO ein Bedarf für Anpassungen besteht. Diese Prüfung ist Bestandteil der vorgeschriebenen jährlichen Überprüfung des EU-US Datenschutzschilds, die für das zweite Halbjahr 2017 geplant ist.

Datenschutz nach dem Brexit: Vereinigtes Königreich strebt Angemessenheitsbeschluss der EU-Kommission an

Die britische Regierung hat ein Weißbuch für den Plan zum Austritt aus der Europäischen Union veröffentlicht (pdf, Stand: Februar 2017). In dem Weißbuch wird auch knapp das Thema „Datenschutz“ gestreift (S. 45).

In dem Weißbuch erkennt die britische Regierung den besonderen Stellenwert eines Datentransfers für viele Wirtschaftssektoren an. Solange das Vereinigte Königreich noch Teil der Europäischen Union ist, existieren auch keine anderen datenschutzrechtlichen Anforderungen für Unternehmen, wenn diese etwa personenbezogene Daten mit einem Dienstleister in England austauschen möchten, als wenn sie einen Dienstleister im eigenen EU-Mitgliedstaat wählen würden.

Jedoch wird sich datenschutzrechtlich der Status des Vereinigten Königreichs nach dem Brexit ändern: in ein sog. Drittland. An Datentransfers in diese Länder bestehen bekanntlich höhere datenschutzrechtliche Anforderungen. Grundsätzlich dürfen derzeit und auch unter der Datenschutz-Grundverordnung, keine personenbezogene Daten aus der EU in Drittländer übermittelt werden, die nicht über ein angemessenes Schutzniveau für personenbezogene Daten verfügen oder ein anderes besonderes Instrument, wie etwa die EU-Standardvertragsklauseln oder gesetzliche Ausnahmen, nutzen.

Die Angemessenheit des Datenschutzniveaus in einem Drittland wird durch die Europäische Kommission geprüft und bestätigt. Ein Beispiel hierfür ist etwa der Beschluss zum EU-US Datenschutzschild.

Laut dem Weißbuch möchte auch die britische Regierung in Zukunft wohl in den Genuss eines Angemessenheitsbeschlusses der Kommission kommen. Zumindest wird darauf hingewiesen, dass der Kommission diese Befugnis zusteht und die britische Regierung alles dafür tun werde, um die Beständigkeit von Datentransfers zwischen EU-Mitgliedstaaten und dem Vereinigten Königreich zu sichern.

Ob jedoch ein solcher Angemessenheitsbeschluss der Kommission so einfach erlassen wird, darüber kann man zumindest diskutieren. Dies mag verwundern, da das Vereinigte Königreich ja derzeit als Mitgliedstaat der EU qua Gesetz (der Richtlinie 95/46/EG) ein angemessenes Niveau bietet und man hinterfragen könnte, was sich denn groß ändert, wenn doch das nationale Datenschutzrecht wie bisher auch nach dem Brexit erhalten bleibt. Der Grund für eine kritische Diskussion über den Erfolg eines Angemessenheitsbeschlusses findet man jedoch in dem Konstrukt der Kompetenzen der EU. Das europäische Datenschutzrecht und allgemein die EU hat keine Wirkung bzw. keine Befugnis auf dem Gebiet der nationalen Sicherheit, insbesondere der Tätigkeit der Geheimdienste. Selbst wenn man also derzeit die Tätigkeit des britischen GCHQ kritisiert, ändert dies nichts daran, dass im Vereinigten Königreich per se ein angemessenes Datenschutzniveau existiert. Soll die Kommission jedoch das Schutzniveau im Vereinigten Königreich nach dem Brexit prüfen, so sind von dieser Prüfung auch die Tätigkeiten der Sicherheitsbehörden, deren Datenverarbeitungsmaßnahmen und entsprechende Schutzmaßnahmen für EU-Bürger umfasst (vgl. etwa das Urteil des EuGH zu Safe Harbor, C?362/14, Rz. 88). Das Vereinigte Königreich ist in diesem Moment ein Drittland und die Kommission darf (und muss) dann im Rahmen ihrer Kompetenz das Schutzniveau für personenbezogene Daten in Gänze prüfen.

Man darf also auf die Prüfung durch die Kommission gespannt sein.

Like-Button vor dem EuGH: OLG Düsseldorf möchte wissen, wer verantwortlich ist

Im Verfahren zwischen der Verbrauchzentrale Nordrhein-Westfalen (VZNRW) und der Fashion ID GmbH & Co. KG (ein Unternehmen der Unternehmensgruppe Peek & Cloppenburg KG) zur datenschutzrechtlichen Zulässigkeit der Einbindung des Facebook Like-Buttons auf einer Webseite, hat das OLD Düsseldorf das Verfahren ausgesetzt und dem EuGH mehrere interessante Datenschutzfragen vorgelegt (Beschluss vom 19.01.2017 – I-20 U 40/16; derzeit leider noch nicht frei zugänglich). Die Vorinstanz, das LG Düsseldorf, hatte Fashion ID u.a. dazu verurteilt, die Einwilligung von Webseitenbesuchern einzuholen, bevor über das Plugin die IP-Adresse der Besucher an Facebook übermittelt wird (Urt. v.  09.03.2016 – 12 O 151/15; hier mein Blogbeitrag zu dem Urteil).

Facebook ist dem dem Rechtsstreit auf Seiten der Beklagten beigetreten. Das OLG Düsseldorf legt dem EuGH mehrere interessante Fragen zur Auslegung der geltenden EU-Datenschutzrichtlinie (RL 95/46/EG) vor.

Zunächst möchte das Gericht aber einmal wissen, ob denn die VZNRW überhaupt klagebfugt ist. Das LG Düsseldorf hatte dies noch, auf der Grundlage von § 8 Abs. 3 Nr. 3 UWG bejaht und angenommen, die Datenschutzvorschriften des TMG seien Marktverhaltensvorschriften. Fashion ID argumentiert, dass dieses Verständnis nicht in Einklang mit der RL 95/46/EG stehe. Eine Verbandsklage sei dort nicht vorgesehen. Die Richtlinie stelle insoweit eine abschließende Regelung dar. Interessant ist diese Vorlagefrage vor allem mit Blick auf das (nicht mehr ganz) neue Verbandsklagerecht in Deutschland. Das OLG Düsseldorf lässt in seinem Beschluss  erkennen, dass es davon ausgeht, dass eine solche Verbandsklagebefugnis der RL 95/46/EG nicht entgegensteht.

Natürlich möchte das OLG dann wissen, ob der Webseitenbetreiber, der das Plugin (also Code) einbindet, datenschutzrechtlich die „verantwortliche Stelle“ ist. Hier tendiert das OLG in seiner Begründung dazu, diese Verantwortlichkeit abzulehnen und verweist dazu auch auf den Vorlagebeschluss des BVerwG zu dem ebenfalls beim EuGH anhängigen Verfahren zu Facebook Fanpages.

Eine Stelle, die weder einen rechtlichen, noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, könne nicht als für die Verarbeitung Verantwortlicher angesehen werden (BVerwG Beschl. v. 25.02.2016, 1 C 28/14 Rn. 27, beim Gerichtshof anhängig unter C-210/16).

Das OLG Düsseldorf führt dazu richtigerweise aus, dass die gegenteilige Auffassung, allein durch die Einbindung von Dritten bereitgestellter Inhalte werde auch der Einbindende „für die Verarbeitung Verantwortlicher“ praktisch datenschutzrechtlich eine derartige Einbindung unmöglich mache. Denn der hierdurch ausgelöste Datenverarbeitungsvorgang ist für den Einbindenden nicht zu kontrollieren.

Interessant ist dann die Anschlussfrage des OLG, wenn keine datenschutzrechtliche Verantwortlichkeit angenommen wird. Man könnte dann nämlich über eine (m.E. abzulehnende Anwendung der Figur des „Störers“) nachdenken. Insofern stellt sich dann die Frage, ob Art. 2 Buchst. d) RL 95/46/EG insofern abschließend ist, als eine zivilrechtliche Haftung für von Dritten zu verantwortenden Datenschutzverstößen ausgeschlossen ist und die Haftung auf die Verantwortlichen beschränkt ist.

Wie auch das Vorlageverfahren des BVerwG (C-210/16), so ist auch dieses Verfahren von praktischer Relevanz. Im hiesigen Verfahren am OLG insofern eventuell in einer noch gesteigerten Form, da in der Praxis sowohl auf Webseiten und in Apps massenweise tagtäglich Plugins eingebunden werden. Eine datenschutzrechtliche Klärung ist daher zu begrüßen. Eventuell muss man sich aber mit dem Gedanken anfreunden, dass ein Urteil des EuGH erst nach dem 25. Mai 2018 und damit erst dann gefällt wird, wenn die Datenschutz-Grundverordnung (DSGVO) anwendbar ist und die RL 95/46/EG nicht mehr existiert. Nichtsdestotrotz ist die Frage nach der datenschutzrechtlichen Verantwortlichkeit und auch ein möglicher Rückgriff auf die Figur der Störerhaftung auch unter der DSGVO relevant.

Internationale Datentransfers: EU Kommission ändert Angemessenheitsbeschlüsse und Standardvertragsklauseln

Gestern habe ich hier im Blog noch darüber berichtet, dass die geltenden Angemessenheitsbeschlüsse für das Schutzniveau personenbezogener Daten in Drittstaaten als auch die Beschlüsse zu den geltenden EU Standardvertragsklauseln überarbeitet wurden und die europäischen Datenschützer (Art. 29 Datenschutzgruppe) im Rahmen dieser Überarbeitung eine interessante Stellungnahme abgegeben haben.

Nun wurde ich darauf aufmerksam gemacht, dass die finalen Durchführungsbeschlüsse der Kommission am 17. Dezember 2016 im Amtsblatt der Europäischen Union veröffentlicht wurden. Zur Änderung der Beschlüsse über die Standardvertragsklauseln und zur Änderung der Beschlüsse über die Angemessenheit des Schutzes personenbezogener Daten in bestimmten Drittländern.

Die an den geltenden Beschlüssen vorgenommenen Ergänzungen betreffen jeweils Artikel, die sich mit den Befugnissen der nationalen Datenschutzbehörden befassen.

In den Beschlüssen zu den Standardvertragsklauseln wird jeweils Artikel 4 angepasst. Die Ausübung der Befugnisse der Datenschutzbehörden, insbesondere im Fall einer Untersagung eines Datentransfers in einen Drittstaat, wird nun nicht mehr von bestimmten Voraussetzungen abhängig gemacht, die erfüllt sein müssen, bevor die Befugnis ausgeübt werden kann. In seinem Schrems-Urteil hatte der Europäische Gerichtshof diese Beschränkung der Befugnisse der nationalen Behörden kritisiert und die Safe Harbor-Entscheidung unter anderem aus diesem Grund für ungültig erklärt. Nach den neuen Artikeln 4 müssen die Mitgliedstaaten die Europäische Kommission nun nur noch informieren, wenn eine Aufsichtsbehörde einen Datentransfer, der auf der Grundlage von Standardvertragsklauseln stattfindet, untersagt.

Wichtig, insbesondere für die Praxis, dürfte der Hinweis sein, dass der Text der Standardvertragsklauseln selbst, also jener Teil der Beschlüsse der Kommission, der von den Parteien, die Daten austauschen, zu unterzeichnen ist, nicht abgeändert wird. Die Änderungen beziehen sich nicht auf den Vertrag selbst, sondern auf das dahinterliegende System der Überwachung, Prüfung und Durchsetzung der europäischen Regelungen durch die nationalen Behörden.

Eine solche angepasste Regelung findet sich nun auch in den jeweiligen Angemessenheitsentscheidung der Kommission zum Schutzniveau in Drittstaaten. Dort wird jeweils Artikel 3 angepasst. Zudem wird jedoch in einem neuen Artikel 3a die Kommission dazu verpflichtet, die Entwicklungen in der Rechtsordnung des jeweiligen Drittstaates laufend zu überwachen, die die Funktionsweise der jeweiligen Angemessenheitsentscheidung beeinträchtigten könnten. Zudem werden die Kommission aber auch die Mitgliedstaaten dazu verpflichtet, sich gegenseitig zu unterrichten, wenn Anhaltspunkte dafür vorliegen, dass Eingriffe der Behörden des jeweiligen Drittstaates in das Recht von Privatpersonen den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen in den Drittstaat besteht.

Europäische Datenschützer: Geltende Angemessenheitsbeschlüsse für Drittstaaten wohl ungültig

Wie hier im Blog berichtet, werden derzeit sowohl die geltenden Angemessenheitsentscheidungen der Europäischen Kommission für das Schutzniveau in Drittstaaten als auch die Beschlüsse zu den geltenden EU-Standardvertragsklauseln überarbeitet. Hintergrund dieser Anpassungen ist das Urteil des EuGH im Fall Schrems (C-362/14).

Dieser Prozess scheint dem Grunde nach bereits abgeschlossen zu sein. Denn im zuständigen Art. 31 Ausschuss haben die Mitgliedstaaten schon über die Entwürfe zur Anpassung der geltenden Beschlüsse (positiv) abgestimmt. Leider sind die neu gefassten Beschlüsse immer noch nicht veröffentlicht. Mir selbst liegen nur die Entwürfe vor, über die im Art. 31 Ausschuss abgestimmt wurde, die dann aber wieder von der Webseite entfernt wurden. Über die Ergänzungen in den jeweiligen Beschlüssen habe ich hier berichtet.

Im Zuge der Beratungen zu den Änderungen an den geltenden Beschlüssen wurde auch die Art. 29 Datenschutzgruppe um eine Stellungnahme gebeten. Diese Stellungnahme ist hier abrufbar (pdf).

Zunächst kritisieren die Datenschützer die sehr kurz bemessene Frist, in der sie zu den Änderungen der Beschlüsse Stellung nehmen sollen. Dies vor allem aus dem Grund, weil die Änderungen die Rechte der Datenschutzbehörden betreffen.

Danach weisen die Datenschützer darauf hin, dass die Kommission mit den Anpassungen den Zweck verfolge, die Vorgaben des EuGH im Schrems-Urteil vollständig umzusetzen. Jedoch bemängeln die Datenschützer, dass die vorgeschlagenen Änderungen gerade keine vollständige Umsetzung der Kritik des EuGH darstellen. Zwar sollen die Befugnisse der Behörden zur Untersagung von Datentransfers nun nicht mehr von bestimmten Bedingungen abhängig gemacht werden. Dies war jedoch nur ein Grund, warum der EuGH die Safe Harbor-Entscheidung für ungültig erklärte.

Daneben wurde die Entscheidung gerade auch deshalb aufgehoben, weil die Kommission keine Feststellungen dazu traf, dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“. Die Datenschützer weisen darauf hin, dass diese erforderlichen Feststellungen ebenfalls nicht in anderen, derzeit gültigen, Angemessenheitsentscheidungen für Drittstaaten wie die Schweiz, Kanada oder Israel enthalten sind und diese Entscheidungen daher wohl nicht die Anforderungen des EuGH erfüllen und in der Konsequenz, falls sie angefochten werden würden, wohl auch für ungültig erklärt werden könnten.

The assessment made by the Commission as to the compliance with this requirement does not seem sufficient to meet the requirements stated by the CJEU in the Case C-362/147 and could jeopardize their legal validity possibly leading to a referral to a competent Court.

Die Art. 29 Gruppe fordert die Kommission daher auf, die erforderlichen Feststellungen für die betreffenden Drittländer so schnell wie möglich vorzunehmen.

International Data Transfers: New Commission Decisions on Standard Contractual Clauses and Adequacy Decisions

As reported in my blog, the European Commission revised both the current decisions on the EU standard contractual clauses (EU Model Clauses) as well as the adequacy decisions on the level of protection of personal data in third countries. In the course of these adjustments, which the European Commission had to discuss with the representatives of the Member States in the so-called Article 31 Committee, the Commission has, inter alia, stated that the decisions in force concerning the standard contract clauses and also the adequacy of the level of protection in Third countries, in their current version are unlawful.

The two new decisions by the European Commission are based on the judgement of the ECJ in its Safe Harbor ruling (C-362/14). The judges found, inter alia, that current provisions in the decisions for the adequacy in third countries as well as the EU Model Clauses restrict the powers of the national supervisory authorities and such a restriction by the Commission is not allowed. The Commission therefore exceeds its competence with its decisions currently in force.

On 15 November, Article 31 Committee met to discuss and vote on the draft decisions to amend the provisions in force. The Commission’s Decisions for the adaptation of the adequacy decisions and the EU standard contractual clauses were available on the website of the EU Comitology Register last week. Unfortunately, the draft decisions are currently not available any more. I hope that the two decisions will be published shortly on the official website for international data transfers of the European Commission.

According to the summary record of the meeting on 15 November, the Article 31 Committee delivered a positive opinion on the two draft implementing decisions (txt).

In terms of content, the adjustments that are to be made to the respective decisions are quite similar. In each case, the article which makes the exercise of the powers of the supervisory authorities (in particular the prohibition of the transfer of data to a third country) conditional on the fulfillment of certain requirements will be deleted. In the decisions on the standard contract clauses (2001/497/EC, 2010/87/EC) Article 4 is replaced by a revised Article 4. The additional preconditions for the prohibition of data transfers will be deleted and the Member States will now only be obliged to notify the Commission if a supervisory authority forbids the transfer of data to a third country.

No substantive changes are made to the standard contract clauses themselves. Therefore, from my point of view, the standard contract clauses that have been used by companies so far can also be used further. However, one will recognize that recital 11 of decision 2010/87/EC and recital 15 of decision 2001/497/EC which refer to the ban of transfers by the authorities, will not be amended or repealed. Bit still, I think that currently used EU Model Clauses will not be affected.

The amendments to the various adequacy decisions also relate, in particular, to the lifting or replacement of an article which made the prohibition of the transfer of data to the third country subject to certain conditions (in each case Article 3). In addition, there is a new Article 3a which obliges the Commission to monitor continuously the development of the legal situation in the respective third country concerned in order to examine whether such a development affects existing adequacy decisions.

Internationale Datentransfers: Neue Beschlüsse der Kommission zu Standardvertragsklauseln und Angemessenheitsentscheidungen

Wie bereits hier im Blog berichtet, befindet sich die Europäische Kommission derzeit im Prozess der Überarbeitung sowohl von geltenden Beschlüssen zu den EU-Standardvertragsklauseln als auch von Angemessenheitsentscheidungen zum Schutzniveau für personenbezogene Daten in Drittstaaten.

Im Zuge dieser Anpassungen, die die Europäische Kommission im sog. Art. 31 Ausschuss mit Vertretern der Mitgliedstaaten besprechen und von diesen absegnen lassen muss, hat die Kommission unter anderem selbst festgestellt, dass die geltenden Beschlüsse zu den Standardvertragsklauseln und auch der Angemessenheit des Schutzniveaus in Drittstaaten, in ihrer derzeitigen Fassung rechtswidrig sind (hierzu mein Blogbeitrag)

Hintergrund dieser Anpassungen sind die Vorgaben des EuGH in seinem Urteil zu Safe Harbor (C-362/14.) Dort stellten die Richter unter anderem fest, dass derzeit vorhandene Vorgaben in den Beschlüssen die Befugnisse der nationalen Aufsichtsbehörden beschränken und eine solche Beschränkung durch die Kommission nicht erlaubt ist. Mit ihren derzeit noch geltenden Beschlüssen überschreitet die Kommission daher ihre Kompetenz.

Am 15. November hat sich der Art. 31 Ausschuss getroffen, um über die Beschlussentwürfe zur Änderung der geltenden Vorgaben zu beraten und abzustimmen. Die Beschlussentwürfe der Kommission zur Anpassung der Angemessenheitsentscheidungen (txt) und der EU-Standardvertragsklauseln (txt) sind nun abrufbar.

Inhaltlich ähneln sich die Anpassungen, die an den jeweiligen Beschlüssen vorgenommen werden sollen. Es geht jeweils um eine Streichung eines Artikels, der die Ausübung der Befugnisse der Aufsichtsbehörden (insbesondere zur Untersagung von Datentransfers in einen Drittstaat) von gewissen Voraussetzungen abhängig macht. In den Beschlüssen zu den Standardvertragsklauseln (2001/497/EC; 2010/87/EC) werden jeweils die Artikel 4 durch einen überarbeiteten Artikel 4 ersetzt. Die zusätzlichen Voraussetzungen für die Untersagung von Datentransfers werden gestrichen und die Mitgliedstaaten werden nun nur noch dazu verpflichtet, die Kommission zu benachrichtigen, wenn eine Aufsichtsbehörde eine Datenübermittlung in einen Drittstaat untersagt.

An den Standardvertragsklauseln selbst werden keine inhaltlichen Änderungen vorgenommen. Daher wird man davon ausgehen können, dass bislang im Einsatz befindliche Standardvertragsklausen auch weiter genutzt werden können.

Auch die Änderungen der verschiedenen Angemessenheitsbeschlüsse beziehen sich insbesondere auf die Aufhebung bzw. Ersetzung eines Artikels, der die Untersagung von Datenübermittlung in den jeweiligen Drittstaat von gewissen Voraussetzungen abhängig machte (jeweils Artikel 3). Neu hinzu kommt noch ein Artikel 3a, mit dem die Kommission verpflichtet wird, kontinuierlich die Entwicklung der Rechtslage in dem jeweils betroffenen Drittland zu beobachten, um zu prüfen, ob eine solche Entwicklung Auswirkungen auf bestehende Angemessenheitsbeschlüsse hat.