Klage gegen das EU US Privacy Shield gescheitert: Digital Rights Ireland verliert vor dem Europäischen Gerichtshof

Verschnaufpause für Datentransfers an Unternehmen in die USA. Digital Rights Ireland, eine Gesellschaft aus Irland, die sich mit der Förderung und dem Schutz der Bürger- und Menschenrechte, insbesondere in der Welt der modernen Kommunikationstechnologien, befasst, ist mit ihrer Nichtigkeitsklage (Art. 263 AEUV) vor dem Gerichtshof der Europäischen Union (hier das „Gericht“) in der Rechtssache T-670/16 gegen den Beschluss der EU Kommission zum EU US Privacy Shield gescheitert. Das Gericht entschied am 22.11.2017 per Beschluss, dass die Klage unzulässig ist, da es der Klägerin an der Klagebefugnis mangelt.

Bereits in meinem ersten Beitrag zu der Klage (hier im Blog), habe ich Zweifel an der Zulässigkeit der Klage geäußert.

Im Fall der hier eingelegten Nichtigkeitsklage nach Art. 263 Abs. 4 AEUV ist im Rahmen der Zulässigkeit, konkret bei der Klagebefugnis, zu berücksichtigen, dass zwar natürliche oder juristische Person eine solche Klage erheben können. Jedoch nur dann, wenn es sich um an sie gerichteten oder sie unmittelbar und individuell betreffenden Handlungen sowie gegen Rechtsakte mit Verordnungscharakter, die sie unmittelbar betreffen und keine Durchführungsmaßnahmen nach sich ziehen, handelt. Die 1. Alternative schallt im Fall der Angemessenheitsentscheidung der Europäischen Kommission aus. Denn der Beschluss ist nicht an natürliche oder juristische Person in den Mitgliedstaaten gerichtet, sondern an die Mitgliedstaaten selbst (vgl. Art. 6 des Beschlusses). Digital Rights Ireland Ltd wird also vor allem darlegen müssen, dass sich bei dem Beschluss um eine sie „unmittelbar und individuell betreffende Handlung“ der Europäischen Kommission handelt.

Zum einen weist das Gericht hier nun darauf hin, dass die noch geltende Datenschutz-Richtlinie 95/46/EG nur die personenbezogenen Daten natürlicher Personen erfasst; nicht jedoch Daten von juristischen Personen, wie hier Digital Rights Ireland. Die Klägerin kann daher schon keine Rechtsverletzung geltend machen.

Zum anderen schränke der Beschluss der EU Kommission zum EU US Privacy Shield nicht die Rechte der Klägerin als juristische Person und datenschutzrechtlich verantwortliche Stelle ein. Das Privacy Shield verpflichtet vielmehr amerikanische Unternehmen, an die Daten übermittelt werden sollen. Europäische datenverarbeitende Stellen erhalten vielmehr die Befugnis, auf der Grundlage des EU US Privacy Shield Daten an diese Unternehmen zu versenden.

Soweit es die Rechte der Unterstützter der Klägerin betrifft, weist das Gericht darauf hin, dass Art. 263 AEUV und das EU Recht keine Möglichkeit für Klagen im Namen des öffentlichen Interesses vorsieht.

Zuletzt berief sich Digital Rights Ireland unverständlicherweise auf die erst ab 25. Mai 2018 anwendbare EU Datenschutz-Grundverordnung und den Art. 80 DSGVO. Dieser sieht die Möglichkeit für Mitgliedstaaten vor, eine Verbandsklagebefugnis zu schaffen. Das Gericht macht es hier kurz: die DSGVO ist noch nicht anwendbar.

Der Beschluss des Gerichts kommt nicht völlig überraschend. Zu beachten ist, dass eine ähnliche Klage im Verfahren T-738/16 anhängig ist. Auch dort klagen Vereinigungen und nicht einzelne Personen. Daher dürfte auch dort die Frage der Unzulässigkeit aufkommen.

Das EU US Privacy Shield wird also zunächst einmal weiter Bestand haben.

Complaint against the EU US Privacy Shield failed: Digital Rights Ireland loses in front of the European General Court

Breather for data transfers to companies in the US. Digital Rights Ireland, an Irish company concerned with the promotion and protection of civil and human rights, particularly in the world of modern communication technologies, which has brought an action for annulment (Article 263 TFEU) before the Court of Justice of the European Union (here the General Court) in the case T-670/16 against the decision of the EU Commission for the EU US Privacy Shield, lost the battle, before it even really started.

The Court rules (Order) that the applicant does not have an interest in bringing proceedings. The annulment of the contested decision is not capable of having, in itself, legal consequences for the applicant or of procuring for it an advantage in regard to personal data.

Furthermore, according to the Court, the contested decision by the EU Commission has the effect of entitling the applicant as a controller of personal data to carry out transfers under certain conditions. It does not restrict its rights or impose obligations on it.

Additionally, the Court clarifies that it follows from the existence of specific conditions governing the admissibility of actions for annulment brought by individuals, provided for in Article 263 TFEU, that EU law does not, in principle, allow for the possibility of an applicant to bring an actio popularis in the public interest.

The action is therefore inadmissible.

The decision of the Court is not completely surprising, since the Article 263 TFEU and also the case law of the court stipulate quite high demands for the admissibility of an action for annulment. It should be noted that a similar claim is pending in case T-738/16. Also there complaining associations are not individuals. Therefore, the issue of inadmissibility might probably also arise there.

Ist die Datenschutz-Grundverordnung doch schon anwendbar? Zwei Gerichte sagen: ja.

Liest man sich den Art. 99 Abs. 2 DSGVO durch, ist eigentlich dem ersten Anschein nach klar, dass der Gesetzgeber den datenverarbeitenden Stellen (mögen diese nun öffentliche oder nichtöffentliche Stellen sein) und auch den nationalen Gesetzgebern eine Frist von 2 Jahren einräumen wollte, um den Anforderungen der DSGVO gerecht zu werden.

(1)   Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2)   Sie gilt ab dem 25. Mai 2018.

Die DSGVO und ihre Vorgaben sind also erst ab dem 25.5.2018 anwendbar. Im Sommer diesen Jahres hob genau aus diesem Grund das Verwaltungsgericht Karlsruhe eine Verfügung der Datenschutzbehörde in Baden-Württemberg auf (hierzu mein Blogbeitrag). Das Verwaltungsgericht (VG) Karlsruhe entschied (Urt. v. 6.7.2017 – 10 K 7698/16), dass die DSGVO

erst ab 25.5.2018 Gültigkeit beanspruchen wird.

Doch zwei weitere Entscheidungen von deutschen Gerichten machen nun stutzig. Sowohl das VG Wiesbaden (Beschluss v. 21.9.2017 – 6 L 3805/17.WI.A) als auch das Finanzgericht (FG) Düsseldorf (Beschluss v. 9.8.2017 – 4 K 1404/17) gehen davon aus, dass die DSGVO bereits jetzt durch deutsche Behörden anzuwenden und zu beachten ist. In beiden Fällen gehen die Gerichte ausdrücklich von Datenschutzverstößen von Behörden gegen die Vorgaben der DSGVO aus.

Das VG Wiesbaden entschied, dass das Bundesamt für Migration und Flüchtlinge (BAMF) unzulässigerweise eine Markierung zu einer Person zum Zwecke eines Asylbescheides nutzte. Die Datenmarkierung ist ein technischer Vorgang zur Sicherung der Datenqualität. Die Markierung ist aber kein Datum, welches zu speichern und zu übermitteln ist. Das VG stellt hier auf einen Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO ab. Die Nutzung der Markierung durch das BAMF bedürfte gemäß Art. 6 Abs. 3 lit. a) DSGVO einer Rechtsgrundlage, die die Zwecke, für die die personenbezogenen Daten verarbeitet werden dürfen, festlegt. Eine solche existiere nicht.

Doch wie kommt das VG hier überhaupt dazu, die DSGVO als anwendbar anzusehen und Verstöße des BAMF gegen die Artikel der DSGVO festzustellen?

Das VG verweist hierfür auf eine Entscheidung des FG Düsseldorf und damit auch auf eine dort ebenfalls zitierte Entscheidung des EuGH (Urteil v. 18.12.1997, C-129/96).

Die DSGVO ist am 25.05.2016 in Kraft getreten und gilt ab dem 25.05.2018 (Art. 99 Abs. 2 DSGVO. Die Verordnung ist daher auf das vorliegende Verfahren anzuwenden. Denn der Gesetzgebungsakt entfaltet vom Zeitpunkt seiner Bekanntgabe an Rechtswirkungen (EuGH, Urteil v. 18.12.1997, Az. C-129/96 – zur Richtlinienumsetzung, was im Falle einer Verordnung jedoch erst recht gelten muss; so FG Düsseldorf, Beschluss vom 09.08.2017, Az. 4 K 1404/17.Z – nach Juris).

Da die für das BMAF maßgebliche EURODAC-VO (VO (EU) 603/2013) auf die noch gültige RL 95/46/EG verweist, die DSGVO in Art. 94 Abs. 2 wiederum aber vorschreibt, dass Verweise auf die RL 95/46/EG als Verweise auf die DSGVO zu verstehen sind, so dass die EURODAC-VO im Einklang mit den Vorgaben der DSGVO stehen muss.

Dies mit der Folge, dass die Datenschutzgrundverordnung insoweit immer ergänzend heranzuziehen ist.

Im Ergebnis dieselbe Argumentation verfolgt das FG Düsseldorf in seiner Entscheidung. Das FG Düsseldorf verweist auch auf das obige Urteil des EuGH. Die referenzierte Randnummer 41 lautet:

Sodann werden nach Artikel 191 Absatz 2 EWG-Vertrag, der auf den im Ausgangsverfahren maßgebenden Zeitraum Anwendung findet, die “Richtlinien und Entscheidungen … denjenigen, für die sie bestimmt sind, bekanntgegeben und werden durch diese Bekanntgabe wirksam”. Aus dieser Vorschrift ergibt sich, daß eine Richtlinie gegenüber dem Mitgliedstaat, an den sie gerichtet ist, schon vom Zeitpunkt ihrer Bekanntgabe an Rechtswirkungen entfaltet.

Meines Erachtens sind beide Entscheidungen des VG Wiesbaden und des FG Düsseldorf nicht richtig.

Beide Gerichte referenzieren auf ein Urteil des EuGH vom 18.12.1997. Ebenfalls begründen beide deutschen Gerichte ihre Entscheidung damit, dass zwar der EuGH zu einer Richtlinie entschied, aber dies müsse ja erst recht für eine Verordnung wie die DSGVO gelten.

Beide Gerichte verkennen jedoch, dass der EuGH sich hier auf eine Vorschrift stützt (Art. 191 EWG-Vertrag), die so nicht mehr existiert. Dort hieß es:

Die Richtlinien und Entscheidungen werden denjenigen, für die sie bestimmt sind, bekanntgegeben und werden durch diese Bekanntgabe wirksam.

Die Nachfolgevorschrift ist Art. 297 AEUV. Diese ist inhaltlich viel detaillierter und anders aufgebaut. Art. 297 AEUV regelt die Unterzeichnung, Veröffentlichung, Bekanntgabe und das Inkrafttreten der Gesetzgebungsakte sowie der Rechtsakte ohne Gesetzescharakter. Die Vorschrift geht zwar u.a. auf Art. 191 EWG-Vertrag zurück, der jedoch erheblich ausgedehnt wurden. Die ursprüngliche Fassung des Art. 191 EWG-Vertrag sah lediglich eine Veröffentlichungspflicht für Verordnungen und eine Bekanntgabepflicht für Richtlinien und Entscheidungen vor (GHN/Krajewski/Rösslein AEUV Art. 297 Rn. 1).

Art. 297 AEUV unterscheidet aber nun zwischen Rechtsakten mit und ohne Gesetzescharakter. Diese Unterscheidung traf Art. 191 EWG-Vertrag nicht. Für die DSGVO, als Verordnung und damit Gesetzgebungsakt, sieht Art. 297 Abs. 1 AEUV keine Bekanntgabepflicht vor. Für die DSGVO hat die Frage der Bekanntgabe also gar keine Relevanz. Der Verweis der deutschen Gerichte geht hier fehl.  Die DSGVO entfaltet also gerade noch keine unmittelbare Rechtswirkung, auf die sich Betroffene, Unternehmen oder auch wie hier Behörden stützten könnten. Mit Inkrafttreten wird die DSGVO zwar Bestandteil des Unionsrechts. Nach Art. 92 Abs. 2 DSGVO darf die Europäische Kommission ab dem Inkrafttreten etwa auch ihre Befugnis zum Erlass delegierter Rechtsakte ausüben. Die DSGVO ist aber eben noch nicht unmittelbar im Mitgliedstaat anwendbar.

Dies ergibt sich auch aus der Systematik der DSGVO selbst. Nach Art. 94 Abs. 1 DSGVO wird die Richtlinie 95/46/EG mit Wirkung vom 25. Mai 2018 aufgehoben. Würde die DSGVO jetzt für datenverarbeitende Stellen schon Vorgaben machen, hätte diese Regelung keinen Sinn. Denn dann würden derzeit dem Grunde nach zwei europäische Regelungssysteme parallel und im Anwendungsbereich überlappend den Schutz personenbezogener Daten regeln. Im Ergebnis würde auch die in Art. 99 DSGVO etablierte Übergangsfrist von zwei Jahren keinen Sinn machen, wenn man davon ausgeht, dass die DSGVO bereits jetzt unmittelbar anwendbar wäre.

Die Entscheidungen des VG Wiesbaden und des FG Düsseldorf sind kritisch zu sehen und abzulehnen.

DSGVO: Zerschießt die „gemeinsame Verantwortlichkeit“ das Konzept der „federführenden Behörde“?

Nach den Schlussanträgen des Generalanwalts am EuGH in der Sache C-210/16 zur datenschutzrechtlichen Verantwortlichkeit bei der Datenverarbeitung von Besuchern von Webseiten (hier mein Beitrag dazu) ist der Begriff der „gemeinsamen Verantwortlichkeit“ (siehe Art 26 DSGVO) wieder etwas mehr ins Bewusstsein der Datenschutzpraxis gerückt. Die Rechtsfigur ist, europarechtlich betrachtet, nicht komplett neu, für uns BDSGler aber doch eine Umstellung und in Art 26 DSGVO umfassender ausgeformt als derzeit in der Europäischen Datenschutzrichtlinie.

Wie bekannt, stellen nach Ansicht des Generalanwalts am EuGH sowohl die in Schleswig-Holstein ansässige Wirtschaftsakademie und die Facebook Inc. aus den USA und die Facebook Ltd. aus Irland zumindest für die Erhebung von Nutzerdaten über die Facebook-Seite (Fanpage) der Wirtschaftsakademie gemeinsam Verantwortliche dar. Bereits diese Feststellung, sollte sie auch vom EuGH getroffen werden, bringt Fragen in der praktischen Umsetzung der DSGVO-Pflichten mit sich.

Mir ist in diesem Zusammenhang jedoch noch eine andere Thematik in den Sinn gekommen. Nämlich die Frage danach, welche europäische Aufsichtsbehörde denn dann in diesem konkreten Fall oder auch allgemein bei Vorliegen von gemeinsam Verantwortlichen die sog. „federführende Aufsichtsbehörde“ (Art. 56 DSGVO) ist. Der federführenden Aufsichtsbehörde kommt in dem durch die DSGVO etablierten System des one-stop-shop eine wichtige Bedeutung zu. Nach Art. 56 Abs. 6 DSGVO ist sie der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung. Gerne umschreibe ich sie salopp auch als den „Chef im Ring“ der anderen Aufsichtsbehörden.

Die Grundkonzeption der DSGVO kennt nur eine (!) federführende Aufsichtsbehörde. Es wird nicht die Situation vorgesehen, dass es nebeneinander mehrere federführende Aufsichtsbehörden gibt. Das würde freilich auch das Prinzip der zentralen Anlaufstelle konterkarieren. Der Gesetzgeber wollte gerade, im Vergleich zur aktuellen Situation, ein System schaffen, in dem es nur eine in Europa zuständige, letztlich entscheidende Aufsichtsbehörde gibt. Zumindest soweit es um „grenzüberschreitende Verarbeitungen“ geht. Eine solche grenzüberschreitende Verarbeitung liegt in den in Art. 4 Nr. 23 DSGVO benannten Fällen vor. Entweder die Verarbeitung erfolgt über Landesgrenzen hinweg in mehreren Niederlassungen oder sie erfolgt im Rahmen der Tätigkeiten einer einzigen Niederlassung, kann aber erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat haben.

Nun mag man in dem vor dem EuGH liegenden Fall zu Fanpages noch gut diskutieren, ob die Wirtschaftsakademie, als (Mit)Verantwortlicher für die Datenerhebung überhaupt eine grenzüberschreitende Verarbeitung vornimmt. Denn sie hat nur eine Niederlassung in Schleswig-Holstein und man könnte eventuell argumentieren, dass die Erhebung der Daten der Besucher ihrer Fanpage keine erheblichen Auswirkungen auf betroffene Personen in anderen Mitgliedstaaten hat.

Man wird jedoch schnell Beispiele finden können, bei denen entweder gemeinsam Verantwortliche tatsächlich Datenverarbeitungen durchführen, die mehrere Niederlassungen betreffen oder die zumindest auch Auswirkungen auf Personen in anderen Mitgliedstaaten haben. Den aktuellen Fall der Wirtschaftsakademie müsste man nur um eine Niederlassung in Holland oder Belgien ergänzen, die ebenfalls von der Fanpage und den durch Facebook generierten Statistiken profitiert. Dann lägen gemeinsam Verantwortliche für eine Verarbeitung vor, jedoch würde es für diese konkrete Phase der Verarbeitung, z. B. die Erhebung, gleichzeitig mehrere (!) federführende Aufsichtsbehörden geben. Für Facebook Inc. und Facebook Ltd. wäre dies wohl die irische Behörde, für (in dem von mir gebildeten Beispiel) die Wirtschaftsakademie das ULD in Schleswig-Holstein.

Es würde also eine Situation bestehen, die der Gesetzgeber gerade verhindern wollte und auch in der DSGVO nicht vorgesehen hat. Die DSVGO spricht stets nur von einer federführenden Aufsichtsbehörde.

Die Art. 29 Gruppe hat diese Gefahr wohl auch erkannt, bietet dafür in ihrem Arbeitspapier zur „federführenden Behörde“ (WP 244, pdf) auch keine finale Lösung. Die Art. 29 Gruppe schlägt vor, dass gemeinsam Verantwortliche, wenn sie überhaupt vom one-stop-shop profitieren möchten, einen allein für die betreffende Verarbeitung zuständige Niederlassung festlegen sollen, die die Entscheidungsbefugnis hinsichtlich der Verarbeitung gegenüber allen anderen Niederlassungen der gemeinsam Verantwortlichen hat.

Diese Vereinbarung mag man theoretisch andenken. Gerade in dem hier benannten Beispiel kann ich mir aber nur schwer eine Vereinbarung zwischen der Wirtschaftsakademie und Facebook Inc. und Facebook Ltd. bezüglich der Entscheidungsbefugnis mit Blick auf die Erhebung vorstellen. Man könnte freilich an eine Vereinbarung durch AGB, die z. B. Facebook vorgibt, denken, in denen Facebook Ltd. als Niederlassung mit alleiniger Entscheidungsbefugnis festgelegt wird; diese Befugnis müsste sich dann aber auch auf die Wirtschaftsakademie erstrecken. Diese dürfte dann selbst auch gar nicht mehr über Möglichkeiten verfügen, Entscheidungen in Bezug auf die Erhebung zu treffen. Doch könnte man argumentieren, dass (in dem hier gebildeten Beispiel) die Wirtschaftsakademie am Ende ja immer noch eine Entscheidungsbefugnis besitzt, nämlich ob sie die Erhebung stoppt, indem die Fanpage gelöscht wird.

Zumal auch die Art. 29 Gruppe davon auszugehen scheint, dass das one-stop-shop Prinzip mit der federführenden Behörde in diesen Situationen überhaupt nur so wirksam beibehalten werden könnte, womit andererseits bei fehlender interner Festlegung zwischen den Verantwortlichen dann eben mehrere federführende Behörden existieren.

Ein aus meiner Sicht sehr interessantes und praxisrelevantes Problem. Insbesondere wenn der EuGH der Linie des Generalanwalts folgt und die Voraussetzungen für eine gemeinsame Verantwortlichkeit nicht besonders hoch ansetzt.

Generalanwalt am Europäischen Gerichtshof: Betreiber von Facebook-Seiten (Fanpages) sind datenschutzrechtlich (mit)verantwortlich

Eine ziemliche Überraschung aus Luxemburg. So könnte man die heute veröffentlichen Schlussanträge des Generalanwalts Bot in der Rechtssache C-210/16 bezeichnen. Sollte der Europäische Gerichtshof (EuGH) dem Ergebnis der Einschätzung des Generalanwaltes folgen, dürfte dies auch Auswirkungen auf die Praxis der digitalen Wirtschaft haben.

Nachfolgend eine ganz kurze Zusammenfassung der Schlussanträge des Generalanwaltes zur datenschutzrechtlichen Verantwortlichkeit.

Ausgangsverfahren

Das Bundesverwaltungsgericht (BVerwG) legte dem EuGH mit Beschluss vom 25.02.2016 – 1 C 28.14 mehrere Fragen rund um die datenschutzrechtliche Verantwortlichkeit eines Betreibers einer Facebook-Seite (Fanpage) und die Zuständigkeit der Aufsichtsbehörden vor.

Nach den Feststellungen zum Sachverhalt können die Betreiber von Fanpages mittels des von Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zu ihrer Verfügung gestellten Tools „Facebook Insights“ Besucherstatistiken erhalten. Diese Statistiken werden von Facebook erstellt und vom Betreiber einer Fanpage anhand verschiedener Kriterien, die er wählen kann – wie Alter oder Geschlecht –, personalisiert. Diese Statistiken liefern somit anonyme Informationen über die Eigenschaften und die Gewohnheiten der Personen, die diese Fanpages besucht haben, und gestatten den Betreibern dieser Seiten, gezielter zu kommunizieren. Um solche Besucherstatistiken zu erstellen, speichert Facebook zumindest ein Cookie, das eine eindeutige ID-Nummer enthält und für zwei Jahre aktiv ist, auf dem Rechner der Person, die die Fanpage aufgerufen hat. Die ID-Nummer, die mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Facebook-Seiten erhoben und verarbeitet.

Ursprünglich klagte die Wirtschaftsakademie Schleswig-Holstein, ein privatrechtlich organisiertes Bildungsunternehmen, gegen einen Bescheid der Landesdatenschutzbehörde in Schleswig-Holstein.  Die Wirtschaftsakademie bewirbt ihre Bildungsangebote u.a. durch eine Fanpage bei Facebook.

Die Aufsichtsbehörde ordnete mit Bescheid vom 3.11.2011 gegenüber der Klägerin an, dafür Sorge zu tragen, dass die von ihr unter www.facebook.com/wirtschaftsakademie bei Facebook betriebene Fanpage deaktiviert wird, und drohte für den Fall der nicht fristgerechten Umsetzung ein Zwangsgeld an. Hiergegen wendete sich die Wirtschaftsakademie. Das Verfahren landete über mehrere Instanzen beim BVerwG, welches dem EuGH u.a. die folgenden Fragen vorlegte.

Erste Frage und zweite Frage

Nach Ansicht des BVerwG ist die Wirtschaftsakademie weder datenschutzrechtlich für die Datenverarbeitung durch Facebook, in Form der Erhebung von Daten von Seitenbesuchern, als auch für die weitere Nutzung der Daten durch Facebook verantwortlich.

Zudem ist nach Ansicht des BVerwG die Wirtschaftsakademie auch nicht Auftraggeber einer Datenverarbeitung im Auftrag. Es stellte sich jedoch die Frage, ob es eine andere Form der datenschutzrechtlichen Verantwortlichkeit des Betreibers einer Fanpage geben kann und die Aufsichtsbehörde auch gegen andere Stelle, die nicht Verantwortlicher sind, vorgehen kann.

Das BVerwG hielt eine Klärung für erforderlich, ob bzw. unter welchen Voraussetzungen sich in mehrstufigen Anbieterverhältnissen, wie sie für soziale Netzwerke kennzeichnend sind, die Kontroll- und Eingriffsbefugnisse der Datenschutzaufsichtsbehörde allein auf die “verantwortliche Stelle” im Sinne des Art. 2 Buchst. d) RL 95/46/EG (§ 3 Abs. 7 BDSG) beziehen können oder ob daneben Raum für eine Verantwortlichkeit einer Stelle, die nicht im Sinne des Art. 2 Buchst. d) RL 95/46/EG für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für sein Informationsangebot bleibt.

Vor diesem Hintergrund erstrebt die erste Vorlagefrage die Klärung, ob mit dem Begriff des “für die Verarbeitung Verantwortlichen” (Art. 2 Buchst. d) RL 95/46/EG) auch die möglichen Adressaten von Eingriffsmaßnahmen abschließend und erschöpfend umschrieben sind oder ob im Rahmen der “geeigneten Maßnahmen” nach Art. 24 und der “wirksamen Eingriffsbefugnisse” nach Art. 28 Abs. 3 Spiegelstrich 2 RL 95/46/EG daneben Raum für eine datenschutzrechtliche Verantwortlichkeit für die Auswahl des Betreibers eines Informationsangebotes bleibt.

Der Generalanwalt teilt nicht die Meinung des BVerwG. Das ist durchaus überraschend.

Meines Erachtens ist nämlich davon auszugehen, dass die Wirtschaftsakademie für die in der Erhebung von personenbezogenen Daten durch Facebook bestehende Phase der Verarbeitung gemeinsam mit Facebook verantwortlich ist.

Die Wirtschaftsakademie ist, zusammen mit Facebook Inc. und Facebook Ltd., gemeinsamer Verantwortlicher. Und zwar für die Verarbeitungsphase der Erhebung personenbezogener durch Facebook, wenn Nutzer die Facebook-Seite besuchen. Facebook ist verantwortlich, da es die Technologie entwickelt hat und auch das dahinter liegende Geschäftsmodell der Nutzung der Daten. Zudem ist auch Wirtschaftsakademie als Administrator der Facebook-Seite zumindest für die Phase der Erhebung der Daten verantwortlich.

Indem der Betreiber der Fanpage Facebook für die Verbreitung seines Informationsangebots nutzt, schließt er sich dem Grundsatz der Durchführung einer Verarbeitung personenbezogener Daten der Besucher seiner Seite zum Zweck der Erstellung von Besucherstatistiken an.

Durch Nutzung des Insights Tools und den Zugriff auf die Statistiken nehme er an Entscheidung über Zwecke und Mittel der Verarbeitung teil. Zum einen, weil er die Entscheidung trifft, das Tool zu nutzen. Nur dadurch würde die Datenverarbeitung überhaupt initiiert. Zudem gestatte er Facebook die Nutzung der Daten. Er erteile also seine Zustimmung zu dem System und der Verarbeitung durch Facebook und damit zu den von Facebook verwendeten Mitteln und den Zwecken. Zudem habe er Möglichkeit, die Datenverarbeitung zu beenden und zwar durch Löschung der Facebook-Seite.

Zudem habe er die Möglichkeit des Einflusses auf die Darstellung der Statistik und welche Kriterien verwendet werden.

der Betreiber einer Fanpage [hat] die Möglichkeit, die konkrete Umsetzung dieses Tools zu beeinflussen, indem er die Kriterien definiert, auf deren Grundlage die Besucherstatistiken erstellt werden.

Der Betreiber einer Fanpage kann mittels Filtern ein personalisiertes Zielpublikum festlegen, was ihm erlaubt, nicht nur die Personengruppe genau zu bestimmen, an die die Informationen über sein kommerzielles Angebot verbreitet werden, sondern insbesondere die Kategorien von Personen zu bezeichnen, deren personenbezogene Daten sodann von Facebook erhoben werden.

Der Generalanwalt stellt als Ergebnis fest, dass unter diesen Umständen ein Betreiber einer Fanpage eines sozialen Netzwerks wie Facebook als Verantwortlicher für die Phase der Verarbeitung personenbezogener Daten anzusehen ist, die in der Erhebung von Daten über die diese Seite besuchenden Personen durch dieses soziale Netzwerk besteht.

Der Generalanwalt bleibt hier jedoch nicht stehen. Zudem sollen diese Ausführungen auch für das anhängige Verfahren zum Like Button (C-40/17, Fashion ID) gelten. Auch bei der Einbindung eines Plugins (hier für den Like-Button) sei Webseitenbetreiber Verantwortlicher für die Phase der Erhebung von Daten durch Facebook, weil er den Code einbinde. Der Generalanwalt hierzu:

Meiner Ansicht nach müsste in einem solchen Kontext der Betreiber einer Website, die ein Social Plugin enthält, soweit er einen tatsächlichen Einfluss auf die die Übermittlung personenbezogener Daten an Facebook betreffende Phase der Verarbeitung ausübt, wie der Betreiber einer Fanpage als „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 eingestuft werden.

Diese Auffassung ist durchaus überraschend, da der Generalanwalt sich der Auslegung des BVerwG entgegenstellt und die datenschutzrechtliche Verantwortlichkeit (die das BVerwG ablehnte) auf Betreiber einer Facebook-Seite erstreckt.

Sollte der EuGH dieser Einschätzung folgen, stellen sich einige praktische Fragen. Unter anderem nach der korrekten Erfüllung der Informationspflichten durch den Betreiber der Facebook-Seite. Nach der Logik der Schlussanträge müsste der Betreiber, da er für die Erhebung der Daten mitverantwortlich ist, über die betroffenen Daten und die Zwecke der Verarbeitung informieren. Tatsächlich kann es aber den Betreibern von Facebook-Seiten oder anderen vergleichbaren Plattformangeboten schwer fallen, diese Informationen inhaltlich korrekt an die Besucher zu kommunizieren. Eventuell hat der Betreiber gar keine Kenntnis darüber, welche Daten konkret für welche Zwecke durch Facebook verarbeitet werden. Zudem müsste der Betreiber der Webseite auf die Informationen zur Datenerhebung auch klar und verständlich auf seiner Facebook-Seite hinweisen. Zuletzt dürfte die generelle Frage zu beantworten sein, auf der Grundlage welches Erlaubnistatbestandes die personenbezogenen Daten durch Facebook (Inc. und Ltd.) und den Betreiber der Webseite erhoben werden. Diese Fragen müssen sich, sollte das Urteil den Schlussanträgen folgen, Betreiber von Facebook-Seiten stellen und beantworten.

Daneben ist anzumerken, dass der vorliegende Fall zwar ein spezielles Produkt (die Fanpage) und das dahinterliegende System betrachtet. Die Ausführungen des Generalanwaltes zur gemeinsamen Verantwortlichkeit dürften jedoch zu einem großen Teil auch auf andere Plattformen und Systeme übertragbar sein, bei denen ein Kunde die Infrastruktur und quasi das vorgefertigte Produkt eines Anbieters nutzt und bei dessen Bereitstellung personenbezogene Daten von Nutzern oder Besuchern verarbeitet werden, insbesondere, wenn der Kunde die Möglichkeit hat, Nutzerstatistiken zu nutzen.

Weitere Fragen

Auch die Ausführungen des Generalanwaltes zum anwendbaren Datenschutzrecht und der Zuständigkeit der Aufsichtsbehörden sind interessant. Vor allem von Relevanz ist, dass er die Gründe des EuGH-Urteils zu Google Spain auf eine Situation überträgt, in der der (Mit)Verantwortliche in der Union niedergelassen ist.

Er geht davon aus, dass die streitige Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten der deutschen Niederlassung von Facebook durchgeführt wird und dass in einer Situation wie der im Ausgangsverfahren in Rede stehenden die Anwendung des deutschen Datenschutzrechts erlaubt ist.

Die deutsche Kontrollstelle ist daher befugt, ihr nationales Recht auf die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten anzuwenden.

Zudem geht der Generalanwalt davon aus, dass die nationale Aufsichtsbehörde ihre Befugnisse, also auch eine Untersagung der Verarbeitung, nicht etwa gegen die nationale Niederlassung richten muss. Vielmehr könne eine aufsichtsbehördliche Maßnahme nach deutschem Recht gegenüber dem Verantwortlichen erfolgen, auch wenn dieser, wie hier die Facebook Ltd., in einem anderen Mitgliedstaat niedergelassen ist.

…dass diese Kontrollstelle sämtliche wirksamen Einwirkungsbefugnisse, die ihr gemäß Art. 28 Abs. 3 dieser Richtlinie übertragen sind, gegenüber dem für die Verarbeitung Verantwortlichen ausüben darf, und zwar auch dann, wenn dieser Verantwortliche seinen Sitz in einem anderen Mitgliedstaat oder einem Drittstaat hat.

Natürlich muss man noch das Urteil des EuGH abwarten. Da dieser den Schlussanträgen jedoch oft folgt, darf man mutmaßen, dass auch das Urteil des EuGH in eine ähnliche Richtung gehen wird.

VGH München zum Umfang des datenschutzrechtlichen Auskunftsanspruchs

Der Bayerische Verwaltungsgerichtshof (VGH) hat mit Beschluss vom 29.08.2017 (Az. 5 ZB 16.2227) eine recht interessante und ausführlich begründete Entscheidung über den Umfang des datenschutzrechtlichen Auskunftsanspruchs getroffen. Zwar ging es in dem Verfahren insbesondere um die Auslegung des Art. 10 BayDSG. Jedoch ähnelt diese Vorschrift dem § 34 BDSG. Die Ausführungen des VGH lassen sich daher auch auf die Anwendung des § 34 BDSG übertragen.

Um was ging es?

Der Kläger begehrte eine umfassende Datenauskunft vom Beklagten, einer Rundfunkanstalt des öffentlichen Rechts. Dabei lag er mit der Rundfunkanstalt wohl schon länger im Clinch. So sprach die Rundfunkanstalt gegenüber dem Kläger wohl zuvor auch ein Hausverbot aus. Der Kläger wollte mit seiner Klage auf Auskunft über handschriftliche Notizen, hausinternen und der eingescannten Schriftverkehr, einschließlich der Verschlagwortung der Dokumente, Freitexte und Ordnungsmerkmale. Auch sollten Aktennotizen und Gesprächsnotizen übersendet werden. Zudem seien leere Datenfelder ebenso wie fachliche Annahmen zu beauskunften. Der Kläger meinte zudem, sein Auskunftsanspruch beziehe sich auch auf fachliche Annahmen, Abwesenheit von Datensätzen, offensichtlich bekannte Daten und Alternativschlüssel.

Der Beklagte erteilte in der Vergangenheit mehrfach Auskunft. Nur eben nicht in der Tiefe und Breite, wie sich dies der Kläger wünschte.

Urteil des VGH

Der VGH entschied vorliegend über den Antrag auf Zulassung zur Berufung. Diesen lehnte er ab.

Das Gericht begründet seine Entscheidung u.a. damit, dass der Kläger den Inhalt des Schriftverkehrs mit dem Beklagten kenne. Diesen in einer Datenauskunft zu wiederholen, weil der Schriftverkehr, wie heute weitgehend üblich, eingescannt wurde und daher „gespeichert“ ist, sei nicht Sinn und Zweck des Auskunftsanspruchs.

Der Kläger hielt hier dagegen und meinte, er kenne zwar den Schriftverkehr, aber nicht die ggf. vom Beklagten auf dem Schriftverkehr oder auf hinterlegten Freitexten angebrachten Bemerkungen, Verfahrenshinweise und Eingangsstempel mit den ggf. darauf angebrachten Vermerken. Nach Ansicht des Gerichts handelt es sich bei Eingangsstempeln (ggf. mit ergänzenden Angaben zu Umfang der Schreiben sowie zu den Anlagen und deren Umfang) und Verfahrensvermerken, die Anweisungen an Mitarbeiter enthalten wie z.B. „bitte Hausverbot beachten“ oder „gelegentlich kontrollieren“ oder auch „bitte Antwortschreiben entwerfen“, zumindest in der Regel um keine personenbezogenen Daten. Eingangsstempel und Verfahrensvermerke seien daher regelmäßig keine Einzelangaben über persönliche oder sachliche Verhältnisse einer Person.

Zudem habe der Kläger auch keinen Anspruch auf Auskunft über die Verschlagwortung der Dokumente, über Scan-Daten oder Ordnungsmerkmale, da es sich insoweit nicht um zur Person des Klägers gespeicherte Daten handelt.

Eine Verschlagwortung der Dokumente sowie Scan-Dateien und Ordnungsmerkmale schaffen keine zusätzlich gespeicherten Daten, sondern ermöglichen nur den erleichterten Zugriff auf die gespeicherten Daten.

Im Hinblick auf leere Datenfelder entschied der VGH, dass nicht besetzte (leere) Felder und „abwesende Datensätze“ zu bestimmten sachlichen oder persönlichen Einzelangaben in den Verfahrensverzeichnissen des Beklagten keine gespeicherten personenbezogenen Daten des Klägers enthielten.

Wenn eine Information nicht gespeichert ist, ergibt sich daraus keine Information über den Kläger außer der, dass darüber dem Beklagten keine Information vorliegt, jedenfalls aber keine gespeichert ist.

Der VGH befasst sich in seiner Entscheidung zudem auch noch mit weiteren Informationskategorien, die nicht beauskunftet werden müssen.

Da es in dem Beschluss auch um die Frage geht, welche Informationen „personenbezogene Daten“ darstellen, möchte ich in diesem Zusammenhang noch auf die Schlussanträge der Generalanwältin Kokott am EuGH vom 20.7.2017 (Rs. C-434/16) hinweisen. In dem Verfahren geht es um die Frage, ob Anmerkungen auf Prüfungsunterlagen durch den Korrektor als „personenbezogene Daten“ einer betroffenen Person (des Prüflings) eingestuft werden können.

Nach Ansicht der Generalanwältin sind auf der Arbeit befindliche Anmerkungen typischerweise in der Regel untrennbar mit der Arbeit verknüpft, weil sie ohne diese keinen sinnvollen Aussagewert erreichen würden. Die Arbeit selbst verkörpert personenbezogene Daten des Prüfungsteilnehmers. Und diese Daten, so die Generalanwältin, werden gerade zu dem Zweck erhoben und verarbeitet, die in den Korrekturanmerkungen verkörperte Bewertung der Leistung des Prüfungsteilnehmers zu ermöglichen.

Daher folgert sie:

Schon aufgrund dieser engen Verknüpfung zwischen der Prüfungsarbeit und den auf ihr vorgenommenen Korrekturanmerkungen sind auch Letztere personenbezogene Daten des Prüfungsteilnehmers gemäß Art. 2 Buchst. a der Datenschutzrichtlinie.

Die Generalanwältin erstreckt den Personenbezug mithin auch auf schriftliche Anmerkungen des Korrektors und geht folglich von einem weiten Verständnis des Personenbezugs aus. Die Entscheidung des EuGH steht noch aus.

Bayerische Aufsichtsbehörde veröffentlicht Hinweise und Anforderungen an den Einsatz von Facebook Custom Audience

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in der Vergangenheit bayernweiten 40 Unternehmen dahingehend geprüft, ob und in welcher Weise das Marketing-Werkzeug „Facebook Custom Audience“ für gezielte Werbeanzeigen auf Facebook eingesetzt wird. Gestern veröffentlichte die Behörde nun das Ergebnis ihrer Prüfung und gleichzeitig auch allgemeine Hinweise und Anforderungen, die aus Sicht des BayLDA beim Einsatz von Custom Audience zu beachten sind (Pressemitteilung und Hinweise, pdf).

Wenn man sich die Informationen und Äußerungen des BayLDA zu Custom Audience aus der Vergangenheit vor Augen führt (hier mein Blogbeitrag zum Tätigkeitsbericht 2013/2014 und hier mein Blogbeitrag zum Tätigkeitsbericht 2015/2016), sind die Aussagen der Behörde zu den datenschutzrechtlichen Voraussetzungen beim Einsatz von Custom Audience wenig überraschend. Dennoch möchte ich bereits hier anfügen, dass die Auffassung des BayLDA zumindest zum Teil sicher auch streitbar ist.

Das BayLDA trennt in seinen Hinweisen klar strukturiert zwischen der Funktion „Facebook Custom Audience über die Kundenliste“ und „Facebook Custom Audience über das Pixel-Verfahren“, wobei in letzterer Variante noch die Funktion „Erweiterter Abgleich“ eine Rolle spielt.

Facebook Custom Audience über die Kundenliste

Die Funktion „Facebook Custom Audience über die Kundenliste“, in der ein Unternehmen eine Liste erstellt, die Name, Wohnort, E-Mail-Adresse und Telefonnummer seiner Kunden oder auch nur Interessenten enthält und diese Liste dann im Facebook-Konto des Unternehmens hochlädt, damit Facebook feststellen kann, welcher Kunde Facebook-Nutzer ist, ist nach Auffassung des BayLDA nur aufgrund einer informierten Einwilligung der Kunden zulässig. Zudem weist das BayLDA darauf hin, dass das Übermitteln dieser Liste an Facebook auch auf der Basis der ab 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) seiner Ansicht nach nicht ohne Einwilligung zulässig sein wird.

Facebook Custom Audience über das Pixel-Verfahren

Die Funktion „Facebook Custom Audience über das Pixel-Verfahren“ existiert in einer einfachen Variante und in der Variante des erweiterten Abgleichs. Auf der Webseite eines Unternehmens wird ein Facebook-Pixel eingebunden. Über dieses Pixel kann Facebook (nicht der Einbindende) das Online-Verhalten des Nutzers nachvollziehen. Das BayLDA nennt beispielhaft ein typisches Szenario: „Ein Nutzer besucht einen Webshop und interessiert sich für das neueste Smartphone, legt es in den Warenkorb, schließt aber den Bestellvorgang nicht ab. Bricht der Nutzer den Bestellvorgang ab, wird auch diese Information an Facebook weitergeleitet. Der Betreiber des Webshops möchte natürlich den Kunden zurückgewinnen und kann ihn über Facebook mittels Werbung des zuvor angesehenen Smartphones locken und zur Rückkehr auf die Webshop-Seite verleiten“.

Nach Auffassung des BayLDA ist der Webseiten-Betreiber, der den Facebook-Pixel auf seiner Webseite einbindet,

im datenschutz-rechtlichen Sinne auch Verantwortlicher, da er gezielt die weitere Datenverarbeitung durch Facebook veranlasst.

Diese Auffassung des BayLDA ist sicherlich vertretbar. Jedoch existiert genau zu dieser Frage, inwieweit ein Webseitenbetreiber datenschutzrechtlich verantwortlich ist, wenn er Code einbindet, über den Dritte dann Daten der Besucher verarbeiten können, schon länger Streit. Die Frage der Verantwortlichkeit liegt derzeit dem Europäischen Gerichtshof (EuGH) im Fall der Einbindung des Facebook -Like-Buttons vor (C-40/17, Fashion ID). Das OLG Düsseldorf hat dem EuGH mit Beschluss vom 19.1.2017 (I-20 U 40/16) zur Haftung und Verantwortlichkeit übermittelt. Dies zeigt, dass die Frage der Verantwortlichkeit des Webseitenbetreibers in diesen Fällen zumindest derzeit nicht so klar zu beantworten ist, wie dies in den Hinweisen dargestellt wird. Man wird freilich davon ausgehen dürfen, dass die deutschen Aufsichtsbehörden in dieser Frage einer Meinung sein werden.

Was die Anforderungen an den Einsatz der Funktion „Facebook Custom Audience über das Pixel-Verfahren“ betrifft, so geht das BayLDA in seinen Hinweisen nur auf den „Erweiterten Abgleich“ ein. Die, wenn man so will, aus Datenschutzsicht „schlimmere“ Variante. Hierdurch ist es, über das Facebook-Pixel möglich, Kundendaten wie z. B. Vorname, Nachname, E-Mail-Adresse, usw. an Facebook zu übermitteln und mit bestehenden Tracking-Daten anzureichern. Nach Auffassung des BayLDA dürfen Webseiten-Betreiber die erweiterte Funktion nur einsetzen,

wenn sie vorab eine informierte Einwilligungserklärung aller Webseiten-Besucher einholen. Ohne wirksame Einwilligung ist die erweiterte Funktion des Facebook-Pixels datenschutzrechtlich unzulässig.

Zusätzlich müssen Hinweispflichten erfüllt werden. Der Nutzer muss also wissen, welche Daten erhoben werden, für welche Zwecke usw. Außerdem muss der Webseiten-Betreiber ein geeignetes Opt-Out-Verfahren implementieren. Und Achtung, auch an dieses stellt das BayLDA gewisse Anforderungen. So sei ein Verweis auf Webseiten von Drittanbietern (wie z. B. youronlinechoices.eu) für ein Opt-Out nicht ausreichend. Auch ein Verweis auf die URL www.facebook.com/settings stelle kein geeignetes Opt-Out-Verfahren.

Keine Anforderungen stellt das BayLDA in seinen Hinweisen jedoch an die einfache Variante des Pixel-Verfahrens auf. Wenn also nicht noch zusätzliche Daten übermittelt werden. Das bedeutet sicherlich nicht, dass der Einsatz völlig voraussetzungslos möglich ist. Jedoch kann man meines Erachtens aus dem Schwiegen des BayLDA in seinen Hinweisen schließen, dass der Einsatz des einfachen Pixel-Verfahrens ohne Einwilligung der Webseiten-Besucher zulässig ist. Jedoch muss der Webseiten-Betreiber die Nutzer über die Funktionsweise des Pixels einwandfrei in der Datenschutzerklärung informieren und eine Opt-Out-Lösung anbieten. Wie gesagt, dass BayLDA äußert sich zu den Anforderungen an das einfache Verfahren jedoch nicht ausdrücklich.

Das BayLDA informiert in seiner Pressemitteilung nicht allein zum Ausgang der Prüfung, sondern gibt Unternehmen erfreulicherweise auch direkt Handlungsempfehlungen mit auf den Weg. Für die Antwort auf Frage der Verantwortlichkeit des Webseiten-Betreibers dürfte die Entscheidung des EuGH in dem dort anhängigen Verfahren aus Deutschland von besonderer Relevanz sein.

EuGH-Urteil zur Datenverarbeitung auf der Grundlage berechtigter Interessen

Am 4. Mai 2017 hat der EuGH sein Urteil in der Rechtssache C-13/16 (Rigas) gefällt. Das Urteil selbst würde ich nicht als „datenschutzrechtlichen Knaller“ bezeichnen. Weitaus unterhaltsamer und bestimmt auch streitbarer sind die Schlussanträge des Generalanwalts aus Februar 2017, auf die ich schon einmal auf Twitter hingewiesen hatte.

In seinen Schlussanträgen nimmt sich Generalanwalt Bobek die Zeit für ein „Nachwort zum Datenschutz“ (ab Rz. 91), das er damit einleitet, dass es sich vorliegend „um einen etwas sonderbaren Fall“ handelt. Und:

Der Fall erzeugt nicht nur beim uninformierten Betrachter ein gewisses gedankliches Unwohlsein mit Blick auf die angemessene Anwendung und das vernünftige Wirken von Datenschutzvorschriften.

Zudem geht der Generalanwalt auch detaillierter auf den hier interessierenden Erlaubnistatbestand der Interessenabwägung (Art. 7 lit. f) EU-Datenschutzrichtlinie) ein (ab Rz. 60). Nun aber zurück zum Urteil des EuGH.

Das Gericht befasst sich mit der Frage, wie Art. 7 lit. f) EU-Datenschutzrichtlinie auszulegen und anzuwenden ist. Danach ist die Verarbeitung personenbezogener Daten zulässig, wenn die Verarbeitung erforderlich ist zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Art. 1 Abs. 1 EU-Datenschutzrichtlinie geschützt sind, überwiegen.

Zunächst stellt der EuGH fest, dass nach Art. 7 lit. f) EU-Datenschutzrichtlinie eine Verarbeitung personenbezogener Daten unter drei kumulativen Voraussetzungen zulässig ist:

  • berechtigtes Interesse, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden (1),
  • Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses (2) und
  • kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person (3).

Im Hinblick auf die erste Voraussetzung stellt der EuGH fest, dass „kein Zweifel daran besteht“, dass das Interesse eines Dritten, eine persönliche Information über eine Person zu erlangen, die sein Eigentum verletzt hat, um gegen sie eine Schadensersatzklage zu erheben, berechtigt ist.

Mit Blick auf die zweite Voraussetzung, die Erforderlichkeit, geht der EuGH als Grundsatz davon aus, dass sich jegliche Ausnahmen und auch Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten stets auf das absolut Notwendige beschränken müssen. In der Praxis muss sich eine datenverarbeitende Stelle also die Frage stellen, ob es (für das Grundrecht auf Schutz personenbezogener Daten) weniger einschneidende aber ebenso effektive Möglichkeiten gibt, um das Ziel zu erreichen bzw. einen bestimmten Zweck zu erfüllen.

Bei der letzten Voraussetzung (der Interessenabwägung) ist von Bedeutung, dass sich schematische oder standardisierte Vorgaben praktisch verbieten. Der EuGH stellt vielmehr zu recht fest, dass die Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen grundsätzlich von den konkreten Umständen des betreffenden Einzelfalls abhängt. Ein möglicher Faktor ist etwa die Beeinträchtigung der Grundrechte der Betroffenen in unterschiedlicher Intensität, je nachdem, ob die in Rede stehenden Daten z. B. öffentlich zugänglich sind oder nicht.

Die Auslegung des EuGH ist, wie bereits erwähnt, nicht absolut überraschend. Die Ausführungen des EuGH zu Art. 7 lit. f) EU-Datenschutzrichtlinie lassen sich auch auf die zukünftige Auslegung und Anwendung des Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung übertragen.

EU-Kommission: EU-US Datenschutzschild erfüllt Anforderungen der Datenschutz-Grundverordnung

Von der Abgeordneten im Europaparlament, Maria Grapini, wurde die Europäische Kommission gefragt, welche Maßnahmen die Kommission zur Anpassung des seit Juli 2016 existierenden EU-US Datenschutzschildes an die EU Datenschutz-Grundverordnung (DSGVO) plant. Das Datenschutzschild stellt, wie früher Safe Harbor, eine Angemessenheitsentscheidung der Kommission zum Schutzniveau für personenbezogene Daten, die an Unternehmen in den USA übertragen werden, dar. In ihrer Antwort (txt) äußert sich die Justiz-Kommissarin Jourová recht optimistisch.

Zunächst geht die Kommission auf die an einen Angemessenheitsbeschluss zum Datenschutzniveau in einem Drittstaat zu stellende Anforderungen ein. Hierzu verweist die Kommission auf das EuGH-Urteil zu Safe Harbor (Rechtssache C?362/14). Nach Art. 25 Abs. 6 der EU-Datenschutzrichtlinie kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau gewährleistet. Nach dem EuGH impliziert das Wort „angemessen“ in Art. 25 Abs. 6,

dass nicht verlangt werden kann, dass ein Drittland ein dem in der Unionsrechtsordnung garantiertes identisches Schutzniveau gewährleistet.

Das Drittland muss aber aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleisten, das dem in der Union garantierten Niveau der Sache nach gleichwertig ist.

In Ihrer Antwort stellt die Kommission hierzu fest, dass dies bedeutet, dass ein Drittland keine „fotokopierten“ Datenschutzregelungen der EU vorhalten muss. Insbesondere müsse nicht jede einzelne Norm des europäischen Datenschutzrechts in dem Datenschutzrecht des Drittstaates vorhanden sein.

Interessant sind die Ausführungen der Kommission zu der Frage nach der Fortgeltung derzeit existierender Angemessenheitsbeschlüsse, die sich an den weniger umfassenden Anforderungen der EU-Datenschutzrichtlinie orientieren, nach der Anwendbarkeit der DSGVO ab dem 25. Mai 2018.

Nach Ansicht der Kommission fußt die DSGVO auf den Grundprinzipien und Regelungen der existierenden EU-Datenschutzrichtlinie. Der EU-US Datenschutzschild beinhalte bereits diese Kernelemente. Die Kommission geht also davon aus, dass der EU-US Datenschutzschild die Datenschutzgrundsätze, Rechte und Pflichten der DSGVO ausreichend beachtet, um auch ab Mai 2018 die Anforderungen an einen Angemessenheitsbeschluss unter der DSGVO zu erfüllen.

Dennoch weist die Kommission darauf hin, dass sie im EU-US Datenschutzschild ausdrücklich darauf hingewiesen hat (dort Erwägungsgrund 146), dass sie prüfen wird, ob im Zuge der Anwendung der DSGVO ein Bedarf für Anpassungen besteht. Diese Prüfung ist Bestandteil der vorgeschriebenen jährlichen Überprüfung des EU-US Datenschutzschilds, die für das zweite Halbjahr 2017 geplant ist.

Datenschutz nach dem Brexit: Vereinigtes Königreich strebt Angemessenheitsbeschluss der EU-Kommission an

Die britische Regierung hat ein Weißbuch für den Plan zum Austritt aus der Europäischen Union veröffentlicht (pdf, Stand: Februar 2017). In dem Weißbuch wird auch knapp das Thema „Datenschutz“ gestreift (S. 45).

In dem Weißbuch erkennt die britische Regierung den besonderen Stellenwert eines Datentransfers für viele Wirtschaftssektoren an. Solange das Vereinigte Königreich noch Teil der Europäischen Union ist, existieren auch keine anderen datenschutzrechtlichen Anforderungen für Unternehmen, wenn diese etwa personenbezogene Daten mit einem Dienstleister in England austauschen möchten, als wenn sie einen Dienstleister im eigenen EU-Mitgliedstaat wählen würden.

Jedoch wird sich datenschutzrechtlich der Status des Vereinigten Königreichs nach dem Brexit ändern: in ein sog. Drittland. An Datentransfers in diese Länder bestehen bekanntlich höhere datenschutzrechtliche Anforderungen. Grundsätzlich dürfen derzeit und auch unter der Datenschutz-Grundverordnung, keine personenbezogene Daten aus der EU in Drittländer übermittelt werden, die nicht über ein angemessenes Schutzniveau für personenbezogene Daten verfügen oder ein anderes besonderes Instrument, wie etwa die EU-Standardvertragsklauseln oder gesetzliche Ausnahmen, nutzen.

Die Angemessenheit des Datenschutzniveaus in einem Drittland wird durch die Europäische Kommission geprüft und bestätigt. Ein Beispiel hierfür ist etwa der Beschluss zum EU-US Datenschutzschild.

Laut dem Weißbuch möchte auch die britische Regierung in Zukunft wohl in den Genuss eines Angemessenheitsbeschlusses der Kommission kommen. Zumindest wird darauf hingewiesen, dass der Kommission diese Befugnis zusteht und die britische Regierung alles dafür tun werde, um die Beständigkeit von Datentransfers zwischen EU-Mitgliedstaaten und dem Vereinigten Königreich zu sichern.

Ob jedoch ein solcher Angemessenheitsbeschluss der Kommission so einfach erlassen wird, darüber kann man zumindest diskutieren. Dies mag verwundern, da das Vereinigte Königreich ja derzeit als Mitgliedstaat der EU qua Gesetz (der Richtlinie 95/46/EG) ein angemessenes Niveau bietet und man hinterfragen könnte, was sich denn groß ändert, wenn doch das nationale Datenschutzrecht wie bisher auch nach dem Brexit erhalten bleibt. Der Grund für eine kritische Diskussion über den Erfolg eines Angemessenheitsbeschlusses findet man jedoch in dem Konstrukt der Kompetenzen der EU. Das europäische Datenschutzrecht und allgemein die EU hat keine Wirkung bzw. keine Befugnis auf dem Gebiet der nationalen Sicherheit, insbesondere der Tätigkeit der Geheimdienste. Selbst wenn man also derzeit die Tätigkeit des britischen GCHQ kritisiert, ändert dies nichts daran, dass im Vereinigten Königreich per se ein angemessenes Datenschutzniveau existiert. Soll die Kommission jedoch das Schutzniveau im Vereinigten Königreich nach dem Brexit prüfen, so sind von dieser Prüfung auch die Tätigkeiten der Sicherheitsbehörden, deren Datenverarbeitungsmaßnahmen und entsprechende Schutzmaßnahmen für EU-Bürger umfasst (vgl. etwa das Urteil des EuGH zu Safe Harbor, C?362/14, Rz. 88). Das Vereinigte Königreich ist in diesem Moment ein Drittland und die Kommission darf (und muss) dann im Rahmen ihrer Kompetenz das Schutzniveau für personenbezogene Daten in Gänze prüfen.

Man darf also auf die Prüfung durch die Kommission gespannt sein.