Bundesarbeitsgericht fragt den EuGH: wie ist das Verhältnis von Art. 9 Abs. 2 DSGVO zu Art. 6 Abs. 1 DSGVO und welche Faktoren spielen beim Schadensersatz nach Art. 82 DSGVO eine Rolle?

Das Bundesarbeitsgericht (BAG) legt dem EuGH mit Beschluss vom 26.08.2021, 8 AZR 253/20 (A) einige praxisrelevante Fragen vor, die nicht nur speziell den Bereich des Beschäftigtendatenschutzes betreffen.

Eine Frage des BAG ist etwa, ob die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten davon abhängt, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist?

Hierbei geht es um die durchaus umstrittene Frage, ob neben der Erfüllung einer Ausnahme nach Art. 9 Abs. 2 DSGVO zusätzlich ein Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO erfüllt sein muss. Rein praktisch würde dies oft zusätzlichen Prüfungs- bzw. Rechtfertigungsaufwand bedeuten.

Zwei weitere Fragen des BAG betreffen den Schadensersatzanspruch nach Art. 82 DSGVO.

Zum einen fragt das BAG, ob Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter hat und ob dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden muss? Die Antwort des EuGH auf diese Frage dürfte ebenfalls insgesamt für Schadensersatzansprüche in Zukunft relevant sein, da sie generell den Charakter dieses Anspruchs und seine Zielrichtung betrifft.

Zum anderen fragt das BAG, ob es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters ankommt? Insbesondere möchte das BAG wissen, ob ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden darf?

Internes EDSA Dokument: Territoriale Anwendung der ePrivacy-Richtlinie und Zuständigkeit der Aufsichtsbehörden

Im Rahmen der 50. Sitzung des Europäischen Datenschutzausschusses (EDSA) vom 18.6.2021 hat das Gremium ein internes Dokument mit dem Titel „Dokument 04/2021 über Kriterien der territorialen Zuständigkeit der Aufsichtsbehörden für die Durchsetzung von Artikel 5 Absatz 3 der Datenschutzrichtlinie für die elektronische Kommunikation“ (PDF) angenommen. Im Rahmen eines Antrags auf Zugang zu öffentlichen Dokumenten nach den Vorgaben des EU-Rechts, habe ich das Dokument nun erhalten.

Nach Angaben des federführenden Berichterstatters ziele das Dokument darauf ab, gemeinsame Kriterien für die territoriale Zuständigkeit der Aufsichtsbehörden gemäß Art. 5 (3) der Richtlinie 2002/58/EG (ePrivacy-RL) festzulegen, insbesondere in Situationen, in denen ein für die Verarbeitung Verantwortlicher bzw. Diensteanbieter Niederlassungen in mehreren Mitgliedstaaten hat.

Hintergrund

Hintergrund des Dokuments sind verschiedene Entscheidungen von Aufsichtsbehörden in Mitgliedstaaten zur Durchsetzung der Vorgaben des Art. 5 Abs. 3 ePrivacy-RL, also der Regelung zur Einwilligung (und den Ausnahmen) beim Einsatz von Cookies und anderen Trackingtechnologien. In dem ab 1.12.2021 geltenden § 25 TTDSG wird diese Vorgabe nun auch in deutsches Recht umgesetzt. Das EDSA-Dokument dürfte daher auch für Unternehmen von praktischer Relevanz sein, etwa im Fall ein Prüfverfahrens zum Einsatz von Cookies auf Webseiten oder in Apps, wenn ein Unternehmen mehrere Niederlassungen in der EU hat.

Inhalt

Grundsätzlich stellt der EDSA fest, dass es nach den Bestimmungen der ePrivacy-RL jedem Mitgliedstaat obliegt, die erforderlichen Maßnahmen zu ergreifen, um sicherzustellen, dass die Ziele der Richtlinie erreicht werden. Jedoch enthält die ePrivacy-RL keine Angaben zu ihrem räumlichen Geltungsbereich.

Der EDSA trennt in dem Dokument zwei Situationen.

Zum einen den Fall, dass ein Unternehmen Niederlassungen in mehreren Mitgliedstaaten hat. Nach Ansicht der Datenschutzbehörden gibt die Rechtsprechung des EuGH zur territorialen Anwendung der aufgehobenen Richtlinie 95/46/EG einen Hinweis darauf, wie die territoriale Anwendung geregelt werden sollte. Der EDSA verweist hier auf die „Fanpage“-Entscheidung des EuGH, C-210/16 vom 5.6.2018. Bemerkenswert an dieser Einordnung ist freilich, dass die ePrivacy-RL diesen Verweis auf Vorgaben zum Anwendungsbereich und Zuständigkeit von Behörden nach der Richtlinie 95/46/EG gerade nicht vorsieht. Zwar stellen nach Art. 1 Abs. 2 ePrivacy-RL deren Bestimmungen eine „Detaillierung und Ergänzung der Richtlinie 95/46/EG“ dar. Gerade für den praktisch extrem relevanten Bereich des Art. 5 Abs. 3 ePrivacy-RL, passt dieser Verweis aber nicht, da es dort gerade nicht (!) um personenbezogene Daten geht.

Anknüpfungspunkt für den EDSA ist (durchaus verständlich, mit Blick auf den alten Art. 4 Richtlinie 95/46/EG) also das Vorhandensein einer Niederlassung in einem Mitgliedstaat. Daraus folgert der EDSA, dass jeder Mitgliedstaat berechtigt ist, sein nationales Recht zur Umsetzung der ePrivacy-RL durchzusetzen, „soweit es Nutzer betrifft, die sich in ihrem Hoheitsgebiet befinden“. Dies bedeutet nach Auffassung der Behörden auch, dass keine Gesetzgebung zur Umsetzung der ePrivacy-RL die Aufsichtsbehörde eines anderen Mitgliedstaats daran hindern kann die Richtlinie im Einklang mit ihren innerstaatlichen Bestimmungen in Bezug auf Nutzer in ihrem Hoheitsgebiet durchzusetzen.

Der EDSA orientiert sich also tatsächlich stark an dem vorbenannten Urteil des EuGH.

Zum anderen den Fall, dass keine Niederlassung in der EU vorhanden ist. In diesem Fall, so der EDSA, kann das nationale Recht eines Mitgliedstaats andere Kriterien als die Niederlassung vorsehen, um sein nationales Recht in Bezug auf diesen für die Verarbeitung Verantwortlichen bzw. Diensteanbieter durchsetzen.

Zusammengefasst, folgt daraus aus Sicht der europäischen Datenschutzbehörden.

Wenn die Verarbeitung ausschließlich durch die nationalen Rechtsvorschriften zur Umsetzung von Art. 5 Abs. 3 ePrivacy-RL geregelt ist, ist die für die Durchsetzung zuständige Behörde berechtigt, ihre Befugnisse auszuüben, wenn:

  • der für die Verarbeitung Verantwortliche/Dienstleister ist in ihrem Hoheitsgebiet niedergelassen;
  • die Verarbeitung erfolgt im Rahmen der Tätigkeiten einer Niederlassung in ihrem Hoheitsgebiet, auch wenn die ausschließliche Verantwortung für Erhebung und Verarbeitung für das gesamte Gebiet der Europäischen Union bei einer Niederlassung in einem anderen Mitgliedstaat liegt;
  • bei Fehlen eines für die Verarbeitung Verantwortlichen/Diensteanbieters oder einer Niederlassung in ihrem Hoheitsgebiet, das nationale Recht ein weiteres Kriterium für seine Durchsetzung enthalten kann.

Aus meiner Sicht dürfte für die Praxis vor allem die Interpretation in dem zweiten Bulletpoint relevant sein, wenn also mehrere Niederlassungen in mehreren Mitgliedstaaten vorhanden sind. Dann kommt es nach dem EDSA, auch im Anwendungsberiech des Art. 5 Abs. 3 ePrivacy-RL, auf die Frage an, ob der Zugriff auf Informationen oder das Speichern von Informationen in Endgeräten „im Rahmen der Tätigkeiten“ einer Niederlassung in dem jeweiligen Mitgliedstaat erfolgen. Ob diese analoge Anwendung der Vorgaben der Richtlinie 95/46/EG bzw. der Rechtsprechung des EuGH hierzu zwingend ist, erscheint mir jedoch (wie beschrieben) mindestens diskutabel. Zudem muss beachtet werden, dass zur Durchsetzung der e-Privacy-RL nicht zwingend die Datenschutzbehörden berufen sind. Die ePrivacy-RL eröffnet dem nationalen Gesetzgeber entsprechenden Spielraum bei der Umsetzung, was im Ergebnis bedeuten würde, die Rechtsprechung des EuGH zur Zuständigkeit von Datenschutzbehörden auf die Zuständigkeit anderer Behörden zu übertragen. Ich bin sehr gespannt, wie dieses Papier in Zukunft in Behördenentscheidungen Eingang findet.

Generalanwalt am EuGH: Inbox-Werbung bei Freemail-Diensten ist wie E-Mail-Werbung zu behandeln – Einwilligung erforderlich

Am 24. Juni 2021 hat der Generalanwalt (GA) am EuGH in der Rs. C-102/20 seine Schlussanträge vorgestellt. Sollte der EuGH der Begründung des GA folgen, würde dies eine Einwilligungspflicht auf für Inbox-Werbung bedeuten.

Hintergrund

Der BGH legte dem EuGH mit Beschluss vom 30.1.2020 (Az. I ZR 25/19) einige interessante Fragen zur Anwendung der strengen Anforderungen an E-Mail-Werbung auf sog. Inbox-Werbung vor. Fraglich war für den BGH, ob bei dieser Art von Werbeeinblendungen die Voraussetzungen für E-Mail-Werbung ebenso zu beachten sind. Dies würde im Grundsatz eine Einwilligungspflicht nach § 7 Abs. 2 Nr. 3 UWG nach sich ziehen. Auslegungsgrundlage waren in den Vorlagefragen die relevanten europarechtlichen Vorschriften zur Einwilligungspflicht, also Art. 2 Abs. 2 lit. h RL 2002/58/EG (Begriff der „elektronischen Post“) und Art. 13 Abs. 1 RL 2002/58/EG.

In dem zugrundliegenden Verfahren wurde eine Werbeagentur damit beauftragt, Werbeeinblendungen in E‑Mail-Postfächern von Nutzern des kostenlosen E‑Mail-Dienstes T‑Online umzusetzen. Die Werbenachrichten erschienen im privaten Postfach eines Nutzers von T‑Online. In seiner Inbox, d. h. in dem Bereich, in dem die eingegangenen E‑Mails listenförmig angezeigt werden. Die Werbenachrichten waren in eingegangene E‑Mails eingebettet. Im Unterschied zu normalen E‑Mails war die Werbenachricht mit dem Wort „Anzeige“ versehen, grau unterlegt und enthielt weder ein Datum noch einen Absender, konnte nicht archiviert oder weitergeleitet werden und konnte auch nicht mit den vom E‑Mail-Dienstleister zur Verfügung gestellten Möglichkeiten zur Bearbeitung von E‑Mails beantwortet werden. Die Einblendung der Werbenachrichte erfolgte nach dem Zufallsprinzip.

Begründung des GA

Nach Auffassung des GA erfüllt die hier streitgegenständliche Anzeige in den eingegangen Mails das Merkmal der „elektronischen Post“.

Dies ist nach Art. 2 Abs. 2 lit. h RL 2002/58/EG „jede … Text‑, Sprach‑, Ton- oder Bildnachricht“. Nach dem GA ist dieses Merkmal hier durch eine Werbenachricht wie die im Ausgangsverfahren in Rede stehende sicherlich erfüllt (Rz 42).

Zudem muss die Nachricht „über ein öffentliches Kommunikationsnetz [verschickt]“ werden. Zweitens muss diese Nachricht „im Netz oder im Endgerät des Empfängers gespeichert werden“ können. Drittens muss diese Nachricht von ihrem Empfänger abgerufen werden können.

Der GA befürwortet eine Argumentation im Sinne einer funktionalen Auslegung des Begriffs „elektronische Post“, die zu der Annahme führen könnte, dass eine Werbenachricht wie die im Ausgangsverfahren in Rede stehende die Voraussetzungen erfüllt. Auf jeden Fall, so der GA, dürfe dieser Begriff nicht isoliert, sondern müsse unter Berücksichtigung der Bestimmung, in der er verwendet wird, d. h. im vorliegenden Fall des Art. 13 Abs. 1 RL 2002/58/EG, ausgelegt werden.

Daher befasst sich der GA nachfolgend mit den Vorgaben des Art. 13 Abs. 1. Eine Einwilligung bedürfen Nachrichten für die Zwecke der Direktwerbung, d. h. Nachrichten zu kommerziellen Zwecken, die sich direkt und individuell an die Nutzer elektronischer Kommunikationsdienste richten. Zum anderen müssen diese Nachrichten den Nutzern durch „[d]ie Verwendung von automatischen Anruf- und Kommunikationssystemen ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräten oder elektronischer Post“ zugehen (Rz. 51). Abzugrenzen sind die Vorgaben des Art. 13 Abs. 1 daher von Werbefenstern oder Bannern, die beim Aufrufen von Internetseiten erscheinen können.

Danach geht der GA zur Auslegung noch auf ErwG 67 der RL 2009/136/EG und ErwG 40 der RL 2002/58/EG ein. Danach ist für den GA deutlich, dass der Unionsgesetzgeber von einem weiten, über E‑Mails allein hinausgehenden Verständnis der elektronischen Kommunikationsmittel, mit denen Direktwerbung durchgeführt wird, ausgehen wollte (Rz. 53).

Danach wird es etwas konkreter und der GA prüft das Vorliegen der Voraussetzungen im konkreten Fall. Entscheidend sei hier, dass die in Rede stehenden Werbenachrichten ihre Adressaten tatsächlich durch die Verwendung elektronischer Post erreichen.

Vorliegend erscheinen die Nachrichten in der Inbox des Kontos eines Nutzers eines E‑Mail-Dienstes, d. h. an einer Stelle, die normalerweise elektronischer Post im engeren Sinne, nämlich privaten E‑Mails, vorbehalten ist.

Der Absender dieser Nachrichten bedient sich somit der elektronischen Post, um den Verbraucher zu erreichen, so dass es sich in Übereinstimmung mit dem 67. Erwägungsgrund der Richtlinie 2009/136, in dessen Licht Art. 13 Abs. 1 der Richtlinie 2002/58 auszulegen ist, tatsächlich um Nachrichten für die Zwecke der Direktwerbung „per elektronischer Post“ handelt.“ (Rz. 54)

Die Einblendung von Nachrichten wie hier, in die Liste privater E‑Mails ist daher nach Ansicht des GA als Verwendung „elektronischer Post“ für die Zwecke der Direktwerbung einzustufen.

Und das bedeutet: es gilt das Einwilligungserfordernis des Art. 13 Abs. 1 RL 2002/58/EG.

Dass die Werbeeinblendungen hier deutlich anders gestaltet sind als normale E-Mails, macht für den GA keinen Unterschied. So argumentiert der GA, dass die streitige Werbung auf derselben Ebene wie private E‑Mails erscheint. Daher komme ihr dieselbe Aufmerksamkeit zu wie die, die der Nutzer diesen privaten E‑Mails widmet. Zudem, so der GA, bestehe die Gefahr einer Verwechslung durch die Nutzer, da die Werbenachrichten Zeilen in der Inbox einnehmen, die normalerweise privaten E‑Mails vorbehalten sind und Ähnlichkeit mit privaten E‑Mails aufweisen (Rz. 55).

Auch der Umstand, dass die Werbenachricht im Gegensatz zu privaten E‑Mails grau unterlegt ist, keinen Speicherplatz einnimmt und nicht die üblichen Funktionalitäten von E‑Mails bietet, ändert für den GA nichts an seiner Einschätzung. Nach seiner Ansicht kann sich aus solchen Werbenachrichten trotzdem eine Beeinträchtigung der Privatsphäre von Nutzern eines E‑Mail-Dienstes ergeben, die Art. 13 Abs. 1 RL 2002/58/EG verhindern möchte (Rz. 56).

Der GA folgert daraus insgesamt:

Daraus folgt, dass eine Werbenachricht wie die im Ausgangsverfahren in Rede stehende meines Erachtens in den Anwendungsbereich von Art. 13 Abs. 1 der Richtlinie 2002/58 fällt. Folglich ist eine solche Maßnahme der Direktwerbung unzulässig, wenn der Empfänger ihr nicht zuvor zugestimmt hat.“ (Rz. 63)

Ausblick

Wenn auch der EuGH der Begründung des GA folgt, müsste Inbox-Werbung in Zukunft nur mit vorheriger Einwilligung angezeigt werden. Eine (enge) Ausnahme mag es noch im Rahmen der Bestandskundenansprache geben (§ 7 Abs. 3 UWG). Die dortigen Voraussetzungen passen auf den hier relevanten Fall aber nicht ganz, denn so verlangt etwa Abs. 3 Nr. 1, dass ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat. Wenn aber Inbox-Werbung nach dem Zufallsprinzip (in Bezug auf de Nutzer) erfolgt, hat der Unternehmer im Zweifel gar nicht die E-Mail-Adresse des Kunden bzw. weiß er nicht, ob der Nutzer auch Kunde ist. Spannend wäre dann die Frage, ob auch die Ausnahmen nach § 7 Abs. 3 UWG (Art. 13 Abs. 2 RL 2002/58/EG) entsprechend technologieneutral ausgelegt werden dürfen.

Scope of the new SCC – discussions about recital 7

Is it possible to transfer data to third countries without concluding SCC as long as the GDPR applies to processing by the recipient? A closer look at recital 7 of the new SCC decision by Philipp Quiel & me.

Sentence 2 and 3 of recital 7 of the European Commissions’ newly released SCC (Decision (EU) 2021/914) for the GDPR have raised one heavily debated and not so easy to answer question stipulating from the scope of applicability of the SCC referred to in recital 7. This question is the following: is it possible to transfer data to third countries without concluding SCC as long as the GDPR applies?

You can download the full article here (PDF).

Länderübergreifende Kontrolle der deutschen Aufsichtsbehörden zur Umsetzung der SchremsII-Entscheidung

Wie heute bekannt wurde (Pressemitteilung der Berliner Behörde, PDF), führen die deutschen Aufsichtsbehörden gemeinsam abgestimmte Kontrollen zur Einhaltung datenschutzrechtlicher Vorgaben zu internationalen Datenübermittlungen mithilfe von fünf verschiedenen Fragebögen in fünf Themenkomplexen durch. Jede Behörde entscheidet individuell, in welchen dieser Themenfelder sie durch Versenden der Fragebögen tätig wird und an welche Unternehmen sie herantritt. Daher kann es sein, dass manche Behörden nur einen oder wenige Fragebögen wirklich nutzen und andere wiederrum alle Fragebögen versenden. Die wie im Folgenden aufgeführt bezeichneten Fragebögen sind unter folgenden Links abrufbar:

Innerhalb dieses Blogbeitrags möchte ich auf einige Themen näher eingehen, die bei einer ersten groben Durchsicht der Fragebögen aufgefallen sind.

Selbstbezichtigungsfreiheit vs. Pflicht zur Zusammenarbeit mit den Aufsichtsbehörden

Anders als bei manch anderen Fragebögen, die in der Vergangenheit versendet wurden (siehe bspw. zum Fragebogen der Thüringer Behörde zu Webseiten hier), enthalten die öffentlich verfügbaren Versionen keinen Hinweis darauf, ob die Beantwortung der Fragen freiwillig oder verpflichtend ist. Wahrscheinlich wird dies in den Begleitschrieben der Behörden näher erläutert.

Eine sehr allgemein gehaltene Pflicht von Unternehmen zur Zusammenarbeit mit den Aufsichtsbehörden ist in Art. 31 DSGVO geregelt. Wie weit diese Pflicht reicht, ist derzeit noch vollkommen unklar. Sie wird nicht so ausgelegt werden können, dass Unternehmen sich selbst bezichtigen müssen. Dagegen sind Unternehmen nach dem nemo tenetur Grundsatz aus Art. 47 der Charta der Grundrechte der Europäischen Union geschützt. Hierbei ist jedoch zu beachten, dass der EuGH in mehreren Fällen geurteilt hat, dass die Beantwortung von Tatsachenfragen dem nemo tenetur Prinzip nicht entgegensteht (siehe bspw. EuGH, Rs. T-112/98, Rn. 78 zur Beantwortung von Tatsachenfragen ggü. der Kommission) und Unternehmen auch dann zur Beantwortung solcher Fragen verpflichtet sind, wenn die Antworten für sie selbstbelastend wirken. Dies wird man auch auf die Fragen der deutschen Behörden übertragen müssen, soweit sie sich ausschließlich auf Tatsachen beziehen.

Anderes gilt ggf. für Fragen, bei denen die Behörden nicht nach Tatsachen fragen. So z.B. in Frage 9 des Fragebogens zum E-Mail-Versand / Frage 12 zum Hosting / Frage 11 zum Webtracking / Frage 9 zu Bewerberportalen, in welcher um eine Beschreibung der Gründe für die Rechtmäßigkeit der Verwendung von Standardvertragsklauseln und nach Nachweisen gefragt wird. Innerhalb des Fragebogens zum konzerninternen Datenverkehr wird für den Fall, dass Unternehmen zum Schluss gelangt sind, dass der Empfänger im Drittland die Pflichten aus Standardvertragsklauseln erfüllen kann, nach Gründen für die Schlussfolgerung und Nachweisen gefragt (Frage 8).

Fragen zum Verzeichnis von Verarbeitungstätigkeiten

Die Fragen der verschiedenen Bögen überschneiden sich zum Teil. So wird in jedem Fall nach den Rollen von Dienstleistern (Auftragsverarbeiter oder gemeinsam Verantwortlicher) und nach einem Auszug aus dem Verzeichnis von Verarbeitungstätigkeiten gefragt. Zu Letzterem sind Unternehmen nach Art. 30 Abs. 4 DSGVO verpflichtet. Hierbei sollten Unternehmen beachten, dass von der Frage nach dem Verzeichnis nicht nur die Zusammenarbeit mit Dienstleistern betroffen ist, sondern bspw. nach den „die den Einsatz des Internetangebots betreffenden Teilen“ oder nach „den Betrieb der WWW-Seiten betreffenden Teilen“ gefragt wird. Nach meinem Verständnis meint dies in den beiden zitierten Fällen alle Einträge im Verzeichnis, die eine auf der Website erfolgende Datenverarbeitung betreffen. Man könnte mutmaßen, dass die Behörden sich durch diese weiteren Informationen aus dem Verzeichnis eine noch weiterreichende Prüfung von Websites ermöglichen wollen. Unternehmen sollten ihr Verzeichnis definitiv noch einmal prüfen, bevor sie es als Bestandteil einer Antwort an die Behörde herausgeben.

Frage nach einer möglichen Kenntnisnahme von Daten im Drittland

Innerhalb aller Fragebögen möchten die Behörden von Unternehmen eine Antwort auf die folgende Frage erhalten:

Sofern die (mögliche) Kenntnisnahme der personenbezogenen Daten in den USA erfolgt, unterfallen Sie oder ein Empfänger der Section 702 des Foreign Intelligence Surveillance Act (FISA) der USA, der US-Behörden Zugang zu den Daten bei Anbietern elektronischer Kommunikationsdienste ermöglicht?

Im Fragebogen zum konzerninternen Datenverkehr heißt es außerdem wie folgt:

Bitte beachten Sie, dass es sich auch schon dann um eine Übermittlung im Sinne des Kapitel V DSGVO handelt, wenn Daten, die z.B. in Deutschland gespeichert sind, von einer in einem Drittland befindlichen Person per Fernzugriff aufgerufen werden können.

Hierbei fällt auf, dass die Aufsichtsbehörden wiederholt auf eine „mögliche“ Kenntnisnahme und auf einen möglichen Fernzugriff für eine „Übermittlung“ abstellen. In der DSGVO gibt es jedoch keinerlei Anhaltspunkte dafür, dass bereits eine rein mögliche, aber nicht tatsächlich erfolgende Kenntnisnahme oder ein solch theoretisch möglicher Fernzugriff eine Datenübermittlung ist. Folglich ist es fragwürdig, was die Behörden aus der Antwort auf Ihre Frage machen möchten. Es ist zumindest denkbar, dass Unternehmen auf die Frage mit „ja“ antworten, für sie aber mangels einer tatsächlich erfolgten Übermittlung die Vorgaben der DSGVO zu Datenübermittlungen jedoch überhaupt nicht gelten und daher für den Dienstleister die Pflichten aus den SCC in Bezug auf die rein theoretische Übermittlung nicht gelten.

Frage zur Änderung der Rechtslage

Grundsätzlich gibt es bei den Fragebögen vielfach Überschneidungen. Innerhalb des Fragebogens zu Bewerberportalen und jenem zum konzerninternen Datenverkehr ist interessanterweise eine Frage zu Datenübermittlungen enthalten, die nicht in den anderen Bögen aufgeführt ist und wie folgt lautet:

Da sich die Rechtslage im Drittland ändern kann: Wie stellen Sie eine schnelle Reaktion und datenschutzkonforme Anpassung an neue Gegebenheiten sicher? Beschreiben Sie insbesondere den Melde- und den Reaktionsprozess zwischen Ihrem Unternehmen und dem Empfänger im Drittland.“

Die Frage wird für Unternehmen (zumindest auf dem Papier) einfach zu beantworten sein. Innerhalb der SCC gibt es eine Pflicht des im Drittland ansässigen Datenverarbeitenden, das in der EU ansässige Unternehmen über Änderungen in der Rechtslage zu informieren. Daher könnte es ausreichend sein, dass in einem in der Frage beschriebenen Fall die Kommunikation per E-Mail erfolgt und die Parteien in so einem Fall zusammenkommen und die Notwendigkeit prüfen, zusätzliche Maßnahmen für Datenübermittlungen zu vereinbaren oder eine zuständige Aufsichtsbehörde zu kontaktieren.

Frage nach geplanten Maßnahmen und deren Umsetzungsplan

Innerhalb der Fragebögen wird für den Fall, dass die Umstellung auf andere Systeme geplant ist, um Auskunft dazu gebeten, auf welche Lösungen Umstellungen geplant sind, und um Mitteilung zum Stand der Umsetzung nebst Zeitplan für den Abschluss gebeten. Unternehmen sollten aus meiner Sicht bei der Beantwortung dieser Frage vorsichtig sein. Einerseits spricht die Frage an sich dafür, dass sich die Behörden auch derzeit noch mit einem Umsetzungsplan zufrieden geben könnten und nicht die abrupte Umstellung auf solche Anbieter fordern, die Daten ausschließlich in der EU oder dem EWR verarbeiten. Andererseits ist gut denkbar, dass die Behörden in einem zweiten „Schwung“ in Zukunft Unternehmen dazu befragen werden, wie weit die Umsetzung vorangeschritten ist.

Verwaltungsakt oder kein Verwaltungsakt?

Auch bei dieser Aktion stellt sich aus meiner Sicht wieder einmal die Frage, ob die Fragebögen und etwaige Begleitschreiben der Behörde ein Verwaltungsakt sind oder nicht. Oft versuchen Datenschutzbehörden noch einen Verwaltungsaktcharakter abzulehnen, etwa unter Hinweis auf eine fehlende Rechtsbehelfsbelehrung. Dies spielt aber für die Qualifikation als Verwaltungsakt keine entscheidende Rolle. Meines Erachtens sprechen gute Gründe dafür, dass entsprechende behördliche Anschreiben mit diesen Fragebögen als Verwaltungsakt zu qualifizieren sind. Auch das Verwaltungsgericht Mainz ging etwa in einem Urteil davon aus (Urt. v. 09.05.2019, 1 K 760/18.MZ), dass den Behörden eine entsprechende Verwaltungsaktbefugnis beim Versand eines Fragenkatalogs zusteht. Natürlich muss man dennoch das jeweilige Anschreiben und die dortigen Belehrungen sichten, um dann entscheiden zu können, ob die Merkmale eines Verwaltungsakts vorliegen.

Drittstaatentransfers: Deutsche Behörden planen Begutachtung der Rechtslage in den USA und Stichprobenprüfung bei Unternehmen

Kürzlich wurde das Protokoll der 100. Sitzung der DSK im Internet veröffentlicht (pdf).

Neben anderen praxisrelevanten Themen haben sich die deutschen Datenschutzbehörden in ihrer Sitzung Ende November 2020 auch mit Umsetzung der Vorgaben des EuGH aus dem Schrems —Urteil befasst (siehe Top 22).

So hat die Behörde aus Berlin vorgeschlagen, „hinsichtlich der Rechtssituation in den USA ein Gutachten zu beauftragen“. Wichtig ist der Behörde ein gemeinsames Vorgehen der Aufsichtsbehörden zur Umsetzung des Urteils. Laut dem Protokoll soll nun der DSK-Vorsitz ein Umlaufverfahren hinsichtlich der Beauftragung eines Gutachtens sowie dessen Finanzierung einzuleiten.

Die Initiative aus Berlin ist meines Erachtens durchaus praxisrelevant. Zum Teil wird ja sowohl dem EuGH als auch den Aufsichtsbehörden vorgehalten, sich nicht genauer mit der Rechtslage in den USA befasst zu haben. Dieses Argument kann auch bei der rechtlichen Beurteilung von Schutzmaßnahmen, die man ergänzend zu EU-Standarddatenschutzklauseln vereinbart, Bedeutung haben. Denn der Exporteur in der EU soll ja nach dem Urteil des EuGH (mit Unterstützung des Importeurs) beurteilen, wie sich die Rechtslage in dem jeweiligen Drittland in Bezug auf den Importeur und durch diesen verarbeitete Daten auswirkt.

Eventuell ist nun von Behördenseite angedacht, diese „Lücke“ zu schließen und, zumindest auf Behördenseite, eine Begutachtung der Rechtslage in den USA stets verfügbar zu haben. Für Unternehmen, die sich z.B. in einem Prüfverfahren mit der Behörde befinden, kann dies etwa auch dazu führen, dass sie sich gegen Aussagen aus dem Gutachten verteidigen bzw. diese entkräften müssen, wenn die Aufsichtsbehörde das Gutachten zur Grundlage ihrer Argumentation macht.

Wie beschrieben, soll aber nun erst einmal innerhalb der DSK abgefragt werden, ob die Behörden ein solches Gutachten in Auftrag geben möchten.  

In diesem Zusammenhang enthält das Protokoll einen weiteren wichtigen Hinweis: die Datenschutzbehörde aus Hamburg ergänzt in der Sitzung, „dass Stichproben mit Hilfe eines abgestimmten Fragebogens hinsichtlich der Umsetzung des Schrems II-Urteil bei Verantwortlichen durchgeführt werden sollen“. Die Aufsichtsbehörden solle einzeln über eine Teilnahme an dieser Abfrage entscheiden.

Nach meiner Kenntnis, liegt ein innerhalb der DSK abgestimmter Fragebogen zur Prüfung von Drittstaatentransfers aktuell noch nicht vor. Dies schließt freilich nicht aus, dass etwa die Behörde aus Hamburg, wie im Protokoll angekündigt, auch selbstständig entsprechende Prüfungen startet. Letzte Anmerkung dazu: die Prüfung soll bei „Verantwortlichen“ durchgeführt werden. Also wohl nicht bei Dienstleistern mit Sitz in der EU, die Daten in Drittländer übermitteln.  

Generalanwalt am EuGH: Rechtsgrundlage für die Erlangung von IP-Adressen zur Rechteverfolgung im Internet

Am 17.12.2020 hat der Generalanwalt am EuGH (GA) Maciej Szpunar in der Rechtssache C‑597/19 seine Schlussanträge vorgelegt.

In dem Verfahren geht es um die Klage einer Lizenzinhaberin aus Zypern (Mircom), die erotische Filme öffentlich wiedergeben darf. Gleichzeitig ist Mircom auch mit der Verfolgung unzulässiger öffentlicher Wiedergaben in Peer-to-Peer-Netz beauftragt.

Mircom erhob in Antwerpen Klage, mit der sie u. a. beantragte, den Internetzugangsanbieter Telenet aufzugeben, die Daten zur Identifizierung ihrer Kunden vorzulegen, deren Internetanschlüsse dazu genutzt worden seien, in einem Peer-to-Peer-Netz mittels des BitTorrent-Protokolls Filme aus dem Repertoire von Mircom zu teilen. Die IP-Adressen dieser Verbindungen wurden für Mircom von der Media Protector GmbH mittels einer speziellen Software erhoben.

Zunächst befasst sich der GA kurz mit der Frage, ob eine IP-Adresse ein personenbezogenes Datum darstellt. Mit Verweis auf das EuGH-Urteil in der Sache Breyer (C‑582/14) bejaht dies der GA, wenn Verantwortliche über ein gesetzliches Mittel zur Identifizierung der Inhaber von Internetanschlüssen verfügen.

Sodann geht es in den Schlussanträgen um die Frage der Zulässigkeit des Umgangs mit den IP-Adressen und die Rechtsgrundlage hierfür. Das vorlegende Gericht möchte wissen, ob Art. 6 Abs. 1 lit. f DSGVO dahin auszulegen ist, dass die Speicherung der IP-Adressen der Personen, deren Internetanschlüsse für das Teilen geschützter Werke in Peer-to-Peer-Netzen verwendet wurden, wie die von Media Protector für Mircom vorgenommene, eine rechtmäßige Verarbeitung personenbezogener Daten darstellt. Es geht also um die Erhebung und Verwendung der IP-Adressen zur Verfolgung von Rechtsverletzungen.

Der Erlaubnistatbestand erfordert kumulativ:

(1) Vorliegen eines berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden

(2) Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses

(3) kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person

Zu (1):

Nach Ansicht des GA hängt das berechtigte Interesse im konkreten Fall auch davon ab, ob der Verantwortliche hier befugt ist, einen Antrag auf Offenlegung der IP-Adresse nach der Richtlinie 2004/48 zu stellen. Sollte dies nicht der Fall sein, bestünde auch kein berechtigtes Interesse. Oder allgemeiner: kein berechtigtes Interesse für eine Datenverarbeitung, die gegen gesetzliche Vorgaben verstößt.

Etwas allgemeiner formuliert der GA zudem, dass die ordnungsgemäße Beitreibung von Forderungen durch einen Zessionar dieser Forderungen ein berechtigtes Interesse darstellen kann, das die Verarbeitung personenbezogener Daten rechtfertigt. Damit eine solche Verarbeitung gerechtfertigt ist, muss der Zessionar jedoch anschließend diese Daten nutzen können, um die Schuldner der erworbenen Forderungen zu ermitteln. Hier kommt im konkreten Fall dann wieder die Frage ins Spiel, ob der Antrag auf Auskunft über die Namen der Inhaber der Internetanschlüsse, die durch die fraglichen IP-Adressen identifiziert wurden, zulässig ist.

Zu (2):

Bei dem Merkmal der „Erforderlichkeit“ hat der GA kein Bedenken. Die Verwendung der IP-Adresse ist seiner Ansicht nach erforderlich, um das berechtigte Interesse zu verwirklichen. Denn die Kommunikation in einem Netz von Rechnern erfolgt zwangsläufig über IP-Adressen, die verschiedenen Routern zugeordnet sind.

Jede Feststellung einer Handlung, mit der eine Datei über ein solches Netz geteilt wird, und damit einer Verletzung von Urheberrechten und verwandten Schutzrechten, wenn die Datei ein geschütztes Werk enthält und das Teilen ohne Zustimmung der Inhaber dieser Rechte geschieht, erfolgt zwangsläufig über die Identifizierung und Speicherung der IP-Adresse, von der aus diese Handlung vorgenommen wurde“.

Interessant an der Begründung des GA ist, dass es für die „Erforderlichkeit“ ausreicht, dass der Inhaber des Anschlusses nicht unbedingt auch der Verletzter sein muss (der die Handlung begangen hat). Doch ist dieser nach Ansicht des GA in der Lage, Auskunft über die verantwortliche Person zu erteilen, oder kann für die über seinen Internetanschluss begangenen Handlungen selbst haftbar gemacht werden. Auch dies reicht also für eine datenschutzrechtliche Erforderlichkeit aus.

Zu (3):

Hinsichtlich der Abwägung des Interesses mit den Grundrechten und ‑freiheiten der betroffenen Personen, verweist der GA darauf, dass es sich um das Vorliegen etwaiger besonderer Umstände des Einzelfalls handelt. Es ist Sache des zuständigen Gerichts, zu prüfen, ob solche besonderen Umstände vorliegen.

EuGH-Urteil zur Einwilligung: Voraussetzungen der Wirksamkeit und Anforderungen an den Nachweis

Mit Urteil vom 11.11.2020 (Rechtssache C?61/19) hat der EuGH einige relevante Aussagen rund um die Wirksamkeitsanforderungen und Nachweispflichten von Verantwortlichen bei der Einholung von Einwilligungen nach der DSGVO getroffen. Zum Teil wurde das Urteil mit der Information kommentiert, dass der EuGH nur wieder einmal festgestellt habe, dass vorangekreuzte Kästchen nicht als Einwilligung taugen. Meines Erachtens enthält das Urteil jedoch durchaus mehr datenschutzrechtlichen Sprengstoff und damit Praxisauswirkungen.

Sachverhalt

Dem Urteil lag ein Verwaltungsverfahren zwischen Orange Romania und der rumänischen Datenschutzbehörde zugrunde.  Diese stellte fest, dass Orange Romania im Zeitraum vom 1. März 2018 bis zum 26. März 2018 mit natürlichen Personen Verträge über Mobiltelekommunikationsdienste in Papierform geschlossen habe, wobei diesen Verträgen Kopien der Ausweisdokumente dieser Personen angeheftet worden seien. Orange Romania habe nicht nachgewiesen, dass ihre Kunden, deren Verträgen Kopien ihrer Ausweisdokumente angeheftet gewesen seien, eine gültige Einwilligung zur Sammlung und Aufbewahrung von Kopien dieser Dokumente erteilt hätten.

Wichtig zur Einordnung des Urteils, ist die Darstellung des damaligen Verkaufsverfahrens. Es gibt zum einen Verträge, in denen das Kästchen, das die Klausel in Bezug auf die Aufbewahrung der Kopien von Dokumenten, die personenbezogene Daten mit Identifikationsfunktion enthielten, betroffen habe, angekreuzt worden sei, und zum anderen Verträge, bei denen ein solches Kreuz fehle. Orange Romania habe den Abschluss von Abonnementverträgen mit Kunden, die es abgelehnt hätten, in die Einbehaltung einer Kopie ihrer Ausweisdokumente einzuwilligen, nicht abgelehnt.

Interne Verfahren von Orange Romania zum Verkauf haben vorgesehen, dass diese Weigerung der Kunden in einem speziellen Vordruck zu dokumentieren sei, der von diesen Kunden vor Vertragsabschluss zu unterzeichnen sei.

Die Verkäufer haben die betroffenen Kunden während der Verfahren zum Abschluss Verträge vor deren Abschluss u. a. über den Zweck der Sammlung und Aufbewahrung der Kopien der Ausweisdokumente sowie über die Wahl, die die Kunden in Bezug auf diese Sammlung und Aufbewahrung hätten, unterrichtet, bevor sie mündlich die Einwilligung dieser Kunden in die Sammlung und Aufbewahrung dieser Daten erhalten hätten. Das Kästchen in Bezug auf die Aufbewahrung der Kopien von Ausweisdokumenten sei allein auf der Grundlage der von den Betroffenen bei Vertragsschluss erklärten Zustimmung angekreuzt worden. Dieser Umstand ist wichtig: das Kästchen war nicht etwa per se vorangekreuzt. Es wurde aber, nach mündlicher Rückfrage beim Kunden, durch den Verkäufer (quasi für den Kunden) angekreuzt. Im Anschluss haben dann die Kunden den ganzen Vertrag, inklusive des dann natürlich schon angekreuzten Kästchens und der betreffenden Klausel zur Einwilligung unterzeichnet.

Der EuGH hatte hierauf basierend zwei Fragen zu beantworten:

  • ob unter diesen Umständen davon ausgegangen werden kann, dass die betreffenden Kunden in die Sammlung ihrer Ausweisdokumente und der Anheftung von Kopien davon an ihre Verträge gültig eingewilligt haben.
  • ob mit der Unterzeichnung eines Vertrags, in dem es eine Klausel über die Aufbewahrung von Kopien von Dokumenten, die personenbezogene Daten mit Identifikationsfunktion enthalten, gibt, das Vorliegen einer solchen Einwilligung nachgewiesen werden kann.

Entscheidung des EuGH

Wirksamkeit der Einwilligung

Zunächst stellte sich die Frage, ob die Einwilligung zur Verarbeitung der Daten in den Ausweiskopien in der hier durchgeführten Form wirksam erteilt wurde. Der EuGH prüft die Wirksamkeit sowohl anhand der alten EU Datenschutz-Richtlinie, als auch der DSGVO.

Der EuGH verweist zunächst auf ErwG 32 und auch sein Urteil in Planet 49 (C-673/17). Danach wird ausdrücklich ausgeschlossen, dass bei „Stillschweigen, bereits angekreuzte[n] Kästchen oder Untätigkeit“ eine Einwilligung vorliegt. In einem solchen Fall ist es nämlich praktisch unmöglich, objektiv zu bestimmen, ob der Nutzer einer Website tatsächlich seine Einwilligung in die Verarbeitung seiner personenbezogenen Daten gegeben hat, indem er die voreingestellte Markierung eines Kästchens nicht aufgehoben hat, und ob diese Einwilligung überhaupt in informierter Weise erteilt wurde. Die erforderliche Willensbekundung muss zudem „für den konkreten Fall“ erfolgen, was so zu verstehen sei, dass sie sich gerade auf die betreffende Datenverarbeitung beziehen muss und nicht aus einer Willensbekundung mit anderem Gegenstand abgeleitet werden kann.

Da hier die Einwilligung innerhalb des Vertragstextes enthalten war, referenziert der EuGH zudem auf Art. 7 Abs. 2 S. 1 DSGVO wonach, wenn die Einwilligung der betroffenen Person durch eine schriftliche Erklärung erfolgt, die noch andere Sachverhalte betrifft, das Ersuchen um Zustimmung in einer solchen Form erfolgen muss, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

Allgemein relevant ist auch die Anforderung des EuGH an das Merkmal „in informierter Weise“ (Art. 4 Nr. 11 DSGVO). Zur Ausfüllung dieser Anforderung verweist das Gericht auf die Informationspflichten nach Art. 13 DSGVO. Der für die Verarbeitung Verantwortliche muss der betroffenen Person eine Information über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lassen. Mindestinhalt der Informiertheit der Einwilligung sind danach:

  • die Art der zu verarbeitenden Daten,
  • die Identität des für die Verarbeitung Verantwortlichen,
  • die Dauer und die Modalitäten dieser Verarbeitung
  • die Zwecke, die damit verfolgt werden,

Diese Informationen müssen den Betroffenen bekannt sein. Die Informationen müssen diese Person in die Lage versetzen, die Konsequenzen einer etwaigen von ihr erteilten Einwilligung leicht zu bestimmen.

Ganz entscheidend ist auch noch der Hinweis auf die erforderliche Freiwilligkeit. Nach dem EuGH muss eine echte Wahlfreiheit bestehen. Vertragsbestimmungen dürfen die Betroffenen nicht über die Möglichkeit irreführen, einen Vertrag abschließen zu können, auch wenn sich die Person weigert, in die Verarbeitung ihrer Daten einzuwilligen. Sind solche Hinweise zur Freiwilligkeit nicht vorhanden, kann die Einwilligung dieser Person in die Verarbeitung ihrer personenbezogenen Daten weder als freiwillig erteilt noch im Übrigen als in Kenntnis der Sachlage oder in informierter Weise erteilt angesehen werden.

Im konkreten Fall sah der EuGH diese Anforderungen nicht als erfüllt an.

Zum einen wurde die (durch das Verkaufspersonal) angekreuzte Klausel in Bezug auf die Verarbeitung dieser Daten nicht in einer Form präsentiert, die sie klar von anderen Vertragsklauseln unterscheidet. Zum anderen hegt das Gericht Zweifel, ob die Einwilligung in informierter Weise erteilt wurde. Kritisch sieht der EuGH den Umstand, dass sich die in Rede stehende Vertragsklausel darauf beschränkt, „ohne irgendeinen anderen Hinweis die Identifikation als Zweck für die Aufbewahrung der Kopien der Personalausweise anzugeben“. Der EuGH sieht hier wohl nicht alle Anforderungen der Informiertheit als erfüllt an. Dies muss aber das vorlegende Gericht feststellen.

Zudem sieht der EuGH wohl auch die erforderliche Freiwilligkeit hier kritisch. Das vorlegende Gericht muss prüfen, „ob die im Ausgangsverfahren in Rede stehenden Vertragsbestimmungen die betroffene Person mangels näherer Angaben zu der Möglichkeit, den Vertrag trotz der Weigerung, in die Verarbeitung ihrer Daten einzuwilligen, abzuschließen, hinsichtlich dieses Punkts irreführen konnten und ob damit in Frage gestellt wird, dass die in dieser Unterschrift zum Ausdruck gebrachte Einwilligung in informierter Weise und in Kenntnis der Sachlage erfolgt ist“.

Was bedeutet dies für die Praxis? Die Anforderungen an eine wirksame Einwilligung bleiben hoch. Der EuGH dekliniert hier noch einmal sehr gut die wichtigsten Anforderungen an eine Einwilligung nach der DSGVO durch. Besonderes Augenmerk muss in der Praxis in jedem Fall auf eine transparente und klare Erteilung der Einwilligung, umfassende Informationen und die Sicherstellung der Freiwilligkeit und der Hinweis auf eben diese gelegt werden.

Nachweis der Einwilligung

Spannend sind sodann die Ausführungen des EuGH zu der Nachweispflicht des Verantwortlichen. Der EuGH verweist zunächst auf die Datenschutzgrundsätze. Der Verantwortliche hat nach Art. 5 Abs. 1 lit. a DSGVO u. a. die Rechtmäßigkeit der Verarbeitung dieser Daten zu gewährleisten. Zudem muss er, wie Art. 5 Abs. 2 DSGVO klarstellt, in der Lage sein, diese Rechtmäßigkeit nachzuweisen. Nach Art. 7 Abs. 1 DSGVO muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, wenn die Verarbeitung auf einer Einwilligung beruht.

Vorliegend sind die Kunden nach Aussage von Orange Romania während der Verfahren zum Abschluss der Verträge vor deren Abschluss u. a. über den Zweck der Sammlung und Aufbewahrung der Kopien der Ausweisdokumente sowie über die Wahl, die die Kunden in Bezug auf diese Sammlung und Aufbewahrung hätten, unterrichtet worden. Danach hätten die Mitarbeiter mündlich die Einwilligung dieser Kunden in die Sammlung und Aufbewahrung dieser Daten erhalten und das Kästchen in Bezug auf die Aufbewahrung der Kopien von Ausweisdokumenten angekreuzt.

Dies genügt dem EuGH offensichtlich nicht.

Da die betroffenen Kunden das Kästchen, das diese Klausel betrifft, anscheinend

nicht selbst angekreuzt haben, ist der bloße Umstand, dass dieses Kästchen angekreuzt wurde, nicht geeignet, eine positive Einwilligungserklärung dieser Kunden in die Sammlung und Aufbewahrung einer Kopie ihrer Personalausweise nachzuweisen“.

Nach Ansicht des EuGH reicht der Umstand, dass die Kunden die Verträge mit dem angekreuzten Kästchen unterzeichnet haben,

„für sich genommen nicht aus, um eine solche Einwilligung nachzuweisen, sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist“.

Meines Erachtens bedeutet dies für die Praxis, dass etwa allein der interne Vermerk „Kunde hat zugestimmt“ durch einen Mitarbeiter im Rahmen von Kundengesprächen nicht als Nachweis einer erteilten Einwilligung ausreicht. Dies dürfte vor allem für Telefongespräche oder auch allgemein Verkaufsgespräche relevant sein, in denen der Mitarbeiter des Unternehmens während des Gesprächs parallel zB einen Vertrag ausfüllt. Man denke hier insbesondere auch an Call-Center. Im Grunde ist das Urteil für jegliche Situation relevant, in der die Einwilligung mündlich erteilt wird.

Der EuGH sieht diese Art der Nachweisführung jedoch nicht per se als ungeeignet an. Er ergänzt ausdrücklich „sofern keine Anhaltspunkte dafür vorliegen, dass diese Klausel tatsächlich gelesen und verstanden worden ist“. Das bedeutet, dass Unternehmen in der Praxis durchaus das Häkchen für den Kunden setzen dürfen, dies jedoch nur dann der Nachweispflicht genügt, wenn zusätzlich (prozessuale) Maßnahmen vorgesehen sind, die belegen können, dass der Betroffene die Einwilligung selbst und die dazugehörigen Informationen auch zur Kenntnis genommen hat. Der Nachweis, dass der Vertrag mit der entsprechenden Klausel unterzeichnet wurde, reicht nicht aus.

Die Anforderung des EuGH, dass der Kunde die Klausel wirklich auch gelesen haben muss, ist meines Erachtens eher im Sinne einer „Kenntnisnahme“ zu verstehen. Denn wir soll man als Verantwortlicher in der Praxis sicherstellen, dass ein Betroffener wirklich den Text liest? Selbst wenn man ihm die Klausel zum Lesen vorlegt, könnte er ja (salopp formuliert) nur auf das Blatt starren. In diesem Fall zu fordern, dass das Unternehmen den Nachweis des Lesens erbringt, halte ich persönlich für überspitzt.

Bundesdatenschutzbeauftragter: Prüfschema für Datentransfers in Drittländer

Die Auswirkungen des EuGH-Urteils in Schrems II (C-311/18) sind in der Praxis weiterhin ein wichtiges Thema. Viele Unternehmen versuchen (Anm: viel mehr geht aktuell wohl auch nicht), ihre eigenen Datentransfers zu prüfen und, wo möglich, zusätzliche Garantien mit Datenempfängern zu vereinbaren. Wie diese vom EuGH angesprochenen „zusätzlichen Maßnahmen“ (Rz. 133) konkret aussehen, wissen wir immer noch nicht. Der EDSA soll hierzu wohl noch Leitlinien veröffentlichen.

Bis es soweit ist, könnte für Unternehmen eventuell auch eine Veröffentlichung des Bundesbeauftragten für Datenschutz (BfDI) interessant sein. Der BfDI veröffentlicht auf seiner Webseite ein „Prüfschema Drittländertransfer“ (PDF). Laut den Angaben auf der Webseite dient das Prüfschema „der strukturierten Überprüfung zum Datentransfer in Drittländer“. Zudem verlangt der BfDI, dass das Ergebnis dieser Prüfung nachvollziehbar und überprüfbar dokumentiert wird. Zwar ist der BfDI vor allem für die öffentlichen Stellen des Bundes und im privatwirtschaftlichen Bereich für Unternehmen aus den Branchen Post und Telekommunikation zuständig. Nichts desto trotz kann ein Blick in das Prüfschema meines Erachtens auch für Unternehmen, die nicht direkt der Aufsicht des BfDI unterliegen, sinnvoll sein. Denn wie sagt ein von mir sehr geschätzter Landesbeauftragter immer (frei zitiert): „Kein Unternehmen muss schlauer als die Aufsichtsbehörde sein“.

Das Prüfschema enthält verschiedene Prüfschritte:

  • Datentransfers prüfen
  • Vorliegen Angemessenheitsbeschluss
  • Schutzniveau im Drittland: Einzelfallanalyse
  • Prüfung Schutzmechanimus
  • Definierung zusätzlicher Maßnahmen
  • Implementierung zusätzlicher Maßnahmen
  • Ausnahmen nach Art. 49 DSGVO
  • Dokumentation
  • Meldung an die Aufsichtsbehörde

Ganz interessant in Bezug auf die Frage, ob Standardvertragsklauseln (SCC) genehmigungsfrei angepasst werden dürfen (hier meine Meinung zu dieser Frage), finde ich die folgende Aussage des BfDI:

Hinweis: Eigenständige vertragliche Lösungen bedürfen als ad-hoc-Klauseln einer Genehmigung durch die zuständige Aufsichtsbehörde. Änderungen an Standard-Datenschutzklauseln behalten ihre Gemehmigungsfreiheit nur, solange diese weder mittelbar noch unmittelbar im Widerspruch zum Inhalt der erlassenen Standard-Datenschutzklauseln stehen“.

Der BfDI geht also meiner Ansicht davon aus, dass 1) eine Anpassung der SCC nicht per se zur Genehmigungspflicht führt und 2), dass die Genehmigungsfreiheit dann besteht, wenn die Anpassungen nicht im „Widerspruch“ zu den Klauseln stehen. Dies ist aus praktischer Sicht auf jeden Fall begrüßenswert. Natürlich wird in der Praxis dann immer die entscheidende Frage sein, wann denn ein solcher Widerspruch vorliegt.

Europäischer Datenschutzbeauftragter: Strategie für EU-Institutionen zur Einhaltung des „Schrems II“-Urteils

Der Europäische Datenschutzbeauftragte (EDPS), also die Aufsichtsbehörde für die Institutionen der EU, hat gestern ein interessantes Papier für eine Stratege zur Einhaltung der Vorgaben des Schrems II Urteils des EuGH veröffentlicht (pdf). Dort wird dargelegt, wie nach Ansicht der Aufsichtsbehörde die EU-Institutionen nun kurz- und mittelfristig mit Datentransfers in Drittländer (insbesondere die USA) umgehen sollten.

Die Vorgaben und Empfehlungen des EDPS sind meines Erachtens auch eine gute Arbeitshilfe für Unternehmen im privatwirtschaftlichen Bereich, die ja vor derselben Herausforderung stehen.

Ziel der Strategie

Nach Aussage des EDPS zielen die Strategie und darin enthaltende Empfehlungen darauf ab, die Einhaltung des Urteils durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union zu gewährleisten und zu überwachen. Das Dokument befasst sich sowohl mit kurz- als auch mit mittelfristigen Maßnahmen für die EU-Institutionen und den EDPS.

Inhalt der Strategie

Die Vorgaben unterscheiden zwischen kurzfristigen und mittelfristigen Einhaltungsmaßnahmen wurde. Als kurzfristige Maßnahme erließ der EDPS am 5. Oktober 2020 eine Anweisung an die EU-Institutionen, eine Bestandsaufnahme durchzuführen, um festzustellen, bei welchen laufenden Verträgen, Beschaffungsverfahren und anderen Arten der Zusammenarbeit Daten übertragen werden. Als mittelfristige Maßnahme wird der EDPS Leitlinien bereitstellen und von Fall zu Fall Maßnahmen zur Einhaltung und/oder Durchsetzung der Datenschutzvorschriften bei Übermittlungen in die Vereinigten Staaten oder andere Drittländer verfolgen. Zudem sollen die EU-Institutionen aufgefordert werden, von Fall zu Fall Transfer Impact Assessments (TIAs) durchzuführen, um für den jeweiligen Transfer zu ermitteln, ob im Bestimmungsdrittland ein im Wesentlichen gleichwertiges Schutzniveau, wie es in der EU/EWR vorgesehen ist, gewährleistet ist.

Nachfolgend eine Übersicht zu den Vorgaben mit einer eigenen Übersetzung. Ich denke, dass man aus Sicht eines Unternehmens nicht alle Vorgaben direkt übernehmen kann. Jedoch ist dieser Umsetzungsplan des EDPS ein guter Anhaltspunkt, wie man im Unternehmen sein eigenes „Schrems II-Projekt“ aufsetzen könnte.

Der EDPS hält einen zweigleisigen Ansatz für den geeignetsten:

(1) Ermittlung dringender Maßnahmen zur Einhaltung und/oder Durchsetzung der Vorschriften durch einen risikobasierten Ansatz für Übermittlungen in die USA, die für die betroffenen Personen mit hohen Risiken verbunden sind, und parallel dazu

(2) Bereitstellung von Leitlinien und Verfolgung mittelfristiger fallweiser Maßnahmen zur Einhaltung und/oder Durchsetzung der Vorschriften des EDPS für alle Übermittlungen in die USA oder in andere Drittländer.

Die Strategie des EDPS zur Gewährleistung und Überwachung der Einhaltung des Urteils ist im Wesentlichen in zwei Phasen mit kurz- und mittelfristigen Maßnahmen unterteilt.

1. Kurzfristig – Bestandsaufnahme (mapping) und unmittelbare Einhaltungsprioritäten

Bestandsaufnahme

Der EDPS erteile EU-Institutionen die Anweisung, eine Bestandsaufnahme aller laufenden Verarbeitungsvorgänge und Verträge durchzuführen, die Übermittlungen in Drittländer beinhalten. Die Institutionen werden aufgefordert, bis Ende Oktober eine Bestandsaufnahme durchzuführen, um Datenübermittlungen für laufende Verträge, Beschaffungsverfahren und andere Arten der Zusammenarbeit zu ermitteln. Die Bestandsaufnahme der EU-Institutionen sollte folgend Daten enthalten:

  • die Verarbeitungsvorgänge,
  • die Bestimmungsorte,
  • die Empfänger,
  • die verwendeten Übertragungsinstrumente,
  • die Arten der übertragenen personenbezogenen Daten,
  • die Kategorien der betroffenen Personen sowie
  • Informationen über Weiterleitungen beschreiben.

Rückmeldung an den EDPS

Bis spätestens 15. November 2020 sollen die EU-Institutionen dem EDPS über spezifische Risiken und Lücken berichten, die sie bei dieser Bestandsaufnahme ermittelt haben. Darüber hinaus müssen sie dem EDPS spezifische und transparente Informationen über drei Hauptkategorien von Datenübermittlungen vorlegen, die wahrscheinlich höhere Risiken für die Rechte und Freiheiten natürlicher Personen bergen und vom EDPS vor Ende 2020 als Aufsichtsprioritäten ermittelt wurden:

  • illegale Übermittlungen, die nicht auf einem Übermittlungsinstrument beruhen;
  • Übermittlungen, die auf einer Ausnahmeregelung nach Artikel 50 der Verordnung beruhen; und
  • „risikoreiche Übermittlungen“ in die USA an Stellen, die eindeutig unter Abschnitt 702 FISA oder E.O. 1233319 fallen und bei denen es sich entweder um groß angelegte Verarbeitungsvorgänge oder komplexe Verarbeitungsvorgänge oder um die Verarbeitung sensibler Daten oder Daten sehr persönlicher Art handelt.

Auf der Grundlage dieser ersten Berichterstattung kann der EDPS Durchsetzungsmaßnahmen ergreifen, um diese Übermittlungen mit der Verordnung in Einklang zu bringen oder diese Übermittlungen gegebenenfalls auszusetzen.

2. Mittelfristig – Leitlinie des EDSA und Transfer Impact Assessments

Transfer Impact Assessments (TIAs)

Die EU-Institutionen werden aufgefordert, von Fall zu Fall Transfer Impact Assessments (TIAs) durchzuführen, um festzustellen, ob im Bestimmungsdrittland ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU/EWR gewährleistet ist.

Im Anschluss an die erwartete Leitlinie des Europäischen Datenschutzausschusses zu geeigneten ergänzenden Maßnahmen wird der EDPS eine Liste von Vorfragen für Verantwortliche zur Verfügung stellen, damit diese TIAs mit Datenimporteuren einleiten können.

Auf der Grundlage dieser Bewertungen, die mit Hilfe von Datenimporteuren durchgeführt werden, sollten die EU-Institutionen eine Entscheidung darüber treffen, ob es möglich ist, die in der Bestandsaufnahme ermittelten Transfers fortzusetzen.

Rückmeldung an den EDPS

Abhängig vom Ergebnis der TIAs sollen die EU-Institutionen dem EDPS im Laufe des Frühjahrs 2021 über die folgenden drei Kategorien von Datentransfers Bericht zu erstatten:

  • Übermittlungen in ein Drittland, die kein im Wesentlichen gleichwertiges Schutzniveau gewährleisten;
  • Übermittlungen, die ausgesetzt oder beendet werden, sind gemäß Art. 47 Abs. 2 der Verordnung 2018/1725 zu melden, wenn die EU-Institution der Auffassung ist, dass das Drittland kein im Wesentlichen gleichwertiges Schutzniveau gewährleistet;
  • Bei Übertragungen, die auf Ausnahmeregelungen beruhen, sind Kategorien von Fällen, in denen Art. 50 der Verordnung 2018/1725 angewandt wurde, gemäß Art. 50 Abs. 6 der Verordnung zu melden.