Juristischer Dienst des Europäischen Parlaments: EuGH urteilte nicht zu US-Gesetzen

Gestern fand im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments eine Aussprache zum Safe Harbor-Urteil des EuGH statt. Unter anderem präsentierte ein Vertreter des juristischen Dienstes des Europäischen Parlaments die Kernelemente der Entscheidung.  Das Video zu der Aussprache ist hier abrufbar. Die Präsentation beginnt ab ca. 15.18.00.

Meines Erachtens von besonderer Relevanz und begrüßenswert sind die Feststellungen des juristischen Dienstes im Hinblick auf jene Urteilsgründe, in denen sich der EuGH mit der Zulässigkeit der Überwachung der Kommunikation durch stattliche Behörden befasst. In der Berichterstattung zu dem Urteil wurde oft auf die Rz. 93, 94 und 95 verwiesen, die ich hier noch einmal abbilde:

93 Nicht auf das absolut Notwendige beschränkt ist eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen (vgl. in diesem Sinne, in Bezug auf die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG [ABl. L 105, S. 54], Urteil Digital Rights Ireland u. a., C‑293/12 und C‑594/12, EU:C:2014:238, Rn. 57 bis 61).

94 Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens (vgl. in diesem Sinne Urteil Digital Rights Ireland u. a., C‑293/12 und C‑594/12, EU:C:2014:238, Rn. 39).

95 Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz. Nach Art. 47 Abs. 1 der Charta hat nämlich jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, das Recht, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. Insoweit ist schon das Vorhandensein einer wirksamen, zur Gewährleistung der Einhaltung des Unionsrechts dienenden gerichtlichen Kontrolle dem Wesen eines Rechtsstaats inhärent (vgl. in diesem Sinne Urteile Les Verts/Parlament, 294/83, EU:C:1986:166, Rn. 23, Johnston, 222/84, EU:C:1986:206, Rn. 18 und 19, Heylens u. a., 222/86, EU:C:1987:442, Rn. 14, sowie UGT‑Rioja u. a., C‑428/06 bis C‑434/06, EU:C:2008:488, Rn. 80).

Vor allem aus der Feststellung in Rz. 94 könnte man schließen, dass es sich dabei um „Regelungen“ in US-Gesetzen handelt oder dass der EuGH mit „Regelungen“ ausländische Vorschriften anspricht. Doch dies ist gerade nicht der Fall. Der EuGH bezieht sich in diesen Randnummern auf das Schutzniveau innerhalb der EU und was im Rahmen dieses Schutzniveaus gesetzlich nicht zulässig ist.

Klar wird der Bezug auf das europäische Recht auch, wenn man Rz. 96 betrachtet. Dort fasst der EuGH noch einmal zusammen, dass eine Angemessenheitsentscheidung eines Mitgliedstaates oder der EU-Kommission mit Blick auf das Schutzniveau in einem Drittstaat begründete Feststellungen enthalten muss,

dass das betreffende Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleistet, das dem in der Rechtsordnung der Union garantierten Niveau, wie es sich insbesondere aus den vorstehenden Randnummern des vorliegenden Urteils ergibt, der Sache nach gleichwertig ist. (Hervorhebung durch mich)

Der EuGH bezieht sich hier noch einmal auf die Rz. 93 ff. und macht deutlich, dass es sich in den Ausführungen in diesen Randnummern um das in der Union garantierte Schutzniveau und die (grund)rechtlichen Vorgaben innerhalb der EU geht. Gegenstand der Begutachtung war nicht das amerikanische Recht. Inhalt eines Angemessenheitsbeschlusses muss damit die Feststellung sein, dass die Gesetze und/oder Verpflichtungen aus internationalen Abkommen in dem Drittstaat dieses in der Union garantierte Niveau (welches sich aus den Rz. 93 ff ergibt) nicht unterschreiten. Der EuGH gibt dem Grund nach also im Groben vor, welches Schutzniveau in der Union mit Blick auf die Überwachung durch Geheimdienste und Rechtsschutzmöglichkeiten für Bürger gilt und dass dieses Niveau gleichwertig in einem Drittland existieren muss. Ob dies für die USA der Fall ist, dazu hat sich der EuGH nicht verhalten. In der zu beurteilenden Safe Harbor-Entscheidung wurde schlicht die gesetzlich erforderliche Feststellung zum Schutzniveau nicht vorgenommen. Aus diesem Grund ist Safe Harbor ungültig.

Update vom 14.10.2015:

In einem Interview mit dem “The Wall Street Journal” stellt auch der neue Präsident des EuGH noch einmal ausdrücklich klar, dass das Urteil sich nicht mit den Vorgaben und dem Schutzumfang des amerikanischen Rechts befasst, sondern allein das Schutzniveau innerhalb der EU und die europäischen Voraussetzungen für Datentransfers im Blick hat:

We are not judging the U.S. system here; we are judging the requirements of EU law in terms of the conditions to transfer data to third countries, whatever they may be.

Safe Harbor-Urteil des EuGH: Die Kommission hat ihre Kompetenzen unter- und überschritten

Heute hat der Europäische Gerichtshof (EuGH) entschieden (Az. C-362/14), dass die Safe Harbor-Entscheidung der Europäischen Kommission, die eine von mehreren möglichen Grundlagen der Übermittlung von personenbezogenen Daten aus dem EWR in die USA darstellt, ungültig ist.

Der zuständige Generalanwalt Bot hatte seine Schlussanträge erst vor zwei Wochen präsentiert (hierzu mein Blogbeitrag und ein Beitrag bei Legal Tribune Online). Mit seinem heutigen Urteil folgt der EuGH dem Generalanwalt in einigen, jedoch nicht in allen Punkten.

Was hat der EuGH nun konkret entschieden? Was sind die Gründe des Urteils? Nachfolgend möchte ich zu diesen Fragen einige erste Einschätzungen geben. Die Erwägungen des EuGH sind teilweise doch etwas überraschend. Folgende Informationen bereits vorab, da es in der Berichterstattung zu dem Urteil bereits (leider) oft anders dargestellt wird:

  • Der EuGH verhält sich in keinster Weise zum konkreten Schutzniveau für personenbezogene Daten in den USA.
  • Der EuGH stützt sein Urteil nicht ausdrücklich (wie noch der Generalanwalt) auf die Zugriffsmöglichkeiten von speziellen Geheimdiensten, insbesondere der NSA, sondern begründet seine Entscheidung allgemeiner. Auch stützt er seine Entscheidung nicht auf die Berichterstattung und Enthüllungen von Edward Snowden.
  • Entscheidungsgegenstand ist ein Rechtsakt der EU-Kommission, der nach Auffassung des EuGH nicht den Anforderungen des EU-Rechts (insbesondere Verhältnismäßigkeit) an europäische Rechtsakte und durch diese ermöglichte Eingriffe in Grundrechte genügt.

Befugnisse nationaler Datenschutzbehörden und Angemessenheitsbeschlüsse

Zunächst befasst sich der EuGH mit den Befugnissen der nationalen Datenschutzbehörden und wie diese bei Vorliegen eines Angemessenheitsbeschlusses der Kommission (wie Safe Harbor) ihre Befugnisse ausüben dürfen. Nach Art. 28 Abs. 1 der geltenden Datenschutz-Richtlinie (DS-RL, RL 95/46/EG) dürfen die Aufsichtsbehörden die ihnen gesetzlich übertragenen Befugnisses allein im Hoheitsgebiet ihres Mitgliedstaates ausüben (Rz. 44). Also etwa nicht in einem Drittstaat, wie den USA oder auch in einem anderen Mitgliedstaat innerhalb der EU.

Eine Datenübermittlung aus einem Mitgliedstaat in einen Drittstaat stellt aber selbstverständlich eine Datenverarbeitung innerhalb des Mitgliedstaates dar, die durch die Aufsichtsbehörde geprüft werden kann (Rz. 45). Die Feststellung, dass ein Drittstaat über ein „angemessenes“ Niveau für den Schutz personenbezogener Daten verfügt und damit eine Übermittlung in diesen Drittstaat überhaupt erst möglich ist, kann sowohl von der Kommission als auch von einem Mitgliedstaat getroffen werden (Rz. 50). Fällt die Kommission eine solche Entscheidung auf der Grundlage von Art. 25 Abs. 6 DS-RL, so sind hieran die Mitgliedstaaten und all ihre Organe gebunden (Rz. 51). Dies betrifft auch die nationalen Aufsichtsbehörden. Ab hier scheint sich der EuGH nun etwas von der Auffassung des Generalanwalts in dessen Schlussanträgen zu entfernen.

Der EuGH urteilt weitert, dass allein der EuGH selbst eine solche Entscheidung der Kommission aufheben darf. Bis zur Aufhebung oder auch Anpassung durch die Kommission selbst, dürfen jedoch die Mitgliedstaaten und damit auch die Aufsichtsbehörden keine abweichenden Entscheidungen treffen (Rz. 52). Freileich muss es für Betroffene, auch bei einer Bindungswirkung der Kommissionsentscheidung, möglich sein, Beschwerden hinsichtlich eines Datentransfers in den Drittstaat vorzubringen. Ebenso stehen den Aufsichtsbehörden auch weiterhin ihre gesetzlichen Aufsichts-, Untersuchungs- und Sanktionsmaßnahmen zu (Rz. 53). Aufsichtsbehörden müssen also, nach Beschwerden, auch bei bestehendem Angemessenheitsbeschluss, Untersuchungen durchführen (Rz. 57). Wenn jedoch eine Beschwerde die Frage der Rechtmäßigkeit von Datentransfers betrifft, für die schon ein entsprechender Beschluss der Kommission existiert (so wie hier), dann ist eine solche als insgesamt gegen die Gültigkeit des Angemessenheitsbeschlusses anzusehen (Rz. 59). Wie jeder andere europäische Rechtsakte (Verordnungen, Richtlinien), so muss sich auch ein Angemessenheitsbeschluss der Kommission an den rechtsstaatlichen Vorgaben des EU-Rechts messen lassen (Rz. 60). Nur der EuGH jedoch kann eine entsprechende Entscheidung der Kommission für ungültig erklären (Rz. 61). Nationale Aufsichtsbehörden können, wie bereits erwähnt, keine inhaltlich abweichenden Entscheidungen treffen oder gar einen Angemessenheitsbeschluss als unwirksam ansehen (Rz. 62). Wenn ein Betroffener mit seiner Beschwerde, die sich auf den Datentransfer in einen Drittstaat bezieht, von der zuständigen Aufsichtsbehörde abgewiesen wird, so muss er die Möglichkeit haben, hiergegen gerichtlich vorzugehen. Ebenso muss es den nationalen Aufsichtsbehörden möglich sein, eine Angemessenheitsentscheidung gerichtlich prüfen lassen zu können. Am Ende beider verfahren muss die Vorlage an den EuGH durch das nationale Gericht stehen (Rz. 64 ff.).

Was ist „angemessen“?

Danach geht der EuGH auf Safe Harbor und dessen Wirksamkeit ein.

Zunächst beleuchtet das Gericht die Frage, was unter dem Begriff „angemessen“ i.S.d. Art. 25 Abs. 1 DS-RL zu verstehen ist. Denn nur wenn ein angemessenes Schutzniveau in einem Drittstaat festgellt wurde (entweder durch die Kommission oder durch einen Mitgliedstaat), kann ein Angemessenheitsbeschluss erfolgen. Der Begriff selbst wird in der DS-RL jedoch nicht näher umschrieben oder etwa definiert (Rz. 70). Für den EuGH ist klar, dass der grundrechtlich garantierte Schutz personenbezogener Daten des Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union dem Grunde nach auch für solche Daten gelten muss, die in Drittstaaten übermittelt werden (Rz. 72). „Angemessen“ bedeutet jedoch nach dem EuGH nicht, dass in dem Drittstaat etwa dasselbe Schutzniveau existieren muss, wie es in der EU vorhanden ist. Im Kern muss der Schutz jedoch gleichwertig sein. Dieser Schutz von personenbezogenen Daten kann durch die nationalen Gesetze oder auch internationale Abkommen erreicht werden, denen der Drittstaat beigetreten ist (Rz. 73). Überspitzt formuliert postuliert der EuGH damit den Export des europäischen Datenschutzrechts und seiner grundlegenden Prinzipien in jeden Drittstaat. Das grundlegende Schutzniveau „wandert“ mit den Daten also mit.

Zudem weist der EuGH darauf hin, dass ein einmal existierender Angemessenheitsbeschluss nicht bedeutet, dass die Frage der „Angemessenheit“ des Schutzniveaus damit grundsätzlich beantwortet wäre. Vielmehr muss die Kommission eine solche Entscheidung grundsätzlich über die Zeit hinweg prüfen und vor allem aktuelle Entwicklungen berücksichtigen, die sich auf das Schutzniveau auswirken können (Rz. 76). Wenn die Kommission im Rahmen der Prüfung des Schutzniveaus in einem Drittstaat die dortigen Gesetze und Vorgaben zum Schutz personenbezogener Daten untersucht, so steht ihr nach Auffassung des EuGH nur ein eingeschränkter Beurteilungsspielraum zu und sie hat besonders strenge Maßstäbe anzulegen (Rz. 78).

Gültigkeit der Safe Harbor-Entscheidung

Im Folgenden setzt sich der EuGH mit der Safe Harbor-Entscheidung selbst auseinander…und nimmt sie auseinander.

Zunächst stellt der EuGH jedoch fest, dass das Prinzip der Selbstzertifizierung durch Unternehmen in einem Drittstaat grundsätzlich nicht gegen die Wirksamkeit eines Angemessenheitsbeschluss oder das Vorliegen eines angemessenen Schutzniveaus spricht (Rz. 81). Jedoch erfordert ein solcher Mechanismus dann auch ein wirksames System der Überwachung der Einhaltung der Vorgaben und effiziente Sanktionen bei Verstößen.

Nachfolgend kritisiert der EuGH, dass die Safe Harbor-Prinzipien, an die sich amerikanische Unternehmen halten müssen, gerade nur privatwirtschaftliche Akteure adressieren und staatlichen Einheiten in den USA keine Pflichten auferlegen und diese daher nicht an die Prinzipien gebunden sind, wenn sie Zugriff auf Daten nehmen die bei amerikanischen Unternehmen gespeichert sind (Rz. 82).

Desweiteren kritisiert der EuGH, dass die Angemessenheitsentscheidung der Kommission, entgegen den Vorgaben der DS-RL, sich überhaupt nicht mit den einschlägigen Gesetzen in den USA befasst oder deren möglichen Schutzumfang näher untersucht (Rz. 83). Die Kommission habe es versäumt, ausreichend zu prüfen, inwiefern in den USA personenbezogene Daten (nicht) geschützt sind, um auf dieser Grundlage ihre Entscheidung zu treffen. Die in Safe Harbor vorgesehen Ausnahmen, wann von den Schutzprinzipien der Entscheidung abgewichen werden darf, sind nach Ansicht des EuGH (wie auch nach Ansicht des Generalanwalts) zu weit gefasst. Zudem erlauben sie für Zwecke der nationalen Sicherheit und Strafverfolgung ein Abweichen durch staatliche Behörden. Nationale Vorschriften in den USA können den Schutzprinzipien vorgehen und diese im Endeffekt außer Kraft setzen. Amerikanische Unternehmen können von den Vorgaben von Safe Harbor zugunsten dieser nationalen Regelungen abweichen, sogar wenn diese den Schutzprinzipien von Safe Harbor entgegenstehen (Rz. 86). Aus diesem Grund ermöglicht die Safe Harbor-Entscheidung (mit ihren Ausnahmen) den Eingriff in europäische Grundrechte (Rz. 87).

Der EuGH kritisiert weiter, dass die Safe Harbor-Entscheidung keine Untersuchungsergebnisse enthält, inwiefern ein Eingriff in Grundrechte der Betroffenen (durch einen Zugriff auf Daten durch staatliche Stellen) auf ein absolut erforderliches Maß begrenzt wird (Rz. 88). Auch hier bemängelt der EuGH erneut die fehlende Prüfung und Feststellung durch die Kommission.

Desweiteren findet sich in der Safe Harbor-Entscheidung der Kommission kein Verweis auf eventuell existierende Rechtsschutzmöglichkeiten für Betroffene, wenn durch stattliche Behörden auf die übermittelten Daten zugegriffen wird (Rz. 89). Zwar existiere eine Aufsicht durch die amerikanische Federal Trade Commission. Diese bezieht sich jedoch allein auf den privatwirtschaftlichen Sektor und kann nicht den Umgang mit Daten durch staatliche Behörden überwachen.

Nun kommt der EuGH zu der Grundlage seiner faktischen Feststellungen. Die Kommission selbst habe die Mangelhaftigkeit der Safe Harbor-Entscheidung, gerade mit Blick auf die weiten Ausnahmen für Zugriffe durch staatliche Behörden und den fehlenden Rechtsschutz, im Jahre 2013 in zwei Mitteilungen analysiert und festgestellt (Rz. 90; Mitteilung COM(2013) 846 final und Mitteilung COM(2013) 847 final). Insbesondere habe die Kommission erkannt, dass US-Behörden in einer mit den Safe Harbor-Prinzipien unvereinbaren Weise auf Daten zugreifen können. Der Zugriff kann gerade über das erforderliche und absolut notwendige Maß zur Verfolgung der legitimen Zwecke der nationalen Sicherheit oder der Strafverfolgung hinausgehen. Auch habe die Kommission selbst festgestellt, dass Betroffene keine administrativen oder gerichtlichen Rechtsbehelfe haben, um Zugang zu Daten zu erhalten oder eine Berichtigung oder Löschung zu beantragen.

Danach geht der EuGH auf die (hier nicht eingehaltenen) Vorgaben ein, die ein EU-Rechtsakt wie die Safe Harbor-Entscheidung erfüllen muss, wenn durch die Unionsregelung in Grundrechte eingegriffen wird. Nach ständiger Rechtsprechung des Gerichtshofs muss ein solcher Rechtsakt klare und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme vorsehen und Mindestanforderungen aufstellen, so dass die Betroffenen, deren personenbezogene Daten verarbeitet werden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen (Rz. 91).

Abweichungen oder Ausnahmen vom Schutz personenbezogener Daten müssen auf das absolut notwendige Maß beschränkt werden (Rz. 92). Nach Auffassung des EuGH genügt diesen Anforderungen die Safe Harbor-Entscheidung nicht. Nicht auf das absolut Notwendige beschränkt ist nämlich eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen (Rz. 93). Die in Safe Harbor vorgesehenen Ausnahmen (in der Form von Unionsregelungen) erlauben eine generelle und unverhältnismäßige Zugriffsmöglichkeit durch Behörden in den USA auf den Inhalt elektronischer Kommunikation und die Regelung in Safe Harbor verletzt daher den Wesensgehalt des grundrechts aus Art. 7 der Charta. Zudem verletzt eine solche Unionsregelung, die keine Möglichkeit für die Betroffenen vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz (Rz. 95).

Der Hauptkritik des EuGH ist damit folgender:

Die Kommission hat jedoch in der Entscheidung 2000/520 nicht festgestellt, dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“. (Rz. 97)

Aus diesem Grund kommt der EuGH zu dem Ergebnis, dass Art. 1 der Safe Harbor-Entscheidung gegen die in Art. 25 Abs. 6 DS-RL im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist (Rz. 98).

Ein wichtiger Aspekt hierbei ist, dass der EuGH im Ergebnis eine Grundrechtsverletzung durch einen mangelhaften Unionsrechtsakt annimmt. Die EU-Kommission habe nicht die Anforderungen des EU-Rechts beachtet, als sie die Safe Harbor-Entscheidung getroffen hat. Bereits die Struktur von Safe Harbor und die unterbliebene Untersuchung und Feststellung des Schutzniveaus durch die Kommission stellt damit eine Grundrechtsverletzung dar.

Ausdrücklich urteilt der EuGH nicht über die generelle Frage der Angemessenheit des Schutzniveaus für personenbezogene Daten in den USA oder auch, ob die Safe Harbor-Prinzipien inhaltlich ein entsprechendes Schutzniveau herstellen.

ohne dass es einer Prüfung des Inhalts der Grundsätze des „sicheren Hafens“ bedarf. (Rz. 98)

Allein die fehlerhafte Struktur und mangelnde Einhaltung der Vorgaben der DS-RL durch die Kommission bei Safe Harbor stellen die Grundrechtsverletzung dar.

Ein weiterer Grund, warum Safe Harbor ungültig ist, ist für den EuGH, dass die Kommission mit der Entscheidung die Befugnisse der nationalen Datenschutzbehörden beschränkt, obwohl sie dazu rechtliche nicht befugt ist (Rz. 99 ff.). Nach Art. 3 von Safe Harbor dürfen Aufsichtsbehörden nur in besonderen Fällen Datentransfers unterbinden. Die Kopplung der Befugnisse der Behörden an bestimmte Voraussetzungen durch die Kommission stellt jedoch eine Überschreitung ihrer Befugnisse dar, so der EuGH. Mit dem Erlass von Art. 3 der Safe Harbor-Entscheidung habe die Kommission daher die ihr durch Art. 25 Abs. 6 DS-RL im Licht der Charta übertragene Zuständigkeit überschritten hat, so dass dieser Artikel ungültig ist.

Da nach Auffassung des EuGH Art. 1 und Art. 3 der Safe Harbor-Entscheidung ungültig sind und diese Artikel untrennbar mit den übrigen Vorgaben der Entscheidung im Zusammenhang stehen, berührt die Ungültigkeit der beiden Artikel die gesamte Entscheidung (Rz. 105).

Fazit

Das Urteil des EuGH befasst sich nicht mit der Frage, ob ein angemessenes Schutzniveau für Daten in den USA existiert. Die Ungültigkeit der Entscheidung rührt vielmehr bereits aus dem Umstand, dass die Kommission zum einen ihre Kompetenzen und auch ihre Pflichten auf Grundlage der DS-RL in Bezug auf Art. 1 der Safe Harbor-Entscheidung nicht korrekt ausgeübt und unterschritten hat. IN Bezug auf Art. 3 der Safe Harbor-Entscheidung stellt der EuGH dann eine Überschreitung der Kompetenzen fest. Die in Rede stehende Unionsregelung (Safe Harbor) verstößt aufgrund ihrer Struktur und ihrer Unvereinbarkeit mit den EU-rechtlichen Vorgaben an solche Unionsregelungen gegen mehrere Grundrechte.

 

 

 

Generalanwalt: Safe Harbor-Entscheidung verletzt europäische Grundrechte. Nicht Facebook.

Heute hat der Generalanwalt am EuGH seine Schlussanträge im Verfahren von Max Schrems gegen die irische Datenschutzbehörde (C-362/14) präsentiert. In der Presse (z.B. Golem und FAZ) und in Blogs (etwa bei Thomas Stadler) wurde bereits darüber berichtet und erste Schlussfolgerungen gezogen.

Ich möchte nachfolgend, nachdem ich die Schlussanträge einmal grob überfliegen konnte, auf einige Besonderheiten und besonders relevante Aussagen des Generalanwalts hinweisen, die vielleicht bisher noch nicht beleuchtet wurden.

Starke Stellung der Datenschutzbehörden

Wenig überraschend vertritt der Generalanwalt die Auffassung, dass nationale Datenschutzbehörden durch einen Angemessenheitsbeschluss der Kommission (um den es sich bei Safe Harbor handelt) nicht absolut gebunden sind und weiterhin die ihnen durch die Charta der Grundrechte der Europäischen Union und die Datenschutz-Richtlinie (RL 95/46/EG) übertragenen Befugnisse ausüben dürfen. Wenn es um den Schutz von Grundrechten (im vorliegenden Fall von Art. 7 und 8 der Charta) geht, dürfen nationale Behörden eigene Untersuchungen vornehmen und erforderlichenfalls auch Datentransfers in Drittstaaten untersagen, selbst wenn ein Angemessenheitsbeschluss der Kommission existiert. Rechtlich gesprochen nimmt eine Angemessenheitsentscheidung nach Art. 25 Abs. 6 RL 95/46/EG den Aufsichtsbehörden nicht ihre Befugnisse nach Art. 28 RL 95/46/EG (vgl. Rz. 120 der Schlussanträge).

Grundvoraussetzung: gleicher Schutz

Wenn personenbezogene Daten aus der Europäischen Union heraus, auf der Grundlage einer Angemessenheitsentscheidung, in Drittstaaten übertragen werden können sollen, dann muss in diesem Drittstaat dem Grunde nach dasselbe Schutzniveau gelten, wie es durch die Vorgaben der Grundrechtecharta und der RL 95/46/EG auch innerhalb der EU existiert (Rz. 144). Ein wichtiger Baustein hierfür ist die Existenz einer unabhängigen Kontrollinstanz, die die Einhaltung der datenschutzrechtlichen Vorgaben überwacht und durchsetzt (Rz. 145).

Unklare Ausnahmeregelungen für Zwecke der nationalen Sicherheit

Der Generalanwalt kritisiert die in der Safe Harbor-Entscheidung vorgesehenen Möglichkeiten, für Zwecke der nationalen Sicherheit von den vorgegebenen Prinzipien zum Schutz personenbezogener Daten abweichen zu können (Anhang I Absatz 4). Der Wortlaut der Vorschriften sei viel zu allgemein gehalten und werde von Sicherheitsbehörden in den USA weit ausgelegt und genutzt, um auf personenbezogene Daten zugreifen zu können (Rz. 164).

Keine Möglichkeit des Rechtsschutzes in den USA

Ebenfalls kritisiert der Generalanwalt, dass EU-Bürger keine Möglichkeit hätten, Rechtsschutz gegen Datenverarbeitungen zu suchen, die über jene Zwecke hinausgehen, für die die Daten ursprünglich in die USA übermittelt wurden (Rz. 165).

Facebook verletzt nicht die Vorgaben von Safe Harbor

Der Generalanwalt stellt zudem klar, dass Facebook nicht gegen die Vorgaben von Safe Harbor verstößt (Rz. 168). Denn ein Zugriff von Sicherheitsbehörden auf Daten oder eine Weiterleitung der Daten auf der Grundlage nationaler Gesetze in den USA ist in der Safe Harbor-Entscheidung gerade vorgesehen. Die Frage ist daher vielmehr, ob die Safe Harbor-Entscheidung selbst (und in ihr aufgestellte Prinzipien und auch die Ausnahmen) gegen europäisches Recht verstößt. Die in der Safe Harbor-Entscheidung ausdrücklich zugelassene Weitergabe von Daten für Zwecke der nationalen Sicherheit stellt einen Eingriff in die Grundrechte der EU-Bürger dar (nicht jedoch durch die privaten Unternehmen) und muss gerechtfertigt sein (Rz. 174).

Ausnahmeregelungen in Safe Harbor verstoßen gegen Grundrechte

Die in der Safe Harbor-Entscheidung vorgesehenen Ausnahmen sind nach Auffassung des Generalanwalts viel zu offen und ungenau formuliert, um einen Eingriff in die Grundrechte aus Art. 7 und 8 der Charta zu rechtfertigen. Es existieren keine ausreichenden und genau definierten Schutzmechanismen, um eine Massenüberwachung durch ausländische Sicherheitsbehörden zu unterbinden (Rz. 202).

Verstoß gegen Verhältnismäßigkeitsgrundsatz

Ein Eingriff in Grundrechte kann gerechtfertigt sein. Muss dafür jedoch geeignet, erforderlich und angemessen sein. Der Generalanwalt stellt klar, dass die EU-Kommission, mit Annahme der Safe Harbor-Entscheidung und ihrer Aufrechterhaltung, gegen den Verhältnismäßigkeitsgrundsatz verstoßen hat und eine Verletzung der Grundrechte aus Art. 7 und 8 der Charta sowie Art. 52 Abs. 1 der Charta vorliegt. Aus diesem Grund ist die Entscheidung der Kommission für ungültig zu erklären (Rz. 215 f.). Hinzu kommt nach Ansicht des Generalanwalts, dass die EU-Kommission Safe Harbor auch noch während der Verhandlungen über eine neue Version weiterhin in Kraft belassen hat (Rz. 233 und 236).

Ausblick

Abschließend möchte ich anmerken, dass man nun abwarten muss, wie der EuGH entscheiden wird. Ich denke, die Tendenz ist aber klar. Doch was bedeutet es, wenn von einem auf den anderen Tag Safe Harbor ungültig wäre? Natürlich dürften personenbezogene Daten aus Europa auch weiterhin in die USA übermittelt werden. Hierfür wäre dann jedoch eine andere Grundlage (Einwilligung, Standardvertragsklauseln, etc.) erforderlich. Ich denke zudem, dass man nicht unbedingt einen großen Gewinn für den transatlantischen Datenschutz einfährt, wenn Safe Harbor, ohne Nachfolgeregelungen, für ungültig erklärt wird. Denn dass die Datenstrome einfach aufhören zu fließen, daran kann niemand wirklich glauben. Man wird dann einfach eine Situation mit tausendfacher Rechtsverletzung kreieren. Die Unternehmen stehen natürlich zwischen zwei Stühlen. Verschiedenen, auf sie anwendbare Rechtsordnung. Auch wenn Safe Harbor fällt, werden Sicherheitsbehörden (im Übrigen nicht nur in Drittsaaten) auf Daten bei Unternehmen zugreifen. In diesem Zusammenhang sollte man sich auch einmal die Frage stellen, wie denn der Rechtsschutz und die Aufsicht über den Zugriff von Geheimdiensten bei uns in der EU ausgestaltet sind.

Justizministerium zweifelt an einheitlichem Datenschutzstandard in Europa

Die Europäische Kommission hat in einer Stellungnahme (abrufbar bei netzpolitik.org) den Gesetzesentwurf des Bundesministeriums für Justiz und Verbraucherschutz  (BMJV) zur „Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (PDF) inhaltlich bemängelt.

Die Kommission stört sich insbesondere an der in § 113b des Entwurfs vorgesehenen Pflicht, Vorratsdaten allein im Inland zu speichern:

dass der betreffende Entwurf einer Verordnung eine Verletzung von Artikel 56 AEUV sowie Artikel 1 Absatz 2 der Richtlinie 95/46/EG darstellen würde.

Art. 1 Abs. 2 der Richtlinie 95/46/EG (die geltende Datenschutzrichtlinie) gibt vor, dass Mitgliedstaaten nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des Schutzes der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten beschränken oder untersagen dürfen. Noch deutlicher ist die Vorgabe in Erwägungsgrund 9 der Datenschutzrichtlinie. Danach dürfen die Mitgliedstaaten aufgrund des gleichwertigen Schutzes, der sich aus der Angleichung der einzelstaatlichen Rechtsvorschriften ergibt, den freien Verkehr personenbezogener Daten zwischen ihnen nicht mehr aus Gründen behindern, die den Schutz der Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre betreffen.

Die Pflicht zur Inlandsspeicherung in § 113b des Entwurfs würde aber den freien Verkehr personenbezogener Daten nicht nur behindern, sondern in Bezug auf die Speicherung Vorratsdaten schlicht untersagen.

Zweck der Datenschutzrichtlinie ist es zum einen, die Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre bei der Verarbeitung personenbezogener Daten zu schützen und zum anderen den freien Verkehr von personenbezogenen Daten innerhalb der EU nicht zu behindern.

Gleichwertiger Schutz innerhalb der EU?

Die Datenschutzrichtlinie gibt also auf europäischer Ebene für die Mitgliedstaaten verbindlich vor, dass in ihrem Anwendungsbereich ein gleichwertiges Schutzniveau für personenbezogene Daten existiert. Personenbezogene Daten dürfen innerhalb der EU übermittelt werden, wenn für die Datenverarbeitung (hier die Übermittlung) selbst eine Einwilligung oder gesetzliche Grundlage (z.B. ein Vertrag) existiert.

Das BMJV sieht dies jedoch anders. Die Gesetzesbegründung verweist zur Beschränkung der ebenfalls beeinträchtigten Dienstleistungsfreiheit (Art. 56 AEUV) auf die Notwendigkeit,

um  die  grundrechtlichen  Erfordernisse  des  Datenschutzes  und der  Datensicherheit zu gewährleisten.

Also nutzt die Begründung genau jene Argumente, auf die man ausweislich des Wortlauts der Datenschutzrichtlinie eine Beschränkung des freien Flusses personenbezogener Daten eben gerade nicht stützen darf. Das BMJV zweifelt damit freilich auch ein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU insgesamt an.

Kein Vertrauen in die Arbeit von Aufsichtsbehörden in anderen Mitgliedstaaten

Die Gesetzesbegründung sägt jedoch sogar noch weiter an den eigentlich existierenden europäischen Standards:

Zudem hätten die mit der Überprüfung der Einhaltung der Sicherheitsstandards und des Datenschutzes befassten deutschen öffentlichen Stellen in anderen Mitgliedstaaten der EU  keine unmittelbaren und gleich wirksamen Möglichkeiten zur Prüfung.

Das stimmt. Deutsche Datenschutzbehörden könnten nicht in anderen EU-Ländern tätig werden und die Einhaltung des Datenschutzrechts prüfen. Zuständig wäre vielmehr die jeweilige nationale Aufsichtsbehörde. Doch scheint das BMJV auch kein Vertrauen in die Kompetenz und Prüfungen durch andere europäische Aufsichtsbehörden zu besitzen:

Angesichts des Umfangs der Prüfpflichten und der Tatsache, dass es sich nicht um eine einmalige Überprüfung eines Anbieters sondern um die Wahrnehmung dauerhafter Aufgaben (zum Beispiel bei der Anpassung der Sicherheitskonzepte an den jeweiligen Stand der Technik) handelt, erscheint dies aber zu wenig wirksam.

Mit „dies“ bezieht sich die Gesetzesbegründung auf die in der Datenschutzrichtlinie ausdrücklich vorgesehene Möglichkeit, dass eine Aufsichtsbehörde (etwa in Deutschland) eine andere Behörde in einem EU-Mitgliedstaat um Amtshilfe ersuchen kann, um hoheitliche Maßnahmen vorzunehmen oder die Einhaltung des Datenschutzrechts zu prüfen. Auch mit dieser Begründung verkehrt das BMJV die geltenden Prinzipien der Datenschutzrichtlinie in ihr Gegenteil. Das Instrument der Amtshilfe wird dort ja gerade vorgesehen, weil es eben möglich ist, dass eine nationale Aufsichtsbehörde nicht zuständig ist. Ein gleichwertiges Schutzniveau für personenbezogene Daten existiert aber dennoch (bzw. gerade auch deshalb) innerhalb der EU.

Zudem fragt man sich, welcher “Umfang” hier für die besondere Notwendigkeit einer Inlandsspeicherung und alleinigen Kontrolle durch deutsche Behörden spricht? Denn der in dem Gesetzesentwurf beschriebene Umfang an Pflichten in Bezug auf den Umgangt mit Daten und einzusetzende Datensicherheitsmaßnahmen ist kein anderer als jener, der für jedes normale Unternehmen gilt, wenn es personenbezogene Daten im Rahmen seiner Geschäftstätigkeit verarbeitet.

Mögliche Folgen?

Denkt man die Argumentation im Gesetzesentwurf zu Ende, so würde dies bedeuten, dass kein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU besteht. Personenbezogene Daten dürften dann auch grundsätzlich nicht in andere Mitgliedstaaten übermittelt werden bzw. nur dann, wenn besondere Anforderungen erfüllt sind. Im Prinzip würde man, überspitzt formuliert, jeden Staat außerhalb Deutschlands zum „unsicheren Drittstaat“ deklarieren.

Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung zur Richtlinie zur Einführung der Vorratsdatenspeicherung (C-293/12) bemängelt, dass die fraglichen Daten nicht „im Unionsgebiet auf Vorrat gespeichert werden“. Eine Pflicht zur Speicherung allein in einem Mitgliedstaat, hat der EuGH jedoch nicht aufgestellt.

EuGH-Generalanwalt zur Frage des anwendbaren Datenschutzrechts und der Zuständigkeit von Datenschutzbehörden

Heute hat der Generalanwalt („GA“) am Europäischen Gerichtshof, Pedro Cruz Villalón, seine Schlussanträge in der Sache „Weltimmo“ (C-230/14) vorgelegt. In diesem Vorabentscheidungsersuchen geht es um zwei wichtige Fragen des europäischen Datenschutzrechts:

  1. Welches Recht ist innerhalb der EU anwendbar auf ein Unternehmen, mit alleinigem Sitz in einem Mitgliedstaat, das jedoch über Internetseiten Dienstleistungen auch in anderen Ländern anbietet?
  2. Welche Kompetenzen besitzen Datenschutzbehörden, wenn es darum geht, gegen Unternehmen vorzugehen, die nicht im Mitgliedstaat der Behörde niedergelassen sind und wenn nicht das Datenschutzrecht des Mitgliedstaates dieser Behörde anwendbar ist?

Zu der Vorlagefrage selbst und auch zu dem Sachverhalt habe ich bereits ausführlich berichtet. Ich möchte mich daher nachfolgend auf eine kurze Zusammenfassung der Feststellungen des Generalanwalts beschränken.

Zum anwendbaren Recht und zum Begriff der Niederlassung (Nr. 1)

In dem Verfahren geht es hinsichtlich des anwendbaren Rechts um Art. 4 Abs. 1 lit. a) der Datenschutz-Richtlinie (RL 95/46/EG, „DS-RL“) in dem es heißt:

Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an: a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Zunächst stellt der GA fest, dass diese Vorschrift als Norm fungiert, die im Verhältnis der Mitgliedstaaten zueinander das anwendbare Recht bestimmt. Art. 4 Abs. 1 lit. a ist daher die entscheidende Vorschrift, die als Kollisionsnorm zwischen den Rechtsordnungen der verschiedenen Mitgliedstaaten das anwendbare Recht bestimmt. Mit dieser Aussage des GA wird meines Erachtens auch deutlich, dass eine Rechtswahl des Datenschutzrechts derzeit gerade nicht möglich ist. Welches nationale Datenschutzrecht bindend gilt, ergibt sich eben gerade aus der oben bezeichneten Kollisionsnorm.

Für die korrekte Anwendung von Art. 4 Abs. 1 lit. a DS-RL kommt es entscheidend darauf an, wie der Begriff der „Niederlassung“ ausgelegt wird. So prüft dann auch der GA zunächst, ob Weltimmo eine Niederlassung auf ungarischem Staatsgebiet besitzt. In einem zweiten Schritt wird es um das Merkmal „im Rahmen der Tätigkeit“ gehen und die Frage zu beantworten sein, ob die Datenverarbeitung im Bereich der Tätigkeit dieser Niederlassung stattgefunden hat.

Zunächst geht der GA darauf ein, dass das Unionsrecht besonderen Wert auf einen Begriff der Niederlassung legt, die sich auf die effektive Ausübung der wirtschaftlichen Tätigkeiten und auf einen gewissen Grad an Beständigkeit stützt. Der GA schlägt vor, den Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen.

Danach geht der GA speziell auf die Situation eines ausschließlich über das Internet tätigen Unternehmens ein.

Nach Ansicht des GA kann unter bestimmten Umständen ein Vertreter eines Unternehmens mit dauerhafter Präsenz und wenig mehr als einem tragbaren Computer eine ausreichende Struktur darstellen, um eine effektive, tatsächliche Tätigkeit mit einem ausreichenden Grad an Beständigkeit in einem anderen Mitgliedstaat durchzuführen, als jenem der Hauptniederlassung des Unternehmens. Daher sei es, laut dem GA, notwendig, bei der Bewertung dieser personellen und technischen Mittel sorgfältig die Eigenheiten von Unternehmen zu berücksichtigen, die Leistungen über das Internet anbieten, wobei auf die Besonderheiten der jeweiligen konkreten Situation einzugehen ist.

Zudem macht der GA weitere wichtige Anmerkungen, zu den gerade nicht mit in die Prüfung des anwendbaren Rechts einzubeziehenden Faktoren. So haben, meines Erachtens richtigerweise,

„der Ort, von dem aus die Daten eingegeben wurden, der Mitgliedstaat, auf den die Dienstleistungen ausgerichtet sind, die Staatsangehörigkeit der Betroffenen oder der Ort, an dem die Eigentümer des Unternehmens ihren Wohnsitz haben“

keinen direkten und entscheidenden Einfluss auf die Bestimmung des anzuwendenden Rechts.

Hinsichtlich des weiteren Merkmals von Art. 4 Abs. 1 lit. a DS-RL („im Rahmen der Tätigkeit“), verweist der AG vor allem auf das Urteil des EuGH in Sachen „Google Spain“ (C-131/12).

Für den GA ist jedoch klar, dass wenn die tatsächlichen Feststellungen ergeben sollten, dass Weltimmo ausschließlich in der Slowakei niedergelassen ist, auch nicht ungarisches Datenschutzrecht gelten kann. Selbst wenn Dienstleistungen in der Slowakei angeboten werden. Der GA dazu:

… in dem Sinne zu beantworten, dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 es der ungarischen Datenschutzbehörde verwehrt, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist.

Diese Aussage, so sie denn der EuGH in seinem späteren Urteil bestätigen sollte, wäre für in der EU niedergelassene Unternehmen, die ihre relevante Hauptniederlassung in einem Land konzentrieren, besonders relevant.

Zur zuständigen Aufsichtsbehörde und zu den möglichen Aufsichtsmaßnahmen (Nr. 2)

Sodann geht der GA auf die Vorlagefrage ein, ob es denn möglich wäre, dass zwar slowakisches Datenschutzrecht anwendbar wäre, die ungarische Datenschutzbehörde dennoch Sanktionen verhängen oder die Rechtswidrigkeit der Datenverarbeitung feststellen könnte.

Bereits vorweg: der GA verneint diese Möglichkeit.

Der Kern der Frage, welche Kompetenzen mitgliedstaatliche Aufsichtsbehörden innerhalb der EU über Landesgrenzen hinweg ausüben können, ist von besonderer Praxisrelevanz und spielt auch im Rahmen der finalen Verhandlungen zur Datenschutz-Grundverordnung und dem sog. One stop shop eine wichtige Rolle. Immerhin geht es um das Handeln staatlicher Institutionen und die Ausübung hoheitlicher Befugnisse in anderen Mitgliedstaaten. So führt auch der GA aus:

In der Tat ist im Zusammenhang mit der Zuständigkeit öffentlicher Stellen und folglich mit der Ausübung öffentlich-rechtlicher Hoheitsbefugnisse, insbesondere der Sanktionsbefugnis, unbedingt von den Anforderungen auszugehen, die sich aus den Grundsätzen der territorialen Souveränität des Staates, der Gesetzmäßigkeit der Verwaltung und damit letztlich dem Begriff des Rechtsstaats ergeben.

Die Ausübung von Sanktionsgewalt kann, so der GA, grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden, in denen eine Behörde nach ihrem nationalen Recht ermächtigt ist. Eine Abweichung von dieser Regel scheint zumindest eine spezielle gesetzliche Grundlage zu erfordern, die die Anwendung des öffentlichen Rechts eines anderen Mitgliedstaats erlaubt und abgrenzt. Eine solche gesetzliche Regelung existiert derzeit jedoch nicht. Zu untersuchen ist hier insbesondere Art. 28 Abs. 6 S. 1 DS-RL. Dieser lautet:

Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist.

Der referenzierte Art. 28 Abs. 3 DS-RL listet verschiedene Rechte der Aufsichtsbehörde auf (Untersuchungsbefugnis, Einwirkungsbefugnis und Klagebefugnis). Jedoch gerade nicht die Sanktionsbefugnis. Zwar erlauben die Vorschriften der DS-RL nach Ansicht des GA, dass die Behörde eines Mitgliedstaats die in ihrem Hoheitsgebiet ausgeübten Tätigkeiten überwacht, und zwar auch dann, wenn das Recht eines anderen Mitgliedstaats anwendbar ist. Letztlich besitzen die Aufsichtsbehörden unabhängig vom im Einzelfall anzuwendenden Recht die Untersuchungs- und Einwirkungsbefugnisse, die in Art. 28 Abs. 3 DS-RL genannt sind, allerdings allein in der in ihrem nationalen Recht geregelten Form, im Bereich ihrer geografischen Zuständigkeit.

Möchte also eine Aufsichtsbehörde eines Mitgliedstaates, dessen Datenschutzrecht auf die betreffende Datenverarbeitung nicht anwendbar ist, auch Sanktionen gegen den Verantwortlichen verhängen, so kann sie dies nicht selbst tun. Jedoch hat sie die Möglichkeit, unter Berücksichtigung der Verpflichtung zur Zusammenarbeit der Datenschutzbehörden nach Art. 28 Abs. 6 DS-RL die Behörde des Mitgliedstaats, dessen Recht auf die Datenverarbeitung anwendbar ist, zu ersuchen, die eventuelle Feststellung eines Verstoßes gegen das anwendbare Recht und die eventuelle Verhängung von Sanktionen auf der Grundlage der eingeholten Informationen vorzunehmen. Die unzuständige Behörde besitzt nach Ansicht des GA also durchaus ein Grundgerüst an möglichen Handlungen, jedoch steht ihr nicht die Befugnis zu, eine Datenverarbeitung eines Verantwortlichen aus einem anderen Mitgliedstaat offiziell als rechtswidrig zu bescheiden oder etwa ein Bußgeld zu verhängen.

In Deutschland dürften diese Ausführungen insbesondere für Verfahren gegen Facebook interessant sein. Denn wenn irisches Datenschutzrecht gilt (also keine relevante Niederlassung in Deutschland existiert), so ist die irische Datenschutzbehörde nach Ansicht des GA zumindest für Sanktionen und die Feststellung von rechtswidrigen Verarbeitungen allein verantwortlich.

Der GA führt abschließend aus:

Insbesondere müssen eine eventuelle Feststellung der Rechtswidrigkeit der Datenverarbeitung und die gleichfalls eventuelle Verhängung von Sanktionen, die sich daraus ergibt, in jedem Fall durch die Behörde des Staates erfolgen, dessen materielles Recht nach dem Anknüpfungskriterium von Art. 4 Abs. 1 Buchst. a der Richtlinie auf die Datenverarbeitung anwendbar ist.

All diese Fragen sind hiermit freilich nicht final entschieden. Das Urteil des EuGH steht noch aus. Die Thematik ist jedoch, wie erwähnt, von besonderer Praxisrelevanz und dürfte gerade auch im Trilog zur Datenschutz-Grundverordnung auf den Tisch kommen.

Gericht: Namen und Kontaktdaten von Amtsmitarbeitern dürfen nicht im Internet veröffentlicht werden

Der Bayerische Verwaltungsgerichtshof hat mit Urteil vom 25.03.2015 (Az. 5 B 14.2164) entschieden, dass personenbezogene Daten von Behördenmitarbeitern (etwa Name, Telefon- und Faxnummer) nicht einfach öffentlich im Internet von Dritten zum Abruf bereitgehalten werden dürfen. Es fehle diesbezüglich an einem berechtigten Interesse des Veröffentlichenden und auch das schutzwürdige Interesse des Betroffenen würde, wenn die Informationen ansonsten nicht öffentlich verfügbar sind, überwiegen.

Der Fall
Eine kommunale Wählervereinigung in der Rechtsform eines eingetragenen Vereins, deren Zweck die Teilnahme an Kommunalwahlen ist, wendete sich gegen eine Anordnung des Bayerischen Landesamts für Datenschutzaufsicht (LDA) zur Löschung personenbezogener Daten. Grundlage dieser verwaltungsrechtlichen Anordnung gegen den Verein war, dass dieser auf seiner Homepage den E-Mail-Verkehr zwischen dem Vorstand und einer Angestellten im öffentlichen Dienst im Bürgerbüro des Umweltministeriums veröffentlichte. In der von dem Verein veröffentlichten Adresszeile und in der Signatur der E-Mails waren der Anfangsbuchstabe des Vornamens der Angestellten, ihr Nachname, ihre dienstliche E-Mailadresse, die um die letzten beiden Ziffern gekürzte Telefonnummer, die dienstliche Faxnummer und die Dienstadresse angegeben.

Die Entscheidung
Das Gericht entschied, dass sich der Kläger nicht auf das sogenannte Medienprivileg nach § 41 BDSG berufen kann und dass auch sonst keine Rechtsvorschrift ersichtlich sei, die die Nennung personenbezogener Daten Dritter auf der Homepage erlauben würde.

Veröffentlichung der Daten
Nach Ansicht des Gerichts wurden durch die Veröffentlichung des Mail-Verkehrs und der darin enthaltenen Informationen auf der Homepage die personenbezogenen Daten der Behördenmitarbeiterin in der Weise verarbeitet, das Dritte diese Daten einsehen oder abrufen konnten. Damit lag nach Auffassung des Gerichts eine Datenübermittlung nach § 3 Abs. 4 S. 2 Nr. 3 b) BDSG vor. Was das Gericht hier jedoch unbeachtet lässt ist, dass nach dem Gesetz diese Daten auch tatsächlich eingesehen oder abgerufen werden müssen („einsieht oder abruft“). Im Ergebnis liegt freilich dennoch eine Datenverarbeitung vor, sei es als Speicherung (§ 3 Abs. 4 S. 2 Nr. 1 BDSG) oder in der Form der Weitergabe (§ 3 Abs. 4 S. 2 Nr. 3 a) BDSG), denn für die Weitergabe reicht die Möglichkeit der Kenntnisnahme der Informationen durch einen Dritten aus. Mit Blick auf die Veröffentlichung von Daten auf einer Internetseite entscheid dies der EuGH im Jahre 2003 (C-101/01) noch anders, wobei dieser Entscheidung wohl auch andere Erwägungen zugrundlagen. In der Google-Entscheidung (C-131/12) ging der EuGH jüngst relativ unproblematisch davon aus, dass die Darstellung von Ergebnislisten mit personenbezogenen Daten im Internet eine Weitergabe dieser Daten an Dritte darstellt.

Kein Medienprivileg
Der Verein brachte zu seiner Verteidigung unter anderem vor, dass sein Handeln unter das sog. Medienprivileg (§ 41 BDSG) fallen würde und er daher die Vorgaben des BDSG weitestgehend nicht zu beachten habe. Nach § 41 BDSG werden Unternehmen oder Hilfsunternehmen der Presse von den Bestimmungen des BDSG weitgehend freigestellt, soweit sie personenbezogene Daten ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken erheben, verarbeiten oder nutzen. Dieser Auffassung folgte das Gericht nicht:

Bei der vom Kläger durch seinen Vorstand betriebenen Webseite handelt es sich, wie ein Blick auf den in der Satzung des Vereins beschriebenen Vereinszweck eindeutig zeigt, nicht um eine Tätigkeit im Pressewesen, sondern um eine Tätigkeit in der kommunalen Parteipolitik.

Das Berichten zu einem bestimmten politischen Thema auf der Homepage über eigene Aktivitäten sei für den Verein daher nicht Zweck, sondern nur das Mittel zum eigentlichen Zweck des politisch tätigen Vereins gewesen. Einer Verarbeitung von Daten zu ausschließlich journalistisch-redaktionellen Zwecken fand daher nicht statt.

Auch hier könnte man die Wertung des Gerichts zumindest kritisch hinterfragen. Die im Datenschutzrecht vorgesehene Privilegierung von Datenverarbeitungen für ausschließlich journalistische Zwecke ist nämlich durchaus nicht im Sinne klassischer Pressearbeit zu verstehen. So hat bereits der EuGH festgestellt (C-73/07), dass Handlungen als journalistische Tätigkeiten eingestuft werden können,

wenn sie zum Zweck haben, Informationen, Meinungen oder Ideen, mit welchem Übertragungsmittel auch immer, in der Öffentlichkeit zu verbreiten. Journalistische Tätigkeiten sind nicht Medienunternehmen vorbehalten und können mit der Absicht verbunden sein, Gewinn zu erzielen.

Der EuGH legt die das Medienprivileg also durchaus weit aus. Dies ändert freilich nichts an der Voraussetzung, die Datenverarbeitung ausschließlich zu einem journalistischen Zweck, wie etwa die Verbreitung von Meinungen, vorzunehmen.

Keine gesetzliche Erlaubnis
Damit war klar, dass die Datenverarbeitung vollumfänglich in den Anwendungsbereich des BDSG fiel. Nach § 4 Abs. 1 BDSG war somit eine gesetzliche Erlaubnis oder die Einwilligung der Betroffenen erforderlich. Eine Einwilligung lag freilich nicht vor. Auch § 28 Abs. 1 S. 1 Nr. 2 BDSG, wonach das Übermitteln personenbezogener Daten als Mittel für die Erfüllung eigener Geschäftszwecke zulässig ist, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, konnte vorliegend nicht zu einer Rechtmäßigkeit der Verarbeitung führen.

Das Gericht verneinte bereits das Vorliegen eines Interesses des Vereins, den Namen und die Kontaktdaten der Betroffenen konkret zu benennen. Eine solche Einschätzung hängt freilich immer sehr stark von den Umständen des Einzelfalls ab. Vorliegend besaß die Betroffene ersichtlich keine sachbearbeitende oder sonstwie herausgehobene Funktion. Sie hatte lediglich Fachinformationen von der zuständigen Fachabteilung an den Verein weitergeleitet. Es bestehe schlicht kein Zusammenhang zwischen dem veröffentlichten Inhalt der E-Mails und der Person der Betroffenen.

Das Gericht stellt zum Schluss zudem fest, dass selbst für den Fall, dass ein berechtigtes Interesse des Vereins bestanden hätte, das schutzwürdige Interesse der Betroffenen vorliegend überwogen hätte. Die Begründung ähnelt ein wenig derjenigen, die wir aus dem bereits oben einmal zitierten Google-Urteil des EuGH kennen. Nach dem Gericht handelte es sich insofern um einen nicht ganz unerheblichen Eingriff in das Persönlichkeitsrecht der Betroffenen, deren Daten zudem gerade nicht allgemein zugänglich waren. Diese Feststellung gelte auch für die im öffentlichen Dienst tätigen Mitarbeiter, die ohne ein überwiegendes berechtigtes Interesse mit ihren personenbezogenen Daten nicht einfach im Internet benannt werden dürften. Der für den Verein relevante Verwaltungsvorgang als solcher ließe sich zudem problemlos und ohne sachlichen Informationsverlust auch ohne Nennung personenbezogener Daten darstellen. So stellt das Gericht letztendlich fest:

Zusammengefasst wäre bei einer Interessenabwägung daher dem Interesse der Beigeladenen, ihre personenbezogenen Daten nicht weltweit abrufbar im Internet veröffentlicht zu sehen, der Vorrang einzuräumen.

Fazit
In der Sache und auf der Grundlage der in diesem Einzelfall vorliegenden Umstände, ist das Urteil durchaus vertretbar. Insbesondere im Rahmen der Abwägung der Interessen der Beteiligten steckt jedoch oft ein gewisser Spielraum für Argumentationen, so dass ein Ergebnis kaum per se vorhersehbar erscheint.

Markenrecht: Schützt das Bankgeheimnis vor Ansprüchen des Rechteinhabers?

In Deutschland existiert kein (zumindest kein unmittelbar) gesetzlich festgeschriebenes Bankgeheimnis. Nach § 383 Abs. 1 Nr. 6 ZPO sind jedoch Bankinstitute unter Umständen berechtigt, in Zivilprozesse die Auskunft über bestimmt Informationen zu verweigern (den Bankinstituten steht ein Zeugnisverweigerungsrecht zu). Daher spricht man zumindest von einem „mittelbar“ existierenden Bankgeheimnis.
Doch wie verhält sich das Bankgeheimnis zu Rechtsansprüchen von Dritten, die diese gegenüber Kunden der Bank besitzen und durchsetzen möchten, dazu jedoch Gewissheit erlangen müssen, wer der Inhaber eines Bankkontos ist?

Einen solchen Fall hat der Bundesgerichtshof (BGH) im Jahre 2013 dem Europäischen Gerichtshof (EuGH) zur Beantwortung vorgelegt (Rechtssache C-580/13). Hierüber hatte der Kollege Thomas Stadler in seinem Blog berichtet.

Worum geht es: Der exklusive Lizenzinhaber einer Marke (an dem Parfum „Davidoff Hot Water“) kaufte auf einer Internetauktionsplattform einen gefälschten Parfumflakon. Den Preis hierfür zahlte der Lizenzinhaber auf ein Bankkonto bei einer Sparkasse ein. Nachdem der Inhaber des Verkäuferkontos angab, nicht den in Rede stehenden Verkauf getätigt zu haben, wandte sich der Lizenzinhaber an die Sparkasse, um zu erfahren, wer denn hinter dem Bankkonto steckt. Damit machte der Lizenzinhaber einen gesetzlich in § 19 Abs. 2 MarkenG festgeschriebenen Auskunftsanspruch geltend, der wiederum auf Art. 8 der europäischen Richtlinie 2004/48 (PDF) beruht. Die Sparkasse weigerte sich, mit Verweis auf § 383 Abs. 1 Nr. 6 ZPO, die Auskunft zu erteilen.

Das Urteil des EuGH steht noch aus, jedoch hat nun der zuständige Generalanwalt am EuGH seine Stellungnahme abgegeben und seine Entscheidungsempfehlung ausgesprochen. Kurz gesagt: die vorbehaltlose Verweigerung der Auskunftserteilung mit Verweis auf das Bankgeheimnis ist ohne eine gerichtliche Prüfung nicht mit EU-Recht vereinbar.

Art. 8 RL 2004/48 sieht vor, dass die Mitgliedstaaten sicherstellen müssen, „dass die zuständigen Gerichte im Zusammenhang mit einem Verfahren wegen Verletzung eines Rechts des geistigen Eigentums auf einen begründeten und die Verhältnismäßigkeit wahrenden Antrag des Klägers hin anordnen können, dass Auskünfte über den Ursprung und die Vertriebswege von Waren oder Dienstleistungen, die ein Recht des geistigen Eigentums verletzen, von dem Verletzer und/oder jeder anderen Person erteilt werden“. Diese Auskunft erstreckt sich auch auf Namen und Adresse der Vertreiber und Verkaufsstellen.

Nach Ansicht des Generalanwalts hat die Weigerung der Auskunftserteilung durch die Sparkasse die Einschränkung von zwei europäischen Grundrechten zur Folge: das Recht auf geistiges Eigentum (Art. 17 Abs. 2 der Charta der Grundrechte der Europäischen Union) und das Recht auf einen wirksamen Rechtsbehelf nach Art. 47 der Charta, welches gerade ein notwendiges Instrument zum Schutz des ersteren Grundrechts darstellt. Auf Seiten des Bankinstituts stehe hingegen das Recht der Bankkunden auf Schutz personenbezogener Daten (Art. 8 der Charta), welches die Bank durch das Bankgeheimnis zumindest mittelbar zu schätzen versuche.

Art. 52 Abs. 1 der Charta enthält die Voraussetzungen, unter denen die Einschränkung eines Grundrechts rechtmäßig erfolgen kann. Die Grundrechtseinschränkung muss gesetzlich vorgesehen sein, den Wesensgehalt der betroffenen Rechte und Freiheiten achten und schließlich geeignet und erforderlich sein, um die verfolgte Zielsetzung zu erreichen, sowie dem Grundsatz der Verhältnismäßigkeit entsprechen.

Art. 52 Abs. 1 der Charta bestimmt außerdem, dass die Grundrechtseinschränkung den „Wesensgehalt“ des oder der betroffenen Grundrechte achten muss. Hier bestehen für den Generalanwalt „die größten Zweifel“ vor allem hinsichtlich des Rechts des Lizenznehmers auf einen wirksamen Rechtsbehelf.

Die Wirksamkeit des Rechtsschutzes, den die Lizenznehmerin der verletzten Marke verlangt, scheint in Deutschland unter Umständen wie im vorliegenden Fall ausschließlich davon abzuhängen, dass das Bankinstitut, von dem die Auskunft begehrt wird und das vertraglich gegenüber seinen Kunden zur Verschwiegenheit verpflichtet ist, aus welchem Grund auch immer darauf verzichtet, vom Zeugnisverweigerungsrecht nach § 383 Abs. 1 Nr. 6 ZPO Gebrauch zu machen.

Des Weiteren prüft der Generalanwalt, ob es unter den Umständen des vorliegenden Falles geeignet, erforderlich und verhältnismäßig ist, den Lizenznehmer unter Hinweis auf das Bankgeheimnis die Ausübung seines Rechts auf einen wirksamen Rechtsbehelf zu versagen.

Von besonderer Bedeutung ist für den Generalanwalt die Frage, ob die Einschränkung der Grundrechte erforderlich ist. Die Einschränkung der Grundrechte sei hier nur dann erforderlich, wenn der verfolgte Zweck (Schutz der Kundendaten durch die Bank) nicht auch durch eine Maßnahme erreicht werden kann, die diese Rechte in geringerem Maß einschränkt. Insoweit müsse nach dem Generalanwalt geprüft werden, ob die Daten, die von der Sparkasse verlangt werden, möglicherweise auf einem anderen Weg oder aus einer anderen Quelle als über das Bankinstitut erlangt werden können. In jedem Fall müsse das nationale Gericht im Rahmen dieser Verhältnismäßigkeitsprüfung alle betroffenen Grundrechte berücksichtigen und in der Folge eine Abwägung kollidierender Grundrechte vornehmen.

Gutachten des Europäischen Parlaments: Voraussetzungen für eine zulässige Vorratsdatenspeicherung

Wie geht es weiter mit einer Vorratsdatenspeicherung in Deutschland? Welche Möglichkeiten bestehen für den nationalen Gesetzgeber, neue Gesetze zu erlassen, nachdem der Gerichtshof der Europäischen Union (EuGH) im April 2014 die EU-Richtlinie zur Vorratsdatenspeicherung für unwirksam erklärt hat (C 293/12)? Ist eine nationale „VDS“ überhaupt möglich?

Antworten auf einige dieser Fragen versucht ein Gutachten des juristischen Dienstes des Europäischen Parlaments aus dem Dezember 2014 (PDF) zu geben. Das Gutachten wurde aufgrund von mehreren Fragen des Ausschusses für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) verfasst. Das Gutachten hat einen Umfang von 27 Seiten und soll hier nicht in Gänze besprochen werden. Nachfolgend nur zu einigen, gerade aus der Sicht des deutschen Gesetzgebers relevanten, Aussagen.

Vorschriften zur Speicherung von Daten bei der Nutzung öffentlich zugänglicher elektronischer Kommunikationsdienste auf Vorrat fallen in den Anwendungsbereich von Art. 15 Abs. 1 der RL 2002/58/EG (in der Fassung der RL 2009/136/EG, PDF) und müssen zunächst die gesetzlichen Vorgaben dieser Vorschrift erfüllen. Ein durch gesetzliche Vorschriften zur Speicherung von Daten stattfindender Eingriff in die Rechte der Betroffenen ist danach dann erlaubt,

sofern eine solche Beschränkung gemäß Artikel 13 Absatz 1 der Richtlinie 95/46/EG für die nationale Sicherheit, (d. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist.

Zudem setzen nationale Vorschriften, die sich auf die Erlaubnis des Art. 15 Abs. 1 der RL 2002/58/EG stützen, europäisches Recht um. Als Folge müssen sich die nationalen Regelungen an den Vorgaben der Charta der Grundrechte der Europäischen Union (EU-Charta, PDF) messen lassen. Insbesondere Art. 7 (Achtung des Privat- und Familienlebens) und 8 (Schutz personenbezogener Daten) sowie Art. 52 Abs. 1 (Tragweite und Auslegung der Rechte und Grundsätze) der EU-Charta sind insofern durch den nationalen Gesetzgeber zu beachten. Bei der Auslegung dieser Artikel ist dann auch das Urteil des EuGH zur Unwirksamkeit der Richtlinie zur Vorratsdatenspeicherung und sind die konkreten Vorgaben des Gerichtshofs zu beachten. Hierzu gehören insbesondere:

  • klare und präzise Regeln für die Tragweite und die Anwendung der fraglichen Maßnahme vorsehen und
  • Mindestanforderungen aufstellen, so dass die Personen, deren Daten auf Vorrat gespeichert wurden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer personenbezogenen Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen und
  • Bestimmungen zu entwickeln, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Das Gutachten des juristischen Dienstes geht jedoch nicht davon aus, dass nationale Regelungen zur Vorrastdatenspeicherung per se unzulässig wären. Die Verfasser gehen ausdrücklich davon aus, dass bestehende Regelungen zur Vorratsdatenspeicherung durchaus beibehalten werden können, wenn sie denn die Vorgaben der jeweiligen europäischen Richtlinie und der EU-Charta (unter Berücksichtigung der Auslegung durch den EuGH) erfüllen.

Das Gutachten geht zudem auf die Frage ein, inwieweit das Urteil sowohl bestehende internationale Abkommen zum Datenaustausch oder zur Datenspeicherung berührt und wie die Vorgaben des EuGH bei sich derzeit in Verhandlung befindenden Gesetzesvorhaben (Stichwort „Fluggastdaten“) zu berücksichtigen sind. Das Gutachten ist durchaus lesenswert und zeigt außerdem interessante Parallelen zur Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte auf.

Berliner Datenschutzbeauftragter: Safe Harbor am Ende?

Am 28. Januar 2015 wurde der 9. Europäische Datenschutztag gefeiert. Die deutschen Datenschutzaufsichtsbehörden nahmen dies bei der von Ihnen gemeinsam in Berlin initiieren Veranstaltung zum Anlass, um zuvor auf einer Pressekonferenz Kritik an der derzeitigen Praxis von Datentransfers in die USA zu üben (vgl. die Meldung bei heise online).

Nach Auffassung der deutschen Behörden können Datenübermittlungen in die USA nicht mehr ohne weiteres auf das bestehende Instrument „Safe Harbor“ gestützt werden. Hierbei handelt es sich um eine Entscheidung der Europäischen Kommission, die Unternehmen, welche sich einem freiwilligen Selbstzertifizierungssystem unterwerfen, ein angemessenes Datenschutzniveau bescheinigt und damit auch Übermittlungen personenbezogener Daten an diese Unternehmen aus der Europäischen Union gestattet (zu Safe Harbor hatte ich bereits früher einmal gebloggt).

Die deutschen Behörden haben nach der Safe Harbor Entscheidung unter bestimmten Voraussetzungen die Befugnis, einzelne Datenübermittlungen in die USA zu untersagen, insbesondere wenn die Vorgaben der Entscheidung systematisch verletzt werden würden. Aus Sicht der deutschen Aufsichtsbehörden sind die Voraussetzungen derzeit erfüllt. Aus diesem Grund wurden in Berlin und Bremen auch entsprechende Verwaltungsverfahren eingeleitet, die konkrete und laufende Datenübermittlungen unterbinden sollen. Diese laufen gegenwärtig noch und sind nicht abgeschlossen.

Der Berliner Datenschutzbeauftragte, Dr. Dix, hat im Rahmen der Veranstaltung am 28. Januar 2015 in Berlin einen Vortrag zum gegenwärtigen Stand von Safe Harbor aus Sicht der Aufsichtsbehörden gehalten. Dieser Vortrag ist nun kostenlos abrufbar (PDF) und durchaus interessant zu lesen, auch wenn man freilich nicht jeder in dem Beitrag vertretenen Ansichten folgen muss.

Wie es mit Safe Harbor weitergeht, bleibt abzuwarten. Das Vorabentscheidungsersuchen des irischen High Court an den EuGH im Verfahren zwischen Max Schrems und der irischen Datenschutzbehörde, dürfte die nächste wichtige Wegmarke darstellen.

Verbandsklagerecht bei Datenschutzverstößen: Geplante Änderungen und offene Fragen

Gestern hat das Bundeskabinett den Entwurf für ein Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (PDF) beschlossen. Nach der Gesetzesbegründung soll durch eine geplante Neuregelung des § 2 Abs. 2 UKlaG ausdrücklich geregelt werden, dass datenschutzrechtliche Vorschriften, welche die Zulässigkeit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten eines Verbrauchers durch einen Unternehmer zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens von Auskunfteien, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken regeln, Verbraucherschutzgesetze im Sinne des § 2 Abs. 1 UKlaG sind (neuer § 2 Abs. 2 S. 1 Nr. 11 UKlaG-E). Als Folge können dann anspruchsberechtigte Stellen (§ 3 UKlaG), wie etwa Verbraucherschutzverbände, Unterlassungs- und (ebenfalls neu geplant) Beseitigungsansprüche gegen Unternehmen geltend machen, die gegen Datenschutzvorschriften verstoßen, welche eine Datenverarbeitung zu oben benannten Zwecken regeln.

Zwei wichtige Änderungen
Einen ersten Referentenentwurf des Bundesministeriums für Justiz und Verbraucherschutz hatte ich hier im Blog bereits im Juni 2014 veröffentlicht und umfassend besprochen.

Der nun verabschiedete Entwurf ist vor allem in zwei Punkten angepasst worden:

  • Die datenschutzrechtlichen Vorschriften, gegen die verstoßen werden muss, um anspruchsberechtigten Stellen eine Klagemöglichkeit zu eröffnen, wurden thematisch eingeschränkt. Ob diese Beschränkung ausreicht bzw. wie diese Beschränkung grundsätzlich zu beurteilen ist, kann man noch einmal vertiefter erörtern. Gerade der Begriff „zu vergleichbaren kommerziellen Zwecken“ dürfte aufgrund seiner Unschärfe in der Praxis auf erhebliche Anwendungsschwierigkeiten stoßen.
  • Zudem soll ein neuer § 12a UKlaG-E eingeführt werden, der die Beteiligung der zuständigen Landesdatenschutzbehörden sicherstellen soll. Das Gericht hat nach dem Entwurf vor einer Entscheidung in einem Verfahren über einen Anspruch nach § 2 UKlaG, das eine Zuwiderhandlung gegen ein Verbraucherschutzgesetz nach § 2 Abs. 2 S. 1 Nr. 11 UKlaG-E zum Gegenstand hat, die zuständige inländische Datenschutzbehörde zu hören.

Konformität mit Europarecht
Ich möchte mich nachfolgend noch kurz einer möglichen Europarechtswidrigkeit des Gesetzesentwurfs widmen. Bereits in meinem Beitrag zu dem ersten Entwurf, habe ich hier Probleme mit der Vereinbarkeit europäischen Rechts gesehen. Die Begründung zum neuen Gesetzesentwurf sieht diesen mit europäischem Recht vereinbar. Insbesondere weißt die Gesetzesbegründung darauf hin, dass mit Blick auf die Datenschutzrichtlinie 95/46/EG der Europäische Gerichtshof zwar grundsätzlich von einer vollständigen Harmonisierung ausgehe. Dies beziehe sich allerdings nur auf das materielle Datenschutzrecht und nicht auf die Rechtsbehelfe und Sanktionen (Kapitel III). Der deutsche Gesetzgeber sieht konkret Kapitel III der Richtlinie 95/46/EG als nicht abschließend an. Die Mitgliedstaaten könnten daneben auch noch weitere Rechtsbehelfe zur Durchsetzung des Datenschutzrechts, insbesondere auch Verbandsklagen vorsehen.

Ob diese Ansicht zutreffend ist, möchte ich zumindest hinterfragen. So hat der Europäische Gerichtshof nämlich gerade mit Blick auf die benannten „Rechte“ und damit auch Rechtsbehelfe (also Instrumente, um diese Rechte durchzusetzen) ausdrücklich entscheiden (Urt. v. 6.11.2003, C-101/01, Rz. 95):

Wie sich insbesondere aus ihrer achten Begründungserwägung ergibt, bezweckt die Richtlinie 95/46, hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten in allen Mitgliedstaaten ein gleichwertiges Schutzniveau herzustellen. (Hervorhebung durch mich)

Und weiter geht der EuGH darauf ein, dass Mitgliedstaaten durchaus in bestimmten Bereichen die Möglichkeit besitzen, besondere Regelungen zu schaffen. Jedoch stellt er auch klar (Rz. 97):

Von diesen Möglichkeiten muss aber in der in der Richtlinie 95/46 vorgesehenen Art und Weise und im Einklang mit ihrem Ziel Gebrauch gemacht werden“

Für mich jedoch besonders relevant in Bezug auf die Frage der Europarechtskonformität der geplanten Übertragung von Klagemöglichkeiten auf Verbände ist Art. 28 Abs. 4 DS-RL. Danach kann sich jede Person oder ein sie vertretender Verband zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden (Hervorhebung durch den Autor). Verbände, die betroffene Personen vertreten, können sich also an die Datenschutzbehörden wenden. Dieses Recht steht auch den Betroffenen selbst zu.

Und die Datenschutzrichtlinie sieht eben eine solche Möglichkeit für Mitgliedstaaten nicht vor. Nach Art. 22 Richtlinie 95/46/EG haben Betroffene auch das Recht, bei der Verletzung der Rechte, die ihnen durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einzulegen. Der Verband oder eine Vertretung der Betroffenen ist in diesem Zusammenhang in der Richtlinie 95/46/EG aber gerade nicht aufgeführt und die Möglichkeit für Mitgliedstaaten, ein Verbandsklagerecht zu schaffen, ist nicht vorgesehen. Dass eine solche Möglichkeit über die Vorgaben der Richtlinie 95/46/EG hinausgeht, kann man meines Erachtens auch daraus ableiten, dass Art. 28 Abs. 4 Richtlinie 95/46/EG die Verbände ausdrücklich anspricht und ihre Tätigkeit regelt. Danach kann sich jede Person oder ein sie vertretender Verband sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden. Der Richtliniengeber hat also gerade nur einen Fall der Beteiligung von Verbänden geregelt und zwar jenen, dass diese Betroffene gegenüber einer Behörde vertreten. Nicht jedoch gegenüber einem Gericht.

Fazit
Man wird abwarten müssen, wie der Gesetzentwurf im ordentlichen Gesetzgebungsverfahren noch angepasst wird. Meines Erachtens bestehen jedoch nicht unbegründete Bedenken, dass hier eine Kollision mit europäischen Vorgaben existiert. Vielleicht muss diese Frage am Ende auch der Europäische Gerichtshof selbst entscheiden. Die Thematik an sich wird uns jedoch weiter beschäftigen, da die geplante Datenschutz-Grundverordnung ein Verbandsklagerecht vorsieht.