OLG Frankfurt: Einsatz von Cookies für Werbezwecke erfordert kein Opt-in

Das OLG Frankfurt am Main hat mit Urteil vom 17.12.2015 (Az.: 6 U 30/15) über die Wirksamkeit der im Rahmen eines Gewinnspiels im Internet eingeholten Einwilligung in die Datenverarbeitung für Werbezwecke mittels Cookies entschieden. (Hinweis: JBB Rechtsanwälte waren an dem Rechtsstreit als Verfahrensbevollmächtigte beteiligt).

Das Urteil ist insbesondere deshalb interessant, weil es sich unter anderem mit der Frage auseinandersetzt, ob die sogenannte ePrivacy- oder Cookie-Richtlinie (RL 2002/58/EG in der Fassung der RL 2009/136/EG, PDF) und deren Vorgaben zur Einwilligung beim Einsatz von Cookies in Deutschland unmittelbar anwendbar sind. Diese Frage ist seit Jahren umstritten.

Ausgangslage

Im ursprünglichen Verfahren hat ein Verbraucherschutzverband gegen den Veranstalter eines Gewinnspiels im Internet geklagt. Angegriffen wurde hierbei unter anderem eine Einwilligungserklärung, in der sich Teilnehmer des Gewinnspiels damit einverstanden erklärten, dass nach ihrer Registrierung ein Cookie gesetzt wird, über das eine Auswertung des Surf- und Nutzungsverhaltens auf Webseiten von Werbepartnern und eine Verwendung für interessengerechte Werbung ermöglicht werden.

In der Einwilligungserklärung, die mittels eines bereits angekreuzten Kästchens (opt-out) eingeholt wurde, fand sich zudem ein Link auf weitere Informationen zum Einsatz des  Cookies und der damit zusammenhängenden Datenverarbeitung.

Urteil

Der vom Verbraucherschutzverband geltend gemachte Unterlassungsanspruch (§ 1 UKlaG) gegen die Einwilligungserklärung wurde vom OLG zurückgewiesen.

Die Einwilligungserklärungen qualifizierte das Gericht als eine Allgemeine Geschäftsbedingung und war damit nach Auffassung des Senats auch einer Inhaltskontrolle (§ 307 BGB) zugänglich. Jedoch verstößt die Einwilligungserklärung gegen keine der insoweit maßgeblichen gesetzlichen Vorgaben der §§ 4a, 28 Abs. 3a BDSG sowie §§ 13 Abs. 2, 15 Abs. 3 TMG).

Dies gilt, so das OLG, auch dann, wenn man diese Vorschriften nach Ablauf der Umsetzungsfrist der Neuregelung des Artikel 5 Abs. 3 ePrivacy-Richtlinie richtlinienkonform auslegen möchte.

Opt-out ausreichend

Das Gericht stellt fest, dass den genannten datenschutzrechtlichen Vorschriften das Erfordernis einer ausdrücklich erteilten Einwilligung (opt-in) nicht zu entnehmen ist. Vielmehr kann die Einwilligung auch dadurch erklärt werden, dass der Nutzer einen bereits gesetzten Haken in einem Kästchen nicht entfernt (opt-out). Das Gericht verweist hierzu auf das sogenannte Payback-Urteil des Bundesgerichtshofs.

Ohne Erfolg berief sich der Verbraucherschutzverband darauf, dass nach Ablauf der Umsetzungsfrist der ePrivacy-Richtlinie das nationale Recht richtlinienkonform dahingehend ausgelegt werden müsste, dass ein solches Opt-Out Verfahren nicht ausreiche. Art. 5 Abs. 3 ePrivacy-Richtlinie enthält nämlich keine Regelung, die ein Ort in Verfahren zwingend vorschreiben würde. Danach haben die Mitgliedstaaten sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Hierzu das Gericht:

Dort ist jeweils nur von der klaren und umfassenden bzw. verständlichen Information die Rede, die dem Nutzer vor Abgabe der Einwilligungserklärung gegeben werden muss. Dem steht ein “opt-out”-Verfahren nicht generell entgegen.

Zudem, lässt sich zusätzlich anführen, dass der Begriff der „Einwilligung“ in der ePrivacy-Richtlinie genau derselbe ist wie in der europäischen Datenschutzrichtlinie (RL 95/46/EG) (vgl. Art. 2 f) ePrivacy-Richtlinie).

Der Verbraucherschutzverband argumentierte zudem mit einer Stellungnahme der europäischen Art. 29 Datenschutzgruppe vom 8.12.2011. Dabei handelt es sich aber nach Auffassung des Gerichts

nur um eine unverbindliche Meinungsäußerung dieses Beratungsgremiums.

Dieser Meinungsäußerung folgt das OLG Frankfurt nicht. Zwar fordert die Art. 29 Datenschutzgruppe eine „bejahende Handlung“ des Nutzers, durch die das Setzen des Cookies und die danach erfolgende Datenverarbeitung akzeptiert werden müsse. Dies beziehe sich jedoch nicht auf die Frage, ob eine Einwilligungserklärung auch im Rahmen des Opt-Out-Verfahrens eingeholt werden kann.

Möglichkeit der Verweigerung

Zudem stellt das OLG fest, dass der durchschnittliche Internetnutzer heute weiß, dass er ein Häkchen in einem Kästchen durch Anklicken des Feldes entfernen und damit seine Einwilligung verweigern kann. Ein ausdrücklicher Hinweis auf diese Möglichkeit ist daher nicht erforderlich.

Hervorhebung der Einwilligungserklärung

Auch ist es nicht unzulässig, dass wesentliche Informationen zum Einsatz des Cookies unter Datenverarbeitung nicht schon in der Einwilligungserklärung selbst, sondern erst in der verlinkten Erläuterung erteilt werden. Zwar verlangt § 28 Abs. 3a S. 2 BDSG hier, dass die Einwilligung „in drucktechnisch deutlicher Gestaltung besonders hervorzuheben” ist. Dies war jedoch der Fall. Denn die besondere Hervorhebung bezieht sich nur auf die Einwilligungserklärung selbst, und nicht auf die weiteren erläuternden Informationen, die durchaus (über einen deutlich gekennzeichneten Link) auf einer weiteren Informationsebene erteilt werden können.

Auch inhaltlich beanstandete das OLG Frankfurt die Einwilligungserklärung nicht. Insbesondere würden die Funktionen des Cookies richtig herausgestellt werden. Dabei müssen sich die Anforderungen an die erforderlichen Informationen für den Nutzer (wenn sie denn ihren Sinn erfüllen sollten) auch an der Fähigkeit und Bereitschaft des Nutzers orientieren, sich mit diesen Fragen überhaupt tatsächlich zu befassen.

Fazit

Die Frage, ob die ePrivacy-Richtlinie in Deutschland tatsächlich umgesetzt wurde oder nicht, stellt das OLG nicht. Selbst bei einer richtlinienkonform Auslegung der Richtlinie würde die Einholung einer Einwilligung für Werbezwecke im Rahmen eines Opt-Out-Verfahrens genügen. Die ausdrückliche Erteilung der Einwilligung (etwa durch aktives Ankreuzen eines Kästchens) ist also beim Einsatz von Cookies für Werbezwecke nicht erforderlich.

Europäische Kommission veröffentlicht ihre Analyse des Safe Harbor-Urteils

Heute hat die Europäische Kommission in einer Mitteilung (PDF) ihre Analyse des Safe Harbor-Urteils des europäischen Gerichtshofs veröffentlicht.

Neue Erkenntnisse oder Informationen zu den rechtlichen Möglichkeiten für Datentransfers in die USA finden sich in der Position kaum. Zumeist verweist die Kommission auf Stellungnahmen der Art. 29 Datenschutzgruppe. Einige Kernpunkte des Papiers möchte ich nachfolgend dennoch ansprechen:

Standardvertragsklauseln

Mit Blick auf den Einsatz von Standardvertragsklauseln (welche durch die Europäische Kommission auf der Grundlage von Art. 26 Abs. 4 der Datenschutzrichtlinie erlassen wurden und „ausreichende Garantien“ im Sinne von Art. 26 Abs. 2 der Datenschutzrichtlinie darstellen) stellt die Kommission fest, dass nationale Datenschutzbehörden dem Grunde nach verpflichtet sind, diese als rechtmäßige Möglichkeit eines Datentransfers in einen Drittstaat zu akzeptieren. Der Grund hierfür ist die rechtliche Verbindlichkeit von Kommissionsentscheidungen in den Mitgliedstaaten.

Weiterhin stellt die Kommission fest, dass Datenschutzbehörden Datentransfers auf der Grundlage von Standardvertragsklauseln nicht mit der Begründung untersagen dürfen, dass die Standardvertragsklauseln keine ausreichenden Garantien bieten würden. Denn genau dies hat die Europäische Kommission verbindlich festgestellt. Natürlich ist es den nationalen Datenschutzbehörden unbenommen, Datentransfers auf der Grundlage der Standardvertragsklauseln auf ihre Rechtmäßigkeit (gerade mit Blick auf die Entscheidung des Europäischen Gerichtshofs) zu prüfen. Sollten seitens der Datenschutzbehörde Zweifel bestehen, legt die Kommission in ihrer Mitteilung nahe, dass die nationalen Behörden einen solchen Sachverhalt vor ein nationales Gericht zu Prüfung bringen sollten, damit dieses wiederum die Frage der Rechtmäßigkeit des Datentransfers und damit implizit auch der zugrunde liegenden Standardvertragsklauseln zum Europäischen Gerichtshof vorlegen kann.

Daneben weist die Europäische Kommission darauf hin, dass verantwortliche Stellen in der EU natürlich zusätzliche (auch vertragliche) Garantien vorsehen können. Dies gerade in den Fällen, wenn sie Informationen dazu erhalten, dass das Rechtssystem im Drittstaat die datenimportieren Stelle an der Erfüllung ihrer vertraglichen Pflichten aus den Standardvertragsklauseln hindern könnte.

Ausnahmeregelungen

Zudem befasst sich die Mitteilung der Europäischen Kommission mit den gesetzlichen Ausnahmeregelungen (Art. 26 Abs. 1 der Datenschutzrichtlinie). Hier weist die Europäische Kommission darauf hin, dass die datenexportierende Stelle gerade nicht dazu verpflichtet ist, dafür Sorge zu tragen, dass die importierende Stelle ausreichende Garantien mit Blick auf den Schutz personenbezogener Daten bietet. Denn die Ausnahmeregelungen gelten ja gerade für den Fall, dass ausreichende Garantien nicht existieren.

Kompetenzen der nationalen Datenschutzbehörden

Auch wenn die Europäische Kommission mehrmals darauf hinweist, dass nationale Datenschutzbehörden in völliger Unabhängigkeit handeln können und auch müssen, so stellt sie in ihrer Mitteilung dennoch ausdrücklich fest, dass die Datenschutzbehörden Datentransfers auf der Grundlage einer Angemessenheitsentscheidung der Kommission oder einer Entscheidung über das Vorhandensein ausreichender Garantien (wie Standardvertragsklauseln), im Rahmen von Beschwerden nur auf ihre Rechtmäßigkeit hin nur überprüfen(!) dürfen. Jedoch, so die Kommission, dürfen die nationalen Datenschutzbehörden in einem solchen Fall keine verbindliche Entscheidung treffen, sondern die Mitgliedstaaten müssen in einem solchen Fall ein Klagerecht für Datenschutzbehörden vorsehen, damit das Verfahren vor ein nationales Gericht gebracht werden kann.

The DPAs remain competent to examine claims within the meaning of Article 28(4) of Directive 95/46/EC that the data transfer complies with the requirements laid down by the Directive (as interpreted by the Court of Justice), but cannot make a definitive finding. (S. 14)

Weitere Auswirkungen des Urteils

Zuletzt kündigt die Kommission an das sie vor dem Hintergrund des Urteils alle bestehenden Angemessenheitsbeschlüsse für Drittstaaten (unter anderem Argentinien, Kanada, Israel und Schweiz) überprüfen werde und insbesondere jene Klauseln in den Angemessenheitsentscheidung anpassen wird, die der europäische Gerichtshof im Rahmen des Safe Harbor-Urteils für ungültig erklärt hat. Hierbei bezieht sich die Kommission auf Vorschriften, die die Ausübung der Kompetenzen der nationalen Datenschutzbehörden unter bestimmte Voraussetzungen stellen.

Juristischer Dienst des Europäischen Parlaments: EuGH urteilte nicht zu US-Gesetzen

Gestern fand im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments eine Aussprache zum Safe Harbor-Urteil des EuGH statt. Unter anderem präsentierte ein Vertreter des juristischen Dienstes des Europäischen Parlaments die Kernelemente der Entscheidung.  Das Video zu der Aussprache ist hier abrufbar. Die Präsentation beginnt ab ca. 15.18.00.

Meines Erachtens von besonderer Relevanz und begrüßenswert sind die Feststellungen des juristischen Dienstes im Hinblick auf jene Urteilsgründe, in denen sich der EuGH mit der Zulässigkeit der Überwachung der Kommunikation durch stattliche Behörden befasst. In der Berichterstattung zu dem Urteil wurde oft auf die Rz. 93, 94 und 95 verwiesen, die ich hier noch einmal abbilde:

93 Nicht auf das absolut Notwendige beschränkt ist eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen (vgl. in diesem Sinne, in Bezug auf die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG [ABl. L 105, S. 54], Urteil Digital Rights Ireland u. a., C‑293/12 und C‑594/12, EU:C:2014:238, Rn. 57 bis 61).

94 Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens (vgl. in diesem Sinne Urteil Digital Rights Ireland u. a., C‑293/12 und C‑594/12, EU:C:2014:238, Rn. 39).

95 Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz. Nach Art. 47 Abs. 1 der Charta hat nämlich jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, das Recht, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. Insoweit ist schon das Vorhandensein einer wirksamen, zur Gewährleistung der Einhaltung des Unionsrechts dienenden gerichtlichen Kontrolle dem Wesen eines Rechtsstaats inhärent (vgl. in diesem Sinne Urteile Les Verts/Parlament, 294/83, EU:C:1986:166, Rn. 23, Johnston, 222/84, EU:C:1986:206, Rn. 18 und 19, Heylens u. a., 222/86, EU:C:1987:442, Rn. 14, sowie UGT‑Rioja u. a., C‑428/06 bis C‑434/06, EU:C:2008:488, Rn. 80).

Vor allem aus der Feststellung in Rz. 94 könnte man schließen, dass es sich dabei um „Regelungen“ in US-Gesetzen handelt oder dass der EuGH mit „Regelungen“ ausländische Vorschriften anspricht. Doch dies ist gerade nicht der Fall. Der EuGH bezieht sich in diesen Randnummern auf das Schutzniveau innerhalb der EU und was im Rahmen dieses Schutzniveaus gesetzlich nicht zulässig ist.

Klar wird der Bezug auf das europäische Recht auch, wenn man Rz. 96 betrachtet. Dort fasst der EuGH noch einmal zusammen, dass eine Angemessenheitsentscheidung eines Mitgliedstaates oder der EU-Kommission mit Blick auf das Schutzniveau in einem Drittstaat begründete Feststellungen enthalten muss,

dass das betreffende Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleistet, das dem in der Rechtsordnung der Union garantierten Niveau, wie es sich insbesondere aus den vorstehenden Randnummern des vorliegenden Urteils ergibt, der Sache nach gleichwertig ist. (Hervorhebung durch mich)

Der EuGH bezieht sich hier noch einmal auf die Rz. 93 ff. und macht deutlich, dass es sich in den Ausführungen in diesen Randnummern um das in der Union garantierte Schutzniveau und die (grund)rechtlichen Vorgaben innerhalb der EU geht. Gegenstand der Begutachtung war nicht das amerikanische Recht. Inhalt eines Angemessenheitsbeschlusses muss damit die Feststellung sein, dass die Gesetze und/oder Verpflichtungen aus internationalen Abkommen in dem Drittstaat dieses in der Union garantierte Niveau (welches sich aus den Rz. 93 ff ergibt) nicht unterschreiten. Der EuGH gibt dem Grund nach also im Groben vor, welches Schutzniveau in der Union mit Blick auf die Überwachung durch Geheimdienste und Rechtsschutzmöglichkeiten für Bürger gilt und dass dieses Niveau gleichwertig in einem Drittland existieren muss. Ob dies für die USA der Fall ist, dazu hat sich der EuGH nicht verhalten. In der zu beurteilenden Safe Harbor-Entscheidung wurde schlicht die gesetzlich erforderliche Feststellung zum Schutzniveau nicht vorgenommen. Aus diesem Grund ist Safe Harbor ungültig.

Update vom 14.10.2015:

In einem Interview mit dem “The Wall Street Journal” stellt auch der neue Präsident des EuGH noch einmal ausdrücklich klar, dass das Urteil sich nicht mit den Vorgaben und dem Schutzumfang des amerikanischen Rechts befasst, sondern allein das Schutzniveau innerhalb der EU und die europäischen Voraussetzungen für Datentransfers im Blick hat:

We are not judging the U.S. system here; we are judging the requirements of EU law in terms of the conditions to transfer data to third countries, whatever they may be.

Safe Harbor-Urteil des EuGH: Die Kommission hat ihre Kompetenzen unter- und überschritten

Heute hat der Europäische Gerichtshof (EuGH) entschieden (Az. C-362/14), dass die Safe Harbor-Entscheidung der Europäischen Kommission, die eine von mehreren möglichen Grundlagen der Übermittlung von personenbezogenen Daten aus dem EWR in die USA darstellt, ungültig ist.

Der zuständige Generalanwalt Bot hatte seine Schlussanträge erst vor zwei Wochen präsentiert (hierzu mein Blogbeitrag und ein Beitrag bei Legal Tribune Online). Mit seinem heutigen Urteil folgt der EuGH dem Generalanwalt in einigen, jedoch nicht in allen Punkten.

Was hat der EuGH nun konkret entschieden? Was sind die Gründe des Urteils? Nachfolgend möchte ich zu diesen Fragen einige erste Einschätzungen geben. Die Erwägungen des EuGH sind teilweise doch etwas überraschend. Folgende Informationen bereits vorab, da es in der Berichterstattung zu dem Urteil bereits (leider) oft anders dargestellt wird:

  • Der EuGH verhält sich in keinster Weise zum konkreten Schutzniveau für personenbezogene Daten in den USA.
  • Der EuGH stützt sein Urteil nicht ausdrücklich (wie noch der Generalanwalt) auf die Zugriffsmöglichkeiten von speziellen Geheimdiensten, insbesondere der NSA, sondern begründet seine Entscheidung allgemeiner. Auch stützt er seine Entscheidung nicht auf die Berichterstattung und Enthüllungen von Edward Snowden.
  • Entscheidungsgegenstand ist ein Rechtsakt der EU-Kommission, der nach Auffassung des EuGH nicht den Anforderungen des EU-Rechts (insbesondere Verhältnismäßigkeit) an europäische Rechtsakte und durch diese ermöglichte Eingriffe in Grundrechte genügt.

Befugnisse nationaler Datenschutzbehörden und Angemessenheitsbeschlüsse

Zunächst befasst sich der EuGH mit den Befugnissen der nationalen Datenschutzbehörden und wie diese bei Vorliegen eines Angemessenheitsbeschlusses der Kommission (wie Safe Harbor) ihre Befugnisse ausüben dürfen. Nach Art. 28 Abs. 1 der geltenden Datenschutz-Richtlinie (DS-RL, RL 95/46/EG) dürfen die Aufsichtsbehörden die ihnen gesetzlich übertragenen Befugnisses allein im Hoheitsgebiet ihres Mitgliedstaates ausüben (Rz. 44). Also etwa nicht in einem Drittstaat, wie den USA oder auch in einem anderen Mitgliedstaat innerhalb der EU.

Eine Datenübermittlung aus einem Mitgliedstaat in einen Drittstaat stellt aber selbstverständlich eine Datenverarbeitung innerhalb des Mitgliedstaates dar, die durch die Aufsichtsbehörde geprüft werden kann (Rz. 45). Die Feststellung, dass ein Drittstaat über ein „angemessenes“ Niveau für den Schutz personenbezogener Daten verfügt und damit eine Übermittlung in diesen Drittstaat überhaupt erst möglich ist, kann sowohl von der Kommission als auch von einem Mitgliedstaat getroffen werden (Rz. 50). Fällt die Kommission eine solche Entscheidung auf der Grundlage von Art. 25 Abs. 6 DS-RL, so sind hieran die Mitgliedstaaten und all ihre Organe gebunden (Rz. 51). Dies betrifft auch die nationalen Aufsichtsbehörden. Ab hier scheint sich der EuGH nun etwas von der Auffassung des Generalanwalts in dessen Schlussanträgen zu entfernen.

Der EuGH urteilt weitert, dass allein der EuGH selbst eine solche Entscheidung der Kommission aufheben darf. Bis zur Aufhebung oder auch Anpassung durch die Kommission selbst, dürfen jedoch die Mitgliedstaaten und damit auch die Aufsichtsbehörden keine abweichenden Entscheidungen treffen (Rz. 52). Freileich muss es für Betroffene, auch bei einer Bindungswirkung der Kommissionsentscheidung, möglich sein, Beschwerden hinsichtlich eines Datentransfers in den Drittstaat vorzubringen. Ebenso stehen den Aufsichtsbehörden auch weiterhin ihre gesetzlichen Aufsichts-, Untersuchungs- und Sanktionsmaßnahmen zu (Rz. 53). Aufsichtsbehörden müssen also, nach Beschwerden, auch bei bestehendem Angemessenheitsbeschluss, Untersuchungen durchführen (Rz. 57). Wenn jedoch eine Beschwerde die Frage der Rechtmäßigkeit von Datentransfers betrifft, für die schon ein entsprechender Beschluss der Kommission existiert (so wie hier), dann ist eine solche als insgesamt gegen die Gültigkeit des Angemessenheitsbeschlusses anzusehen (Rz. 59). Wie jeder andere europäische Rechtsakte (Verordnungen, Richtlinien), so muss sich auch ein Angemessenheitsbeschluss der Kommission an den rechtsstaatlichen Vorgaben des EU-Rechts messen lassen (Rz. 60). Nur der EuGH jedoch kann eine entsprechende Entscheidung der Kommission für ungültig erklären (Rz. 61). Nationale Aufsichtsbehörden können, wie bereits erwähnt, keine inhaltlich abweichenden Entscheidungen treffen oder gar einen Angemessenheitsbeschluss als unwirksam ansehen (Rz. 62). Wenn ein Betroffener mit seiner Beschwerde, die sich auf den Datentransfer in einen Drittstaat bezieht, von der zuständigen Aufsichtsbehörde abgewiesen wird, so muss er die Möglichkeit haben, hiergegen gerichtlich vorzugehen. Ebenso muss es den nationalen Aufsichtsbehörden möglich sein, eine Angemessenheitsentscheidung gerichtlich prüfen lassen zu können. Am Ende beider verfahren muss die Vorlage an den EuGH durch das nationale Gericht stehen (Rz. 64 ff.).

Was ist „angemessen“?

Danach geht der EuGH auf Safe Harbor und dessen Wirksamkeit ein.

Zunächst beleuchtet das Gericht die Frage, was unter dem Begriff „angemessen“ i.S.d. Art. 25 Abs. 1 DS-RL zu verstehen ist. Denn nur wenn ein angemessenes Schutzniveau in einem Drittstaat festgellt wurde (entweder durch die Kommission oder durch einen Mitgliedstaat), kann ein Angemessenheitsbeschluss erfolgen. Der Begriff selbst wird in der DS-RL jedoch nicht näher umschrieben oder etwa definiert (Rz. 70). Für den EuGH ist klar, dass der grundrechtlich garantierte Schutz personenbezogener Daten des Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union dem Grunde nach auch für solche Daten gelten muss, die in Drittstaaten übermittelt werden (Rz. 72). „Angemessen“ bedeutet jedoch nach dem EuGH nicht, dass in dem Drittstaat etwa dasselbe Schutzniveau existieren muss, wie es in der EU vorhanden ist. Im Kern muss der Schutz jedoch gleichwertig sein. Dieser Schutz von personenbezogenen Daten kann durch die nationalen Gesetze oder auch internationale Abkommen erreicht werden, denen der Drittstaat beigetreten ist (Rz. 73). Überspitzt formuliert postuliert der EuGH damit den Export des europäischen Datenschutzrechts und seiner grundlegenden Prinzipien in jeden Drittstaat. Das grundlegende Schutzniveau „wandert“ mit den Daten also mit.

Zudem weist der EuGH darauf hin, dass ein einmal existierender Angemessenheitsbeschluss nicht bedeutet, dass die Frage der „Angemessenheit“ des Schutzniveaus damit grundsätzlich beantwortet wäre. Vielmehr muss die Kommission eine solche Entscheidung grundsätzlich über die Zeit hinweg prüfen und vor allem aktuelle Entwicklungen berücksichtigen, die sich auf das Schutzniveau auswirken können (Rz. 76). Wenn die Kommission im Rahmen der Prüfung des Schutzniveaus in einem Drittstaat die dortigen Gesetze und Vorgaben zum Schutz personenbezogener Daten untersucht, so steht ihr nach Auffassung des EuGH nur ein eingeschränkter Beurteilungsspielraum zu und sie hat besonders strenge Maßstäbe anzulegen (Rz. 78).

Gültigkeit der Safe Harbor-Entscheidung

Im Folgenden setzt sich der EuGH mit der Safe Harbor-Entscheidung selbst auseinander…und nimmt sie auseinander.

Zunächst stellt der EuGH jedoch fest, dass das Prinzip der Selbstzertifizierung durch Unternehmen in einem Drittstaat grundsätzlich nicht gegen die Wirksamkeit eines Angemessenheitsbeschluss oder das Vorliegen eines angemessenen Schutzniveaus spricht (Rz. 81). Jedoch erfordert ein solcher Mechanismus dann auch ein wirksames System der Überwachung der Einhaltung der Vorgaben und effiziente Sanktionen bei Verstößen.

Nachfolgend kritisiert der EuGH, dass die Safe Harbor-Prinzipien, an die sich amerikanische Unternehmen halten müssen, gerade nur privatwirtschaftliche Akteure adressieren und staatlichen Einheiten in den USA keine Pflichten auferlegen und diese daher nicht an die Prinzipien gebunden sind, wenn sie Zugriff auf Daten nehmen die bei amerikanischen Unternehmen gespeichert sind (Rz. 82).

Desweiteren kritisiert der EuGH, dass die Angemessenheitsentscheidung der Kommission, entgegen den Vorgaben der DS-RL, sich überhaupt nicht mit den einschlägigen Gesetzen in den USA befasst oder deren möglichen Schutzumfang näher untersucht (Rz. 83). Die Kommission habe es versäumt, ausreichend zu prüfen, inwiefern in den USA personenbezogene Daten (nicht) geschützt sind, um auf dieser Grundlage ihre Entscheidung zu treffen. Die in Safe Harbor vorgesehen Ausnahmen, wann von den Schutzprinzipien der Entscheidung abgewichen werden darf, sind nach Ansicht des EuGH (wie auch nach Ansicht des Generalanwalts) zu weit gefasst. Zudem erlauben sie für Zwecke der nationalen Sicherheit und Strafverfolgung ein Abweichen durch staatliche Behörden. Nationale Vorschriften in den USA können den Schutzprinzipien vorgehen und diese im Endeffekt außer Kraft setzen. Amerikanische Unternehmen können von den Vorgaben von Safe Harbor zugunsten dieser nationalen Regelungen abweichen, sogar wenn diese den Schutzprinzipien von Safe Harbor entgegenstehen (Rz. 86). Aus diesem Grund ermöglicht die Safe Harbor-Entscheidung (mit ihren Ausnahmen) den Eingriff in europäische Grundrechte (Rz. 87).

Der EuGH kritisiert weiter, dass die Safe Harbor-Entscheidung keine Untersuchungsergebnisse enthält, inwiefern ein Eingriff in Grundrechte der Betroffenen (durch einen Zugriff auf Daten durch staatliche Stellen) auf ein absolut erforderliches Maß begrenzt wird (Rz. 88). Auch hier bemängelt der EuGH erneut die fehlende Prüfung und Feststellung durch die Kommission.

Desweiteren findet sich in der Safe Harbor-Entscheidung der Kommission kein Verweis auf eventuell existierende Rechtsschutzmöglichkeiten für Betroffene, wenn durch stattliche Behörden auf die übermittelten Daten zugegriffen wird (Rz. 89). Zwar existiere eine Aufsicht durch die amerikanische Federal Trade Commission. Diese bezieht sich jedoch allein auf den privatwirtschaftlichen Sektor und kann nicht den Umgang mit Daten durch staatliche Behörden überwachen.

Nun kommt der EuGH zu der Grundlage seiner faktischen Feststellungen. Die Kommission selbst habe die Mangelhaftigkeit der Safe Harbor-Entscheidung, gerade mit Blick auf die weiten Ausnahmen für Zugriffe durch staatliche Behörden und den fehlenden Rechtsschutz, im Jahre 2013 in zwei Mitteilungen analysiert und festgestellt (Rz. 90; Mitteilung COM(2013) 846 final und Mitteilung COM(2013) 847 final). Insbesondere habe die Kommission erkannt, dass US-Behörden in einer mit den Safe Harbor-Prinzipien unvereinbaren Weise auf Daten zugreifen können. Der Zugriff kann gerade über das erforderliche und absolut notwendige Maß zur Verfolgung der legitimen Zwecke der nationalen Sicherheit oder der Strafverfolgung hinausgehen. Auch habe die Kommission selbst festgestellt, dass Betroffene keine administrativen oder gerichtlichen Rechtsbehelfe haben, um Zugang zu Daten zu erhalten oder eine Berichtigung oder Löschung zu beantragen.

Danach geht der EuGH auf die (hier nicht eingehaltenen) Vorgaben ein, die ein EU-Rechtsakt wie die Safe Harbor-Entscheidung erfüllen muss, wenn durch die Unionsregelung in Grundrechte eingegriffen wird. Nach ständiger Rechtsprechung des Gerichtshofs muss ein solcher Rechtsakt klare und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme vorsehen und Mindestanforderungen aufstellen, so dass die Betroffenen, deren personenbezogene Daten verarbeitet werden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen (Rz. 91).

Abweichungen oder Ausnahmen vom Schutz personenbezogener Daten müssen auf das absolut notwendige Maß beschränkt werden (Rz. 92). Nach Auffassung des EuGH genügt diesen Anforderungen die Safe Harbor-Entscheidung nicht. Nicht auf das absolut Notwendige beschränkt ist nämlich eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen (Rz. 93). Die in Safe Harbor vorgesehenen Ausnahmen (in der Form von Unionsregelungen) erlauben eine generelle und unverhältnismäßige Zugriffsmöglichkeit durch Behörden in den USA auf den Inhalt elektronischer Kommunikation und die Regelung in Safe Harbor verletzt daher den Wesensgehalt des grundrechts aus Art. 7 der Charta. Zudem verletzt eine solche Unionsregelung, die keine Möglichkeit für die Betroffenen vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz (Rz. 95).

Der Hauptkritik des EuGH ist damit folgender:

Die Kommission hat jedoch in der Entscheidung 2000/520 nicht festgestellt, dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“. (Rz. 97)

Aus diesem Grund kommt der EuGH zu dem Ergebnis, dass Art. 1 der Safe Harbor-Entscheidung gegen die in Art. 25 Abs. 6 DS-RL im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist (Rz. 98).

Ein wichtiger Aspekt hierbei ist, dass der EuGH im Ergebnis eine Grundrechtsverletzung durch einen mangelhaften Unionsrechtsakt annimmt. Die EU-Kommission habe nicht die Anforderungen des EU-Rechts beachtet, als sie die Safe Harbor-Entscheidung getroffen hat. Bereits die Struktur von Safe Harbor und die unterbliebene Untersuchung und Feststellung des Schutzniveaus durch die Kommission stellt damit eine Grundrechtsverletzung dar.

Ausdrücklich urteilt der EuGH nicht über die generelle Frage der Angemessenheit des Schutzniveaus für personenbezogene Daten in den USA oder auch, ob die Safe Harbor-Prinzipien inhaltlich ein entsprechendes Schutzniveau herstellen.

ohne dass es einer Prüfung des Inhalts der Grundsätze des „sicheren Hafens“ bedarf. (Rz. 98)

Allein die fehlerhafte Struktur und mangelnde Einhaltung der Vorgaben der DS-RL durch die Kommission bei Safe Harbor stellen die Grundrechtsverletzung dar.

Ein weiterer Grund, warum Safe Harbor ungültig ist, ist für den EuGH, dass die Kommission mit der Entscheidung die Befugnisse der nationalen Datenschutzbehörden beschränkt, obwohl sie dazu rechtliche nicht befugt ist (Rz. 99 ff.). Nach Art. 3 von Safe Harbor dürfen Aufsichtsbehörden nur in besonderen Fällen Datentransfers unterbinden. Die Kopplung der Befugnisse der Behörden an bestimmte Voraussetzungen durch die Kommission stellt jedoch eine Überschreitung ihrer Befugnisse dar, so der EuGH. Mit dem Erlass von Art. 3 der Safe Harbor-Entscheidung habe die Kommission daher die ihr durch Art. 25 Abs. 6 DS-RL im Licht der Charta übertragene Zuständigkeit überschritten hat, so dass dieser Artikel ungültig ist.

Da nach Auffassung des EuGH Art. 1 und Art. 3 der Safe Harbor-Entscheidung ungültig sind und diese Artikel untrennbar mit den übrigen Vorgaben der Entscheidung im Zusammenhang stehen, berührt die Ungültigkeit der beiden Artikel die gesamte Entscheidung (Rz. 105).

Fazit

Das Urteil des EuGH befasst sich nicht mit der Frage, ob ein angemessenes Schutzniveau für Daten in den USA existiert. Die Ungültigkeit der Entscheidung rührt vielmehr bereits aus dem Umstand, dass die Kommission zum einen ihre Kompetenzen und auch ihre Pflichten auf Grundlage der DS-RL in Bezug auf Art. 1 der Safe Harbor-Entscheidung nicht korrekt ausgeübt und unterschritten hat. IN Bezug auf Art. 3 der Safe Harbor-Entscheidung stellt der EuGH dann eine Überschreitung der Kompetenzen fest. Die in Rede stehende Unionsregelung (Safe Harbor) verstößt aufgrund ihrer Struktur und ihrer Unvereinbarkeit mit den EU-rechtlichen Vorgaben an solche Unionsregelungen gegen mehrere Grundrechte.

 

 

 

Generalanwalt: Safe Harbor-Entscheidung verletzt europäische Grundrechte. Nicht Facebook.

Heute hat der Generalanwalt am EuGH seine Schlussanträge im Verfahren von Max Schrems gegen die irische Datenschutzbehörde (C-362/14) präsentiert. In der Presse (z.B. Golem und FAZ) und in Blogs (etwa bei Thomas Stadler) wurde bereits darüber berichtet und erste Schlussfolgerungen gezogen.

Ich möchte nachfolgend, nachdem ich die Schlussanträge einmal grob überfliegen konnte, auf einige Besonderheiten und besonders relevante Aussagen des Generalanwalts hinweisen, die vielleicht bisher noch nicht beleuchtet wurden.

Starke Stellung der Datenschutzbehörden

Wenig überraschend vertritt der Generalanwalt die Auffassung, dass nationale Datenschutzbehörden durch einen Angemessenheitsbeschluss der Kommission (um den es sich bei Safe Harbor handelt) nicht absolut gebunden sind und weiterhin die ihnen durch die Charta der Grundrechte der Europäischen Union und die Datenschutz-Richtlinie (RL 95/46/EG) übertragenen Befugnisse ausüben dürfen. Wenn es um den Schutz von Grundrechten (im vorliegenden Fall von Art. 7 und 8 der Charta) geht, dürfen nationale Behörden eigene Untersuchungen vornehmen und erforderlichenfalls auch Datentransfers in Drittstaaten untersagen, selbst wenn ein Angemessenheitsbeschluss der Kommission existiert. Rechtlich gesprochen nimmt eine Angemessenheitsentscheidung nach Art. 25 Abs. 6 RL 95/46/EG den Aufsichtsbehörden nicht ihre Befugnisse nach Art. 28 RL 95/46/EG (vgl. Rz. 120 der Schlussanträge).

Grundvoraussetzung: gleicher Schutz

Wenn personenbezogene Daten aus der Europäischen Union heraus, auf der Grundlage einer Angemessenheitsentscheidung, in Drittstaaten übertragen werden können sollen, dann muss in diesem Drittstaat dem Grunde nach dasselbe Schutzniveau gelten, wie es durch die Vorgaben der Grundrechtecharta und der RL 95/46/EG auch innerhalb der EU existiert (Rz. 144). Ein wichtiger Baustein hierfür ist die Existenz einer unabhängigen Kontrollinstanz, die die Einhaltung der datenschutzrechtlichen Vorgaben überwacht und durchsetzt (Rz. 145).

Unklare Ausnahmeregelungen für Zwecke der nationalen Sicherheit

Der Generalanwalt kritisiert die in der Safe Harbor-Entscheidung vorgesehenen Möglichkeiten, für Zwecke der nationalen Sicherheit von den vorgegebenen Prinzipien zum Schutz personenbezogener Daten abweichen zu können (Anhang I Absatz 4). Der Wortlaut der Vorschriften sei viel zu allgemein gehalten und werde von Sicherheitsbehörden in den USA weit ausgelegt und genutzt, um auf personenbezogene Daten zugreifen zu können (Rz. 164).

Keine Möglichkeit des Rechtsschutzes in den USA

Ebenfalls kritisiert der Generalanwalt, dass EU-Bürger keine Möglichkeit hätten, Rechtsschutz gegen Datenverarbeitungen zu suchen, die über jene Zwecke hinausgehen, für die die Daten ursprünglich in die USA übermittelt wurden (Rz. 165).

Facebook verletzt nicht die Vorgaben von Safe Harbor

Der Generalanwalt stellt zudem klar, dass Facebook nicht gegen die Vorgaben von Safe Harbor verstößt (Rz. 168). Denn ein Zugriff von Sicherheitsbehörden auf Daten oder eine Weiterleitung der Daten auf der Grundlage nationaler Gesetze in den USA ist in der Safe Harbor-Entscheidung gerade vorgesehen. Die Frage ist daher vielmehr, ob die Safe Harbor-Entscheidung selbst (und in ihr aufgestellte Prinzipien und auch die Ausnahmen) gegen europäisches Recht verstößt. Die in der Safe Harbor-Entscheidung ausdrücklich zugelassene Weitergabe von Daten für Zwecke der nationalen Sicherheit stellt einen Eingriff in die Grundrechte der EU-Bürger dar (nicht jedoch durch die privaten Unternehmen) und muss gerechtfertigt sein (Rz. 174).

Ausnahmeregelungen in Safe Harbor verstoßen gegen Grundrechte

Die in der Safe Harbor-Entscheidung vorgesehenen Ausnahmen sind nach Auffassung des Generalanwalts viel zu offen und ungenau formuliert, um einen Eingriff in die Grundrechte aus Art. 7 und 8 der Charta zu rechtfertigen. Es existieren keine ausreichenden und genau definierten Schutzmechanismen, um eine Massenüberwachung durch ausländische Sicherheitsbehörden zu unterbinden (Rz. 202).

Verstoß gegen Verhältnismäßigkeitsgrundsatz

Ein Eingriff in Grundrechte kann gerechtfertigt sein. Muss dafür jedoch geeignet, erforderlich und angemessen sein. Der Generalanwalt stellt klar, dass die EU-Kommission, mit Annahme der Safe Harbor-Entscheidung und ihrer Aufrechterhaltung, gegen den Verhältnismäßigkeitsgrundsatz verstoßen hat und eine Verletzung der Grundrechte aus Art. 7 und 8 der Charta sowie Art. 52 Abs. 1 der Charta vorliegt. Aus diesem Grund ist die Entscheidung der Kommission für ungültig zu erklären (Rz. 215 f.). Hinzu kommt nach Ansicht des Generalanwalts, dass die EU-Kommission Safe Harbor auch noch während der Verhandlungen über eine neue Version weiterhin in Kraft belassen hat (Rz. 233 und 236).

Ausblick

Abschließend möchte ich anmerken, dass man nun abwarten muss, wie der EuGH entscheiden wird. Ich denke, die Tendenz ist aber klar. Doch was bedeutet es, wenn von einem auf den anderen Tag Safe Harbor ungültig wäre? Natürlich dürften personenbezogene Daten aus Europa auch weiterhin in die USA übermittelt werden. Hierfür wäre dann jedoch eine andere Grundlage (Einwilligung, Standardvertragsklauseln, etc.) erforderlich. Ich denke zudem, dass man nicht unbedingt einen großen Gewinn für den transatlantischen Datenschutz einfährt, wenn Safe Harbor, ohne Nachfolgeregelungen, für ungültig erklärt wird. Denn dass die Datenstrome einfach aufhören zu fließen, daran kann niemand wirklich glauben. Man wird dann einfach eine Situation mit tausendfacher Rechtsverletzung kreieren. Die Unternehmen stehen natürlich zwischen zwei Stühlen. Verschiedenen, auf sie anwendbare Rechtsordnung. Auch wenn Safe Harbor fällt, werden Sicherheitsbehörden (im Übrigen nicht nur in Drittsaaten) auf Daten bei Unternehmen zugreifen. In diesem Zusammenhang sollte man sich auch einmal die Frage stellen, wie denn der Rechtsschutz und die Aufsicht über den Zugriff von Geheimdiensten bei uns in der EU ausgestaltet sind.

Justizministerium zweifelt an einheitlichem Datenschutzstandard in Europa

Die Europäische Kommission hat in einer Stellungnahme (abrufbar bei netzpolitik.org) den Gesetzesentwurf des Bundesministeriums für Justiz und Verbraucherschutz  (BMJV) zur „Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (PDF) inhaltlich bemängelt.

Die Kommission stört sich insbesondere an der in § 113b des Entwurfs vorgesehenen Pflicht, Vorratsdaten allein im Inland zu speichern:

dass der betreffende Entwurf einer Verordnung eine Verletzung von Artikel 56 AEUV sowie Artikel 1 Absatz 2 der Richtlinie 95/46/EG darstellen würde.

Art. 1 Abs. 2 der Richtlinie 95/46/EG (die geltende Datenschutzrichtlinie) gibt vor, dass Mitgliedstaaten nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des Schutzes der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten beschränken oder untersagen dürfen. Noch deutlicher ist die Vorgabe in Erwägungsgrund 9 der Datenschutzrichtlinie. Danach dürfen die Mitgliedstaaten aufgrund des gleichwertigen Schutzes, der sich aus der Angleichung der einzelstaatlichen Rechtsvorschriften ergibt, den freien Verkehr personenbezogener Daten zwischen ihnen nicht mehr aus Gründen behindern, die den Schutz der Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre betreffen.

Die Pflicht zur Inlandsspeicherung in § 113b des Entwurfs würde aber den freien Verkehr personenbezogener Daten nicht nur behindern, sondern in Bezug auf die Speicherung Vorratsdaten schlicht untersagen.

Zweck der Datenschutzrichtlinie ist es zum einen, die Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre bei der Verarbeitung personenbezogener Daten zu schützen und zum anderen den freien Verkehr von personenbezogenen Daten innerhalb der EU nicht zu behindern.

Gleichwertiger Schutz innerhalb der EU?

Die Datenschutzrichtlinie gibt also auf europäischer Ebene für die Mitgliedstaaten verbindlich vor, dass in ihrem Anwendungsbereich ein gleichwertiges Schutzniveau für personenbezogene Daten existiert. Personenbezogene Daten dürfen innerhalb der EU übermittelt werden, wenn für die Datenverarbeitung (hier die Übermittlung) selbst eine Einwilligung oder gesetzliche Grundlage (z.B. ein Vertrag) existiert.

Das BMJV sieht dies jedoch anders. Die Gesetzesbegründung verweist zur Beschränkung der ebenfalls beeinträchtigten Dienstleistungsfreiheit (Art. 56 AEUV) auf die Notwendigkeit,

um  die  grundrechtlichen  Erfordernisse  des  Datenschutzes  und der  Datensicherheit zu gewährleisten.

Also nutzt die Begründung genau jene Argumente, auf die man ausweislich des Wortlauts der Datenschutzrichtlinie eine Beschränkung des freien Flusses personenbezogener Daten eben gerade nicht stützen darf. Das BMJV zweifelt damit freilich auch ein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU insgesamt an.

Kein Vertrauen in die Arbeit von Aufsichtsbehörden in anderen Mitgliedstaaten

Die Gesetzesbegründung sägt jedoch sogar noch weiter an den eigentlich existierenden europäischen Standards:

Zudem hätten die mit der Überprüfung der Einhaltung der Sicherheitsstandards und des Datenschutzes befassten deutschen öffentlichen Stellen in anderen Mitgliedstaaten der EU  keine unmittelbaren und gleich wirksamen Möglichkeiten zur Prüfung.

Das stimmt. Deutsche Datenschutzbehörden könnten nicht in anderen EU-Ländern tätig werden und die Einhaltung des Datenschutzrechts prüfen. Zuständig wäre vielmehr die jeweilige nationale Aufsichtsbehörde. Doch scheint das BMJV auch kein Vertrauen in die Kompetenz und Prüfungen durch andere europäische Aufsichtsbehörden zu besitzen:

Angesichts des Umfangs der Prüfpflichten und der Tatsache, dass es sich nicht um eine einmalige Überprüfung eines Anbieters sondern um die Wahrnehmung dauerhafter Aufgaben (zum Beispiel bei der Anpassung der Sicherheitskonzepte an den jeweiligen Stand der Technik) handelt, erscheint dies aber zu wenig wirksam.

Mit „dies“ bezieht sich die Gesetzesbegründung auf die in der Datenschutzrichtlinie ausdrücklich vorgesehene Möglichkeit, dass eine Aufsichtsbehörde (etwa in Deutschland) eine andere Behörde in einem EU-Mitgliedstaat um Amtshilfe ersuchen kann, um hoheitliche Maßnahmen vorzunehmen oder die Einhaltung des Datenschutzrechts zu prüfen. Auch mit dieser Begründung verkehrt das BMJV die geltenden Prinzipien der Datenschutzrichtlinie in ihr Gegenteil. Das Instrument der Amtshilfe wird dort ja gerade vorgesehen, weil es eben möglich ist, dass eine nationale Aufsichtsbehörde nicht zuständig ist. Ein gleichwertiges Schutzniveau für personenbezogene Daten existiert aber dennoch (bzw. gerade auch deshalb) innerhalb der EU.

Zudem fragt man sich, welcher “Umfang” hier für die besondere Notwendigkeit einer Inlandsspeicherung und alleinigen Kontrolle durch deutsche Behörden spricht? Denn der in dem Gesetzesentwurf beschriebene Umfang an Pflichten in Bezug auf den Umgangt mit Daten und einzusetzende Datensicherheitsmaßnahmen ist kein anderer als jener, der für jedes normale Unternehmen gilt, wenn es personenbezogene Daten im Rahmen seiner Geschäftstätigkeit verarbeitet.

Mögliche Folgen?

Denkt man die Argumentation im Gesetzesentwurf zu Ende, so würde dies bedeuten, dass kein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU besteht. Personenbezogene Daten dürften dann auch grundsätzlich nicht in andere Mitgliedstaaten übermittelt werden bzw. nur dann, wenn besondere Anforderungen erfüllt sind. Im Prinzip würde man, überspitzt formuliert, jeden Staat außerhalb Deutschlands zum „unsicheren Drittstaat“ deklarieren.

Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung zur Richtlinie zur Einführung der Vorratsdatenspeicherung (C-293/12) bemängelt, dass die fraglichen Daten nicht „im Unionsgebiet auf Vorrat gespeichert werden“. Eine Pflicht zur Speicherung allein in einem Mitgliedstaat, hat der EuGH jedoch nicht aufgestellt.

EuGH-Generalanwalt zur Frage des anwendbaren Datenschutzrechts und der Zuständigkeit von Datenschutzbehörden

Heute hat der Generalanwalt („GA“) am Europäischen Gerichtshof, Pedro Cruz Villalón, seine Schlussanträge in der Sache „Weltimmo“ (C-230/14) vorgelegt. In diesem Vorabentscheidungsersuchen geht es um zwei wichtige Fragen des europäischen Datenschutzrechts:

  1. Welches Recht ist innerhalb der EU anwendbar auf ein Unternehmen, mit alleinigem Sitz in einem Mitgliedstaat, das jedoch über Internetseiten Dienstleistungen auch in anderen Ländern anbietet?
  2. Welche Kompetenzen besitzen Datenschutzbehörden, wenn es darum geht, gegen Unternehmen vorzugehen, die nicht im Mitgliedstaat der Behörde niedergelassen sind und wenn nicht das Datenschutzrecht des Mitgliedstaates dieser Behörde anwendbar ist?

Zu der Vorlagefrage selbst und auch zu dem Sachverhalt habe ich bereits ausführlich berichtet. Ich möchte mich daher nachfolgend auf eine kurze Zusammenfassung der Feststellungen des Generalanwalts beschränken.

Zum anwendbaren Recht und zum Begriff der Niederlassung (Nr. 1)

In dem Verfahren geht es hinsichtlich des anwendbaren Rechts um Art. 4 Abs. 1 lit. a) der Datenschutz-Richtlinie (RL 95/46/EG, „DS-RL“) in dem es heißt:

Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an: a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Zunächst stellt der GA fest, dass diese Vorschrift als Norm fungiert, die im Verhältnis der Mitgliedstaaten zueinander das anwendbare Recht bestimmt. Art. 4 Abs. 1 lit. a ist daher die entscheidende Vorschrift, die als Kollisionsnorm zwischen den Rechtsordnungen der verschiedenen Mitgliedstaaten das anwendbare Recht bestimmt. Mit dieser Aussage des GA wird meines Erachtens auch deutlich, dass eine Rechtswahl des Datenschutzrechts derzeit gerade nicht möglich ist. Welches nationale Datenschutzrecht bindend gilt, ergibt sich eben gerade aus der oben bezeichneten Kollisionsnorm.

Für die korrekte Anwendung von Art. 4 Abs. 1 lit. a DS-RL kommt es entscheidend darauf an, wie der Begriff der „Niederlassung“ ausgelegt wird. So prüft dann auch der GA zunächst, ob Weltimmo eine Niederlassung auf ungarischem Staatsgebiet besitzt. In einem zweiten Schritt wird es um das Merkmal „im Rahmen der Tätigkeit“ gehen und die Frage zu beantworten sein, ob die Datenverarbeitung im Bereich der Tätigkeit dieser Niederlassung stattgefunden hat.

Zunächst geht der GA darauf ein, dass das Unionsrecht besonderen Wert auf einen Begriff der Niederlassung legt, die sich auf die effektive Ausübung der wirtschaftlichen Tätigkeiten und auf einen gewissen Grad an Beständigkeit stützt. Der GA schlägt vor, den Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen.

Danach geht der GA speziell auf die Situation eines ausschließlich über das Internet tätigen Unternehmens ein.

Nach Ansicht des GA kann unter bestimmten Umständen ein Vertreter eines Unternehmens mit dauerhafter Präsenz und wenig mehr als einem tragbaren Computer eine ausreichende Struktur darstellen, um eine effektive, tatsächliche Tätigkeit mit einem ausreichenden Grad an Beständigkeit in einem anderen Mitgliedstaat durchzuführen, als jenem der Hauptniederlassung des Unternehmens. Daher sei es, laut dem GA, notwendig, bei der Bewertung dieser personellen und technischen Mittel sorgfältig die Eigenheiten von Unternehmen zu berücksichtigen, die Leistungen über das Internet anbieten, wobei auf die Besonderheiten der jeweiligen konkreten Situation einzugehen ist.

Zudem macht der GA weitere wichtige Anmerkungen, zu den gerade nicht mit in die Prüfung des anwendbaren Rechts einzubeziehenden Faktoren. So haben, meines Erachtens richtigerweise,

„der Ort, von dem aus die Daten eingegeben wurden, der Mitgliedstaat, auf den die Dienstleistungen ausgerichtet sind, die Staatsangehörigkeit der Betroffenen oder der Ort, an dem die Eigentümer des Unternehmens ihren Wohnsitz haben“

keinen direkten und entscheidenden Einfluss auf die Bestimmung des anzuwendenden Rechts.

Hinsichtlich des weiteren Merkmals von Art. 4 Abs. 1 lit. a DS-RL („im Rahmen der Tätigkeit“), verweist der AG vor allem auf das Urteil des EuGH in Sachen „Google Spain“ (C-131/12).

Für den GA ist jedoch klar, dass wenn die tatsächlichen Feststellungen ergeben sollten, dass Weltimmo ausschließlich in der Slowakei niedergelassen ist, auch nicht ungarisches Datenschutzrecht gelten kann. Selbst wenn Dienstleistungen in der Slowakei angeboten werden. Der GA dazu:

… in dem Sinne zu beantworten, dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 es der ungarischen Datenschutzbehörde verwehrt, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist.

Diese Aussage, so sie denn der EuGH in seinem späteren Urteil bestätigen sollte, wäre für in der EU niedergelassene Unternehmen, die ihre relevante Hauptniederlassung in einem Land konzentrieren, besonders relevant.

Zur zuständigen Aufsichtsbehörde und zu den möglichen Aufsichtsmaßnahmen (Nr. 2)

Sodann geht der GA auf die Vorlagefrage ein, ob es denn möglich wäre, dass zwar slowakisches Datenschutzrecht anwendbar wäre, die ungarische Datenschutzbehörde dennoch Sanktionen verhängen oder die Rechtswidrigkeit der Datenverarbeitung feststellen könnte.

Bereits vorweg: der GA verneint diese Möglichkeit.

Der Kern der Frage, welche Kompetenzen mitgliedstaatliche Aufsichtsbehörden innerhalb der EU über Landesgrenzen hinweg ausüben können, ist von besonderer Praxisrelevanz und spielt auch im Rahmen der finalen Verhandlungen zur Datenschutz-Grundverordnung und dem sog. One stop shop eine wichtige Rolle. Immerhin geht es um das Handeln staatlicher Institutionen und die Ausübung hoheitlicher Befugnisse in anderen Mitgliedstaaten. So führt auch der GA aus:

In der Tat ist im Zusammenhang mit der Zuständigkeit öffentlicher Stellen und folglich mit der Ausübung öffentlich-rechtlicher Hoheitsbefugnisse, insbesondere der Sanktionsbefugnis, unbedingt von den Anforderungen auszugehen, die sich aus den Grundsätzen der territorialen Souveränität des Staates, der Gesetzmäßigkeit der Verwaltung und damit letztlich dem Begriff des Rechtsstaats ergeben.

Die Ausübung von Sanktionsgewalt kann, so der GA, grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden, in denen eine Behörde nach ihrem nationalen Recht ermächtigt ist. Eine Abweichung von dieser Regel scheint zumindest eine spezielle gesetzliche Grundlage zu erfordern, die die Anwendung des öffentlichen Rechts eines anderen Mitgliedstaats erlaubt und abgrenzt. Eine solche gesetzliche Regelung existiert derzeit jedoch nicht. Zu untersuchen ist hier insbesondere Art. 28 Abs. 6 S. 1 DS-RL. Dieser lautet:

Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist.

Der referenzierte Art. 28 Abs. 3 DS-RL listet verschiedene Rechte der Aufsichtsbehörde auf (Untersuchungsbefugnis, Einwirkungsbefugnis und Klagebefugnis). Jedoch gerade nicht die Sanktionsbefugnis. Zwar erlauben die Vorschriften der DS-RL nach Ansicht des GA, dass die Behörde eines Mitgliedstaats die in ihrem Hoheitsgebiet ausgeübten Tätigkeiten überwacht, und zwar auch dann, wenn das Recht eines anderen Mitgliedstaats anwendbar ist. Letztlich besitzen die Aufsichtsbehörden unabhängig vom im Einzelfall anzuwendenden Recht die Untersuchungs- und Einwirkungsbefugnisse, die in Art. 28 Abs. 3 DS-RL genannt sind, allerdings allein in der in ihrem nationalen Recht geregelten Form, im Bereich ihrer geografischen Zuständigkeit.

Möchte also eine Aufsichtsbehörde eines Mitgliedstaates, dessen Datenschutzrecht auf die betreffende Datenverarbeitung nicht anwendbar ist, auch Sanktionen gegen den Verantwortlichen verhängen, so kann sie dies nicht selbst tun. Jedoch hat sie die Möglichkeit, unter Berücksichtigung der Verpflichtung zur Zusammenarbeit der Datenschutzbehörden nach Art. 28 Abs. 6 DS-RL die Behörde des Mitgliedstaats, dessen Recht auf die Datenverarbeitung anwendbar ist, zu ersuchen, die eventuelle Feststellung eines Verstoßes gegen das anwendbare Recht und die eventuelle Verhängung von Sanktionen auf der Grundlage der eingeholten Informationen vorzunehmen. Die unzuständige Behörde besitzt nach Ansicht des GA also durchaus ein Grundgerüst an möglichen Handlungen, jedoch steht ihr nicht die Befugnis zu, eine Datenverarbeitung eines Verantwortlichen aus einem anderen Mitgliedstaat offiziell als rechtswidrig zu bescheiden oder etwa ein Bußgeld zu verhängen.

In Deutschland dürften diese Ausführungen insbesondere für Verfahren gegen Facebook interessant sein. Denn wenn irisches Datenschutzrecht gilt (also keine relevante Niederlassung in Deutschland existiert), so ist die irische Datenschutzbehörde nach Ansicht des GA zumindest für Sanktionen und die Feststellung von rechtswidrigen Verarbeitungen allein verantwortlich.

Der GA führt abschließend aus:

Insbesondere müssen eine eventuelle Feststellung der Rechtswidrigkeit der Datenverarbeitung und die gleichfalls eventuelle Verhängung von Sanktionen, die sich daraus ergibt, in jedem Fall durch die Behörde des Staates erfolgen, dessen materielles Recht nach dem Anknüpfungskriterium von Art. 4 Abs. 1 Buchst. a der Richtlinie auf die Datenverarbeitung anwendbar ist.

All diese Fragen sind hiermit freilich nicht final entschieden. Das Urteil des EuGH steht noch aus. Die Thematik ist jedoch, wie erwähnt, von besonderer Praxisrelevanz und dürfte gerade auch im Trilog zur Datenschutz-Grundverordnung auf den Tisch kommen.

Gesetzentwurf: Grüne wollen Schufa und Co. strenger regulieren

Die Fraktion BÜNDNIS 90/DIE GRÜNEN hat im Bundestag ein Gesetz zur „Verbesserung der Transparenz und der Bedingungen beim Scoring (Scoringänderungsgesetz, PDF)“ eingebracht. Mit diesem Gesetz zur Änderung verschiedener Vorgaben des Bundesdatenschutzgesetzes (BDSG) möchte die Fraktion laut der Gesetzesbegründung

„insbesondere die Transparenz des statistischen Analyseverfahrens beim Scoring“

grundlegend verbessern werden.

Die Ausgangslage
Der Gesetzesentwurf referenziert unter anderem auf eine Studie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und der GP Forschungsgruppe aus dem Jahre 2014. Beeinflusst ist der Gesetzesentwurf freilich auch durch ein Urteil des Bundesgerichtshofs (BGH) aus dem Jahre 2014 (VI ZR 156/13), in dem es um den Auskunftsanspruch von Prsonen gegenüber der SCHUFA ging und das Gericht entschied, dass

die sogenannte Scoreformel, also die abstrakte Methode der Scorewert berechnung

der Auskunft suchenden Person nicht mitzuteilen ist. Ebenso wenig erstrecke sich der Auskunftsanspruch auf solche Inhalte der Scoreformel, die als Geschäftsgeheimnisse schützenswert sind.

Der Gesetzesentwurf
Nachfolgend möchte ich knapp auf einige Änderungsvorschlage des Gesetzesentwurfs eingehen.

Es soll eine generelle Pflicht der Vorabkontrolle beim Angebot von Scoringverfahren eingefügt werden (§ 4d Abs. 5 S. 2 BDSG-E). Diese Pflicht soll, anders als die bestehende Vorabkontrollverpflichtung, unabhängig davon bestehen, ob eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Verarbeitung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Zuständig für die Vorabkontrollen ist innerhalb von Unternehmen, wie auch jetzt, der Datenschutzbeauftragte.

Die Informationspflichten im Rahmen der Meldepflicht (und damit des Verfahrensverzeichnisses) sollen um einen neuen Punkt erweitert werden (§ 4e Abs. 1 Nr. 10 BDSG-E). Nach der Nr. 10 sollen im Fall des Scoring „eine Beschreibung des wissenschaftlich anerkannten mathematischstatistischen Verfahrens sowie Angaben zu § 28b Nummer 4“ erfolgen. Nach dem Gesetzesentwurf liegt der Zweck der Meldung darin, die eine Prüfung der Zulässigkeit der beabsichtigten Verfahren zu ermöglichen. Nicht erwähnt wird in dem Entwurf jedoch eine Anpassung von § 4g Abs. 2 S. 2 BDSG, wonach der Datenschutzbeauftragte nur die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar machen muss. Informationen zum anerkannten mathematischstatistischen Verfahren sollen also nicht im öffentlichen Verfahrensverzeichnis erwähnt werden.

Natürlich soll auch der § 28b BDSG geändert werden, der derzeit die Zulässigkeit von Scoring-Verfahren regelt. § 28 BDSG gibt vor, was zur Berechnung des Wahrscheinlichkeitswertes genutzt und nicht genutzt werden darf. Nach dem neuen § 28b Abs. 1 Nr. 4 BDSG-E darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn

für die Berechnung des Wahrscheinlichkeitswerts zum Zwecke der Bonität keine Anschriftendaten, Daten aus sozialen Netzwerken, Daten aus Internetforen, Angaben zur Staatsangehörigkeit, zum Geschlecht, zu einer Behinderung oder Daten nach § 3 Absatz 9 genutzt werden.

Explizit soll also eine Verwendung von besonderen Arten personenbezogener Daten (z.B. Gesundheitsdaten) ebenso ausgeschlossen werden, wie ein Rückgriff auf Informationen aus „sozialen Netzwerken“ und „Internetforen“. Der Praktiker wird sich fragen: Was ist damit gemeint? Die Begründung definiert „Soziale Netzwerke“ und “Internetforen“ als

Plattformen, auf denen z.B. Kontakte, Meinungen, Interessen und das Einkaufsverhalten der betroffenen Personen mitgeteilt werden.

Plattformen auf denen Meinungen und Interessen mitgeteilt werden. Man möchte sich gar nicht ausmalen, was man (bei einer weiten Auslegung) alles hierunter fassen könnte.

Zudem soll eine neue § 28b Abs. 1 Nr. 5 BDSG-E eingefügt werden. Die Verwendung des Wahrscheinlichkeitswertes wird davon abhängig gemacht, dass

der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung seiner Daten schriftlich unterrichtet worden ist. Die Unterrichtung ist zu dokumentieren. Soll die Unterrichtung zusammen mit anderen Erklärungen erfolgen, ist sie besonders hervorzuheben.

Dies bedeutet: bevor überhaupt irgendeine Datenverarbeitung hinsichtlich des Wahrscheinlichkeitswertes beginnen kann, muss der Betroffene schriftlich(!) informiert werden. Dies soll auch innerhalb von AGB möglich sein, jedoch dann deutlich hervorgehoben. Hier grüßt meines Erachtens der Medienbruch. Denn in dem bisher geltenden § 28b Nr. 4 BDSG ist auch allein von „Unterrichtung“ die Rede. Schriftlich muss diese nicht erfolgen.

Zudem soll ein neuer § 28b Abs. 2 BDSG-E vorgeben, dass das wissenschaftlich anerkannte mathematisch-statistische Verfahren muss dem Stand der Wissenschaft und Forschung entsprechen muss. Wie genau dieser Stand aussieht, dies überlässt der Gesetzesentwurf der Bundesregierung, die hierzu durch eine Rechtsverordnung mit Zustimmung des Bundesrats Vorgaben machen kann.

Auch die Weite des Auskunftsanspruchs soll vergrößert werden. Nach dem neuen § 34 Abs. 2 S. 1 Nr. 2 BDSG-E ist Auskunft zu erteilen, über

die verwendeten Einzeldaten, die Gewichtung der verwendeten Daten, die verwendeten Vergleichsgruppen und die Zuordnung der betroffenen Personen zu den Vergleichsgruppen, die in die Berechnung des Wahrscheinlichkeitswerts einfließen.

Ein solcher Umfang des Auskunftsanspruches ist derzeit nicht vorgesehen.
U
nd noch eine weitere wichtige Änderung soll im Rahmen des Auskunftsanspruchs geregelt werden. § 34 Abs. 2 S. 2 BDSG-E sieht vor, dass der Zugang zu diesen Informationen nicht

unter Berufung auf das Betriebs- und Geschäftsgeheimnis abgelehnt werden“

kann. Diese Änderung referenziert direkt auf das oben erwähnte Urteil des BGH, mit dem die Verfasser des Gesetzentwurfs nicht einverstanden sind und folglich eine gesetzgeberische Anpassung vorschlagen. Interessant ist folgende Klarstellung in der Gesetzesbegründung:

Verlangt werden kann nicht die Offenlegung … des zugrunde liegenden Algorithmus.

Ein berechtigtes Geheimhaltungsinteresse der Unternehmen erkennt der Gesetzesentwurf nicht an. Auch ein unzulässiger Eingriff in das Grundrecht auf Berufsfreiheit in Art. 12 Abs. 1 GG der Scoring-Verwender lehnt die Gesetzesbegründung ab.

Der Gesetzesentwurf sieht noch weitere Änderungen vor. Unter anderem soll eine jährliche Auskunftspflicht (!) der Auskunfteien eingeführt werden.

Zudem soll eine Pflicht für die zuständigen Landesdatenschutzbehörden eingeführt werden, Unternehmen, die Scoring-Verfahren verwenden, mindestens einmal jährlich zu kontrollieren (§ 38 Abs. 1 S. 2 BDSG-E). Hierbei handelt es sich um eine „Sollpflichtprüfung“. Dies bedeutet, dass die Aufsichtsbehörden grundsätzlich prüfen müssen, es sei denn es liegen besondere Umstände vor. Bei der derzeitigen Ausstattung (finanziell als auch personell) der Behörden, darf man sich doch die Frage stellen, inwieweit eine solche Pflicht eventuell weite Teile einer Behörde binden und damit lähmen könnte. Denn eine Prüfung sollte wenn sie denn schon durchgeführt wird doch umfassend erfolgen und nicht etwa als eine Art „Feigenblatt“ dienen. Dies erfordert dann aber auch einigen Einsatz an Personal und Zeit.

Fazit
Es bleibt abzuwarten, inwieweit der vorliegende Gesetzesentwurf im Gesetzgebungsverfahren noch Änderungen erfahren wird und ob sich die Opposition hier gegenüber der Koalition durchsetzen kann. Zudem muss freilich auf die sich bereits abzeichnende Einigung bei der Datenschutz-Grundverordnung hingewiesen werden, die dann Gesetzesnormen schafft, die den hier entstehenden Regelungen grundsätzlich vorgehen.

Gericht: Namen und Kontaktdaten von Amtsmitarbeitern dürfen nicht im Internet veröffentlicht werden

Der Bayerische Verwaltungsgerichtshof hat mit Urteil vom 25.03.2015 (Az. 5 B 14.2164) entschieden, dass personenbezogene Daten von Behördenmitarbeitern (etwa Name, Telefon- und Faxnummer) nicht einfach öffentlich im Internet von Dritten zum Abruf bereitgehalten werden dürfen. Es fehle diesbezüglich an einem berechtigten Interesse des Veröffentlichenden und auch das schutzwürdige Interesse des Betroffenen würde, wenn die Informationen ansonsten nicht öffentlich verfügbar sind, überwiegen.

Der Fall
Eine kommunale Wählervereinigung in der Rechtsform eines eingetragenen Vereins, deren Zweck die Teilnahme an Kommunalwahlen ist, wendete sich gegen eine Anordnung des Bayerischen Landesamts für Datenschutzaufsicht (LDA) zur Löschung personenbezogener Daten. Grundlage dieser verwaltungsrechtlichen Anordnung gegen den Verein war, dass dieser auf seiner Homepage den E-Mail-Verkehr zwischen dem Vorstand und einer Angestellten im öffentlichen Dienst im Bürgerbüro des Umweltministeriums veröffentlichte. In der von dem Verein veröffentlichten Adresszeile und in der Signatur der E-Mails waren der Anfangsbuchstabe des Vornamens der Angestellten, ihr Nachname, ihre dienstliche E-Mailadresse, die um die letzten beiden Ziffern gekürzte Telefonnummer, die dienstliche Faxnummer und die Dienstadresse angegeben.

Die Entscheidung
Das Gericht entschied, dass sich der Kläger nicht auf das sogenannte Medienprivileg nach § 41 BDSG berufen kann und dass auch sonst keine Rechtsvorschrift ersichtlich sei, die die Nennung personenbezogener Daten Dritter auf der Homepage erlauben würde.

Veröffentlichung der Daten
Nach Ansicht des Gerichts wurden durch die Veröffentlichung des Mail-Verkehrs und der darin enthaltenen Informationen auf der Homepage die personenbezogenen Daten der Behördenmitarbeiterin in der Weise verarbeitet, das Dritte diese Daten einsehen oder abrufen konnten. Damit lag nach Auffassung des Gerichts eine Datenübermittlung nach § 3 Abs. 4 S. 2 Nr. 3 b) BDSG vor. Was das Gericht hier jedoch unbeachtet lässt ist, dass nach dem Gesetz diese Daten auch tatsächlich eingesehen oder abgerufen werden müssen („einsieht oder abruft“). Im Ergebnis liegt freilich dennoch eine Datenverarbeitung vor, sei es als Speicherung (§ 3 Abs. 4 S. 2 Nr. 1 BDSG) oder in der Form der Weitergabe (§ 3 Abs. 4 S. 2 Nr. 3 a) BDSG), denn für die Weitergabe reicht die Möglichkeit der Kenntnisnahme der Informationen durch einen Dritten aus. Mit Blick auf die Veröffentlichung von Daten auf einer Internetseite entscheid dies der EuGH im Jahre 2003 (C-101/01) noch anders, wobei dieser Entscheidung wohl auch andere Erwägungen zugrundlagen. In der Google-Entscheidung (C-131/12) ging der EuGH jüngst relativ unproblematisch davon aus, dass die Darstellung von Ergebnislisten mit personenbezogenen Daten im Internet eine Weitergabe dieser Daten an Dritte darstellt.

Kein Medienprivileg
Der Verein brachte zu seiner Verteidigung unter anderem vor, dass sein Handeln unter das sog. Medienprivileg (§ 41 BDSG) fallen würde und er daher die Vorgaben des BDSG weitestgehend nicht zu beachten habe. Nach § 41 BDSG werden Unternehmen oder Hilfsunternehmen der Presse von den Bestimmungen des BDSG weitgehend freigestellt, soweit sie personenbezogene Daten ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken erheben, verarbeiten oder nutzen. Dieser Auffassung folgte das Gericht nicht:

Bei der vom Kläger durch seinen Vorstand betriebenen Webseite handelt es sich, wie ein Blick auf den in der Satzung des Vereins beschriebenen Vereinszweck eindeutig zeigt, nicht um eine Tätigkeit im Pressewesen, sondern um eine Tätigkeit in der kommunalen Parteipolitik.

Das Berichten zu einem bestimmten politischen Thema auf der Homepage über eigene Aktivitäten sei für den Verein daher nicht Zweck, sondern nur das Mittel zum eigentlichen Zweck des politisch tätigen Vereins gewesen. Einer Verarbeitung von Daten zu ausschließlich journalistisch-redaktionellen Zwecken fand daher nicht statt.

Auch hier könnte man die Wertung des Gerichts zumindest kritisch hinterfragen. Die im Datenschutzrecht vorgesehene Privilegierung von Datenverarbeitungen für ausschließlich journalistische Zwecke ist nämlich durchaus nicht im Sinne klassischer Pressearbeit zu verstehen. So hat bereits der EuGH festgestellt (C-73/07), dass Handlungen als journalistische Tätigkeiten eingestuft werden können,

wenn sie zum Zweck haben, Informationen, Meinungen oder Ideen, mit welchem Übertragungsmittel auch immer, in der Öffentlichkeit zu verbreiten. Journalistische Tätigkeiten sind nicht Medienunternehmen vorbehalten und können mit der Absicht verbunden sein, Gewinn zu erzielen.

Der EuGH legt die das Medienprivileg also durchaus weit aus. Dies ändert freilich nichts an der Voraussetzung, die Datenverarbeitung ausschließlich zu einem journalistischen Zweck, wie etwa die Verbreitung von Meinungen, vorzunehmen.

Keine gesetzliche Erlaubnis
Damit war klar, dass die Datenverarbeitung vollumfänglich in den Anwendungsbereich des BDSG fiel. Nach § 4 Abs. 1 BDSG war somit eine gesetzliche Erlaubnis oder die Einwilligung der Betroffenen erforderlich. Eine Einwilligung lag freilich nicht vor. Auch § 28 Abs. 1 S. 1 Nr. 2 BDSG, wonach das Übermitteln personenbezogener Daten als Mittel für die Erfüllung eigener Geschäftszwecke zulässig ist, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, konnte vorliegend nicht zu einer Rechtmäßigkeit der Verarbeitung führen.

Das Gericht verneinte bereits das Vorliegen eines Interesses des Vereins, den Namen und die Kontaktdaten der Betroffenen konkret zu benennen. Eine solche Einschätzung hängt freilich immer sehr stark von den Umständen des Einzelfalls ab. Vorliegend besaß die Betroffene ersichtlich keine sachbearbeitende oder sonstwie herausgehobene Funktion. Sie hatte lediglich Fachinformationen von der zuständigen Fachabteilung an den Verein weitergeleitet. Es bestehe schlicht kein Zusammenhang zwischen dem veröffentlichten Inhalt der E-Mails und der Person der Betroffenen.

Das Gericht stellt zum Schluss zudem fest, dass selbst für den Fall, dass ein berechtigtes Interesse des Vereins bestanden hätte, das schutzwürdige Interesse der Betroffenen vorliegend überwogen hätte. Die Begründung ähnelt ein wenig derjenigen, die wir aus dem bereits oben einmal zitierten Google-Urteil des EuGH kennen. Nach dem Gericht handelte es sich insofern um einen nicht ganz unerheblichen Eingriff in das Persönlichkeitsrecht der Betroffenen, deren Daten zudem gerade nicht allgemein zugänglich waren. Diese Feststellung gelte auch für die im öffentlichen Dienst tätigen Mitarbeiter, die ohne ein überwiegendes berechtigtes Interesse mit ihren personenbezogenen Daten nicht einfach im Internet benannt werden dürften. Der für den Verein relevante Verwaltungsvorgang als solcher ließe sich zudem problemlos und ohne sachlichen Informationsverlust auch ohne Nennung personenbezogener Daten darstellen. So stellt das Gericht letztendlich fest:

Zusammengefasst wäre bei einer Interessenabwägung daher dem Interesse der Beigeladenen, ihre personenbezogenen Daten nicht weltweit abrufbar im Internet veröffentlicht zu sehen, der Vorrang einzuräumen.

Fazit
In der Sache und auf der Grundlage der in diesem Einzelfall vorliegenden Umstände, ist das Urteil durchaus vertretbar. Insbesondere im Rahmen der Abwägung der Interessen der Beteiligten steckt jedoch oft ein gewisser Spielraum für Argumentationen, so dass ein Ergebnis kaum per se vorhersehbar erscheint.

Markenrecht: Schützt das Bankgeheimnis vor Ansprüchen des Rechteinhabers?

In Deutschland existiert kein (zumindest kein unmittelbar) gesetzlich festgeschriebenes Bankgeheimnis. Nach § 383 Abs. 1 Nr. 6 ZPO sind jedoch Bankinstitute unter Umständen berechtigt, in Zivilprozesse die Auskunft über bestimmt Informationen zu verweigern (den Bankinstituten steht ein Zeugnisverweigerungsrecht zu). Daher spricht man zumindest von einem „mittelbar“ existierenden Bankgeheimnis.
Doch wie verhält sich das Bankgeheimnis zu Rechtsansprüchen von Dritten, die diese gegenüber Kunden der Bank besitzen und durchsetzen möchten, dazu jedoch Gewissheit erlangen müssen, wer der Inhaber eines Bankkontos ist?

Einen solchen Fall hat der Bundesgerichtshof (BGH) im Jahre 2013 dem Europäischen Gerichtshof (EuGH) zur Beantwortung vorgelegt (Rechtssache C-580/13). Hierüber hatte der Kollege Thomas Stadler in seinem Blog berichtet.

Worum geht es: Der exklusive Lizenzinhaber einer Marke (an dem Parfum „Davidoff Hot Water“) kaufte auf einer Internetauktionsplattform einen gefälschten Parfumflakon. Den Preis hierfür zahlte der Lizenzinhaber auf ein Bankkonto bei einer Sparkasse ein. Nachdem der Inhaber des Verkäuferkontos angab, nicht den in Rede stehenden Verkauf getätigt zu haben, wandte sich der Lizenzinhaber an die Sparkasse, um zu erfahren, wer denn hinter dem Bankkonto steckt. Damit machte der Lizenzinhaber einen gesetzlich in § 19 Abs. 2 MarkenG festgeschriebenen Auskunftsanspruch geltend, der wiederum auf Art. 8 der europäischen Richtlinie 2004/48 (PDF) beruht. Die Sparkasse weigerte sich, mit Verweis auf § 383 Abs. 1 Nr. 6 ZPO, die Auskunft zu erteilen.

Das Urteil des EuGH steht noch aus, jedoch hat nun der zuständige Generalanwalt am EuGH seine Stellungnahme abgegeben und seine Entscheidungsempfehlung ausgesprochen. Kurz gesagt: die vorbehaltlose Verweigerung der Auskunftserteilung mit Verweis auf das Bankgeheimnis ist ohne eine gerichtliche Prüfung nicht mit EU-Recht vereinbar.

Art. 8 RL 2004/48 sieht vor, dass die Mitgliedstaaten sicherstellen müssen, „dass die zuständigen Gerichte im Zusammenhang mit einem Verfahren wegen Verletzung eines Rechts des geistigen Eigentums auf einen begründeten und die Verhältnismäßigkeit wahrenden Antrag des Klägers hin anordnen können, dass Auskünfte über den Ursprung und die Vertriebswege von Waren oder Dienstleistungen, die ein Recht des geistigen Eigentums verletzen, von dem Verletzer und/oder jeder anderen Person erteilt werden“. Diese Auskunft erstreckt sich auch auf Namen und Adresse der Vertreiber und Verkaufsstellen.

Nach Ansicht des Generalanwalts hat die Weigerung der Auskunftserteilung durch die Sparkasse die Einschränkung von zwei europäischen Grundrechten zur Folge: das Recht auf geistiges Eigentum (Art. 17 Abs. 2 der Charta der Grundrechte der Europäischen Union) und das Recht auf einen wirksamen Rechtsbehelf nach Art. 47 der Charta, welches gerade ein notwendiges Instrument zum Schutz des ersteren Grundrechts darstellt. Auf Seiten des Bankinstituts stehe hingegen das Recht der Bankkunden auf Schutz personenbezogener Daten (Art. 8 der Charta), welches die Bank durch das Bankgeheimnis zumindest mittelbar zu schätzen versuche.

Art. 52 Abs. 1 der Charta enthält die Voraussetzungen, unter denen die Einschränkung eines Grundrechts rechtmäßig erfolgen kann. Die Grundrechtseinschränkung muss gesetzlich vorgesehen sein, den Wesensgehalt der betroffenen Rechte und Freiheiten achten und schließlich geeignet und erforderlich sein, um die verfolgte Zielsetzung zu erreichen, sowie dem Grundsatz der Verhältnismäßigkeit entsprechen.

Art. 52 Abs. 1 der Charta bestimmt außerdem, dass die Grundrechtseinschränkung den „Wesensgehalt“ des oder der betroffenen Grundrechte achten muss. Hier bestehen für den Generalanwalt „die größten Zweifel“ vor allem hinsichtlich des Rechts des Lizenznehmers auf einen wirksamen Rechtsbehelf.

Die Wirksamkeit des Rechtsschutzes, den die Lizenznehmerin der verletzten Marke verlangt, scheint in Deutschland unter Umständen wie im vorliegenden Fall ausschließlich davon abzuhängen, dass das Bankinstitut, von dem die Auskunft begehrt wird und das vertraglich gegenüber seinen Kunden zur Verschwiegenheit verpflichtet ist, aus welchem Grund auch immer darauf verzichtet, vom Zeugnisverweigerungsrecht nach § 383 Abs. 1 Nr. 6 ZPO Gebrauch zu machen.

Des Weiteren prüft der Generalanwalt, ob es unter den Umständen des vorliegenden Falles geeignet, erforderlich und verhältnismäßig ist, den Lizenznehmer unter Hinweis auf das Bankgeheimnis die Ausübung seines Rechts auf einen wirksamen Rechtsbehelf zu versagen.

Von besonderer Bedeutung ist für den Generalanwalt die Frage, ob die Einschränkung der Grundrechte erforderlich ist. Die Einschränkung der Grundrechte sei hier nur dann erforderlich, wenn der verfolgte Zweck (Schutz der Kundendaten durch die Bank) nicht auch durch eine Maßnahme erreicht werden kann, die diese Rechte in geringerem Maß einschränkt. Insoweit müsse nach dem Generalanwalt geprüft werden, ob die Daten, die von der Sparkasse verlangt werden, möglicherweise auf einem anderen Weg oder aus einer anderen Quelle als über das Bankinstitut erlangt werden können. In jedem Fall müsse das nationale Gericht im Rahmen dieser Verhältnismäßigkeitsprüfung alle betroffenen Grundrechte berücksichtigen und in der Folge eine Abwägung kollidierender Grundrechte vornehmen.