ePrivacy Regulation: Position of the German Government for further negotiations at EU level

Posted on by

The following bullet points are a quick translation of a response (pdf, German, p. 67 f.) from State Secretary Dörr-Voß of 10 July 2018 to a written question in the German parliament. According to the written answer, with this position, Germany will also enter further negotiations at EU level on the ePrivacy Regulation.

  • The Bulgarian Presidency’s proposal for Art. 5 ePrivacy Regulation requires further revision. Communication data processed by communication service providers shall be subject to the protection of the confidentiality of communications, even after the end user has received the communication and the communication process is complete. At the same time, however, it must be clear that the further processing of communication data by the end user or on his behalf is subject to the General Data Protection Regulation. Both should clearly emerge from the ePrivacy Regulation.
  • The Government considers the proposals for processing pseudonymised geolocation data for statistical purposes, including the proposed safeguards, to be an appropriate approach for further negotiations. The Government will in no way support any further openings beyond the Presidency text of 4 May 2018 which would allow processing without consent or which would result in a weakening of the safeguards in Art. 6 ePrivacy regulation.
  • With regard to Art. 8 ePrivacy Regulation, the Government supports the current catalogue of authorised processing operations without a requirement for consent contained in the text version of the Bulgarian Council Presidency. The Government also considers it necessary to include a regulation in Art. 8 ePrivacy Regulation which ensures that the use of online services financed by advertising can be made dependent on the user’s consent to the setting of cookies for advertising purposes.
  • In Art. 10 ePrivacy Regulation, the German government supports the EU Commission’s proposal that end users should be informed about privacy settings on first installation and have to choose a setting. In addition, the Government wants Art. 10 to regulate two core issues. First, the software must not be preset to allow information to be stored and read on the end device without the end user’s knowledge. Secondly, updates must not lead to the end user’s privacy settings being overridden. Finally, it must be ensured that rejected providers (via the software setting) can separately ask the end user for his consent.
  • The Government also considers a transitional period of two years after the entry into force of the ePrivacy Regulation to be necessary.

One most also take note of another document (dated 10th July) of the current Council Presidency to delegations for the meeting of 17th July 2018 in the WP TELE in the Council of the European Union (Examination of the Presidency text, pdf). This document also concerns the above mentioned Articles 6, 8 and 10 of the proposed ePrivacy Regulation and summarizes the current status of the text with the amendments in the Council.

Facebook Fanpages: Datenschutzbehörden veröffentlichen (leider nur vage) Handlungsempfehlungen für Unternehmen – Was ist nun zu tun?

Posted on by

Das Urteil des EuGH vom 5. Juni 2018 (C-210/16) zur gemeinsamen Verantwortlichkeit von Fanpage-Betreiber und Facebook, sorgt bei Unternehmen für Unsicherheit. Dies war durchaus zu erwarten, da es nicht Aufgabe des EuGH ist, konkrete Handlungsanweisungen zu geben, wie das Datenschutzrecht in der Praxis umzusetzen ist. Was hat die „gemeinsame Verantwortlichkeit“ für Konsequenzen? Was ist nun zu tun? Die Überwachung der Anwendung der DSGVO und ihre Durchsetzung in der Praxis ist Aufgabe der Datenschutzbehörden.

Die Datenschutzkonferenz (DSK) hat, sehr schnell nach dem Urteil des EuGH, eine Entschließung (PDF) zu den sich aus ihrer Sicht ergebenden Folgen der Entscheidung für Betreiber von Fanpages veröffentlicht. Welches Unternehmen sich nun aber klare Vorgaben zum erforderlichen Vorgehen erhofft, wird leider enttäuscht. Die Entschließung der DSK ist zum teil sehr offen und vage formuliert. Es fehlen leider auch rechtliche Begründung für die Position. Unternehmen werden die Entschließung daher leider nicht als konkrete Handlungshilfe nutzen können. Daher wird sich ein Unternehmen, auch vor dem Hintergrund der Entschließung, nicht sicher sein können, ob es datenschutzrechtlich absolut rechtskonform agieren, solange die Fanpage weiter betrieben wird.

Kurz zur Einordnung: die Entschließung der DSK ist für Unternehmen nicht rechtlich bindend. Sie ist kein Gesetz und auch kein Verwaltungsakt. Sie stellt eine (Rechts)Position der in der DSK versammelten Behörden dar. Das bedeutet gleichzeitig auch, dass es andere rechtliche Ansichten zu den Folgen des Urteils geben kann (und wird).

Nun zu der Entschließung selbst. Was empfiehlt die DSK und was sollten oder können Fanpage-Betreiber tun?

Wenig überraschend stellt die DSK fest, dass Betreiber einer Fanpage „selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage“ sind. Das ist auch die Kernaussage des EuGH-Urteils. Nach der DSK müssen Betreiber „die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten“. Auch diese Folgerung ist nur konsequent. Wenn ein Unternehmen „Verantwortlicher“ ist, sind die Pflichten des Verantwortlichen nach der DSGVO zu beachten.

Die DSK geht jedoch bei weitem nicht auf alle einen Verantwortlichen treffenden Pflichten nach der DSGVO ein, sondern beschränkt sich in der Entschließung auf einige wenige, wenn auch äußert relevante Aspekte. Ein Beispiel: als Verantwortlicher (und auch Auftragsverarbeiter), muss ein Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) für alle Verarbeitungstätigkeiten führen, die seiner Zuständigkeit unterliegen. Auch die Verarbeitung über die Fanpage müsste in dieses Verzeichnis aufgenommen werden. Diese Pflicht (und viele weitere) wird aber gar nicht erst erwähnt. Ich verstehe die Entschließung daher eher als Empfehlungen der deutschen Behörden im Sinne von ad-hoc Maßnahmen. Leider wird dies aber nicht deutlich zum Ausdruck gebracht. Unternehmen sollten wissen, dass es mit der Erfüllung der wenigen Vorgaben in der Entschließung sicherlich nicht getan ist, wenn man eine Fanpage DSGVO-konform einsetzen möchte.

Die DSK verlangt, dass Besucher einer Fanpage „transparent und in verständlicher Form darüber informiert werden“ müssen, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Diese Forderung bezieht sich auf Art. 12 und 13 DSGVO. Die Informationspflichten müssen erfüllt werden. Unternehmen sollten daher überlegen, entweder eine eigen „Fanpage Datenschutzerklärung“ vorzuhalten und zu verlinken oder auf die eigene, allgemeine Datenschutzerklärung zu verlinken und dort einen „Fanpage Passus“ aufzunehmen. Das Problem hierbei ist, dass der Betreiber faktisch gar nicht alle erforderlichen Informationen zur Datenverarbeitung erteilen kann. Unternehmen wissen im Zweifel nicht, welche Rechtsgrundlage für die Verarbeitung gilt (Pflicht nach Art. 13 Abs. 1 lit. c) DSGVO) oder wer die Kategorien von Empfängern der Daten sind (Pflicht nach Art. 13 Abs. 1 lit. e) DSGVO). Diese Problematik scheint auch die DSK zu erkennen. Denn die DSK fordert, dass Betreiber sich selbst versichern sollten, „dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden“. Doch wie soll sich ein Unternehmen diesbezüglich „versichern“? Facebook per E-Mail anschreiben und die Informationen erbitten? Dies bleibt unklar.

Die DSK fordert zudem (dem ersten Anschein nach) per se die Einwilligung für die Verarbeitung der Daten der Besucher. „Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt“.

Nun ist aber zu beachten, dass es in diesem Absatz ein, aus Juristensicht, ganz entscheidendes Wort gibt, das dort meines Erachtens nicht aus Versehen steht: „grundsätzlich“.

Wenn Juristen (und das sind viele Mitarbeiter der Datenschutzbehörden und an der Entschließung beteiligte Personen) „grundsätzlich“ schreiben, meinen sie, dass es stets Ausnahmen gibt. Man könnte auch „in der Regel“ sagen. Das bedeutet, dass die DSK nicht zwingend eine Einwilligung für erforderlich hält, wenn Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt. Man kann also, gerade auch Sicht des Betreibers der Fanpage, auch an andere Erlaubnistatbestände (z. B. die Interessenabwägung) denken. Leider ist die Entschließung der DSK in dieser Hinsicht einfach nicht klar und es fhelt eine rechtliche Begründung, warum hier „grundsätzlich“ eine Einwilligung einzuholen wäre. Als Betreiber ist man nun leider auch nicht schlauer.

Zuletzt verweist die DSK auf die Anforderung des Art. 26 DSGVO, dass gemeinsam Verantwortliche eine Vereinbarung über die Verteilung der Pflichtenerfüllung zwischen Betreiber und Facebook. Auch diese Schlussfolgerung ist zwingend, wenn die DSGVO gilt und daher nicht überraschend.

Was macht man als Unternehmen?

Ich denke, dass Betreiber von Fanpages nun mehrere Optionen haben. Natürlich kann man, wenn man überhaupt kein Risiko eingehen möchte und den Anspruch hat, stets 100% DSGVO compliant zu agieren, darüber nachdenken, die Fanpage abzuschalten.

Meines Erachtens ergibt sich diese Konsequenz jedoch nicht zwingend aus der Entschließung der DSK. Dies aus zwei Gründen. Zum einen, weil die DSK dies nicht fordert (siehe unten). Zum anderen, weil die DSK, wie auch der EuGH in seinem Urteil, ein gewisses Hintertürchen zur „abgespeckten“ Pflichtenerfüllung offen lässt. Die DSK verweist darauf, dass „die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt“. Der EuGH formuliert es so (Rz. 43 des Urteils): „Klarzustellen ist, dass das Bestehen einer gemeinsamen Verantwortlichkeit, …, aber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind“. Meines Erachtens kann man sowohl den EuGH, als auch nun den Hinweis der DSK auf die verschiedenen Verantwortlichkeitssphären so verstehen, dass Betreiber der Fanpage nur solche Pflichten erfüllen müssen, die sie auch faktisch erfüllen können.

Um es am Beispiel der Datenschutzerklärung konkret zu machen: Betreiber sollten eine solche Datenschutzerklärung vorhalten. Inhaltlich sollten die Informationspflichten soweit erfüllt werden, wie dies dem Betreiber möglich ist. Wenn ein Unternehmen zu manchen geforderten Angaben schlicht keine Information hat, dann kann diese Pflicht nicht erfüllt werden. Die Entschließung der DSK erkennt wohl („wohl“, da die Entschließung leider einfach sehr vage ist) dieses Problem und, dies sollte man auch beachten, knüpft hieran etwa nicht die Folgerung, dass deshalb die Fanpage abgeschaltet werden müsste.

Das bedeutet meines Erachtens, dass die DSK verlangt, dass Fanpage-Betreiber jene datenschutzrechtlichen Pflichten erfüllen sollen, zu deren Erfüllung sie rein faktisch in der Lage sind. Das ist am Ende nun natürlich allein meine Auslegung der Entschließung. Aus Sicht der Praxis hätte man sich hier eine klarere und begründete Positionierung gewünscht.

Was sagt die DSK in ihrer Entschließung nicht?

Meines Erachtens ist es wichtig, abschließend darauf hinzuweisen, was die DSK in ihrer Entschließung gerade nicht fordert oder feststellt.

  • Die DSK verlangt nicht, dass Fanpages abgeschaltet werden.
  • Dies verlangt die DSK auch dann nicht, wenn die von ihr zwingend vorgegeben Anforderungen nicht eingehalten werden.
  • Die DSK sagt nichts Abschließendes dazu, ob oder unter welchen Voraussetzungen die Verarbeitung von Daten der Besucher rechtmäßig oder rechtswidrig ist.
  • Die DSK äußert sich nicht dazu, ob die Datenschutzbehörden nun Bußgelder gegen Betreiber von Fanpages verhängen werden.

Verwaltungsgericht: Facebook Custom Audience mit Kundenliste ist ohne Einwilligung unzulässig

Posted on by

Dass der Einsatz von Facebook Custom Audience aus datenschutzrechtlicher Sicht nicht unkritisch ist, dürfte seit einiger Zeit bekannt sein. Zuletzt hatte die bayerische Aufsichtsbehörde für Unternehmen, das BayLDA, im Oktober 2017 in einer Pressemitteilung darauf hingewiesen, dass Unternehmen in Bayern diesbezüglich überprüft wurden. Zudem stellte das BayLDA seine Sichtweise zur Zulässigkeit der verschiedenen Varianten des Werbe-Tools dar.

Die Variante „Facebook Custom Audience über die Kundenliste“ sieht das BayLDA nur als datenschutzrechtlich zulässig an, wenn Betroffene, deren Daten, u.a. auch die E-Mail-Adresse, gehasht an Facebook zum Abgleich mit Facebook-Nutzern weitergegeben wird, zuvor in die Verwendung der Daten für den werblichen Zweck eingewilligt haben.

Nachdem ein bayerisches Unternehmen, welches diese Variante von Facebook Custom Audience nutzte, vom BayLDA geprüft wurde und der Ansicht der Behörde nicht folgte, dass in diesem Fall die Einwilligung er Betroffenen erforderlich sei (diese lag nicht vor), erließ das BayLDA gegen das Unternehmen einen Bescheid, mit dem das Unternehmen verpflichtet wurde, binnen zwei Wochen nach Zustellung des Bescheides die erstellten Custom Audiences (Kundenlisten) zu löschen.

Gegen diesen Bescheid ging das Unternehmen, zunächst im Wege des vorläufigen Rechtsschutzes, vor dem Verwaltungsgericht (VG) Bayreuth gerichtlich vor. Das Verwaltungsgericht entschied nun mit Beschluss v. 08.05.2018 – B 1 S 18.105, dass der Antrag des Unternehmens abgelehnt wird, da Sache die in der Hauptsache erhobene Klage Unternehmens voraussichtlich ohne Erfolg bleiben wird.

Oder kurz: das Gericht folgt der Auffassung des BayLDA („folgt das Gericht den Gründen der angegriffenen Anordnung vom 16.01.2018“), dass der Einsatz der Variante von Facebook Custom Audience über das Hochladen von Kundenlisten in den eigenen Facebook Account des Unternehmens der vorherigen Einwilligung der Betroffenen bedarf.

Der Beschluss des VG ist sehr ausführlich und durchaus lesenswert. Insbesondere die Darstellung der verschiedenen Rechtspositionen und Begründungen der Parteien ist interessant.

Zudem noch ein Hinweis: der Beschluss erging auf Grundlage der alten Rechtslage vor dem 25.5.2018. Das heißt nicht, dass alle in dem Beschluss benannten Gründe und Erwägungen nun hinfällig wären. Denn wie wir wissen, unterscheidet sich die DSGVO gar nicht so sehr von dem alten BDSG. An der ein oder anderen Stelle, können sich meines Erachtens aber auch Unterschiede ergeben (Beispiel: die DSGVO kennt kein Listenprivileg für Werbezwecke, sondern benennt die Verarbeitung für Zwecke der Direktwerbung als ein mögliches berechtigtes Interesse; das alte BDSG definierte die Anonymisierung von Daten, die DSGVO jedoch nicht).

Nachfolgend möchte ich ganz kurz die Gründe des VG für seine Entscheidung aufführen:

  • Uber die verwendeten E-Mail-Adressen ist ein Personenbezug herstellbar. Durch den Vorgang des „Hashens“ werden die Daten nicht (i.S.v. § 3 Abs. 6 BDSG) anonymisiert, da der Personenbezug hierdurch nicht völlig aufgehoben wird. Vielmehr ist es weiterhin mit nicht nur unverhältnismäßigem Aufwand möglich, sie einer bestimmten oder bestimmbaren Person zuzuordnen.
  • Bei der Übermittlung der gehashten E-Mail-Adressen der Kunden des Unternehmens an Facebook handelt es sich nicht um eine Übermittlung im Rahmen einer Auftragsdatenverarbeitung, sondern um eine Übermittlung an Dritte und in der Folge eine Datenverarbeitung.
  • In der vorliegenden Sachverhaltsgestaltung ist nicht von einer Auftragsdatenverarbeitung, sondern vielmehr von einer sog. „Funktionsübertragung“ auszugehen. Die Übermittlung der (gehashten) E-Mail-Adressen ist integraler Bestandteil der Werbemaßnahme. Eine eigenständige Bedeutung der bloßen Durchführung eines Datenabgleichs, der dann als Teil einer Auftragsdatenverarbeitung angesehen werden könnte, ist nicht zu erkennen.
  • Das Unternehmen kann die Zulässigkeit der Datenübermittlung nicht auf das sog. „Listenprivileg“ (§ 28 Abs. 3 Satz 2 BDSG (alt)) stützen. Bei E-Mail-Adressen handelt es sich nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs. 3 Satz 2 BDSG nicht enthalten sind.
  • Eine Berechtigung zur Übermittlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG (alt), da dieser lediglich das „Hinzuspeichern“ und somit allein die Vervollständigung der Informationen erlaubt, jedoch keine eigene Übermittlungsbefugnis hinsichtlich weiterer Daten enthält. Darüber hinaus wäre jedoch zusätzlich eine zugunsten des Unternehmens ausgehende Interessenabwägung notwendig (§ 28 Abs. 3 Satz 6 BDSG (alt)), die jedoch hier zum Nachteil des Unternehmens ausgeht.
  • Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG (alt) (Interessenabwägung) kann die Übermittlung der (gehashten) E-Mail-Adressen nicht gerechtfertigt werden. Im Rahmen der insoweit vorzunehmenden Interessenabwägung sind die im § 28 Abs. 3 BDSG (alt) getroffenen Wertungen des Gesetzgebers zu berücksichtigen. In der hiesigen Fallgestaltung ist festzustellen, dass die hier beanstandete Übermittlung der E-Mail-Adressen nach den Regelungen in § 28 Abs. 3 BDSG (alt) selbst dann rechtswidrig wäre, wenn man insoweit die Privilegierungen für Listendaten zugrunde legen würde. Dies spricht im Rahmen der Interessenabwägung für das Überwiegen der Betroffenenrechte.
  • Generell setzt die Zulässigkeit einer Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG (alt) voraus, dass diese zur Wahrung berechtigter Interessen der verantwortlichen Stelle „erforderlich“ ist – nicht etwa lediglich aus Sicht der verantwortlichen Stelle geeignet oder zweckmäßig. Gemeint sind Verwendungen, zu denen es keine objektiv zumutbare Alternative gibt. Zu berücksichtigen ist daher auch, dass das Unternehmen die Daten insbesondere im Rahmen von Bestellvorgängen erwirbt und es ihr deswegen ohne einen unverhältnismäßig großen Aufwand möglich wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten einzuholen.

Wie gesagt, sind einzelne Begründung aufgrund der neuen Rechtslage nicht per se übertragbar. Es zeigt sich aber insgesamt, dass das VG hier in allen entscheidenden Punkten der Argumentation des BayLDA folgt.

Besonders spannend ist für mich, aus juristischer Sicht, die Frage nach der Auftragsverarbeitung durch Facebook. Das VG verweist hier deutlich darauf, dass es nicht unbedingt auf den zwischen Facebook und dem Unternehmen abgeschlossenen Vertrag ankommt, sondern die faktischen Gegebenheiten entscheiden. Das bedeutet aber auch, dass es wohl faktische Gegebenheiten geben kann, in denen man Facebook durchaus als Auftragsverarbeiter des Unternehmens ansehen könnte.

Zu beachten zudem, dass sich diese Entscheidung nur auf eine Alternative des Werbe-Tools von Facebook bezieht. Daneben gibt es auch noch die Möglichkeit, ein Pixel des Netzwerkes in die eigene Webseite einzubinden (also keine Listen mit Kundendaten hochzuladen).

Entwurf der ePrivacy Verordnung – Neue Fassung zum aktuellen Stand im Rat der Europäischen Union

Posted on by

Mit Datum vom 4. Mai 2018 hat die Ratspräsidentschaft den aktuellen Text des Entwurfs der ePrivacy Verordnung veröffentlicht (Ratsdokument 8537/18, pdf). Die nächste Sitzung der zuständigen Ratsarbeitsgruppe “Telekommunikation und Informationsgesellschaft“ findet am 16. Mai 2018 statt, bei der auch dieser Text Gegenstand der Diskussionen der Mitgliedstaaten sein wird.

Der ursprüngliche Entwurf der Kommission zur ePrivacy VO wurde vom Rat schon an vielen Stellen angepasst. Auch diese Änderungen sind in dem nun veröffentlichten Text enthalten. Nachfolgend möchte ich nur auf einige der neuen Änderungen in dem aktuellen Text hinweisen.

Cookie Walls

Ein großes Thema in den Ratsverhandlungen spielt die Frage der Zulässigkeit von Cookie Walls. Also die Frage, ob Webseiten- oder Appbetreiber die Nutzung ihrer Dienste von der Einwilligung der Nutzer in den Einsatz von Cookies abhängig machen dürfen. In ErwG 20 nimmt der Rat nun weitere Klarstellungen zu dieser Thematik auf. Der Zugang zu bestimmten Inhalten auf Webseiten (der Text erwähnt ausdrücklich nur Webseiten) darf von der Einwilligung zum Einsatz von Cookies abhängig gemacht werden. Aber: in einigen Fällen kann diese Voraussetzung auch als unverhältnismäßig angesehen werden. Der Text nennt hier als Beispiel die Webseite einer öffentlichen Stelle, wenn für den Nutzer keine andere Möglichkeit besteht, die Dienste in Anspruch zu nehmen. Dann bestünde keine richtige Wahlmöglichkeit für den Nutzer. Der Text sagt nicht, was die Konsequenz wäre, jedoch darf man davon ausgehen, dass es in diesem Fall an dem Erfordernis der Freiwilligkeit der Einwilligung fehlt.

Keine Cookie-Einwilligung für den Betrieb vernetzter Geräte

In den ErwG 21 und 21a geht es um Ausnahmen von dem Erfordernis der Einwilligung zum Einsatz von Cookies. In der Vergangenheit hat der Rat in ErwG 20 bereits Beispiele aufgenommen, wann die Einwilligung des Nutzers nicht erforderlich ist. Etwa beim Einsatz von Session Cookies, wenn diese erforderlich sind, um die Nutzung des Dienstes zu ermöglichen, wie etwa die Speicherung von Informationen in Formularfeldern über mehrere Webseiten hinweg oder die Speicherung von Produkten, die ein Nutzer in einem Online Shop in seinen Warenkorb gelegt hat. In ErwG 21a nimmt der Rat nun neu noch die Ausnahme auf, wenn die Speicherung von Informationen aus oder der Zugriff auf Informationen in einem Endgerät des Nutzers erforderlich ist, um einen Dienst der Informationsgesellschaft, wie im Internet der Dinge (IoT) anzubieten. ErwG 21a erwähnt als Beispiel vernetzte Geräte und konkret vernetzte Thermostate.

Datenschutzeinstellungen in Software

ErwG 22 und 22a behandeln die Frage der Erteilung von Einwilligung über Datenschutzeinstellungen in Software, vor allem Webbrowsern. Bei der Erteilung von Einwilligungen können diese Softwareeinstellungen daher eine wichtige Rolle spielen. In ErwG 22 wird auch vorgesehen, dass die Einstellung eines Nutzers im Browser gegenüber Dritten bindend sein soll. In ErwG 22a stellt der Rat nun klar, dass die Verantwortlichkeit für die Einholung einer Einwilligung zum Einsatz von Cookies aber stets beim Anbieter eines Dienstes der Informationsgesellschaft, also z.B. einer App oder Webseite, liegen soll. Der Browseranbieter soll also klarstellend aus dieser Pflicht herausgenommen werden.

Zusätzlich ergänzt der Rat ErwG 23, in dem es um die Details zu den gegenüber Nutzern anzubietenden Datenschutzeinstellungen in der Software, z. B. Browsern, geht. Solche Einstellungen müssen dem Nutzer in einer leicht erkennbaren Weise zur Verfügung gestellt werde. Zu allgemein gehaltene Datenschutzeinstellungen in einem Browser oder auch einer App, die den Nutzer nicht darüber informieren, für welche Zwecke Informationen auf dem Endgerät gespeichert werden oder Informationen aus dem Endgerät genutzt werden können, sollen nach dem neuen Text keine wirksame Einwilligung des Nutzers darstellen.

Zuletzt wird ErwG 24 angepasst. Der Rat nimmt eine Klarstellung auf, dass die Vorgaben der ePrivacy VO den Betreiber einer Webseite nicht daran hindern, eine Einwilligung der Nutzer einzuholen, unabhängig davon, welche Einstellung der Nutzer etwa im Browser vorgenommen hat. Webseitenbetreiber sollen also auch „eigene“ und von den Softwareeinstellungen abweichende Einwilligungen einholen dürfen.

Natürlich enthält das Überblicksdokument aus dem Rat noch viele weitere Anpassung des Entwurfs. Zum Beispiel wird auch klargestellt, dass die Vorgaben zu Maßnahmen der Direktwerbung (Art. 16) nicht für Werbeanzeigen im Internet gelten, solange diese nicht direkt an eine identifizierte oder identifizierbare Person gerichtet ist und keine Kontaktdaten der Person genutzt werden.

Wie ein schlechter Scherz: EU Gesetzgeber passt die DSGVO an – Einen Monat vor Anwendbarkeit

Posted on by

Es ist eigentlich kaum zu glauben, mit was der europäische Gesetzgeber, einen Monat vor Anwendbarkeit der DSGVO, nun um die Ecke kommt.

In einem 386 Seiten starken Dokument (Ratsdokument vom 19.4.2018, pdf, ab S. 47 beginnt die deutsche Fassung) nimmt er umfassende Anpassungen an allen Sprachfassungen der DSGVO vor.

Eigentlich soll es bei diesen Anpassungen nur um offensichtliche Fehler innerhalb der DSGVO gehen. Also etwa um Rechtschreibfehler oder auch um Verweisfehler auf Absätze, die nicht existieren.

Ich halte selbst solche Änderungen eines in Kraft getretenen Gesetzestextes für kritisch. Zumindest muss man hier wirklich mit der gebotenen Umsicht und Sorgfalt agieren. Denn wir Juristen wissen, dass es bei der Auslegung und Anwendung von Gesetzen gerade auf einzelne Wörter und ihre Bedeutung ankommen kann. Nun mag man nachträgliche Änderungen von Gesetzen noch gutheißen, wenn es tatsächlich um Rechtschreibfehler und auch offensichtliche Fehler in einer Sprachfassung geht, die in anderen Sprachfassungen nicht vorhanden sind. Es geht ja um die Schaffung von Rechtssicherheit für die Anwender.

Das ist bei diesen Vorschlägen zur Anpassung der DSGVO aber nicht immer der Fall. Betrachtet man die Änderungen etwas genauer, wird schnell klar, dass einige Änderungen sich tatsächlich auch auf den Sinn und den Aussagegehalt einer Vorschrift erstrecken.

Das bedeutet, dass eine Regelung, mit der Unternehmen seit Inkrafttreten im Mai 2016 arbeiten und auf die sie ihre Datenverarbeitungsprozesse anpassen, nun im schlimmsten Fall einen anderen Sinn und eine andere Regelungsvorgabe enthält. Als Berater zur Umsetzung der DSVGO fehlt mir da tatsächlich das Verständnis und lässt mich doch etwas sprachlos zurück.

Ich möchte diese Kritik an einigen Beispielen verdeutlichen:

ErwG 71 befasst sich mit den Vorgaben für das Profiling (Art. 22 DSGVO). Es geht dort u.a. auch darum, welche Maßnahmen der Verantwortliche zum Schutz der Betroffenen treffen muss.

… und mit denen verhindert wird, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu Maßnahmen kommt, die eine solche Wirkung haben“.

Die Berichtigung wird nun „oder zu Maßnahmen kommt“ durch „oder zu einer Verarbeitung kommt“ ersetzen. Meines Erachtens wird durch Einfügung des Begriffs „Verarbeitung“ durchaus der Sinn der Vorschrift geändert. Denn „Maßnahmen“ würde ich persönlich weiter verstehen als eine „Verarbeitung“; diese bezieht sich allein auf den Umgang mit personenbezogenen Daten, wohingegen „Maßnahmen“ umfassender zu verstehen ist.

Ein weiteres Beispiel:

In ErwG 145 geht es um die Klagemöglichkeit Betroffener gegen Verantwortliche und Auftragsverarbeiter. Derzeit wird hier noch, zum Ort, an dem Klage eingereicht werden kann, vorgegeben: „des Mitgliedstaats, in dem die betroffene Person ihren Aufenthaltsort hat“. In der offiziellen Berichtigung wird nun „Aufenthaltsort“ durch „in dem die betroffene Person wohnt“ ersetzt. Auch dies ist meines Erachtens nach nicht nur eine marginale sprachliche Anpassung. Denn den „Aufenthaltsort“ wird man weiter verstehen können als den reinen „Wohnort“. Der Knaller ist aber, dass der entsprechende Artikel, Art. 79 Abs. 2, nicht angepasst wird. Dort heißt es „in dem die betroffene Person ihren Aufenthaltsort hat“. Also ändert der Gesetzgeber nun den ErwG 145 abweichend zu der Vorgabe in dem entsprechenden Artikel.

Und ein letztes Beispiel:

Art. 25 Abs. 2 S. 1 heißt momentan: „Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“. Die offizielle Berichtigung löscht nun das Wort „grundsätzlich“. In Zukunft heißt es also: „…die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung…“. Als Juristen wissen wir, dass das Wort „grundsätzlich“ eine durchaus relevante Bedeutung hat, nämlich dass es noch Ausnahmen gibt bzw. die jeweilige Regelung nicht unbedingt abschließend ist. Diese Interpretation des Art. 25 Abs. 2 S. 1 wird nun aber gänzlich unmöglich, denn „grundsätzlich“ wird gelöscht. Die Vorgabe ist mithin als abschließend und zwingend anzusehen. Auch dies stellt, finde ich, nicht allein nur eine sprachliche Anpassung des Textes dar, sondern verändert den Inhalt der gesetzlichen Regelung.

Ich frage mich wirklich, was nun Unternehmen denken, die zwei Jahre lang mit dem Text der DSGVO gearbeitet, Geld und Zeit investiert haben, und nun, einen Monat vor Anwendbarkeit eine textlich und auch inhaltlich angepasste DSGVO serviert bekommen.

Nun mag man argumentieren, dass ja die einzelnen Sprachfassungen ohne Bedeutung seien und die englische Fassung stets die entscheidende war und dort entsprechende Fehler auch nicht enthalten sind. Das sin der englischen Fassung manche der oben genannten Anpassungen nicht vorgenommen werden, mag zutreffen. Jedoch ist es ständige Rechtsprechung des EuGH, dass grundsätzlich allen Sprachfassungen einer Gemeinschaftsvorschrift der gleiche Wert beizumessen ist (z.B. C-152/01). Die englische Fassung ist also per se nicht richtiger oder besser als die deutsche.

Ich für meinen Teil finde es leider abstrus, dass nun, so kurz vor Anwendbarkeit der DSGVO, tatsächlich auch noch inhaltliche Änderungen an der DSGVO vorgenommen werden.

DSGVO-Prax – Name des Datenschutzbeauftragten in der Datenschutzerklärung?

Posted on by

Im Blog war es in den letzten Wochen ein wenig ruhiger. Der Grund hierfür hat einen Namen: DSGVO. Immer mehr Unternehmen befassen sich in den letzten Monaten mit der bald anwendbaren DSGVO und der Beratungsbedarf steigt daher stetig.

Aus diesen verschiedenen Beratungsanfragen und DSGVO-Projekten möchte ich in den nächsten Wochen immer mal wieder ein paar (hoffentlich) relevante Fragestellungen hier im Blog präsentieren. Sozusagen das „Best of“. Also Fragen aus und Antworten für die Praxis: DSGVO-Prax.

Der heutige Beitrag befasst sich mit einer Frage, die ich in der Beratung oder auch bei Seminaren oder Vorträgen eigentlich immer gestellt bekomme. Warum diese Frage immer wieder auftaucht, kann ich selber gar nicht genau einschätzen. In vielen Unternehmen bzw. besser, für viele Datenschutzbeauftragte, scheint sie aber sehr relevant zu sein.

Erfordert die Vorgabe des Art. 13 Abs. 1 lit. b) und Art. 14 Abs. 1 lit. b) DSGVO die Nennung des Namens des Datenschutzbeauftragten in der Datenschutzerklärung (z. B. auf der Webseite oder in Datenschutzinformationen für Mitarbeiter)?

Meiner Ansicht nach ist die klare Antwort: nein. Der Name des Datenschutzbeauftragten muss nicht genannt werden. Natürlich kann man ihn dennoch angeben. Aber gesetzlich zwingend ist die Angabe im Rahmen der Informationspflichten nach Art. 13 und 14 DSGVO nicht.

Dies ergibt sich zum einen schlicht aus dem Wortlaut. Art. 13 Abs. 1 lit. b) DSGVO verlangt, dass gegebenenfalls „die Kontaktdaten des Datenschutzbeauftragten“ mitzuteilen sind. „Kontaktdaten“ sind aber kein Name, sondern etwa die Telefonnummer oder die E-Mail-Adresse.

Zudem ergibt sich dieses Ergebnis aus einer systematischen Gesamtschau. Der europäische Gesetzgeber sieht nämlich in der DSGVO durchaus die Pflicht vor, den Namen des Datenschutzbeauftragten zu nennen, etwa in Art. 30 Abs. 1 lit. a) DSGVO im Verzeichnis der Verarbeitungstätigkeiten. Dies spricht dafür, dass er in einem Fall (Art. 13/14 DSVGO) den Namen bewusst nicht von der Informationspflicht umfasst sieht, in einem anderen Fall (Art. 30 DSGVO) den Namen aber im Verzeichnis aufgenommen haben möchte. Ein anderes Beispiel für die Erwähnung des Namens des Datenschutzbeauftragten ist Art. 33 Abs. 3 lit. b) DSGVO bei der Meldung einer Datenschutzverletzung.

Also: im Rahmen der Datenschutzinformationen muss der Name nicht genannt werden.

Flickenteppich bei Landesdatenschutzgesetzen – Rechtunsicherheit ist vorprogrammiert

Posted on by

Derzeit überarbeiten auch die Bundesländer ihre Landesdatenschutzgesetze, um diese den Vorgaben der DSGVO und auch der Datenschutzrichtlinie im Bereich Strafverfolgung und –vollstreckung (JIRL) anzupassen. Also jene Vorgaben, die schwerpunktmäßig den Umgang mit personenbezogenen Daten durch Landesbehörden regeln.

Wer gehofft hat, dass Landesbehörden in Zukunft einheitlichen Regelungen beim Umgang mit personenbezogenen Daten folgen werden, dem wird nach Sichtung der verschiedenen Entwürfe schnell klar, dass dies nicht der Fall ist. Sollten die Gesetzesentwürfe in ihrer jetzigen Form verabschiedet werden, dürfte die Folge vor allem eine große Rechtsunsicherheit bei der betroffenen Behörden, aber vor allem auch Bürgern und Unternehmen sein, die als Dienstleister und Geschäftspartner der Landesbehörden agieren. Nachfolgend nur ein paar Beispiele für dieses teils stark abweichende Regelungsgeflecht.

Wartung von Systemen als Auftragsverarbeitung?

Sowohl das neue BDSG als auch der Gesetzentwurf in Brandenburg sehen keine gesetzliche Fiktion der Auftragsverarbeitung für die Durchführung von Wartungsarbeiten an Systemen (wie derzeit noch in § 11 Abs. 5 BDSG geregelt) vor. Im Entwurf aus Hessen soll diese Fiktion in § 3 Abs. 2 HDSIG-E jedoch vorgeschrieben werden. Es stellt sich jedoch die Frage, ob eine solche Regelung im Anwendungsbereich der DSGVO überhaupt europarechtskonform möglich ist. Denn Art. 4 Nr. 8 DSGVO definiert, wer „Auftragsverarbeiter“ ist. Dort findet sich keine Fiktion für Wartungsarbeiten. Im Entwurf in NRW wird die Fiktion (§ 52) nur auf den Anwendungsbereich der JIRL beschränkt (§§ 35 ff.).

Dienstleister für hessische Behörden müssten also, wenn sie Wartungen an Systemen durchführen, einen Vertrag zur Auftragsverarbeitung abschließen. Für dieselbe Tätigkeit für Behörden in Brandenburg wäre dies nicht nötig. In NRW müsste vorher geprüft werden, ob die Tätigkeit der Behörden in den Anwendungsbereich der JIRL (also die §§ 35 ff. des Entwurfs des LDSG NRW) fällt.

Videoüberwachung

Auch die Erlaubnisnorm zur Vornahme der Videoüberwachung ist in den verschiedenen Gesetzen ganz unterschiedlich ausgestaltet. In Brandenburg (§ 27) geht es um die „Erhebung personenbezogener Daten mit Hilfe von optisch-elektronischen Einrichtungen (Videoüberwachung) und deren weitere Verarbeitung“, in Hessen (§ 4) um die „Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung)“, in Sachsen (§ 13) um die „Verarbeitung personenbezogener Daten mit Hilfe von optisch-elektronischen Einrichtungen (Videoüberwachung), einschließlich der Speicherung und Verwendung der erhobenen Daten“. Nun mag man argumentieren, dass das im Ergebnis ja egal sei. Dies würde ich jedoch nicht so sehen, da es in der Praxis durchaus relevant sein kann, wann die Vorgaben zur Videoüberwachung einzuhalten sind und wann nicht. Geht es um eine „Beobachtung“, eine „Verarbeitung“ oder eine „Erhebung“?

Anonymisierung

Die DSGVO kennt den Begriff der „anonymen Informationen“ und erwähnt diesen in ErwG 26 DSGVO. Eine gesetzliche Begriffsbestimmung in Art. 4 DSGVO existiert aber nicht. Das neue BDSG enthält keine Definition der „Anonymisierung“ oder „anonymen Informationen“. In Hessen soll in § 2 Abs. 4 der Begriff „anonyme Informationen“ gesetzlich festgelegt werden. Der Entwurf orientiert sich hierbei an ErwG 26. In Brandenburg wird in § 3 gleich eine ganz eigene Begriffsbestimmung für „Anonymisierung“ festgelegt, die sich so nicht aus der DSGVO ergibt. Auch im Entwurf aus NRW wird die „Anonymisierung“ gesetzlich definiert. Es stellt sich jedoch dir Frage, ob Landesgesetzgeber diesen Begriff legal definieren dürfen, wenn die DSGVO (und damit der europäische Gesetzgeber) den Begriff der „anonymen Informationen“ kennt, jedoch ganz klar keine Legaldefinition in Art. 4 DSGVO aufgenommen hat. Bleiben die Definitionen bestehen, würde dies bedeuten, dass in den einzelnen Bundesländern jeweils unterschiedliche Vorgaben dazu existieren, wann eine „Anonymisierung“ gegeben ist und wann nicht.

OLG Frankfurt a.M.: Kaufvertrag über Daten wegen fehlender Einwilligung nach dem BDSG unwirksam

Posted on by

Das OLG Frankfurt hat ein recht interessantes Urteil zu der Frage gefällt, wie sich ein Verstoß gegen datenschutzrechtliche Bestimmungen des Gesetzes auf der vertraglichen Ebene im Rahmen eines Kaufvertrages über Daten auswirkt.

Mir Urteil vom 24.1.2018, Az. 13 U 165/16 (bisher liegt nur die Pressemitteilung vor) entschied das OLG, dass der Kaufvertrag über Adressdaten

insgesamt nichtig

sei,

da die Adressinhaber in den Verkauf ihrer Daten nicht wirksam eingewilligt hätten. Der Vertrag verstoße gegen die Vorgaben des BDSG.

Es lag zwar eine Einwilligung der Betroffenen vor. Diese erfüllte jedoch nicht die gesetzlichen Vorgaben. In der Einwilligungserklärung waren weder die betroffenen Daten noch Kategorien etwaiger Datenempfänger oder der Nutzungszweck – Adresshandel – konkret genug bezeichnet worden.

Zur vollständigen Einordnung es Urteiles wird man sicherlich die Urteilsgründe abwarten müssen. Dennoch lässt sich aus der Pressemitteilung ableiten, dass das OLG bei einem Verstoß gegen Vorgaben des BDSG nicht etwa nur von einem Mangel der Kaufsache (Daten) ausgeht, sondern den gesamten Vertrag als unwirksam erachtet. Eventuell geht das OLG hier von einem Verstoß gegen ein gesetzliches Verbot aus (§ 134 BGB).

Zu beachten ist, dass die vorliegende Konstellation durchaus eine spezielle war. So ging es in dem Kaufvertrag tatsächlich um nichts anderes als den Kauf der Daten, die dann für werbliche Zwecke genutzt werden sollten. Dies scheint mir ein wichtiger Aspekt zu sein. Die Übergabe der Daten war also die einzige und alleine Hauptpflicht des Verkäufers.

Zudem begründet das OLG sein Urteil auf einem weiteren Argument:

Der Vertrag verpflichte die Parteien darüber hinaus „systematisch“ zu einem unlauteren wettbewerbswidrigen Verhalten, so dass auch deshalb von einer Gesamtnichtigkeit auszugehen sei.

Hier bezieht sich das OLG auf die Vorgaben des § 7 Abs. 2 Nr. 3 UWG für eine Zusendung von Werbe-E-Mails. Die dafür erforderliche Einwilligung lag nicht vor.

Aufgrund dieser Begründung kann man z.B. darüber nachdenken, ob allein ein Verstoß gegen das BDSG auch zu demselben Ergebnis geführt hätte.

Zuletzt verweigert das OLG den Vertragsparteien dann auch Rückabwicklung bzw. die Rückzahlung des Kaufpreises. Zwar sei der Verkäufer durch den Kaufpreis bereichert. Es bestehe aber kein Rückzahlungsanspruch, da beide Vertragsparteien vorsätzlich gegen die zwingenden Vorgaben des BDSG verstoßen hätten.

Zumindest für Unternehmen, die ebenfalls mit Adressdaten agieren oder diese generieren und veräußern, ist dieses Urteil von hoher Relevanz. Denn wenn der Käufer Pech hat, bleibt er auf nicht nutzbaren Daten sitzen und erhält den gezahlten Preis nicht zurück. Welche konkreten Folgen jedoch im Ergebnis aus dem Urteil auch auf andere Fälle, neben jenen des Adresshandels, übertragbar erscheint, ist, dass Verstöße gegen gesetzliche Datenschutzvorgaben das Risiko einer Unwirksamkeit des Vertrages über Daten bergen. Es lässt sich durchaus darüber nachdenken, diese Auffassung auch auf andere Vertragskonstellationen, bei denen es gerade nicht allein um den Kauf von Adressdaten geht, zu übertragen. So kann man etwa an Verträge über den Kauf von Daten für interne Analysezwecke oder zur Effektivierung eigener Produkte oder Dienstleistungen denken.

ePrivacy Verordnung: Mitgliedstaaten sollen über opt-in oder opt-out für den Einsatz von Cookies für Werbezwecke entscheiden

Posted on by

Im Rat der Europäischen Union wird zwischen den Mitgliedstaaten weiter über den Entwurf der ePrivacy Verordnung diskutiert (mein älterer Beitrag hierzu). Im Januar 2017 hat die Europäische Kommission ihren Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) veröffentlicht. Mit der neuen ePrivacyVO soll die geltende ePrivacy-Richtlinie ersetzt werden.

Nun hat die Ratspräsidentschaft ein aktuelles Sachstandspapier (pdf) vom 11.1.2018 zu noch offen diskutierten Themen veröffentlicht, in dem sie die Mitgliedstaaten dazu auffordert, Stellungnahmen zu verschiedenen Lösungsvorschlägen abzugeben. Betroffene Themen sind u.a. ganz allgemein das Verhältnis der ePrivacyVO zur EU Datenschutz-Grundverordnung, die Regulierung der Maschine-Maschine-Kommunikation, die Anforderungen an Software (Browser, Apps) aber natürlich auch die zukünftigen rechtlichen Anforderungen zum Zugriff auf Informationen oder das Ablegen von Informationen in Endgeräten der Nutzer. Also insbesondere der Einsatz von Cookies und anderen Trackingtechnologien für werbliche Zwecke.

Sowohl der Entwurf der Kommission als auch die Entschließung des Europäischen Parlaments zur ePrivacyVO sahen in Art. 8 Abs. 1 dem Grunde nach keine Möglichkeit vor, Informationen auf Endgeräten abzulegen oder auf Informationen in Endgeräten von Nutzern für rein werbliche Zwecke (z.B. Onlinewerbung) zuzugreifen, ohne dass die Einwilligung des Nutzers vorliegt.

Die Ratspräsidentschaft bittet in dem aktuellen Diskussionspapier nun um Stellungnahmen der Delegationen zu der Frage, ob Art. 8 Abs. 1 in der Hinsicht angepasst werden sollte, dass ein Erlaubnistatbestand aufgenommen wird, der, auf der Grundlage berechtigter Interessen und dem Recht des Betroffenen auf Widerspruch, Unternehmen die Möglichkeit eröffnet, Cookies und andere Technologien für werbliche Zwecke einzusetzen. Es geht hier also um die Frage, ob eine Interessenabwägung auch im Bereich des Zugriffs auf Informationen in oder das Ablegen von Informationen (wie Cookies) auf Endgeräte als Erlaubnistatbestand Einzug in die ePrivacyVO halten soll. Sollte dieser Vorschlag Zuspruch finden, dürfte diese Änderung sicherlich noch für Diskussionen im (wohl für Herbst bzw. Ende 2018 geplanten) Trilog zwischen Kommission, Parlament und Rat sorgen.

Europäische Kommission: Vereinigtes Königreich ist ab dem 30.3.2019 ein Drittland – Handlungsbedarf für Unternehmen

Posted on by

Die Europäische Kommission hat in einer Mitteilung (pdf) vom 9.1.2018 bestätigt, wovon die meisten Beobachter ohnehin bereits ausgegangen sind. Ab dem 30.3.2019 ist das Vereinigte Königreich aufgrund seines erklärten Austritts aus der Europäischen Union als „Drittland“ im Sinne der dann geltenden EU Datenschutz-Grundverordnung (DSGVO) zu behandeln. Datenschutzrechtlich betrachtet steht das Vereinigte Königreich dann auf einer Stufe mit Ländern wie USA, China oder auch Russland, für die kein Angemessenheitsbeschluss der Europäischen Kommission zum Schutzniveau für personenbezogene Daten existiert.

Die nun vorliegende schriftliche Klarstellung der Kommission macht deutlich, dass es keine automatische Anerkennung des Datenschutzniveaus im Vereinigten Königreich nach dem Austritt geben wird. Manch einer mag gehofft haben, dass das Schutzniveau des Datenschutzrechts im Vereinigten Königreich quasi automatisch als angemessen angesehen wird, da ja zumindest bis zum Austritt aus der Union auch dort die DSGVO gilt. Einem solchen Automatismus erteilt die Kommission jedoch eine Absage. Gegen die automatische Anerkennung des Schutzniveaus spricht im Übrigen auch der veränderte Prüfungsmaßstab der Kommission, wenn sie die Angemessenheit des Schutzniveaus nach Art. 45 Abs. 2 DSGVO prüft. Denn sie muss dann auch nationale Rechtsvorschriften in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten prüfen (Art. 45 Abs. 2 lit. a) DSGVO). Solange das Vereinigte Königreich aber Mitglied der Europäischen Union ist, ist die Frage der nationalen Sicherheit aber der Kompetenz der Kommission entzogen.

Zu Recht macht die Kommission in ihrer Mitteilung auf die Konsequenzen für Unternehmen aufmerksam, wenn diese personenbezogene Daten auch nach dem Stichtag an Stellen im Vereinigten Königreich übermitteln möchten. Für die Zulässigkeit solcher Übermittlungen müssen bestimmte Voraussetzungen erfüllt werden, die in den Art. 44 ff DSGVO näher beschrieben sind. Mangels eines Angemessenheitsbeschlusses der Kommission (Art. 45 DSGVO) werden für Unternehmen also vor allem die Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) DSGVO, jetzige EU Standardvertragsklauseln) eine wichtige Rolle spielen. Diese Verträge sind dann mit Unternehmen im Vereinigten Königreich abzuschließen.

Daneben kommen in Zukunft unter der DSGVO auch weitere Instrumente, wie etwa genehmigte Verhaltensregeln oder genehmigte Zertifizierungsmechanismen als Grundlage für eine Übermittlung in Betracht.

Unternehmen in der Europäischen Union müssen sich also innerhalb des nächsten Jahres darum kümmern, Datenübermittlungen in das Vereinigte Königreich aus rechtssichere Füße zu stellen.