Complaint against the EU US Privacy Shield failed: Digital Rights Ireland loses in front of the European General Court

Posted on by

Breather for data transfers to companies in the US. Digital Rights Ireland, an Irish company concerned with the promotion and protection of civil and human rights, particularly in the world of modern communication technologies, which has brought an action for annulment (Article 263 TFEU) before the Court of Justice of the European Union (here the General Court) in the case T-670/16 against the decision of the EU Commission for the EU US Privacy Shield, lost the battle, before it even really started.

The Court rules (Order) that the applicant does not have an interest in bringing proceedings. The annulment of the contested decision is not capable of having, in itself, legal consequences for the applicant or of procuring for it an advantage in regard to personal data.

Furthermore, according to the Court, the contested decision by the EU Commission has the effect of entitling the applicant as a controller of personal data to carry out transfers under certain conditions. It does not restrict its rights or impose obligations on it.

Additionally, the Court clarifies that it follows from the existence of specific conditions governing the admissibility of actions for annulment brought by individuals, provided for in Article 263 TFEU, that EU law does not, in principle, allow for the possibility of an applicant to bring an actio popularis in the public interest.

The action is therefore inadmissible.

The decision of the Court is not completely surprising, since the Article 263 TFEU and also the case law of the court stipulate quite high demands for the admissibility of an action for annulment. It should be noted that a similar claim is pending in case T-738/16. Also there complaining associations are not individuals. Therefore, the issue of inadmissibility might probably also arise there.

Stand der Verhandlungen zur ePrivacy-Verordnung im Rat – u.a. Cookies, Browser & DSGVO

Posted on by

Zum aktuellen Verhandlungsstand der ePrivacy-Verordnung (ePrivacyVO) im Rat der EU wurde nun ein Sachstandsbericht der Präsidentschaft vom 17.11.2017 veröffentlicht (pdf). Nachfolgend einige Hinweise zu dem Bericht.

Verhältnis zur Datenschutz-Grundverordnung

Es wurden Änderungen im Text aufgenommen, mit denen klargestellt werden soll, dass die ePrivacy-Verordnung (ePrivacyVO) als lex specialis zur DSGVO gelten soll, aber nur, soweit personenbezogene Daten natürlicher Personen betroffen sind. Die ePrivacyVO wird auch für juristische Personen gilt. Die DSGVO jedoch nicht; Regeln der DSGVO sollen aber dann auch für juristische Personen anwendbar sein, wenn die ePrivacyVO darauf Bezug nimmt.

Zudem wurde auch an der Einwilligung in der ePrivacyVO gearbeitet; auch hier vor dem Hintergrund, dass in der ePrivacyVO auch juristische Personen (bzw. für sie handelnde Personen) eine Einwilligung erteilen können. Dies soll, nach Aussage der Kommission, aber im nationalen Recht geregelt werden.

Maschine-Maschine-Kommunikation

Die Mitgliedstaaten äußerten Kritik zur geplanten Anwendung der ePrivacyVO auf die Kommunikationen zwischen Maschinen. Die Präsidentschaft schlägt hier eine Unterscheidung entsprechend den Anpassungen an der Richtlinie über den europäischen Kodex für die elektronische Kommunikation vor. Die Anwendungsebene soll nicht in den Anwendungsbereich der ePrivacyVO fallen.

Aufsichtsbehörden

Zwar sollen die Datenschutzaufsichtsbehörden weiterhin zuständig sein für die Überwachung und Durchsetzung des Kapitels II der ePrivacyVO. Jedoch möchte die Präsidentschaft den Mitgliedstaaten die Möglichkeit geben, andere Aufsichtsbehörden für die Überwachung der Vorgaben des Kapitel III zu benennen.

Grundlagen der Verarbeitung (auch Erlaubnis in Bezug auf Cookies etc.)

Es wird festgestellt, das weiterer Beratungsbedarf bei der Frage besteht, ob in der ePrivacyVO zusätzliche Erlaubnistatbestände zum zulässigen Umgang mit elektronischen Kommunikationsdaten aufgenommen werden sollen. Explizit wird auch auf weiterhin erforderlichen Arbeitsaufwand beim Thema „Endgeräte“ der Nutzer und den Einsatz von Cookies hingewiesen. Mitgliedstaaten sprachen sich für eine Balance zwischen dem Schutz der Privatsphäre der Nutzer und den legitimen Geschäftsmodellen aus. In diesem Zusammenhang soll auch die mögliche Rolle und der Einfluss von Browsern und Privatsphäreeinstellungen noch genauer untersucht werden, bevor überhaupt weiter konkret am Text der ePrivacyVO gearbeitet werden kann.

Landesarbeitsgericht: Weitergabe von Entgeltlisten an den Betriebsrat auch unter der DSGVO zulässig

Posted on by

Das Landesarbeitsgericht (LAG) Hamm hat in einer Entscheidung (Beschl. v. 19.9.2017 – 7 TaBV 43/17) zum Einsichtsrecht des Betriebsrates in Bruttoentgeltlisten in einem Nebensatz auch Feststellungen zur Zulässigkeit der Weitergabe personenbezogener Daten vom Arbeitsgeber an den Betriebsrat gemacht.

In dem Fall stritt der Betriebsrat in einem Klinikum mit der Arbeitgeberin über den Umfang des Einsichtsrechts in Bruttoentgeltlisten. Die Arbeitgeberin stellte nur anonymisierte Listen zur Verfügung, da der Betriebsrat ihrer Ansicht nach für die Wahrnehmung seiner Aufgaben nicht die Angabe der Namen der Beschäftigten benötigte. Maßgeblich ging es um die Vorschrift des § 80 Abs. 2 S. 2 2. HS BetrVG. Dieser lautet:

Dem Betriebsrat sind auf Verlangen jederzeit die zur Durchführung seiner Aufgaben erforderlichen Unterlagen zur Verfügung zu stellen; in diesem Rahmen ist der Betriebsausschuss oder ein nach § 28 gebildeter Ausschuss berechtigt, in die Listen über die Bruttolöhne und -gehälter Einblick zu nehmen.

Das LAG stellte, nach Ausführungen zur Reichweite und dem Inhalt des § 80 Abs. 2 S. 2 2. HS BetrVG fest, dass dem Anspruch des Betriebsrates zur Einsichtnahme durch den Betriebsausschuss gemäß § 80 Abs. 2 Satz 2 2. Halbsatz BetrVG auch datenschutzrechtliche Belange nicht entgegenstünden. Das LAG verwies dazu auf die Entscheidung des Bundesarbeitsgerichts vom 14.01.2014 (1 ABR 54/12),

wonach es sich bei dem Einsichtsrecht in die Bruttogehaltslisten um eine nach § 32 Abs. 1 BDSG zulässige Form der Datennutzung handelt.

Dort entscheid das BAG, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten nach § 32 Abs. 3 BDSG durch die nach § 32 Abs. 1 BDSG erlaubte Datennutzung nicht berührt werden. Das BAG bezieht sich hier auf die Datennutzung innerhalb einer verantwortlichen Stelle (dem Arbeitgeber). Nach der Respr. des BAG und der hM in der Literatur ist der Betriebsrat nämlich Teil der verantwortlichen Stelle und vor allem nicht Dritter. Das BAG:

Die Einsichtsgewährung stellt daher keine Weitergabe von Daten an Dritte dar.

Sehrwohl stellt die Weitergabe aber eine Nutzung von personenbezogenen Daten dar. Ob diese Auffassung zur Einordnung des Betriebsrates auch unter Geltung der Datenschutz-Grundverordnung (DSGVO) ab dem 25.5.2018 so beibehalten werden kann, wird derzeit diskutiert. Zum Teil wird davon ausgegangen, dass der Betriebsrat als eigener Verantwortlicher anzusehen ist und daher auch selbst rechtlichen Pflichten der DSGVO nachkommen muss (Gola, in: Gola, DS-GVO, 2017, Art. 4 Rn. 55; Selk, in: Ehmann/Selmayr, DS-GVO, 2017, Art. 88 Rn. 166 ff.). Im neuen § 26 Abs. 1 BDSG 2018 sieht der deutsche Gesetzgeber ausdrücklich vor, dass personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Bislang fehlte eine ausdrückliche Regelung für die Frage der Zulässigkeit der Übermittlung von Daten an die Interessenvertretung der Beschäftigten. Der Verantwortliche darf in Zukunft auf der Grundlage von § 26 Abs. 1 S. 1 BDSG 2018 Daten an Betriebs- oder Personalräte weitergeben, soweit dies gesetzlich vorgesehen und erforderlich ist (Piltz, BDSG, 2018, § 26 Rn. 49 ff.). Meines Erachtens spricht diese Regelung klar dafür, dass der Gesetzgeber den Betriebsrat selbst als Verantwortlichen ansieht.

Im vorliegenden Beschluss bezog sich das LAG auch noch direkt auf die DSGVO. Das LAG geht davon aus, dass sich bei der Frage der Zulässigkeit der Weitergabe der Daten an den Betriebsrat

auch aus den Erwägungen und dem Wortlaut zur Datenschutzgrundverordnung…keine abweichende Beurteilung ergeben kann, da Art. 6 DSGVO insofern beschreibt, dass eine Datenverarbeitung rechtmäßig ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der für die Datenverarbeitung Verantwortliche unterliegt. Dies ist der Fall, wie oben ausgeführt.

Zu beachten, dass das LAG hier leider etwas vage bleibt, welche Verarbeitungsphase denn konkret gemeint ist. Da es sich jedoch auf eine rechtliche Pflicht (und damit Art. 6 Abs. 1 lit. c) DSGVO) bezieht, dürfte es die Phase der Bereitstellung und Weitergabe der Arbeitgeberin avisiert haben. Denn diese ist nach § 80 Abs. 2 Satz 2 2. Halbsatz BetrVG rechtlich verpflichtet. Der Betriebsrat selbst hat ein Recht auf Einsicht. Auf den Umgang mit den Daten durch den Betriebsrat selbst scheint sich das LAG hier nicht zu beziehen.

Ist die Datenschutz-Grundverordnung doch schon anwendbar? Zwei Gerichte sagen: ja.

Posted on by

Liest man sich den Art. 99 Abs. 2 DSGVO durch, ist eigentlich dem ersten Anschein nach klar, dass der Gesetzgeber den datenverarbeitenden Stellen (mögen diese nun öffentliche oder nichtöffentliche Stellen sein) und auch den nationalen Gesetzgebern eine Frist von 2 Jahren einräumen wollte, um den Anforderungen der DSGVO gerecht zu werden.

(1)   Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2)   Sie gilt ab dem 25. Mai 2018.

Die DSGVO und ihre Vorgaben sind also erst ab dem 25.5.2018 anwendbar. Im Sommer diesen Jahres hob genau aus diesem Grund das Verwaltungsgericht Karlsruhe eine Verfügung der Datenschutzbehörde in Baden-Württemberg auf (hierzu mein Blogbeitrag). Das Verwaltungsgericht (VG) Karlsruhe entschied (Urt. v. 6.7.2017 – 10 K 7698/16), dass die DSGVO

erst ab 25.5.2018 Gültigkeit beanspruchen wird.

Doch zwei weitere Entscheidungen von deutschen Gerichten machen nun stutzig. Sowohl das VG Wiesbaden (Beschluss v. 21.9.2017 – 6 L 3805/17.WI.A) als auch das Finanzgericht (FG) Düsseldorf (Beschluss v. 9.8.2017 – 4 K 1404/17) gehen davon aus, dass die DSGVO bereits jetzt durch deutsche Behörden anzuwenden und zu beachten ist. In beiden Fällen gehen die Gerichte ausdrücklich von Datenschutzverstößen von Behörden gegen die Vorgaben der DSGVO aus.

Das VG Wiesbaden entschied, dass das Bundesamt für Migration und Flüchtlinge (BAMF) unzulässigerweise eine Markierung zu einer Person zum Zwecke eines Asylbescheides nutzte. Die Datenmarkierung ist ein technischer Vorgang zur Sicherung der Datenqualität. Die Markierung ist aber kein Datum, welches zu speichern und zu übermitteln ist. Das VG stellt hier auf einen Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO ab. Die Nutzung der Markierung durch das BAMF bedürfte gemäß Art. 6 Abs. 3 lit. a) DSGVO einer Rechtsgrundlage, die die Zwecke, für die die personenbezogenen Daten verarbeitet werden dürfen, festlegt. Eine solche existiere nicht.

Doch wie kommt das VG hier überhaupt dazu, die DSGVO als anwendbar anzusehen und Verstöße des BAMF gegen die Artikel der DSGVO festzustellen?

Das VG verweist hierfür auf eine Entscheidung des FG Düsseldorf und damit auch auf eine dort ebenfalls zitierte Entscheidung des EuGH (Urteil v. 18.12.1997, C-129/96).

Die DSGVO ist am 25.05.2016 in Kraft getreten und gilt ab dem 25.05.2018 (Art. 99 Abs. 2 DSGVO. Die Verordnung ist daher auf das vorliegende Verfahren anzuwenden. Denn der Gesetzgebungsakt entfaltet vom Zeitpunkt seiner Bekanntgabe an Rechtswirkungen (EuGH, Urteil v. 18.12.1997, Az. C-129/96 – zur Richtlinienumsetzung, was im Falle einer Verordnung jedoch erst recht gelten muss; so FG Düsseldorf, Beschluss vom 09.08.2017, Az. 4 K 1404/17.Z – nach Juris).

Da die für das BMAF maßgebliche EURODAC-VO (VO (EU) 603/2013) auf die noch gültige RL 95/46/EG verweist, die DSGVO in Art. 94 Abs. 2 wiederum aber vorschreibt, dass Verweise auf die RL 95/46/EG als Verweise auf die DSGVO zu verstehen sind, so dass die EURODAC-VO im Einklang mit den Vorgaben der DSGVO stehen muss.

Dies mit der Folge, dass die Datenschutzgrundverordnung insoweit immer ergänzend heranzuziehen ist.

Im Ergebnis dieselbe Argumentation verfolgt das FG Düsseldorf in seiner Entscheidung. Das FG Düsseldorf verweist auch auf das obige Urteil des EuGH. Die referenzierte Randnummer 41 lautet:

Sodann werden nach Artikel 191 Absatz 2 EWG-Vertrag, der auf den im Ausgangsverfahren maßgebenden Zeitraum Anwendung findet, die „Richtlinien und Entscheidungen … denjenigen, für die sie bestimmt sind, bekanntgegeben und werden durch diese Bekanntgabe wirksam“. Aus dieser Vorschrift ergibt sich, daß eine Richtlinie gegenüber dem Mitgliedstaat, an den sie gerichtet ist, schon vom Zeitpunkt ihrer Bekanntgabe an Rechtswirkungen entfaltet.

Meines Erachtens sind beide Entscheidungen des VG Wiesbaden und des FG Düsseldorf nicht richtig.

Beide Gerichte referenzieren auf ein Urteil des EuGH vom 18.12.1997. Ebenfalls begründen beide deutschen Gerichte ihre Entscheidung damit, dass zwar der EuGH zu einer Richtlinie entschied, aber dies müsse ja erst recht für eine Verordnung wie die DSGVO gelten.

Beide Gerichte verkennen jedoch, dass der EuGH sich hier auf eine Vorschrift stützt (Art. 191 EWG-Vertrag), die so nicht mehr existiert. Dort hieß es:

Die Richtlinien und Entscheidungen werden denjenigen, für die sie bestimmt sind, bekanntgegeben und werden durch diese Bekanntgabe wirksam.

Die Nachfolgevorschrift ist Art. 297 AEUV. Diese ist inhaltlich viel detaillierter und anders aufgebaut. Art. 297 AEUV regelt die Unterzeichnung, Veröffentlichung, Bekanntgabe und das Inkrafttreten der Gesetzgebungsakte sowie der Rechtsakte ohne Gesetzescharakter. Die Vorschrift geht zwar u.a. auf Art. 191 EWG-Vertrag zurück, der jedoch erheblich ausgedehnt wurden. Die ursprüngliche Fassung des Art. 191 EWG-Vertrag sah lediglich eine Veröffentlichungspflicht für Verordnungen und eine Bekanntgabepflicht für Richtlinien und Entscheidungen vor (GHN/Krajewski/Rösslein AEUV Art. 297 Rn. 1).

Art. 297 AEUV unterscheidet aber nun zwischen Rechtsakten mit und ohne Gesetzescharakter. Diese Unterscheidung traf Art. 191 EWG-Vertrag nicht. Für die DSGVO, als Verordnung und damit Gesetzgebungsakt, sieht Art. 297 Abs. 1 AEUV keine Bekanntgabepflicht vor. Für die DSGVO hat die Frage der Bekanntgabe also gar keine Relevanz. Der Verweis der deutschen Gerichte geht hier fehl.  Die DSGVO entfaltet also gerade noch keine unmittelbare Rechtswirkung, auf die sich Betroffene, Unternehmen oder auch wie hier Behörden stützten könnten. Mit Inkrafttreten wird die DSGVO zwar Bestandteil des Unionsrechts. Nach Art. 92 Abs. 2 DSGVO darf die Europäische Kommission ab dem Inkrafttreten etwa auch ihre Befugnis zum Erlass delegierter Rechtsakte ausüben. Die DSGVO ist aber eben noch nicht unmittelbar im Mitgliedstaat anwendbar.

Dies ergibt sich auch aus der Systematik der DSGVO selbst. Nach Art. 94 Abs. 1 DSGVO wird die Richtlinie 95/46/EG mit Wirkung vom 25. Mai 2018 aufgehoben. Würde die DSGVO jetzt für datenverarbeitende Stellen schon Vorgaben machen, hätte diese Regelung keinen Sinn. Denn dann würden derzeit dem Grunde nach zwei europäische Regelungssysteme parallel und im Anwendungsbereich überlappend den Schutz personenbezogener Daten regeln. Im Ergebnis würde auch die in Art. 99 DSGVO etablierte Übergangsfrist von zwei Jahren keinen Sinn machen, wenn man davon ausgeht, dass die DSGVO bereits jetzt unmittelbar anwendbar wäre.

Die Entscheidungen des VG Wiesbaden und des FG Düsseldorf sind kritisch zu sehen und abzulehnen.

Datenschutzbehörde in Niedersachsen veröffentlicht Fragenkatalog zur Datenschutz-Grundverordnung

Posted on by

In etwas mehr als 6 Monaten ist die EU Datenschutz-Grundverordnung (DSGVO) unmittelbar anwendbar. Für datenverarbeitende Stellen, agieren sie nun als Verantwortlicher oder Auftragsverarbeiter, bleibt daher nicht mehr viel Zeit, um die eigenen Verarbeitungsprozesse auf ihre Konformität mit der DSGVO zu prüfen und entsprechend anzupassen.

Ähnlich wie bereits zuvor das BayLDA, veröffentlicht nun die Aufsichtsbehörde in Niedersachsen einen an Unternehmen gerichteten Fragenkatalog zur Umsetzung verschiedenster Anforderungen der DSGVO (Fragenkatalog des BayLDA, pdf; Fragenkatalog der LfDI Niedersachsen, pdf). Der ergänzenden Information nach soll der Fragenkatalog zwar nur „kleinen oder mittelständischen Unternehmen Hilfestellung“ geben. Meines Erachtens sind die gestellten Fragen aber genauso für große Konzerne oder etwa auch privatwirtschaftliche Vereine relevant.

Die LfDI Niedersachsen weist erläuternd darauf hin, dass die Fragen zugleich Anhaltspunkte geben,

worauf wir bei zukünftigen Prüfungen besonderen Wert legen werden.

Vor allem Unternehmen mit Sitz in Niedersachsen sollten daher den Fragenkatalog der LfDI abarbeiten und prüfen, in welchen Bereichen evtl. noch Handlungsbedarf besteht.

Sowohl in der beratenden Praxis als auch auf Veranstaltungen wird häufig die Frage aufgeworfen, welche Themenschwerpunkte der DSGVO bei der Umsetzung ihrer Anforderungen aus Sicht der Aufsichtsbehörden denn insbesondere adressiert werden sollten bzw. welche möglichen Prüfungsinhalte in Zukunft auf Unternehmen zukommen könnten. Beide Fragebögen bieten meines Erachtens einen guten Überblick und ersten Anhaltspunkt zur Beantwortung dieser Fragen. Daher ist die Veröffentlichung der Fragebogen sicher zu grüßen. Natürlich sollte man im Hinterkopf behalten, dass die Fragebögen nicht jegliche Eventualität und Besonderheiten eines Einzelfalles berücksichtigen.

 

Keine starren Löschfristen unter der EU Datenschutz-Grundverordnung

Posted on by

Anders als derzeit in § 35 Abs. 2 S. 2 Nr. 4 BDSG vorgeschrieben, wird es im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) zumindest dem Grunde nach keine starren Löschfristen mehr für personenbezogene Daten geben. Auch das neue, ab dem 25.5.2018 anwendbare, BDSG sieht keine fixen Löschfristen vor.

Nach § 35 Abs. 2 S. 2 Nr. 4 BDSG sind personenbezogene Daten zu löschen, wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist. Diese Vorgaben betreffen vor allem Auskunfteien.

Bereits im Juli dieses Jahres entschied das VG Karlsruhe (Urt. v. 6.7.2017 – 10 K 7698/16) in einem Verfahren zwischen der Aufsichtsbehörde in Baden-Württemberg und einer Auskunftei, dass sich die künftige Prüf- und Löschpraxis der Auskunfteien am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 lit. e DSGVO messen lassen muss, der in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet (hierzu mein Beitrag). Innerhalb des vorhandenen Spielraums sei eine gewisse Bandbreite an mit der DSGVO in Einklang stehenden Prüf- und Löschfristen zulässig.

Auch das Bayerische Staatsministerium des Inneren geht in einer nun veröffentlichen Antwort auf eine schriftliche Anfrage im Landtag davon aus, dass unter der DSGVO die Frage der Löschung von Daten nicht mit starren Fristen, sondern vom Ergebnis einer Interessenabwägung und Erforderlichkeitsbewertung abhängt (LT Drs. 17/17777, pdf).

Das Staatsministerium geht davon aus, dass mit Geltung der DSGVO keine unmittelbar aus dem Gesetz bzw. der Verordnung ableitbare starre Frist mehr gilt.

Die zulässige Speicherdauer ist damit künftig im Rahmen einer Interessenabwägung nach Art. 6 Abs.1 Buchst. f DSGVO zu bestimmen.

Diese Ansicht stützt die Regierung zudem auf eine Einschätzung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA). Das BayLDA teilte auf Nachfrage mit, dass es die geltende dreijährige Löschfrist auch unter Geltung der DSGVO für sachgerecht halte und allenfalls anstrebe, ihren Ablauf künftig taggenau berechnen zu lassen.

Hinzuweisen ist darauf, dass Löschfristen in Zukunft aber vor allem noch im öffentlichen Sektor eine Rolle spielen können; insbesondere wenn die Löschung in bereichsspezifischen Datenschutzregelungen und auf der Grundlage der Öffnungsklauseln der DSGVO vorgesehen ist. Solche Neuregelungen in spezifischen Bereichen hat der Bundestag bereits im Sommer 2017, relativ unbemerkt von der Öffentlichkeit, beschlossen (hierzu mein Blogbeitrag). So wird etwa in § 29c Abs. 1 AO vorgesehen, dass Daten nach Beendigung einer bestimmten Maßnahme innerhalb eines Jahres gelöscht werden müssen. Diese Änderung tritt am 25.5.2018 in Kraft.

DSGVO: Zerschießt die „gemeinsame Verantwortlichkeit“ das Konzept der „federführenden Behörde“?

Posted on by

Nach den Schlussanträgen des Generalanwalts am EuGH in der Sache C-210/16 zur datenschutzrechtlichen Verantwortlichkeit bei der Datenverarbeitung von Besuchern von Webseiten (hier mein Beitrag dazu) ist der Begriff der „gemeinsamen Verantwortlichkeit“ (siehe Art 26 DSGVO) wieder etwas mehr ins Bewusstsein der Datenschutzpraxis gerückt. Die Rechtsfigur ist, europarechtlich betrachtet, nicht komplett neu, für uns BDSGler aber doch eine Umstellung und in Art 26 DSGVO umfassender ausgeformt als derzeit in der Europäischen Datenschutzrichtlinie.

Wie bekannt, stellen nach Ansicht des Generalanwalts am EuGH sowohl die in Schleswig-Holstein ansässige Wirtschaftsakademie und die Facebook Inc. aus den USA und die Facebook Ltd. aus Irland zumindest für die Erhebung von Nutzerdaten über die Facebook-Seite (Fanpage) der Wirtschaftsakademie gemeinsam Verantwortliche dar. Bereits diese Feststellung, sollte sie auch vom EuGH getroffen werden, bringt Fragen in der praktischen Umsetzung der DSGVO-Pflichten mit sich.

Mir ist in diesem Zusammenhang jedoch noch eine andere Thematik in den Sinn gekommen. Nämlich die Frage danach, welche europäische Aufsichtsbehörde denn dann in diesem konkreten Fall oder auch allgemein bei Vorliegen von gemeinsam Verantwortlichen die sog. „federführende Aufsichtsbehörde“ (Art. 56 DSGVO) ist. Der federführenden Aufsichtsbehörde kommt in dem durch die DSGVO etablierten System des one-stop-shop eine wichtige Bedeutung zu. Nach Art. 56 Abs. 6 DSGVO ist sie der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung. Gerne umschreibe ich sie salopp auch als den „Chef im Ring“ der anderen Aufsichtsbehörden.

Die Grundkonzeption der DSGVO kennt nur eine (!) federführende Aufsichtsbehörde. Es wird nicht die Situation vorgesehen, dass es nebeneinander mehrere federführende Aufsichtsbehörden gibt. Das würde freilich auch das Prinzip der zentralen Anlaufstelle konterkarieren. Der Gesetzgeber wollte gerade, im Vergleich zur aktuellen Situation, ein System schaffen, in dem es nur eine in Europa zuständige, letztlich entscheidende Aufsichtsbehörde gibt. Zumindest soweit es um „grenzüberschreitende Verarbeitungen“ geht. Eine solche grenzüberschreitende Verarbeitung liegt in den in Art. 4 Nr. 23 DSGVO benannten Fällen vor. Entweder die Verarbeitung erfolgt über Landesgrenzen hinweg in mehreren Niederlassungen oder sie erfolgt im Rahmen der Tätigkeiten einer einzigen Niederlassung, kann aber erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat haben.

Nun mag man in dem vor dem EuGH liegenden Fall zu Fanpages noch gut diskutieren, ob die Wirtschaftsakademie, als (Mit)Verantwortlicher für die Datenerhebung überhaupt eine grenzüberschreitende Verarbeitung vornimmt. Denn sie hat nur eine Niederlassung in Schleswig-Holstein und man könnte eventuell argumentieren, dass die Erhebung der Daten der Besucher ihrer Fanpage keine erheblichen Auswirkungen auf betroffene Personen in anderen Mitgliedstaaten hat.

Man wird jedoch schnell Beispiele finden können, bei denen entweder gemeinsam Verantwortliche tatsächlich Datenverarbeitungen durchführen, die mehrere Niederlassungen betreffen oder die zumindest auch Auswirkungen auf Personen in anderen Mitgliedstaaten haben. Den aktuellen Fall der Wirtschaftsakademie müsste man nur um eine Niederlassung in Holland oder Belgien ergänzen, die ebenfalls von der Fanpage und den durch Facebook generierten Statistiken profitiert. Dann lägen gemeinsam Verantwortliche für eine Verarbeitung vor, jedoch würde es für diese konkrete Phase der Verarbeitung, z. B. die Erhebung, gleichzeitig mehrere (!) federführende Aufsichtsbehörden geben. Für Facebook Inc. und Facebook Ltd. wäre dies wohl die irische Behörde, für (in dem von mir gebildeten Beispiel) die Wirtschaftsakademie das ULD in Schleswig-Holstein.

Es würde also eine Situation bestehen, die der Gesetzgeber gerade verhindern wollte und auch in der DSGVO nicht vorgesehen hat. Die DSVGO spricht stets nur von einer federführenden Aufsichtsbehörde.

Die Art. 29 Gruppe hat diese Gefahr wohl auch erkannt, bietet dafür in ihrem Arbeitspapier zur „federführenden Behörde“ (WP 244, pdf) auch keine finale Lösung. Die Art. 29 Gruppe schlägt vor, dass gemeinsam Verantwortliche, wenn sie überhaupt vom one-stop-shop profitieren möchten, einen allein für die betreffende Verarbeitung zuständige Niederlassung festlegen sollen, die die Entscheidungsbefugnis hinsichtlich der Verarbeitung gegenüber allen anderen Niederlassungen der gemeinsam Verantwortlichen hat.

Diese Vereinbarung mag man theoretisch andenken. Gerade in dem hier benannten Beispiel kann ich mir aber nur schwer eine Vereinbarung zwischen der Wirtschaftsakademie und Facebook Inc. und Facebook Ltd. bezüglich der Entscheidungsbefugnis mit Blick auf die Erhebung vorstellen. Man könnte freilich an eine Vereinbarung durch AGB, die z. B. Facebook vorgibt, denken, in denen Facebook Ltd. als Niederlassung mit alleiniger Entscheidungsbefugnis festgelegt wird; diese Befugnis müsste sich dann aber auch auf die Wirtschaftsakademie erstrecken. Diese dürfte dann selbst auch gar nicht mehr über Möglichkeiten verfügen, Entscheidungen in Bezug auf die Erhebung zu treffen. Doch könnte man argumentieren, dass (in dem hier gebildeten Beispiel) die Wirtschaftsakademie am Ende ja immer noch eine Entscheidungsbefugnis besitzt, nämlich ob sie die Erhebung stoppt, indem die Fanpage gelöscht wird.

Zumal auch die Art. 29 Gruppe davon auszugehen scheint, dass das one-stop-shop Prinzip mit der federführenden Behörde in diesen Situationen überhaupt nur so wirksam beibehalten werden könnte, womit andererseits bei fehlender interner Festlegung zwischen den Verantwortlichen dann eben mehrere federführende Behörden existieren.

Ein aus meiner Sicht sehr interessantes und praxisrelevantes Problem. Insbesondere wenn der EuGH der Linie des Generalanwalts folgt und die Voraussetzungen für eine gemeinsame Verantwortlichkeit nicht besonders hoch ansetzt.

Generalanwalt am Europäischen Gerichtshof: Betreiber von Facebook-Seiten (Fanpages) sind datenschutzrechtlich (mit)verantwortlich

Posted on by

Eine ziemliche Überraschung aus Luxemburg. So könnte man die heute veröffentlichen Schlussanträge des Generalanwalts Bot in der Rechtssache C-210/16 bezeichnen. Sollte der Europäische Gerichtshof (EuGH) dem Ergebnis der Einschätzung des Generalanwaltes folgen, dürfte dies auch Auswirkungen auf die Praxis der digitalen Wirtschaft haben.

Nachfolgend eine ganz kurze Zusammenfassung der Schlussanträge des Generalanwaltes zur datenschutzrechtlichen Verantwortlichkeit.

Ausgangsverfahren

Das Bundesverwaltungsgericht (BVerwG) legte dem EuGH mit Beschluss vom 25.02.2016 – 1 C 28.14 mehrere Fragen rund um die datenschutzrechtliche Verantwortlichkeit eines Betreibers einer Facebook-Seite (Fanpage) und die Zuständigkeit der Aufsichtsbehörden vor.

Nach den Feststellungen zum Sachverhalt können die Betreiber von Fanpages mittels des von Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zu ihrer Verfügung gestellten Tools „Facebook Insights“ Besucherstatistiken erhalten. Diese Statistiken werden von Facebook erstellt und vom Betreiber einer Fanpage anhand verschiedener Kriterien, die er wählen kann – wie Alter oder Geschlecht –, personalisiert. Diese Statistiken liefern somit anonyme Informationen über die Eigenschaften und die Gewohnheiten der Personen, die diese Fanpages besucht haben, und gestatten den Betreibern dieser Seiten, gezielter zu kommunizieren. Um solche Besucherstatistiken zu erstellen, speichert Facebook zumindest ein Cookie, das eine eindeutige ID-Nummer enthält und für zwei Jahre aktiv ist, auf dem Rechner der Person, die die Fanpage aufgerufen hat. Die ID-Nummer, die mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Facebook-Seiten erhoben und verarbeitet.

Ursprünglich klagte die Wirtschaftsakademie Schleswig-Holstein, ein privatrechtlich organisiertes Bildungsunternehmen, gegen einen Bescheid der Landesdatenschutzbehörde in Schleswig-Holstein.  Die Wirtschaftsakademie bewirbt ihre Bildungsangebote u.a. durch eine Fanpage bei Facebook.

Die Aufsichtsbehörde ordnete mit Bescheid vom 3.11.2011 gegenüber der Klägerin an, dafür Sorge zu tragen, dass die von ihr unter www.facebook.com/wirtschaftsakademie bei Facebook betriebene Fanpage deaktiviert wird, und drohte für den Fall der nicht fristgerechten Umsetzung ein Zwangsgeld an. Hiergegen wendete sich die Wirtschaftsakademie. Das Verfahren landete über mehrere Instanzen beim BVerwG, welches dem EuGH u.a. die folgenden Fragen vorlegte.

Erste Frage und zweite Frage

Nach Ansicht des BVerwG ist die Wirtschaftsakademie weder datenschutzrechtlich für die Datenverarbeitung durch Facebook, in Form der Erhebung von Daten von Seitenbesuchern, als auch für die weitere Nutzung der Daten durch Facebook verantwortlich.

Zudem ist nach Ansicht des BVerwG die Wirtschaftsakademie auch nicht Auftraggeber einer Datenverarbeitung im Auftrag. Es stellte sich jedoch die Frage, ob es eine andere Form der datenschutzrechtlichen Verantwortlichkeit des Betreibers einer Fanpage geben kann und die Aufsichtsbehörde auch gegen andere Stelle, die nicht Verantwortlicher sind, vorgehen kann.

Das BVerwG hielt eine Klärung für erforderlich, ob bzw. unter welchen Voraussetzungen sich in mehrstufigen Anbieterverhältnissen, wie sie für soziale Netzwerke kennzeichnend sind, die Kontroll- und Eingriffsbefugnisse der Datenschutzaufsichtsbehörde allein auf die „verantwortliche Stelle“ im Sinne des Art. 2 Buchst. d) RL 95/46/EG (§ 3 Abs. 7 BDSG) beziehen können oder ob daneben Raum für eine Verantwortlichkeit einer Stelle, die nicht im Sinne des Art. 2 Buchst. d) RL 95/46/EG für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für sein Informationsangebot bleibt.

Vor diesem Hintergrund erstrebt die erste Vorlagefrage die Klärung, ob mit dem Begriff des „für die Verarbeitung Verantwortlichen“ (Art. 2 Buchst. d) RL 95/46/EG) auch die möglichen Adressaten von Eingriffsmaßnahmen abschließend und erschöpfend umschrieben sind oder ob im Rahmen der „geeigneten Maßnahmen“ nach Art. 24 und der „wirksamen Eingriffsbefugnisse“ nach Art. 28 Abs. 3 Spiegelstrich 2 RL 95/46/EG daneben Raum für eine datenschutzrechtliche Verantwortlichkeit für die Auswahl des Betreibers eines Informationsangebotes bleibt.

Der Generalanwalt teilt nicht die Meinung des BVerwG. Das ist durchaus überraschend.

Meines Erachtens ist nämlich davon auszugehen, dass die Wirtschaftsakademie für die in der Erhebung von personenbezogenen Daten durch Facebook bestehende Phase der Verarbeitung gemeinsam mit Facebook verantwortlich ist.

Die Wirtschaftsakademie ist, zusammen mit Facebook Inc. und Facebook Ltd., gemeinsamer Verantwortlicher. Und zwar für die Verarbeitungsphase der Erhebung personenbezogener durch Facebook, wenn Nutzer die Facebook-Seite besuchen. Facebook ist verantwortlich, da es die Technologie entwickelt hat und auch das dahinter liegende Geschäftsmodell der Nutzung der Daten. Zudem ist auch Wirtschaftsakademie als Administrator der Facebook-Seite zumindest für die Phase der Erhebung der Daten verantwortlich.

Indem der Betreiber der Fanpage Facebook für die Verbreitung seines Informationsangebots nutzt, schließt er sich dem Grundsatz der Durchführung einer Verarbeitung personenbezogener Daten der Besucher seiner Seite zum Zweck der Erstellung von Besucherstatistiken an.

Durch Nutzung des Insights Tools und den Zugriff auf die Statistiken nehme er an Entscheidung über Zwecke und Mittel der Verarbeitung teil. Zum einen, weil er die Entscheidung trifft, das Tool zu nutzen. Nur dadurch würde die Datenverarbeitung überhaupt initiiert. Zudem gestatte er Facebook die Nutzung der Daten. Er erteile also seine Zustimmung zu dem System und der Verarbeitung durch Facebook und damit zu den von Facebook verwendeten Mitteln und den Zwecken. Zudem habe er Möglichkeit, die Datenverarbeitung zu beenden und zwar durch Löschung der Facebook-Seite.

Zudem habe er die Möglichkeit des Einflusses auf die Darstellung der Statistik und welche Kriterien verwendet werden.

der Betreiber einer Fanpage [hat] die Möglichkeit, die konkrete Umsetzung dieses Tools zu beeinflussen, indem er die Kriterien definiert, auf deren Grundlage die Besucherstatistiken erstellt werden.

Der Betreiber einer Fanpage kann mittels Filtern ein personalisiertes Zielpublikum festlegen, was ihm erlaubt, nicht nur die Personengruppe genau zu bestimmen, an die die Informationen über sein kommerzielles Angebot verbreitet werden, sondern insbesondere die Kategorien von Personen zu bezeichnen, deren personenbezogene Daten sodann von Facebook erhoben werden.

Der Generalanwalt stellt als Ergebnis fest, dass unter diesen Umständen ein Betreiber einer Fanpage eines sozialen Netzwerks wie Facebook als Verantwortlicher für die Phase der Verarbeitung personenbezogener Daten anzusehen ist, die in der Erhebung von Daten über die diese Seite besuchenden Personen durch dieses soziale Netzwerk besteht.

Der Generalanwalt bleibt hier jedoch nicht stehen. Zudem sollen diese Ausführungen auch für das anhängige Verfahren zum Like Button (C-40/17, Fashion ID) gelten. Auch bei der Einbindung eines Plugins (hier für den Like-Button) sei Webseitenbetreiber Verantwortlicher für die Phase der Erhebung von Daten durch Facebook, weil er den Code einbinde. Der Generalanwalt hierzu:

Meiner Ansicht nach müsste in einem solchen Kontext der Betreiber einer Website, die ein Social Plugin enthält, soweit er einen tatsächlichen Einfluss auf die die Übermittlung personenbezogener Daten an Facebook betreffende Phase der Verarbeitung ausübt, wie der Betreiber einer Fanpage als „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 eingestuft werden.

Diese Auffassung ist durchaus überraschend, da der Generalanwalt sich der Auslegung des BVerwG entgegenstellt und die datenschutzrechtliche Verantwortlichkeit (die das BVerwG ablehnte) auf Betreiber einer Facebook-Seite erstreckt.

Sollte der EuGH dieser Einschätzung folgen, stellen sich einige praktische Fragen. Unter anderem nach der korrekten Erfüllung der Informationspflichten durch den Betreiber der Facebook-Seite. Nach der Logik der Schlussanträge müsste der Betreiber, da er für die Erhebung der Daten mitverantwortlich ist, über die betroffenen Daten und die Zwecke der Verarbeitung informieren. Tatsächlich kann es aber den Betreibern von Facebook-Seiten oder anderen vergleichbaren Plattformangeboten schwer fallen, diese Informationen inhaltlich korrekt an die Besucher zu kommunizieren. Eventuell hat der Betreiber gar keine Kenntnis darüber, welche Daten konkret für welche Zwecke durch Facebook verarbeitet werden. Zudem müsste der Betreiber der Webseite auf die Informationen zur Datenerhebung auch klar und verständlich auf seiner Facebook-Seite hinweisen. Zuletzt dürfte die generelle Frage zu beantworten sein, auf der Grundlage welches Erlaubnistatbestandes die personenbezogenen Daten durch Facebook (Inc. und Ltd.) und den Betreiber der Webseite erhoben werden. Diese Fragen müssen sich, sollte das Urteil den Schlussanträgen folgen, Betreiber von Facebook-Seiten stellen und beantworten.

Daneben ist anzumerken, dass der vorliegende Fall zwar ein spezielles Produkt (die Fanpage) und das dahinterliegende System betrachtet. Die Ausführungen des Generalanwaltes zur gemeinsamen Verantwortlichkeit dürften jedoch zu einem großen Teil auch auf andere Plattformen und Systeme übertragbar sein, bei denen ein Kunde die Infrastruktur und quasi das vorgefertigte Produkt eines Anbieters nutzt und bei dessen Bereitstellung personenbezogene Daten von Nutzern oder Besuchern verarbeitet werden, insbesondere, wenn der Kunde die Möglichkeit hat, Nutzerstatistiken zu nutzen.

Weitere Fragen

Auch die Ausführungen des Generalanwaltes zum anwendbaren Datenschutzrecht und der Zuständigkeit der Aufsichtsbehörden sind interessant. Vor allem von Relevanz ist, dass er die Gründe des EuGH-Urteils zu Google Spain auf eine Situation überträgt, in der der (Mit)Verantwortliche in der Union niedergelassen ist.

Er geht davon aus, dass die streitige Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten der deutschen Niederlassung von Facebook durchgeführt wird und dass in einer Situation wie der im Ausgangsverfahren in Rede stehenden die Anwendung des deutschen Datenschutzrechts erlaubt ist.

Die deutsche Kontrollstelle ist daher befugt, ihr nationales Recht auf die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten anzuwenden.

Zudem geht der Generalanwalt davon aus, dass die nationale Aufsichtsbehörde ihre Befugnisse, also auch eine Untersagung der Verarbeitung, nicht etwa gegen die nationale Niederlassung richten muss. Vielmehr könne eine aufsichtsbehördliche Maßnahme nach deutschem Recht gegenüber dem Verantwortlichen erfolgen, auch wenn dieser, wie hier die Facebook Ltd., in einem anderen Mitgliedstaat niedergelassen ist.

…dass diese Kontrollstelle sämtliche wirksamen Einwirkungsbefugnisse, die ihr gemäß Art. 28 Abs. 3 dieser Richtlinie übertragen sind, gegenüber dem für die Verarbeitung Verantwortlichen ausüben darf, und zwar auch dann, wenn dieser Verantwortliche seinen Sitz in einem anderen Mitgliedstaat oder einem Drittstaat hat.

Natürlich muss man noch das Urteil des EuGH abwarten. Da dieser den Schlussanträgen jedoch oft folgt, darf man mutmaßen, dass auch das Urteil des EuGH in eine ähnliche Richtung gehen wird.

Neue Datenschutzaufsichtsbehörde für den Norddeutschen Rundfunk

Posted on by

Bekanntlich verpflichtet Art. 85 Abs. 1 DSGVO die Mitgliedstaaten dazu, durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß der DSGVO mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang zu bringen. Es handelt sich um einen Regelungsauftrag an die Mitgliedstaaten. In Deutschland sowohl an den Bund als auch die Länder. Nach Art. 85 Abs. 2 DSGVO müssen die Mitgliedstaaten Ausnahmen von den meisten Kapiteln der DSGVO vorsehen, wenn die Verarbeitung zu journalistischen Zwecken erfolgt und die Ausnahmen erforderlich sind, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.

Bisher ist das sog. Medienprivileg in § 41 BDSG bzw. § 57 RStV geregelt. Im neuen, ab dem 25. Mai 2018 geltenden, BDSG wird eine solche Regelung bewusst fehlen. Dies bedeutet, dass in Deutschland die Bundesländer solche Ausnahmen schaffen müssen.

Derzeit wird länderübergreifend etwa der geltende Rundfunkstaatsvertrag (RStV) mit Blick auf die DSGVO überarbeitet.

Daneben sind jedoch auch einzelne Bundesländer mit Ergänzungen bzw. Anpassungen der rechtlichen Rahmenbedingungen für Rundfunkanstalten der Länder befasst. Hinsichtlich des Norddeutschen Rundfunks (NDR) haben sich die viel NDR-Staatsvertragsländer darauf geeinigt, die Umsetzung der DSGVO in einem eigenen „NDR-Datenschutz-Staatsvertrag“ vorzunehmen.

Der Entwurf dieses NDR-Datenschutz-Staatsvertrages vom 13.09.2017 ist nun öffentlich abrufbar (pdf). Die Unterzeichnung des NDR-Datenschutz-Staatsvertrages ist für Ende November / Anfang Dezember 2017 vorgesehen.

Mit dem Entwurf werden die datenschutzrechtlichen Normen im NDR-Staatsvertrag (§§ 41, 42) gestrichen und durch § 1 und § 2 Abs. 4 des neuen NDR-Datenschutz-Staatsvertrages ersetzt. Völlig neu sind hierbei die Regelungen in § 1 Abs. 1 bis 3 und die §§ 3 & 4 zur Ernennung des „Rundfunkbeauftragten für den Datenschutz beim NDR“ und sind gänzlich neu. Neben dem Datenschutzbeauftragten des NDR (der auch bisher schon existiert) wird ein Rundfunkbeauftragter für den Datenschutz beim NDR geschaffen. Er soll Behördenqualität erhalten und seine Funktion besteht darin, Datenschutzbeauftragten des NDR zu überwachen. Nach § 2 Abs. 1 soll der Rundfunkbeauftragte für den Datenschutz die zuständige Aufsichtsbehörde im Sinne des Art. 51 DSGVO sein. Nach § 3 Abs. 1 ist er in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. Er unterliegt auch keiner Rechts- oder Fachaufsicht. Hierdurch wird dem Erfordernis der völligen Unabhängigkeit der Datenschutzaufsichtsbehörden Rechnung getragen.

Hiermit soll also für den NDR eine eigene Datenschutzaufsichtsbehörde geschaffen werden, die von dem Datenschutzbeauftragten des NDR zu unterscheiden ist. Rundfunkbeauftragte für den Datenschutz überwacht die Einhaltung der Datenschutzvorschriften des Rundfunkstaatsvertrages, der DSGVO und anderer Vorschriften über den Datenschutz bei der gesamten Tätigkeit des NDR (§ 4 Abs. 1). Grundsätzlich sollen ihm auch alle Befugnisse nach Art. 57 und 58 Abs. 1 DSGVO zustehen. Geldbußen soll er gegenüber dem NDR jedoch nicht verhängen dürfen.

OVG Hamburg zur Datensicherheit: (Un)Verhältnismäßigkeit technischer & organisatorischer Maßnahmen

Posted on by

In einem Urteil vom 22.06.2017 (Az. 4 Bf 160/14) befasste sich das Hamburgische Oberverwaltungsgericht (OVG) unter anderem auch mit der Frage, welche technischen und organisatorischen Maßnahmen nach § 9 BDSG zu treffen sind, um die in der Anlage zum BDSG genannten Anforderungen zu gewährleisten.

Das Verfahren betraf im Kern kein datenschutzrechtliches Thema. Die Klägerin, ein Unternehmen aus Hamburg, begehrte die Erteilung einer Erlaubnis für die Vermittlung von Lotterien im Internet ohne beschränkende Nebenbestimmungen. In einem Bescheid aus 2012 erteilte die zuständige Behörde der Klägerin die Erlaubnis als gewerbliche Spielvermittlerin Glücksspiele unter ihrer Domain zu vermitteln. Weiter enthielt der Bescheid mehrere Nebenbestimmungen, u.a. auch folgende Nummer 14:

14. Bei der gegebenenfalls für die Vermittlungstätigkeit eingesetzten Hard- und Software hat die Datensicherheit bei der Abwicklung des Glücksspiels dem von Kreditinstituten im elektronischen Zahlungsverkehr eingehaltenen Stand der Technik zu entsprechen. Der Nachweis, dass ein entsprechender Standard eingehalten wird, gilt bei Vorlage eines Zertifikates nach ISO/IEC 27001:2005 als erbracht. Die vorliegende Erlaubnis wird mit der Auflage erteilt, dass unverzüglich ein entsprechendes Zertifikat nachgereicht oder ein gleichwertiger Nachweis erbracht wird.

U. a. gegen diese Nebenbestimmung ging die Klägerin vor, da sie sie als unverhältnismäßig ansah. Das Niveau der dort vorgesehenen Zertifizierung sei außerordentlich hoch und werde von den wenigsten Wirtschaftsunternehmen eingehalten.

Nach Auffassung des OVG ist die Regelung jedoch rechtmäßig.

Das Gericht begründet seine Ansicht damit, dass die die Auflage einerseits dem Ziel des § 1 Nr. 4 GlüStV diene, wonach sicherzustellen ist, dass Glücksspiele ordnungsgemäß durchgeführt werden und die Spieler vor betrügerischen Machenschaften geschützt werden.

Jedoch gehöre auch der allgemeine Datenschutz zum ordnungsgemäßen Ablauf des Glücksspiels. Mit anderen Worten: die Vorgaben des Datenschutzrechts, auch solche zu technischen und organisatorischen Maßnahmen, muss die Klägerin in jedem Fall beachten. Nach Ansicht des OVG ist  die Klägerin nach § 9 BDSG verpflichtet, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zum BDSG genannten Anforderungen, zu gewährleisten.

„Das geforderte Sicherheitsniveau ist auch nicht unverhältnismäßig. Bei dem Standard nach ISO/IEC 27001:2005 handelt es sich um den weltweit gültigen Standard für die Datensicherheit. Hierauf baut auch der IT-Grundschutz-Katalog des Bundesamtes für Sicherheit in der Informationstechnik auf, der im Übrigen u. a. auch den Anforderungen des § 9 BDSG i. V. m. der Anlage zu § 9 Satz 1 BDSG Rechnung trägt.“

Zu beachten ist, dass das Gesetz, also derzeit § 9 BDSG und in Zukunft Art. 32 DSGVO, keine spezifischen Vorgaben zu den umzusetzenden Maßnahmen machen, sondern allgemein beschreiben, welchen Anforderungen die Maßnahmen genügen müssen bzw. welche Zwecke mit ihnen erfüllt werde müssen. Nach § 9 S. 1 BDSG sind „technischen und organisatorischen Maßnahmen zu treffen“. Insbesondere sollen die in der Anlage zu § 9 BDSG genannten Anforderungen gewährleistet werden. § 9 S. 2 BDSG gibt zudem vor, dass Maßnahmen nur dann als erforderlich angesehen werden, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Bei der Umsetzung von technischen und organisatorischen Maßnahmen ist mithin auch stets die Verhältnismäßigkeit ihrer Implementierung in der konkreten Situation zu berücksichtigen.

Nach Ansicht des OVG ist dafür, dass der in der Nebenbestimmung angesprochene Standard für die Klägerin nicht erreichbar ist, nichts ersichtlich. Das Gericht verweist hierfür auch auf die Homepage der Klägerin, auf der, jedenfalls im Hinblick auf den Datenschutz, auf eine Zertifizierung nach ISO/IEC 27001 durch den TÜV Saarland hingewiesen wird. Nach Auffassung des OVG stellt die Anforderung, eine ISO/IEC 27001 Zertifizierung nachzuweisen (und natürlich vorher die Anforderungen zu erfüllen) also keine unverhältnismäßige Maßnahme dar. Hierbei muss aber beachtet werden, dass das Gericht nur die konkreten Umstände in diesem Fall beurteilte. Darauf zu schließen, dass § 9 BDSG nur erfüllt ist, wenn eine ISO/IEC 27001 Zertifizierung vorliegt, wäre daher nicht angemessen.

Auf diese vorhandenen alternativen Möglichkeiten geht auch das OVG ein. Zunächst stellt es jedoch fest, dass die Tatsache, dass zum Nachweis eine Zertifizierung gefordert werde, nicht zu beanstanden sei. Auch wenn eine Zertifizierung gesetzlich nicht vorgeschrieben sei, dürfe eine solche im Wege einer Auflage aufgegeben werden, wenn sie dem Zweck des Verwaltungsaktes in der Hauptsache bzw. den gesetzlichen Regelungen „dient“, die für den Erlass des Hauptverwaltungsaktes maßgeblich sind.

Zuletzt ist das Gericht der Ansicht, dass das Argument der Klägerin, dass die Pflicht zum Nachweis eines entsprechenden Zertifikats aufgrund der damit verbundenen Kosten unverhältnismäßig sei, nicht durchgreife, da dieser Gesichtspunkt als rein wirtschaftlicher hinter den mit der Auflage verfolgten schützenswerten Zielen zurücktreten muss. Im Übrigen dürfe die Klägerin zum Nachweis auch einen „gleichwertigen Nachweis“ vorlegen. Der letztgenannte Aspekt ist zu begrüßen, da das Gericht hiermit deutlich macht, dass die Umsetzung technischer und organisatorischer Maßnehmen eben gerade nicht an einem bestimmten Zertifikat hängt. Der Nachweis, dass solche Maßnahmen existieren, kann auch anders erbracht werden.

Kritisch betrachtet werden kann jedoch die Auffassung des OVG, dass die mit der Umsetzung der Maßnahmen verbundenen Kosten hinter den „verfolgten schützenswerten Zielen zurücktreten“ müssen. Leider wird nicht in Gänze deutlich, ob das OVG damit tatsächlich jegliche Abwägung im Rahmen der Frage der Angemessenheit der Maßnahmen ablehnt. Dies wäre mit den Vorgaben des § 9 BDSG nur schwer vereinbar. Eine Abwägung ist im Rahmen der Verhältnismäßigkeitsprüfung in jedem Fall vorzunehmen. Die Kosten für die Maßnahmen können als Abwägungskriterium nicht per se ausscheiden, weil die verfolgten Ziele schützenswert sind. Denn nach diesem Verständnis würden die Kosten niemals Eingang in die Abwägung nach § 9 S. 2 BDSG finden oder im Ergebnis ab einer gewissen Grenze überwiegen. Dieses Verständnis lässt sich jedoch dem Wortlaut des Gesetzes nicht entnehmen.

Das Urteil des OVG ist eine der wenigen Entscheidungen zu einer Einzelthematik des Datenschutzrechts und daher aus Praxissicht sicherlich willkommen. Zum Teil kann man die Auffassung des Gerichts jedoch mit guten Argumenten kritisch hinterfragen.