How German Data Protection Authorities interpret the GDPR

The German Data Protection Authorities (DPAs) have published three papers with their interpretation of certain Articles of the forthcoming EU General Data Protection Regulation (GDPR) (Paper 1, Paper 2, Paper 3; all in German). In sum, the views of the DPAs are not very surprising. However, this is the first time that all German authorities speak with one voice concerning the interpretation of the GDPR.

The papers cover the following topics:

Paper 1: Records of processing activities

Paper 2: Powers of DPAs and sanctions

Paper 3: Processing of personal data for marketing purposes

In the first paper the DPAs explain the obligation of Art. 30 GDPR. The DPAs note that the record of processing activities must be kept by the controller and (this is new) by the data processor. Furthermore, the DPAs highlight that the record must be made available to the supervisory authority on request. Keeping this record does not suffice to fulfill all documentation obligations under the GDPR. The DPAs point to Art. 5 para 2 GDPR and for example the obligation in Art. 24 para 1 GDPR, according to which the controller must be able to demonstrate that processing is performed in accordance with the GDPR.

In the second paper the DPAs shed some light on their interpretation of Art. 58 and Art. 83 GDPR. The DPAs explain that besides making use of an investigative or corrective power according to Art. 58 GDPR, the authorities may take action against a controller or processor and issue fines according to Art. 83 GDPR. In the view of the DPAs, the term “undertaking” in Art. 83 para 4, 5 and 6 GDPR must be interpreted broader than the definition of “enterprise” in Art. 4 (18) GDPR. The DPAs refer to Recital 150 GDPR to justify this understanding. Recital 150 GDPR specifies that “an undertaking should be understood to be an undertaking in accordance with Articles 101 and 102 TFEU”. This is a reference to the broad definition of “undertaking” in antitrust and competition law by the ECJ. The concept of an undertaking encompasses every entity engaged in an economic activity regardless of the legal status of the entity and the way in which it is financed.

This means that according to the German DPAs “undertaking” in Art. 83 GDPR does not only encompass one single undertaking but also a group of undertakings.

One may of course oppose this view with good arguments, since the notion of “group of undertakings” is legally defined in Art. 4 (19) GDPR but explicitly not used in Art. 83 GDPR.

In the third paper the German DPAs turn to questions of the processing of personal data for marketing purposes. According to the DPAs, under the GDPR the processing for marketing purposes will mainly be based on Art. 6 para 1 (f) GDPR and therefore require the weighing of interests (of course, consent is also another possible legal basis). The DPAs specifically refer to Recital 47 GDPR which explains that “the processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest”. Furthermore, data controllers must take note of the requirement established in Recital 47 that “the reasonable expectations of data subjects” must be taken into consideration. The DPAs highlight that it is not clear when these reasonable expectations are actually rightly taken into account. However, the DPAs explain that information will play a crucial role for data controllers in order to shape the “reasonable expectations”. According to the DPAs, if the controller informs the data subjects in a clear and transparent manner about the marketing purpose of the processing, the reasonable expectation of the natural person will expect this kind of processing. But the DPAs also mention the right of data subjects to object at any time to processing of personal data for marketing (Art. 21 para 2 GDPR). Furthermore, special categories of personal data (Art. 9 GDPR) may only be processed for marketing purposes if valid consent has been obtained, since Art. 9 GDPR does not foresee a possibility like Art. 6 para 1 (f) GDPR. Lastly, the DPAs rightly refer to special rules for e-mail marketing. According to Sec. 7 of the Act Against Unfair Competition (transposing Art. 13 of Directive 2002/58/EC), marketing via e-mail requires consent except where a company obtains from its customers their electronic contact details for electronic mail in the context of the sale of a product or a service, uses the electronic contact details for direct marketing of its own similar products or services and provided that customers clearly and distinctly are given the opportunity to object.

 

 

 

Europäische Datenschutzbehörden veröffentlichen Leitlinien zum Beschäftigtendatenschutz

Mit ihrer Stellungnahme 2/2017 vom 8. Juni 2017 (PDF) haben sich die europäischen Datenschutzbehörden, die in der Art. 29 Datenschutzgruppe versammelt sind, zu verschiedenen Fragen der Verarbeitung personenbezogener Daten im Rahmen des Beschäftigungsverhältnisses geäußert. Interessant und für die Praxis besonders relevant ist, dass sich die Datenschutzbehörden in ihrer Stellungnahme nicht nur zur aktuellen Rechtslage (also zur europäischen Datenschutzrichtlinie 95/46/EG) äußern, sondern auch ein Ausblick auf die Auslegung der EU Datenschutz-Grundverordnung (DSGVO) im Kontext der Verarbeitung personenbezogener Daten von Beschäftigten geben.

Die nun veröffentlichte Stellungnahme ist nicht die erste, die sich mit dem Beschäftigtendatenschutz befasst. Bereits im Jahre 2001 und 2002 hat die Art. 29 Datenschutzgruppe Stellungnahmen hierzu veröffentlicht. Die nun vorliegende Stellungnahme ist jedoch nach Ansicht der Datenschützer insbesondere deshalb erforderlich, da sich seit Veröffentlichung der vorherigen Stellungnahmen die technischen Gegebenheiten und Möglichkeiten zur Verarbeitung personenbezogener Daten gerade auch im Beschäftigungsverhältnis geändert haben. Aus diesem Grund möchten die Datenschützer auch hier neue Leitlinien veröffentlichen.

Die vorliegende Stellungnahme befasst sich daher insbesondere auch mit neuen Verarbeitungsmöglichkeiten, etwa im Rahmen von Social Media Plattformen. Insgesamt behandelt Stellungnahme hierzu neun beispielhafte Szenarien und die Datenschützer stellen dar, inwiefern Datenverarbeitung in diesen Szenarien ihrer Auffassung nach zulässig sind. Hier bereits der Hinweis: die Stellungnahme der Art. 29 Datenschutzgruppe ist kein Gesetz und nicht bindend, für die Praxis aber natürlich durchaus von Relevanz.

Wer ist Beschäftigter?

Ganz zu Beginn ihrer Stellungnahme weisen die Datenschützer darauf hin, dass der Begriff des „Beschäftigten“ im Rahmen ihrer Stellungnahme nicht zu eng zu verstehen ist und insbesondere nicht unbedingt den klassischen festen Anstellungsvertrag voraussetzt. Die Datenschützer erwähnen etwa auch freie Mitarbeiter, die ihrer Ansicht nach unter den Begriff des Beschäftigten im Rahmen dieser Stellungnahme fallen. Den Datenschützern geht es gerade nicht darum, nur solche Szenarien abzudecken, in denen tatsächlich ein Arbeitsvertrag besteht.

Möglichkeiten der Verarbeitung im Beschäftigungsverhältnis

Zunächst befasst sich die Stellungnahme mit den Verarbeitungsmöglichkeiten auf der Grundlage der noch geltenden EU Datenschutzrichtlinie. Zudem weisen die europäischen Datenschutzbehörden darauf hin, dass sie sich wünschen würden, dass in dem derzeit diskutierten Vorschlag für eine ePrivacy-Verordnung eine spezifische Ausnahme für den Zugriffs auf Endgeräte von Arbeitnehmern aufgenommen wird. Diese Möglichkeit wurde kürzlich im Entwurf eines Berichts des LIBE-Ausschusses im Europäischen Parlament vorgesehen. Meines Erachtens nach ergeben sich mit Einführung einer solchen Spezifizierung hinsichtlich des Zugriffs auf Endgeräte im Arbeitsverhältnis jedoch schwierige Fragen der Abgrenzung zur DSGVO und auch dem neuen BDSG. Hierzu mein Blogbeitrag.

Einwilligung

Nach Auffassung der Datenschutzbehörden stellt die Einwilligung der Beschäftigten für die überwiegende Mehrheit von Datenverarbeitungsvorgängen zumeist nicht die passende Grundlage dar. Diese Auffassung der Datenschutzbehörden (gerade auch in Deutschland) ist nicht unbedingt neu. Gerne wird auch pauschal die Möglichkeit verneint, dass Beschäftigte eine datenschutzrechtliche Einwilligung gegenüber ihrem Arbeitgeber abgeben könnten. In Deutschland hat das Bundesarbeitsgericht (Urt. v. 11.12.2014 – 8 AZR 1010/13) völlig zu Recht entschieden, dass natürlich auch im Beschäftigungsverhältnis die Möglichkeit einer datenschutzrechtlichen Einwilligung per se erst einmal gegeben ist. Es kommt dann freilich immer stets auf die Umstände an, ob die Anforderungen der Einwilligung tatsächlich auch erfüllt sind, wie etwa die Freiwilligkeit der Abgabe der Einwilligungserklärung. Die Datenschutzbehörden gehen davon aus, dass eine Einwilligung im Beschäftigungsverhältnis insbesondere dann nicht wirksam ist, wenn sich an die Weigerung der Abgabe einer Willenserklärung durch den Beschäftigten eine negative Folge für diesen knüpfen würde. In diesem Fall fehlt es an der Freiwilligkeit der Abgabe der Einwilligungserklärung.

Durchführung des Arbeitsvertrages

Viele Datenverarbeitungen im Beschäftigungsverhältnis können in der Praxis auf der Grundlage des Arbeitsvertrages und zu dessen Durchführung vorgenommen werden. Dieser Auffassung sind auch die Datenschützer und verweisen beispielhaft etwa auf Datenverarbeitung im Rahmen von Gehaltszahlungen.

Interessenabwägung

Die in der Praxis jedoch wohl wichtigste Grundlage für eine Verarbeitung personenbezogener Daten von Beschäftigten stellt die Möglichkeit einer Interessenabwägung zwischen den berechtigten Interessen des Arbeitgebers und den schutzwürdigen Interessen des Arbeitnehmers dar (Art. 7 f) EU Datenschutzrichtlinie). Nach Auffassung der Datenschutzbehörden muss die Datenverarbeitung in diesem Fall in jedem Fall angemessen und verhältnismäßig sein. Zudem sollten Datenverarbeitungen im Arbeitsverhältnis stets die am wenigsten einschneidende Maßnahme in Bezug auf die Rechte des Arbeitnehmers darstellen. In jedem Fall, so die Datenschutzbehörden, ist es erforderlich, das durch den Arbeitgeber bestimmte Maßnahmen umgesetzt sind, um die Risiken für die Arbeitnehmer zu minimieren und die schutzwürdigen Interessen der Arbeitnehmer gebührend zu berücksichtigen. Am Beispiel der Überwachung von Arbeitnehmern stellen die Datenschützer dar, dass solche Maßnahmen etwa eine geographische Begrenzung der Überwachung darstellen können, die Begrenzung kann sich aber auch auf bestimmte Datenkategorien beziehen oder aber auch auf bestimmte Zeitintervalle erstreckt werden. Dies wären nach Auffassung der Datenschutzbehörden solche angemessenen Maßnahmen, um die schutzwürdigen Interessen der betroffenen Arbeitnehmer zu berücksichtigen.

DSGVO

Des Weiteren befassen sich die Datenschutzbehörden auch mit der Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis unter den Vorgaben der DSGVO. Zumindest wird in der Stellungnahme kurz auf einige Besonderheiten der DSGVO hingewiesen. Zum einen auf die Anforderungen des Art. 25 DSGVO, dem Prinzip des Datenschutzes durch Technikgestaltung und durch Voreinstellungen. Nach Auffassung der Datenschutzbehörden bedeutet dies für die Arbeitgeber, dass, wenn sie Endgeräte an ihre Arbeitnehmer herausgeben, diese Endgeräte mit datenschutzfreundlichen Voreinstellungen bestückt sein müssen und das Prinzip der Datenminimierung auf der technischen Ebene beachtet werden muss.

Zu dem für den Beschäftigtendatenschutz relevanten Art. 88 DSGVO (umgesetzt im neuen § 26 BDSG) verhalten sich die Datenschutzbehörden nicht besonders ausführlich. Sie geben allein den Inhalt des Artikels wieder. Jedoch weisen die Datenschutzbehörden darauf hin, dass die Anforderungen des Art. 88 Abs. 2 DSGVO, dass Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umzusetzen sind, im Rahmen der in der vorliegenden Stellungnahme dargestellten Szenarien beachtet wurden. Die in der Stellungnahme entwickelten Leitlinien erläutern den zulässigen Einsatz von neuen Technologien und stellen dabei die erforderlichen Anforderungen dar, die nach Art. 88 Abs. 2 DSGVO bei der Datenverarbeitung zu erfüllen sind. Dies bedeutet in der Praxis, dass die in der Stellungnahme der Datenschutzbehörden dargestellten Sachverhalte und vorgeschlagenen Lösungsvarianten aus Sicht der Datenschutzbehörden die Anforderungen der DSGVO erfüllen.

Datenverarbeitung aus sozialen Netzwerken

In einem dargestellten Sachverhalt befassen sich die Datenschutzbehörden mit der Situation, das ein potenzieller Arbeitgeber sich vor oder nach einem Vorstellungsgespräch im Rahmen einer Suche im Internet und in Profilen von sozialen Netzwerken ein eigenes Bild über den Kandidaten machen will. Die Datenschutzbehörden weisen jedoch darauf hin, dass nur weil Informationen in einem Profil in einem sozialen Netzwerk öffentlich abrufbar sind, die Arbeitgeber diese Information nicht auch unbedingt für eigene Zwecke nutzen können. Stets ist für jede Datenverarbeitung ein gesetzlicher Erlaubnistatbestand zu erfüllen. Sie weisen jedoch darauf hin, dass, bevor ein Arbeitgeber ein Profil eines Sozialen Netzwerkes genauer untersucht, zunächst zu prüfen ist, um was für eine Art von sozialem Netzwerk es sich handelt. Um ein berufliches Netzwerk oder ein Netzwerk mit privatem Hintergrund. Insbesondere im Rahmen der Interessenabwägung als Erlaubnistatbestand kann dieser Umstand eine Rolle spielen. Zudem, so die Datenschutzbehörden, dürfen potentielle Arbeitgeber Daten nur in dem Umfang erheben und verarbeiten, wie dies für den Bewerbungsprozess tatsächlich absolut notwendig ist. Nach Auffassung der Datenschutzbehörden müssen zudem alle im Rahmen des Bewerbungsprozesses erhobenen und gespeicherten Daten unverzüglich gelöscht werden, sobald deutlich wird, dass den Kandidaten kein Job angeboten wird. Hier lässt sich zumindest kritisch anmerken, dass insbesondere auch in Deutschland die Datenschutzbehörden nicht direkt nach Ende des Auswahlverfahrens die Löschung der Daten verlangen. Insbesondere aufgrund der Möglichkeit des abgelehnten Kandidaten, noch gegen den ablehnenden Arbeitgeber rechtlich vorzugehen (AGG), gestehen auch in Deutschland die Datenschutzbehörden den Unternehmen eine Frist zur Speicherung der Daten zur abgelehnten Bewerbern von einigen Monaten zu.

Überwachung des Datenverkehrs

Ein weiteres Szenario was von den Datenschutzbehörden angesprochen wird, ist die Überwachung und Analyse des Datenverkehrs in das Netzwerk eines Unternehmens und hinaus. Insbesondere aus Sicherheitsgesichtspunkten und zum Schutz der Systeme gestehen die Datenschutzbehörden den Arbeitgebern eine solche Analyse und damit zusammenhängende Datenverarbeitung auch von Arbeitnehmern bis zu einem gewissen Grad zu. Sie weisen jedoch darauf hin, dass eine Überwachung in der Form der Aufzeichnung jeglicher Onlineaktivität von Arbeitnehmern ihrer Auffassung nach eine unverhältnismäßige Maßnahme darstellen würde, insbesondere mit Blick auf das Fernmeldegeheimnis. Interessant ist hierbei, dass die Datenschutzbehörden davon auszugehen scheinen, dass für den Arbeitgeber die Vorgabe der Einhaltung des Fernmeldegeheimnisses per se zu beachten ist. In Deutschland ist diese Frage jedoch umstritten, insbesondere im Rahmen der gestatteten oder nicht gestatteten privaten Nutzung das Onlinezugangs am Arbeitsplatz.

Weitere Szenarien

Auch zum Thema Bring Your Own Device äußern sich die Datenschutzbehörden in ihrer Stellungnahme. Neben weiteren Szenarien erläutern die Datenschutzbehörden auch, was es im Rahmen des Transfers personenbezogener Daten in das Ausland zu beachten gilt. Hier bleiben die Hinweise der Datenschutzbehörden jedoch recht allgemein. Sie weisen allein darauf hin, dass die Anforderungen des Art. 25 der geltenden EU Datenschutzrichtlinie einzuhalten sind. Nach Auffassung der Datenschutzbehörden sollten sich Arbeitgeber in Fällen der Übermittlung von personenbezogenen Daten der Arbeitnehmer in Drittstaaten außerhalb des Europäischen Wirtschaftsraumes insbesondere auf die Mechanismen des Angemessenheitsbeschlusses durch die Europäische Kommission (Bsp: EU US Privacy Shield) verlassen. Daneben können auch die EU Standardvertragsklauseln eine Möglichkeit zum Datentransfer in Drittstaaten sein. Weniger geeignet halten die europäischen Datenschutzbehörden die Ausnahmen für besondere Übermittlungssituationen, wie etwa die ausdrückliche Einwilligung des Arbeitnehmers.

Fazit

Insgesamt ist die doch recht umfangreiche Stellungnahme der Datenschutzbehörden durchaus lesenswert und insbesondere, da sie auch schon die DSGVO im Blick hat, besonders praxisrelevant. Wie immer gilt natürlich, dass man auch hier nicht jegliche Meinung teilen muss. Die Stellungnahme gibt jedoch einen guten Überblick dazu, wie die europäischen Datenschutzbehörden insbesondere in Grenzfällen das Gesetz auslegen bzw. aus ihrer Sicht anwenden.

Data protection of employees: Strict requirements for monitoring in employment context proposed by LIBE-Committee

Today, the Committee on Civil Liberties, Justice and Home Affairs (LIBE) in the European Parliament has discussed the proposal for a new ePrivacy Regulation by the European Commission. The draft report of the LIBE Committee is available here (9 June 2017)(PDF). The draft partially proposes major changes to the Commission’s original draft. The vote on the draft report in the European Parliament is still pending.

Amendment 82 seeks to extend the original Art. 8 (1) ePrivacy Regulation by one letter d b. Art. 8 (1) deals with the protection of the terminal equipment of users and information stored in this terminal equipment. Examples include mobile telephones or computers connected to the Internet.

Art. 8 (1) of the ePrivacy Regulation establishes strict requirements as to when information from the terminal equipment may be collected at all. Under Art. 8 (1), such a collection of information is prohibited in principle, except for one of the grounds set out in paragraph 1.

In addition, it should be pointed out that Art. 8 (1) has a very broad scope, since it is not (as is the case predominantly in the ePrivacy Regulation) directed at communication data but generally refers to “information”. Similarly, Art. 5 (3) of the still valid ePrivacy Directive (the so-called cookie directive) has a broad scope.

Amendment 82 of the draft report now proposes that a new legal basis will be included in Art. 8 (1), when information from terminal equipment may be collected. According to Art. 8 (1) (d b), this is the case when it is necessary in the context of employment relationships, where:

(i) the employer provides certain equipment;

(ii) the employee is the user of this equipment; and

(iii) the interference is strictly necessary for the functioning of the equipment by the employee.

So the amended Art. 8 (1) does not apply to “Bring Your Own Device” constellations.

Firstly, this exception reads as if it would in principle allow employers to monitor the activities of employees with regard to the use of equipment, such as PCs and mobile phones. However, if one considers this proposed scheme more precisely, it should be noted that the “interference” (in this case probably the access to the terminal equipment of the user; see, for example, Recital 20) is strictly necessary for the functioning of the equipment by the employee. The interference or access to the equipment and the information gathering can therefore only be carried out if the collection of information is strictly necessary for the functioning of the technical device.

The point here is that the employer could possibly not argue that he must have access to the equipment of his employees, in order to be able to check, for example, the use of the terminals he has provided. This access could not be seen as essential for the functioning of the equipment. This is at least one possible interpretation of the amendment.

In particular, the adding of this permission to access equipment in the employment relationship and the gathering of information from the equipment is also important because one has to keep in mind that the currently negotiated ePrivacy Regulation creates special standards (and constitutes a „lex specialis“) in comparison to the General Data Protection Regulation(GDPR) which will apply as of 25 May 2018. Thus, if a situation is covered by the Articles of the ePrivacy Regulation, the GDPR is displaced (including Art. 88 GDPR on data protection in the employment context). And again: Art. 8 (1) applies already when collecting “information”. Processing of personal data (as under the GDPR) is not required.

Arbeitnehmerdatenschutz: Strenge Vorgaben zur Überwachung im Arbeitsverhältnis durch Änderungsvorschläge zur ePrivacy-VO

Heute hat der Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) im Europäischen Parlament den Vorschlag für eine neue ePrivacy-Verordnung durch die Europäische Kommission beraten. Der Entwurf des Berichts des LIBE-Ausschusses stammt vom 9. Juni 2017 (PDF). Im Entwurf werden teilweise umfassende Änderungen am ursprünglichen Entwurf der Kommission vorgeschlagen. Die Abstimmung über den Entwurf für den Bericht im Europäischen Parlament steht noch aus.

Ganz konkret möchte ich hier kurz auf einen interessanten Vorschlag des LIBE-Ausschusses hinweisen. Mit Änderungsantrag 82 soll der ursprüngliche Art. 8 Abs. 1 ePrivacy-VO um einen Buchstaben d b erweitert werden. In Art. 8 Abs. 1 geht es um den Schutz der Endeinrichtungen von Nutzern und in diesen Endeinrichtungen gespeicherten Informationen. Ganz praktisch geht es also insbesondere um Endgeräte, in denen sich entweder digital Information ablegen lassen oder die auch selbst Informationen erzeugen und aus diesen Informationen ausgelesen werden können. Beispielhaft seien hier etwa Mobiltelefone oder auch Computer, die ans Internet angeschlossen sind, genannt. In Art. 8 Abs. 1 ePrivacy-VO werden recht strenge Anforderungen daran gestellt, wann Informationen aus den Endeinrichtungen überhaupt erhoben werden dürfen. Nach Art. 8 Abs. 1 ist eine solche Erhebung von Informationen grundsätzlich untersagt, außer einer der in Abs. 1 genannten Gründe liegt vor.

Einleitend ist zudem darauf hinzuweisen, dass Art. 8 Abs. 1 einen sehr weiten Anwendungsbereich hat, da es in diesem nicht etwa (wie sonst überwiegend in der ePrivacy-VO) um Kommunikationsdaten geht, sondern ganz allgemein von „Informationen“ gesprochen wird. Einen ähnlich weiten Anwendungsbereich hat derzeit auch der Art. 5 Abs. 3 der noch geltenden ePrivacy-Richtlinie (sogenannte Cookie-Richtlinie).

Mit dem Änderungsantrag 82 schlägt nun der Entwurf des Berichts vor, dass eine neue gesetzliche Erlaubnis in Art. 8 Abs. 1 aufgenommen wird, wann Informationen aus Endgeräten erhoben werden dürfen. Nach Art. 8 Abs. 1 Buchstabe d b soll dies der Fall sein, wenn es im Rahmen von Arbeitsverhältnissen nötig ist, wenn erstens der Arbeitgeber bestimmte Einrichtungen bereitstellt, zweitens der Arbeitnehmer der Nutzer dieser Einrichtung ist und drittens der Eingriff für die Funktionsweise der Einrichtung für den Arbeitnehmer zwingend notwendig ist. Die Regelung gilt also nicht für „Bring Your Own Device“ Konstellationen.

Zunächst liest sich diese Ausnahme so, als ob sie Arbeitgebern grundsätzlich eine Überwachung der Tätigkeiten der Arbeitnehmer im Hinblick auf die Nutzung von bereitgestellten Endgeräten, wie etwa PCs und Mobiltelefon, erlauben würde. Betrachtet man sich diese vorgeschlagene Regelung jedoch genauer, ist zu beachten, dass der „Eingriff“ (gemeint ist hier wohl der Zugriff auf die Endeinrichtungen der Arbeitnehmer als Nutzer; vgl. diesbezüglich etwa Erwägungsgrund 20) für die Funktionsweise der Endeinrichtung für den Arbeitnehmer zwingend notwendig ist. Der Eingriff bzw. der Zugriff auf die Endeinrichtungen und dort gesammelte Informationen darf also ausschließlich dann erfolgen, wenn die so mögliche Erhebung von Informationen für die Funktionsweise der technischen Einrichtung zwingend notwendig ist und dies auch nur, wenn dies für den Arbeitnehmer zwingend notwendig ist. Es geht also hier nicht darum, dass der Arbeitgeber argumentieren könnte, er müsse Zugriff auf die Endeinrichtungen seine Arbeitnehmer haben, um etwa die Nutzung der von ihm bereitgestellten Endgeräte überprüfen zu können. Denn diesen Zugriff könnte man als nicht zwingend notwendig für die Funktionsweise der Einrichtung ansehen. Dies ist zumindest eine mögliche Auslegung des Änderungsantrags.

Sollte man den Änderungsantrag so lesen, so würde dies aber gleichzeitig bedeuten, dass andere Optionen zum Zugriff auf Informationen in Endgeräten im Arbeitsverhältnis ausgeschlossen sind (außer natürlich, ein anderer Erlaubnistatbestand in Art. 8 Abs. 1 wäre erfüllt, wie etwa die Einwilligung des Arbeitnehmers).

Insbesondere brisant ist die Aufnahme dieses Erlaubnistatbestandes zum Zugriff auf Endgeräte im Arbeitsverhältnis und der Erhebung von Informationen aus den Endgeräten auch deshalb, weil man sich noch vor Augen halten muss, dass die derzeit verhandelte die ePrivacy-VO Spezialregelungen gegenüber der 25 Mai 2018 unmittelbar anwendbaren Datenschutz-Grundverordnung (DSGVO) bereithält. Soweit also ein Sachverhalt von den Regelungen der die ePrivacy-VO abgedeckt ist, wird die DSGVO verdrängt. Und hier noch einmal der Hinweis: Art. 8 Abs. 1 gilt schon bei der Erhebung von „Informationen“. Es müssen keine personenbezogenen Daten vorliegen (wie im Rahmen der DSGVO).

Nimmt man nun, wie in Änderungsantrag 82 vorgesehen, eine spezielle Situation aus dem Arbeitsverhältnis in die ePrivacy-VO auf und regelt dort, was in Bezug auf Informationen in Endgeräten für den Arbeitgeber gestattet ist, bedeutet dies gleichzeitig, dass ein Rückgriff auf Erlaubnistatbestände der DSGVO nicht mehr möglich ist. Dies betrifft insbesondere auch Art. 88 der DSGVO, in dem es um die Datenverarbeitung im Beschäftigungsverhältnis geht und der im Rahmen des neuen BDSG in Deutschland in ähnlicher Weise wie der bisher geltende § 32 BDSG umgesetzt werden soll. Art. 8 Abs. 1 lit. d b ePrivacy-VO würde Art. 88 DSGVO und damit auch dem BDSG vorgehen. Man könnte sich als Arbeitgeber also nicht auf eine Interessenabwägung zur Verarbeitung personenbezogener Daten von Arbeitnehmern berufen, wie dies in § 26 BDSG (neu) vorgesehen ist, soweit die ePrivacy-VO den Sachverhalt abschließend und spezieller regelt.

Man wird abwarten müssen, ob der hier dargestellte Änderungsantrag tatsächlich in dieser Form zum einen im in der finalen Stellungnahme des Europäischen Parlaments Niederschlag findet. Zum anderen wird dann auch noch der Rat der Europäischen Union seine Stellungnahme zum Entwurf der Verordnung verhandeln und beschließen. Inwiefern also tatsächlich die hier dargestellte Regelung zum Zugriff auf Informationen in Endgeräten im Arbeitsverhältnis am Ende Realität wird, lässt sich derzeit noch nicht mit absoluter Gewissheit abschätzen. Im Hinterkopf sollte man jedoch zumindest behalten, dass im Europäischen Parlament der Wunsch besteht, diese Situation in der ePrivacy-VO zu regeln.

German Federal Data Protection Commissioner publishes recommendations for connected cars

On 1st June, the Federal Data Protection Commissioner (DPC) published 13 recommendations (pdf, German) for the protection of personal data with regard to autonomous driving and connected cars.

Among others, the DPC recommends that it must be clear and apparent what kind of data is processed without the consent of data subjects. In practice, this means that privacy policies must be put in place at all time and data subjects (especially the driver but also other natural persons concerned) must have the possibility to inform themselves about the processed data.

The DPC also recommends that data subjects should have the possibility to access that information, for example via the display of the entertainment system of the car.

Car-to-Car communication may only encompass the personal data strictly necessary for the respective purpose. This recommendation also applies to data-based services. Furthermore, the DPC recommends that Car-to-Car communication must be adequately protected against illegal access by third parties, for example via encryption.

Additionally, car manufacturers should implement the principle of “Privacy by Design”. Cars (and the underlying systems) should be constructed in a way that users can choose and modify the settings of the system in order to minimize the processing of personal data and information about their driving behavior.

All of these recommendations are of course only this, recommendations. However, most of the points raised by the DPC can, in one way or another, be found in the current data protection legislation and the forthcoming General Data Protection Regulation.

EU Mitgliedstaaten einigen sich auf Regeln für die Bereitstellung digitaler Inhalte

Am 8. Juni 2017 hat der Rat der Europäischen Union seinen Standpunkt zur Richtlinie für Verträge über die Bereitstellung digitaler Inhalte und digitale Dienstleistungen festgelegt (pdf).

Diese Richtlinie soll für Verträge zwischen Unternehmen und Verbrauchern gelten und unter anderem Vorschriften für die Bereitstellung digitaler Inhalte oder auch digitaler Dienstleistungen und über die Vertragsmäßigkeit solcher digitalen Inhalte oder digitale Dienstleistungen und auch die Rechte von Verbrauchern bei Vertragswidrigkeit oder fehlerhaften digitalen Inhalten festlegen.

Der ursprüngliche Entwurf der Europäischen Kommission zu der Richtlinie stammt aus Dezember 2015. Bereits in diesem Entwurf hatte die Europäische Kommission als Neuerung vorgesehen, dass in Zukunft nicht nur Geld als eine Gegenleistung für digitale Inhalte angesehen werden kann, sondern dass vermehrt auch personenbezogene Daten als Gegenleistung in Betracht kommen und hierfür Regelungen aufgestellt werden müssen bzw. die Bereitstellung des Zugangs zu personenbezogenen Daten als gleichwertige Gegenleistung in Betracht kommt.

„Integrierte digitale Inhalte“ und das Internet der Dinge

Im Rahmen der Verhandlungen zwischen den Mitgliedstaaten im Rat war in der Vergangenheit insbesondere umstritten, welche Vorgaben für sogenannte eingebettete digitale Inhalte (oder auch „integrierte digitale Inhalte“) gelten sollen (vgl. die Orientierungsaussprache aus Dezember 2016, pdf). Unter integrierten digitalen Inhalten (vgl. Art. 2 Nr. 12 der Allgemeinen Ausrichtung) verstehen die Mitgliedstaaten solche digitalen Inhalte, die in Produkten enthaltenen sind (also insbesondere auch Anwendungen und Software) und zur Funktionsweise des Produktes beitragen. In dem Dokument zur Orientierungsaussprache werden als Beispiele für solche waren etwa auch Geräte im Internet der Dinge, intelligente Produkte, intelligente Fahrzeuge oder auch intelligente Wohnungen benannt.

Damals war zwischen den Mitgliedstaaten umstritten, welche Regeln gelten sollen, wenn ein vernetztes Produkt ein Fehler aufweist bzw. defekt ist. Sollen hier etwa die Regeln über das Kaufrecht Anwendung finden oder aber Regelungen aus dem Mietrecht oder soll vielleicht ein komplett neues Regelwerk erdacht werden? In der Allgemeinen Ausrichtung legt nun der Rat der Europäischen Union fest, dass die Mehrheit der Mitgliedstaaten sich dafür ausspricht, dass für diese integrierten digitalen Inhalte die derart ein fester Bestandteil der Ware sind, dass das Fehlen des digitalen Inhalts die Ware unbrauchbar machen würde oder verhindern würde, dass die Ware ihre wichtigsten Funktionen erfüllen kann, den Regelungen des Kaufrechts unterfallen soll.

Nach den Mitgliedstaaten im Rat würde in Zukunft auf eventuell fehlerhafte Produkte im Internet der Dinge (auch wenn der Fehler in der Software selbst liegt) das Kaufrecht mit seinen Gewährleistungsansprüchen und nicht die nun diskutierte Richtlinie Anwendung finden.

Verhältnis zur EU Datenschutz-Grundverordnung

Des Weiteren haben sich die Mitgliedstaaten darüber verständigt, dass jegliche Überschneidung zwischen der nun diskutierten Richtlinie und den Vorschriften der EU Datenschutz-Grundverordnung (DSGVO) vermieden werden muss. Daher wird nun vorgesehen, dass die Richtlinie nicht für eine Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen gelten soll, für die der Verbraucher keinen Preis zahlt oder sich zu keiner solchen Zahlung verpflichtet, dem Anbieter (also dem Verkäufer) keine personenbezogenen Daten bereitstellt oder sich nicht zu einer solchen Bereitstellung personenbezogener Daten verpflichtet.

In dem Text zur Allgemeinen Ausrichtung des Rates findet sich zudem der Entwurf für einen noch einzufügenden Erwägungsgrund zu dieser Thematik. Dort wird vorgeschlagen, dass in dem Erwägungsgrund aufgenommen wird, dass die Richtlinie nicht in Fällen gelten soll, in denen der Verkäufer lediglich Metadaten, die IP-Adresse oder sonstige automatisch generierte Informationen wie durch Cookies gesammelte und übermittelte Informationen erhebt. Die Richtlinie soll also dann nicht gelten, wenn Daten durch das Verhalten des Betroffenen automatisch generiert werden.

Zudem dürfte in der Praxis ebenfalls von starker Relevanz sein, dass in dem Entwurf für den Erwägungsgrund festgelegt wird, dass die Richtlinie auch nicht in Fällen gelten soll, in denen der Verbraucher ausschließlich Zwecks Erlangung des Zugangs zu digitalen Inhalten oder zu einer digitalen Dienstleistung Werbung ausgesetzt ist, ohne dass er mit dem Verkäufer ein Vertrag geschlossen hat.

Des Weiteren legen die Mitgliedstaaten in ihrer Allgemeinen Ausrichtung im Hinblick auf das Verhältnis der nun diskutierten Richtlinie zur DSGVO fest, dass das Unionsrecht (inklusive DSGVO) für alle personenbezogenen Daten gilt, die im Zusammenhang mit den von dieser Richtlinie erfassten Verträgen verarbeitet werden. Auch dies soll in später noch zu erstellenden Erwägungsgründen für die Richtlinie aufgenommen werden (vgl. Art. 3 Abs. 8 der Allgemeinen Ausrichtung). Dort soll auch ausdrücklich klargestellt werden, dass diese Richtlinie die Bestimmungen der DSGVO unberührt lässt. Im Zweifel, also bei einer Kollision der Bestimmung, hat die DSGVO Vorrang.

Eine Verarbeitung personenbezogener Daten richtet sich also auch in Zukunft, wenn diese Richtlinie anwendbar ist, allein nach der DSGVO. Auch dies soll ausdrücklich klargestellt werden, insbesondere, was die Rechtmäßigkeit einer Verarbeitung personenbezogener Daten betrifft. Die Mitgliedstaaten erläutern in dem Entwurf für einen Erwägungsgrund, dass eine Verarbeitung personenbezogener Daten im Zusammenhang mit einem Vertrag, der in den Anwendungsbereich dieser nun diskutierten Richtlinie fällt, nur rechtmäßig ist, wenn Sie mit Art. 6 Abs. 1 DSGVO im Einklang steht. Zudem wird erläutert und klargestellt, dass die vorliegende Richtlinie wieder die Gültigkeit einer datenschutzrechtlichen Einwilligung noch die Folgen des Widerrufs einer Einwilligung regelt.

Rechtsnatur der Verträge – Sache der Mitgliedstaaten

Interessant ist zudem auch der Hinweis der Mitgliedstaaten in ihrer Allgemeinen Ausrichtung darauf, dass zu einem späteren Zeitpunkt in einem Erwägungsgrund der Richtlinie geregelt werden soll, dass in der Richtlinie nicht die Rechtsnatur der Verträge für die Bereitstellung digitaler Inhalte oder digitaler Dienstleistung geregelt wird und dass die Frage, ob derartige Verträge etwa Kaufverträge, Dienstleistungsverträge oder Mietverträge sind, Sache des nationalen Rechts der Mitgliedstaaten ist.

Kaum beachtet: Bundestag beschließt Anpassungen vieler Spezialgesetze an die Datenschutz-Grundverordnung

In den letzten Monaten wurde öffentlich vor allen Dingen über die Anpassung des nationalen Datenschutzrechts an die Datenschutz-Grundverordnung im Zuge der Schaffung eines neuen BDSG berichtet und diskutiert. Relativ geräuschlos hat der Bundestag jedoch zudem am 1. Juni über einen Änderungsantrag (BT Drs. 18/12611, pdf) von CDU/CSU und SPD im Ausschuss für Arbeit und Soziales abgestimmt und weitreichende Änderungen in vielen Spezialgesetzen zur Anpassung bestehender gesetzlicher Vorgaben an die Datenschutz-Grundverordnung beschlossen.

Die durch den Änderungsantrag betroffenen Gesetze sind die folgenden:

  • Handelsgesetzbuch
  • Genossenschaftsgesetz
  • Patentgesetz
  • Gebrauchsmustergesetz
  • Markengesetz
  • Halbleiterschutzgesetz
  • Urheberrechtsgesetz
  • Verwertungsgesellschaftengesetz
  • Designgesetz
  • Finanzverwaltungsgesetz
  • Abgabenordnung
  • Zehntes Buch Sozialgesetzbuch

Insbesondere werden durch die Änderungen die Betroffenenrechte in den Artikel 12 – 22 Datenschutz-Grundverordnung beschränkt. Diesbezüglich ausdrücklich festzustellen, dass der deutsche Gesetzgeber nach Artikel 23 Datenschutz Grundverordnung zu einer solchen Beschränkung befugt ist. Die jeweilige Beschränkung muss aber der Sicherstellung eines der in Artikel 23 Abs.1 lit) a bis j) Datenschutz-Grundverordnung genannten Schutzzwecke dienen. Ob die nun beschlossenen Gesetzesänderungen in Gänze den die Vorgaben der Datenschutz-Grundverordnung erfüllen, wird sich erst in Zukunft zeigen. Viele der Änderungen betreffen insbesondere öffentliche Register, in denen personenbezogene Daten enthalten sein können. In diesen Fällen betreffen viele der nun beschlossenen Änderungen die Beschränkung des Auskunftsrechts betroffener Personen.

Die nun durch den Bundestag verabschiedeten Anpassungen sind aber nur ein kleiner Ausschnitt jener spezialgesetzlicher Regelungen in Deutschland, die aufgrund der Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 geprüft und ggf. angepasst werden müssen.

Entwurf zur ePrivacy-Verordnung: Bundesratsausschüsse fordern grundsätzliche Überprüfung und Nachbesserung

 

Im Januar 2017 hat die Europäische Kommission ihren Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) veröffentlicht. Mit der neuen ePrivacy-VO soll die geltende ePrivacy-Richtlinie ersetzt werden. Zudem sollen die Regelungen zum Schutz der Privatsphäre im Bereich der elektronischen Kommunikation an die Vorgaben der Datenschutz-Grundverordnung angeglichen und darauf abgestimmt werden.

 

Am 22.5.2017 haben der Ausschuss für Agrarpolitik und Verbraucherschutz, der Ausschuss für Innere Angelegenheiten,
der Rechtsausschuss und
der Wirtschaftsausschuss des Bundesrates ihre Empfehlungen (PDF) zu dem Verordnungsentwurf abgegeben.

 

Im Bundesrat wird der Vorschlag zu ePrivacy-VO am 2.6.2017 im Plenum behandelt und über die Ausschussempfehlungen beraten. Nachfolgend möchte ich einige der immerhin 24 seitigen Empfehlungen der Ausschüsse näher beleuchten:

 

Grundsätzlich begrüßen die Ausschüsse, dass in der Union einfache und klare Regelungen zum Umgang mit personenbezogenen Daten geschaffen werden sollen. Auch wird die Zielsetzung des Verordnungsvorschlags begrüßt, ein hohes Niveau des Schutzes der Privatsphäre für die Nutzerinnen und Nutzer elektronischer Kommunikationsdienste zu schaffen.

 

Jedoch machen die Ausschüsse auch sehr deutlich, dass sie ganz generelle Vorbehalte gegen den Entwurf haben:

 

 Der Bundesrat hält gleichwohl eine grundsätzliche Überprüfung und Nachbesserung des Verordnungsvorschlags auch unter Inkaufnahme von Verzögerungen des Rechtsetzungsverfahrens für unerlässlich, um neben Detailmängeln grundsätzliche Defizite bei der Abgrenzung des Rechtsaktes zur Datenschutz-Grundverordnung, dem notwendigen Ausgleich zwischen dem Schutz der elektronischen Kommunikation und Sicherheitsbelangen sowie der Ausgestaltung des Aufsichtsregimes zu beheben.

 

Abgrenzung zum Anwendungsbereich der Datenschutz-Grundverordnung

 

Nach Auffassung der Ausschüsse ist es erforderlich, den Fortbestand besonderer Regelungen für den Schutz personenbezogener Daten im Rahmen der ePrivacy-VO bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste angesichts des durch die Datenschutz-Grundverordnung geschaffenen umfassenden Rechtsrahmens kritisch zu hinterfragen.

 

Diesbezüglich werden die Ausschüsse dann noch konkreter. Insbesondere sehen sie diese Anforderungen bei den Regelungen des Kapitels II der ePrivacy-VO nicht erfüllt und bitten die Bundesregierung deshalb,

 

sich für eine grundlegende Überarbeitung des Verordnungsvorschlags einzusetzen.

 

Insbesondere halten die Ausschüsse eine umfassende und regelungsspezifische Überarbeitung der Abgrenzung zwischen den allgemeinen Anforderungen der Datenschutz-Grundverordnung und den besonderen Anforderungen des Verordnungsvorschlags als deren Präzisierung und Ergänzung für unerlässlich.

 

Zudem weisen die Ausschüsse auf Widersprüche zu den Vorgaben der Datenschutz-Grundverordnung hin. Nach Auffassung der Ausschüsse lässt die Mehrzahl der Regelungen für Telekommunikationsdienste nicht erkennen, inwieweit sie im Fall personenbezogener Daten die Datenschutz-Grundverordnung als lex specialis verdrängen oder von dieser weiterhin ergänzt werden.

 

Dies führt die Empfehlung der Ausschüsse an einem praxisrelevanten Beispiel aus: Regelungen wie die Anforderungen an “Unerbetene Kommunikation” (Art. 16 ePrivacy-VO; also insbesondere werbende Ansprachen) führen nach Ansicht der Ausschüsse statt zu einer Ergänzung zu einer Aushöhlung der Regelungen der Datenschutz-Grundverordnung für Direktwerbung im Online- Bereich. Denn durch Art. 16 ePrivacy-VO wird der Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung und das spezifische Widerspruchsrecht nach Art. 21 Abs. 2 Datenschutz-Grundverordnung durch ein Einwilligungserfordernis ersetzt, das aber etwa nicht auf automatisierte Anrufsysteme beschränkt ist.

 

Anwendungsbereich

 

Kritisch äußern sich die Ausschüsse auch zum sachlichen Anwendungsbereich. Dieser soll, anknüpfend an das Marktortprinzip der Datenschutz-Grundverordnung, angepasst werden, da Art. 3 Abs. 1 der ePrivacy-VO diesen vorrangig im Hinblick auf Kommunikationsdienste und Endeinrichtungen bestimmt, aber andere verpflichtete Stellen (zum Beispiel Softwareanbieter oder Betreiber öffentlich zugänglicher Verzeichnisse) ausspart.

 

Die ePrivacy-VO soll als Neuerung auch auf elektronische Kommunikation Anwendung finden, die nicht nur zwischen natürlichen Personen stattfindet, sondern auch zwischen juristischen Personen und Maschinen (M2M-Kommunikation) erfolgt. Nach Ansicht der Ausschüsse könnte dies Geschäftsmodelle und Unternehmen im Rahmen von vernetzten Fahrzeugen, automatisierten Lieferketten oder Fuhrparklösungen, unter anderem in der Automobilindustrie und der Logistikbranche, betreffen. Vor diesem Hintergrund fordern die Ausschüsse die Prüfung, ob diese Ausdehnung des Anwendungsbereichs der ePrivacy-VO auf die Übermittlung von M2M-Kommunikation zielführend ist oder

 

ob dadurch heute gängige Abläufe in der europäischen Wirtschaft in Frage gestellt und Spielräume für Innovationen im Bereich Industrie 4.0, dem Internet der Dinge sowie in anderen neuen Geschäftsfeldern zu stark eingeschränkt werden.

 

Tracking

 

Auch dem Thema des On- und Offline-Trackings widmen sich die Ausschüsse. Ihrer Auffassung nach stellen werbefinanzierte Angebote einen integralen Bestandteil der Internetwirtschaft dar. Analysen des Nutzerverhaltens auf Webseiten oder in Apps werden gerade bei mittelständischen Unternehmen häufig durch Dritte (so genannte Third-Party- Cookies) durchgeführt. Die Ausschüsse kritisieren, dass Beschränkungen beim Einsatz von Datenanalysemechanismen künftig dazu führen könnten, dass gerade der Mittelstand auf dem Gebiet der Onlineplattformen massive Wettbewerbsnachteile erleidet.

 

Als Folge fordern die Ausschüsse, dass die Vorschrift des Art. 8 Abs. 1 lit. d) ePrivacy-VO auch auf den Einsatz von Third-Party-Cookies ausgedehnt wird. Dies würde bedeuten, dass keine Einwilligung der betroffenen Nutzer eingeholt werden muss, wie dies derzeit im Vorschlag für den Einsatz von Technologien zur Analyse der Kunden- und Besucherströme vorgesehen ist.

 

Unerbetene Kommunikation

Natürlich befassen sich die Ausschüsse auch mit den Vorgaben zur unerbetenen Kommunikation, also etwa der E-Mail-Werbung und Newslettern. Hier verlangen die Ausschüsse, dass jedenfalls die elektronische Kommunikation im Rahmen eines bestehenden Vertrags (Beispiele: Übermittlung von Rechnungen, Mahnungen, Rückfragen, Zusatzinformationen oder Verbrauchs- oder Messdaten bei Serviceverträgen) oder einer laufenden Kundenbeziehung, weiter uneingeschränkt möglich sein muss und diese Kommunikation gerade nicht unter den Begriff der “unerwünschten Kommunikation” (Art. 16 ePrivacy-VO) fällt.

Aktueller Stand der geplanten ePrivacy-Verordnung: Mitgliedstaaten sehen viele offene Fragen

Im Januar 2017 hat die Europäische Kommission den Entwurf für eine neue Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation), pdf) veröffentlicht (zu dem ersten Leak des Entwurfs im Dezember 2016, hier mein Beitrag).

Die Verordnung (ePrivacy-VO) soll die geltende Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG in der Fassung durch RL 2009/136/EG) ersetzen, zum Teil neue Regelungen schaffen und inhaltlich mit der Datenschutz-Grundverordnung abstimmen. Grundsätzlich soll diese neue Verordnung zum 25. Mai 2018 anwendbar sein. Ein sehr ambitioniertes Vorhaben.

Der Entwurf wird nun von dem Europäischen Parlament und auch dem Rat der Europäischen Union begutachtet und jeweils eigene Stellungnahmen und Änderungswünsche erarbeitet. Im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres im Europäischen Parlament ist die Abstimmung derzeit zunächst für Oktober 2017 geplant.

Auch der Rat (also die Mitgliedstaaten) befasst sich mit dem Entwurf, dort insbesondere in einer eigenen Arbeitsgruppe für Telekommunikation und Informationsdienste (WP TELE). In dieser Gruppe wurden bisher die Artikel 1 – 8 (von insgesamt 29) des Entwurfs näher besprochen. Hier liegt also noch einiges an Arbeit vor der Arbeitsgruppe.

Doch bereits zum aktuellen Zeitpunkt der Beratungen lassen sich mehrere kritische Themen identifizieren, bei denen die Mitgliedstaaten Diskussions- und ggf. Anpassungsbedarf sehen. Über diesen aktuellen Stand hat nun die Ratspräsidentschaft in einem Bericht (pdf) vom 19. Mai 2017 informiert.

So wird etwa die geplante Zuständigkeit der nationalen Datenschutzbehörden für die Überwachung der Regeln der ePrivacy-VO und deren Durchsetzung kritisch gesehen. Insbesondere sei dies nach Auffassung einiger Mitgliedstaaten nicht unbedingt der passende Weg, um das Problem der uneinheitlichen Durchsetzung der Regelungen in Europa zu lösen.

Zwar wurden die Ziele des Entwurfs in der WP TELE grundsätzlich positiv bewertet, insbesondere ein hohes Schutzniveau für die Privatsphäre zu garantieren. Jede erfordere die angedachte Form der EU-Verordnung einen höheren Detailgrad der Regelungen (als im Fall einer Richtlinie). Aus diesem Grund halten Delegationen der Mitgliedstaaten den angedachten Zeitpunkt der Anwendbarkeit am 25. Mai 2018 daher auch für schlicht unrealistisch.

Zudem besteht aus Sicht der Mitgliedstaaten Klärungsbedarf bei dem Verhältnis und Zusammenspiel der Regelungen mit anderem europäischen Recht, insbesondere der Datenschutz-Grundverordnung.

Ganz konkret kritisieren Delegationen auch den sachlichen Anwendungsbereich der ePrivacy-VO. Die Ausweitung auf over-the-top-Dienste (OTT) erfordere weitere Klärung. Auch existieren offene Fragen mit Blick auf die Ausweitung des Anwendungsbereichs auf die Maschine-Maschine-Kommunikation.

Hier lässt sich bereits erkennen, dass die Kritik der Delegationen im Rat teilweise schon bei den ganz grundsätzlichen Regelungen und Neuerungen (etwa Einbeziehung der OTT Dienste) ansetzt.

Auch die Vorschriften zu den Erlaubnistatbeständen, wann also Kommunikationsdaten verarbeitet werden dürfen, sehen manche Delegationen also zu eng an und fordern mehr Möglichkeiten und Flexibilität.

Auch das Thema „Cookies“ wird von den Mitgliedstaaten analysiert und die Regelungen im Entwurf kritisiert. Einige Delegationen fordern genauere Bestimmungen zu den Ausnahmen vom generellen Verbot der Datenverarbeitung über Cookies und auch das Gerätetracking. Hier soll über eine Liste mit weiteren Ausnahmen (auch von der Einwilligung der Nutzer) nachgedacht werden.

EuGH-Urteil zur Datenverarbeitung auf der Grundlage berechtigter Interessen

Am 4. Mai 2017 hat der EuGH sein Urteil in der Rechtssache C-13/16 (Rigas) gefällt. Das Urteil selbst würde ich nicht als „datenschutzrechtlichen Knaller“ bezeichnen. Weitaus unterhaltsamer und bestimmt auch streitbarer sind die Schlussanträge des Generalanwalts aus Februar 2017, auf die ich schon einmal auf Twitter hingewiesen hatte.

In seinen Schlussanträgen nimmt sich Generalanwalt Bobek die Zeit für ein „Nachwort zum Datenschutz“ (ab Rz. 91), das er damit einleitet, dass es sich vorliegend „um einen etwas sonderbaren Fall“ handelt. Und:

Der Fall erzeugt nicht nur beim uninformierten Betrachter ein gewisses gedankliches Unwohlsein mit Blick auf die angemessene Anwendung und das vernünftige Wirken von Datenschutzvorschriften.

Zudem geht der Generalanwalt auch detaillierter auf den hier interessierenden Erlaubnistatbestand der Interessenabwägung (Art. 7 lit. f) EU-Datenschutzrichtlinie) ein (ab Rz. 60). Nun aber zurück zum Urteil des EuGH.

Das Gericht befasst sich mit der Frage, wie Art. 7 lit. f) EU-Datenschutzrichtlinie auszulegen und anzuwenden ist. Danach ist die Verarbeitung personenbezogener Daten zulässig, wenn die Verarbeitung erforderlich ist zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Art. 1 Abs. 1 EU-Datenschutzrichtlinie geschützt sind, überwiegen.

Zunächst stellt der EuGH fest, dass nach Art. 7 lit. f) EU-Datenschutzrichtlinie eine Verarbeitung personenbezogener Daten unter drei kumulativen Voraussetzungen zulässig ist:

  • berechtigtes Interesse, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden (1),
  • Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses (2) und
  • kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person (3).

Im Hinblick auf die erste Voraussetzung stellt der EuGH fest, dass „kein Zweifel daran besteht“, dass das Interesse eines Dritten, eine persönliche Information über eine Person zu erlangen, die sein Eigentum verletzt hat, um gegen sie eine Schadensersatzklage zu erheben, berechtigt ist.

Mit Blick auf die zweite Voraussetzung, die Erforderlichkeit, geht der EuGH als Grundsatz davon aus, dass sich jegliche Ausnahmen und auch Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten stets auf das absolut Notwendige beschränken müssen. In der Praxis muss sich eine datenverarbeitende Stelle also die Frage stellen, ob es (für das Grundrecht auf Schutz personenbezogener Daten) weniger einschneidende aber ebenso effektive Möglichkeiten gibt, um das Ziel zu erreichen bzw. einen bestimmten Zweck zu erfüllen.

Bei der letzten Voraussetzung (der Interessenabwägung) ist von Bedeutung, dass sich schematische oder standardisierte Vorgaben praktisch verbieten. Der EuGH stellt vielmehr zu recht fest, dass die Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen grundsätzlich von den konkreten Umständen des betreffenden Einzelfalls abhängt. Ein möglicher Faktor ist etwa die Beeinträchtigung der Grundrechte der Betroffenen in unterschiedlicher Intensität, je nachdem, ob die in Rede stehenden Daten z. B. öffentlich zugänglich sind oder nicht.

Die Auslegung des EuGH ist, wie bereits erwähnt, nicht absolut überraschend. Die Ausführungen des EuGH zu Art. 7 lit. f) EU-Datenschutzrichtlinie lassen sich auch auf die zukünftige Auslegung und Anwendung des Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung übertragen.