Wichtiges Urteil des Europäischen Gerichtshofs: Mehr Datennutzungsmöglichkeiten für Webseiten- und App-Betreiber

Der Europäische Gerichtshof (EuGH) hat mit seinem heutigen Urteil in der Rechtssache C-582/14 die datenschutzrechtlichen Vorschriften des deutschen Telemediengesetzes (TMG) dem Grunde nach für mit den europarechtlichen Vorgaben (insbesondere Art. 7 lit. f) der Datenschutzrichtlinie) unvereinbar erklärt. Die Folge ist, dass die relativ strikten Voraussetzungen für eine Verarbeitung personenbezogener Daten bei der Bereitstellung eines Telemediendienstes (also etwa einer App oder einer Webseite) nach den §§ 14 und 15 TMG im Lichte dieses Urteils interpretiert und erweitert werden müssen.

Im Ergebnis bedeutet dies, dass Diensteanbieter personenbezogene Daten eines Nutzers nun nicht mehr nur dann verarbeiten dürfen, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses erforderlich sind (§ 14 Abs. 1 TMG) oder nur erheben und verwenden dürfen, soweit dies erforderlich ist, um die Inanspruchnahme der App oder Webseite zu ermöglichen (§ 15 Abs. 1 TMG).

Bereits der Generalanwalt hatte in seinen Schlussanträgen vom 12. Mai 2016 die Auffassung vertreten, dass § 15 TMG nicht mit den europäischen Vorgaben des Art. 7 lit. f) Datenschutzrichtlinie vereinbar ist. § 15 TMG stelle zwar keine zusätzliche Bedingung für die Rechtmäßigkeit einer Datenverarbeitung auf. Er schränkt aber, die Bedingung des Art. 7 lit. f) Datenschutzrichtlinie ein.  Nach dieser Vorschrift ist eine Verarbeitung personenbezogener Daten auch dann zulässig, wenn die Verarbeitung

zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden,

erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Das Problem der Regelungen sowohl in dem durch das Gericht begutachteten § 15 Abs. 1 TMG als auch etwa in § 14 TMG ist, dass diese Vorschriften eine Verarbeitung personenbezogener Daten nur zu konkret bestimmten und durch den Gesetzgeber festgelegten Zwecken ermöglichen. Durch die so vorgeschriebenen eng begrenzten Verarbeitungsmöglichkeiten im Rahmen des TMG schneidet der deutsche Gesetzgeber jedoch die Möglichkeit für verantwortliche Stellen ab, personenbezogenen Daten entsprechend der europarechtlichen Vorgabe des Art. 7 lit. f) Datenschutzrichtlinie auf der Grundlage einer Interessenabwägung zu verarbeiten. Man könnte es auch mit den Worten des Generalanwalts in seinen Schlussanträgen sagen: „§ 15 TMG verkleinert im Vergleich zu Art. 7 Buchst. f der Richtlinie 95/46 den Umfang des berechtigten Interesses, das die Verarbeitung von Daten rechtfertigen kann, erheblich“.

Nach dem Urteil des EuGH ist eine nationale Vorschrift, die die Berücksichtigung berechtigter Interessen der Daten verarbeitenden Stelle nicht zulässt, jedoch mit den Vorgaben der europäischen Datenschutzrichtlinie nicht vereinbar.

Nach dem EuGH (Rz. 62) hindert Art. 7 lit. f) Datenschutzrichtlinie einen Mitgliedstaat daran,

kategorisch und ganz allgemein die Verarbeitung bestimmter Kategorien personenbezogener Daten auszuschließen, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen.

In keinem der §§ 14, 15 TMG gestattet der deutsche Gesetzgeber jedoch eine Interessenabwägung entsprechend den europarechtlichen Vorgaben. Aus diesem Grund ist meines Erachtens das Urteil, obwohl es „nur“ mit Blick auf Paragraf 15 Abs. 1 TMG ergangen ist, auch im Rahmen der übrigen Absätze des § 15 TMG und auch des § 14 TMG zu berücksichtigen, soweit es sich dort um Vorschriften handelt, die die europarechtlich vorgegebene Interessenabwägung vorwegnehmen und einschränken.

In der Praxis bedeutet dies für Webseiten- und App-Betreiber, dass sie personenbezogene Daten von ihren Nutzern auch dann verarbeiten dürfen, wenn diese Verarbeitung der Verwirklichung eines berechtigten Interesses dient, und keine schutzwürdigen Interessen oder Grundrechte der Nutzer überwiegen („überwiegen“, nicht: „entgegenstehen“). Eine solche Regelung findet sich derzeit etwa in § 28 Abs. 1 S. 1 Nr. 2 BDSG. In Zukunft ist man meiner Meinung nach im Anwendungsbereich des TMG also nicht mehr darauf beschränkt, personenbezogene Daten etwa nur dann zu verarbeiten, soweit dies für die Inanspruchnahme des jeweiligen Dienstes erforderlich ist. Im Ergebnis werden daher die Datennutzungsmöglichkeiten für Webseiten- und App-Betreiber im Vergleich zur jetzigen Rechtslage erweitert. Man mag den Begriff des „berechtigten Interesses“ durchaus als schwammig oder zu unbestimmt verstehen. Jedoch bietet er andererseits gerade für die Praxis die erforderliche Flexibilität, um auch neue Arten von Verarbeitungstätigkeiten zu erfassen. Zudem muss man schlicht konstatieren, dass eine Verarbeitung auf der Grundlage berechtigter Interessen europarechtlich vorgegeben und zulässig ist.

Zuletzt stellte EuGH in seinem Urteil auch ausdrücklich klar, dass ein solches berechtigtes Interesse die Aufrechterhaltung der Funktionsfähigkeit von Webseiten ist und damit eine Speicherung von IP-Adressen zu diesem Zwecke, auch über den jeweiligen konkreten Nutzungsvorgang hinaus, gestattet. Hinzuweisen ist darauf, dass der EuGH sich hier nicht mit weiteren Beispielen für „berechtigte Interessen“ befassen musste, dass in der Vorlagefrage tatsächlich allein um die Aufrechterhaltung der Funktionsfähigkeit einer Webseite ging.

Noch ein letzter Hinweis: berechtigte Interessen sind übrigens anerkanntermaßen auch „Zwecke der Direktwerbung“, wie es nun ausdrücklich in Erwägungsgrund 47 der bereits in Kraft getretenen aber noch nicht anwendbaren Datenschutz-Grundverordnung steht.

European Commission: Current adequacy decisions and the decisions on standard contractual clauses are illegal

At the end of September I reported in my blog that the European Commission is currently working on two draft Commission Implementing Decisions amending the existing adequacy decisions (on the level of protection in certain third countries) and the decisions on standard contractual clauses (EU Model Clauses). The so-called Art. 31 Committee (composed of representatives of the Member States) discussed these drafts on 3 October 2016.

A summary record of this meeting has now been published (txt).

According to this summary, the Commissions’ drafts refer in particular to the amendment of the existing decisions in order to remove any restriction and limitations on the powers of national supervisory authorities, as I have already suggested in the blog contribution at the time.

The European Court of Justice in its Schrems ruling invalidating Safe Harbor declared that such a restriction was inadmissible and that the Commission exceeded its powers.

However, the Commission’s finding at the meeting of 3 October is likely to be particularly explosive, in view of the fact that the decisions currently in place are illegal. According to the summary record, the European Commission

explained that the purpose of both draft decisions is to cure the illegality that follows from the findings in the Court of Justice’s Schrems ruling.

This conclusion should not necessarily come as a surprise to many observers. However, it is at least interesting to see that it is published in a minutes of the meeting as a statement by the European Commission.

Apparently, certain delegations were not yet ready to take a decision and asked to be given more time. It was therefore decided to convene a further meeting in the coming weeks. In the meantime, the Article 29 Working Party (the assembly of the European Data Protection Authorities) will be asked to present its views on the two draft decisions.

Europäische Kommission: Geltende Angemessenheitsbeschlüsse und Standardvertragsklauseln sind rechtswidrig

Ende September hatte ich hier im Blog berichtet, dass die Europäische Kommission derzeit an Entwürfen für zwei Beschlüsse zur Anpassung der den derzeit geltenden EU-Standardvertragsklauseln zugrunde liegenden Entscheidungen und Angemessenheitsbeschlüsse hinsichtlich des Schutzniveaus in bestimmten Drittstaaten. In dem sogenannten Art. 31 Ausschuss (der sich aus Vertretern der Mitgliedstaaten zusammensetzt und zuletzt etwa über den Beschluss zum EU-US Datenschutzschild abgestimmt hat) hat man am 3. Oktober 2016 über diese Entwürfe beraten.

Eine Zusammenfassung der Sitzung wurde nun veröffentlicht (txt).

Aus dieser Zusammenfassung geht hervor, dass, wie von mir bereits im damaligen Blogbeitrag vermutet, die Entwürfe der Kommission sich insbesondere auf die Anpassung der existierenden Beschlüsse hinsichtlich der Befugnisse der Datenschutzaufsichtsbehörden beziehen. Jegliche Beschränkung der Befugnisse der Aufsichtsbehörden soll durch die beiden neuen Entwürfe gestrichen werden. Eine solche Beschränkung hatte nämlich der europäische Gerichtshof in seinem Urteil zu Safe Harbor für unzulässig erklärt.

Von besonderer Brisanz dürfte jedoch die Feststellung der Kommission in der Sitzung vom 3. Oktober sein, dass ihrer Auffassung nach die derzeit existierenden Beschlüsse, sowohl hinsichtlich der Angemessenheitsentscheidungen für Drittländer als auch hinsichtlich der EU-Standardvertragsklauseln, rechtswidrig sind.

It explained that the purpose of both draft decisions is to cure the illegality that follows from the findings in the Court of Justice’s Schrems ruling.

Diese Schlussfolgerung dürfte nun für viele Beobachter nicht unbedingt überraschend kommen. Dass sie jedoch tatsächlich so öffentlich in einem Protokoll zur Sitzung als Aussage der Kommission festgehalten wird, finde ich zumindest interessant. Zudem geht aus dem Protokoll zur Sitzung hervor, dass einige der anwesenden Mitgliedstaaten die beiden Entwürfe für neue Beschlüsse positiv bewerteten. Jedoch seien andere Mitgliedstaaten aktuell nicht in der Lage gewesen, eine Entscheidung hinsichtlich der vorgelegten Beschlussentwürfe zu treffen und baten um eine Vertagung. Nun soll die Art. 29 Datenschutzgruppe (die Vertreter der europäischen Datenschutzbehörden) um eine Stellungnahme zu den Entwürfen gebeten werden.

Hessischer Datenschutzbeauftragter zu Pokémon Go: Nutzer ist darüber informiert, was mit seinen Daten geschieht

Im Rahmen der Antwort auf eine kleine Anfrage (Drs. 19/3658, pdf) im Hessischen Landtag zu dem Dienst Pokémon Go und mit dessen Einsatz einhergehenden datenschutzrechtlichen Fragen, hat auch der Hessische Landesdatenschutzbeauftragte eine Stellungnahme abgegeben.

Der Landesdatenschutzbeauftragte vertritt eine andere Auffassung als der Verbraucherzentrale Bundesverband e.V., der den Entwickler der Pokémon Go-App, das Unternehmen Niantic Inc., unter anderem wegen angeblicher Verstöße der Datenschutzbestimmungen des Dienstes gegen deutsches Datenschutzrecht, um Juli 2016 abgemahnt hatte.

Der Hessische Datenschutzbeauftragte geht davon aus, dass die datenschutzrechtlich verantwortliche Stelle für die Datenverarbeitung im Rahmen der Smartphone-App “Pokemon GO” die Niantic Inc. mit Sitz in den USA ist. Ein Transfer von einer deutschen bzw. europäischen datenschutzrechtlich verantwortlichen Stelle in einen Drittstaat (USA) finde hingegen nicht statt. Vielmehr werden die Daten mit Einwilligung des Nutzers direkt durch ein US-Amerikanisches Unternehmen erhoben und verarbeitet

Da Niantic Inc., soweit ersichtlich, weder in Deutschland noch in der EU eine Niederlassung habe, unterliege das Unternehmen auch nicht der Kontrolle des Hessischen Datenschutzbeauftragten.

Der Landesbeauftragte führt weiter aus, dass die Datenschutzbestimmungen der “Pokemon GO”-App relativ umfangreich sind und in verhältnismäßig transparenter Form die Datenverarbeitung  bei  der  Nutzung der App erläutern.

Der Nutzer ist darüber informiert, was mit seinen Daten geschieht.

Zudem führt der Landesdatenschutzbeauftragte aus, dass Spieler die Wahl haben, ob sie die Kamera einschalten wollen oder nicht. Für das Abspeichern eines Pokemonfotos im Speicher des Smartphones und das Teilen mit anderen bestehe kein höheres Risiko als bei sonst erstellten und übermittelten Fotos.

International Data Transfers: EU Commission prepares adaptation of all existing adequacy decisions

The European Commission is currently in the process of adaptation of existing decisions on the admissibility of transfers of personal data to countries outside the European Economic Area (so-called third countries). This follows from the agenda (txt) of the Article 31 Committee pursuant to Article 31 of the Data Protection Directive 95/46/EC for its meeting on October 3, 2016.

The European Commission is planning a formal decision adapting Decision 2001/497/EC on standard contractual clauses for the transfer of personal data to controllers in third countries and a decision adapting Decision 2010/87/EC on standard contractual clauses for transfer of personal data to processors established in third countries.

In addition, all existing adequacy decisions for the level of data protection in certain third countries shall be adapted. An overview of the current adequacy decisions can be found here.

The now planned adjustments by the European Commission are the consequence of the judgment of the European Court of Justice repealing the Safe Harbor Decision (C-362/14, Schrems). The actual content of the proposed amendments is however not publicly available. The two proposed decisions of the European Commission are not accessible. However, if one considers the judgment of the European Court of Justice, the proposed changes might in particular address the powers of national data protection authorities, which may not be restricted by decisions of the European Commission.

Internationale Datentransfers: Europäische Kommission bereitet Anpassung aller geltenden Beschlüsse vor

Die Europäische Kommission befindet sich derzeit im Prozess der Anpassung von allen existierenden Beschlüssen zur Zulässigkeit der Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraumes (sogenannte Drittstaaten). Dies geht aus der Tagesordnung (txt) des Ausschusses nach Artikel 31 der Datenschutzrichtlinie 95/46/EG für die Sitzung am 3. Oktober 2016 hervor.

Demnach plant die Europäische Kommission sowohl einen offiziellen Beschluss zur Anpassung der Entscheidung 2001/497/EG für Standardvertragsklauseln zur Übermittlung personenbezogener Daten an verantwortliche Stellen in Drittstaaten sowie einen Beschluss zur Anpassung der Entscheidung 2010/87/EG für Standardvertragsklauseln zu Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittstaaten.

Daneben sollen alle existierenden Angemessenheitsbeschlüsse für das Datenschutzniveau in bestimmten Drittstaaten angepasst werden. Eine Übersicht dieser Angemessenheitsbeschlüsse findet sich hier.

Die nun vorgesehenen Anpassungen durch die Europäische Kommission wurden aufgrund des Urteils des Europäischen Gerichtshofs zur Aufhebung der Safe Harbor-Entscheidung (C-362/14, Schrems) erforderlich. Welche Änderungen konkret vorgesehen sind, lässt sich jedoch leider der nun veröffentlichten Tagesordnung nicht entnehmen. Die beiden vorgeschlagenen Beschlüsse der Europäischen Kommission sind nicht veröffentlicht. Es dürfte jedoch, betrachtet man das Urteil des Europäischen Gerichtshofs, insbesondere um die Befugnisse der nationalen Aufsichtsbehörden gehen, die durch Beschlüsse der Europäischen Kommission nicht beschränkt werden dürfen. Die Beschlüsse zu Standardvertragsklauseln und Angemessenheitsentscheidungen, die nun abgeändert werden sollen, enthalten jedoch jeweils noch gewisse Voraussetzungen dazu, wann eine nationale Aufsichtsbehörde eine Datenübermittlung in einen Drittstaat überhaupt erst untersagen darf.

In dem Ausschuss nach Artikel 31 finden sich die Vertreter der Europäischen Mitgliedstaaten zusammen. Diese müssen nun eine Stellungnahme zu den im Entwurf vorgelegten Beschlüssen der europäischen Kommission fassen.

Die Zukunft der derzeit existierenden Standardvertragsklauseln könnte zudem von dem Ausgang eines Verfahrens in Irland abhängen. Hierzu hat die irische Datenschutzaufsichtsbehörde Hintergrundinformationen veröffentlicht (hierzu mein Blogbeitrag).

Zukunft der EU-Standardvertragsklauseln: Irische Datenschutzbehörde veröffentlicht Informationen zum aktuellen Verfahren

Die irische Datenschutzbehörde hat auf ihrer Webseite Hintergrundinformationen zu einem derzeit vor dem irischen High Court anhängigen Verfahren zur Frage der Gültigkeit der EU-Standardvertragsklauseln (genauer: den zugrundeliegenden Beschlüssen der Europäischen Kommission) veröffentlicht. Hiermit möchte die Behörde über die Hintergründe des Verfahrens, an dem Maximilian Schrems und Facebook beteiligt sind, und den aktuellen Stand informieren. EU-Standardvertragsklauseln sind ein Instrument, um personenbezogene Daten in Staaten außerhalb des EWR zu übermitteln zu dürfen, die, aus Sicht des europäischen Rechts, nicht über ein angemessenes Schutzniveau für personenbezogene Daten verfügen. Die von der Kommission entwickelten Klauseln stellen ihrer Auffassung nach „ausreichende Garantien“ (Art. 26 Abs. 2 Datenschutzrichtlinie 95/46/EG) für den Schutz der Privatsphäre und der Grundrechte der betroffenen Personen dar. Anders als etwa eine Angemessenheitsentscheidung der Kommission, wie jüngst zum EU US Datenschutzschild, entfalten die Klauseln jedoch ihre Wirkung nur im Verhältnis der Parteien, die diese nutzen.

Die Aufsichtsbehörde weist darauf hin, dass Facebook und auch andere international tätige Unternehmen diese Klauseln nutzen, um personenbezogene Daten aus der EU in die USA zu übermitteln. Nach Auffassung der Behörde genügen die von der Kommission entwickelten Standardvertragsklauseln aber in drei Punkten nicht den Anforderungen europäischen Rechts.

Zum einen stünden europäischen Bürgern in den USA keine vergleichbar wirksamen Rechtsbehelfe zur Verfügung, wie sie Art. 47 der Charta der Grundrechte der Europäischen Union fordert, wenn die Daten in den USA durch staatliche Behörden für Zwecke der nationalen Sicherheit verwendet werden.

Zum anderen behandeln die Standardvertragsklauseln die Frage des wirksamen Rechtsbehelfs nicht entsprechend den Vorgaben des Europäischen Gerichtshofs, die er in seinem Urteil zur Safe Harbor-Entscheidung der Kommission (C-362/14, Schrems) aufstellte.

Zuletzt, so die Behörde, ergebe sich daraus, dass die Standardvertragsklauseln (bzw. die diesen zugrundeliegenden Beschlüssen der Kommission) selbst gegen Art. 47 der Charta verstoßen.

Entsprechend den Vorgaben des Europäischen Gerichtshofs in seinem Urteil zu Safe Harbor, habe die Aufsichtsbehörde daher die Gültigkeit der Standardvertragsklauseln vor einem irischen Gericht in Zweifel gezogen. Das Gericht könnte nun die Frage der Gültigkeit der Klauseln dem Europäischen Gerichtshof vorlegen. Wann dies genau geschieht, ist noch unklar. Derzeit befinde man sich in einer Phase des Austauschs von Meinungen und rechtlichen Ansichten zu dem Fall, der bis zum 20. Januar 2017 abgeschlossen sein soll.

Die Aufsichtsbehörde wird fortlaufend über dieses Verfahren berichten.

Google Analytics: Neuer Vertrag zur Auftragsdatenverarbeitung für deutsche Unternehmen verfügbar

Im Juni diesen Jahres informierte der Hamburger Datenschutzbeauftragte darüber, dass sich die Aufhebung der Safe Harbor Entscheidung durch den Europäischen Gerichtshof unmittelbar auf den Einsatz des Dienstes Google Analytics auswirke (hier mein Beitrag dazu). In dem ursprünglich von Google zur Verfügung gestellten Vertrag zur Auftragsdatenverarbeitung wurde nämlich in Ziffer 4.7 auf die „Safe Harbor-Vereinbarung“ verwiesen. Diese Angemessenheitsentscheidung der Europäischen Kommission konnte jedoch nach dem Urteil des Europäischen Gerichtshofs nicht mehr als Grundlage einer Datenübermittlung von personenbezogenen Daten auf Server von Google in die USA dienen. Daher wurde damals durch die Behörde auch eine Überprüfung der empfohlenen Maßnahmen eingeleitet und Gespräche mit Google geführt.

Nun hat Google für deutsche Kunden des Dienstes Google Analytics einen neuen Vertrag zur Auftragsdatenverarbeitung bereitgestellt. Dieser ist hier abrufbar (PDF). In diesem Vertrag wird in Ziffer 4.7 nun auch nicht mehr auf Safe Harbor verwiesen. Es scheint sich bei diesem Vertragsformular, welches von deutschen Webseiten- oder App-Betreibern, die Analytics einsetzen möchten, unterzeichnet werden muss, um eine mit Blick auf den seit kurzem in Kraft getretenen EU-US Datenschutzschild (Privacy Shield) angefertigte Vertragsversion zu handeln. Der Titel des Dokuments wird als “(Privacy Shield version)” bezeichnet.

Das passt. Denn seit dem 22. September 2016 ist die Google Inc. auch offiziell unter dem EU-US Datenschutzschild zertifiziert. Unternehmen, die den Dienst Google Analytics einsetzen möchten, können sich für eine Übermittlung personenbezogener Daten an Google in den USA daher nun auf die Teilnahme des US-Unternehmens an dem Datenschutzschild berufen (vgl. auch die Information in der Datenschutzerklärung von Google).

Allein die Zertifizierung von Google unter dem Datenschutzschild reicht jedoch noch nicht aus, damit personenbezogene Daten zulässigerweise auf dieser Grundlage in die USA übermittelt werden dürfen. Erforderlich ist zudem, dass das jeweilige deutsche Unternehmen ein Vertrag zur Auftragsdatenverarbeitung mit Google abschließt (vgl. auch Anhang II, III. Zusatzgrundsätze, Ziffer 10 a. i. des Beschlusses zum Datenschutzschild). Diese Auffassung haben auch bisher die deutschen Datenschutzbehörden zu Safe Harbor vertreten und die Landesdatenschutzbeauftragte in Nordrhein-Westfalen hat erst kürzlich einen Leitfaden zur Anwendung des Datenschutzschildes veröffentlicht, in dem diese Auffassung bestätigt wurde (mein Beitrag dazu hier). Hierüber informiert Google auch in den Google Analytics Bedingungen. Neben dem Abschluss dieses Vertrages zur Auftragsdatenverarbeitung muss insbesondere darauf geachtet werden, in der eigenen Datenschutzerklärung auf den Einsatz des Dienstes hinzuweisen, eine Widerspruchsmöglichkeit bereitzustellen und durch entsprechende Einstellungen im Google-Analytics-Programmcode die Kürzung von IP-Adressen in Auftrag zu geben (Funktion „_anonymizeIp()). Vielleicht gibt es in näherer Zukunft auch noch eine offizielle Information des Hamburger Datenschutzbeauftragten oder einer anderen Aufsichtsbehörde.

 

Deutscher Juristentag: Entgeltlicher Vertrag bei Datennutzung aufgrund einer Einwilligung

Gestern wurden die Beschlüsse des 71. Deutschen Juristentages veröffentlicht (PDF). Teilweise beziehen sich diese auch auf interessante Fragen des Datenschutzrechts und die umstrittene Thematik „Daten als Entgelt“. Nachfolgend möchte ich einige dieser Beschlüsse näher darstellen.

Zu der Frage, ob und wenn ja wann bei einem Austausch von Daten von einem entgeltlichen bzw. unentgeltlichen Vertrag auszugehen ist, wurden folgende Anträge abgelehnt und angenommen:

Erlangt der Anbieter Daten, die ihm vom Nutzer zur Verfügung gestellt wurden oder die er auf andere Weise erhoben hat, so ist stets von einer Gegenleistung (Entgelt) auszugehen.

Dieser Antrag wurde abgelehnt. Meines Erachtens zu Recht, da ansonsten bei jeglichem Austausch von Daten (also etwa bei Übertragung der IP-Adresse im Rahmen des Besuchs einer Webseite) von einem entgeltlichen Vertrag auszugehen wäre.

Von einem Entgelt ist nur auszugehen, wenn die Datennutzung aufgrund des Datenschutzrechts nur mit Einwilligung des Betroffenen zulässig ist.

Dieser Antrag wurde angenommen. Von einem Entgelt soll zum einen nur ausgegangen werden, wenn es sich um personenbezogene Daten handelt. Denn nur in diesem Fall bewegen wir uns im Bereich des “Datenschutzrechts”. Kritisieren kann man, dass nicht klar ist, warum eine Entgeltlichkeit nur bei Vorliegen einer Einwilligung angenommen werden sollte. Eventuell möchte man eine Abgrenzung zu einer Verarbeitung schaffen, die für die Durchführung und Abwicklung eines Vertragsverhältnisses erforderlich ist. Es existieren jedoch (neben der Einwilligung) auch andere Erlaubnistatbestände im Datenschutzrecht, die die Datennutzung als zulässig erachten, ohne dass ein Vertrag vorliegen muss. Beispielsweise bei einem Vorliegen berechtigter Interessen des Verantwortlichen. In diesem Fall würde man, dem obigen Beschluss folgend, keine Entgeltlichkeit annehmen. Zudem könnte man die Frage stellen, ob die Abhängigkeit der Entgeltlichkeit von der Einwilligung sinnvoll ist, wenn man sich überlegt, dass teilweise das Gesetz verpflichtend die Einholung einer Einwilligung vorsieht. Auch kann man die Frage stellen, was in Situationen geschieht, in denen die Datennutzung gerade nicht zulässig ist, weil die Einwilligung unwirksam ist. Liegen dann unentgeltliche Verträge vor?

Speziell zum Thema „Datenschutz“ wurden ebenfalls Beschlüsse gefasst.

„Das Inkrafttreten der Datenschutz-Grundverordnung sollte zum Anlass genommen werden, das Recht des Arbeitnehmerdatenschutzes u?ber § 32 BDSG hinaus umfassend neu zu regeln.“

Dieser Antrag wurde angenommen. Damit spricht sich der DJT für eine umfassende Neuregelung des Beschäftigtendatenschutzes aus. Der Anfang September veröffentliche Referentenentwurf für das ABDSG lässt jedoch vermuten, dass die entsprechende Öffnungsklausel in der Datenschutz-Grundverordnung nicht genutzt wird, um über die bisher bekannte Regelung des § 32 BDSG hinauszugehen.

„Das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG ist auch auf die nicht automatisierte Datenverarbeitung zu erstrecken.“

Auch dieser Antrag wurde angenommen. Insbesondere im Rahmen des Beschäftigtendatenschutzes spielt diese Vorschrift eine wichtige Rolle.

Datenschutzrechtliche Folgen des WLAN-Urteils des EuGH

Das heutige Urteil des Europäischen Gerichtshofs (C-484/14) in der Sache Mc Fadden und seine konkreten Folgen für die Haftungssituation der Anbieter von WLANs in der Öffentlichkeit, insbesondere für das im Sommer diesen Jahres überarbeitete Telemediengesetz (neuer § 8 Abs. 3 TMG), werden bereits heftig diskutiert.

Ich möchte mich nachfolgend gar nicht so sehr mit den Feststellungen des EuGH zur Haftung eines Anbieters eines WLANs befassen. Vielmehr möchte ich nachfolgend kurz auf die durch den EuGH aufgestellte Anforderung eingehen, dass ein Anbieter, wenn ein Nutzer des von ihm angebotenen offenen WLANs beispielsweise Urheberrechtsverletzungen begeht, gerichtlich dazu verpflichtet werden kann, hinreichend wirksame Maßnahmen zu ergreifen, um einen wirkungsvollen Schutz des Rechts des geistigen Eigentums sicherzustellen.

Nach Auffassung des EuGH muss eine solche Maßnahme bewirken, dass unerlaubte Zugriffe auf die Schutzgegenstände verhindert oder zumindest erschwert werden und dass die Internetnutzer, die die Dienste des WLAN-Anbieters in Anspruch nehmen, zuverlässig davon abgehalten werden, auf die Schutzgegenstände zuzugreifen (Rz. 95).

Im vorliegenden Fall entschied das Gericht, dass unter den gegebenen Umständen eine Maßnahme, die in der Sicherung des Internetanschlusses durch ein Passwort besteht, als erforderlich anzusehen ist (Rz. 99). Das vorlegende deutsche Gericht zog überhaupt nur drei mögliche Maßnahmen in Betracht; meines Erachtens ist daher auch nicht ausgeschlossen, dass andere, in diesem Verfahren nicht erwähnte Maßnahmen, ebenfalls als wirksame Alternativen angesehen werden könnten. Der EuGH verweist mehrmals ausdrücklich darauf, dass seine Prüfung vorliegend allein auf die drei durch das deutsche Gericht erwähnten Maßnahmen beschränkt ist.

Eine solche Sicherung des WLANs durch ein Passwort könnte, so der EuGH, die Nutzer dieses Anschlusses davon abschrecken, ein Urheberrecht oder verwandtes Schutzrecht zu verletzen, soweit diese Nutzer ihre Identität offenbaren müssen, um das erforderliche Passwort zu erhalten, und damit nicht anonym handeln können (Rz. 96).

Der EuGH macht die zu erzielende Abschreckungswirkung davon abhängig, dass sowohl ein Passwort vergeben werden muss und dieses zwingend von der Offenbarung der Identität der WLAN Nutzer abhängt. Das Ergebnis dieser Maßnahme muss nach dem Urteil des EuGH sein, dass die Nutzer „nicht anonym handeln können“.

Damit gestattet es der EuGH, dass WLAN Anbieter gerichtlich dazu verpflichtet werden können personenbezogenen Daten der Nutzer zur Identifizierung zu verarbeiten. Sie müssen ihre „Identität offenbaren“. Folglich wird diese Entscheidung auch datenschutzrechtliche Implikationen für die Anbieter von offenen WLANs haben. Sie können quasi dazu gezwungen werden, personenbezogene Daten zum Zweck der Identifizierung der Nutzer zu verarbeiten. Insbesondere dürfte es nach dem Urteil des EuGH nicht ausreichen, wenn etwa Pseudonyme vergeben werden können oder man sich zum Beispiel auch nur mit seinem Nachnamen anmelden könnte. Das Gericht bekräftigt mehrmals, dass der Nutzer seine Identität offenbaren müsse. Dies wird aber im Ergebnis nur möglich sein, wenn der Nutzer seinen vollen Namen und eventuell weitere personenbezogene Daten angibt.

Aus Sicht eines Anbieters eines WLAN muss sich dann unweigerlich die Frage stellen, auf der Grundlage welches Erlaubnistatbestandes die Verarbeitung entsprechender personenbezogener Daten zur Identifizierung eines Nutzers erlaubt ist.

Dabei wird sich zuallererst die Frage stellen, welches Gesetz überhaupt die einschlägigen datenschutzrechtlichen Regelungen für den Umgang mit personenbezogenen Daten in einem offenen WLAN bereithält. Man könnte zunächst freilich davon ausgehen, dass die datenschutzrechtlichen Regelungen der §§ 11 ff. TMG Anwendung finden, da es ja in dem Urteil um europäische Vorgaben gehen, welche ihre Umsetzung ebenfalls im TMG (§§ 7 und 8) finden. Hier ist jedoch zu beachten, dass die Frage, wer datenschutzrechtlich verantwortlich ist, wer also die „verantwortliche Stelle“ (§ 3 Abs. 7 BDSG) ist, zunächst einmal nach den Vorgaben des BDSG richtet. Dies auch, soweit es die datenschutzrechtlichen Regelungen des TMG betrifft.

Verantwortlich für die Datenverarbeitung (konkret die Identifizierung der Nutzer und die Vergabe eines Passwortes) wird hier in den meisten Fällen natürlich der Anbieter des WLANs sein. Wenn dieser im Rahmen einer vorgeschalteten Webseite, bevor der Nutzer in den Genuss des Zugangs zum freien Internet kommt, personenbezogene Daten, etwa zur Identifizierung erhebt und verarbeitet, dürfte die Datenverarbeitung über diese Website im Rahmen des Bereithaltens eigener Telemedien erfolgen (freilich mag man hier auch die Frage stellen, ob eine Identifizierung über eine Webseite überhaupt wirksam möglich ist). Jedoch erscheint fraglich, ob etwa der Erlaubnistatbestand des § 15 Abs. 1 TMG (also für den Umgang mit Nutzungsdaten; Bestandsdaten nach § 14 dürften nicht vorliegen, da kein Vertragsverhältnis mit dem WLAN-Anbieter besteht) die Verarbeitung personenbezogene Daten zur Identifizierung eines Nutzers gestattet. Zwar darf der Anbieter nach § 15 Abs. 1 TMG personenbezogene Daten eines Nutzers verwenden, jedoch nur soweit dies erforderlich ist, um die Inanspruchnahme des Telemediums (also etwa der vorgeschalteten Anmeldewebseite) zu ermöglichen. Man könnte jedoch wohl auch die Auffassung vertreten, dass die Verarbeitung personenbezogener Daten für eine Identifizierung des Nutzers ja nicht unbedingt erforderlich ist um die vorgeschaltete Webseite zu nutzen, sondern allein den Zweck hat um nach gelagert von dem Internetzugang profitieren zu können. Das Telemedium ist nur die Anmeldeseite, nicht der nachgelagerte Zugang zum Internet. Möglicherweise kann man sich hier nur mit der Einholung einer Einwilligung nach § 13 Abs. 2 TMG behelfen. Sollte die Identifzierung dagegen “offline” erfolgen (beispielsweise prüft der Kellner im Cafe die Ausweise), würde sich die Datenverarbeitung nach den Vorgaben des BDSG richten.

Daneben muss noch beachtet werden, dass die Anbieter von WLANs als sog. “Diensteanbieter” im Sinne des § 3 Nr. 6 b) TKG angesehen werden, da sie an der Erbringung von Telekommunikationsdiensten mitwirken. Diese Auffassung vertritt unter anderem die Bundesnetzagentur (Amtsblattmitteilung Nr. 149, 2015, PDF). Dies hat zur Folge, dass grundsätzlich auch die spezialgesetzlichen Regelungen zum Datenschutz im TKG (§§ 91 ff) Anwendung finden. Möglicherweise könnten die Informationen zum Passworte und zur Identität der Nutzer auch unter den Begriff der „Verkehrsdaten“ nach § Nr. 30 TKG fallen. Deren Verarbeitung richtet sich nach den Vorgaben des § 96 TKG.

Man wird abwarten müssen, wie sich die Folgen des Urteils in der Praxis auswirken und mit den nun aufgestellten Vorgaben des Urteils umgegangen wird. Anbieter von WLANs sollten aber in jedem Fall auch die mit diesen Vorgaben des EuGH einhergehenden datenschutzrechtlichen Folgen beachten.