Französische Datenschutzbehörde prüft Facebook – Analyse und Kritik

Posted on by

Am 8. Februar 2016 hat die französische Datenschutzbehörde (CNIL) bekannt gegeben, dass sie den Betreiber des sozialen Online-Netzwerks Facebook am 26. Januar 2016 durch ein förmliches Anschreiben dazu aufgefordert hat, mehrere Verstöße gegen das französische Datenschutzrecht innerhalb von drei Monaten abzustellen. Sollten nicht alle in dem Anschreiben (pdf; Englisch) beanstandeten Datenschutzverstöße innerhalb dieses Zeitraums abgestellt werden, so weist die Behörde darauf hin, dass es am Ende möglicherweise zu Sanktionen kommen könnte. Nachfolgend möchte ich auf einige Aspekte der Feststellung der französischen Datenschutzbehörde näher eingehen.

Anwendbares Recht

Wenig überraschend geht die Behörde zunächst davon aus, dass auf die Datenverarbeitungen des Unternehmens französisches Datenschutzrecht anwendbar sei. „Wenig überraschend“ ist dies vor allem vor dem Hintergrund, dass der EuGH in seinen beiden Entscheidungen Google Spain (C-131/12) und Weltimmo (C-230/14) den Anwendungsbereich europäischen Datenschutzrechts sehr weit ausgedehnt hat.

In der Entscheidung „Weltimmo“, die aufgrund des eine Woche später gefällten Urteil zu Safe Harbor nur wenig Beachtung fand, konkretisierte EuGH die Anforderungen an das Vorliegen einer „Niederlassung“ im Sinne des Art. 4 Abs. 1 Buchst a der Datenschutzrichtlinie (RL 95/46/EG). Meine Blogbeiträge sowohl zu dem Urteil als auch zu den entsprechenden Schlussanträgen findet man hier.

Mit dem ebenfalls für die Anwendbarkeit europäischen Datenschutzrechts relevanten Merkmal der Datenverarbeitung „im Rahmen der Tätigkeit“ eine Niederlassung, hat sich der EuGH in seinem „Google Spain“ Urteil auseinandergesetzt und auch dieses Tatbestandsmerkmal sehr weit ausgelegt.

Dem Grunde nach reicht dem Gericht für die Bejahung der Anwendbarkeit europäischen Datenschutzrechts (bzw. des jeweils nationalen Datenschutzrechts) eine untrennbare wirtschaftliche Verbundenheit zwischen der verantwortlichen Stelle und einer Niederlassung in einem Mitgliedstaat aus. Die Niederlassung muss nicht einmal selbst bei der untersuchten Datenverarbeitung mitwirken.

Vor allem stellte der EuGH auch darauf ab, dass eine nationale Niederlassung an der Generierung von Einnahmen für den Mutterkonzern beteiligt ist.

Hier stellt sich für mich die Frage, wie der Niederlassung zu beurteilen wären die überhaupt keine Einnahmen für ein Mutterkonzern in einem anderen Mitgliedstaat oder sogar außerhalb der EU generieren, sondern vielmehr nur Ausgaben produzieren. Man denke etwa an Repräsentanzen, die sich allein um die Öffentlichkeit Arbeit eines Unternehmens kümmern, zu Veranstaltungen einladen etc. da hier keine Einnahmen generiert werden, könnte man sich fragen, ob in einer solchen Situation das jeweils nationale Datenschutzrecht Anwendung findet.

Zurück zum Verfahren der französischen Datenschutzbehörde: aus einer gesamteuropäischen Betrachtungsweise lässt sich kritisch anmerken dass wir gerade in Deutschland völlig divergierende Gerichtsentscheidungen dazu haben, welches Datenschutzrecht nun konkret auf Facebook anwendbar ist (Kammergericht Berlin, Az. 5 U 42/12; Oberverwaltungsgericht Schleswig-Holstein: Az. 4 MB 10/13). Kritisieren lässt sich zudem, dass sowohl in den dortigen deutschen Verfahren, als auch jetzt im Verfahren der CNIL (zumindest soweit dies aus den veröffentlichten Dokumenten hervorgeht) ganz allgemein auf Datenverarbeitungen abgestellt wird, ohne diese einzelnen zu konkretisieren und jede Datenverarbeitung für sich zu betrachten. Meines Erachtens ist genau dieser Prüfung Schritt jedoch erforderlich. Für die Frage der Rechtmäßigkeit einer Datenverarbeitung prüft man ja auch nicht alle Datenverarbeitungen auf einmal, sondern muss sich auf jede einzelne Verarbeitung konzentrieren. Warum soll in Bezug auf die Frage des anwendbaren Datenschutzrechts etwas anderes?

Interessanterweise stellt die CNIL zudem in ihrem Schreiben fest dass sowohl die Facebook Inc. als auch Facebook Irland Ltd. gemeinsam für die Verarbeitung verantwortliche darstellen würden. Auch diese Feststellung laufend diametral zu jenen von deutschen Gerichten. Mir geht es hier vor allen Dingen darum das Problem aufzuzeigen, in dem sich international agierende Unternehmen befinden. Nimmt man die in den europäischen Mitgliedstaaten vorherrschenden verschiedenen Feststellungen von Gerichten und Datenschutzbehörden zusammen, erscheint ein recht sicheres Wirtschaften nur schwer möglich, selbst wenn man einen dementsprechenden Anspruch an seine Tätigkeiten hat (was meines Erachtens stets der Fall sein sollte).

Zuletzt möchte ich mit Blick auf die Frage des anwendbaren Datenschutzrechts noch auf die kürzlich veröffentlichte überarbeitete Stellungnahme 179 (pdf) der Art 29 Datenschutzgruppe verweisen. In dieser analysiert das Gremium die oben genannten Entscheidungen des EuGH.

Insbesondere gehen die Datenschützer darin begrüßenswerte weise auch davon aus, dass es ein Fehler wäre, wenn man die Entscheidungen des EuGH zu weit auslegen und zu dem Schluss kommen würde,  dass die Existenz jeglicher Niederlassung die nur im entferntesten mit einer Datenverarbeitung der verantwortlichen Stelle zu tun hat zur Anwendbarkeit europäischen Datenschutzrechts führen würde.

Insbesondere stellt die Art. 29 Datenschutzgruppe auch heraus, dass der EuGH in seiner “Google Spain” Entscheidung zu Begründung anführt, dass Betroffene in der EU ansonsten den durch die Datenschutzrichtlinie gewährten Schutz verlieren würden. Dieses Argument, so die Datenschützer, würde jedoch in dem Fall, in dem eine verantwortliche Stelle in einem EU Mitgliedstaat sitzt, nicht greifen. Denn in einem solchen Fall würde stets europäisches Datenschutzrecht anwendbar sein. Es käme nur auf die Frage an, welches nationale Recht.

Zuletzt noch der Hinweis auf eine weitere Feststellung der Art 29 Gruppe in ihrer neuen Stellungnahme: allein eine gesellschaftsrechtliche Verbundenheit zwischen einem Mutterunternehmen und einer Niederlassung in einem europäischen Mitgliedstaat reicht für sich betrachtet noch nicht aus, um das jeweilige Datenschutzrecht zur Anwendung zu bringen. Genau mit diesem Argument hatte jedoch das Kammergericht in Berlin das deutsche Datenschutzrecht für anwendbar erklärt.

Datenverarbeitung für Werbezwecke

Des Weiteren bemängelt die CNIL, dass Facebook personenbezogenen Daten von Mitgliedern für Werbezwecke verarbeitete und dafür keine Rechtsgrundlage vorliege. Eine vorherige Einwilligung der betroffenen Nutzer liege nicht vor. Damit kommen im Ergebnis als Grundlage der Verarbeitung nur ein Vertrag oder aber die berechtigten Interessen von Facebook in Betracht wenn die schutzwürdigen Interessen des Betroffenen nicht überwiegen würden.

Hinsichtlich einer Verarbeitung für vertragliche Zwecke stellt die CNIL fest, dass die Nutzung der Daten für Werbezwecke gerade nicht der Durchführung des Vertrages mit den Betroffenen diene. Die Datenverarbeitung sei nur einen Nebenzweck, um vertragliche Pflichten zu erfüllen. Zudem führen die französischen Datenschützer an, dass Nutzer die Möglichkeit hätten der Verarbeitung ihrer Daten für Werbezwecke zu widersprechen (opt-out). Dies würde dafür sprechen, dass sie Datenverarbeitung für Werkezwecke nicht für die Durchführung des Nutzungsvertrages mit dem Betroffenen erforderlich ist.

Hier stellt sich freilich aus Praxis sich die Frage, ob man dann als Unternehmen in Zukunft einfach vertraglich die Verarbeitung für Werbezwecke gegenüber dem Nutzer regeln und diese zum Vertragsinhalt machen sollte. Zudem würde man dann eben keine Widerspruchsmöglichkeit anbieten. Nach der Argumentation der CNIL, könnte die Datenverarbeitung dann ja eventuell zulässig sein. Auf die Frage, wie dies dann mit Vorgaben wie jener des § 28 Abs. 4 BDSG in Einklang gebracht werden kann, möchte ich hier nicht näher eingehen.

Auch lehnt die CNIL die Datenverarbeitung auf der Grundlage berechtigter Interessen von Facebook ab. Dies soll nur möglich sein, wenn Nutzer Kontrolle darüber haben, wie personenbezogene Daten genutzt werden und sie ihre Rechte effektiv ausüben können. Dies sei hier jedoch nicht gegeben.

Besondere Arten personenbezogener Daten

Im Profil bei Facebook können Nutzer unter anderem Informationen über ihre religiöse Einstellung oder auch ihre sexuelle Orientierung angeben. Bei diesen Arten von Informationen handelt es sich umso genannte besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG), deren Verarbeitung nach den gesetzlichen Vorgaben nur unter sehr eingeschränkten Voraussetzungen möglich ist.

Was man hierbei beachten sollte ist, dass Datenschutzbehörden den Begriff der besonderen Arten personenbezogenen Daten grundsätzlich sehr weit auslegen und hierunter viel mehr Informationen fallen, als vielen vielleicht bewusst ist. So geht etwa die Art. 29 Gruppe in einer Stellungnahme zur Verarbeitung von Gesundheitsdaten bei der Nutzung von Apps (pdf) davon aus, dass die Information, dass jemand einer Brille trägt ein solches besonderes Datum darstellt. Das bedeutet: ein Foto, auf dem jemand eine normale Brille trägt, würde auch unter diese Kategorie fallen. In der Stellungnahme kommen die Datenschützer der Art 29 Gruppe im Prinzip zu dem Ergebnis, dass eigentlich nur eine Einwilligung die Datenverarbeitung für solche Fälle (Apps, Internet, etc.) rechtfertigen kann. Meinen Beitrag zu der erwähnten Stellungnahme findet man hier und hier einen weiteren zu einer Einschätzung durch die Bundesregierung.

Die CNIL verlangt in ihrem Anschreiben, dass eine Einwilligung für die Verarbeitung dieser Arten von Daten überhaupt nur dann wirksam abgegeben werden könnte, wenn ein Kästchen durch den Nutzer angeklickt wird. Erst dann sei die Voraussetzung erfüllt, dass die betroffene Person „ausdrücklich in die Verarbeitung der genannten Daten eingewilligt“ (so in Art. 8 Abs. 2 Buchst a) Datenschutzrichtlinie) habe.

Ausdrücklich verneint die französische Datenschutzbehörde das Vorliegen einer Einwilligung durch den Nutzer, wenn dieser freiwillig die betroffenen Daten in seinem Profil eingegeben und dann zur Ansicht freigegeben bzw. hochgeladen hat. Warum es sich hierbei nicht um eine ausdrückliche Einwilligung handeln soll, kann ich jedoch nicht ganz nachvollziehen.

Natürliche stets Voraussetzung, dass der Nutzer zuvor weiß, in Wasser einwilligt, um welche Daten es sich handelt und für welche Zwecke diese Daten genutzt werden. Ist diese Voraussetzung jedoch gegeben, und gibt der Nutzer in Kenntnis dieser Informationen freiwillig derartige Daten an und führt dann noch aktiv eine entsprechende Handlung aus, wie etwa den Klick auf einen Button, um die Daten im Profil anzeigen zu lassen, lässt sich meines Erachtens durchaus argumentieren, dass eine ausdrückliche Einwilligung vorliegt. Hier zeigt sich leider einmal mehr ein in der Praxis bekanntes Problem bei dem Versuch, datenschutzrechtlich sicher zu handeln: die geltenden Vorgaben sind teilweise schlicht realitätsfern und werden in der Masse einfach nicht mehr beachtet. Ich persönlich kann mich zum Beispiel nicht entsinnen, dass sich eine den Anforderungen der französischen Datenschützer entsprechende Einwilligung abgeben musste, als ich mein Profilbild bei Twitter hochgeladen habe. Genau dieses Argument habe ich auch gegenüber der Abgeordneten im europäischen Parlament, Frau Birgit Sippel, im Rahmen einer Diskussion auf Twitter entgegengehalten. Nachfolgend Auszüge aus der Diskussion:

Zuletzt sei noch der Hinweis gestattet, dass die europäischen Datenschützer in ihrer Stellungnahme 187 (pdf) festgestellt haben, dass in der Online-Umgebung eine ausdrückliche Einwilligung durch die Verwendung elektronischer oder digitaler Signaturen gegeben werden. Sie kann abhängig vom Zusammenhang aber auch durch anklickbare Schaltflächen, das Versenden einer bestätigenden E-Mail, das Anklicken von Icons usw. erteilt werden.

Warum soll es aber dann nicht ausreichen, wenn man im Profil bei Facebook seine Daten ausfüllt und danach auf eine Schaltfläche klickt, um diese hochzuladen? Die Anforderung der französischen Datenschutzbehörde ist ja, dass zusätzlich zu diesem aktiven Verhalten noch in jedem Falle eine Checkbox vorgehalten werden muss die auch noch einmal aktiv angeklickt werden muss. Endeffekt verlangen die Datenschützer damit zwei aktive, ausdrückliche Handlungen.

Schwaches Passwort

Zudem kritisiert die französische Datenschutzbehörde die Vorgaben für das Passwort bei dem sozialen Netzwerk. Dieses muss dort aus mindestens 6 Zeichen, einer Zahl und einem Buchstaben bestehen. Diese Anforderung ist nach Auffassung der CNIL jedoch keine ausreichende Daten Sicherheitsmaßnahme und verstößt gegen Vorgaben französischen Rechts. Unweigerlich möchte man sich natürlich fragen, wie viele Unternehmen im Internet gegen diese Vorgabe wohl verstoßen. Hinsichtlich dieser Beanstandung verweist die französische Datenschutzbehörde zudem darauf, dass ein entsprechender Verstoß mit einer Strafe in Höhe von bis zu 1.5 Mio EUR geahndet werden kann.

Datentransfers in Drittstaaten

Auch bemängelt die CNIL, dass Facebook, zumindest nach eigener Aussage gegenüber der Behörde im Rahmen der Prüfung, immer noch personenbezogene Daten auf der Grundlage der Angemessenheitsentscheidung der Europäischen Kommission zu Safe Harbor übermitteln würde. Da diese Angemessenheitsentscheidung seit dem entsprechenden Urteil des EuGH jedoch nicht mehr existiert, kann dieses Instrument richtigerweise nicht mehr für Datentransfers genutzt werden. Des Weiteren nutze Facebook jedoch auch Standardvertragsklauseln als Grundlage einer Datenübermittlung in Drittstaaten. Im Ergebnis wird man hier eine genauere Untersuchung, die ja gerade auch im Land im Rahmen der Beschwerde von Max Schrems läuft, abwarten müssen.

Was mich persönlich jedoch verblüfft hat, ist, dass die Entscheidung der CNIL bzw. das vorliegende Anschreiben auf den 26. Januar 2016 datiert. Nach eigener Aussage (Pressemitteilung vom 16. Oktober 2015,  pdf) wollten die europäischen Datenschutzbehörden, deren Vorsitz gerade die Leiterin der CNIL inne hat, Unternehmen jedoch bis Ende Januar (also bis zum 31. Januar 2016) Zeit geben, Datentransfers in die USA auf entsprechende neue Grundlagen zu stützen. Auch der Hamburgische Beauftragte für den Datenschutz hatte im November 2015 informiert (pdf), dass Unternehmen, die Daten auf der Grundlage der ungültigen Angemessenheitsentscheidung zu Safe Harbor übermitteln, „ab Februar 2016 mit Maßnahmen durch die Aufsichtsbehörden rechnen“ müssen. Die damals aufgestellte Übergangsfrist scheint also daher eher eine grobe Richtschnur gewesen und von den Aufsichtsbehörden unterschiedlich in der Praxis umgesetzt worden zu sein.

Ausblick

Auch in Deutschland kämpft Facebook derzeit an mehreren Datenschutzfronten. In Hamburg ist vor dem Verwaltungsgericht ein Verfahren zur Frage der Klarnamenpflicht in dem sozialen Netzwerk anhängig. Am 25. Februar 2016 findet die Verhandlung vor dem Bundesverwaltungsgericht zur Frage statt, ob Fanpage Betreiber datenschutzrechtlich verantwortlich sind.

Datenschutz-Grundverordnung: „Snowden-Klausel“ wird nicht im Vereinigten Königreich gelten

Posted on by

Die sogenannte „Snowden-Klausel“, Art. 43a der zukünftigen Datenschutz-Grundverordnung (deutsche Fassung, pdf) wurde, ursprünglich in noch weitergehende im Umfang, vom Europäischen Parlament in den Text für das zukünftig geltende Datenschutzrecht in Europa eingebracht. Nachdem sich nunmehr das Europäische Parlament und der Rat auf eine gemeinsame Fassung der Datenschutz-Grundverordnung verständigt haben, lautet der finale Text von Art. 43a (vor der amtlichen Übersetzung):

Nach dem Unionsrecht nicht zulässige Übermittlung oder Weitergabe

Urteile eines Gerichts eines Drittlands und Entscheidungen einer Verwaltungsbehörde eines Drittlands, mit denen von einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Weitergabe personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.

Dieser Artikel besagt, dass bei Anfragen von Behörden aus Staaten außerhalb des europäischen Wirtschaftsraumes, beispielsweise wenn Strafverfolgungsbehörden oder Geheimdienste personenbezogene Daten zu Betroffenen im Rahmen ihrer Ermittlungen verlangen, eine Weitergabe von personenbezogenen Daten rechtlich nur zulässig ist, wenn hierfür eine internationale Übereinkunft (wie etwa ein Rechtshilfeabkommen) mit den jeweiligen Drittstaat existiert oder die Datenübermittlung durch andere Tatbestände des Kapitels V der Datenschutz-Grundverordnung erlaubt ist.

Am 4. Februar 2016 hat nun die parlamentarische Unterstaatssekretärin im Ministerium für Kultur, Medien und Sport des Vereinigten Königreichs, Baroness Neville-Rolfe, in einer schriftlichen Stellungnahme mitgeteilt, dass das Vereinigte Königreich dem Art. 43a Datenschutz-Grundverordnung und seinem Anwendungsbereich nicht unterworfen sein wird. Das Vereinigte Königreich wird das sog. „opt-in“, also die entsprechende Einwilligung zur Anerkennung der bindenden Wirkung, nicht erteilen. Dass das Vereinigte Königreich hier überhaupt eine Wahlmöglichkeit besitzt und entscheiden kann, ob es an bestimmten Maßnahmen der Europäischen Union gebunden ist oder nicht, ist für den Bereich der Justiz und des Inneren im sog. „opt-in Protokol 21“ (pdf) geregelt.

Als Folge ist das Vereinigte Königreich also nicht an die Vorschrift des Art. 43a Datenschutz-Grundverordnung gebunden. Dies bedeutet freilich auch, dass Anfragen von Behörden und Gerichten aus Staaten außerhalb des europäischen Wirtschaftsraumes sich nicht an diesen Vorgaben messen lassen müssen, wenn sie Auftragsverarbeiter oder für die Verarbeitung Verantwortliche mit Sitz im Vereinigten Königreich betreffen.

Dieser Aspekt ist meines Erachtens eine nicht zu unterschätzende Tatsache mit Blick auf das eigentlich mit der Datenschutz-Grundverordnung angestrebte einheitliche Schutzniveau in der Europäischen Union. Man kann trefflich darüber streiten, ob dies überhaupt bereits aufgrund der vielen Öffnungsklauseln in der Datenschutz-Grundverordnung der Fall ist. Das nun angekündigte Ausbleiben des „opt-ins“ durch das Vereinigte Königreich für Artikel 43a, betrifft jedoch zudem einen ganz zentralen Bereich, nämlich die Frage der Zulässigkeit von Datenübermittlung an ausländische Behörden, über den ja etwa derzeit Microsoft mit der amerikanischen Regierung vor Gerichten streitet. Eine Kette ist bekanntlich immer nur so stark, wie ihr schwächstes Glied.

Vernetzte Fahrzeuge: Möchte die Bundesregierung den Datenschutz verschärfen?

Posted on by

Am heutigen Freitag soll im Bundestag über einen Antrag der Fraktionen der CDU/CSU und SPD mit dem Titel „Intelligente Mobilität fördern – Die Chancen der Digitalisierung für den Verkehrssektor nutzen“ (BT-Drs. 18/7362, pdf) abgestimmt werden.

In diesem Antrag befasst sich die Bundesregierung unter anderem auch mit dem Thema Datenschutz (ab S. 5) und wie mit personenbezogenen Daten, die beim Einsatz verletzter Fahrzeuge entstehen, in Zukunft umgegangen und wie diese geschützt werden sollen. Die in dem Antrag zum Ausdruck gebrachten Forderungen bzw. Wünsche werfen jedoch einige Fragen mit Blick auf die geltende Rechtslage im Datenschutzrecht auf.

Nach dem Antrag sollen personenbezogene Daten, die vom Fahrzeug erzeugt werden, nur

mit Zustimmung des Betroffenen und bestehend auf einer gesetzlichen Grundlage pseudonymisiert erhoben werden dürfen, so dass u.a. die Erstellung von Bewegungsprofilen mit einem direkten Personenbezug nicht möglich ist.

Vor dem Hintergrund des geltenden Rechts, dass personenbezogene Daten, auf die sich die Bundesregierung hier ausdrücklich bezieht, dann verarbeitet werden dürfen, soweit dies ein Gesetz oder eine andere Rechtsvorschrift erlaubt oder aber der Betroffene selbst eingewilligt hat (§ 4 Abs. 1 BDSG), irritiert die Formulierung, dass personenbezogene Daten mit Zustimmung des Betroffenen und (!) auf einer gesetzlichen Grundlage erhoben werden dürfen. Den gesetzlichen Vorgaben hätte es jedoch entsprochen, wenn das Wort „und“ durch ein oder ersetzt worden wäre. Die Bundesregierung scheint hier den Wunsch zu äußern, dass sowohl eine Einwilligung vorliegen als auch eine gesetzliche Grundlage einschlägig sein muss, damit personenbezogene Daten überhaupt erst erhoben werden dürfen.

Hierbei kann es sich freilich auch um ein Versehen oder eine zu strenge Auslegung am Wortlaut meinerseits handeln. Sollte die Bundesregierung jedoch tatsächlich kumulativ eine Einwilligung als eine gesetzliche Grundlage für die Datenverarbeitung erforderlich halten, so dürfte dies gegen europäisches Recht verstoßen.

Der europäische Gerichtshof hat bereits im Jahre 2011 (C-468/10 und C-469/10) zu Art. 7 der Datenschutzrichtlinie (RL 95/46 EG), der die möglichen Grundlagen einer Datenverarbeitung festlegt, entschieden, dass die Mitgliedstaaten weder neue Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten neben Art. 7 der Richtlinie 95/46 einführen, noch zusätzliche Bedingungen stellen dürfen, die die Tragweite eines der sechs in diesem Artikel vorgesehenen Grundsätze verändern würden. Möchte die Bundesregierung jedoch kumulativ sowohl die Einwilligung als auch eine gesetzliche Erlaubnis für die Zulässigkeit des Umgangs mit personenbezogenen Daten im vernetzten Fahrzeug vorsehen, dürfte dies eine zusätzliche Bedingungen im Sinne des Urteils des europäischen Gerichtshofs darstellen. Die Erfüllung von zwei möglichen Zulässigkeitsalternativen würden verpflichtend zusammengefasst.

Unklar ist zudem, wie sich die Vorgabe der Bundesregierung, dass per se bereits nur pseudonymisierte Daten erhoben werden dürfen, mit der geplanten Vorgabe verhält, dass hierfür sowohl eine Einwilligung als auch eine gesetzliche Erlaubnis erforderlich ist. Zwar wird heute bereits vielfach davon ausgegangen, dass es sich auch bei pseudonymisierten Daten weiterhin um personenbezogene Daten handelt. Jedoch wird gerade der Umgang mit Daten unter einem Pseudonym, insbesondere auch wenn es sich um Fälle handelt die von der Bundesregierung im Antrag angesprochen werden, nämlich wenn Nutzungsprofile erstellt werden, gesetzlich privilegiert. So erlaubt § 15 Abs. 3 TMG die Erstellung von Nutzungsprofilen unter Verwendung eines Pseudonyms für Zwecke der Werbung, Marktforschung oder auch zur bedarfsgerechten Gestaltung von Telemedien ohne vorherige Einwilligung. Dem Nutzer muss nur die Gelegenheit gegeben werden, der Datenverarbeitung im Nachhinein zu widersprechen. Gerade wenn man sich das vernetzte Fahrzeug anschaut, welches sich immer mehr zu einem rollenden Telemediendienst wandelt, stellt sich daher die Frage, ob die Bundesregierung eine Verschärfung der geltenden Vorgaben auch bezüglich des Erstellens von Nutzungsprofilen unter einem Pseudonym plant.

Des Weiteren weist die Bundesregierung in ihrem Antrag darauf hin, dass den Betroffenen die wichtigsten Informationen zum Umgang mit personenbezogenen Daten einfach formuliert bereitgestellt werden müssen. Diese Vorgabe ist nicht unbedingt neu, denn bereits derzeit müssen Informationen zur Datenverarbeitung etwa nach § 13 Abs. 1 TMG oder § 4 Abs. 3 BDSG.

Zudem sieht der Antrag der Bundesregierung vor, dass der Fahrer und/oder Fahrzeughalter selbst entscheiden dürfen sollte,

wer Zugriff auf seine personenbezogenen Daten hat. Deshalb bedarf das Auslesen bzw. Übermitteln dieser Daten aus dem Fahrzeug einer Erlaubnis. Die „Aktivierung/Deaktivierung“ der Datenu?bermittlung muss jederzeit möglich und einfach auszuführen sein.

Auch diese Forderung ist dem Grunde nach erst einmal keine Änderung zu geltenden Rechtslage. Denn wie bereits beschrieben, bedarf eine Datenverarbeitung (damit auch eine Erhebung im Wege des Zugriffs) entweder der Einwilligung oder eines gesetzlichen Erlaubnistatbestandes. Eine Verschärfung würde sich jedoch dann ergeben, wenn die Aussagen der Bundesregierung dahin zu verstehen sind, dass mit dem „selbst entscheiden dürfen“ stets eine Einwilligung des Betroffenen gemeint ist. Man könnte jedoch eventuell auch davon ausgehen, dass diese Erlaubnis bereits bei Vertragsabschluss, etwa beim Kauf des Fahrzeugs, erteilt wird. Zudem spricht die Bundesregierung in ihrem Antrag von „einer“ Erlaubnis und nicht „seiner“. Unter „einer Erlaubnis“ kann man auch gesetzliche Grundlagen verstehen.

Der nachfolgende Zusatz jedoch, dass die Aktivierung bzw. Deaktivierung einer Datenübermittlung jederzeit möglich sein muss, spricht erneut für das zwingende Erfordernis einer Einwilligung des Betroffenen die durch die zuvor beschriebene Aktivierung bzw. Deaktivierung ausgeübt wird. Da diese „jederzeit“ ausgeübt können werden soll, kann es sich auch nicht um eine zuvor erteilte Einwilligung, etwa beim Kauf des Autos handeln.

Insgesamt stellen sich nach kurzer Analyse dieses Antrags der Bundesregierung doch einige Fragen und man wird abwarten müssen, in welcher Form die Bundesregierung eine Umsetzung dieses Antrags plant. Sollte es ja noch zu den oben besprochenen Verschärfungen kommen, habe ich Zweifel, ob diese einer Prüfung aus europarechtlicher Sicht standhalten würden. Dies gilt auch, wenn in ca. zwei Jahren die neue Datenschutz Grundverordnung wirksam wird.

Das Thema Datenschutz und vernetzte Fahrzeuge ist derzeit nicht nur im Parlament von Interesse. Diese Woche haben sich die Landesdatenschutzbeauftragten in Deutschland und der Verband der Automobilindustrie auf eine gemeinsame Leitlinie (pdf) bei der Anwendung und Auslegung des geltenden Datenschutzrechts mit Blick auf die Nutzung vernetzter Fahrzeuge geeinigt (hierzu mein englischer Blogbeitrag).

Bundesregierung zum Safe Harbor-Urteil: Einwilligung und Standardvertragsklauseln weiter möglich

Posted on by

Wie geht es mit Datentransfers nach Amerika nach dem sog. „Safe Harbor-Urteil“ des Europäischen Gerichtshofs weiter? In der Antwort auf eine Kleine Anfrage der Fraktion DIE LINKE im Deutschen Bundestag (BT-Drs. 18/7134, PDF) setzt sich die Bundesregierung mit den Auswirkungen der Safe Harbor-Entscheidung des Europäischen Gerichtshofs vom 6. Oktober 2015 auseinander und legt insbesondere ihre Ansicht zu Rechtmäßigkeit von Datenübermittlung auf der Grundlage alternativer, gesetzlich vorgesehene Mechanismen dar.

Richtigerweise stellt die Bundesregierung unter anderem klar, dass für Datenübermittlungen in die USA (nach der Ungültigkeit von Safe Harbor) alternative Rechtsgrundlagen in Betracht kommen.

Dies sind neben vertraglichen Regelungen wie den Standardvertragsklauseln verbindliche Unternehmensregelungen oder die in der Richtlinie 95/46 EG bzw. § 4c des Bundesdatenschutzgesetzes (BDSG) genannten Ausnahmetatbestände.

Derzeit verhandelt die europäische Kommission mit der amerikanischen Regierung über eine Nachfolgeregelung zu Safe Harbor. Die europäischen Datenschutzbehörden haben den Verhandlungsparteien eine Frist bis Anfang Februar 2016 gesetzt. Danach, so die Aufsichtsbehörden, würden internationale Transfer in die USA verstärkt kontrolliert werden. In ihrer Antwort legt die Bundesregierung dar, dass sie das Ziel der Europäischen Kommission, zeitnah ein neues Safe-Harbor-Abkommen zu erreichen, um Rechtssicherheit sowohl für Verbraucher als auch für die Wirtschaft zu schaffen, unterstützt. Zudem ist sie der Auffassung, dass eine Nachfolgeregelung für Safe Harbor durchaus möglich ist, wenn diese den Maßstäben des Europäischen Gerichtshofs gerecht wird.

Mit Blick auf die behördliche Kontrolle und Durchsetzung des Datenschutzrechts verweist die Bundesregierung hinsichtlich der personellen, materiellen und finanziellen Ausstattung der Landesdatenschutzbehörden auf die Zuständigkeit der Länder. Was die Bundesbeauftragte für den Datenschutz betrifft, so ist die Bundesregierung der Ansicht,

dass die Bundesbeauftragte für Datenschutz und die Informationsfreiheit finanziell, personell und technisch ausreichend ausgestattet ist.

Zudem äußert sich die Bundesregierung zu den Anforderungen an eine datenschutzrechtliche Einwilligung für Datentransfers nach Amerika. Eine solche, ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erteilte Einwilligung der betroffenen Person, ermöglicht eine Übermittlung personenbezogener

Daten in Drittstaaten, in denen kein angemessenes Datenschutzniveau im Sinne der europäischen Datenschutzrichtlinie gewährleistet ist. Aus diesem Grund sieht die Bundesregierung keine Veranlassung,

die gesetzlichen Reglungen über die Einwilligung bei der Übermittlung von personenbezogenen Daten in Drittstaaten zu ändern. Datenschutzrechtliche Einwilligung ist also auch nach Ansicht der Bundesregierung in Zukunft ein taugliches Mittel, um Datentransfers nach Amerika zu legitimieren.

Die Fragesteller möchten zudem wissen, ob die Bundesregierung eine Gesetzesinitiative plane, um dem Urteil des Gerichts entsprechend, den Datenschutzbehörden ein Klagerecht gegen (Angemessenheits-) Entscheidungen der Kommission einzuräumen. Eine solche mögliche Gesetzesänderung möchte die Bundesregierung, insbesondere im Zusammenhang mit den erforderlichen Rechtsänderungen nach dem Inkrafttreten der Datenschutz-Grundverordnung, überprüfen.

Des Weiteren ist die Bundesregierung der Auffassung,

dass die EU-Standardvertragsklauseln sowie die verbindlichen Unternehmensregeln (BCRs) weiterhin als Rechtsgrundlage für einen legalen Datentransfer in die USA verwendet werden können.

Zudem führt sie aus, dass die Standardvertragsklauseln nur vom EuGH für ungültig oder nichtig erklärt werden können. Die jeweils zuständigen Datenschutzbehörden können die Rechtmäßigkeit einer Datenübermittlung auf der Grundlage alternativer Instrumente im Einzelfall aber jederzeit überprüfen.

Von einer raschen Überarbeitung der derzeit geltenden Standardvertragsklauseln geht die Bundesregierung nicht aus. Vielmehr ist sie der Ansicht, dass die Europäische Kommission nach Erlass der Datenschutz-Grundverordnung die Standardvertragsklauseln überprüfen wird.

Auch auf mögliche Auswirkungen des Urteils auf  TTIP und CETA geht die Bundesregierung ein. Hierbei verweist sie darauf, dass die Europäische Kommission in ihrer handelspolitischen Strategie

Bekräftigt habe, dass Vorschriften über die Verarbeitung personenbezogener Daten nicht Gegenstand der Verhandlungen über Handelsabkommen sind und von diesen nicht berührt werden. Nach Auffassung der Bundesregierung hat das Safe Harbor-Urteil daher keine konkreten Konsequenzen für die Verhandlungen über TTIP oder CETA.

OLG Frankfurt: Einsatz von Cookies für Werbezwecke erfordert kein Opt-in

Posted on by

Das OLG Frankfurt am Main hat mit Urteil vom 17.12.2015 (Az.: 6 U 30/15) über die Wirksamkeit der im Rahmen eines Gewinnspiels im Internet eingeholten Einwilligung in die Datenverarbeitung für Werbezwecke mittels Cookies entschieden. (Hinweis: JBB Rechtsanwälte waren an dem Rechtsstreit als Verfahrensbevollmächtigte beteiligt).

Das Urteil ist insbesondere deshalb interessant, weil es sich unter anderem mit der Frage auseinandersetzt, ob die sogenannte ePrivacy- oder Cookie-Richtlinie (RL 2002/58/EG in der Fassung der RL 2009/136/EG, PDF) und deren Vorgaben zur Einwilligung beim Einsatz von Cookies in Deutschland unmittelbar anwendbar sind. Diese Frage ist seit Jahren umstritten.

Ausgangslage

Im ursprünglichen Verfahren hat ein Verbraucherschutzverband gegen den Veranstalter eines Gewinnspiels im Internet geklagt. Angegriffen wurde hierbei unter anderem eine Einwilligungserklärung, in der sich Teilnehmer des Gewinnspiels damit einverstanden erklärten, dass nach ihrer Registrierung ein Cookie gesetzt wird, über das eine Auswertung des Surf- und Nutzungsverhaltens auf Webseiten von Werbepartnern und eine Verwendung für interessengerechte Werbung ermöglicht werden.

In der Einwilligungserklärung, die mittels eines bereits angekreuzten Kästchens (opt-out) eingeholt wurde, fand sich zudem ein Link auf weitere Informationen zum Einsatz des  Cookies und der damit zusammenhängenden Datenverarbeitung.

Urteil

Der vom Verbraucherschutzverband geltend gemachte Unterlassungsanspruch (§ 1 UKlaG) gegen die Einwilligungserklärung wurde vom OLG zurückgewiesen.

Die Einwilligungserklärungen qualifizierte das Gericht als eine Allgemeine Geschäftsbedingung und war damit nach Auffassung des Senats auch einer Inhaltskontrolle (§ 307 BGB) zugänglich. Jedoch verstößt die Einwilligungserklärung gegen keine der insoweit maßgeblichen gesetzlichen Vorgaben der §§ 4a, 28 Abs. 3a BDSG sowie §§ 13 Abs. 2, 15 Abs. 3 TMG).

Dies gilt, so das OLG, auch dann, wenn man diese Vorschriften nach Ablauf der Umsetzungsfrist der Neuregelung des Artikel 5 Abs. 3 ePrivacy-Richtlinie richtlinienkonform auslegen möchte.

Opt-out ausreichend

Das Gericht stellt fest, dass den genannten datenschutzrechtlichen Vorschriften das Erfordernis einer ausdrücklich erteilten Einwilligung (opt-in) nicht zu entnehmen ist. Vielmehr kann die Einwilligung auch dadurch erklärt werden, dass der Nutzer einen bereits gesetzten Haken in einem Kästchen nicht entfernt (opt-out). Das Gericht verweist hierzu auf das sogenannte Payback-Urteil des Bundesgerichtshofs.

Ohne Erfolg berief sich der Verbraucherschutzverband darauf, dass nach Ablauf der Umsetzungsfrist der ePrivacy-Richtlinie das nationale Recht richtlinienkonform dahingehend ausgelegt werden müsste, dass ein solches Opt-Out Verfahren nicht ausreiche. Art. 5 Abs. 3 ePrivacy-Richtlinie enthält nämlich keine Regelung, die ein Ort in Verfahren zwingend vorschreiben würde. Danach haben die Mitgliedstaaten sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Hierzu das Gericht:

Dort ist jeweils nur von der klaren und umfassenden bzw. verständlichen Information die Rede, die dem Nutzer vor Abgabe der Einwilligungserklärung gegeben werden muss. Dem steht ein „opt-out“-Verfahren nicht generell entgegen.

Zudem, lässt sich zusätzlich anführen, dass der Begriff der „Einwilligung“ in der ePrivacy-Richtlinie genau derselbe ist wie in der europäischen Datenschutzrichtlinie (RL 95/46/EG) (vgl. Art. 2 f) ePrivacy-Richtlinie).

Der Verbraucherschutzverband argumentierte zudem mit einer Stellungnahme der europäischen Art. 29 Datenschutzgruppe vom 8.12.2011. Dabei handelt es sich aber nach Auffassung des Gerichts

nur um eine unverbindliche Meinungsäußerung dieses Beratungsgremiums.

Dieser Meinungsäußerung folgt das OLG Frankfurt nicht. Zwar fordert die Art. 29 Datenschutzgruppe eine „bejahende Handlung“ des Nutzers, durch die das Setzen des Cookies und die danach erfolgende Datenverarbeitung akzeptiert werden müsse. Dies beziehe sich jedoch nicht auf die Frage, ob eine Einwilligungserklärung auch im Rahmen des Opt-Out-Verfahrens eingeholt werden kann.

Möglichkeit der Verweigerung

Zudem stellt das OLG fest, dass der durchschnittliche Internetnutzer heute weiß, dass er ein Häkchen in einem Kästchen durch Anklicken des Feldes entfernen und damit seine Einwilligung verweigern kann. Ein ausdrücklicher Hinweis auf diese Möglichkeit ist daher nicht erforderlich.

Hervorhebung der Einwilligungserklärung

Auch ist es nicht unzulässig, dass wesentliche Informationen zum Einsatz des Cookies unter Datenverarbeitung nicht schon in der Einwilligungserklärung selbst, sondern erst in der verlinkten Erläuterung erteilt werden. Zwar verlangt § 28 Abs. 3a S. 2 BDSG hier, dass die Einwilligung „in drucktechnisch deutlicher Gestaltung besonders hervorzuheben“ ist. Dies war jedoch der Fall. Denn die besondere Hervorhebung bezieht sich nur auf die Einwilligungserklärung selbst, und nicht auf die weiteren erläuternden Informationen, die durchaus (über einen deutlich gekennzeichneten Link) auf einer weiteren Informationsebene erteilt werden können.

Auch inhaltlich beanstandete das OLG Frankfurt die Einwilligungserklärung nicht. Insbesondere würden die Funktionen des Cookies richtig herausgestellt werden. Dabei müssen sich die Anforderungen an die erforderlichen Informationen für den Nutzer (wenn sie denn ihren Sinn erfüllen sollten) auch an der Fähigkeit und Bereitschaft des Nutzers orientieren, sich mit diesen Fragen überhaupt tatsächlich zu befassen.

Fazit

Die Frage, ob die ePrivacy-Richtlinie in Deutschland tatsächlich umgesetzt wurde oder nicht, stellt das OLG nicht. Selbst bei einer richtlinienkonform Auslegung der Richtlinie würde die Einholung einer Einwilligung für Werbezwecke im Rahmen eines Opt-Out-Verfahrens genügen. Die ausdrückliche Erteilung der Einwilligung (etwa durch aktives Ankreuzen eines Kästchens) ist also beim Einsatz von Cookies für Werbezwecke nicht erforderlich.

USA: Strafzahlung wegen falschen Informationen zur Datenverschlüsselung

Posted on by

Die amerikanische Federal Trade Commission (FTC) hat sich mit dem Anbieter einer Verwaltungssoftware für Zahnärzte auf eine Strafzahlung von 250.000 Dollar geeinigt. In einer Pressemitteilung vom 5. Januar 2016 gab die FTC bekannt, dass der Softwareanbieter sein Produkt, mit dem unter anderem auch Patientendaten verarbeitet werden können, für mehrere Jahre mit der Eigenschaft bewarb (u.a. in Broschüren und Newslettern), dem Industriestandard entsprechende Verschlüsselungsverfahren einzusetzen. Zudem sollten hierdurch gesetzliche Anforderungen an den Umgang mit Patientendaten des Health Insurance Portability and Accountability Act (HIPAA) eingehalten werden können.

Nach Auffassung der FTC war dem Softwareanbieter jedoch bekannt, dass in der Software ein weniger komplexes Verschlüsselungsverfahren als jenes des Advanced Encryption Standard (AES) zum Einsatz komme, welches jedoch durch das National Institute of Standards and Technology (NIST) (einer Bundesbehörde, die sich um Standardisierungsprozesse kümmert) gerade als Industriestandard empfohlen werde.

Auch in Deutschland verlangt etwa § 9 BDSG in Verbindung mit der Anlage zu § 9 Satz 1 BDSG, dass bei der Verarbeitung personenbezogener Daten Maßnahmen zu treffen sind, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, die Daten technisch etwa gegen unbefugten Zugriff oder eine unbefugte Weitergabe zu schützen. Das BDSG führt als Beispiel einer solchen Maßnahme insbesondere die Verwendung von dem Stand der Technik entsprechender Verschlüsselungsverfahren an. Speziell im Bereich des Internets oder von Apps findet sich eine ähnliche Regelung in § 13 Abs. 7 TMG. Zu beachten ist jedoch, dass diese Maßnahmen jeweils unter einer Verhältnismäßigkeitsvorbehalt stehen und die Verschlüsselung nicht gesetzlich verpflichtend (etwa als Minimumvoraussetzung) vorgeschrieben wird (hierzu auch ein Beitrag von Adrian Schneider).

Unabhängig davon könnte ein Verhalten, wie jenes des Softwareanbieters in den USA, in Deutschland durch Mitbewerber angegriffen werden, wenn der Anbieter Verbraucher (Zahnärzte würden im Rahmen ihrer beruflichen Tätigkeit nicht hierunter fallen) bewusst über eine besondere Verschlüsselungseigenschaft seines Produkts täuscht. Nach § 5 Abs. 1 S. 2 Nr. 1 UWG liegt z.B. eine sog. irreführende geschäftliche Handlung vor, wenn sie unwahre Angaben über die wesentlichen Merkmale der Ware wie Vorteile, Zwecktauglichkeit oder Beschaffenheit enthält. Dies würde eine unzulässige unlautere geschäftliche Handlung darstellen (§ 3 Abs. 1 UWG), die etwa mit einem Unterlassungsanspruch nach § 8 Abs. 1 UWG angegriffen werden kann.

Dem Grunde nach ist das Ergebnis ja einleuchtend: man darf nicht mit falschen Produkteigenschaften werben. Interessant ist in diesem Zusammenhang eher die Frage danach, was denn dem „Stand der Technik“ entsprechende Verschlüsselungsverfahren sind, mit denen ein Produkt beispielsweise beworben wird. Etwa allein AES? Sind in der Praxis bewährte Verfahren ausreichend? Diesbezüglich bestünde im Streitfall sicherlich Argumentationsspielraum.

Die Datenschutz-Grundverordnung kommt. Und ich habe eine Frage.

Posted on by

Nachdem sich gestern in den Trilogverhandlungen zur Datenschutz-Grundverordnung (DS-GVO) die Verhandlungsparteien auf einen gemeinsamen Text geeinigt haben, der Anfang kommenden Jahres vom europäischen Parlament und dem Rat bestätigt werden muss, stellen sich in den nächsten Monaten sicherlich viele Fragen.

Für den Moment möchte ich jedoch eine einzige Frage stellen, die mir bisher niemand beantworten konnte: wann gilt in Zukunft welches nationale Datenschutzrecht in Europa?

Man mag sich denken, dass diese Frage völlig überflüssig ist, da es ja mit der DS-GVO ein in allen Mitgliedstaaten unmittelbar anwendbares Gesetz geben wird. Jedoch wissen wir mittlerweile auch, dass die DS-GVO an vielen (insbesondere auch aus Sicht der Praxis) relevanten Stellen Öffnungsklauseln vorsieht und es den Mitgliedstaaten erlaubt, nationale Regelungen für bestimmte Bereiche zu schaffen. Als Beispiel sei hier etwa die Festlegung einer Altersgrenze bei der Einwilligung von Minderjährigen (zwischen 13 und 16 Jahren) genannt oder auch die Frage der Bestellpflicht für Datenschutzbeauftragte in den Fällen, die in der Verordnung nicht aufgelistet sind.

Die DS-GVO beantwortet in ihrem Art. 3 verständlicherweise allein die Frage, wann sie selbst Anwendung findet. Jedoch findet sich keine Regelung dazu, wann neben der DS-GVO weiterhin bestehendes und von ihr ja sogar vorausgesetztes nationales Datenschutzrecht Anwendung findet.

Wird es in Zukunft also so sein, dass jeder Mitgliedstaat frei nach seinem Belieben entscheiden kann, wann sein nationales Datenschutzrecht und damit auch die benannten Spezifikationen auf der Grundlage der Öffnungsklauseln der DS-GVO gelten? Von welchen Kriterien soll dies abhängen? Reicht eine Niederlassung in dem Mitgliedstaat? Reicht es aus, dass Dienste in dem Mitgliedstaat angeboten werden, in deren Rahmen personenbezogene Daten verarbeitet werden?

Auf die derzeit bestehende Regelung in der Datenschutzrichtlinie 95/46 (Art. 4), die genau diese Frage regeln soll, könnte man sich in Zukunft nicht berufen, da diese Richtlinie ja in Gänze aufgehoben wird.

Ein „einheitliches Datenschutzrecht“ würde damit für viele wichtige Bereiche in weite Ferne rücken.

Verhandlungen zur Datenschutz-Grundverordnung: offene Punkte und vorläufige Einigungen

Posted on by

Bis zum Ende des Jahres 2015 möchten die Europäische Kommission, das Europäische Parlament und der Rat der Europäischen Union die sogenannten Trilog-Verhandlungen zur europäischen Datenschutz-Grundverordnung (DS-GVO) abschließen. Seitdem der Trilog begonnen hat, wurden nur wenige Schriftstücke aus den Verhandlungen veröffentlicht bzw. geleakt. Nun hat die Plattform statewatch.org zwei neuere Dokumente des Rates (jeweils Stand vom 20. November 2015) veröffentlicht.

Vorläufig erzielte Kompromisse

Ein Dokument (pdf) befasst sich mit den bis zum 20. November 2015 zwischen den drei Verhandlungsparteien erzielten Kompromissen. Zudem enthält das Dokument Vorschläge der Ratspräsidentschaft für einige noch offene Punkte.

Betrachtet man das (immerhin 372 Seiten lange) Dokument, so fällt auf, dass Kompromisse vor allem für Artikel bzw. Themengebiete gefunden wurden, die man umgangssprachlich nicht als die „dicken Bretter“ bezeichnen würde. Dieses freilich nicht verwunderlich, da man sich in den Verhandlungen sicherlich zunächst mit solchen Themenkomplexen befasst hat, bei denen die geringsten Meinungsverschiedenheiten zu erwarten sind.

So hat man sich etwa darauf geeinigt, die sogenannte Haushaltsausnahme, also jene Vorschrift die bestimmt, wann die Datenschutz-Grundverordnung in Zukunft im Rahmen einer Datenverarbeitung für private Zwecke nicht anwendbar sein soll, nur dann eingreifen zu lassen, wenn die in Rede stehende Datenverarbeitung ausschließlich für persönliche Zwecke durchgeführt wird. In Zukunft dürfte es für die Inanspruchnahme der Ausnahmeregelung daher nicht ausreichen, dass mit einer Datenverarbeitung auch (!) private Zwecke verfolgt werden. Vor allem im Abschnitt der sich mit Zusammenarbeit der nationalen Datenschutzbehörden untereinander befasst, konnte man ebenfalls vorläufige Einigungen erzielen. Nicht einigen konnte man sich bisher hingegen auf die Höhe bzw. den möglichen Rahmen für zukünftige Bußgelder bei rechtswidrigen Datenverarbeitung.

Offene Punkte

Das zweite veröffentlichte Dokument (pdf) betrifft die wichtigsten noch offenen Punkte. In diesem Dokument schlägt die Ratspräsidentschaft den Mitgliedstaaten zu verschiedenen Themen ein bestimmtes Vorgehen vor und bittet um eine Rückmeldung hinsichtlich der vorgeschlagenen Lösungswege.

Zu den noch offenen Diskussionsfeldern gehört nach dem Dokument unter anderem die Frage, inwieweit die Datenschutz Grundverordnung auch für EU-Institutionen gelten soll. Die Kommission und der Rat möchten die Institutionen vom Anwendungsbereich der Datenschutz-Grundverordnung ausnehmen. Das Parlament ist für deren Einbeziehung.

Bekanntlicherweise sollen in der Datenschutz-Grundverordnung Öffnungsklauseln geschaffen werden, die es den Mitgliedstaaten erlauben würden, für bestimmte Bereiche bzw. bestimmte Datenverarbeitungsprozesse spezifische nationale Regelung zu schaffen. Vor allem der Rat möchte eine solche Öffnungsklausel in Art. 1 Abs. 2a DS-GVO vorsehen. In dem Dokument wird nun vorgeschlagen, die Ratsposition beizubehalten, obwohl das Parlament den entsprechenden Artikel anpassen möchte. Dem Parlament ist vor einigen an einer Konkretisierung dahingehend gelegen, dass nationale Vorschriften die Vorgaben der DS-GVO nicht ändern bzw. anpassen sondern nur konkretisieren bzw. spezifizieren können. Die Ratspräsidentschaft schlägt vor, Art. 1 Abs. 2a DS-GVO in einen neuen Art. 6 Abs. 2a DS-GVO zu verschieben. Jedoch keine inhaltlichen Änderungen am Vorschlag des Rates vorzunehmen.

Ein weiterer offener Themenkomplex ist die Frage, inwieweit die den nationalen Datenschutzbehörden zustehenden hoheitlichen Befugnisse und der Umfang der potentiellen Maßnahmen innerhalb der DS-GVO geregelt werden sollen oder ob die Mitgliedstaaten jeweils national den Umfang der Maßnahmen bestimmen können dürfen.

Im Anwendungsbereich der Datenschutz-Grundverordnung sollen in Zukunft Verbände die Möglichkeit haben, betroffene Personen gegenüber Datenschutzbehörden bzw. datenverarbeitenden Stellen zu vertreten und auch deren Rechte durchzusetzen. In den Verhandlungen besteht noch Uneinigkeit darüber, inwieweit Verbände oder andere Organisationen im Namen der Betroffenen auch Schadensersatzansprüche geltend machen können. Das Parlament ist für eine solche Möglichkeit. Der Rat möchte dies nur gestatten, soweit nationale Vorschriften die Geltendmachung von Schadenersatzansprüchen für den Betroffenen erlauben.

Ausblick

Nach dem Ratsdokument werden die nächsten Trilog- Verhandlungen am 10. Dezember 2015 stattfinden. Die Ratspräsidentschaft bekräftigt noch einmal ihre Intention, bis zum Ende des Jahres die Verhandlungen abzuschließen.

Wer auch im Dezember nicht auf Informationen zur Datenschutz-Grundverordnung und möglichen künftigen Regelungen verzichten möchte, den lade ich gerne dazu ein, an jedem Tag zwischen dem 1. und 24. Dezember eine Tür des EUDataP- Weihnachtskalenders zu öffnen. Dort werde ich jeden Tag einen kleinen Beitrag zur Datenschutz-Grundverordnung veröffentlichen.

Europäische Kommission veröffentlicht ihre Analyse des Safe Harbor-Urteils

Posted on by

Heute hat die Europäische Kommission in einer Mitteilung (PDF) ihre Analyse des Safe Harbor-Urteils des europäischen Gerichtshofs veröffentlicht.

Neue Erkenntnisse oder Informationen zu den rechtlichen Möglichkeiten für Datentransfers in die USA finden sich in der Position kaum. Zumeist verweist die Kommission auf Stellungnahmen der Art. 29 Datenschutzgruppe. Einige Kernpunkte des Papiers möchte ich nachfolgend dennoch ansprechen:

Standardvertragsklauseln

Mit Blick auf den Einsatz von Standardvertragsklauseln (welche durch die Europäische Kommission auf der Grundlage von Art. 26 Abs. 4 der Datenschutzrichtlinie erlassen wurden und „ausreichende Garantien“ im Sinne von Art. 26 Abs. 2 der Datenschutzrichtlinie darstellen) stellt die Kommission fest, dass nationale Datenschutzbehörden dem Grunde nach verpflichtet sind, diese als rechtmäßige Möglichkeit eines Datentransfers in einen Drittstaat zu akzeptieren. Der Grund hierfür ist die rechtliche Verbindlichkeit von Kommissionsentscheidungen in den Mitgliedstaaten.

Weiterhin stellt die Kommission fest, dass Datenschutzbehörden Datentransfers auf der Grundlage von Standardvertragsklauseln nicht mit der Begründung untersagen dürfen, dass die Standardvertragsklauseln keine ausreichenden Garantien bieten würden. Denn genau dies hat die Europäische Kommission verbindlich festgestellt. Natürlich ist es den nationalen Datenschutzbehörden unbenommen, Datentransfers auf der Grundlage der Standardvertragsklauseln auf ihre Rechtmäßigkeit (gerade mit Blick auf die Entscheidung des Europäischen Gerichtshofs) zu prüfen. Sollten seitens der Datenschutzbehörde Zweifel bestehen, legt die Kommission in ihrer Mitteilung nahe, dass die nationalen Behörden einen solchen Sachverhalt vor ein nationales Gericht zu Prüfung bringen sollten, damit dieses wiederum die Frage der Rechtmäßigkeit des Datentransfers und damit implizit auch der zugrunde liegenden Standardvertragsklauseln zum Europäischen Gerichtshof vorlegen kann.

Daneben weist die Europäische Kommission darauf hin, dass verantwortliche Stellen in der EU natürlich zusätzliche (auch vertragliche) Garantien vorsehen können. Dies gerade in den Fällen, wenn sie Informationen dazu erhalten, dass das Rechtssystem im Drittstaat die datenimportieren Stelle an der Erfüllung ihrer vertraglichen Pflichten aus den Standardvertragsklauseln hindern könnte.

Ausnahmeregelungen

Zudem befasst sich die Mitteilung der Europäischen Kommission mit den gesetzlichen Ausnahmeregelungen (Art. 26 Abs. 1 der Datenschutzrichtlinie). Hier weist die Europäische Kommission darauf hin, dass die datenexportierende Stelle gerade nicht dazu verpflichtet ist, dafür Sorge zu tragen, dass die importierende Stelle ausreichende Garantien mit Blick auf den Schutz personenbezogener Daten bietet. Denn die Ausnahmeregelungen gelten ja gerade für den Fall, dass ausreichende Garantien nicht existieren.

Kompetenzen der nationalen Datenschutzbehörden

Auch wenn die Europäische Kommission mehrmals darauf hinweist, dass nationale Datenschutzbehörden in völliger Unabhängigkeit handeln können und auch müssen, so stellt sie in ihrer Mitteilung dennoch ausdrücklich fest, dass die Datenschutzbehörden Datentransfers auf der Grundlage einer Angemessenheitsentscheidung der Kommission oder einer Entscheidung über das Vorhandensein ausreichender Garantien (wie Standardvertragsklauseln), im Rahmen von Beschwerden nur auf ihre Rechtmäßigkeit hin nur überprüfen(!) dürfen. Jedoch, so die Kommission, dürfen die nationalen Datenschutzbehörden in einem solchen Fall keine verbindliche Entscheidung treffen, sondern die Mitgliedstaaten müssen in einem solchen Fall ein Klagerecht für Datenschutzbehörden vorsehen, damit das Verfahren vor ein nationales Gericht gebracht werden kann.

The DPAs remain competent to examine claims within the meaning of Article 28(4) of Directive 95/46/EC that the data transfer complies with the requirements laid down by the Directive (as interpreted by the Court of Justice), but cannot make a definitive finding. (S. 14)

Weitere Auswirkungen des Urteils

Zuletzt kündigt die Kommission an das sie vor dem Hintergrund des Urteils alle bestehenden Angemessenheitsbeschlüsse für Drittstaaten (unter anderem Argentinien, Kanada, Israel und Schweiz) überprüfen werde und insbesondere jene Klauseln in den Angemessenheitsentscheidung anpassen wird, die der europäische Gerichtshof im Rahmen des Safe Harbor-Urteils für ungültig erklärt hat. Hierbei bezieht sich die Kommission auf Vorschriften, die die Ausübung der Kompetenzen der nationalen Datenschutzbehörden unter bestimmte Voraussetzungen stellen.

Juristischer Dienst des Europäischen Parlaments: EuGH urteilte nicht zu US-Gesetzen

Posted on by

Gestern fand im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments eine Aussprache zum Safe Harbor-Urteil des EuGH statt. Unter anderem präsentierte ein Vertreter des juristischen Dienstes des Europäischen Parlaments die Kernelemente der Entscheidung.  Das Video zu der Aussprache ist hier abrufbar. Die Präsentation beginnt ab ca. 15.18.00.

Meines Erachtens von besonderer Relevanz und begrüßenswert sind die Feststellungen des juristischen Dienstes im Hinblick auf jene Urteilsgründe, in denen sich der EuGH mit der Zulässigkeit der Überwachung der Kommunikation durch stattliche Behörden befasst. In der Berichterstattung zu dem Urteil wurde oft auf die Rz. 93, 94 und 95 verwiesen, die ich hier noch einmal abbilde:

93 Nicht auf das absolut Notwendige beschränkt ist eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen (vgl. in diesem Sinne, in Bezug auf die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG [ABl. L 105, S. 54], Urteil Digital Rights Ireland u. a., C?293/12 und C?594/12, EU:C:2014:238, Rn. 57 bis 61).

94 Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens (vgl. in diesem Sinne Urteil Digital Rights Ireland u. a., C?293/12 und C?594/12, EU:C:2014:238, Rn. 39).

95 Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz. Nach Art. 47 Abs. 1 der Charta hat nämlich jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, das Recht, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. Insoweit ist schon das Vorhandensein einer wirksamen, zur Gewährleistung der Einhaltung des Unionsrechts dienenden gerichtlichen Kontrolle dem Wesen eines Rechtsstaats inhärent (vgl. in diesem Sinne Urteile Les Verts/Parlament, 294/83, EU:C:1986:166, Rn. 23, Johnston, 222/84, EU:C:1986:206, Rn. 18 und 19, Heylens u. a., 222/86, EU:C:1987:442, Rn. 14, sowie UGT?Rioja u. a., C?428/06 bis C?434/06, EU:C:2008:488, Rn. 80).

Vor allem aus der Feststellung in Rz. 94 könnte man schließen, dass es sich dabei um „Regelungen“ in US-Gesetzen handelt oder dass der EuGH mit „Regelungen“ ausländische Vorschriften anspricht. Doch dies ist gerade nicht der Fall. Der EuGH bezieht sich in diesen Randnummern auf das Schutzniveau innerhalb der EU und was im Rahmen dieses Schutzniveaus gesetzlich nicht zulässig ist.

Klar wird der Bezug auf das europäische Recht auch, wenn man Rz. 96 betrachtet. Dort fasst der EuGH noch einmal zusammen, dass eine Angemessenheitsentscheidung eines Mitgliedstaates oder der EU-Kommission mit Blick auf das Schutzniveau in einem Drittstaat begründete Feststellungen enthalten muss,

dass das betreffende Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleistet, das dem in der Rechtsordnung der Union garantierten Niveau, wie es sich insbesondere aus den vorstehenden Randnummern des vorliegenden Urteils ergibt, der Sache nach gleichwertig ist. (Hervorhebung durch mich)

Der EuGH bezieht sich hier noch einmal auf die Rz. 93 ff. und macht deutlich, dass es sich in den Ausführungen in diesen Randnummern um das in der Union garantierte Schutzniveau und die (grund)rechtlichen Vorgaben innerhalb der EU geht. Gegenstand der Begutachtung war nicht das amerikanische Recht. Inhalt eines Angemessenheitsbeschlusses muss damit die Feststellung sein, dass die Gesetze und/oder Verpflichtungen aus internationalen Abkommen in dem Drittstaat dieses in der Union garantierte Niveau (welches sich aus den Rz. 93 ff ergibt) nicht unterschreiten. Der EuGH gibt dem Grund nach also im Groben vor, welches Schutzniveau in der Union mit Blick auf die Überwachung durch Geheimdienste und Rechtsschutzmöglichkeiten für Bürger gilt und dass dieses Niveau gleichwertig in einem Drittland existieren muss. Ob dies für die USA der Fall ist, dazu hat sich der EuGH nicht verhalten. In der zu beurteilenden Safe Harbor-Entscheidung wurde schlicht die gesetzlich erforderliche Feststellung zum Schutzniveau nicht vorgenommen. Aus diesem Grund ist Safe Harbor ungültig.

Update vom 14.10.2015:

In einem Interview mit dem „The Wall Street Journal“ stellt auch der neue Präsident des EuGH noch einmal ausdrücklich klar, dass das Urteil sich nicht mit den Vorgaben und dem Schutzumfang des amerikanischen Rechts befasst, sondern allein das Schutzniveau innerhalb der EU und die europäischen Voraussetzungen für Datentransfers im Blick hat:

We are not judging the U.S. system here; we are judging the requirements of EU law in terms of the conditions to transfer data to third countries, whatever they may be.