Spanien: Datenschützer verhängen Bußgeld gegen Google wegen Cookies auf Blogspot

Mit Beschluss vom 14. Mai 2014 hat die spanische Datenschutzbehörde (AEPD) ein Bußgeld in Höhe von 25.000 € gegen Google verhängt (hier der Beschluss im Original (Spanisch), PDF).

In dem Verfahren ging es um die datenschutzrechtliche Prüfung von Cookies, welche über Blogs verbreitet wurden, die auf der Plattform „Blogger“ und unter Adressen wie „Beispiel.blogspot.com“ betrieben wurden. Dabei ging es jedoch nicht um die Verantwortlichkeit des Blogbetreibers, sondern um diejenige der Google Inc.

Untersucht wurden von den Datenschützern vor allem Analyse-Cookies (die im Rahmen von Google-Analytics arbeiteten) und solche für Zwecke der Schaltung von personalisierter Werbeanzeigen.

Nach Ansicht der Datenschützer verletzte der Einsatz der Cookies vorliegend die Vorgaben des spanischen Datenschutzrechts, insbesondere diejenige einer Einwilligung entsprechend Art. 5 Abs. 3 der Richtlinie 2002/58/EG (PDF) (ePrivacyRL, in der Fassung durch Richtlinie 2009/136/EG). Art. 5 Abs. 3 ePrivacyRL sieht für die Speicherung von Informationen oder den Zugriff auf Informationen auf Endgeräten des Nutzers (oder Teilnehmers) eine Einwilligung in Kenntnis der Sachlage vor. Diese Vorschrift gilt freilich nicht nur für Cookies, wird in der Praxis aber gerade für diese relevant. Von dem Einwilligungserfordernis gibt es jedoch Ausnahmen, unter anderem dann, wenn der Zugriff oder die Speicherung der Informationen unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Laut den tatsächlichen Feststellungen in dem Beschluss, wurden auf den Rechnern von Nutzern, die einen Blog unter einer „blogspot“-Adresse besuchten, unter anderem Analyse-Cookies und solche für Werbezwecke gesetzt. Der Einsatz der Cookies wurde dabei durch Google selbst festgelegt und konnte durch den Blogbetreiber nicht unterbunden werden.

Die Behörde beanstandet, dass es zwar Informationen zu dem Einsatz von Cookies und auch von Analyse-Cookies im speziellen in der Datenschutzerklärung von Google gebe. Diese seien für die Besucher des jeweiligen Blogs jedoch schwierig aufzufinden. Zudem würden die Besucher nicht darauf hingewiesen, dass Cookies zum Einsatz kämen und wo sie hierzu Informationen finden könnten. Auch würden entsprechende Informationen etwa nicht den Blogbetreibern zur Verfügung gestellt, die diese dann an ihre Besucher weiterleiten könnten.

Google brachte unter anderem vor, dass für den Einsatz der Cookies keine Einwilligung der Nutzer nötig sei, da er für die Zurverfügungstellung des Dienstes unbedingt erforderlich sei. Diese Sichtweise wies die Behörde jedoch zurück. Sie begründet ihren Beschluss damit, dass sowohl die Werbe-Cookies als auch die Analyse-Cookies nicht unbedingt erforderlich seien, damit die Plattform zum einen den Bloggern (für das Erstellen von Blogs) und auch deren Besuchern zur Verfügung gestellt werden könne.

Fazit
Wann Cookies (und damit der Zugriff bzw. die Speicherung von Informationen; Achtung, nicht nur „personenbezogene“ Informationen!) unbedingt erforderlich sind, lässt sich kaum generell sagen, sondern hängt stark von dem jeweiligen Einzelfall ab. Die europäischen Datenschutzbehörden haben in einer Stellungnahme aus dem Jahre 2012 (WP 194, PDF) jedoch zumindest einige Leitlinien aufgestellt, wann nach ihrer Ansicht die Einwilligung beim Einsatz von Cookies entbehrlich sein kann.

Recht auf Vergessen – Google setzt EuGH-Entscheidung um und möchte europäischer werden

Nach der EuGH-Entscheidung im Streit zwischen der spanischen Datenschutzbehörde und Google um ein sog. „Recht auf Vergessen werden“ im Internet, hat das Unternehmen am Freitag ein Webformular bereitgestellt, durch welches Nutzer nun Löschantrage für Suchergebnisse einreichen können.

Auf der Hilfeseite des Unternehmens gibt Google weitere Informationen zu dem Verfahren. Danach müsse jede Anfrage individuell geprüft und zwischen dem Recht des Einzelnen auf Schutz seiner personenbezogenen Daten und dem Recht der Öffentlichkeit auf Auskunft und Informationsweitergabe abgewogen werden. Zu den Prüfkriterien gibt Google an, dass man bei der Bearbeitung eines Antrags prüfe,

ob die Ergebnisse veraltete Informationen über Ihr Privatleben enthalten. Wir untersuchen außerdem, ob ein öffentliches Interesse an den in unseren Suchergebnissen verbleibenden Informationen besteht, zum Beispiel, ob es um finanzielle Betrugsfälle, Berufsvergehen oder Amtsmissbrauch, strafrechtliche Verurteilungen oder Ihr öffentliches Verhalten als (gewählter oder nicht gewählter) Regierungsbeamter geht.

Das Unternehmen stellt klar, dass dies schwierige Entscheidungen seien, die man als privater Konzern nicht in jedem Fall zweifelsfrei treffen könne. Unter Umständen könne dies durch die lokale Datenschutzbehörde besser beurteilt werden. Obwohl Google den Auswirkungen des Urteils kritisch gegenüberstehe, respektiere man die Entscheidung des EuGH. Man arbeite zudem intensiv an der Entwicklung eines gesetzeskonformen Prozesses, unter anderem mit Datenschutzbehörden und anderen Stellen. Gemeint sein könnten hiermit auch die bekanntgewordenen Pläne des Bundesinnenministeriums, für Löschanfragen eine Schlichtungsstelle zu schaffen (hierzu Thomas Stadler in seinem Blog).

In einem Interview mit der Financial Times hat Google Mitgründer Larry Page zudem angekündigt, dass man ein neues Expertengremium schaffen werde, welches das Unternehmen in Fragen des Datenschutzes in Europa beraten soll. Page versprach zudem eine neue Art des Engagements von Google in Europa. Er bedauere, dass man in der Vergangenheit nicht stärker in einer wirklichen Debatte um den Datenschutz involviert war. Dies wolle man nun ändern. Google wird versuchen „europäischer“ zu werden und bestimmte Themen aus dem europäischen Blickwinkel betrachten.

In eigener Sache: Ab Juni bei JBB – de lege data wird fortgesetzt

Irgendwann geht auch einmal (schneller als gedacht) das Referendariat zu Ende. Für mich stand seit längerer Zeit fest, dass ich in meinem „Lieblingsbereich“, dem Medien- und vor allem Datenschutzrecht, arbeiten möchte.

Die letzten zwei Jahre sind praktisch verflogen und ich hatte in dieser Zeit die Chance, in vielen interessanten Stationen zu arbeiten und zu lernen, so dass ich zurückblicke und sage, „Es hat Spass gemacht“ (nicht zuletzt weil am letzten Tag dieses Ausbildungsabschnitts, in der mündlichen Prüfung, der öffentlich rechtliche Teil tatsächlich mit dem Satz eingeleitet wurde „Seit zwei Tagen haben wir ja nun ein Recht auf Vergessen im Internet“).

Heute freue ich mich sehr, in eigener Sache ankündigen zu dürfen, dass ich ab Juni 2014 die Kanzlei JBB Rechtsanwälte in Berlin im Bereich IT und Datenschutzrecht unterstützen werde. Meiner beruflichen Zukunft sehe ich gespannt, voller Erwartung und mit Tatendrang entgegen und freue mich auf eine interessante, lehrreiche und erfolgreiche Zusammenarbeit.

Mein Blog ‘de lege data‘ werde ich weiterhin betreiben und auch in Zukunft aktuelle Themen und Entwicklungen, vor allem im Bereich des Datenschutzes, verfolgen und kommentieren.

Nach weltweiter Prüfung: Auch deutsche Datenschützer stellen rechtliche Mängel bei Apps fest

Im Rahmen des „Privacy Sweep 2014“ haben Datenschutzbehörden auf der ganzen Welt in der Woche vom 12. bis 18. Mai 2014 Apps und deren Anbieter datenschutzrechtlich überprüft.

In Deutschland nahm u. a. der Landesdatenschutzbeauftragte aus Baden-Württemberg an der koordinierten Aktion teil und prüfte Apps die in Baden-Württemberg entwickelt wurden oder deren Anbieter dort ansässig sind.

Laut der offiziellen Pressemitteilung (PDF) des Landesdatenschützers wurde dabei festgestellt, „dass die meisten Apps die notwendige Transparenz im Umgang mit personenbezogenen Daten vermissen ließen“. Kritikpunkt ist vor allem das Fehlen einer Datenschutzerklärung, aus der für die Nutzer hervorgehen muss, welche Daten zur Nutzung des Dienstes erforderlich sind und verarbeitet werden.

App-Anbieter haben in Deutschland vor allem die datenschutzrechtlichen Vorgaben des Telemediengesetzes (TMG) und des Bundesdatenschutzgesetzes (BDSG) zu beachten. Bereits vor einem Jahr hatte das bayerische Landesamt für Datenschutz eine Prüfung von Apps und deren Betreibern durchgeführt und teils erhebliche rechtliche Mängel festgestellt (hierzu mein Beitrag). Die Pflicht eine Datenschutzerklärung vorzuhalten, ergibt sich für App-Betreiber aus § 13 Abs. 1 TMG. Auch der Zusammenschluss der europäischen Datenschutzbehörden (Art. 29 Gruppe) hatte in einer Stellungnahme aus dem Jahre 2013 (WP 202, PDF) auf die rechtliche Pflicht zur Information der App-Nutzer durch den Betreiber hingewiesen, bevor dieser Informationen auf dem Smartphone des Nutzers speichert oder auf dieses über die App zugreift.

Für Betreiber von Apps dürfte zudem interessant sein, dass der baden-württembergische Landesdatenschutzbeauftragte angekündigt hat, in Zukunft derartige Kontrollaktionen gerne wiederholen zu wollen. Angesichts der durchgeführten Prüfaktionen der Behörden in Deutschland (und der Gefahr, bei datenschutzrechtlichen Verstößen gemäß § 16 Abs. 2 TMG eine Ordnungswidrigkeit zu begehen, die nach § 16 Abs. 3 TMG mit einem Bußgeld bis zu 50.000€ geahndet werden kann) sollten App-Betreiber stets die Konformität ihrer Datenschutzerklärung prüfen bzw. eine solche für ihre Dienste erstellen.

Update vom 27.5.2014:

Auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat an der diesjährigen Prüfaktion von Apps teilgenommen. Laut der Pressemitteilung wurden 15 internationale iOS und Android-Apps sowie 15 bayerische iOS und Android-Apss untersucht. Bei der Prüfung wurden „erhebliche Mängel beim Datenschutz“ festgestellt. Thomas Kranig, Präsident des BayLDA, stellt fest, dass „die schlechte datenschutzrechtliche Bewertung insbesondere der bayerischen iOS-Apps zeigt, dass die datenschutzrechtlichen Anforderungen durch bayerische App-Anbieter nicht ausreichend wahrgenommen werden„. Wie auch sein baden-württembergischer Kollege zieht Kranig für die zukünftige Arbeit seiner Behörde hieraus den Schluss, dass „nach dieser eher allgemeinen Prüfung eine noch intensivere Prüfung von Apps nach den Maßstäben deutscher Datenschutzgesetze und eine Ahndung von Verstößen notwendig ist„.

 

 

Datenschutzreform: Bundesrat sieht weiterhin Nachbesserungsbedarf

Der Deutsche Bundesrat hat in seiner heutigen Sitzung zu der Mitteilung der Europäischen Kommission mit dem Titel „Ein offenes und sicheres Europa – Praktische Umsetzung“ (KOM(2014) 154 endg., PDF) Stellung genommen. In dem hierzu verabschiedeten Beschluss (BR-Drs. 123/14, PDF) bedauert der Bundesrat, dass in der Mitteilung die weitere Entwicklung des europäischen Datenschutzrechts nicht in den Blick genommen wurde.

Dies vor allem deshalb, weil aus Sicht des Bundesrates die anhaltenden Beratungen um die europäische Datenschutzreform „bereits weitreichend Reformerfordernisse aufgezeigt haben“. Für den Bundesrat stellt dabei die Verwirklichung wirksamer Garantien zum Schutz personenbezogener Daten, gerade unter den Bedingungen global vernetzter Kommunikation, eine der zentralen strategischen Aufgaben einer dem Schutz ihrer Bürgerinnen und Bürger verpflichteten Europäischen Union dar.

Wichtig ist dem Bundesrat dabei jedoch, dass ein zukünftig modernisiertes europäisches Datenschutzrecht „vor allem den unterschiedlichen Regelungsbedarfen des öffentlichen und des privaten Sektors Rechnung tragen“ muss. Die zu entwickelnden Vorgaben dürften nicht hinter bereits bestehende nationale Regelungen und den geltenden Rechtsakt der Union für den Datenschutz bei der grenzüberschreitenden Zusammenarbeit von Polizei und Justiz zurückfallen.

Der Bundesrat verweist des weiteren auf seine Stellungnahmen zu der vorgeschlagenen Datenschutz-Grundverordnung (BR-Drs. 52/12 und (2), PDF) und der Richtlinie für den Datenschutz bei Polizei und Justizbehörden (BR-Drs. 51/12 und (2), PDF) aus dem Jahre 2012. Die in diesen Beschlüssen aufgezeigten Nachbesserungserfordernisse würden weiterhin gelten.

Diese Forderungen, insbesondere das Kernanliegen zur Gewährleistung ausreichender Spielräume für nationale Datenschutzregelungen im öffentlichen Bereich, gelten fort.

Zwar erkennt der Bundesrat den Fortschritt der Verhandlungen auf europäischer Ebene, wie etwa die gemeinsame Position des Europäischen Parlaments vom März 2014, an. „Dennoch sieht der Bundesrat Klarstellungsbedarf insbesondere mit Blick auf die Möglichkeiten, in den Mitgliedstaaten besondere Anforderungen bei der Verarbeitung personenbezogener Daten vorzusehen“.

Erforderlich sei daher eine rasche Klärung der noch offenen Fragen im Rat der Europäischen Union. Dabei betont der Bundesrat, dass es unerlässlich sei, zeitnah einen einheitlichen Rechtsrahmen für den Datenschutz auf EU-Ebene zu finden.

Daneben ist dem Bundesrat jedoch wichtig, den Dialog und die Zusammenarbeit mit Drittstaaten auszubauen. Nur so könne gemeinsam den Herausforderungen des Datenschutzes in einer vernetzten Welt entgegengetreten werden. Er bedauere,

dass die bisherigen Anstrengungen der EU hierzu, zum Beispiel beim Dialog über Datenschutzfragen mit den Vereinigten Staaten von Amerika über die Safe-Harbor-Grundsätze oder ein Datenschutz-Rahmenabkommen im Bereich der Strafverfolgung, trotz unstreitigen Handlungsbedarfs bislang nur zu langsamen Fortschritten geführt haben.

Datenschutz bei Smart-TVs: Datenschützer legen Voraussetzungen fest

Der Zusammenschluss der deutschen Datenschutzbehörden für den nicht-öffentlichen Bereich (Düsseldorfer Kreis) hat zusammen mit den Datenschutzbeauftragten der öffentlich-rechtlichen Rundfunkanstalten eine gemeinsame Position zum Datenschutz bei sog. Smart-TVs veröffentlicht (Gemeinsame Position: Smartes Fernsehen nur mit smartem Datenschutz, PDF).

In ihrer Position weisen die Datenschützer darauf hin, dass im Alltag immer mehr internetfähige Fernsehgeräte benutzt werden. Hierbei entsteht, neben dem normalen Fernsehsignal, ein Rückkanal an den Hersteller des Gerätes oder zum Fernsehsender über das Internet. Über diesen Kanal ist es grundsätzlich möglich, das Nutzungsverhalten der Zuschauer zu erfassen. Die Datenschützer sehen in dieser Möglichkeit der Aufzeichnung des Nutzerverhaltens eine Gefahr für das Recht auf freien Informationszugang, welches „empfindlich beeinträchtigt“ werden könnte.

Die Datenschutzbehörden stellen daher folgende Anforderungen an einen datenschutzrechtskonformen Einsatz von Smart-TVs und der Datenverarbeitung:

Eine Profilbildung über das individuelle Fernsehverhalten der Nutzer ist ohne informierte und ausdrückliche Einwilligung der Zuschauer unzulässig.

Web- oder HbbTV-Dienste unterliegen als Telemedien dem TMG und dessen datenschutzrechtlichen Anforderungen. Die Mindestvorgaben an Hersteller, Sendeanstalten oder andere Dritte lauten hierbei: auch personenbeziehbare Daten der Nutzer dürfen nur verwendet werden, wenn dies zur Erbringung des jeweiligen Dienstes erforderlich ist. Zudem müssen Betroffene zu Beginn der Nutzung über die Datenerhebung informiert werden.

Grundsätzlich dürfen Nutzungsprofile nur mit Pseudonymen erstellt werden und die Nutzer dürfen der Profilerstellung nicht widersprochen haben. Zu beachten ist, dass nach Ansicht der Datenschützer IP-Adressen und Gerätekennungen keine Pseudonyme i. S. d. TMG darstellen.

Zudem haben nach Ansicht der Datenschützer die Gerätehersteller und Diensteanbieter das Prinzip des „Privacy by Default“ zu beachten. Es solle eine anonyme Nutzung der Dienste ermöglicht werden. Eine Nutzung der Webdienste dürfe erst nach einer umfassenden Information der Nutzer erfolgen. Zudem müssten die Nutzer die Kontrolle über die auf den Geräten gespeicherten Daten besitzen (z. B. Verwaltung von Cookies).

Zuletzt weisen die Datenschutzbehörden darauf hin, dass nach ihrer Auffassung die Gerätehersteller, Fernsehsender oder sonstige Web-Dienste über sicherheitstechnische Mechanismen verfügen müssten, die die Geräte und den Datenverkehr vor dem Zugriff unbefugter Dritter schützen.

Ausländische Telekommunikationsanbieter in den USA zum nationalen Routing verpflichtet

In der öffentlichen Debatte um die Einführung eines sog. „Schengen-Routings“ von Daten in Europa wurde häufig kritisiert, dass dies zu einer Zersplitterung des Internets führen würde und Europa oder Deutschland sich mit derartigen Maßnahmen vom Rest des Netzes abkapseln würden. Aus dem Bundeswirtschaftsministerium war in diesen Tagen zu hören, dass man ein nationales Routing allenfalls als freiwilliges Angebot zwischen den Unternehmen in Betracht ziehe. Anfang April hat sich auch der Handelsvertreter der Vereinigten Staaten von Amerika öffentlich gegen derartige Pläne ausgesprochen (hier mein Blogbeitrag dazu) und dies unter anderem mit einem faktischen Ausschluss und einer Diskriminierung ausländischer Anbieter begründet.

Blickt man jedoch in die USA, so zeigt sich, dass die Pflicht zu einem nationalen Routing für Telekommunikationsanbieter dort bereits Realität und eine rechtliche Pflicht ist. Der Grund: um amerikanischen Behörden einfacheren und direkten Zugriff auf gespeicherte Daten zu ermöglichen.

Ausländische, auf dem US-Markt agierende Unternehmen, schließen Verträge mit Regierungsstellen (u. a. dem Heimatschutzministerium oder dem Justizministerium) ab, in denen sie sich dazu verpflichten müssen, inländischen Datenverkehr allein innerhalb des Staatsgebietes von Amerika zu transportieren und zu speichern. Eine Auflistung von verschiedenen Verträgen, u. a. mit der Deutschen Telekom oder Telefonica Moviles) findet sich hier.

Anhand des Vertrages der Telefonica Moviles (abrufbar hier, PDF) möchte ich kurz auf ein paar der Pflichten eingehen, die dem Unternehmen auferlegt werden.

Wichtig ist zunächst unter Ziff. 1.7 die Definition der „Domestic Communications“. Dies umfasst sowohl die drahtlose als auch drahtgebundene Kommunikation, welche in den USA beginnt und endet. Aber ebenso den amerikanischen Anteil solcher Kommunikationen, die entweder in den USA beginnen oder dort enden. Zudem wird unter Ziff. 1.8 die „Domestic Communications Infrastructure“ definiert, wozu auch Anlagen und Geräte zum Routing zählen.

Nach Ziff. 2.1 des Vertrages besteht die Pflicht, dass sowohl die „Domestic Communications Infrastructure“ allein in den USA belegen sein darf und auch die durch sie abgewickelte nationalen Kommunikationsvorgänge allein durch diese Einrichtungen in den USA ausgeführt werden dürfen.

Nach Ziff. 2.3 des Vertrages besteht zudem eine Speicherpflicht für die nationalen Daten allein in den USA.

Zudem stellt Ziff. 2.8 explizit eine nationale Routing-Pflicht auf. Nationale Kommunikation darf danach nicht außerhalb der USA gerouted werden.

Und wie sieht es mit dem Zugang zu diesen Daten durch ausländische Behörden aus? Nach Ziff. 3.4 des Vertrages dürfen sowohl nationale Kommunikationsdaten (und zudem noch weitere Datenkategorien) weder direkt oder indirekt an ausländische Behörden weitergegeben werden, ohne dass eine vorherige schriftliche Zustimmung des amerikanischen Justizministeriums oder eine Anordnung eines amerikanischen (nicht etwa ausländischen) Gerichts vorliegt.

Die Verträge zeigen, dass ein nationales Routing in den USA bereits an der Tagesordnung ist. Einer der Gründe ist, den staatlichen Behörden einen einfachen Zugriff für Überwachungsmaßnahmen zu ermöglichen, wie sich etwa aus Ziff. 2.1 (b) ergibt.

Damit ist freilich noch nichts darüber gesagt, ob ein nationales Routing in Europa oder Deutschland tatsächlich gegen die Überwachung durch ausländische Geheimdienste schützen würde. Nur das Argument, dass dies eine neue Qualität des Eingriffs in den freien Fluss der Daten im Internet darstellen und Europa damit allein dastehen würde, kann damit kaum noch gelten.

Datenschutzreform: neue Ratsdokumente belegen anhaltenden Diskussionsbedarf

Unter EUDataP-links.com, einer Unterseite dieses Blogs, habe ich neue Dokumente aus der DAPIX (die für den Datenschutz zuständige Ratsarbeitsgruppe) zur Datenschutzreform verlinkt. Thematisch geht es dabei vor allem um den Dauerbrenner „one-stop-shop“ und den Datentransfer in Drittstaaten.

Wie sich aus den Dokumenten ergibt, besteht weiterhin anhaltender Diskussionsbedarf zwischen den europäischen Mitgliedstaaten in Bezug auf das Streben nach einer gemeinsamen Position zur geplanten Datenschutz-Grundverordnung (DS-GVO). Die Dokumente datieren von Ende April 2014, bilden daher wohl nicht den aktuellsten Stand der Verhandlungen ab.

Dennoch zeigt ein Blick in die Papiere und dabei insbesondere in die Fußnoten, dass Mitgliedstaaten teilweise erheblichen Diskussions- und Änderungsbedarf hinsichtlich elementarer Grundsätze der geplanten DS-GVO sehen. Beispielhaft möchte ich kurz auf das Dokument zu Datentransfers in Drittstaaten eingehen (8087/1/14 REV 1, PDF).

Einige Mitgliedstaaten zweifeln die Wirksamkeit des Prinzips der Angemessenheitsentscheidungen durch die Europäische Kommission an (siehe Fn. 13). Diese Angemessenheitsentscheidungen werden von der Kommission getroffen, um einem Drittland oder auch nur einem bestimmten Industriebereich eines Drittlandes, ein angemessenes Datenschutzniveau zu attestieren und damit Datentransfers aus der EU dorthin zu ermöglichen. Frankreich möchte zudem wissen, ob Datenübermittlungen im Rahmen des Cloud-Computing nach Ansicht der Kommission ebenfalls einen internationalen Datentransfer darstellen. Deutschland schlägt vor, dass in der DS-GVO Regelungen für die Einrichtung von Selbstverpflichtungsmechanismen in Drittstaaten (wie etwa Safe Harbor in den USA) aufgenommen werden.

Zudem werden in dem Ratsdokument auch neue Anforderungen an die den Datentransfers zugrundeliegenden Instrumenten gestellt. So sollen in unternehmensweit geltende Richtlinien (BCRs), welche durch die nationalen Datenschutzbehörden freigegeben werden müssen, nach Art. 43 Abs. 2 (l) auch Hinweise auf die in einem Konzern vorgehaltenen Mechanismen gegeben werden, welche dort existieren, um eine Datenschutzbehörde auf Anforderungen des Rechts eines Drittstaates hinzuweisen, die ein Unternehmen des Konzerns verpflichten und sich negativ auf den durch die BCRs gewährten Schutz der personenbezogenen Daten auswirken können. Im Blick hatte man hierbei wohl vor allem Anfragen und Herausgabeverlangen von drittstaatlichen Behörden.

Auf Vorschlag der deutschen Delegation (Fn. 75) wurde zudem die Voraussetzung einer „ausdrücklichen“ Einwilligung in Art. 44 Abs. 1 (a) eingefügt, die als Grundlage einer Datenübermittlung in einen Drittstaat dienen kann. Vorher war hier nur von einer „Einwilligung“ die Rede.

Bereits ein Blick in dieses Dokument zu einem besonderen Themenbereich zeigt, dass die Diskussionen im Rat weiter anhalten, Vorschläge gemacht und Änderungen eingearbeitet werden. Wenn man die Fußnoten und damit die Anmerkungen der Mitgliedstaaten liest, dann fällt zudem auf, dass Deutschland einer der aktivsten Diskussionsteilnehmer ist, sei es nun durch das Einbringen eigener Vorschläge oder kritische Anmerkungen.

Das Google-Urteil des EuGH – übers Ziel hinaus geschossen?

Mit Urteil vom heutigen Tage hat der EuGH (Az. C-131/12) verschiedene wichtige Entscheidungen in Bezug auf die zukünftige Anwendung und Durchsetzung des europäischen Datenschutzrechts getroffen. Zur Entscheidung lag ihm dabei ein Verfahren zwischen Google und der spanischen Datenschutzbehörde (AEPD) vor. Die von einem spanischen Gericht vorgelegten Fragen betreffen grob folgende Themenkomplexe: 1. den räumlichen Anwendungsbereich der geltenden Datenschutzrichtlinie (DS-RL, RL 95/46/EG, PDF); 2. die Verantwortlichkeit von Suchmaschinenbetreibern für durch sie indexierte Webseiten und darauf befindliche Daten; 3. die Reichweite des Rechts auf Löschung von personenbezogenen Daten.

Sachverhalt
Der dem Urteil zugrunde liegender Sachverhalt stellt sich grob wie folgt dar: gegen einen Betroffenen wurden, aufgrund von Schulden bei der Sozialversicherung, Immobilienversteigerungen betrieben. Diese wurden in einer Zeitung zunächst offline und später auch online veröffentlicht. Die Bekanntmachung erfolgte dabei auf einer gesetzlichen Grundlage. Die AEPD lehnte daher Löschungsansprüche des Betroffenen gegen die online abrufbaren Bekanntmachungen gegen das Presseunternehmen ab. Jedoch wandte sich der Betroffene auch an Google und verlangte, dass die betreffenden Seiten aus dem Index der Suchmaschine zu nehmen seien. Dieser Beschwerde gab die AEPD statt und forderte Google auf, die Seiten aus dem Index zu entfernen. Hiergegen wendete sich Google.

Schlussanträge des Generalanwalts
Am 25.6.2013 präsentierte der zuständige Generalanwalt (GA) am EuGH, Jääskinen, seine Schlussanträge zu dem Verfahren. Hierzu hatte ich bereits einmal gebloggt. Die Ergebnisse der rechtlichen Analyse des GA waren die folgenden:

  • Verarbeitungen personenbezogener Daten werden im Rahmen der Tätigkeiten einer „Niederlassung“ des für die Verarbeitung Verantwortlichen im Sinne von Art. 4 Abs. 1 Buchst. a der DS-RL ausgeführt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung oder eine Tochtergesellschaft einrichtet, deren Tätigkeit sich an die Einwohner dieses Staats richtet.

(Diese Auslegung stieß vielfach auf Kritik, da sie über den Wortlaut der Richtlinie hinausgehe und allein das Vorhandensein einer Niederlassung in einem europäischen Land ausreichen lassen würde, um das dortige Datenschutzrecht zur Anwendung zu bringen, auch wenn diese Niederlassung überhaupt nicht in der entscheidungserheblichen Datenverarbeitung beteiligt ist. Der Anwendungsbereich der DS-RL würde damit massiv ausgeweitet.)

  • Ein Internetsuchmaschinen-Diensteanbieter, dessen Suchmaschine nach Informationen sucht, die Dritte im Internet veröffentlicht oder gespeichert haben, diese Informationen automatisch indexiert, vorübergehend speichert und sie schließlich den Nutzern des Internets in einer bestimmten Rangfolge zur Verfügung stellt, „verarbeitet“ personenbezogene Daten im Sinne von Art. 2 Buchst. b der DS-RL, wenn die Informationen personenbezogene Daten enthalten.
  • Der Internetsuchmaschinen-Diensteanbieter kann jedoch hinsichtlich dieser personenbezogenen Daten außer in Bezug auf den Inhalt des Indexes seiner Suchmaschine nicht als der „für die Verarbeitung Verantwortliche“ angesehen werden, es sei denn, er indexiert oder archiviert personenbezogene Daten entgegen den Weisungen oder Aufforderungen des Webseitenurhebers.
  • Das in Art. 12 Buchst. b der DS-RL geregelte Recht auf Löschung und Sperrung von Daten sowie das in Art. 14 Buchst. a der DS-RL vorgesehene Widerspruchsrecht verleihen der betroffenen Person nicht das Recht, sich an den Suchmaschinenbetreiber zu wenden, um die Indexierung auf sie bezogener Informationen zu verhindern, die auf Webseiten von Dritten rechtmäßig veröffentlicht sind, und sich hierzu auf ihren Willen zu berufen, dass diese Informationen den Internetnutzern nicht bekannt werden, wenn sie der Ansicht ist, dass die Informationen ihr schaden könnten, oder sie sich wünscht, dass die Informationen vergessen werden.

Das Urteil des EuGH
Der EuGH geht in seinem Urteil über die vom GA vorgeschlagene rechtliche Lösung hinaus. Man wird wohl bereits jetzt sagen können, dass dieses Urteil in Zukunft teils erhebliche Auswirkungen auf das Geschäftsmodell jeglichen Suchdienstes im Internet haben wird. Thomas Stadler spricht in einem Blogbeitrag davon, dass Urteil habe das Potential, die Funktionsfähigkeit von Suchwerkzeugen erheblich einzuschränken.

1. anwendbares Recht
Hier folgt der EuGH (leider) im Prinzip der Lösung des GA. Der Begriff „im Rahmen der Tätigkeit“ einer Niederlassung i. S. d. Art. 4 Abs. 1 Buchst. a DS-RL sei weit auszulegen. Der durch die DS-RL gewährleistete Schutz dürfe nicht umgangen werden, nur weil ein Diensteanbieter in einem Drittstaat ansässig sei. Daher werden auch Verarbeitungsvorgänge eines Anbieters in einem Drittstaat (hier von Google Search in den USA) „im Rahmen der Tätigkeit“ einer in einem EU Staat befindlichen Niederlassung ausgeführt, wenn diese Niederlassung die Aufgabe hat, in dem Mitgliedstaat für den Verkauf von Werbeanzeigen auf der Internetseite des Anbieters und damit die allgemeine Rentabilität des Unternehmens zu sorgen. Die Tätigkeiten des ausländischen Unternehmens und der europäischen Niederlassung seien dann untrennbar miteinander verbunden.
Diese weite Auslegung des Art. 4 Abs. 1 Buchst. a DS-RL ist aus meiner Sicht kritikwürdig. Denn zum einen besitzt die DS-RL in Art. 4 Abs. 1 Buchst. c einen Tatbestand, der einen Anbieter aus einem Drittstaat europäischen Recht unterwerfen würde, wenn er auf Mittel in der EU zurückgreift. Diese Mittel könnten zB Computer oder aber auch Niederlassungen selbst sein. Mit der weiten Auslegung des Art. 4 Abs. 1 Buchst. a DS-RL durch den EuGH wird diese Tatbestandsalternative praktisch kaum noch relevant werden, obwohl sie aus meiner Sicht gerade diese Konstellationen (Anbieter aus Drittland erhebt Daten im Inland) im Blick hatte. Zum anderen scheint die weite Auslegung des EuGH einfach etwas zu weit zu gehen. Denn die hier relevanten Verarbeitungsprozess (Indexierung und Crawlen) werden eben nicht im „Rahmen der Tätigkeit“ der spanischen Niederlassung durchgeführt. Im Prinzip liest der EuGH den Art. 4 Abs. 1 Buchst. a DS-RL wie „die im wirtschaftlichen Zusammenhang mit den Tätigkeiten der Niederlassung stehe“.

2. Verantwortlichkeit von Google
Der EuGH erkennt, wie der GA, in der Suche, Speicherung und Indexierung von Informationen und eben auch personenbezogenen Daten im Internet durch Google eine „Verarbeitung personenbezogener Daten“ i. S. d. Art. 2 Buchst. b DS-RL. Jedoch geht das Gericht nicht mit der Auslegung des GA konform, dass Google nur dann für die Verarbeitung verantwortlich sei, wenn es um die Daten im Index selbst gehe oder entgegen von technischen Sperren personenbezogene Daten gecrawled habe. Google sei vielmehr für alle selbst ausgeführten Tätigkeiten in Bezug auf personenbezogene Daten auf Webseiten von Dritten verantwortlich. Denn die Tätigkeit der Suchmaschine unterscheide sich von derjenigen der ursprünglichen Herausgeber. Begründet wird diese weite Auslegung des Begriffes der Verantwortlichkeit jedoch auch mit Motiven, die nicht direkt etwas mit dem Verarbeitungsvorgang zu tun haben. Die Tätigkeit von Suchmaschinen habe Anteil an der weltweiten Verbreitung personenbezogener Daten. Sie machen Daten auch solchen Nutzern zugänglich, die die Originalwebseite eventuell gar nicht gefunden hätten. Zudem bestehe die Gefahr, dass bei einer Auflistung von Informationen zu einer Person (die, wohl gemerkt, frei im Netz verfügbar sind) und einer Suche anhand ihres Namens, die Suchenden einen strukturierten Überblick über die betreffende Person erhalten, anhand dessen sie ein Profil dieser Person erstellen können.

3. Löschpflichten
Ist danach klar, dass Google grundsätzlich verantwortlich ist, sobald es mit eigenen Mechanismen Informationen aus dem Netz zusammensucht und als Ergebnislisten darstellt, stellte sich die Frage, ob Google zu einer Löschung von Links in Ergebnislisten auf Webseiten Dritter verpflichtet ist, selbst wenn die Veröffentlichung rechtmäßig erfolgte. Diese Löschpflicht kann sich aus Art. 12 Buchst. b DS-RL ergeben. Dazu müsste ihre Verarbeitung nicht den Bestimmungen der DS-RL entsprechen.

Der EuGH prüft zunächst die Rechtsgrundlage der Datenverarbeitungsvorgänge von Google. Hierbei bezieht er sich auf Art. 7 Buchst. f DS-RL. Diese Grundlage stellt auf die „berechtigten Interessen“ des für die Verarbeitung Verantwortlichen oder Dritten ab. Jedoch dürfen das Interesse oder die Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen. Erforderlich ist also eine Abwägung der sich gegenüberstehenden Rechte und Interessen. Nach dem EuGH

kann eine von einem Suchmaschinenbetreiber ausgeführte Verarbeitung personenbezogener Daten wie die im Ausgangsverfahren in Rede stehende die Grundrechte auf Achtung des Privatlebens und Schutz personenbezogener Daten erheblich beeinträchtigen, wenn die Suche mit dieser Suchmaschine anhand des Namens einer natürlichen Person durchgeführt wird, da diese Verarbeitung es jedem Internetnutzer ermöglicht, mit der Ergebnisliste einen strukturierten Überblick über die zu der betreffenden Person im Internet zu findenden Informationen zu erhalten, die potenziell zahlreiche Aspekte von deren Privatleben betreffen und ohne die betreffende Suchmaschine nicht oder nur sehr schwer hätten miteinander verknüpft werden können, und somit ein mehr oder weniger detailliertes Profil der Person zu erstellen.

Zudem steigere die Rolle des Internets und damit der weltweite Abruf der Informationen noch die Eingriffsintensität. Nun kommt das Gericht zu den berechtigten Interessen von Google. Hier führt es aus, dass wegen seiner potenziellen Schwere, ein solcher Eingriff nicht allein mit dem wirtschaftlichen Interesse des Suchmaschinenbetreibers an der Verarbeitung der Daten gerechtfertigt werden könne. Die Interessen von Google bügelt der EuGH damit in einem Satz ab.

Jedoch stellt der EuGH dann fest, dass eine Löschung aus den Ergebnislisten die berechtigten Interessen von Dritten, nämlich der Internetnutzer, beeinträchtigen könnte. Nun muss also eine Interessenabwägung in diesem Verhältnis vorgenommen werden. Hierbei stellt der EuGH jedoch als Ausgangspunkt klar:

Zwar überwiegen die durch diese Artikel geschützten Rechte der betroffenen Person im Allgemeinen gegenüber dem Interesse der Internetnutzer;

Jedoch könne der nötige Ausgleich in besonders gelagerten Fällen aber von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren. Im Prinzip lässt der EuGH hier eine (meines Erachtens bedenkliche) Tendenz erkennen. Nämlich dass Informationen dann zu löschen sind bzw. das Interesse der betroffenen Person zunächst einmal grundsätzlich überwiege und eben nur in besonderen Fällen, etwa bei Prominenten oder tagesaktuellen oder historischen Geschehnissen, hinter dem Informationsinteresse der Internetnutzer zurückzutreten habe. Damit besteht also im Ausgangspunkt eine Löschpflicht, selbst bei rechtmäßiger Weise veröffentlichten Informationen, wenn die Interessen des Betroffenen überwiegen. Dies ist nach dem EuGH grundsätzlich der Fall, außer in besonderen Situationen. Wohlgemerkt beziehen sich die Ausführungen des Gerichts auf Suchmaschinenbetreiber und die von ihnen generierten Ergebnislisten, vor allem wenn nach Namen von Personen gesucht werden.

4. Recht auf Vergessen werden
Zum Schluss befasst sich der EuGH mit der Frage, ob ein Betroffener ein Recht darauf hat, das Informationen zu ihm, die im Internet veröffentlicht wurden, irgendwann vergessen werden müssen.

Hierzu stellt der EuGH fest, dass Daten nach Art. 12 Buchst. b DS-RL auch dann zu löschen sind, wenn sie nicht den Zwecken der Verarbeitung entsprechen, dafür nicht erheblich sind oder darüber hinausgehen, nicht auf den neuesten Stand gebracht sind oder länger als erforderlich aufbewahrt werden, es sei denn ihre Aufbewahrung ist für historische, statistische oder wissenschaftliche Zwecke erforderlich. Hieraus ergebe sich, dass auch eine ursprünglich rechtmäßige Verarbeitung sachlich richtiger Daten im Laufe der Zeit nicht mehr den Bestimmungen der Richtlinie entsprechen kann, wenn die Daten für die Zwecke, für die sie erhoben oder verarbeitet worden sind, nicht mehr erforderlich sind.

Im Rahmen der Prüfung des Löschungsrechts nach Art. 12 Buchst. b DS-RL gelte es auch die Voraussetzungen des Art. 6 Abs. 1 DS-RL zu beachten, insbesondere, dass Daten nicht mehr den ursprünglichen Zwecken entsprechen. Wenn sich herausstelle, dass die Informationen in Anbetracht aller Umstände des Einzelfalls den Zwecken der in Rede stehenden Verarbeitung durch den Suchmaschinenbetreiber nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, müssen die betreffenden Informationen und Links der Ergebnisliste gelöscht werden, so das Gericht. Daher müsse auch geprüft werden, ob die betroffene Person ein Recht darauf habe, dass die betreffenden Information über sie zum gegenwärtigen Zeitpunkt nicht mehr durch eine Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Suche angezeigt wird, mit ihrem Namen in Verbindung gebracht wird. Hierbei weist der EuGH darauf hin, dass die Feststellung eines solchen Rechts nicht voraus setze, dass der betroffenen Person durch die Einbeziehung der betreffenden Information in die Ergebnisliste ein Schaden entstehe.

Und auch hier rückt der EuGH nicht von seiner eingeschlagenen Linie (des grundsätzlichen Vorrangs des Schutzes der Privatsphäre vor Informationsinteressen) ab. Er stellt vielmehr ausdrücklich klar, dass wenn die betroffene Person in Anbetracht ihrer Grundrechte aus den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union verlangen kann, dass die betreffende Information der breiten Öffentlichkeit nicht mehr durch Einbeziehung in eine derartige Ergebnisliste zur Verfügung gestellt wird, ist davon auszugehen, dass diese Rechte grundsätzlich nicht nur gegenüber dem wirtschaftlichen Interesse des Suchmaschinenbetreibers, sondern auch gegenüber dem Interesse der breiten Öffentlichkeit daran, die Information bei einer anhand des Namens der betroffenen Person durchgeführten Suche zu finden, überwiegen.

Fazit
Die Entscheidung des EuGH übertrifft wohl sämtliche Erwartungen an das Verfahren. Nicht nur weil das Gericht über die Linie des GA hinausgegangen ist, sondern vor allem mit welcher Deutlichkeit dies geschieht. Die Tendenz, dem Recht auf Schutz personenbezogener Daten grundsätzlich einen Vorrang einzuräumen und nur in besonderen Situationen eine Veröffentlichung zuzulassen, sollte man kritisch betrachten. Zudem scheint sich das Urteil vielerorts weniger durch juristische oder an Datenverarbeitungsprozessen ausgerichteten faktischen Feststellungen, sondern oft auch die allgemeine, aus Sicht der EuGH, negative Wirkung und das Geschäftsmodell von Google und dessen Suche in den Blick zu nehmen.

Datenschutz im Auto – Bundesregierung: „höchst komplex“

Das vernetzte Auto als Teil des Internets der Dinge wirft gerade auch im Bereich des Datenschutzrechts neue Fragen auf. Häufig drehen sich diese um das „Eigentum“ an Daten (wobei diese Begrifflichkeit im Datenschutzrecht verfehlt erscheint). Wer darf im Fahrzeug erhobene Daten verwenden? Wem „gehören“ diese Daten?

Auf eine kleine Anfrage der Fraktion Bündnis 90/Die Grünen im Bundestag hat nun die Bundesregierung ihre Sichtweise zum Thema „Datenschutz im Auto“ (BT-Drs. 18/1362, PDF) dargelegt.

Zunächst ist es der Bundesregierung wichtig, zwischen zwei Datenkategorien zu differenzieren: zum einen den Daten für Fahrzeugfunktionen (Daten in den Steuergeräten) und zum anderen den Daten für Servicefunktionen (Daten, welche bei der Nutzung des Infotainmentsystems anfallen).

Und wem „gehören“ diese Daten nun? Nach Ansicht der Bundesregierung besitzt der Fahrzeughalter grundsätzlich die tatsächliche Verfügungsgewalt über Daten in den Steuergeräten. Er entscheidet über die Verwendung des Fahrzeugs und ist für dessen verkehrssicheren Zustand verantwortlich. Rein faktisch stellt sich jedoch das Problem, dass die Daten für den Halter nutzlos sind, da er zum einen nicht die Geräte besitzt, um sie auslesen zu können. Zum anderen wird der Halter kaum das Fachwissen besitzen, um aus den ausgelesenen Daten Rückschlüsse ziehen zu können, sie also zu verstehen. Hierbei handeln die Stellen, welche die Daten auslesen und auswerten können zumeist im Auftrag des Halters. Bei zusätzlichen Servicefunktionen wird oft mit dem Hersteller selbst ein zivilrechtlicher Vertrag abgeschlossen, auf dessen Grundlage Daten verarbeitet werden dürfen.

Die Frage nach „Rechten an Daten“ stellt sich nach der Bundesregierung als „höchst komplex“ dar. Zum einen, weil das BDSG eine Art des Eigentums an Daten nicht kenne. Es unterscheidet zwischen dem für die Verarbeitung Verantwortlichen (und eventuell noch in seinem Auftrag Handelnden) und dem Betroffenen. Betroffener ist grundsätzlich der Fahrzeughalter und/oder Fahrer. Jedoch ist es auch durchaus denkbar, dass der Betroffene selbst der für die Verarbeitung Verantwortliche ist. Dies hängt nach der Bundesregierung davon ab, ob er selbst die Datenherrschaft über die gespeicherten Daten ausüben kann. Fehlt es an einer solchen effektiven Ausübungsmöglichkeit, etwa weil die technischen Geräte zum Auslesen der Daten fehlen oder die entsprechende Kenntnis nicht vorhanden ist, so ist nach Ansicht der Bundesregierung derjenige verantwortlich, der diese Gerätschaften oder Kenntnis besitzt. Also z. B. die Werkstatt oder der Hersteller. Deren Verantwortlichkeit liegt jedoch wiederum dann nicht vor, wenn sie ihre Aufgaben und Datenverarbeitungsvorgänge im Auftrag des Fahrzeughalters ausführen.

Interessant ist, dass die Bundesregierung die datenschutzrechtliche Verantwortlichkeit an die Datenherrschaft anknüpft. Diese wiederum bestehe aus zwei Komponenten: aus einer technischen Komponente (Auslesen und Zugang zu Daten) und einem Wissenselement, die Daten nutzen und verstehen zu können. Diese wird bei Daten im Auto grundsätzlich nicht bei den Haltern vorliegen. Ihre Verantwortlichkeit könne sich jedoch dadurch ergeben, dass mit Werkstätten, Herstellern etc. Verträge abgeschlossen werden, nach denen die Dienstleister allein im Auftrag des Halters handeln.

Die Zuordnung der Verantwortlichkeiten sei jedoch stets vom Einzelfall abhängig und könne nicht pauschal festgestellt werden. Aufgrund der Schwierigkeit der Zuordnung, spricht sich die Bundesregierung auch für eine Fortentwicklung des Systems der Verantwortlichkeit im Rahmen der geplanten Datenschutz-Grundverordnung aus.

Für die Datenverarbeitungen rund um das Kfz sollen zudem auch die allgemeinen datenschutzrechtlichen Vorgaben, insbesondere etwa auch das Gebot der Datensparsamkeit (§ 3a BDSG) gelten. Eine bestehende Regelungslücke kann die Bundesregierung nicht erkennen. So gelten für Datenverarbeitungsvorgänge im Auto auch die Vorgaben von spezielleren Gesetzen, wie etwa dem TMG. Aktuell werde daher von einer datenschutzgerechten Ausgestaltung ausgegangen.