Zum Like-Button Urteil in Düsseldorf: Wer ist denn nun für was verantwortlich?

Heute hat das Landgericht Düsseldorf in einem Verfahren zwischen der Verbraucherzentrale NRW und dem Unternehmen Fashion ID ein Urteil (pdf) zu datenschutzrechtlichen Fragen rund um den Facebook Like-Button gefällt (Az 12 O 151/15). Im Ergebnis wurde die Klage der Verbraucherschützer in weiten Teilen für begründet erachtet. Nachfolgend möchte ich kurz auf einige Aspekte des Urteils, teilweise auch kritisch, eingehen.

Das Unternehmen hatte auf seiner Webseite das bekannte Social Plugin eingebunden und hierauf in seiner Datenschutzerklärung, die über einen Link erreichbar war, hingewiesen. Zudem wurde dort darauf aufmerksam gemacht, dass Daten an Facebook übertragen werden und auf die Datenschutzerklärung von Facebook hingewiesen.

Personenbezug von IP-Adressen

Im Tatbestand führt das Gericht zunächst aus, dass es vorliegend um sog. Dynamische IP-Adressen geht. Nur dem jeweiligen Telekommunikationsunternehmen als Anbieter des Internetzugangs sei es möglich, Auskunft darüber zu erteilen, welchem Anschlussnehmer eine IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet war.  Zudem geht das Gericht davon aus, dass beim Aufruf einer Webseite, die den Like-Button integriert hat, mindestens die IP-Adresse und der String des vom Webseitenbesucher genutzten Browsers an Facebook übermittelt werden.

Wichtig ist die Feststellung des Gerichts, dass diese Daten nicht vom Server des Webseitenbetreibers, sondern von dem Endgerät des Nutzers direkt an Facebook übermittelt werden.

In seinen Urteilsgründen geht das Gericht weiter davon aus, dass es Facebook zumindest mit Blick auf registrierte Mitglieder (seien diese ein- oder ausgeloggt, wenn sie die Webseite von Fashion ID besuchen) möglich sei, dieser IP-Adresse und anderen Informationen ein Mitglied zuzuordnen. Für Facebook handelt es sich also bei jenen Informationen, die über den Like-Button erhoben werden, um personenbezogene Daten.

Doch macht das Gericht hier nicht Halt, sondern geht, der sog. absoluten Theorie des Personenbezugs folgend, davon aus, dass damit die IP-Adresse auch für Fashion ID ein personenbezogenes Datum darstelle. Die Übermittlung der IP-Adresse stelle daher eine Übermittlung personenbezogener Daten dar.

Interessanterweise spricht das Gericht hier ausdrücklich von einer „Übermittlung“, obwohl zuvor festgestellt wurde, dass diese Übermittlung nicht, zumindest nicht technisch, durch den Webseitenbetreiber vorgenommen wird, sondern direkt zwischen dem Nutzer und Facebook erfolgt.

Webseitenbetreiber als datenschutzrechtlich verantwortliche Stelle

Danach stellt das Gericht fest, dass Fashion ID eine verantwortliche Stelle nach § 3 Abs. 7 BDSG ist. Es fragt sich jedoch: für was? Bzw. für welche konkreten Datenerhebungs-, – verarbeitungs- oder –nutzungsvorgänge?

Nach Auffassung des Gerichts ist der Begriff der „verantwortlichen Stelle“ weit auszulegen und der Webseitenbetreiber „beschafft“ personenbezogene Daten. Damit liegt eine datenschutzrechtlich relevante Erhebung (§ 3 Abs. 3 BDSG) vor. Diese Feststellung ist meines Erachtens von besonderer Relevanz für das weitere Studium des Urteils. Unter anderem auch deshalb, da später auf andere Verarbeitungsphasen abgestellt wird, was doch irritiert. Und zum anderen deshalb, weil ich eine datenschutzrechtliche Einwilligung konkret auf einen bestimmten Umgang mit personenbezogenen Daten beschränken muss. Unternehmen sollten also als Ergebnis zumindest wissen müssen, für welche Phase der Erhebung, Verarbeitung oder Nutzung sie, nach Auffassung des LG Düsseldorf, verantwortlich sind.

Schon im nächsten Satz führt das Gericht darüberhinausgehend aus, dass das Unternehmen durch die Einbindung des Plugins die „Datenerhebung und spätere Verwendung der Daten“ durch Facebook ermögliche.

Zwei Kritikpunkte: Die „Ermöglichung“ einer Datenverarbeitung ist nicht von der Definition der verantwortlichen Stelle (§ 3 Abs. 7 BDGS) umfasst. Zudem scheint nun hier doch eine Datenerhebung durch Facebook im Raum zu stehen, obwohl zuvor die Erhebung durch den Webseitenbetreiber festgestellt wurde.

In einem weiteren Satz geht das Gericht dann davon aus, dass Fashion ID durch das Einbinden des Plugins an der unmittelbar „an der Erhebung durch Facebook“ mitwirke. Geht das Gericht also nun von einer alleinigen Verantwortlichkeit für die Erhebung, einer Mitverantwortlichkeit oder aber einer Verantwortlichkeit von Facebook aus? Dies wird leider nicht deutlich.

Das LG Düsseldorf urteilt weiter, dass die „Erhebung der Daten zu deren Verwendung“ im „eigenen Tätigkeits- und Haftungsbereich“ des Unternehmens stattfinde. Auch hieraus ergibt sich meines Erachtens nicht klar, für welchen Vorgang das Unternehmen nun datenschutzrechtlich verantwortlich sein soll.

Dass Fashion ID keinen Einfluss auf die Verarbeitung der Daten hat, lässt das LG Düsseldorf nicht als Gegenargument gelten. Denn, so das Gericht, der „Vorgang“ wird durch die Einbindung des Codes in die eigene Webseite initiiert.

Rechtsgrundlage der … ja, was eigentlich?

Im nächsten Prüfungspunkt geht das Gericht auf die Frage der Zulässigkeit der „Datenübermittlung“ ein. Spätestens hier stellt sich mir die Frage, wie man nun auf die Phase der Übermittlung kommt, denn zuvor wurde noch über die „Erhebung“ diskutiert. Zudem möchte man fragen: welche Übermittlung? Vom Nutzer an Facebook?

Aus Sicht des LG Düsseldorf ist diese Datenübermittlung auf jeden Fall nicht auf § 15 TMG zu stützen. Denn die Datenübermittlung ist für den Betrieb der Webseite nicht erforderlich.

Danach prüft das Gericht eine „Datennutzung“, die nicht auf eine Einwilligung der Besucher gestützt werden könne. Hierunter scheint das LG Düsseldorf die Erhebung der Daten durch Fashion ID zu fassen.

Das Gericht erläutert nachfolgend die Anforderungen an eine Einwilligung nach § 13 Abs. 2 TMG. Nach Auffassung des Gerichts ist u.a. das Setzen eines Häckchens in einer Checkbox erforderlich, damit die Einwilligung eindeutig erteilt wird. Andere Gerichte, wie etwa das OLG Frankfurt am Main (hierzu mein Beitrag), sehen dies anders und lassen etwa für Cookies zu Werbezwecken ein opt-out als Form der Einwilligung ausreichen.

Ein Kommentar hierzu: wenn die Verbraucherzentrale NRW und das LG Düsseldorf für die Einbindung des normalen Like-Buttons tatsächlich eine Einwilligung nach § 13 Abs. 2 TMG fordern, frage ich mich, wie Webseitenbetreiber die übrigen Voraussetzungen der Norm erfüllen sollen. Gerade die Protokollierung und die jederzeitige Abrufbarkeit der Einwilligung durch den Nutzer werden wohl überhaupt nur möglich sein, wenn der Webseitenbetreiber noch mehr personenbezogene Daten sammelt und verarbeitet. Wie könnte die Erteilung der Einwilligung sonst protokollieren oder diese zum Abruf für jeden Nutzer bereithalten? Am Ende müsste der Webseitenbetreiber also eventuell, obwohl er daran gar kein Interesse hat, erst recht personenbezogene Daten erheben und verarbeiten.

Zudem stellt sich mir aus praktischer Sicht die einfache Frage, welchen konkreten Inhalt die hier geforderte Einwilligung denn nun haben soll. Bezieht sie sich auf die Erhebung, die Verarbeitung oder Nutzung? Bezieht sie sich auf diese Verarbeitungsvorgänge durch den Webseitenbetreiber oder durch Facebook? Wie kann ein Unternehmen eine konkret formulierte und auf bestimmt Zwecke festgelegte Einwilligungserklärung formulieren, wenn es selbst nicht weiß, für welche Zwecke die Daten bei Facebook genutzt werden?

Hinweise in der Datenschutzerklärung nicht ausreichend

Wie beschrieben hielt Fashion ID eine Datenschutzerklärung mit Informationen zum Like-Button vor. So, wie dies wohl derzeit auf deutschsprachigen Webseiten der Usus sein wird.

Dies reicht dem Gericht jedoch nicht aus. Denn der Hinweise auf die (ich gehe einmal davon aus) Erhebung erfolge so nicht „zu Beginn“ des Verarbeitungsvorgangs.

Fazit

In vielerlei Hinsicht lässt einen die Begründung des Gerichts zumindest innehalten oder die Stirn runzeln. Möchten Webseitenbetreiber die durch das Gericht aufgestellten Voraussetzungen erfüllen und dabei nicht auf Lösungen wie die 2-Klick-Lösung zurückgreifen, bleibt wohl nur ein Pop-Up oder Banner, welcher eine Einwilligungserklärung (mit opt-in check box) enthält. Die Einwilligung muss dann auch protokolliert und zum Abruf bereitgehalten werden. Man darf gespannt sein, ob dieses Urteil nicht eventuell in die nächste Instanz getragen wird.

Europäische Kommission: Für PayPal gilt luxemburgisches Datenschutzrecht

Im Rahmen der Beschwerde eines deutschen Staatsbürgers hat sich die Europäische Kommission unter anderem zur Frage des anwendbaren Datenschutzrechts und der zuständigen Datenschutzaufsichtsbehörde für das Unternehmen PayPal geäußert. Die Stellungnahme der Europäischen Kommission ist über die Webseite des Petitionsausschusses des Europäischen Parlaments abrufbar (pdf).

Der Petent rügte unter anderem, dass PayPal personenbezogene Daten, auch auf Aufforderung, nicht löschen würde und dass Kundenkonten nach einer Sperrung nur nach Übermittlung personenbezogener Daten wieder freigeschaltet werden würden.

Die Kommission befasst sich in ihrer Stellungnahme zunächst mit allgemeinen Grundsätzen und Vorgaben des geltenden Datenschutzrechts. Mit Blick auf PayPal weißt die Kommission darauf hin, dass das unternehmen eventuell gesetzlich dazu verpflichtet sein kann, personenbezogene Daten für Zwecke der Verhinderung der Geldwäsche und Terrorismusfinanzierung zu verarbeiten. In einem solchen Fall sei die Datenverarbeitung auch gerechtfertigt, jedoch muss sich diese auf das erforderliche Maß zur Erfüllung der gesetzlichen Pflichten beschränken.

Zudem führt die Kommission aus, dass es in erster Linie Aufgabe der nationalen Aufsichtsbehörden sei, die Einhaltung der datenschutzrechtlichen Regelungen zu überwachen. Da PayPal (Europe) in Luxemburg niedergelassen ist und die von der Beschwerde umfassten Datenverarbeitungen im Rahmen der Tätigkeiten dieser Niederlassung ausgeführt werden, sei auf den ersten Blick auch luxemburgisches Datenschutzrecht anwendbar.

Wenn der Petent der Ansicht ist, dass die Datenverarbeitung nicht den Vorgaben des luxemburgischen Rechts entspreche, dann kann er sich, so die Kommission, mit einer Beschwerde an die luxemburgische Datenschutzbehörde wenden.

Alternativ könne er sich auch an die für ihn zuständige Aufsichtsbehörde in Deutschland wenden, die dann mit der Aufsichtsbehörde in Luxemburg kooperieren müsse. Denn jede nationale Aufsichtsbehörde ist, unabhängig vom anwendbaren Recht, dem Grunde nach erst einmal befugt und auch verpflichtet, Beschwerden von Bürgern entgegen zu nehmen. Sie darf, bei Anwendbarkeit eines anderen Datenschutzrechts, jedoch z.B. keine sanktionierenden Maßnahmen erlassen. Diesbezüglich verweist die Kommission auf das Urteil des EuGH in der Sache „Weltimmo“ (C-230/14).

Bundesregierung: Generelles Tracking-Verbot im Internet kaum umsetzbar

Am 25. Februar 2016 hat der Petitionsausschuss des Deutschen Bundestages seine Begründung (pdf) zu der Petition 58055 – „Internet – Generelles Verbot von Tracking im Internet“ vom 19.03.2015 beschlossen.

Mit der Petition wird ein generelles „Tracking“-Verbot gefordert, unter anderem mit der Begründung, dass „Tracking“ im Zeitalter von Big Data ein unregierbares Risiko für jeden Verbraucher darstelle und im Internet in der Regel ohne die Kenntnis der Verbraucher jeder Aufruf einer Website an Drittunternehmen übertragen werde.

Der Petitionsausschuss hat auch die Bundesregierung zur Stellungnahme zu der Petition aufgefordert, die in die Begründung des Ausschusses mit eingeflossen ist.

Dem Grunde nach scheint der Ausschuss die Bedenken des Petenten zu teilen. So stellt er fest,

dass Unternehmen im Internet mit Hilfe von Cookies und anderen Verfolgungstechniken in die Privatsphäre der Nutzer eingreifen.

Jedoch versucht der Ausschuss, auch unter Bezugnahme auf die Stellungnahme der Bundesregierung, eine vermittelnde und praxisorientierte Position einzunehmen.

Denn Cookies können etwa auch bestimmten Funktionalitäten (z. B. dem Anzeigen von Produkten im „Warenkorb“) sowie der Benutzerfreundlichkeit dienen. Weiter führt der Ausschuss aus, dass sich Verbraucher derzeit nur ansatzweise gegen „Tracking“ mit restriktiven Einstellungen des verwendeten Browsers zum Datenschutz und der Installation von einschlägigen Add-ons schützen können.

Der Petitionsausschuss stellt nachfolgend fest,

dass ein generelles Verbot von „Tracking“ auf unterschiedlichen Ebenen nach Einschätzung der Bundesregierung nur mit sehr hohem Aufwand umsetzbar wäre.

Gerade die praktische Durchsetzung eines solchen Verbotes wäre nur schwer vorstellbar, da etwa Hersteller entsprechender Browser oft nicht in Deutschland oder der EU ansässig sind.

Für den Ausschuss ist es daher umso wichtiger, dass eine umfassende und verständliche Information der Internet-Nutzer über die eingesetzten Techniken und ihre Folgen erfolgt, insbesondere welche Daten von wem erhoben und an wen diese übertragen werden.

Administrative Court of Hamburg in Facebook case – Google Spain does not apply

Yesterday the Administrative Court of Hamburg decided (pdf, German) that German data protection law does not apply to the data processing operations relevant for  giving Facebook users access to the social network only with their real names.

Many observers might wonder how the court came to this conclusion after the European Court of Justice widened the scope of the current European data protection law with its decisions in Google and Google Spain (C-131/12) and also interpreted the notion of “establishment” (Art. 4 para 1 lit. a of Directive 95/46/EC) in Weltimmo (C-230/14) quite broadly.

The court ruled that the business operations of Facebook in Dublin as well as those of Facebook Germany constitute an establishment within the meaning of Art. 4 para 1 Directive95/46/EC. Furthermore, the court held that if several national data protection laws might apply due to the fact that the controller is established in several Member States, the law of the Member State should apply in which the establishment with the closest connection to the disputed data processing operation is located. According to the court, that is Facebook Ireland in this specific case.

According to the court, the disputed data processing operation, however, is not carried out in the context of the activities of the German establishment in the sense of Art. 4 para 1 lit. a of Directive 95/46/EC.

The notion “carried out in the context of the activities” is to be interpreted broadly in accordance with the jurisprudence of the European Court of Justice in Google and Google Spain only if the controller is established outside the European Union, like in Google Spain. That broad interpretation of “carried out in the context of the activities” can however not be applied in the present case. Art. para 1 of Directive 95/46/EC is a conflict of law rule and determines the applicable data protection law between the laws of different Member States in case of an inner-EU situation (see also the Opinion of the Advocate General in Weltimmo, margin number 23).

With regard to the Google Spain decision, the court explains that in the present case, there might actually exist an “inextricable link” between the activities of the German and the Irish establishment. But according to the court, the reasoning of the European Court of Justice in that case cannot be applied since it concerns a conflict of jurisdictions within the European Union whereas in the Google Spain case the court in the first place wanted to give effect to European data protection law. The European Court of Justice based its decision on the argument that “it cannot be accepted that the processing of personal data carried out for the purposes of the operation of the search engine should escape the obligations and guarantees laid down by Directive 95/46” (see C-131/12, margin number 58). According to the administrative court, in the present case, the controller is established in a Member State of the European Union (Ireland). Therefore there exists no risk in the present case that natural persons affected by the contested data processing operation could be deprived of the protection offered by Directive 95/46/EC. The question in this case only was which national data protection law (within the scope of Directive 95/46/EC) would apply.

According to the court, in the case of such a conflict of data protection laws of Member States, the law of the country has to apply, in which the establishment with the closest connection of its activities to the disputed data processing operation is located. In this case: Ireland.

Checkliste des Europäischen Gerichtshofs: Anforderungen durch Privacy Shield erfüllt?

Ich selbst konnte noch nicht alle Materialien sichten, die am Montag zum EU-US Privacy Shield veröffentlicht wurden. Bei so umfangreichen Dokumenten, gerade mit juristischem Inhalt, finde ich es oft hilfreich und unabdingbar, wenn man eine systematische Sichtung vornimmt. Insbesondere bei der Frage, ob der nun von der Europäischen Kommission veröffentlichte Entwurf einer Angemessenheitsentscheidung (pdf) die Anforderungen des Europäischen Gerichtshofs (EuGH) gerecht wird, die im Urteil zu Safe Harbor (C?362/14) aufgestellt wurden, bietet sich meines Erachtens eine Art Checkliste an. Hier die Vorgaben des EuGH, dort die Maßnahmen der Kommission.

Auf meinem Blog zum EU-US Privacy Shield habe ich den Versuch einer ersten Analyse unternommen. Hier geht es zu dem Beitrag.

 

Aufsichtsbehörde: Unternehmen müssen Datenschutzrecht bei „Google Apps for Work“ beachten

Letzte Woche hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit seinen 25. Tätigkeitsbericht für die Jahre 2014/2015 veröffentlicht (pdf)

Ein Thema im Bereich der Telemedien stellt dabei die Frage der datenschutzrechtskonformen Nutzung der cloudbasierten Dienste von Google für Unternehmen im Rahmen von „Google Apps for Work“ dar (ab S. 127).

Vor dem Hintergrund des EuGH-Urteils zu Safe Harbor und der weiterhin teilweise unklaren Rechtslage für Datenflüsse in Staaten außerhalb der EU, stellt der Datenschutzbeauftragte zunächst fest, dass eine abschließende Antwort auf die Frage der datenschutzrechtlichen Zulässigkeit dieses Angebotes seiner Ansicht nach nicht leicht falle.

Bereits diese Information sollte Unternehmen, die „Google Apps for Work“ nutzen, aufhorchen lassen und zumindest zu einer internen Prüfung bewegen, welche Dienste konkret zum Einsatz kommen und ob zumindest jene (nachfolgend benannten) Anforderungen eingehalten werden.

Nach Auffassung der Behörde verarbeitet, bei der Verwendung dieser Dienste, die jeweils verantwortliche Stelle ggfs. nicht nur personenbezogene Daten zur Erfüllung des eigenen Geschäftszwecks (z.B. für das Kundenmanagement).

Auch die Nutzungs- und Bestandsdaten von Beschäftigten werden durch Google verarbeitet, wenn die Mitarbeiter die Dienste nutzen.

Das datenschutzrechtliche Verhältnis zwischen dem Unternehmen (dem Kunden von Google) und Google selbst (als Dienstleister) stellt sich als Auftragsdatenverarbeitung (§ 11 BDSG) dar. Google agiert hierbei als Auftragnehmer und verarbeitet im Auftrag des Kunden personenbezogene Daten.

Als Folge ergibt sich hieraus, dass das Unternehmen, welches Google Apps professionell einsetzt, gegenüber den eigenen Mitarbeitern und sonstigen Betroffenen (wie Kunden) datenschutzrechtlich auch für den Umgang mit diesen Daten durch Google verantwortlich. Google wird durch das Konstrukt der Auftragsdatenverarbeitung sozusagen Teil der verantwortlichen Stelle. Die datenschutzrechtliche Verantwortlichkeit, auch für die Datenverarbeitungen durch Google, verbleibt damit bei dem Unternehmen.

Nach Ansicht der Behörde sind in diesem Zusammenhang zwei Themen problematisch.

Zum einen existiert die datenschutzrechtliche Privilegierung der Auftragsdatenverarbeitung bei Auftragnehmern mit Sitz außerhalb der EU nicht. „Auftragnehmer“ i. S. d. BDSG sind allein Stellen, die innerhalb des WER sitzen.
Dies führt dazu, dass die Weitergabe von Daten durch ein Unternehmen an Google eine datenschutzrechtliche Erlaubnis (Einwilligung oder gesetzliche Vorschrift) erfordert. Denn es liegt, anders als bei der Auftragsdatenverarbeitung innerhalb des EWR, eine „Übermittlung“ von Daten i.S.d. BDSG vor.

Zweitens weißt der Datenschutzbeauftragte darauf hin, dass in dem „letztlich entscheidenderen Schritt“ der Verwender der Dienstleistungen gemäß den §§ 4b und 4c BDSG sicherstellen müsse, dass Google bei dem Umgang mit den Daten ein angemessenes Datenschutzniveau gewährleistet. Diese Voraussetzung ist nicht alternativ zu ersten zu erfüllen, sondern besteht daneben. Hintergrund ist, dass personenbezogene Daten in Drittstaaten grundsätzlich nur übermittelt werden dürfen, wenn dort ein angemessenes Schutzniveau für die Daten existiert. Für die USA hatte die, nun ungültige, Safe Harbor-Entscheidung der Europäischen Kommission dies für Unternehmen festgestellt, die sich gewissen Prinzipien verpflichtet hatten. Dieses Instrument existiert jedoch, nach dem Urteil des EuGH, nicht mehr. Doch es gibt auch Alternativen. Die bekanntesten dürften wohl die Standardvertragsklauseln der Europäischen Kommission sein. Daneben kann man aber z.B. auch die Einwilligung der Betroffenen einholen.

Die Aufsichtsbehörde betont, dass Google einen Vertrag auf Grundlage der sogenannten Standardvertragsklauseln anbiete, der durch die Unternehmen abzuschließen ist.

Jedoch weißt der Datenschutzbeauftragte auch darauf hin, dass fraglich sei, ob diese Losung nach dem Urteil des EuGH zu Safe Harbor Bestand haben kann. Es geht konkret um die Frage, ob auch die Standardvertragsklauseln von dem Urteil des EuGH beeinflusst sind und eventuell nicht mehr eingesetzt werden können. Nach Angaben der Behörde wird dies derzeit durch die europäischen und nationalen Aufsichtsbehörden geprüft.

Französische Datenschutzbehörde prüft Facebook – Analyse und Kritik

Am 8. Februar 2016 hat die französische Datenschutzbehörde (CNIL) bekannt gegeben, dass sie den Betreiber des sozialen Online-Netzwerks Facebook am 26. Januar 2016 durch ein förmliches Anschreiben dazu aufgefordert hat, mehrere Verstöße gegen das französische Datenschutzrecht innerhalb von drei Monaten abzustellen. Sollten nicht alle in dem Anschreiben (pdf; Englisch) beanstandeten Datenschutzverstöße innerhalb dieses Zeitraums abgestellt werden, so weist die Behörde darauf hin, dass es am Ende möglicherweise zu Sanktionen kommen könnte. Nachfolgend möchte ich auf einige Aspekte der Feststellung der französischen Datenschutzbehörde näher eingehen.

Anwendbares Recht

Wenig überraschend geht die Behörde zunächst davon aus, dass auf die Datenverarbeitungen des Unternehmens französisches Datenschutzrecht anwendbar sei. „Wenig überraschend“ ist dies vor allem vor dem Hintergrund, dass der EuGH in seinen beiden Entscheidungen Google Spain (C-131/12) und Weltimmo (C-230/14) den Anwendungsbereich europäischen Datenschutzrechts sehr weit ausgedehnt hat.

In der Entscheidung „Weltimmo“, die aufgrund des eine Woche später gefällten Urteil zu Safe Harbor nur wenig Beachtung fand, konkretisierte EuGH die Anforderungen an das Vorliegen einer „Niederlassung“ im Sinne des Art. 4 Abs. 1 Buchst a der Datenschutzrichtlinie (RL 95/46/EG). Meine Blogbeiträge sowohl zu dem Urteil als auch zu den entsprechenden Schlussanträgen findet man hier.

Mit dem ebenfalls für die Anwendbarkeit europäischen Datenschutzrechts relevanten Merkmal der Datenverarbeitung „im Rahmen der Tätigkeit“ eine Niederlassung, hat sich der EuGH in seinem „Google Spain“ Urteil auseinandergesetzt und auch dieses Tatbestandsmerkmal sehr weit ausgelegt.

Dem Grunde nach reicht dem Gericht für die Bejahung der Anwendbarkeit europäischen Datenschutzrechts (bzw. des jeweils nationalen Datenschutzrechts) eine untrennbare wirtschaftliche Verbundenheit zwischen der verantwortlichen Stelle und einer Niederlassung in einem Mitgliedstaat aus. Die Niederlassung muss nicht einmal selbst bei der untersuchten Datenverarbeitung mitwirken.

Vor allem stellte der EuGH auch darauf ab, dass eine nationale Niederlassung an der Generierung von Einnahmen für den Mutterkonzern beteiligt ist.

Hier stellt sich für mich die Frage, wie der Niederlassung zu beurteilen wären die überhaupt keine Einnahmen für ein Mutterkonzern in einem anderen Mitgliedstaat oder sogar außerhalb der EU generieren, sondern vielmehr nur Ausgaben produzieren. Man denke etwa an Repräsentanzen, die sich allein um die Öffentlichkeit Arbeit eines Unternehmens kümmern, zu Veranstaltungen einladen etc. da hier keine Einnahmen generiert werden, könnte man sich fragen, ob in einer solchen Situation das jeweils nationale Datenschutzrecht Anwendung findet.

Zurück zum Verfahren der französischen Datenschutzbehörde: aus einer gesamteuropäischen Betrachtungsweise lässt sich kritisch anmerken dass wir gerade in Deutschland völlig divergierende Gerichtsentscheidungen dazu haben, welches Datenschutzrecht nun konkret auf Facebook anwendbar ist (Kammergericht Berlin, Az. 5 U 42/12; Oberverwaltungsgericht Schleswig-Holstein: Az. 4 MB 10/13). Kritisieren lässt sich zudem, dass sowohl in den dortigen deutschen Verfahren, als auch jetzt im Verfahren der CNIL (zumindest soweit dies aus den veröffentlichten Dokumenten hervorgeht) ganz allgemein auf Datenverarbeitungen abgestellt wird, ohne diese einzelnen zu konkretisieren und jede Datenverarbeitung für sich zu betrachten. Meines Erachtens ist genau dieser Prüfung Schritt jedoch erforderlich. Für die Frage der Rechtmäßigkeit einer Datenverarbeitung prüft man ja auch nicht alle Datenverarbeitungen auf einmal, sondern muss sich auf jede einzelne Verarbeitung konzentrieren. Warum soll in Bezug auf die Frage des anwendbaren Datenschutzrechts etwas anderes?

Interessanterweise stellt die CNIL zudem in ihrem Schreiben fest dass sowohl die Facebook Inc. als auch Facebook Irland Ltd. gemeinsam für die Verarbeitung verantwortliche darstellen würden. Auch diese Feststellung laufend diametral zu jenen von deutschen Gerichten. Mir geht es hier vor allen Dingen darum das Problem aufzuzeigen, in dem sich international agierende Unternehmen befinden. Nimmt man die in den europäischen Mitgliedstaaten vorherrschenden verschiedenen Feststellungen von Gerichten und Datenschutzbehörden zusammen, erscheint ein recht sicheres Wirtschaften nur schwer möglich, selbst wenn man einen dementsprechenden Anspruch an seine Tätigkeiten hat (was meines Erachtens stets der Fall sein sollte).

Zuletzt möchte ich mit Blick auf die Frage des anwendbaren Datenschutzrechts noch auf die kürzlich veröffentlichte überarbeitete Stellungnahme 179 (pdf) der Art 29 Datenschutzgruppe verweisen. In dieser analysiert das Gremium die oben genannten Entscheidungen des EuGH.

Insbesondere gehen die Datenschützer darin begrüßenswerte weise auch davon aus, dass es ein Fehler wäre, wenn man die Entscheidungen des EuGH zu weit auslegen und zu dem Schluss kommen würde,  dass die Existenz jeglicher Niederlassung die nur im entferntesten mit einer Datenverarbeitung der verantwortlichen Stelle zu tun hat zur Anwendbarkeit europäischen Datenschutzrechts führen würde.

Insbesondere stellt die Art. 29 Datenschutzgruppe auch heraus, dass der EuGH in seiner “Google Spain” Entscheidung zu Begründung anführt, dass Betroffene in der EU ansonsten den durch die Datenschutzrichtlinie gewährten Schutz verlieren würden. Dieses Argument, so die Datenschützer, würde jedoch in dem Fall, in dem eine verantwortliche Stelle in einem EU Mitgliedstaat sitzt, nicht greifen. Denn in einem solchen Fall würde stets europäisches Datenschutzrecht anwendbar sein. Es käme nur auf die Frage an, welches nationale Recht.

Zuletzt noch der Hinweis auf eine weitere Feststellung der Art 29 Gruppe in ihrer neuen Stellungnahme: allein eine gesellschaftsrechtliche Verbundenheit zwischen einem Mutterunternehmen und einer Niederlassung in einem europäischen Mitgliedstaat reicht für sich betrachtet noch nicht aus, um das jeweilige Datenschutzrecht zur Anwendung zu bringen. Genau mit diesem Argument hatte jedoch das Kammergericht in Berlin das deutsche Datenschutzrecht für anwendbar erklärt.

Datenverarbeitung für Werbezwecke

Des Weiteren bemängelt die CNIL, dass Facebook personenbezogenen Daten von Mitgliedern für Werbezwecke verarbeitete und dafür keine Rechtsgrundlage vorliege. Eine vorherige Einwilligung der betroffenen Nutzer liege nicht vor. Damit kommen im Ergebnis als Grundlage der Verarbeitung nur ein Vertrag oder aber die berechtigten Interessen von Facebook in Betracht wenn die schutzwürdigen Interessen des Betroffenen nicht überwiegen würden.

Hinsichtlich einer Verarbeitung für vertragliche Zwecke stellt die CNIL fest, dass die Nutzung der Daten für Werbezwecke gerade nicht der Durchführung des Vertrages mit den Betroffenen diene. Die Datenverarbeitung sei nur einen Nebenzweck, um vertragliche Pflichten zu erfüllen. Zudem führen die französischen Datenschützer an, dass Nutzer die Möglichkeit hätten der Verarbeitung ihrer Daten für Werbezwecke zu widersprechen (opt-out). Dies würde dafür sprechen, dass sie Datenverarbeitung für Werkezwecke nicht für die Durchführung des Nutzungsvertrages mit dem Betroffenen erforderlich ist.

Hier stellt sich freilich aus Praxis sich die Frage, ob man dann als Unternehmen in Zukunft einfach vertraglich die Verarbeitung für Werbezwecke gegenüber dem Nutzer regeln und diese zum Vertragsinhalt machen sollte. Zudem würde man dann eben keine Widerspruchsmöglichkeit anbieten. Nach der Argumentation der CNIL, könnte die Datenverarbeitung dann ja eventuell zulässig sein. Auf die Frage, wie dies dann mit Vorgaben wie jener des § 28 Abs. 4 BDSG in Einklang gebracht werden kann, möchte ich hier nicht näher eingehen.

Auch lehnt die CNIL die Datenverarbeitung auf der Grundlage berechtigter Interessen von Facebook ab. Dies soll nur möglich sein, wenn Nutzer Kontrolle darüber haben, wie personenbezogene Daten genutzt werden und sie ihre Rechte effektiv ausüben können. Dies sei hier jedoch nicht gegeben.

Besondere Arten personenbezogener Daten

Im Profil bei Facebook können Nutzer unter anderem Informationen über ihre religiöse Einstellung oder auch ihre sexuelle Orientierung angeben. Bei diesen Arten von Informationen handelt es sich umso genannte besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG), deren Verarbeitung nach den gesetzlichen Vorgaben nur unter sehr eingeschränkten Voraussetzungen möglich ist.

Was man hierbei beachten sollte ist, dass Datenschutzbehörden den Begriff der besonderen Arten personenbezogenen Daten grundsätzlich sehr weit auslegen und hierunter viel mehr Informationen fallen, als vielen vielleicht bewusst ist. So geht etwa die Art. 29 Gruppe in einer Stellungnahme zur Verarbeitung von Gesundheitsdaten bei der Nutzung von Apps (pdf) davon aus, dass die Information, dass jemand einer Brille trägt ein solches besonderes Datum darstellt. Das bedeutet: ein Foto, auf dem jemand eine normale Brille trägt, würde auch unter diese Kategorie fallen. In der Stellungnahme kommen die Datenschützer der Art 29 Gruppe im Prinzip zu dem Ergebnis, dass eigentlich nur eine Einwilligung die Datenverarbeitung für solche Fälle (Apps, Internet, etc.) rechtfertigen kann. Meinen Beitrag zu der erwähnten Stellungnahme findet man hier und hier einen weiteren zu einer Einschätzung durch die Bundesregierung.

Die CNIL verlangt in ihrem Anschreiben, dass eine Einwilligung für die Verarbeitung dieser Arten von Daten überhaupt nur dann wirksam abgegeben werden könnte, wenn ein Kästchen durch den Nutzer angeklickt wird. Erst dann sei die Voraussetzung erfüllt, dass die betroffene Person „ausdrücklich in die Verarbeitung der genannten Daten eingewilligt“ (so in Art. 8 Abs. 2 Buchst a) Datenschutzrichtlinie) habe.

Ausdrücklich verneint die französische Datenschutzbehörde das Vorliegen einer Einwilligung durch den Nutzer, wenn dieser freiwillig die betroffenen Daten in seinem Profil eingegeben und dann zur Ansicht freigegeben bzw. hochgeladen hat. Warum es sich hierbei nicht um eine ausdrückliche Einwilligung handeln soll, kann ich jedoch nicht ganz nachvollziehen.

Natürliche stets Voraussetzung, dass der Nutzer zuvor weiß, in Wasser einwilligt, um welche Daten es sich handelt und für welche Zwecke diese Daten genutzt werden. Ist diese Voraussetzung jedoch gegeben, und gibt der Nutzer in Kenntnis dieser Informationen freiwillig derartige Daten an und führt dann noch aktiv eine entsprechende Handlung aus, wie etwa den Klick auf einen Button, um die Daten im Profil anzeigen zu lassen, lässt sich meines Erachtens durchaus argumentieren, dass eine ausdrückliche Einwilligung vorliegt. Hier zeigt sich leider einmal mehr ein in der Praxis bekanntes Problem bei dem Versuch, datenschutzrechtlich sicher zu handeln: die geltenden Vorgaben sind teilweise schlicht realitätsfern und werden in der Masse einfach nicht mehr beachtet. Ich persönlich kann mich zum Beispiel nicht entsinnen, dass sich eine den Anforderungen der französischen Datenschützer entsprechende Einwilligung abgeben musste, als ich mein Profilbild bei Twitter hochgeladen habe. Genau dieses Argument habe ich auch gegenüber der Abgeordneten im europäischen Parlament, Frau Birgit Sippel, im Rahmen einer Diskussion auf Twitter entgegengehalten. Nachfolgend Auszüge aus der Diskussion:

Zuletzt sei noch der Hinweis gestattet, dass die europäischen Datenschützer in ihrer Stellungnahme 187 (pdf) festgestellt haben, dass in der Online-Umgebung eine ausdrückliche Einwilligung durch die Verwendung elektronischer oder digitaler Signaturen gegeben werden. Sie kann abhängig vom Zusammenhang aber auch durch anklickbare Schaltflächen, das Versenden einer bestätigenden E-Mail, das Anklicken von Icons usw. erteilt werden.

Warum soll es aber dann nicht ausreichen, wenn man im Profil bei Facebook seine Daten ausfüllt und danach auf eine Schaltfläche klickt, um diese hochzuladen? Die Anforderung der französischen Datenschutzbehörde ist ja, dass zusätzlich zu diesem aktiven Verhalten noch in jedem Falle eine Checkbox vorgehalten werden muss die auch noch einmal aktiv angeklickt werden muss. Endeffekt verlangen die Datenschützer damit zwei aktive, ausdrückliche Handlungen.

Schwaches Passwort

Zudem kritisiert die französische Datenschutzbehörde die Vorgaben für das Passwort bei dem sozialen Netzwerk. Dieses muss dort aus mindestens 6 Zeichen, einer Zahl und einem Buchstaben bestehen. Diese Anforderung ist nach Auffassung der CNIL jedoch keine ausreichende Daten Sicherheitsmaßnahme und verstößt gegen Vorgaben französischen Rechts. Unweigerlich möchte man sich natürlich fragen, wie viele Unternehmen im Internet gegen diese Vorgabe wohl verstoßen. Hinsichtlich dieser Beanstandung verweist die französische Datenschutzbehörde zudem darauf, dass ein entsprechender Verstoß mit einer Strafe in Höhe von bis zu 1.5 Mio EUR geahndet werden kann.

Datentransfers in Drittstaaten

Auch bemängelt die CNIL, dass Facebook, zumindest nach eigener Aussage gegenüber der Behörde im Rahmen der Prüfung, immer noch personenbezogene Daten auf der Grundlage der Angemessenheitsentscheidung der Europäischen Kommission zu Safe Harbor übermitteln würde. Da diese Angemessenheitsentscheidung seit dem entsprechenden Urteil des EuGH jedoch nicht mehr existiert, kann dieses Instrument richtigerweise nicht mehr für Datentransfers genutzt werden. Des Weiteren nutze Facebook jedoch auch Standardvertragsklauseln als Grundlage einer Datenübermittlung in Drittstaaten. Im Ergebnis wird man hier eine genauere Untersuchung, die ja gerade auch im Land im Rahmen der Beschwerde von Max Schrems läuft, abwarten müssen.

Was mich persönlich jedoch verblüfft hat, ist, dass die Entscheidung der CNIL bzw. das vorliegende Anschreiben auf den 26. Januar 2016 datiert. Nach eigener Aussage (Pressemitteilung vom 16. Oktober 2015,  pdf) wollten die europäischen Datenschutzbehörden, deren Vorsitz gerade die Leiterin der CNIL inne hat, Unternehmen jedoch bis Ende Januar (also bis zum 31. Januar 2016) Zeit geben, Datentransfers in die USA auf entsprechende neue Grundlagen zu stützen. Auch der Hamburgische Beauftragte für den Datenschutz hatte im November 2015 informiert (pdf), dass Unternehmen, die Daten auf der Grundlage der ungültigen Angemessenheitsentscheidung zu Safe Harbor übermitteln, „ab Februar 2016 mit Maßnahmen durch die Aufsichtsbehörden rechnen“ müssen. Die damals aufgestellte Übergangsfrist scheint also daher eher eine grobe Richtschnur gewesen und von den Aufsichtsbehörden unterschiedlich in der Praxis umgesetzt worden zu sein.

Ausblick

Auch in Deutschland kämpft Facebook derzeit an mehreren Datenschutzfronten. In Hamburg ist vor dem Verwaltungsgericht ein Verfahren zur Frage der Klarnamenpflicht in dem sozialen Netzwerk anhängig. Am 25. Februar 2016 findet die Verhandlung vor dem Bundesverwaltungsgericht zur Frage statt, ob Fanpage Betreiber datenschutzrechtlich verantwortlich sind.

Datenschutz-Grundverordnung: „Snowden-Klausel“ wird nicht im Vereinigten Königreich gelten

Die sogenannte „Snowden-Klausel“, Art. 43a der zukünftigen Datenschutz-Grundverordnung (deutsche Fassung, pdf) wurde, ursprünglich in noch weitergehende im Umfang, vom Europäischen Parlament in den Text für das zukünftig geltende Datenschutzrecht in Europa eingebracht. Nachdem sich nunmehr das Europäische Parlament und der Rat auf eine gemeinsame Fassung der Datenschutz-Grundverordnung verständigt haben, lautet der finale Text von Art. 43a (vor der amtlichen Übersetzung):

Nach dem Unionsrecht nicht zulässige Übermittlung oder Weitergabe

Urteile eines Gerichts eines Drittlands und Entscheidungen einer Verwaltungsbehörde eines Drittlands, mit denen von einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Weitergabe personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.

Dieser Artikel besagt, dass bei Anfragen von Behörden aus Staaten außerhalb des europäischen Wirtschaftsraumes, beispielsweise wenn Strafverfolgungsbehörden oder Geheimdienste personenbezogene Daten zu Betroffenen im Rahmen ihrer Ermittlungen verlangen, eine Weitergabe von personenbezogenen Daten rechtlich nur zulässig ist, wenn hierfür eine internationale Übereinkunft (wie etwa ein Rechtshilfeabkommen) mit den jeweiligen Drittstaat existiert oder die Datenübermittlung durch andere Tatbestände des Kapitels V der Datenschutz-Grundverordnung erlaubt ist.

Am 4. Februar 2016 hat nun die parlamentarische Unterstaatssekretärin im Ministerium für Kultur, Medien und Sport des Vereinigten Königreichs, Baroness Neville-Rolfe, in einer schriftlichen Stellungnahme mitgeteilt, dass das Vereinigte Königreich dem Art. 43a Datenschutz-Grundverordnung und seinem Anwendungsbereich nicht unterworfen sein wird. Das Vereinigte Königreich wird das sog. „opt-in“, also die entsprechende Einwilligung zur Anerkennung der bindenden Wirkung, nicht erteilen. Dass das Vereinigte Königreich hier überhaupt eine Wahlmöglichkeit besitzt und entscheiden kann, ob es an bestimmten Maßnahmen der Europäischen Union gebunden ist oder nicht, ist für den Bereich der Justiz und des Inneren im sog. „opt-in Protokol 21“ (pdf) geregelt.

Als Folge ist das Vereinigte Königreich also nicht an die Vorschrift des Art. 43a Datenschutz-Grundverordnung gebunden. Dies bedeutet freilich auch, dass Anfragen von Behörden und Gerichten aus Staaten außerhalb des europäischen Wirtschaftsraumes sich nicht an diesen Vorgaben messen lassen müssen, wenn sie Auftragsverarbeiter oder für die Verarbeitung Verantwortliche mit Sitz im Vereinigten Königreich betreffen.

Dieser Aspekt ist meines Erachtens eine nicht zu unterschätzende Tatsache mit Blick auf das eigentlich mit der Datenschutz-Grundverordnung angestrebte einheitliche Schutzniveau in der Europäischen Union. Man kann trefflich darüber streiten, ob dies überhaupt bereits aufgrund der vielen Öffnungsklauseln in der Datenschutz-Grundverordnung der Fall ist. Das nun angekündigte Ausbleiben des „opt-ins“ durch das Vereinigte Königreich für Artikel 43a, betrifft jedoch zudem einen ganz zentralen Bereich, nämlich die Frage der Zulässigkeit von Datenübermittlung an ausländische Behörden, über den ja etwa derzeit Microsoft mit der amerikanischen Regierung vor Gerichten streitet. Eine Kette ist bekanntlich immer nur so stark, wie ihr schwächstes Glied.

EU-US Privacy Shield: Was wir bisher wissen.

Am 2. Februar 2016 hat die Europäische Kommission eine politische Einigung mit der amerikanischen Regierung auf ein neues System bzw. einen Rahmen für transatlantische Datentransfers bekanntgegeben, das „EU-US Privacy Shield“. Was genau der Inhalt dieses Systems sein wird, dazu existieren derzeit kaum valide Informationen. Das mag man kritisieren. In der Öffentlichkeit wurden zwar bereits Einschätzungen diskutiert, nach denen das EU-US Privacy Shield den datenschutzrechtlichen Anforderungen an Datentransfers in Drittstaaten (insbesondere unter Berücksichtigung des Urteils des EuGH vom 6. Oktober 2015, C-362/14) klar nicht genügen würde. Derartige inhaltliche Meinungen halte ich persönlich jedoch für verfrüht und warte daher gerne auf einen konkreten Text (insbesondere die Angemessenheitsentscheidung der Europäischen Kommission), der sich dann juristisch prüfen lässt.

Dennoch brennt die Frage, was da auf transatlantische Datenübermittlungen und betroffene Organisationen zukommt, verständlicherweise vielen Beteiligten unter den Nägeln. Bis also ein offizieller Text vorliegt, lässt sich dem Grunde nach nur zusammentragen, was aus verschiedenen Quellen bekannt gegeben wurde. An diesen Ankündigungen muss sich das System dann auch messen lassen. Nachfolgend möchte ich versuchen, eine solche Übersicht (Stand 4. Februar 2016) zu erstellen.

Pressemitteilung der Europäischen Kommission vom 2. Februar 2016

Überwachung und Durchsetzung der Regelungen durch das US-Handelsministerium und die Federal Trade Commission (FTC).

Vorgaben zur verstärkten Zusammenarbeit mit den europäischen Datenschutzbehörden.

Zusagen der US-Regierung, dass die Möglichkeiten für Behörden, nach dem amerikanischen Recht auf im Rahmen der neuen Vereinbarung übertragene personenbezogene Daten zuzugreifen, an klare Bedingungen, Beschränkungen und Aufsicht geknüpft ist, um einen allgemeinen Zugang zu verhindern.

Europäer werden die Möglichkeit haben, jede Anfrage oder Beschwerde in diesem Zusammenhang bei einer neu zu schaffenden Ombudsperson vorzubringen.

Verbindliche Zusicherungen der US-Regierung, dass der Zugang durch Behörden für Zwecke der nationalen Sicherheit klaren Grenzen, Schutz- und Aufsichtsmechanismen unterliegen wird.

Zum ersten Mal wird für EU-Bürger die Möglichkeit bestehen, Rechtsschutzverfahren in diesem Bereich [Anm. d. Autors: bezieht sich auf den Zugang durch Behörden für Zwecke der nationalen Sicherheit] in Anspruch zu nehmen.

Jährliche gemeinsame Überprüfung, um die Umsetzung dieser Verpflichtungen genau zu beobachten. Die Europäische Kommission und das US-Handelsministerium werden die Überprüfung durchführen und Experten für Nachrichtendienste aus den USA und europäische Datenschutzbehörden zur Teilnahme einladen.

US-Unternehmen, die personenbezogene Daten aus Europa importieren möchten, müssen sich zur Einhaltung von Vorgaben verpflichten, wie personenbezogene Daten verarbeitet und die Rechte des Einzelnen gewährleistet werden.

Darüber hinaus muss sich jedes Unternehmen, welches mit Arbeitnehmerdaten aus Europa umgeht, dazu verpflichten, Entscheidungen der europäischen Datenschutzbehörden anzuerkennen und nachzukommen.

Jeder Bürger, der der Auffassung ist, dass seine Daten im Rahmen des neuen Systems unzulässig verwendet wurden, wird mehrere Rechtsbehelfsverfahren zur Auswahl haben.

Unternehmen haben konkrete Fristen zu beachten, um auf Beschwerden zu antworten.

Europäische Datenschutzbehörden können Beschwerden an das US-Handelsministerium und die Federal Trade Commission weiterleiten.

Alternative Streitbeilegungsmechanismen werden kostenlos sein.

Die Europäische Kommission wird nun in den nächsten Wochen einen Entwurf für eine Angemessenheitsentscheidung [Anm. d. Autors: Nach Art. 25 Abs. 6 der Europäischen Datenschutzrichtlinie] erarbeiten. Dieser wird der Art. 29 Datenschutzgruppe für eine Stellungnahme zugeleitet und muss nach dem Ausschussverfahren [Anm. d. Autors: Art. 31 der Europäischen Datenschutzrichtlinie] angenommen werden.

Fragerunde des US Handelsministeriums auf Twitter vom 3. Februar 2016

Um am Privacy Shield teilnehmen zu können, müssen US-Unternehmen entweder Durchsetzungsbefugnissen der FTC oder des US-Transportministeriums unterliegen.

Ich selbst hatte zwei Fragen gestellt: 1) Ob das System erneut auf einer Selbstzertifizierung der US-Unternehmen basieren wird? 2) Ob noch amerikanisches Recht angepasst werden muss?

Die Antwort des US-Handelsministeriums, kurz und knapp:

Derzeit unter Safe Harbor zertifizierte Unternehmen werden einen Übergangszeitraum erhalten.

Das US-Handelsministerium wird die für das Privacy Shield zuständige Mitarbeiterzahl verdoppeln.

Auf die Frage eines Twitter-Nutzers, ob die „Presidential Policy Directive 28“ (PPD-28) ein rechtlich bindendes Instrument darstelle, antwortete das US-Handelsministerium:

Informationsblatt des US Handelsministeriums vom 2. Februar 2016 (hier Informationen, die über jene der Europäischen Kommission hinausgehen)

Unternehmen werden sich verpflichten, an Schiedsverfahren als mögliche letzte Instanz bei Beschwerden teilzunehmen, um sicherzustellen, dass EU-Bürger die Möglichkeit haben, auf diesem Wege Rechtsmittel einzulegen.

Das Privacy Shield enthält neue vertragliche Vorgaben zum Schutz der Privatsphäre und zur Aufsicht für Daten, die von teilnehmenden Unternehmen an Dritte weitergegeben oder von deren Dienstleistern verarbeitet werden, um die Haftung besser zu regeln und die Fortgeltung des Schutzes zu gewährleisten.

Ankündigung

Und noch eine Ankündigung zum Schluss: unter www.euusprivacyshield.de werde ich bald eine eigene Informationsseite einrichten und dort versuchen, die neuesten Entwicklung rund um dieses wichtige Projekt zu verfolgen und zu kommentieren.

Vernetzte Fahrzeuge: Möchte die Bundesregierung den Datenschutz verschärfen?

Am heutigen Freitag soll im Bundestag über einen Antrag der Fraktionen der CDU/CSU und SPD mit dem Titel „Intelligente Mobilität fördern – Die Chancen der Digitalisierung für den Verkehrssektor nutzen“ (BT-Drs. 18/7362, pdf) abgestimmt werden.

In diesem Antrag befasst sich die Bundesregierung unter anderem auch mit dem Thema Datenschutz (ab S. 5) und wie mit personenbezogenen Daten, die beim Einsatz verletzter Fahrzeuge entstehen, in Zukunft umgegangen und wie diese geschützt werden sollen. Die in dem Antrag zum Ausdruck gebrachten Forderungen bzw. Wünsche werfen jedoch einige Fragen mit Blick auf die geltende Rechtslage im Datenschutzrecht auf.

Nach dem Antrag sollen personenbezogene Daten, die vom Fahrzeug erzeugt werden, nur

mit Zustimmung des Betroffenen und bestehend auf einer gesetzlichen Grundlage pseudonymisiert erhoben werden dürfen, so dass u.a. die Erstellung von Bewegungsprofilen mit einem direkten Personenbezug nicht möglich ist.

Vor dem Hintergrund des geltenden Rechts, dass personenbezogene Daten, auf die sich die Bundesregierung hier ausdrücklich bezieht, dann verarbeitet werden dürfen, soweit dies ein Gesetz oder eine andere Rechtsvorschrift erlaubt oder aber der Betroffene selbst eingewilligt hat (§ 4 Abs. 1 BDSG), irritiert die Formulierung, dass personenbezogene Daten mit Zustimmung des Betroffenen und (!) auf einer gesetzlichen Grundlage erhoben werden dürfen. Den gesetzlichen Vorgaben hätte es jedoch entsprochen, wenn das Wort „und“ durch ein oder ersetzt worden wäre. Die Bundesregierung scheint hier den Wunsch zu äußern, dass sowohl eine Einwilligung vorliegen als auch eine gesetzliche Grundlage einschlägig sein muss, damit personenbezogene Daten überhaupt erst erhoben werden dürfen.

Hierbei kann es sich freilich auch um ein Versehen oder eine zu strenge Auslegung am Wortlaut meinerseits handeln. Sollte die Bundesregierung jedoch tatsächlich kumulativ eine Einwilligung als eine gesetzliche Grundlage für die Datenverarbeitung erforderlich halten, so dürfte dies gegen europäisches Recht verstoßen.

Der europäische Gerichtshof hat bereits im Jahre 2011 (C-468/10 und C-469/10) zu Art. 7 der Datenschutzrichtlinie (RL 95/46 EG), der die möglichen Grundlagen einer Datenverarbeitung festlegt, entschieden, dass die Mitgliedstaaten weder neue Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten neben Art. 7 der Richtlinie 95/46 einführen, noch zusätzliche Bedingungen stellen dürfen, die die Tragweite eines der sechs in diesem Artikel vorgesehenen Grundsätze verändern würden. Möchte die Bundesregierung jedoch kumulativ sowohl die Einwilligung als auch eine gesetzliche Erlaubnis für die Zulässigkeit des Umgangs mit personenbezogenen Daten im vernetzten Fahrzeug vorsehen, dürfte dies eine zusätzliche Bedingungen im Sinne des Urteils des europäischen Gerichtshofs darstellen. Die Erfüllung von zwei möglichen Zulässigkeitsalternativen würden verpflichtend zusammengefasst.

Unklar ist zudem, wie sich die Vorgabe der Bundesregierung, dass per se bereits nur pseudonymisierte Daten erhoben werden dürfen, mit der geplanten Vorgabe verhält, dass hierfür sowohl eine Einwilligung als auch eine gesetzliche Erlaubnis erforderlich ist. Zwar wird heute bereits vielfach davon ausgegangen, dass es sich auch bei pseudonymisierten Daten weiterhin um personenbezogene Daten handelt. Jedoch wird gerade der Umgang mit Daten unter einem Pseudonym, insbesondere auch wenn es sich um Fälle handelt die von der Bundesregierung im Antrag angesprochen werden, nämlich wenn Nutzungsprofile erstellt werden, gesetzlich privilegiert. So erlaubt § 15 Abs. 3 TMG die Erstellung von Nutzungsprofilen unter Verwendung eines Pseudonyms für Zwecke der Werbung, Marktforschung oder auch zur bedarfsgerechten Gestaltung von Telemedien ohne vorherige Einwilligung. Dem Nutzer muss nur die Gelegenheit gegeben werden, der Datenverarbeitung im Nachhinein zu widersprechen. Gerade wenn man sich das vernetzte Fahrzeug anschaut, welches sich immer mehr zu einem rollenden Telemediendienst wandelt, stellt sich daher die Frage, ob die Bundesregierung eine Verschärfung der geltenden Vorgaben auch bezüglich des Erstellens von Nutzungsprofilen unter einem Pseudonym plant.

Des Weiteren weist die Bundesregierung in ihrem Antrag darauf hin, dass den Betroffenen die wichtigsten Informationen zum Umgang mit personenbezogenen Daten einfach formuliert bereitgestellt werden müssen. Diese Vorgabe ist nicht unbedingt neu, denn bereits derzeit müssen Informationen zur Datenverarbeitung etwa nach § 13 Abs. 1 TMG oder § 4 Abs. 3 BDSG.

Zudem sieht der Antrag der Bundesregierung vor, dass der Fahrer und/oder Fahrzeughalter selbst entscheiden dürfen sollte,

wer Zugriff auf seine personenbezogenen Daten hat. Deshalb bedarf das Auslesen bzw. Übermitteln dieser Daten aus dem Fahrzeug einer Erlaubnis. Die „Aktivierung/Deaktivierung“ der Datenu?bermittlung muss jederzeit möglich und einfach auszuführen sein.

Auch diese Forderung ist dem Grunde nach erst einmal keine Änderung zu geltenden Rechtslage. Denn wie bereits beschrieben, bedarf eine Datenverarbeitung (damit auch eine Erhebung im Wege des Zugriffs) entweder der Einwilligung oder eines gesetzlichen Erlaubnistatbestandes. Eine Verschärfung würde sich jedoch dann ergeben, wenn die Aussagen der Bundesregierung dahin zu verstehen sind, dass mit dem „selbst entscheiden dürfen“ stets eine Einwilligung des Betroffenen gemeint ist. Man könnte jedoch eventuell auch davon ausgehen, dass diese Erlaubnis bereits bei Vertragsabschluss, etwa beim Kauf des Fahrzeugs, erteilt wird. Zudem spricht die Bundesregierung in ihrem Antrag von „einer“ Erlaubnis und nicht „seiner“. Unter „einer Erlaubnis“ kann man auch gesetzliche Grundlagen verstehen.

Der nachfolgende Zusatz jedoch, dass die Aktivierung bzw. Deaktivierung einer Datenübermittlung jederzeit möglich sein muss, spricht erneut für das zwingende Erfordernis einer Einwilligung des Betroffenen die durch die zuvor beschriebene Aktivierung bzw. Deaktivierung ausgeübt wird. Da diese „jederzeit“ ausgeübt können werden soll, kann es sich auch nicht um eine zuvor erteilte Einwilligung, etwa beim Kauf des Autos handeln.

Insgesamt stellen sich nach kurzer Analyse dieses Antrags der Bundesregierung doch einige Fragen und man wird abwarten müssen, in welcher Form die Bundesregierung eine Umsetzung dieses Antrags plant. Sollte es ja noch zu den oben besprochenen Verschärfungen kommen, habe ich Zweifel, ob diese einer Prüfung aus europarechtlicher Sicht standhalten würden. Dies gilt auch, wenn in ca. zwei Jahren die neue Datenschutz Grundverordnung wirksam wird.

Das Thema Datenschutz und vernetzte Fahrzeuge ist derzeit nicht nur im Parlament von Interesse. Diese Woche haben sich die Landesdatenschutzbeauftragten in Deutschland und der Verband der Automobilindustrie auf eine gemeinsame Leitlinie (pdf) bei der Anwendung und Auslegung des geltenden Datenschutzrechts mit Blick auf die Nutzung vernetzter Fahrzeuge geeinigt (hierzu mein englischer Blogbeitrag).