Author Archives: Carlo Piltz

Die Datenschutz-Grundverordnung und Open Data

Posted on by

Open Data und Datenschutz. Oft ein nicht ganz simples Thema. Auf der einen Seite sollen bei öffentlichen Stellen vorhandene Informationen allgemein verfügbar und für eine Weiterverwendung nutzbar gemacht werden. Auf der anderen Seite steht das Grundrecht auf den Schutz personenbezogener Daten von Personen, deren Daten betroffen sind.

Grundsätzlich: Personenbezug

Solange es sich bei den von öffentlichen Stellen herausgegebenen Daten um solche Informationen handelt, die nicht auf eine natürliche Person beziehbar sind, spielt das Datenschutzrecht keine Rolle. Denn dann ist sein Anwendungsbereich nicht eröffnet.

Bereits auf dieser Stufe stellt sich jedoch ein Problem: die Auslegung des Begriffs „personenbezogenes Datum“. Gerade Aufsichtsbehörden verstehen diesen, ihrem gesetzlichen Auftrag entsprechend, recht weit und fassen bekanntermaßen z.B. IP- oder MAC-Adressen hierunter. Es kommt nicht darauf an, ob allein jene Stelle, bei der die Daten liegen, einen Personenbezug herstellen kann, sondern es ist auch die Möglichkeit für Dritte, einen Personenbezug herzustellen, zu prüfen, zumindest soweit damit vernünftigerweise gerechnet werden kann.

Werden personenbezogene Daten (z.B. in Dokumenten) etwa durch eine Behörde veröffentlicht oder an eine anfragende Person herausgegeben, so liegt eine rechtfertigungsbedürftige Datenverarbeitung vor.

Nachfolgend möchte ich schlaglichtartig auf die Frage eingehen, welche Vorgaben die in Zukunft in Europa geltende Datenschutz-Grundverordnung (DS-GVO) in dem Bereich Open Data bzw. bei dem Zugang zu Dokumenten bei öffentlichen Stellen aufstellt.

Art. 80a DS-GVO

Allein Art. 80a DS-GVO befasst sich recht knapp mit der Datenverarbeitung im Rahmen des öffentlichen Zugangs zu amtlichen bzw. behördlichen Dokumenten.

Wichtig ist zunächst, dass die DS-GVO und damit auch ihr Art. 80a allein dann anwendbar ist, wenn es sich bei den in Rede stehenden Daten um solche mit Personenbezug handelt. Daher ein kurzer Seitenblick auf die Definition in Art. 4 Abs. 1 DS-GVO.

Danach ist ein personenbezogenes Datum jede Information, die sich auf eine bestimmte oder auch nur bestimmbare natürliche Person bezieht. Bei dieser bestimmbaren Person handelt es sich um eine solche, die direkt oder indirekt, insbesondere durch bestimmte Zuordnungsmerkmale, bestimmt werden kann. Grundsätzlich ist der Begriff, betrachtet man zudem die Erwägungsgründe, wohl weit auszulegen. Erwägungsgrund 23 macht klar, dass auch solche Daten hierunter fallen, die pseudonymisiert wurden, wenn die Bestimmbarkeit der Person durch den Einsatz zusätzlicher Informationen hergestellt werden kann. Zudem wird dort bestimmt, dass bei der Prüfung des Personenbezugs alle Mittel berücksichtigt werden sollen, deren Einsatz zumindest wahrscheinlich erscheint.

Noch ein Hinweis: nach Erwägungsgrund 23aa gilt die DS-GVO nicht für verstorbene Personen. Jedoch sind die EU-Mitgliedstaaten frei, diesbezüglich abweichende Regelungen zu erlassen.

Art. 80a DS-GVO bestimmt, dass nationale Behörden und öffentliche Stellen amtliche Dokumente, in denen sich personenbezogene Daten befinden, in Übereinstimmung mit den auf die jeweilige Stelle anwendbaren nationalen oder europäischen Regelungen herausgeben und veröffentlichen dürfen, um einen Ausgleich zwischen dem Anspruch auf Zugang zu amtlichen Dokumenten und dem Recht auf Schutz personenbezogener Daten nach der DS-GVO zu schaffen.

Art. 80a DS-GVO ist in der Tat ein einziger Satz und daher schwer verständlich. Nachfolgend folgt der Versuch einer Einschätzung:

Personenbezogene Daten dürfen auch in Zukunft öffentlich zugänglich gemacht werden. Dies muss jedoch zum einen in Übereinstimmung mit den geltenden nationalen Regelungen der Mitgliedstaaten geschehen.

Hier fragt man sich, ob damit auch die Erlaubnistatbestände für eine Weitergabe personenbezogener Daten im nationalen Datenschutzrecht gemeint sind. Dagegen könnte jedoch sprechen, dass die DS-GVO als Verordnung nationalen Vorschriften vorgehen wird. Zumindest soweit keine Öffnungsklauseln in der DS-GVO geschaffen wurde. Inwieweit es sich bei Art. 80a DS-GVO um eine solche Öffnungsklausel handelt, ist ebenfalls nicht ganz klar. Zwar wird davon ausgegangen, dass weiterhin nationales Recht existiert, welches den Zugang und die Veröffentlichung von amtlichen Dokumenten regelt. Jedoch wird nicht ausdrücklich darauf verwiesen, dass die Mitgliedstaaten eigene Regelungen zur Datenverarbeitung in diesem Bereich treffen können. Im Zweifel muss man wohl davon ausgehen, dass die Erlaubnistatbestände der DS-GVO (Art. 6) zu beachten sind und sich, ergänzend hierzu, weitere Anforderungen aus jedem nationalen Recht, dann freilich auch jeweils abweichend voneinander, ergeben können.

Daneben verweist Art. 80a DS-GVO jedoch nicht nur darauf, dass die Veröffentlichung von Daten in Übereinstimmung den nationalen Vorgaben erfolgen muss, sondern dass diese wiederum das Recht auf Zugang zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten entsprechend der DS-GVO in Einklang bringen müssen. Dabei scheint sich der Verweis auf die Übereinstimmung mit den Vorgaben der DS-GVO auf die nationalen Gesetze zu beziehen. Das nationale Recht muss sich also wohl an den Vorgaben der DS-GVO messen lassen.

Erwägungsgrund 121

Erwägungsgrund 121 versucht den Inhalt des Art. 80a DS-GVO etwas konkreter zu umschreiben. Grundsätzlich müsse das Prinzip des Zugangs zu amtlichen Dokumenten im Anwendungsbereich der DS-GVO berücksichtigt werden. Zudem wird ausdrücklich darauf verwiese, dass es sich bei dem Zugang zu bzw. Veröffentlichung von amtlichen Dokumenten um ein „öffentlichen Interesse“ handeln kann. Dieser Verweis scheint darauf hinzudeuten, dass in der Tat die Erlaubnistatbestände des Art. 6 DS-GVO anzuwenden sind, hier insbesondere der Art. 6 (e) DS-GVO, nach dem eine Datenverarbeitung zulässig ist, wenn sie zur Erfüllung eines öffentlichen Interesses erforderlich ist.

Erwägungsgrund 121 spricht auf noch die europäische Richtlinie zur Weiterverwendung von Informationen des öffentlichen Sektors (RL 2003/98/EG, sog. PSI-Richtlinie) an. Diese ist weiterhin anwendbar, hat jedoch keinen Einfluss auf die unter der DS-GVO geschaffenen Rechte und Pflichten hinsichtlich des Schutzes personenbezogener Daten. Diese gelten also unabhängig von der Richtlinie. Daneben schreibt Erwägungsgrund 121 vor, dass die PSI-Richtlinie nicht auf Daten anwendbar ist, die durch die Vorgaben des Datenschutzrechts vor einer Weiterverwendung geschützt sind. Hier scheint der Verordnungsgeber klar machen zu wollen, dass die DS-GVO (denn diese regelt ja den Bereich des Datenschutzrechts) der PSI-Richtlinie vorgeht. Insgesamt ist jedoch leider auch Erwägungsgrund 121 nur schwer verständlich.

Es lässt sich daher nach dieser kurzen Analyse festhalten, dass nationale Regelungen, die den Zugang zu amtlichen Dokumenten und deren Veröffentlichung regeln, weiter anwendbar sind. Diese müssen sich jedoch datenschutzrechtlich an den Anforderungen der DS-GVO, insbesondere was die Zulässigkeit der Verarbeitung angeht, messen lassen.

Hinweis: Die stiftung neue verantwortung hat zu dem Thema „Privacy & Open Data“ ein Projekt ins Leben gerufen und möchte in diesem Rahmen konkrete Empfehlungen entwickeln.

Stellungnahme europäischer Datenschützer: Weiter Anwendungsbereich des europäischen Datenschutzrechts

Posted on by

Die Art. 29 Datenschutzgruppe hat am 16. Dezember 2015 eine überarbeitete Version (pdf) ihrer Stellungnahme 8/2010 zum anwendbaren Datenschutzrecht (pdf) verabschiedet. Die Überarbeitung wurde insbesondere nach den Urteilen den Europäischen Gerichtshofs (EuGH) in der Sache „Google Spain“ (C-131/12) und „Weltimmo“ (C-230/14) erforderlich, in denen der Gerichtshofs die Vorschrift des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie auslegte.

Die europäische Regelung

Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie beantwortet die Frage (oder versucht dies zumindest), wann das jeweils nationale Datenschutzrecht eines EU-Mitgliedstaates anwendbar ist:

Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält.

Stellungnahme der Art. 29 Datenschutzgruppe

Grundsätzlich analysieren die Datenschützer das Google Spain-Urteil des EuGH und gehen vereinzelt auch auf das zeitlich später ergangene Weltimmo-Urteil ein.

Nach Auffassung der Datenschützer wendet der EuGH europäisches Datenschutzrecht auf Datenverarbeitungen an, die durch eine verantwortliche Stelle vorgenommen werden, die in einem Staat außerhalb der EU niedergelassen ist, wenn sie eine „relevante“ Niederlassung innerhalb der EU besitzt. Jedoch werfe dieser sehr weite Anwendungsbereich europäischen Rechts auch Fragen auf.

Ebenfalls wichtig für die Art.29 Gruppe ist die Frage, inwieweit bei Konstellationen, in denen die verantwortliche Stelle in der EU niedergelassen ist und mehrere Niederlassungen in anderen Mitgliedstaaten besitzt, die Vorgaben des EuGH übertragbar sind und ob eventuell stets nur ein nationales Datenschutzrecht anwendbar ist.

Auslegung der EuGH-Urteile durch die Art. 29 Datenschutzgruppe

Zunächst befasst sich die Stellungnahme mit dem Tatbestandsmerkmal „im Rahmen der Tätigkeiten einer Niederlassung“. Die Art. 29 Gruppe weist auf eine weite Auslegung des Begriffs „Niederlassung“ in beiden Urteilen hin. Zudem kreiere der EuGH das Merkmal der „untrennbaren Verbundenheit“ der Tätigkeiten der europäischen Niederlassung mit der verantwortlichen Stelle, die in einem Staat außerhalb der EU ihren Sitzt hat.

Die Art. 29 Gruppe versteht diese Verbundenheit vor allem im Sinne eines wirtschaftlichen Konnexes, etwa im Sinne von Umsätzen der EU-Niederlassung. Es dürfe keine Trennung der Tätigkeiten möglich sein, ohne dass das Angebot des ausländischen Dienstes, etwa einer Suchmaschine, wirtschaftlich unrentabel werde.

Zu dem Merkmal der untrennbaren Verbundenheit stellt die Art. 29 Gruppe weiter fest, dass bei deren Vorliegen europäisches Datenschutzrecht anwendbar ist, selbst wenn die EU-Niederlassung gar keine Rolle bei Datenverarbeitung der verantwortlichen Stelle spielt. Nach Auffassung der Datenschützer können jedoch die Tätigkeiten der Niederlassung so mit der verantwortlichen Stelle verbunden sein, dass europäisches Recht auf deren Datenverarbeitung anwendbar ist. Hierzu bildet die Art. 29 Gruppe etwa ein Beispiel, in dem eine verantwortliche Stelle mehrere Verkaufsbüros in der EU besitzt. Dann beurteile sich Verarbeitung der verantwortlichen Stelle nach europäischem Datenschutzrecht, selbst wenn die Niederlassung in der EU an der Datenverarbeitung nicht beteiligt ist.

Zudem stellen die Datenschützer fest, dass das EuGH-Urteil das Geschäftsmodell einer Internetsuchmaschine und deren Generierung von Werbeeinnahmen betraf. Es wäre aus diesem Grund ein Fehler zu glauben, dass nun jede Verbindung zwischen einer EU-Niederlassung und der verantwortlichen Stelle im EU-Ausland ausreichen würde, um europäisches Datenschutzrecht zur Anwendung zu bringen. Jeder Fall muss für sich betrachtet werden. Andererseits dürfe das Urteil nach Ansicht der Art. 29 Gruppe aber auch nicht zu eng ausgelegt und etwa nur auf Suchmaschinen und deren Geschäftsmodell angewendet werden.

Aus Sicht der Praxis von Interesse dürfte die Aussage der Datenschützer sein, dass das Urteil ihrer Auffassung nach je nach Einzelfall vor allem auf Unternehmen anwendbar sein kann, die kostenlose Dienste in der EU anbieten und Daten, die von Nutzern dieser Dienste erhoben und verarbeitet werden, dann in der ein oder anderen Form kommerziell, z. B. für Werbezwecke, genutzt werden.

Auch der Frage, wie die Urteile des EuGH mit Blick auf Sachverhalte zu beurteilen sind, die allein Innerhalb der EU spielen, gehen die Datenschützer nach. Es geht hierbei um Fälle, bei denen mehrere Niederlassungen in verschiedenen Mitgliedstaaten bestehen und eine Hauptniederlassung in einem Mitgliedstaat existiert, die allein als verantwortliche Stelle agiert.

Ist in einem solchen Fall jedes nationale Recht und damit nebeneinander verschiedene Rechtsordnungen auf verschiedene Datenverarbeitung derselben verantwortlichen Stelle anwendbar, wenn die „untrennbare Verbundenheit“ besteht, selbst wenn diese Niederlassungen nicht an der Verarbeitung beteiligt sind?

Nach richtiger Auffassung der Art. 29 Gruppe hat der EuGH in seinem Google Spain-Urteil hierzu nichts gesagt und auch keine Unterscheidung getroffen, wie der Fall zu beurteilen wäre, wenn die verantwortliche Stelle in der EU ansässig ist. Ich möchte hinzufügen: das musste er auch gar nicht. Dennoch habe der EuGH für die Anwendung des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie eine neue Voraussetzung geschaffen: die untrennbare Verbundenheit zwischen verantwortlicher Stelle und der Niederlassung. Das Argument des EuGH, europäisches Recht anzuwenden, da ansonsten die Gefahr bestünde, dass der Betroffene den ihm gewährten Schutz verlieren würde, ist nach Ansicht der Datenschützer in den Konstellationen, die allein in der EU spielen, nicht zwingend. Denn in einem solchen Fall geht es nur darum im Anwendungsbereich der Datenschutzrichtlinie zu bestimmen, welches nationale Recht anwendbar ist.

Doch geht die Art. 29 Gruppe davon aus, dass derzeit keine Vollharmonisierung unter dem europäischen Datenschutzrecht existiert. Daher sei es schon wichtig, welches nationale Recht gilt. Zudem führen die Datenschützer aus, dass die Datenschutzrichtlinie keine Form eines „one stop shops“ für das anwendbare Recht vorsieht. Es sei vielmehr jedes nationale Recht anwendbar, in dem eine Niederlassung existiert, die mit ihren Tätigkeiten untrennbar mit der verantwortlichen Stelle verbunden ist. Die Begründung: ansonsten bestünde die Gefahr des forum shoppings in der EU.

Das Fazit der Art. 29 Gruppe: der EuGH schafft ein neues Kriterium im Rahmen des Tatbestandsmerkmals des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie („im Rahmen der Tätigkeiten einer Niederlassung“), die untrennbare Verbundenheit. Hier gehen die Datenschützer noch einmal deutlich darauf ein, dass es sich um eine wirtschaftliche Verbundenheit handeln muss.

Im zweiten Teil der Stellungnahme beschreiben die Datenschützer konkrete Änderungen ihrer alten Stellungnahme. Zudem stellen sie klar, dass selbst wenn nicht EU-Recht auf eine außerhalb der EU sitzende verantwortliche Stelle anwendbar ist, doch immer noch nationales Recht für solche Datenverarbeitungen gilt, die „lokal“ von einer EU-Niederlassung vorgenommen werden, etwa im Rahmen der Verwaltung eigener Dienstleister oder Mitarbeiter.

Zudem sei EU-Recht auch anwendbar, wenn nur eine einzige Niederlassung einer außereuropäischen verantwortlichen Stelle in der EU existiert, die Dienstleistungen in der EU anbietet. Dann scheint nach Ansicht der Art. 29 Gruppe eine Art Vermutung dafür zu streiten, dass die Tätigkeiten dieser EU-Niederlassung mit der verantwortlichen Stelle untrennbar verbunden sein müssen.

Zudem fügen die Datenschützer noch einige neue Beispiele für die Praxis in ihre Stellungnahme ein. Sehr relevant ist, dass die Art. 29 Gruppe in diesem Zusammenhang klarstellt, dass allein die gesellschaftsrechtliche Verbundenheit nicht für eine „untrennbare Verbundenheit“ ausreicht. Selbst wenn nur eine Niederlassung in der EU vorhanden sein sollte und eine finanzielle Verbindung zur verantwortlichen Stelle (hier in Kanada) besteht, reicht dies nicht aus, wenn die EU-Niederlassung tatsächlich im Rahmen völlig andere Tätigkeiten agiert, als die verantwortliche Stelle.

Bundesregierung zum Safe Harbor-Urteil: Einwilligung und Standardvertragsklauseln weiter möglich

Posted on by

Wie geht es mit Datentransfers nach Amerika nach dem sog. „Safe Harbor-Urteil“ des Europäischen Gerichtshofs weiter? In der Antwort auf eine Kleine Anfrage der Fraktion DIE LINKE im Deutschen Bundestag (BT-Drs. 18/7134, PDF) setzt sich die Bundesregierung mit den Auswirkungen der Safe Harbor-Entscheidung des Europäischen Gerichtshofs vom 6. Oktober 2015 auseinander und legt insbesondere ihre Ansicht zu Rechtmäßigkeit von Datenübermittlung auf der Grundlage alternativer, gesetzlich vorgesehene Mechanismen dar.

Richtigerweise stellt die Bundesregierung unter anderem klar, dass für Datenübermittlungen in die USA (nach der Ungültigkeit von Safe Harbor) alternative Rechtsgrundlagen in Betracht kommen.

Dies sind neben vertraglichen Regelungen wie den Standardvertragsklauseln verbindliche Unternehmensregelungen oder die in der Richtlinie 95/46 EG bzw. § 4c des Bundesdatenschutzgesetzes (BDSG) genannten Ausnahmetatbestände.

Derzeit verhandelt die europäische Kommission mit der amerikanischen Regierung über eine Nachfolgeregelung zu Safe Harbor. Die europäischen Datenschutzbehörden haben den Verhandlungsparteien eine Frist bis Anfang Februar 2016 gesetzt. Danach, so die Aufsichtsbehörden, würden internationale Transfer in die USA verstärkt kontrolliert werden. In ihrer Antwort legt die Bundesregierung dar, dass sie das Ziel der Europäischen Kommission, zeitnah ein neues Safe-Harbor-Abkommen zu erreichen, um Rechtssicherheit sowohl für Verbraucher als auch für die Wirtschaft zu schaffen, unterstützt. Zudem ist sie der Auffassung, dass eine Nachfolgeregelung für Safe Harbor durchaus möglich ist, wenn diese den Maßstäben des Europäischen Gerichtshofs gerecht wird.

Mit Blick auf die behördliche Kontrolle und Durchsetzung des Datenschutzrechts verweist die Bundesregierung hinsichtlich der personellen, materiellen und finanziellen Ausstattung der Landesdatenschutzbehörden auf die Zuständigkeit der Länder. Was die Bundesbeauftragte für den Datenschutz betrifft, so ist die Bundesregierung der Ansicht,

dass die Bundesbeauftragte für Datenschutz und die Informationsfreiheit finanziell, personell und technisch ausreichend ausgestattet ist.

Zudem äußert sich die Bundesregierung zu den Anforderungen an eine datenschutzrechtliche Einwilligung für Datentransfers nach Amerika. Eine solche, ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erteilte Einwilligung der betroffenen Person, ermöglicht eine Übermittlung personenbezogener

Daten in Drittstaaten, in denen kein angemessenes Datenschutzniveau im Sinne der europäischen Datenschutzrichtlinie gewährleistet ist. Aus diesem Grund sieht die Bundesregierung keine Veranlassung,

die gesetzlichen Reglungen über die Einwilligung bei der Übermittlung von personenbezogenen Daten in Drittstaaten zu ändern. Datenschutzrechtliche Einwilligung ist also auch nach Ansicht der Bundesregierung in Zukunft ein taugliches Mittel, um Datentransfers nach Amerika zu legitimieren.

Die Fragesteller möchten zudem wissen, ob die Bundesregierung eine Gesetzesinitiative plane, um dem Urteil des Gerichts entsprechend, den Datenschutzbehörden ein Klagerecht gegen (Angemessenheits-) Entscheidungen der Kommission einzuräumen. Eine solche mögliche Gesetzesänderung möchte die Bundesregierung, insbesondere im Zusammenhang mit den erforderlichen Rechtsänderungen nach dem Inkrafttreten der Datenschutz-Grundverordnung, überprüfen.

Des Weiteren ist die Bundesregierung der Auffassung,

dass die EU-Standardvertragsklauseln sowie die verbindlichen Unternehmensregeln (BCRs) weiterhin als Rechtsgrundlage für einen legalen Datentransfer in die USA verwendet werden können.

Zudem führt sie aus, dass die Standardvertragsklauseln nur vom EuGH für ungültig oder nichtig erklärt werden können. Die jeweils zuständigen Datenschutzbehörden können die Rechtmäßigkeit einer Datenübermittlung auf der Grundlage alternativer Instrumente im Einzelfall aber jederzeit überprüfen.

Von einer raschen Überarbeitung der derzeit geltenden Standardvertragsklauseln geht die Bundesregierung nicht aus. Vielmehr ist sie der Ansicht, dass die Europäische Kommission nach Erlass der Datenschutz-Grundverordnung die Standardvertragsklauseln überprüfen wird.

Auch auf mögliche Auswirkungen des Urteils auf  TTIP und CETA geht die Bundesregierung ein. Hierbei verweist sie darauf, dass die Europäische Kommission in ihrer handelspolitischen Strategie

Bekräftigt habe, dass Vorschriften über die Verarbeitung personenbezogener Daten nicht Gegenstand der Verhandlungen über Handelsabkommen sind und von diesen nicht berührt werden. Nach Auffassung der Bundesregierung hat das Safe Harbor-Urteil daher keine konkreten Konsequenzen für die Verhandlungen über TTIP oder CETA.

OLG Frankfurt: Einsatz von Cookies für Werbezwecke erfordert kein Opt-in

Posted on by

Das OLG Frankfurt am Main hat mit Urteil vom 17.12.2015 (Az.: 6 U 30/15) über die Wirksamkeit der im Rahmen eines Gewinnspiels im Internet eingeholten Einwilligung in die Datenverarbeitung für Werbezwecke mittels Cookies entschieden. (Hinweis: JBB Rechtsanwälte waren an dem Rechtsstreit als Verfahrensbevollmächtigte beteiligt).

Das Urteil ist insbesondere deshalb interessant, weil es sich unter anderem mit der Frage auseinandersetzt, ob die sogenannte ePrivacy- oder Cookie-Richtlinie (RL 2002/58/EG in der Fassung der RL 2009/136/EG, PDF) und deren Vorgaben zur Einwilligung beim Einsatz von Cookies in Deutschland unmittelbar anwendbar sind. Diese Frage ist seit Jahren umstritten.

Ausgangslage

Im ursprünglichen Verfahren hat ein Verbraucherschutzverband gegen den Veranstalter eines Gewinnspiels im Internet geklagt. Angegriffen wurde hierbei unter anderem eine Einwilligungserklärung, in der sich Teilnehmer des Gewinnspiels damit einverstanden erklärten, dass nach ihrer Registrierung ein Cookie gesetzt wird, über das eine Auswertung des Surf- und Nutzungsverhaltens auf Webseiten von Werbepartnern und eine Verwendung für interessengerechte Werbung ermöglicht werden.

In der Einwilligungserklärung, die mittels eines bereits angekreuzten Kästchens (opt-out) eingeholt wurde, fand sich zudem ein Link auf weitere Informationen zum Einsatz des  Cookies und der damit zusammenhängenden Datenverarbeitung.

Urteil

Der vom Verbraucherschutzverband geltend gemachte Unterlassungsanspruch (§ 1 UKlaG) gegen die Einwilligungserklärung wurde vom OLG zurückgewiesen.

Die Einwilligungserklärungen qualifizierte das Gericht als eine Allgemeine Geschäftsbedingung und war damit nach Auffassung des Senats auch einer Inhaltskontrolle (§ 307 BGB) zugänglich. Jedoch verstößt die Einwilligungserklärung gegen keine der insoweit maßgeblichen gesetzlichen Vorgaben der §§ 4a, 28 Abs. 3a BDSG sowie §§ 13 Abs. 2, 15 Abs. 3 TMG).

Dies gilt, so das OLG, auch dann, wenn man diese Vorschriften nach Ablauf der Umsetzungsfrist der Neuregelung des Artikel 5 Abs. 3 ePrivacy-Richtlinie richtlinienkonform auslegen möchte.

Opt-out ausreichend

Das Gericht stellt fest, dass den genannten datenschutzrechtlichen Vorschriften das Erfordernis einer ausdrücklich erteilten Einwilligung (opt-in) nicht zu entnehmen ist. Vielmehr kann die Einwilligung auch dadurch erklärt werden, dass der Nutzer einen bereits gesetzten Haken in einem Kästchen nicht entfernt (opt-out). Das Gericht verweist hierzu auf das sogenannte Payback-Urteil des Bundesgerichtshofs.

Ohne Erfolg berief sich der Verbraucherschutzverband darauf, dass nach Ablauf der Umsetzungsfrist der ePrivacy-Richtlinie das nationale Recht richtlinienkonform dahingehend ausgelegt werden müsste, dass ein solches Opt-Out Verfahren nicht ausreiche. Art. 5 Abs. 3 ePrivacy-Richtlinie enthält nämlich keine Regelung, die ein Ort in Verfahren zwingend vorschreiben würde. Danach haben die Mitgliedstaaten sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Hierzu das Gericht:

Dort ist jeweils nur von der klaren und umfassenden bzw. verständlichen Information die Rede, die dem Nutzer vor Abgabe der Einwilligungserklärung gegeben werden muss. Dem steht ein „opt-out“-Verfahren nicht generell entgegen.

Zudem, lässt sich zusätzlich anführen, dass der Begriff der „Einwilligung“ in der ePrivacy-Richtlinie genau derselbe ist wie in der europäischen Datenschutzrichtlinie (RL 95/46/EG) (vgl. Art. 2 f) ePrivacy-Richtlinie).

Der Verbraucherschutzverband argumentierte zudem mit einer Stellungnahme der europäischen Art. 29 Datenschutzgruppe vom 8.12.2011. Dabei handelt es sich aber nach Auffassung des Gerichts

nur um eine unverbindliche Meinungsäußerung dieses Beratungsgremiums.

Dieser Meinungsäußerung folgt das OLG Frankfurt nicht. Zwar fordert die Art. 29 Datenschutzgruppe eine „bejahende Handlung“ des Nutzers, durch die das Setzen des Cookies und die danach erfolgende Datenverarbeitung akzeptiert werden müsse. Dies beziehe sich jedoch nicht auf die Frage, ob eine Einwilligungserklärung auch im Rahmen des Opt-Out-Verfahrens eingeholt werden kann.

Möglichkeit der Verweigerung

Zudem stellt das OLG fest, dass der durchschnittliche Internetnutzer heute weiß, dass er ein Häkchen in einem Kästchen durch Anklicken des Feldes entfernen und damit seine Einwilligung verweigern kann. Ein ausdrücklicher Hinweis auf diese Möglichkeit ist daher nicht erforderlich.

Hervorhebung der Einwilligungserklärung

Auch ist es nicht unzulässig, dass wesentliche Informationen zum Einsatz des Cookies unter Datenverarbeitung nicht schon in der Einwilligungserklärung selbst, sondern erst in der verlinkten Erläuterung erteilt werden. Zwar verlangt § 28 Abs. 3a S. 2 BDSG hier, dass die Einwilligung „in drucktechnisch deutlicher Gestaltung besonders hervorzuheben“ ist. Dies war jedoch der Fall. Denn die besondere Hervorhebung bezieht sich nur auf die Einwilligungserklärung selbst, und nicht auf die weiteren erläuternden Informationen, die durchaus (über einen deutlich gekennzeichneten Link) auf einer weiteren Informationsebene erteilt werden können.

Auch inhaltlich beanstandete das OLG Frankfurt die Einwilligungserklärung nicht. Insbesondere würden die Funktionen des Cookies richtig herausgestellt werden. Dabei müssen sich die Anforderungen an die erforderlichen Informationen für den Nutzer (wenn sie denn ihren Sinn erfüllen sollten) auch an der Fähigkeit und Bereitschaft des Nutzers orientieren, sich mit diesen Fragen überhaupt tatsächlich zu befassen.

Fazit

Die Frage, ob die ePrivacy-Richtlinie in Deutschland tatsächlich umgesetzt wurde oder nicht, stellt das OLG nicht. Selbst bei einer richtlinienkonform Auslegung der Richtlinie würde die Einholung einer Einwilligung für Werbezwecke im Rahmen eines Opt-Out-Verfahrens genügen. Die ausdrückliche Erteilung der Einwilligung (etwa durch aktives Ankreuzen eines Kästchens) ist also beim Einsatz von Cookies für Werbezwecke nicht erforderlich.

USA: Strafzahlung wegen falschen Informationen zur Datenverschlüsselung

Posted on by

Die amerikanische Federal Trade Commission (FTC) hat sich mit dem Anbieter einer Verwaltungssoftware für Zahnärzte auf eine Strafzahlung von 250.000 Dollar geeinigt. In einer Pressemitteilung vom 5. Januar 2016 gab die FTC bekannt, dass der Softwareanbieter sein Produkt, mit dem unter anderem auch Patientendaten verarbeitet werden können, für mehrere Jahre mit der Eigenschaft bewarb (u.a. in Broschüren und Newslettern), dem Industriestandard entsprechende Verschlüsselungsverfahren einzusetzen. Zudem sollten hierdurch gesetzliche Anforderungen an den Umgang mit Patientendaten des Health Insurance Portability and Accountability Act (HIPAA) eingehalten werden können.

Nach Auffassung der FTC war dem Softwareanbieter jedoch bekannt, dass in der Software ein weniger komplexes Verschlüsselungsverfahren als jenes des Advanced Encryption Standard (AES) zum Einsatz komme, welches jedoch durch das National Institute of Standards and Technology (NIST) (einer Bundesbehörde, die sich um Standardisierungsprozesse kümmert) gerade als Industriestandard empfohlen werde.

Auch in Deutschland verlangt etwa § 9 BDSG in Verbindung mit der Anlage zu § 9 Satz 1 BDSG, dass bei der Verarbeitung personenbezogener Daten Maßnahmen zu treffen sind, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, die Daten technisch etwa gegen unbefugten Zugriff oder eine unbefugte Weitergabe zu schützen. Das BDSG führt als Beispiel einer solchen Maßnahme insbesondere die Verwendung von dem Stand der Technik entsprechender Verschlüsselungsverfahren an. Speziell im Bereich des Internets oder von Apps findet sich eine ähnliche Regelung in § 13 Abs. 7 TMG. Zu beachten ist jedoch, dass diese Maßnahmen jeweils unter einer Verhältnismäßigkeitsvorbehalt stehen und die Verschlüsselung nicht gesetzlich verpflichtend (etwa als Minimumvoraussetzung) vorgeschrieben wird (hierzu auch ein Beitrag von Adrian Schneider).

Unabhängig davon könnte ein Verhalten, wie jenes des Softwareanbieters in den USA, in Deutschland durch Mitbewerber angegriffen werden, wenn der Anbieter Verbraucher (Zahnärzte würden im Rahmen ihrer beruflichen Tätigkeit nicht hierunter fallen) bewusst über eine besondere Verschlüsselungseigenschaft seines Produkts täuscht. Nach § 5 Abs. 1 S. 2 Nr. 1 UWG liegt z.B. eine sog. irreführende geschäftliche Handlung vor, wenn sie unwahre Angaben über die wesentlichen Merkmale der Ware wie Vorteile, Zwecktauglichkeit oder Beschaffenheit enthält. Dies würde eine unzulässige unlautere geschäftliche Handlung darstellen (§ 3 Abs. 1 UWG), die etwa mit einem Unterlassungsanspruch nach § 8 Abs. 1 UWG angegriffen werden kann.

Dem Grunde nach ist das Ergebnis ja einleuchtend: man darf nicht mit falschen Produkteigenschaften werben. Interessant ist in diesem Zusammenhang eher die Frage danach, was denn dem „Stand der Technik“ entsprechende Verschlüsselungsverfahren sind, mit denen ein Produkt beispielsweise beworben wird. Etwa allein AES? Sind in der Praxis bewährte Verfahren ausreichend? Diesbezüglich bestünde im Streitfall sicherlich Argumentationsspielraum.

Die Datenschutz-Grundverordnung kommt. Und ich habe eine Frage.

Posted on by

Nachdem sich gestern in den Trilogverhandlungen zur Datenschutz-Grundverordnung (DS-GVO) die Verhandlungsparteien auf einen gemeinsamen Text geeinigt haben, der Anfang kommenden Jahres vom europäischen Parlament und dem Rat bestätigt werden muss, stellen sich in den nächsten Monaten sicherlich viele Fragen.

Für den Moment möchte ich jedoch eine einzige Frage stellen, die mir bisher niemand beantworten konnte: wann gilt in Zukunft welches nationale Datenschutzrecht in Europa?

Man mag sich denken, dass diese Frage völlig überflüssig ist, da es ja mit der DS-GVO ein in allen Mitgliedstaaten unmittelbar anwendbares Gesetz geben wird. Jedoch wissen wir mittlerweile auch, dass die DS-GVO an vielen (insbesondere auch aus Sicht der Praxis) relevanten Stellen Öffnungsklauseln vorsieht und es den Mitgliedstaaten erlaubt, nationale Regelungen für bestimmte Bereiche zu schaffen. Als Beispiel sei hier etwa die Festlegung einer Altersgrenze bei der Einwilligung von Minderjährigen (zwischen 13 und 16 Jahren) genannt oder auch die Frage der Bestellpflicht für Datenschutzbeauftragte in den Fällen, die in der Verordnung nicht aufgelistet sind.

Die DS-GVO beantwortet in ihrem Art. 3 verständlicherweise allein die Frage, wann sie selbst Anwendung findet. Jedoch findet sich keine Regelung dazu, wann neben der DS-GVO weiterhin bestehendes und von ihr ja sogar vorausgesetztes nationales Datenschutzrecht Anwendung findet.

Wird es in Zukunft also so sein, dass jeder Mitgliedstaat frei nach seinem Belieben entscheiden kann, wann sein nationales Datenschutzrecht und damit auch die benannten Spezifikationen auf der Grundlage der Öffnungsklauseln der DS-GVO gelten? Von welchen Kriterien soll dies abhängen? Reicht eine Niederlassung in dem Mitgliedstaat? Reicht es aus, dass Dienste in dem Mitgliedstaat angeboten werden, in deren Rahmen personenbezogene Daten verarbeitet werden?

Auf die derzeit bestehende Regelung in der Datenschutzrichtlinie 95/46 (Art. 4), die genau diese Frage regeln soll, könnte man sich in Zukunft nicht berufen, da diese Richtlinie ja in Gänze aufgehoben wird.

Ein „einheitliches Datenschutzrecht“ würde damit für viele wichtige Bereiche in weite Ferne rücken.

Verhandlungen zur Datenschutz-Grundverordnung: offene Punkte und vorläufige Einigungen

Posted on by

Bis zum Ende des Jahres 2015 möchten die Europäische Kommission, das Europäische Parlament und der Rat der Europäischen Union die sogenannten Trilog-Verhandlungen zur europäischen Datenschutz-Grundverordnung (DS-GVO) abschließen. Seitdem der Trilog begonnen hat, wurden nur wenige Schriftstücke aus den Verhandlungen veröffentlicht bzw. geleakt. Nun hat die Plattform statewatch.org zwei neuere Dokumente des Rates (jeweils Stand vom 20. November 2015) veröffentlicht.

Vorläufig erzielte Kompromisse

Ein Dokument (pdf) befasst sich mit den bis zum 20. November 2015 zwischen den drei Verhandlungsparteien erzielten Kompromissen. Zudem enthält das Dokument Vorschläge der Ratspräsidentschaft für einige noch offene Punkte.

Betrachtet man das (immerhin 372 Seiten lange) Dokument, so fällt auf, dass Kompromisse vor allem für Artikel bzw. Themengebiete gefunden wurden, die man umgangssprachlich nicht als die „dicken Bretter“ bezeichnen würde. Dieses freilich nicht verwunderlich, da man sich in den Verhandlungen sicherlich zunächst mit solchen Themenkomplexen befasst hat, bei denen die geringsten Meinungsverschiedenheiten zu erwarten sind.

So hat man sich etwa darauf geeinigt, die sogenannte Haushaltsausnahme, also jene Vorschrift die bestimmt, wann die Datenschutz-Grundverordnung in Zukunft im Rahmen einer Datenverarbeitung für private Zwecke nicht anwendbar sein soll, nur dann eingreifen zu lassen, wenn die in Rede stehende Datenverarbeitung ausschließlich für persönliche Zwecke durchgeführt wird. In Zukunft dürfte es für die Inanspruchnahme der Ausnahmeregelung daher nicht ausreichen, dass mit einer Datenverarbeitung auch (!) private Zwecke verfolgt werden. Vor allem im Abschnitt der sich mit Zusammenarbeit der nationalen Datenschutzbehörden untereinander befasst, konnte man ebenfalls vorläufige Einigungen erzielen. Nicht einigen konnte man sich bisher hingegen auf die Höhe bzw. den möglichen Rahmen für zukünftige Bußgelder bei rechtswidrigen Datenverarbeitung.

Offene Punkte

Das zweite veröffentlichte Dokument (pdf) betrifft die wichtigsten noch offenen Punkte. In diesem Dokument schlägt die Ratspräsidentschaft den Mitgliedstaaten zu verschiedenen Themen ein bestimmtes Vorgehen vor und bittet um eine Rückmeldung hinsichtlich der vorgeschlagenen Lösungswege.

Zu den noch offenen Diskussionsfeldern gehört nach dem Dokument unter anderem die Frage, inwieweit die Datenschutz Grundverordnung auch für EU-Institutionen gelten soll. Die Kommission und der Rat möchten die Institutionen vom Anwendungsbereich der Datenschutz-Grundverordnung ausnehmen. Das Parlament ist für deren Einbeziehung.

Bekanntlicherweise sollen in der Datenschutz-Grundverordnung Öffnungsklauseln geschaffen werden, die es den Mitgliedstaaten erlauben würden, für bestimmte Bereiche bzw. bestimmte Datenverarbeitungsprozesse spezifische nationale Regelung zu schaffen. Vor allem der Rat möchte eine solche Öffnungsklausel in Art. 1 Abs. 2a DS-GVO vorsehen. In dem Dokument wird nun vorgeschlagen, die Ratsposition beizubehalten, obwohl das Parlament den entsprechenden Artikel anpassen möchte. Dem Parlament ist vor einigen an einer Konkretisierung dahingehend gelegen, dass nationale Vorschriften die Vorgaben der DS-GVO nicht ändern bzw. anpassen sondern nur konkretisieren bzw. spezifizieren können. Die Ratspräsidentschaft schlägt vor, Art. 1 Abs. 2a DS-GVO in einen neuen Art. 6 Abs. 2a DS-GVO zu verschieben. Jedoch keine inhaltlichen Änderungen am Vorschlag des Rates vorzunehmen.

Ein weiterer offener Themenkomplex ist die Frage, inwieweit die den nationalen Datenschutzbehörden zustehenden hoheitlichen Befugnisse und der Umfang der potentiellen Maßnahmen innerhalb der DS-GVO geregelt werden sollen oder ob die Mitgliedstaaten jeweils national den Umfang der Maßnahmen bestimmen können dürfen.

Im Anwendungsbereich der Datenschutz-Grundverordnung sollen in Zukunft Verbände die Möglichkeit haben, betroffene Personen gegenüber Datenschutzbehörden bzw. datenverarbeitenden Stellen zu vertreten und auch deren Rechte durchzusetzen. In den Verhandlungen besteht noch Uneinigkeit darüber, inwieweit Verbände oder andere Organisationen im Namen der Betroffenen auch Schadensersatzansprüche geltend machen können. Das Parlament ist für eine solche Möglichkeit. Der Rat möchte dies nur gestatten, soweit nationale Vorschriften die Geltendmachung von Schadenersatzansprüchen für den Betroffenen erlauben.

Ausblick

Nach dem Ratsdokument werden die nächsten Trilog- Verhandlungen am 10. Dezember 2015 stattfinden. Die Ratspräsidentschaft bekräftigt noch einmal ihre Intention, bis zum Ende des Jahres die Verhandlungen abzuschließen.

Wer auch im Dezember nicht auf Informationen zur Datenschutz-Grundverordnung und möglichen künftigen Regelungen verzichten möchte, den lade ich gerne dazu ein, an jedem Tag zwischen dem 1. und 24. Dezember eine Tür des EUDataP- Weihnachtskalenders zu öffnen. Dort werde ich jeden Tag einen kleinen Beitrag zur Datenschutz-Grundverordnung veröffentlichen.

Europäische Kommission veröffentlicht ihre Analyse des Safe Harbor-Urteils

Posted on by

Heute hat die Europäische Kommission in einer Mitteilung (PDF) ihre Analyse des Safe Harbor-Urteils des europäischen Gerichtshofs veröffentlicht.

Neue Erkenntnisse oder Informationen zu den rechtlichen Möglichkeiten für Datentransfers in die USA finden sich in der Position kaum. Zumeist verweist die Kommission auf Stellungnahmen der Art. 29 Datenschutzgruppe. Einige Kernpunkte des Papiers möchte ich nachfolgend dennoch ansprechen:

Standardvertragsklauseln

Mit Blick auf den Einsatz von Standardvertragsklauseln (welche durch die Europäische Kommission auf der Grundlage von Art. 26 Abs. 4 der Datenschutzrichtlinie erlassen wurden und „ausreichende Garantien“ im Sinne von Art. 26 Abs. 2 der Datenschutzrichtlinie darstellen) stellt die Kommission fest, dass nationale Datenschutzbehörden dem Grunde nach verpflichtet sind, diese als rechtmäßige Möglichkeit eines Datentransfers in einen Drittstaat zu akzeptieren. Der Grund hierfür ist die rechtliche Verbindlichkeit von Kommissionsentscheidungen in den Mitgliedstaaten.

Weiterhin stellt die Kommission fest, dass Datenschutzbehörden Datentransfers auf der Grundlage von Standardvertragsklauseln nicht mit der Begründung untersagen dürfen, dass die Standardvertragsklauseln keine ausreichenden Garantien bieten würden. Denn genau dies hat die Europäische Kommission verbindlich festgestellt. Natürlich ist es den nationalen Datenschutzbehörden unbenommen, Datentransfers auf der Grundlage der Standardvertragsklauseln auf ihre Rechtmäßigkeit (gerade mit Blick auf die Entscheidung des Europäischen Gerichtshofs) zu prüfen. Sollten seitens der Datenschutzbehörde Zweifel bestehen, legt die Kommission in ihrer Mitteilung nahe, dass die nationalen Behörden einen solchen Sachverhalt vor ein nationales Gericht zu Prüfung bringen sollten, damit dieses wiederum die Frage der Rechtmäßigkeit des Datentransfers und damit implizit auch der zugrunde liegenden Standardvertragsklauseln zum Europäischen Gerichtshof vorlegen kann.

Daneben weist die Europäische Kommission darauf hin, dass verantwortliche Stellen in der EU natürlich zusätzliche (auch vertragliche) Garantien vorsehen können. Dies gerade in den Fällen, wenn sie Informationen dazu erhalten, dass das Rechtssystem im Drittstaat die datenimportieren Stelle an der Erfüllung ihrer vertraglichen Pflichten aus den Standardvertragsklauseln hindern könnte.

Ausnahmeregelungen

Zudem befasst sich die Mitteilung der Europäischen Kommission mit den gesetzlichen Ausnahmeregelungen (Art. 26 Abs. 1 der Datenschutzrichtlinie). Hier weist die Europäische Kommission darauf hin, dass die datenexportierende Stelle gerade nicht dazu verpflichtet ist, dafür Sorge zu tragen, dass die importierende Stelle ausreichende Garantien mit Blick auf den Schutz personenbezogener Daten bietet. Denn die Ausnahmeregelungen gelten ja gerade für den Fall, dass ausreichende Garantien nicht existieren.

Kompetenzen der nationalen Datenschutzbehörden

Auch wenn die Europäische Kommission mehrmals darauf hinweist, dass nationale Datenschutzbehörden in völliger Unabhängigkeit handeln können und auch müssen, so stellt sie in ihrer Mitteilung dennoch ausdrücklich fest, dass die Datenschutzbehörden Datentransfers auf der Grundlage einer Angemessenheitsentscheidung der Kommission oder einer Entscheidung über das Vorhandensein ausreichender Garantien (wie Standardvertragsklauseln), im Rahmen von Beschwerden nur auf ihre Rechtmäßigkeit hin nur überprüfen(!) dürfen. Jedoch, so die Kommission, dürfen die nationalen Datenschutzbehörden in einem solchen Fall keine verbindliche Entscheidung treffen, sondern die Mitgliedstaaten müssen in einem solchen Fall ein Klagerecht für Datenschutzbehörden vorsehen, damit das Verfahren vor ein nationales Gericht gebracht werden kann.

The DPAs remain competent to examine claims within the meaning of Article 28(4) of Directive 95/46/EC that the data transfer complies with the requirements laid down by the Directive (as interpreted by the Court of Justice), but cannot make a definitive finding. (S. 14)

Weitere Auswirkungen des Urteils

Zuletzt kündigt die Kommission an das sie vor dem Hintergrund des Urteils alle bestehenden Angemessenheitsbeschlüsse für Drittstaaten (unter anderem Argentinien, Kanada, Israel und Schweiz) überprüfen werde und insbesondere jene Klauseln in den Angemessenheitsentscheidung anpassen wird, die der europäische Gerichtshof im Rahmen des Safe Harbor-Urteils für ungültig erklärt hat. Hierbei bezieht sich die Kommission auf Vorschriften, die die Ausübung der Kompetenzen der nationalen Datenschutzbehörden unter bestimmte Voraussetzungen stellen.

Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe für den Datenschutz bei Smart-TVs

Posted on by

Die Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) haben eine Orientierungshilfe zu den Datenschutzanforderung an Smart-TV-Dienste veröffentlicht (pdf, Stand: September 2015). Diese Orientierungshilfe richtet sich, so das Papier, an Anbieter von Smart-TV-Diensten und -Produkten. Hierzu gehören unter anderem Gerätehersteller App-Anbieter und Anbieter von HbbTV-Angeboten.

Nachfolgend möchte ich einen kurzen Überblick über einige in dem Papier behandelte Themen geben.

Was sind personenbezogene Daten?

Die Aufsichtsbehörden nennen in dem Papier Beispiele für ihrer Auffassung nach personenbezogene Daten im Umfeld von Smart-TVs. Hierzu gehören die IP-Adresse des Nutzers und Geräte-IDs, die dauerhaft mit dem Gerät verbunden sind. Nach Ansicht der Behörden ist hierbei unerheblich, dass eventuell mehrere Personen ein Fernsehgerät nutzen. Im Zweifel gehen die Behörden daher von einem Personenbezug aus. Weitere Beispiele sind Audiodaten, Foto -und Filmaufnahmen, das Fernsehanstalten oder Registrierungsdaten.

Wer ist datenschutzrechtlich verantwortlich?

Regelmäßig datenschutzrechtlich verantwortlich sind vor allem die Gerätehersteller, die etwa Updates auf Geräte aufspielen oder Statistiken über die Bedienung des Gerätes erstellen. Ebenfalls datenschutzrechtlich verantwortlich können App-Anbieter sein. Auch die Anbieter von HbbTV-Zusatzangeboten können oft als datenschutzrechtlich verantwortliche Stelle und Diensteanbieter im Sinne des Telemedienrechts qualifiziert werden.

Welches Recht gilt?

Grundsätzlich gilt das deutsche Datenschutzrecht, beim Umgang mit personenbezogenen Daten durch stellen mit Sitz in Deutschland. Nach Auffassung der Behörden gilt das deutsche Datenschutzrecht auch, wenn ein Anbieter, der außerhalb des europäischen Wirtschaftsraums niedergelassen ist, personenbezogene Daten im Inland erhebt. Interessant ist die Ansicht der Aufsichtsbehörden, dass das deutsche Datenschutzrecht nicht gilt, wenn ein Anbieter in einem anderen Mitgliedstaat des europäischen Wirtschaftsraums niedergelassen ist und in Deutschland personenbezogene Daten erhebt und dies nicht durch eine Niederlassung in Deutschland erfolgt. Dann gilt das Recht des jeweiligen Mitgliedstaates. Nach Auffassung des Düsseldorfer Kreises scheint also allein die Existenz einer Niederlassung in Deutschland (richtigerweise) noch nicht zur Anwendbarkeit deutschen Datenschutzrechts zu führen.

Rechtsgrundlagen der Datenverarbeitung

Danach geht die Orientierungshilfe auf die verschiedenen Erlaubnistatbestände des TMG zum Umgang mit personenbezogenen Daten ein. Das TMG stellt gerade im Bereich der Datenverarbeitung über Smart-TVs das gegenüber dem Bundesdatenschutzgesetz speziellere Gesetz dar.

Die Aufsichtsbehörden geben verschiedene Beispiele für die im TMG angesprochenen Bestands- und Nutzungsdaten. Nach Auffassung der Behörden stellen Bestandsdaten im Sinne des § 14 Abs. 1 TMG etwa Registrierungsdaten in einem online Portal dar. Nutzungsdaten im Sinne des§ 15 Abs. 1 TMG sind unter anderem die IP-Adresse und eindeutige Kennnummern.

Auch befasst sich die Orientierungshilfe mit dem Thema der pseudonymisierten Nutzungsprofile (§ 15 Abs. 3 TMG). Der erforderliche Hinweis auf die Erstellung solcher Nutzungsprofile muss nach Auffassung der Behörden zumindest in der Datenschutzerklärung erfolgen. Die Widerspruchsmöglichkeit (Opt-Out) kann in Form eines Links oder der Möglichkeit des Auskreuzens bereitgestellt werden. Nach Ansicht des Düsseldorfer Kreises genügt jedoch die Möglichkeit, per E-Mail oder per Post ein Opt-Out zu erklären, den gesetzlichen Anforderungen nicht.

Die Orientierungshilfe setzt sich im weiteren mit den Themen „Reichweitenmessung“ und „werbefinanzierte Dienste“ auseinander.

Datenschutzerklärung

Die Aufsichtsbehörden geben auch Hinweise dazu, wie die Nutzer von Smart-TVs wirksam über stattfindende Datenverarbeitungen zu informieren sind. Informationspflichten der Anbieter ergeben sich aus § 13 Abs. 1 TMG. Nach Auffassung der Behörden besteht für verantwortliche Stellen die Verpflichtung, die Datenschutzhinweise derart zu verankern, dass der Nutzer zwangsläufig und so frühzeitig wie möglich mit diesen in Berührung gelangt. Fraglich ist, wie der Begriff „zwangsläufig“ zu verstehen ist. Gehen die Behörden davon aus, dass Datenschutzerklärung per Popup eingeblendet werden müssen? In jedem Fall genügt eine Information, die im Impressum oder den Allgemeinen Geschäftsbedingungen erfolgt, nicht den Anforderungen an die Transparenz. Wichtig ist auch der Hinweis der Behörden, dass nicht sonstige Textbausteine, die häufig für herkömmliche Webseiten erstellt werden, genutzt werden dürfen. Nicht ausreichend sind ebenso die Wiedergabe gesetzlicher Normen oder allgemeine Floskeln zur Wichtigkeit des Datenschutzrechts.

Anforderungen an die IT-Sicherheit

Nach Auffassung der Behörden müssen die verantwortlichen Stellen regelmäßig Sicherheitsupdates für die eingesetzten Geräte anbieten. Zudem sollen personenbezogene Daten nach dem Stand der Technik verschlüsselt werden als Orientierung verweist der Düsseldorfer Kreis auf Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik. Zudem formuliert das Papier Mindestanforderungen. Hierzu gehören: HTTPS, Perfect Forward Secrecy, kein SSL2/SSL3, mindestens 2048-Bit beim X.509 Zertifikat, keine RC4-Verschlüsselung, kein SHA1-Hashverfahren.

Hinweise für jeden Beteiligten

Im letzten Abschnitt des Papiers gehen die Behörden auf die konkreten Situationen und Probleme ein, die sich für den jeweiligen Verantwortlichen bei der Datenverarbeitung stellen. Sowohl für Gerätehersteller, App- oder HbbTV-Anbieter werden konkrete Szenarien des Umgangs mit personenbezogenen Daten betrachtet und analysiert.

Post Safe Harbor: The position of the German Data Protection Authorities

Posted on by

The German Data Protection Authorities (in total 17 for the private sector) have today published their position (German) on the consequences for transfers of personal data to the USA after the Court of Justice of the European Union (CJEU) recently struck down the Safe Harbor decision of the European Commission (Case C-362/14).

Not an easy task

According to recent media reports (https://www.tagesschau.de/inland/safe-harbor-105.html, in German), the process of finding a common approach was not an easy task. Not all Data Protection Commissioners seem to share the same view on the legal conclusions and consequences for businesses that have to be drawn from the court’s judgment. So the position now published seems to reflect only the lowest common denominator. On 14th October for example, the Data Protection Authority of Schleswig-Holstein (known for its strict interpretation of the law) published its own assessment of the judgment (available in English) and concluded that “a data transfer on the basis of Standard Contractual Clauses to the US is no longer permitted”.

The official position

I will hereinafter summarize the position of the German authorities:

Just like already stated by the Article 29 Working Party in its statement (PDF), the German authorities highlight that data transfers to the USA are unlawful if they are solely based on the Safe Harbor decision.

The German authorities further clarify that they will prohibit any data transfer based on Safe Harbor they gain knowledge of. The watchdogs will base the exercise of their powers under Article 4 of the respective decisions by the European Commission for standard contractual clauses (2004/915/EC and 2010/87/EC) on the principles formulated by the CJEU in margin numbers 94 and 95 of its judgment. This refers especially to the finding of the CJEU that legislation in the European Union, permitting public authorities to have access on a generalized basis to the content of electronic communications must be regarded as compromising the essence of the fundamental right to respect for private life, as guaranteed by Article 7 of the Charter of Fundamental Rights.

At the moment, the German authorities will not grant new approvals for data transfers on the basis of Binding Corporate Rules (BCR) or contracts to export personal data to the USA.

Consent may be an acceptable basis for data transfers, according to the authorities. But only wihtin narrow limits. In general, the respective data transfer may not take place repeatedly or as a matter of routine.

The German authorities ask the national legislator to provide the authorities with their own legal remedies enabling them to put forward their objection against an adequacy decision by the European Commission before the national courts (see margin number 65 of the judgment).

Furthermore the authorities request the European Commission to amend the current standard contractual clauses in light of the CJEU’s decision in a timely manner. The deadline set by the Article 29 Working Party (31st January 2016) is welcomed by the German watchdogs.

Interestingly, the German authorities also call on the German government to directly contact the US government and to press for adherence to an adequate level of protection of the fundamental rights of privacy and data protection.

Prospect

As already mentioned this position only forms the lowest common denominator and is not binding. Views in the different federal states may therefore differ. To recall one of the central points of the CJEU’s decision, Data Protection Authorities are responsible for monitoring, with complete independence, compliance with EU rules on the protection of individuals with regard to the processing of such data. It can therefore not be ruled out that we might see differing implementations of the judgment within Germany. The authorities also highlight the fact of independence in their position.