Stellungnahme europäischer Datenschützer: Weiter Anwendungsbereich des europäischen Datenschutzrechts

Die Art. 29 Datenschutzgruppe hat am 16. Dezember 2015 eine überarbeitete Version (pdf) ihrer Stellungnahme 8/2010 zum anwendbaren Datenschutzrecht (pdf) verabschiedet. Die Überarbeitung wurde insbesondere nach den Urteilen den Europäischen Gerichtshofs (EuGH) in der Sache „Google Spain“ (C-131/12) und „Weltimmo“ (C-230/14) erforderlich, in denen der Gerichtshofs die Vorschrift des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie auslegte.

Die europäische Regelung

Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie beantwortet die Frage (oder versucht dies zumindest), wann das jeweils nationale Datenschutzrecht eines EU-Mitgliedstaates anwendbar ist:

Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält.

Stellungnahme der Art. 29 Datenschutzgruppe

Grundsätzlich analysieren die Datenschützer das Google Spain-Urteil des EuGH und gehen vereinzelt auch auf das zeitlich später ergangene Weltimmo-Urteil ein.

Nach Auffassung der Datenschützer wendet der EuGH europäisches Datenschutzrecht auf Datenverarbeitungen an, die durch eine verantwortliche Stelle vorgenommen werden, die in einem Staat außerhalb der EU niedergelassen ist, wenn sie eine „relevante“ Niederlassung innerhalb der EU besitzt. Jedoch werfe dieser sehr weite Anwendungsbereich europäischen Rechts auch Fragen auf.

Ebenfalls wichtig für die Art.29 Gruppe ist die Frage, inwieweit bei Konstellationen, in denen die verantwortliche Stelle in der EU niedergelassen ist und mehrere Niederlassungen in anderen Mitgliedstaaten besitzt, die Vorgaben des EuGH übertragbar sind und ob eventuell stets nur ein nationales Datenschutzrecht anwendbar ist.

Auslegung der EuGH-Urteile durch die Art. 29 Datenschutzgruppe

Zunächst befasst sich die Stellungnahme mit dem Tatbestandsmerkmal „im Rahmen der Tätigkeiten einer Niederlassung“. Die Art. 29 Gruppe weist auf eine weite Auslegung des Begriffs „Niederlassung“ in beiden Urteilen hin. Zudem kreiere der EuGH das Merkmal der „untrennbaren Verbundenheit“ der Tätigkeiten der europäischen Niederlassung mit der verantwortlichen Stelle, die in einem Staat außerhalb der EU ihren Sitzt hat.

Die Art. 29 Gruppe versteht diese Verbundenheit vor allem im Sinne eines wirtschaftlichen Konnexes, etwa im Sinne von Umsätzen der EU-Niederlassung. Es dürfe keine Trennung der Tätigkeiten möglich sein, ohne dass das Angebot des ausländischen Dienstes, etwa einer Suchmaschine, wirtschaftlich unrentabel werde.

Zu dem Merkmal der untrennbaren Verbundenheit stellt die Art. 29 Gruppe weiter fest, dass bei deren Vorliegen europäisches Datenschutzrecht anwendbar ist, selbst wenn die EU-Niederlassung gar keine Rolle bei Datenverarbeitung der verantwortlichen Stelle spielt. Nach Auffassung der Datenschützer können jedoch die Tätigkeiten der Niederlassung so mit der verantwortlichen Stelle verbunden sein, dass europäisches Recht auf deren Datenverarbeitung anwendbar ist. Hierzu bildet die Art. 29 Gruppe etwa ein Beispiel, in dem eine verantwortliche Stelle mehrere Verkaufsbüros in der EU besitzt. Dann beurteile sich Verarbeitung der verantwortlichen Stelle nach europäischem Datenschutzrecht, selbst wenn die Niederlassung in der EU an der Datenverarbeitung nicht beteiligt ist.

Zudem stellen die Datenschützer fest, dass das EuGH-Urteil das Geschäftsmodell einer Internetsuchmaschine und deren Generierung von Werbeeinnahmen betraf. Es wäre aus diesem Grund ein Fehler zu glauben, dass nun jede Verbindung zwischen einer EU-Niederlassung und der verantwortlichen Stelle im EU-Ausland ausreichen würde, um europäisches Datenschutzrecht zur Anwendung zu bringen. Jeder Fall muss für sich betrachtet werden. Andererseits dürfe das Urteil nach Ansicht der Art. 29 Gruppe aber auch nicht zu eng ausgelegt und etwa nur auf Suchmaschinen und deren Geschäftsmodell angewendet werden.

Aus Sicht der Praxis von Interesse dürfte die Aussage der Datenschützer sein, dass das Urteil ihrer Auffassung nach je nach Einzelfall vor allem auf Unternehmen anwendbar sein kann, die kostenlose Dienste in der EU anbieten und Daten, die von Nutzern dieser Dienste erhoben und verarbeitet werden, dann in der ein oder anderen Form kommerziell, z. B. für Werbezwecke, genutzt werden.

Auch der Frage, wie die Urteile des EuGH mit Blick auf Sachverhalte zu beurteilen sind, die allein Innerhalb der EU spielen, gehen die Datenschützer nach. Es geht hierbei um Fälle, bei denen mehrere Niederlassungen in verschiedenen Mitgliedstaaten bestehen und eine Hauptniederlassung in einem Mitgliedstaat existiert, die allein als verantwortliche Stelle agiert.

Ist in einem solchen Fall jedes nationale Recht und damit nebeneinander verschiedene Rechtsordnungen auf verschiedene Datenverarbeitung derselben verantwortlichen Stelle anwendbar, wenn die „untrennbare Verbundenheit“ besteht, selbst wenn diese Niederlassungen nicht an der Verarbeitung beteiligt sind?

Nach richtiger Auffassung der Art. 29 Gruppe hat der EuGH in seinem Google Spain-Urteil hierzu nichts gesagt und auch keine Unterscheidung getroffen, wie der Fall zu beurteilen wäre, wenn die verantwortliche Stelle in der EU ansässig ist. Ich möchte hinzufügen: das musste er auch gar nicht. Dennoch habe der EuGH für die Anwendung des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie eine neue Voraussetzung geschaffen: die untrennbare Verbundenheit zwischen verantwortlicher Stelle und der Niederlassung. Das Argument des EuGH, europäisches Recht anzuwenden, da ansonsten die Gefahr bestünde, dass der Betroffene den ihm gewährten Schutz verlieren würde, ist nach Ansicht der Datenschützer in den Konstellationen, die allein in der EU spielen, nicht zwingend. Denn in einem solchen Fall geht es nur darum im Anwendungsbereich der Datenschutzrichtlinie zu bestimmen, welches nationale Recht anwendbar ist.

Doch geht die Art. 29 Gruppe davon aus, dass derzeit keine Vollharmonisierung unter dem europäischen Datenschutzrecht existiert. Daher sei es schon wichtig, welches nationale Recht gilt. Zudem führen die Datenschützer aus, dass die Datenschutzrichtlinie keine Form eines „one stop shops“ für das anwendbare Recht vorsieht. Es sei vielmehr jedes nationale Recht anwendbar, in dem eine Niederlassung existiert, die mit ihren Tätigkeiten untrennbar mit der verantwortlichen Stelle verbunden ist. Die Begründung: ansonsten bestünde die Gefahr des forum shoppings in der EU.

Das Fazit der Art. 29 Gruppe: der EuGH schafft ein neues Kriterium im Rahmen des Tatbestandsmerkmals des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie („im Rahmen der Tätigkeiten einer Niederlassung“), die untrennbare Verbundenheit. Hier gehen die Datenschützer noch einmal deutlich darauf ein, dass es sich um eine wirtschaftliche Verbundenheit handeln muss.

Im zweiten Teil der Stellungnahme beschreiben die Datenschützer konkrete Änderungen ihrer alten Stellungnahme. Zudem stellen sie klar, dass selbst wenn nicht EU-Recht auf eine außerhalb der EU sitzende verantwortliche Stelle anwendbar ist, doch immer noch nationales Recht für solche Datenverarbeitungen gilt, die „lokal“ von einer EU-Niederlassung vorgenommen werden, etwa im Rahmen der Verwaltung eigener Dienstleister oder Mitarbeiter.

Zudem sei EU-Recht auch anwendbar, wenn nur eine einzige Niederlassung einer außereuropäischen verantwortlichen Stelle in der EU existiert, die Dienstleistungen in der EU anbietet. Dann scheint nach Ansicht der Art. 29 Gruppe eine Art Vermutung dafür zu streiten, dass die Tätigkeiten dieser EU-Niederlassung mit der verantwortlichen Stelle untrennbar verbunden sein müssen.

Zudem fügen die Datenschützer noch einige neue Beispiele für die Praxis in ihre Stellungnahme ein. Sehr relevant ist, dass die Art. 29 Gruppe in diesem Zusammenhang klarstellt, dass allein die gesellschaftsrechtliche Verbundenheit nicht für eine „untrennbare Verbundenheit“ ausreicht. Selbst wenn nur eine Niederlassung in der EU vorhanden sein sollte und eine finanzielle Verbindung zur verantwortlichen Stelle (hier in Kanada) besteht, reicht dies nicht aus, wenn die EU-Niederlassung tatsächlich im Rahmen völlig andere Tätigkeiten agiert, als die verantwortliche Stelle.

OLG Frankfurt: Einsatz von Cookies für Werbezwecke erfordert kein Opt-in

Das OLG Frankfurt am Main hat mit Urteil vom 17.12.2015 (Az.: 6 U 30/15) über die Wirksamkeit der im Rahmen eines Gewinnspiels im Internet eingeholten Einwilligung in die Datenverarbeitung für Werbezwecke mittels Cookies entschieden. (Hinweis: JBB Rechtsanwälte waren an dem Rechtsstreit als Verfahrensbevollmächtigte beteiligt).

Das Urteil ist insbesondere deshalb interessant, weil es sich unter anderem mit der Frage auseinandersetzt, ob die sogenannte ePrivacy- oder Cookie-Richtlinie (RL 2002/58/EG in der Fassung der RL 2009/136/EG, PDF) und deren Vorgaben zur Einwilligung beim Einsatz von Cookies in Deutschland unmittelbar anwendbar sind. Diese Frage ist seit Jahren umstritten.

Ausgangslage

Im ursprünglichen Verfahren hat ein Verbraucherschutzverband gegen den Veranstalter eines Gewinnspiels im Internet geklagt. Angegriffen wurde hierbei unter anderem eine Einwilligungserklärung, in der sich Teilnehmer des Gewinnspiels damit einverstanden erklärten, dass nach ihrer Registrierung ein Cookie gesetzt wird, über das eine Auswertung des Surf- und Nutzungsverhaltens auf Webseiten von Werbepartnern und eine Verwendung für interessengerechte Werbung ermöglicht werden.

In der Einwilligungserklärung, die mittels eines bereits angekreuzten Kästchens (opt-out) eingeholt wurde, fand sich zudem ein Link auf weitere Informationen zum Einsatz des  Cookies und der damit zusammenhängenden Datenverarbeitung.

Urteil

Der vom Verbraucherschutzverband geltend gemachte Unterlassungsanspruch (§ 1 UKlaG) gegen die Einwilligungserklärung wurde vom OLG zurückgewiesen.

Die Einwilligungserklärungen qualifizierte das Gericht als eine Allgemeine Geschäftsbedingung und war damit nach Auffassung des Senats auch einer Inhaltskontrolle (§ 307 BGB) zugänglich. Jedoch verstößt die Einwilligungserklärung gegen keine der insoweit maßgeblichen gesetzlichen Vorgaben der §§ 4a, 28 Abs. 3a BDSG sowie §§ 13 Abs. 2, 15 Abs. 3 TMG).

Dies gilt, so das OLG, auch dann, wenn man diese Vorschriften nach Ablauf der Umsetzungsfrist der Neuregelung des Artikel 5 Abs. 3 ePrivacy-Richtlinie richtlinienkonform auslegen möchte.

Opt-out ausreichend

Das Gericht stellt fest, dass den genannten datenschutzrechtlichen Vorschriften das Erfordernis einer ausdrücklich erteilten Einwilligung (opt-in) nicht zu entnehmen ist. Vielmehr kann die Einwilligung auch dadurch erklärt werden, dass der Nutzer einen bereits gesetzten Haken in einem Kästchen nicht entfernt (opt-out). Das Gericht verweist hierzu auf das sogenannte Payback-Urteil des Bundesgerichtshofs.

Ohne Erfolg berief sich der Verbraucherschutzverband darauf, dass nach Ablauf der Umsetzungsfrist der ePrivacy-Richtlinie das nationale Recht richtlinienkonform dahingehend ausgelegt werden müsste, dass ein solches Opt-Out Verfahren nicht ausreiche. Art. 5 Abs. 3 ePrivacy-Richtlinie enthält nämlich keine Regelung, die ein Ort in Verfahren zwingend vorschreiben würde. Danach haben die Mitgliedstaaten sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Hierzu das Gericht:

Dort ist jeweils nur von der klaren und umfassenden bzw. verständlichen Information die Rede, die dem Nutzer vor Abgabe der Einwilligungserklärung gegeben werden muss. Dem steht ein „opt-out“-Verfahren nicht generell entgegen.

Zudem, lässt sich zusätzlich anführen, dass der Begriff der „Einwilligung“ in der ePrivacy-Richtlinie genau derselbe ist wie in der europäischen Datenschutzrichtlinie (RL 95/46/EG) (vgl. Art. 2 f) ePrivacy-Richtlinie).

Der Verbraucherschutzverband argumentierte zudem mit einer Stellungnahme der europäischen Art. 29 Datenschutzgruppe vom 8.12.2011. Dabei handelt es sich aber nach Auffassung des Gerichts

nur um eine unverbindliche Meinungsäußerung dieses Beratungsgremiums.

Dieser Meinungsäußerung folgt das OLG Frankfurt nicht. Zwar fordert die Art. 29 Datenschutzgruppe eine „bejahende Handlung“ des Nutzers, durch die das Setzen des Cookies und die danach erfolgende Datenverarbeitung akzeptiert werden müsse. Dies beziehe sich jedoch nicht auf die Frage, ob eine Einwilligungserklärung auch im Rahmen des Opt-Out-Verfahrens eingeholt werden kann.

Möglichkeit der Verweigerung

Zudem stellt das OLG fest, dass der durchschnittliche Internetnutzer heute weiß, dass er ein Häkchen in einem Kästchen durch Anklicken des Feldes entfernen und damit seine Einwilligung verweigern kann. Ein ausdrücklicher Hinweis auf diese Möglichkeit ist daher nicht erforderlich.

Hervorhebung der Einwilligungserklärung

Auch ist es nicht unzulässig, dass wesentliche Informationen zum Einsatz des Cookies unter Datenverarbeitung nicht schon in der Einwilligungserklärung selbst, sondern erst in der verlinkten Erläuterung erteilt werden. Zwar verlangt § 28 Abs. 3a S. 2 BDSG hier, dass die Einwilligung „in drucktechnisch deutlicher Gestaltung besonders hervorzuheben“ ist. Dies war jedoch der Fall. Denn die besondere Hervorhebung bezieht sich nur auf die Einwilligungserklärung selbst, und nicht auf die weiteren erläuternden Informationen, die durchaus (über einen deutlich gekennzeichneten Link) auf einer weiteren Informationsebene erteilt werden können.

Auch inhaltlich beanstandete das OLG Frankfurt die Einwilligungserklärung nicht. Insbesondere würden die Funktionen des Cookies richtig herausgestellt werden. Dabei müssen sich die Anforderungen an die erforderlichen Informationen für den Nutzer (wenn sie denn ihren Sinn erfüllen sollten) auch an der Fähigkeit und Bereitschaft des Nutzers orientieren, sich mit diesen Fragen überhaupt tatsächlich zu befassen.

Fazit

Die Frage, ob die ePrivacy-Richtlinie in Deutschland tatsächlich umgesetzt wurde oder nicht, stellt das OLG nicht. Selbst bei einer richtlinienkonform Auslegung der Richtlinie würde die Einholung einer Einwilligung für Werbezwecke im Rahmen eines Opt-Out-Verfahrens genügen. Die ausdrückliche Erteilung der Einwilligung (etwa durch aktives Ankreuzen eines Kästchens) ist also beim Einsatz von Cookies für Werbezwecke nicht erforderlich.

Wichtige Änderung bei Google: Einwilligung beim Einsatz von AdSense und DoubleClick erforderlich

Am 27. Juli 2015 hat Google wichtige Änderungen seiner Produkte AdSense und DoubleClick bekanntgegeben (hier der offizielle Beitrag im AdSense-Blog. Diese Änderungen betreffen alle Webseitenbetreiber, die an den benannten Programmen teilnehmen.

Die Änderungen beziehen sich auf das Erfordernis der Einholung einer datenschutzrechtlichen Einwilligung von Webseitenbesuchern. Google hat im Zuge dessen eine neue „Richtlinie über die Zustimmung der Nutzer in der EU“ veröffentlicht. Wenn ein Webseitenbetreiber ein Google-Produkt verwendet, für das diese Richtlinie gilt, muss der Webseitenbetreiber in Zukunft Endnutzern in der Europäischen Union zum einen bestimmte Informationen offenlegen und es müssen zum anderen Einwilligungen der Endnutzer in die Datenverarbeitung eingeholt werden.

Welche Werbeprodukte für Publisher sind betroffen?
Nach Angaben von Google müssen alle Publisher die Richtlinie über die Zustimmung der Nutzer in der EU befolgen, einschließlich aller Nutzer von AdSense, DoubleClick Ad Exchange und DoubleClick for Publishers.

Was verlangt Google?
Die „Richtlinie zur Einwilligung der Nutzer in der EU“ besteht aus zwei Maßnahmen.

  • Zum einen müssen Publisher wirtschaftlich vertretbare Maßnahmen ergreifen, damit jegliche Datenerfassung, -weitergabe und -nutzung klar offengelegt wird, die auf Websites, in Apps, E-Mails oder anderen Inhalten infolge Ihrer Verwendung von Google-Produkten erfolgt, und sie müssen eine entsprechende Einwilligung einholen.
  • Zum anderen müssen wirtschaftlich angemessene Maßnahmen ergriffen werden, um sicherzustellen, dass ein Endnutzer verständliche und umfassende Informationen zur Speicherung von und zum Zugriff auf Cookies und Daten auf dem Gerät des Endnutzers erhält und diesen Aktivitäten zustimmt, wenn derartige Aktivitäten im Zusammenhang mit der Verwendung eines Produkts erfolgen, für das die Richtlinie gilt.

Bin ich zur Umsetzung der Maßnahmen verpflichtet?
Bei der Antwort auf diese Frage sollte man eine gesetzliche Verpflichtung auf der einen Seite und eine vertragliche Verpflichtung (gegenüber Google) auf der anderen Seite unterscheiden.

Ob man als Webseitenbetreiber, der an ein entsprechendes Google-Produkt nutzt, tatsächlich gesetzlich dazu verpflichtet ist, die Einwilligung der Nutzer in die Datenverarbeitung einzuholen, ist meines Erachtens zumindest diskutabel. Google verweist in den Informationen im AdSense-Blog auf Forderungen der europäischen Datenschützer, die eine Anpassung der bestehenden Umstände zur Einholung einer Einwilligung der Nutzer verlangen. Diesen Forderungen möchte Google nun anscheinend nachkommen. Zu beachten ist, dass es sich hierbei um Anforderungen an die Datenverarbeitung durch Google, bzw. durch seine Produkte, handelt. Mein Eindruck ist, dass die von Google nun verlangte Einholung der Einwilligung also nicht den Webseitenbetreiber als Adressaten der Erlaubnis betrifft, sondern Google selbst. Die Einwilligung wird dann von Google über die Webseitenbetreiber an die teilnehmenden Publisher sozusagen weitergereicht.

Dass Webseitenbetreiber selbst keine datenschutzrechtliche Pflicht zur Einholung einer Einwilligung besitzen, wenn auf ihrer Webseite Anzeigen geschaltet sind, die von einem Anbieter eines Werbenetzwerks mit Inhalten befüllt werden, haben die europäischen Datenschütze in einer Stellungnahme aus dem Jahre 2010 festgesellt (WP 171, PDF). Informationspflichten dazu, ob Cookies gesetzt werden und wenn ja, welche Arten von Informationen in dem Cookie gespeichert werden, sollen für Webseitenbetreiber aber in jedem Fall bestehen.

Wichtig ist jedoch auch die vertragliche Ebene zu betrachten. Google selbst informiert die teilnehmenden Publisher, dass wenn sie Google-Produkte wie Google AdSense oder DoubleClick for Publishers verwenden, sie vertraglich gegenüber Google dazu verpflichtet, die EU-Richtlinie zum Einholen der Zustimmung von Google zu befolgen. Unabhängig von gesetzlichen Pflichten, besteht also eine vertragliche Pflicht gegenüber Google, wenn man ein entsprechendes Produkt verwendet.

Wie muss man die Anforderungen umsetzen?
Google selbst bietet hierzu Informationen auf einer Hilfe-Seite an. Dort finden sich Lösungen dazu, wie Zustimmungsmechanismen in Webseiten und Apps integriert werden können. Außerdem sind hier Beispieltexte für Nachrichten verfügbar, mit denen die Einwilligung der Nutzer eingeholt werden kann. Dort wird auch deutlich, dass Google mit den nun vorgestellten Änderungen die Anforderungen der Datenschutzbehörden beim Einsatz von Cookies auf Webseiten umsetzen möchte. Diese Forderung, beim Einsatz von bestimmten Cookies eine Einwilligung einzuholen, entspringt einer europäischen Richtlinie (2002/58/EG, sog. ePrivacy Richtlinie). Die Umsetzung der ePrivacy Richtlinie in den europäischen Mitgliedstaaten ist jedoch recht unterschiedlich erfolgt. Teilweise wird von dem Erfordernis eines Opt-ins, teilweise von einem Opt-out ausgegangen.

Fazit
Die nun von Google vorgestellten Änderungen betreffen alle Webseiten/App-Betreiber, die bestimmte Google-Produkte nutzen. Unabhängig von der Frage einer gesetzlichen Verpflichtung zur Einholung einer Einwilligung, sind die Betreiber vertraglich zur Umsetzung der Vorgaben verpflichtet. Google selbst macht mit diesem Anpassungsprozess meines Erachtens einen großen Schritt auf die europäischen Datenschützer und deren Forderungen zu.

Update
Der Kollege Thomas Schwenke informiert in seinem Blog ebenfalls über die Änderungen bei Google.

Einheitlicher Datenschutz durch #EUDataP? Denkste. Nicht bei Nutzerprofilen für Werbezwecke.

Die Verhandlungen zur geplanten Datenschutz-Grundverordnung (DS-GVO) schreiten voran. Der Rat der Europäischen Union möchte noch im Juni eine gemeinsame Position erzielen, mit der dann in die Trilog-Verhandlungen mit dem Parlament und der Kommission eingestiegen werden kann.

Ein in letzter Zeit gerade von deutschen Politikern immer wieder ins Feld geführter Vorteil der DS-GVO wird es sein, dass grundsätzlich ein einheitliches Datenschutzrecht für Europa geschaffen wird. Ein „level playing field“. Doch wenn der Jurist „grundsätzlich“ sagt, dann gibt es immer mindestens eine Ausnahme. Und diese Ausnahme wird, nach derzeitigem Stand, die Erstellung von Profilen unter Pseudonym (etwa durch Cookies) im Internet sein. In Deutschland gilt in diesen Fällen nach § 15 Abs. 3 TMG ein Opt-out-Prinzip. Der Nutzer muss auf sein Widerspruchsrecht hingewiesen werden. In anderen europäischen Ländern gilt ein Opt-in, also die vorherige Einwilligung.

Diese Unterschiede ergeben sich aus einer uneinheitlichen Umsetzung der europäischen Richtlinie 2002/58/EG (geändert durch RL 2009/136/EG; sog. ePrivacy-RL). Als eine Richtlinie macht dieses Instrument den Mitgliedstaaten nur generelle Vorgaben, welchen Inhalt nationale Gesetze haben müssen. Daher exisitiert auch eine in den Mitgliedstaaten uneinheitliche Umsetzung im jeweiligen Recht.

Art. 5 Abs. 3 der RL 2002/58/EG besagt, dass die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Eigentlich, so denkt man, wird hier klar eine Einwilligungspflicht vorgeschrieben. Und dies vor allem nicht nur für „personenbezogene Daten“, sondern für die Speicherung von Informationen (!) oder den Zugriff auf solche. In Deutschland war lange unklar, ob das geltende Telemediengesetz diese Vorgaben wirklich umsetzt.

Seit Februar 2014 und einem Artikel von Adrian Schneider auf Telemedicus wissen wir jedoch: sowohl die EU-Kommission als auch das Bundeswirtschaftsministerium gehen davon aus, dass die ePrivacy-RL in Deutschland umgesetzt wurde. Interessanterweise sehen das übrigens auch die europäischen Datenschützer (versammelt in der Art. 29 Gruppe) so. Dies ergibt sich aus einer Stellungnahme aus dem Jahr 2013 (WP 208, dort S. 2). Dort geht die Art. 29 Gruppe davon aus, dass die ePrivacy-RL seit Januar 2013 in allen EU-Staaten umgesetzt wurde.

Schön. Nun wissen wir also, dass unser geltendes TMG die europäischen Vorgaben nach Ansicht der zuständigen Stellen umsetzt.

Und wie komme ich nun zu der Annahme, dass es nach Inkrafttreten der DS-GVO weiterhin dabei bleibt, dass für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellt werden dürfen, sofern der Nutzer dem nicht widerspricht (=Opt-out)?

Diese Woche hat die Europäische Kommission ihre Initiative für den Digitalen Binnenmarkt vorgestellt. Sie behandelt darin viele wichtige Themen. Fast beiläufig findet sich auf S. 47 des Arbeitspapiers (PDF) die Aussage, dass die ePrivacy-RL eine sog. „lex specialis”, also ein spezielles Gesetz, das dem allgemeinen Gesetz (dann der DS-GVO) in ihrem Anwendungsbereich vorgeht. Damit würde auch die Vorgabe aus Art. 5 Abs. 3 der ePrivacy-RL, die ja nach Angaben der Ministerien und der Kommission in Deutschland umgesetzt ist, ebenfalls den Regeln der DS-GVO, etwa zur Bildung von Profilen unter Pseudonymen, vorgehen.

Man könnte nun noch fragen, ob denn die ePrivacy-RL nicht nur für den Bereich der elektronischen Kommunikation ein Spezialgesetzt ist, also etwa das Angebot der Telekommunikationsunternehmen. Meines Erachtens nicht. Denn das besondere an Art. 5 Abs. 3 der ePrivacy-RL ist gerade, dass diese Vorgabe nicht nur auf Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste und auf Betreiber öffentlicher Kommunikationsnetze in der Gemeinschaft anwendbar ist, sondern für jede Rechtsperson, die Informationen auf intelligente Endgeräte überträgt oder auf diesen Geräten liest, gilt. So im übrigen auch die Art. 29 Gruppe in ihrer Stellungnahme WP 202 (PDF), dort S. 9.

Also, wenn sich nicht innerhalb der Verhandlungen zur DS-GVO etwas am Verhältnis zur ePrivacy-RL ändert oder hierzu eine Klarstellung erfolgt, gilt in Zukunft weiterhin ein uneinheitlicher Datenschutz in Europa, zumindest in Bezug auf die Erstellung von Nutzerprofilen über Cookies zu Werbezwecken unter Pseudonym. Happy level playing field!

Besuch von EU-Datenschützern: Google stimmt Vor-Ort-Kontrollen in den USA zu

Am 20. Februar 2015 gab die italienische Datenschutzbehörde bekannt, dass man sich im Rahmen eines Prüfverfahrens der Datenschutzrichtlinie des Suchmaschinenbetreibers Google und der Verarbeitung von personenbezogenen Daten von Nutzern, auf verschiedene Umsetzungs- und Änderungsmaßnahmen geeinigt habe, die von der Behörde vorgeschlagen wurden.

Danach wird Google bis zum Januar 2016 unter anderem die Art und die Form seiner Datenschutzhinweise überarbeiten. Die Informationen darüber, wie Google personenbezogene Daten verarbeitet sollen noch deutlicher und klarer abgefasst werden. Zudem soll der Suchmaschinenbetreiber auch die Einwilligung von Nutzern einholen, wenn deren Verhalten über verschiedene angebotene Dienste hinweg in Profilen gespeichert werden soll. Auch bei der Speicherdauer von Kundendaten soll Google nach den Wünschen den italienischen Datenschützer nachbessern. Insbesondere soll es in Zukunft festgelegte Zeiträume geben, nach denen nicht mehr erforderliche Nutzerdaten und Backups gelöscht werden müssen.

Google hat den durch die italienische Behörde vorgegebenen Änderungsmaßnahmen zugestimmt und hat nun bis Januar 2016 Zeit, diese umzusetzen. Um den Fortgang der Maßnahmen zu prüfen, erhält die italienische Datenschutzbehörde das Recht, Vor-Ort-Kontrollen am Hauptsitz des Suchmaschinenbetreibers in Kalifornien durchzuführen. Nach den Informationen der Behörde, ist dieses Vorgehen und auch das Zugeständnis von Google, die italienischen Datenschützer am Hauptsitz in den USA die Kontrolle der Änderungen zu ermöglichen, eine Premiere im europäischen Datenschutzrecht.

Das Verfahren der italienischen Behörde steht im Zusammenhang mit einer breiter angelegten Prüfaktion verschiedener Datenschutzbehörden in ganz Europa. Diese begannen mit der Einführung der neuen Datenschutzerklärung beim Suchmaschinenbetreiber im Jahre 2012. Erst kürzlich einigte sich Google etwa auch mit der Datenschutzbehörde in England (hierzu mein Beitrag). In Deutschland läuft derzeit noch ein Verfahren beim Hamburgischen Beauftragten für den Datenschutz.

Datenschutz und Lifestyle-Apps: Europäische Datenschützer fordern Schutz der Gesundheitsdaten

Sog. Lifestyle-Apps, mobile Anwendungen auf Smartphones, Uhren oder Armbändern, die den täglichen Alltag einer Person aufzeichnen und dann Analysen der gesammelten Daten bieten, erfreuen sich immer größerer Beliebtheit. Ein Stichwort ist das sog. „quantified self“.

Das bei diesen Entwicklungen eine Vielzahl an Informationen erhoben, verarbeitet und analysiert wird, dürfte jedem klar. Es geht ja dem Träger zumeist gerade darum, dass das Gerät oder eine App seinen Alltag aufzeichnet und er daraus Schlüsse, etwa zur Verbesserung der eigenen Gesundheit, ziehen kann.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der sog. Art. 29 Gruppe, haben nun eine kurze Stellungnahme veröffentlicht (PDF), in der sie auf die grundsätzliche Definition des Begriffs „Gesundheitsdaten“, die möglichen Risiken einer Verarbeitung solcher Daten und der gesetzlichen Grundlagen des Umgangs mit diesen Daten eingehen. Nachfolgend möchte ich einige der in dem Papier besprochenen Themenfelder kurz darstellen.

Was sind „Gesundheitsdaten“?
Weit überwiegend befassen sich die Datenschützer mit der Frage, was denn überhaupt genau sog. „Gesundheitsdaten“ sind. Denn Art. 8 Abs. 1 der europäischen Datenschutzrichtlinie (RL 95/46/EG) definiert nur die „besonderen Kategorien personenbezogener Daten“, worunter auch „Daten über Gesundheit“ fallen. Was jedoch hierunter zu verstehen ist, das lässt die Richtlinie offen. Auch das deutsche Datenschutzrecht definiert nur die Oberkategorie der „besonderen Arten personenbezogener Daten“ (§ 3 Abs. 9 BDSG). Hierunter fallen auch Angaben über die Gesundheit. Was aber unter den „Angaben über die Gesundheit zu verstehen ist, das wird nicht erläutert.

Die Art. 29 Gruppe geht davon aus, dass es in Europa bestimmte Arten von Informationen gibt, die ohne weiteres als Gesundheitsdaten angesehen werden. Hierzu gehören medizinische Daten, Daten über den physischen oder psychischen Zustand, die im Zusammenhang mit einem beruflichen, medizinischen Kontext entstehen. Nach Ansicht der Datenschützer fallen jedoch unter den Begriff der Gesundheitsdaten noch vielmehr Informationen. So etwa die Information, dass sich eine Person ein Bein gebrochen hat, dass eine Person eine Brille oder Kontaktlinsen trägt oder aber Informationen zu dem Trink- oder Rauchverhalten.

Grundsätzlich möchten die Datenschützer den Begriff der Gesundheitsdaten sehr weit auslegen. So ist es nach ihrer Ansicht gerade auch möglich, dass „rohe“ und für sich genommen völlig belanglose Daten, wie etwa die Information „Person X hat heute 4786 Schritt zurückgelegt“, in Kombination mit anderen Informationen, aus denen man dann auf den Gesundheitszustand schließen kann, zu Gesundheitsdaten werden. Die Kombination von neutralen Informationen und ihre Analyse zu Zwecken der Gesundheit führen also zur Entstehung von Gesundheitsdaten.

Gesetzliche Grundlage der Datenverarbeitung

Nach Art. 8 Abs. 1 RL 95/46/EG ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Dieses Verbot wird durch einzelne gesetzliche Erlaubnistatbestände durchbrochen, etwa wenn die Verarbeitung zum Zweck der Gesundheitsvorsorge oder der medizinischen Diagnostik erforderlich ist und die Verarbeitung durch ärztliches Personal erfolgt. Relevant für die Praxis und gerade für die hier angesprochenen Lifestyle-Apps ist insofern die ausdrücklich Einwilligung der betroffenen Person (Art. 8 Abs. 2 a) RL 95/46/EG bzw. § 4a Abs. 3 BDSG).
Wenn ein Anbieter eines Armbandes oder einer Lifestyle-App Gesundheitsdaten erhebt und verarbeitet, wird nach Ansicht der Art. 29 Gruppe häufig allein die Einwilligung der Nutzer die einzige Möglichkeit darstellen, um diese Daten rechtmäßig verarbeiten zu können.

Zu beachtende Datenschutzprinzipien

Daneben weisen die Datenschützer auf wichtige Prinzipien hin, die beim Umgang mit personenbezogenen Daten und gerade mit besonders sensiblen Gesundheitsdaten zu beachten sind. Insbesondere eine genaue Information der Betroffenen über die erhobenen und verarbeiteten Daten und die Zwecke der Verarbeitung ist hier wichtig. Dies auch vor dem Hintergrund, dass Voraussetzung einer wirksamen Einwilligung ist, dass sie „für den konkreten Fall und in Kenntnis der Sachlage erfolgt“. Die Informationen zum Umgang mit den Gesundheitsdaten müssen den Nutzern von Apps bereits vor der ersten Datenverarbeitung erteilt werden, also nach Ansicht der Art. 29 Gruppe bereits vor dem Download einer App. Daneben gilt es weitere Datenschutzprinzipien wie den Zweckbindungsgrundsatz und das Gebot der Datensparsamkeit zu beachten.

UK: Google einigt sich mit Aufsichtsbehörde auf Änderungen beim Datenschutz

Am 30. Januar 2015 gab die englische Datenschutzbehörde (ICO) bekannt, dass man sich im Rahmen eines Prüfverfahrens, welches die Verarbeitung von Nutzerdaten bei Google und den Inhalt der Datenschutzerklärung zum Gegenstand hatte, darüber verständigt hat, dass das US-Unternehmen eine Verpflichtungserklärung unterzeichnet und die Behörde im Gegenzug keine Zwangsmaßnahmen durchführt.

Hintergrund des Verfahrens ist eine europaweite und seit Jahren andauernde Überprüfung der Datenschutzerklärung und Verarbeitungstätigkeiten von Google, welche in verschiedenen europäischen Ländern von den jeweils zuständigen nationalen Behörden vorgenommen wurde und teilweise auch noch wird. Zuletzt hatte die niederländische Datenschutzbehörde für Aufsehen gesorgt, nachdem sie im Dezember 2014 ankündigte, gegen Google ein Bußgeld zu verhängen, welches mit fortschreitender Zeit bis zu 15 Million Euro betragen kann (hierzu mein Beitrag).

Die nun in England unterzeichnete Verpflichtungserklärung (PDF) beinhaltet unter anderem folgende Maßnahmen:

  • Google sorgt für eine fortgesetzte Bewertung der Auswirkungen zukünftiger Veränderungen der Datenverarbeitungsprozesse auf die Privatsphäre der Nutzer
  • Wesentliche Änderungen der Datenschutzerklärung sollen von Spezialisten für die Nutzererwartung begutachtet und mit repräsentativen Gruppen von Nutzern getestet werden
  • Auch in Zukunft wird Google proaktiv mit der Aufsichtsbehörde in England zusammenarbeiten und vor wesentlichen Änderungen der Datenverarbeitungsprozesse die Behörde rechtzeitig hierauf hinweisen

Zudem verpflichtet sich Google spezifische Änderungen an der Datenschutzerklärung bis zum 30. Juni 2015 vorzunehmen. Zu diesen Anpassungen gehören unter anderem:

  •  Google wird die Erreichbarkeit der Datenschutzhinweise verbessern
  • Google wird die Informationen über die Datenverarbeitung in der Datenschutzerklärung verbessern und deutlicher über die Zwecke der Verarbeitung und die Arten der Daten informieren
  • Google wird den Nutzern Informationen dazu bereitstellen, wie sie ihre gesetzlichen Rechte ausüben können
  • Zudem wird Google zwei Abschnitte der Nutzungsbedingungen (unter anderem jenen zur Verarbeitung von Daten im Rahmen des E-Mail-Dienstes) in die Datenschutzerklärung integrieren
  • Auch wird Google die gesamte Datenschutzerklärung mit Blick auf unscharfe und unbestimmte Begriffe und Informationen überarbeiten
  • Google wird eine überarbeitete Version der Account-Einstellungen entwickeln, welche es den Nutzern ermöglichen verschiedene Kontrollmöglichkeiten zu den Diensten auszuüben

Die Verpflichtungserklärung und die dort enthaltenen Vorgaben gelten nur für die englische Version der Datenschutzerklärung von Google.

Auch die Versammlung der europäischen Datenschützer, die sog. Art. 29 Gruppe, hatte im letzten Jahr Vorschläge veröffentlicht, wie Google seine Datenschutzerklärungen ihrer Ansicht nach verbessern könne (hierzu mein Beitrag). Die Verpflichtungserklärung aus England kopiert einige der dort entwickelten „Hausaufgaben“. In Deutschland läuft in diesem Zusammenhang derzeit ein durch den Hamburgischen Beauftragten für Datenschutz angestrengtes Verwaltungsverfahren gegen Google.

Bis zu 15 Mio. Euro: Niederländische Datenschutzbehörde verhängt Zwangsgeld gegen Google

Die niederländische Datenschutzbehörde (CBP) gab gestern bekannt, dass sie im Zuge behördlicher Anordnungen gegenüber Google ein Zwangsgeld verhängt habe, dessen Höhe bis zu einem Betrag von 15 Mio. Euro steigen kann.

Nach Angaben der Behörde bietet Google seine Dienste in den Niederlanden unter Verstoß gegen das nationale Datenschutzrecht an. Im November 2013 hat die CBP ein umfassendes Gutachten (PDF, Englisch) veröffentlicht, in dem die datenschutzrechtliche Zulässigkeit der Datenverarbeitung durch die Dienste von Google untersucht wird. Auf der Grundlage der Ergebnisse dieses Gutachtens geht die Behörde nun gegen das amerikanische Unternehmen vor.

Die CBP fordert Google insbesondere zu drei umzusetzenden Maßnahmen auf:

  • Das Unternehmen muss die Einwilligung seiner Nutzer einholen, wenn es personenbezogene Daten aus verschiedenen Diensten kombiniert. Die Einwilligung müsse „ohne jeden Zweifel“ erfolgen, was derzeit nicht sichergestellt sei. So stört sich die Behörde insbesondere daran, dass Google Informationen zu dieser Verknüpfung von Daten in seinen Nutzungsbedingungen und der Datenschutzerklärung bereitstelle, was jedoch nicht ausreichend sei.
  • Zudem müssten die Informationen in den Datenschutzerklärungen darüber, wie verschiedene Dienste von Google personenbezogene Daten nutzen, deutlicher und umfassender bereitgestellt werden.
  • Auch solle Google deutlich machen, dass es sich bei YouTube um einen Dienst von Google handelt. In den Niederlanden habe Google hinsichtlich dieser letzten Forderungen bereits Maßnahmen ergriffen.

Das Vorgehen der CBP steht im Zusammenhang mit einer europaweit angelegten Prüfung der Datenschutzbestimmungen und Datenverarbeitung durch Google, die seit 2012 durch die französische Datenschutzbehörde koordiniert und im Rahmen der sog. Art. 29 Datenschutzgruppe durchgeführt wird. In mehreren Ländern haben Datenschutzbehörden bereits verwaltungsrechtliche Verfahren gegen Google eröffnet. So etwa die spanische Datenschutzbehörde (mein Beitrag) als auch die französische Aufsichtsbehörde (mein Beitrag). In Deutschland hat der Hamburgische Datenschutzbeauftragte im September 2014 eine Anordnung gegen das Unternehmen erlassen.

Erst jüngst hat die Art. 29 Datenschutzgruppe im Zusammenhang mit diesen Verfahren auch eine Stellungnahme veröffentlicht, wie aus ihrer Sicht die Datenschutzerklärung von Google angepasst werden könnte, um den datenschutzrechtlichen Ansprüchen in Europe zu genügen. Man könnte auch von einem „Hausaufagbenheft“ für Google sprechen (mein Beitrag dazu).

In den Niederlanden hat Google nun bis Februar 2015 Zeit, um die Forderungen der CBP umzusetzen. Sollte das Unternehmen dem nicht nachkommen, so kündigt die Behörde bereits an, dass ein Zwangsgeld bis zu einer Höhe von 15 Mio. Euro verhängt werden könnte.

Internationale Datentransfers: Neues Prüfverfahren durch europäische Behörden

Die Übermittlung von personenbezogenen Daten aus der EU bzw. aus dem EWR in einen sog. Drittstaat, stellt Unternehmen regelmäßig vor die Herausforderung, bestimmte datenschutzrechtliche Anforderungen zu erfüllen, um den Datenfluss zu legitimieren. Nach der europäischen Datenschutzrichtlinie (RL 95/46/EG) ist im Grundsatz jede Übermittlung in Drittstaaten verboten, solange nicht ein angemessenes Schutzniveau für die übermittelten Daten geschaffen wird. Dieses angemessene Schutzniveau kann auf mehreren Wegen hergestellt werden. Ein Beispiel für Übermittlungen in die USA ist etwa die Selbstzertifizierung der die Daten empfangenden Stelle unter Safe Harbor. Daneben werden in der Praxis oft die sog. Standardvertragsklauseln der Europäischen Kommission eingesetzt. Hierbei handelt es sich um Musterverträge (eine Übersicht findet sich hier), die zwischen dem „Datenexporteur“ in der EU/dem EWR und dem „Datenimporteur“ (im Drittland) abgeschlossen werden können. Werden die Verträge ohne inhaltliche Änderungen (oder zumindest ohne solche, die zum Nachteil des Schutzniveaus der Daten von den Mustertexten abweichen) abgeschlossen, so wird automatisch ein angemessenes Schutzniveau der Daten angenommen. Eine Genehmigung der Standardverträge durch eine Aufsichtsbehörde ist dann (zumindest in Deutschland und einigen anderen Ländern der EU) nicht erforderlich, da die Behörden an die Entscheidung der EU-Kommission gebunden sind. Manche Behörden verlangen jedoch zumindest, die Verwendung der Verträge ihr gegenüber anzuzeigen. Anders sieht es für Individualverträge aus, welche der Genehmigung der Behörde bedürfen.

Die europäischen Datenschutzbehörden, versammelt in der Artikel 29 Datenschutzgruppe (Art. 29 Gruppe), haben nun in einer neuen Stellungnahme (WP 226, PDF) ein Verfahren im Zusammenhang mit der Prüfung und Genehmigung von Standard- als auch Individualverträgen vorgestellt, welches vor allem für international tätige und in mehreren Mitgliedstaaten ansässige Unternehmen interessant sein dürfte, die personenbezogene Daten in Drittstaaten übermitteln.

Die Art. 29 Gruppe erkennt die praktische Schwierigkeit, dass ein Unternehmen mit mehreren Niederlassungen in der EU möglicherweise (je nach dem nationalen Recht) gezwungen ist, in jedem Mitgliedstaat, von dem aus personenbezogene Daten in ein Drittland übermittelt werden sollen, eine Genehmigung der Behörde für inhaltlich dieselben Verträge einzuholen. Es besteht das Risiko, dass eine Aufsichtsbehörde die ihr vorgelegten Verträge als ausreichend anerkennt, eine andere Behörde jedoch Nachbesserungen fordert. Die Folge ist ein nicht zu unterschätzender Mehraufwand für Unternehmen und im schlimmsten Fall eine Divergenz der Verträge oder sogar ein Absehen von deren Verwendung, unter einem ja eigentlich vollharmonisierten europäischen Datenschutzrecht!

Unternehmen, die Übermittlungen aus mehreren Mitgliedstaaten in einen Drittstaat auf der Grundlage inhaltlicher gleicher Verträge planen, können nun ein neu geschaffenes Kooperations-Verfahren der europäischen Aufsichtsbehörden in Anspruch nehmen, um eine für alle Verträge einheitliche Entscheidung und damit vor allem eine gewisse Rechtssicherheit zu erhalten.

Das Verfahren ist nach der Stellungnahme der Art. 29 Gruppe grob wie folgt aufgebaut:

1. Das Unternehmen sucht sich diejenige Aufsichtsbehörde in einem Mitgliedstaat (in dem es eine Niederlassung besitzt) aus, die seiner Meinung nach als führende Behörde agieren sollte. Folgende Kriterien sollten der Entscheidung zugrunde liegen: der Ort der Niederlassung, an dem die Vertragsklauseln ausgehandelt bzw. entworfen werden; der Ort der Niederlassung, an dem die meisten Entscheidungen in Bezug auf die Zwecke und Mittel der Datenverarbeitung getroffen werden; den Ort der Niederlassung, um das Verfahren am effektivsten durchzuführen und die Vertragsklauseln durchzusetzen; den Ort einer Niederlassung, von dem aus die meisten Datenübermittlungen stattfinden; der Ort der Niederlassung des europäischen Hauptsitzes.

2. Das Unternehmen hat dieser Behörde den Vertragsentwurf (schriftlich als auch per E-Mail) zu übersenden und dabei auf die Art der verwendeten Standardvertragsklauseln hinzuweisen. Zudem muss auf Abweichungen zu den Mustern hingewiesen werden. Zudem sollte angegeben werden, aus welchen Mitgliedstaaten die Übermittlungen erfolgen.

3. Die Aufsichtsbehörden können entscheiden, ob im konkreten Fall ein solches Kooperations-Verfahren überhaupt sinnvoll erscheint oder nicht (etwa wenn Änderungen an den Mustertexten sich nicht auf den Datenschutz beziehen).

4. Die Wahl der führenden Behörde bleibt letztendlich den beteiligten Aufsichtsbehörden vorbehalten. Sie können etwa eine andere als die von dem Unternehmen gewählte Behörde als führend bestimmen. In diesem Fall müssen sie jedoch die Präsidentin der Art. 29 Gruppe informieren, die diese Übertragung durchführt.

5. Nach Eingang der Unterlagen soll das Unternehmen innerhalb von 2 Wochen Nachricht erhalten, ob das Kooperations-Verfahren eingeleitet wird.

6. Nimmt die ausgewählte Behörde die Bestimmung als führende Behörde an, so wird sie alle anderen von der Entscheidung betroffenen Behörden kontaktieren (also jene Behörden in Mitgliedstaaten, in denen sich Niederlassungen befinden, die ebenfalls Daten übermitteln sollen). Zudem werden gleichzeitig Prüfbehörden bestimmt, die neben der führenden Behörde die Verträge inhaltlich kontrollieren. Sind mehr als 9 Mitgliedstaaten betroffen, so werden 2 Prüfbehörden bestimmt. Ansonsten nur eine.

7. Andere betroffene Behörden können innerhalb von 2 Wochen der Einsetzung der Behörden und der Verteilung der Rollen widersprechen. Die Prüfbehörden sollen ihrer Benennung zustimmen.

8. Ähnlich wie bei der EU-weiten Prüfung von verbindlichen Unternehmensregelungen (BCR), soll auch hier ein freiwilliges System der gegenseitigen Anerkennung von behördlichem Handeln zwischen europäischen Aufsichtsbehörden eingerichtet werden.

Hat die führende Behörde ihre Analyse beendet, so wird sie das Ergebnis den Prüfbehörden mitteilen. Die Prüfbehörden haben dann einen Monat Zeit, um eigene Anmerkungen oder Änderungen vorzuschlagen. Diese Monatsfrist soll nur in Ausnahmefällen verlängert werden können. Sollte keine Reaktion der Prüfbehörde erfolgen, so gilt dies als ihre Zustimmung zum Vorschlag der führenden Behörde.

9. Danach wird das Ergebnis an alle anderen betroffenen Behörden weitergeleitet. Solche Behörden, die Teil des Systems der gegenseitigen Anerkennungen von Entscheidungen sind, werden die positive Entscheidung der führenden Behörden nur umsetzen (entsprechend den nationalen Vorgaben also etwa ihre Genehmigung erteilen).

Aufsichtsbehörden, die nicht an dem gegenseitigen Anerkennungsverfahren teilnehmen, haben eine Frist von einem Monat, um der Entscheidung der führenden Behörde zu widersprechen. Eine Fristverlängerung kann nur in Ausnahmefällen gewährt werden. Erfolgt keine Antwort der Behörde, so gilt dies als ihre Zustimmung.

10. Als letzten Schritt wird die führende Behörde das Antwortschreiben an das Unternehmen im Namen der betroffenen Aufsichtsbehörden unterzeichnen und ihr Ergebnis bekannt geben. Ab diesem Moment ist das Kooperations-Verfahren abgeschlossen und das Unternehmen kann die jeweiligen nationalen Behörden kontaktieren, um die erforderlichen Genehmigungen für die Verträge zu erhalten.

Recht auf Vergessenwerden – Europäische Datenschützer veröffentlichen Richtlinien

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) in Sachen „Google“ (C-131/12) aus dem Mai 2014, besitzen Betroffene einen Anspruch gegen Suchmaschinenbetreiber, mit dem sie unter gewissen Umständen Einträge aus Ergebnislisten entfernen lassen können.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der Art. 29 Datenschutzgruppe (Art. 29 Gruppe), haben nun Richtlinien veröffentlicht (PDF), nach denen sie in Zukunft Beschwerden von Betroffenen bearbeiten möchten, die zuvor mit Ansprüchen gegenüber Suchmaschinenbetreibern gescheitert sind. Das Dokument enthält zudem interessante Informationen dazu, wie die Datenschützer das Urteil des EuGH auslegen. Nachfolgend möchte ich einige Aspekte der Richtlinien näher besprechen.

Im Allgemeinen überwiegt der Datenschutz
Zunächst verweisen (man muss sagen, leider) die Datenschützer auf die Aussage des EuGH, dass im Rahmen der Abwägung zwischen dem Grundrecht auf Schutz personenbezogener Daten mit den Grundrechten der Unternehmen und der Internetnutzer, der Datenschutz im Allgemeinen überwiegen soll. Dass dieser generelle Vorrang eines Grundrechts vor anderen Grundrechten meines Erachtens mit der Charta der Grundrechte der Europäischen Union (EU-Charta) nicht begründbar ist, hatte ich bereits einmal geschrieben. An dieser Einschätzung ändert sich meines Erachtens auch nichts, wenn darauf verwiesen wird, dass ein fairer oder angemessener Ausgleich zwischen den kollidierenden Grundrechtspositionen gefunden werden muss. Denn wenn dieser faire Ausgleich bereits unter dem Vorzeichen des generellen Vorrangs des Datenschutzes steht, dann existiert von Anfang an ein Ungleichgewicht.

Positiv hervorzuheben ist, dass die Art. 29 Gruppe explizit auf das Grundrecht auf Informationsfreiheit nach Art. 11 EU-Charta verweist. Auf der anderen Seite gehen die Datenschützer jedoch davon aus, dass die Auswirkungen von Löschansprüchen auf dieses Grundrecht gar keine große Auswirkungen haben werden, da ja die Originalseiten gar nicht gelöscht werden.

Verantwortung der Niederlassungen
Die Art. 29 Gruppe schein ein Problem zu erkennen, welches bereits in letzter Zeit in Deutschland durch die juristische Nachrichtenlandschaft ging. Einige Landgerichte haben Ansprüche, die gegen die deutsche Niederlassung von Google geltend gemacht wurden, mit der Begründung abgelehnt, dass nach dem Urteil des EuGH allein die Google Inc. in den USA verantwortlich sei. Die nationalen Niederlassungen seien nicht der richtige Anspruchsgegner und damit nicht „passivlegitimiert“. In ihren Richtlinien verweisen die Datenschützer auf das Problem, dass die geltende Datenschutzrichtlinie keine Aussage zu der Verantwortlichkeit von Niederlassungen in der europäischen Union trifft, die eine verantwortliche Stelle, welche in einem Drittland (wie den USA), in der EU besitzt. Nichtsdestotrotz fordern die Datenschützer unter Verweis auf die effektive Durchsetzung der Rechte der Betroffenen, dass diese ihre Ansprüche auch gegenüber nationalen Niederlassungen geltend machen können müssen. Meines Erachtens war der EuGH in seinem Urteil klar: verantwortliche Stelle und damit alleiniger Anspruchsgegner eines datenschutzrechtlichen Anspruchs ist die Google Inc. in den USA. Zwar waren die europäischen Niederlassungen für den EuGH von Relevanz, um europäisches Datenschutzrecht für anwendbar zu erklären. Jedoch bleibt das amerikanische Unternehmen die verantwortliche Stelle. Lösch- oder Widerspruchsansprüche bestehen nur diesem gegenüber. Man kann sich auch fragen, was denn passiert, wenn es in einem europäischen Mitgliedstaat gar keine Niederlassung gibt? Sind dann die Bürger in diesen Staaten darauf angewiesen, allein gegen das in Amerika ansässige Unternehmen vorzugehen? Es existiert ja keine nationale Niederlassung. Damit wären sie im Rahmen der Durchsetzung ihrer Rechte natürlich benachteiligt.

Keine Informationen an Webmaster
Wenig überraschend gehen die Datenschützer auch davon aus, dass Suchmaschinenbetreiber den Webmaster einer Seite nicht darüber informieren dürfen, dass ein Link auf seine Seite aus der Ergebnisliste entfernt wurde. Die Art. 29 Gruppe erkennt keine gesetzliche Grundlage, nach der eine solche Mitteilung, die personenbezogene Daten enthält, erfolgen dürfte. Auch diese Sichtweise ist meines Erachtens, zumindest teilweise, zu kritisieren. Denn zum einen müsste man für jeden Einzelfall prüfen, ob die Information an den Webmaster personenbezogene Daten enthält. Denn wenn nicht (der Name des Antragstellers wird nie mitgeteilt), dann würde das Datenschutzrecht keine Anwendung finden. Selbst wenn eine Rechtsgrundlage erforderlich wäre, dann könnte man hier an Art. 7 (c) (Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt) oder an Art. 7 (f) (Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird) der Datenschutzrichtlinie (RL 95/46/EG) denken. Warum soll etwa ein Presseverlag kein berechtigtes Interesse geltend machen können, hierüber informiert zu werden?

Am Ende des Dokumentes befinden sich dann Fallgruppen und Kriterien, nach denen die europäischen Datenschutzbehörden bestimmte Sachverhalte beurteilen können. Interessant hierbei ist etwa, dass die Datenschützer in Zukunft auch Suchen nach Pseudonymen und Nicknames als taugliche Voraussetzung eines Anspruchs ansehen wollen, wenn diese der Identität einer Person zugeordnet werden können. Das Urteil des EuGH bezog sich jedoch allein auf den Namen einer Person.