Category Archives: Datenschutzbehörde

Datenschutzbehörde: Mögliche Bußgeldverfahren wegen Einsatz von Facebook Custom Audience

Posted on by

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat heute seinen neuen Tätigkeitsbericht für 2015/2016 vorgestellt. Dort (S. 30) berichtet die Behörde über eine durchgeführte Prüfung von bayerischen Unternehmen hinsichtlich des Einsatzes des Dienstes Facebook Custom Audience.

Unternehmen wurden unter anderem gefragt, ob der Dienst Facebook Custom Audience eingesetzt wird, ob E-Mail-Adressen oder Telefonnummern von Kunden an Facebook (gehasht) übertragen werden und ob für den Einsatz von Facebook Custom Audience ein „Facebook-Pixel“? eingesetzt wird.

Dass im Rahmen des Einsatzes des Dienstes datenschutzrechtliche Fragen zu beantworten sind, hat die Behörde bereits in ihrem letzten Tätigkeitsbericht dargestellt. Hierzu mein Blogbeitrag.

Nun berichtet das BayLDA, dass durch die Gespräche mit den verantwortlichen Stellen im Rahmen der Prüfung festgestellt wurde, dass das Verfahren Facebook Custom Audience in der Praxis durchaus Verbreitung findet. Das ist auch meine Erfahrung aus der Beratungspraxis. Laut Aussage des BayLDA waren sich die Unternehmen aber in keinem (!) Fall bewusst, dass dabei eine datenschutzrechtliche Problematik besteht.

Die Behörde berichtet weiter, dass das Thema auf Grund seiner großen Reichweite im Arbeitskreis Medien der deutschen Aufsichtsbehörden platziert und im Dezember 2016 hierzu ein erstes gemeinsames Treffen in Ansbach stattfand. Diese Information dürfte auch für Stellen außerhalb Bayerns von Interesse sein, die Custom Audience nutzen. Denn eventuell wird es in Zukunft auch in anderen Bundesländern Prüfungen der zuständigen Datenschutzbehörden zu dieser Thematik geben.

Beim BayLDA will man nun bei den geprüften Stellen, die angaben, das Verfahren einzusetzen, für Klarheit sorgen, welche Rahmenbedingungen konkret für einen weiteren Einsatz zu berücksichtigen sind.

Das BayLDA verweist in diesem Zusammenhang auch noch einmal ausdrücklich auf seine Ansicht, dass sowohl die Verfahren der Kundenliste als auch die des Zählpixels als datenschutzrechtlich problematisch einzustufen sind.

Nach Aussage der Aufsichtsbehörde könne es insbesondere (wie in der Vergangenheit) angekündigt zur Einleitung von Ordnungswidrigkeitsverfahren kommen.

Unternehmen, die den Dienst Custom Audience nutzen, sollten gerade vor dem Hintergrund, dass sich die Landesdatenschutzbehörden insgesamt mit dem Dienst zu befassen scheinen, prüfen, welche Form des Dienstes sie nutzen und welche datenschutzrechtlichen Anpassungsmaßnahmen eventuell vorzunehmen sind.

 

Datenschutzreform: Bundesratsausschüsse kritisieren Gesetzesentwurf der Bundesregierung zum neuen BDSG

Posted on by

Sieben Ausschüsse des Bundesrates haben sich mit dem „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs-und -Umsetzungsgesetz EU -DSAnpUG-EU, PDF)“ vom 2. Februar 2017 befasst und mit Datum vom 1. März 2017 ihre Empfehlungen zum Gesetzentwurf für ein neues BDSG abgegeben (Empfehlungen, BR Drs. 110/1/17, PDF).

Insgesamt finden die Ausschüsse wenig Gutes an dem Gesetzentwurf. Die Empfehlungen sind umfangreich (64 Seiten). Nachfolgend möchte ich nur beispielhaft einige Kritikpunkte der Bundesratsausschüsse beleuchten. Die Empfehlungen der Ausschüsse werden bereits nächste Woche, am 10. März 2017, im Bundesrat beraten.

Der zweite Schritt vor dem ersten

Ganz grundsätzlich kritisieren die Ausschüsse, dass eine umfassende Bewertung der vorgeschlagenen Neufassung des BDSG nicht möglich ist, da erforderliche Anpassungen des vorrangigen Fachrechts (also datenschutzrechtlicher Spezialvorschriften) bislang weder erfolgt noch konkret absehbar sind.

Auch die Praxis wird durch dieses Vorgehen vor erhebliche Schwierigkeiten gestellt. Denn dort müssen Verarbeitungsvorgänge an die Anforderungen anpasst werde. Doch wenn diese Anforderungen unklar bleiben, wird eine rechtssichere Umsetzung nur schwer möglich sein.

Aus Sicht der Ausschüsse lässt sich die Situation wie folgt darstellen:

Ansatz, bei dem der zweite Schritt vor dem ersten vollzogen wird.

Datenportabilität beschränken?

Die Ausschüsse schlagen vor, dass die Bundesregierung prüft, inwieweit ein Bedarf für eine Beschränkung des Rechts auf Datenübertragbarkeit gemäß Art. 20 DSGVO besteht. Nach Auffassung der Ausschüsse werden nämlich im Gesetzentwurf, Im Gegensatz zum Recht auf Auskunft, das in § 34 BDSG-E eine Beschränkung erfährt, das Recht auf Datenportabilität trotz seiner funktionalen Nähe zum Recht auf Auskunft bislang keine entsprechenden Beschränkungen vorgesehen.

Diese Kritik mag man verstehen, jedoch sehe ich nicht derart große Parallelen zum Auskunftsrecht, dass auch die Datenportabilität aus diesem Grund beschränkt werden müsste. Inhaltlich unterscheiden sich beide Rechte dann doch an einige Stellen. So besteht das Recht auf Datenportabilität etwa nur für durch die Person „bereitgestellte“ Daten, das Auskunftsrecht aber allgemein.

Definition „Anonymisieren“

Die Ausschüsse schlagen zudem die Aufnahme eines neuen § 2 Abs. 6 BDSG-E vor. In diesem Absatz soll das „Anonymisieren“ definiert werden. Hintergrund ist, dass § 27 Absatz 3 BDSG-E den Begriff „anonymisieren“ verwendet, dieser aber weder im Gesetzentwurf noch in der DSGVO definiert wird. Vielmehr wird nur „pseudonymisieren“ in der DSGVO verwendet und in Art. 4 Nr. 5 DSGVO definiert. Die vorgeschlagene Definition entspreche dem Verständnis des Begriffs im bisherigen § 3 Abs. 6a BDSG.

Vertretung im Europäischen Datenschutzausschuss und Verfahren der Zusammenarbeit der Aufsichtsbehörden

Die Bundesratsausschüsse sprechen sich zudem für eine Anpassung der Regelungen zur Vertretung Deutschlands im Europäischen Datenschutzausschuss (EDA) aus. Nach Auffassung der Ausschüsse räumt die Ausgestaltung des Verfahrens hinsichtlich der Vertretung der Bundesrepublik Deutschland im Europäischen Datenschutzausschuss im Gesetzentwurf (§ 17 und 18 BDSG-E) den Aufsichtsbehörden der Länder kein hinreichendes Gewicht ein. Die Ausschüsse verlangen, dass die Position der Landesdatenschutzbeauftragten im Hinblick auf deren Hauptvollzugsverantwortung des Datenschutzrechts in Deutschland gestärkt wird.

Nach Auffassung der Ausschüsse spricht der Umstand, dass der Bund für ein Sachgebiet die ausschließliche oder konkurrierende Gesetzgebungskompetenz besitzt, in keiner Weise dafür, dass die Bundesbeauftragte die Bundesrepublik Deutschland insoweit verhandlungsführend im Europäischen Datenschutzausschuss vertreten sollte, wenn der Vollzug dieses Gesetzes allein den Landesdatenschutzbeauftragten obliegt. Insbesondere werden es nämlich auch in Zukunft die Landesbehörden sein, die sich in ihrer Praxis mit privaten Unternehmen auseinanderzusetzen haben. Eine vergleichbare Sachnähe könne es bei der oder dem Bundesbeauftragten naturgemäß nicht geben.

Die vorgeschlagenen Änderungen sind durchaus nachvollziehbar. Man darf wohl auch in einer Analyse des Bundesrates eine landesnahe Auffassung erwarten. Zurecht dürfte aber die Kritik vorgebracht werden, dass in der praktischen Umsetzung und Überwachung der Einhaltung des Datenschutzes die Landesbehörden mehr Erfahrung besitzen als die BfDI.

Zweckändernde Datenverarbeitung

In § 24 Abs. 1 Nr. 2 BDSG-E soll das Wort „rechtlicher“ durch das Wort „zivilrechtlicher“ ersetzt werden.

Dort ist derzeit vorgesehen, dass die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nicht-öffentliche Stellen zulässig ist, wenn sie zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist.

Hintergrund der vorgeschlagenen Anpassung ist, dass Art. 23 Abs. 1 lit. j) DSGVO, der Vorgaben dazu macht, zur Sicherstellung welcher Maßnahmen Beschränkungen der Betroffenenrechte im nationalen Recht vorgenommen werden dürfen, nur von „zivilrechtlichen“ und nicht weiter von „rechtlichen“ Ansprüchen spricht.

Des Weiteren sollen in § 24 Abs. 1 Nr. 2 BDSG-E nach dem Wort „Ansprüche“ die Wörter „gegenüber der betroffenen Person“ eingefügt werden. Hintergrund dieses Vorschlages der Ausschüsse ist, dass in § 24 BDSG-E eine rechtliche Grundlage für nicht-öffentliche Stellen geschaffen wird, die es ihnen erlaubt, eine Weiterverarbeitung von personenbezogenen Daten unabhängig davon vorzunehmen, ob die Zwecke der Verarbeitung mit den ursprünglichen Zwecken, für die die Daten ursprünglich erhoben wurden, vereinbar sind.

Nach Auffassung der Ausschüsse ist diese Regelung für Verbraucherinnen und Verbraucher von besonderer Bedeutung. Die Ausschüsse kritisieren, dass es die Regelung in § 24 BDSG-E

beispielsweise Unternehmen der Digitalwirtschaft ermöglicht, ohne Einwilligung der betroffenen Verbraucherinnen und Verbraucher eine Weiterverarbeitung der personenbezogenen Daten mit dem Hinweis darauf vorzunehmen, diese Daten würden zur „Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche“ gegenüber Dritten (zum Beispieleinem Geschäftspartner) gebraucht.

Nach Ansicht der Ausschüsse können nicht betroffene Verbraucher dafür verantwortlich gemacht werden, wenn Unternehmen ihre personenbezogenen Daten für die Durchsetzung zivilrechtlicher Ansprüche im Verhältnis zu Dritten benötigen. Deshalb sollte eine Weiterverarbeitung der personenbezogenen Daten zu anderen Zwecken nur erlaubt sein, wenn rechtliche Ansprüche des Unternehmens gegenüber der betroffenen Person selbst in Rede stehen.

Diesbezüglich ließe sich aber anführen, dass die entsprechenden Vorgaben der DSGVO (Art. 6 Abs. 4 und Art 23 Abs. 1 lit. j)) auch nur „Ansprüche“ erwähnen. Nicht jedoch solche, die gegenüber der betroffenen Person bestehen.

Beschäftigtendatenschutz

Natürlich wird von den Ausschüssen auch der Beschäftigtendatenschutz angesprochen. Nach deren Auffassung waren bereits die geltenden Regelungen zum Beschäftigtendatenschutz in § 32 BDSG ergänzungs-und überarbeitungsbedürftig. Nun ergeben sich aber weitere Anforderungen an den Gesetzgeber aus Art. 88 DSGVO.

Nach Auffassung der Bundesratsausschüsse werden diese aber durch § 26 BDSG-E nicht ausreichend umgesetzt. Daher fordern die Ausschüsse, dass zeitnah ein ergänzender Gesetzentwurf mit spezifischen Regelungen für Datenverarbeitung im Beschäftigtenkontext vorgelegt wird.

Fortgeltung bereits erteilter Einwilligungen?

Die Ausschüsse des Bundesrates scheinen zu bezweifeln, dass derzeit erteilte datenschutzrechtliche Einwilligungen auch nach Anwendbarkeit der DSGVO im Mai 2018 weiter wirksam sind.

Sie bitten die Bundesregierung daher um Prüfung einer gesetzlichen Klarstellung, unter welchen Voraussetzungen die bereits vor Inkrafttreten des Gesetzes erteilten Einwilligungen nicht fortgelten. Die Ausschüsse verweisen berechtigterweise darauf, dass die Voraussetzungen für eine wirksame Einwilligung nach der DSGVO nicht den Regelungen im BDSG entsprechen und teilweise darüber hinausgehen. Daher müssen Unternehmen unter Umständen eine erneute Einwilligung bei den Betroffenen einholen.

Zwar verweisen die Ausschüsse auf den Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 13./14. September 2016), der zwar tendenziell von einer Fortgeltung alter Einwilligung ausging. Dies jedoch auch nur unter dem Vorbehalt der „Grundsätzlichkeit“.

Streichen des Erfordernisses der Schriftlichkeit

Die Bundesratsausschüsse fordern zudem, dass geprüft werde, inwieweit vom Erfordernis der Schriftlichkeit der anzufertigenden Dokumentationen durch datenverarbeitende Stelle abgesehen werden kann.

In §§ 32 und 33 BDSG-E ist derzeit schriftliche Dokumentationspflichten für den Fall vorgesehen, wenn der Verantwortliche von einer Information des Betroffenen abgesehen hat. Dieses Erfordernis der schriftlichen Dokumentation geht aber über die Vorgaben der DSGVO hinaus. Diese sieht in Art. 12 Abs. 4 DSGVO nur vor, dass der Verantwortliche die betroffene Person (ohne spezielle Form) unterrichtet. Die derzeit vorgeschlagene Dokumentationspflicht im BDSG-E würde nach Auffassung der Ausschüsse zusätzlichen Erfüllungsaufwand für die Wirtschaft mit sich bringen.

Man muss nun abwarten, welche Empfehlungen konkret in der nächsten Sitzung des Bundesrates angenommen werden. Der Umfang der Anmerkungen und auch die Reichweite der Kritik zeigt aber, dass man in einigen Aspekten noch weit voneinander entfernt ist. Zudem muss beachtet werden, dass der Gesetzesentwurf nun auch im Bundestag liegt und dort (wohl im Innenausschuss) einer Analyse unterzogen wird.

Kundentracking im Shopping-Center – Schweizer Datenschutzbehörde veröffentlicht Leitlinien

Posted on by

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat auf seiner Webseite eine Einschätzung zum Betrieb von Personentrackingsystemen veröffentlicht, die, wenn auch das Datenschutzrecht in der Schweiz keine direkte Umsetzung der europäischen Datenschutzrichtlinie darstellt, für die Anwendung des europäischen und deutschen Datenschutzrechts in solchen Szenarien interessant ist. Denn viele Vorgaben des schweizerischen Datenschutzrechts sind mit jenen des europäischen und deutschen Datenschutzrechts vergleichbar.

In seiner Analyse stellt der EDÖB zwei Varianten des Personentrackings dar und verweist darauf, dass die Variante, in der man an einem bestimmten Ort (z.B. am Eingang eines Einkaufszentrums oder auf der Autobahneinfahrt) bestimmte Merkmale der passierenden Objekte so erfasst, dass man sie an nachfolgenden Kontrollpunkten wiedererkennen und deren Bewegungen nachvollziehen kann, in der Praxis immer häufiger zum Einsatz komme.

Mit Blick auf die wichtige Frage, ob überhaupt personenbezogene Daten verarbeitet werden und dann die Regelungen des Datenschutzrechts eingreifen, geht der EDÖB davon aus, dass einige Systeme direkt personenbezogene Merkmale wie biometrische Gesichtsdaten oder Autokennzeichen erfassen, um Personen und Fahrzeuge beim Passieren der Kontrollpunkte wiederzuerkennen. Andere Systeme erfassen Daten der von den passierenden Personen getragenen Mobilfunkgeräte (IMSI- und TMSI-Nummern oder Mac-Adresse) und zeichnen so den Weg des Trägers auf. Hier ist der EDÖB der Auffassung, dass diese Daten zwar für sich nicht unbedingt einen Personenbezug aufweisen.

Jedoch kann sich der Personenbezug gerade aus den erstellten Bewegungsprofilen ergeben. Ein Beispiel: So unterscheiden sich beispielsweise die Bewegungsprofile des Verkaufspersonals in einem Ladengeschäft von denjenigen der Kunden. Bei kleineren Läden lässt sich so rasch ein Bewegungsprofil einem bestimmten Mitarbeiter zuordnen. Der EDÖB ist daher der Ansicht, dass auch bei diesen Systemen von der Verarbeitung personenbezogener Daten auszugehen ist.

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Nach Ansicht des EDÖB kommen vorliegend ein überwiegendes privates oder öffentliches Interesse der datenverarbeitenden Stelle oder die Einwilligung der Betroffenen in Betracht. Auch im europäischen und deutschen Datenschutzrecht kennen wir diese Erlaubnistatbestände.

Mit Blick auf die Einwilligung der Betroffenen verweist der EDÖB richtigerweise auf praktische Schwierigkeiten, um die Voraussetzungen einer wirksamen Einwilligung zu erfüllen. So müssen die betroffenen Personen, bevor sie einwilligen, angemessen über die fragliche Datenerhebung und -bearbeitung informiert werden. An Orten mit großem Publikumsverkehr, wo Menschen ständig in Bewegung sind, kann dies schwierig sein.

Als Erlaubnistatbestand kommt dann die Interessenabwägung in Frage, bei der die berechtigten Interessen der datenverarbeitenden Stelle oder Dritter mit jenen der Betroffenen abgewogen werden müssen. Nach Auffassung des EDÖB kann in den Fällen, in denen ein Personentrackingsystem z.B. zur Analyse von Personenströmen zur Verbesserung der Sicherheit in Flughäfen oder Bahnhöfen eingesetzt wird, von einem überwiegenden öffentlichen Interessen ausgegangen werden, sofern dabei nicht das Verhalten bestimmter Personen analysiert wird. Dasselbe gilt für die Analyse von Verkehrsströmen auf Autobahnen zur Vermeidung von Staus.

Komplizierter wird es jedoch, wenn das Tracking personenbezogen zum Zwecke der Werbung erfolgen soll. Zwar sieht es der EDÖB auch noch als zulässig an, wenn mit dem System Kundenfrequenzen gemessen oder das durchschnittliche Verhalten von Kundenkategorien analysiert werden soll. Kein Rechtfertigungsgrund bestehe jedoch in der Regel für Auswertungen des persönlichen Verhaltens bestimmter Personen, um diesen z.B. massgeschneiderte Werbung zuzustellen.

Daneben sind weitere Vorgaben des Datenschutzrechts, wie die Pflicht, personenbezogene Daten zu löschen, wenn deren Verarbeitung für den festgelegten Zweck nicht mehr erforderlich ist, oder auch die generelle Informationspflicht zu beachten.

Like-Button vor dem EuGH: OLG Düsseldorf möchte wissen, wer verantwortlich ist

Posted on by

Im Verfahren zwischen der Verbrauchzentrale Nordrhein-Westfalen (VZNRW) und der Fashion ID GmbH & Co. KG (ein Unternehmen der Unternehmensgruppe Peek & Cloppenburg KG) zur datenschutzrechtlichen Zulässigkeit der Einbindung des Facebook Like-Buttons auf einer Webseite, hat das OLD Düsseldorf das Verfahren ausgesetzt und dem EuGH mehrere interessante Datenschutzfragen vorgelegt (Beschluss vom 19.01.2017 – I-20 U 40/16; derzeit leider noch nicht frei zugänglich). Die Vorinstanz, das LG Düsseldorf, hatte Fashion ID u.a. dazu verurteilt, die Einwilligung von Webseitenbesuchern einzuholen, bevor über das Plugin die IP-Adresse der Besucher an Facebook übermittelt wird (Urt. v.  09.03.2016 – 12 O 151/15; hier mein Blogbeitrag zu dem Urteil).

Facebook ist dem dem Rechtsstreit auf Seiten der Beklagten beigetreten. Das OLG Düsseldorf legt dem EuGH mehrere interessante Fragen zur Auslegung der geltenden EU-Datenschutzrichtlinie (RL 95/46/EG) vor.

Zunächst möchte das Gericht aber einmal wissen, ob denn die VZNRW überhaupt klagebfugt ist. Das LG Düsseldorf hatte dies noch, auf der Grundlage von § 8 Abs. 3 Nr. 3 UWG bejaht und angenommen, die Datenschutzvorschriften des TMG seien Marktverhaltensvorschriften. Fashion ID argumentiert, dass dieses Verständnis nicht in Einklang mit der RL 95/46/EG stehe. Eine Verbandsklage sei dort nicht vorgesehen. Die Richtlinie stelle insoweit eine abschließende Regelung dar. Interessant ist diese Vorlagefrage vor allem mit Blick auf das (nicht mehr ganz) neue Verbandsklagerecht in Deutschland. Das OLG Düsseldorf lässt in seinem Beschluss  erkennen, dass es davon ausgeht, dass eine solche Verbandsklagebefugnis der RL 95/46/EG nicht entgegensteht.

Natürlich möchte das OLG dann wissen, ob der Webseitenbetreiber, der das Plugin (also Code) einbindet, datenschutzrechtlich die „verantwortliche Stelle“ ist. Hier tendiert das OLG in seiner Begründung dazu, diese Verantwortlichkeit abzulehnen und verweist dazu auch auf den Vorlagebeschluss des BVerwG zu dem ebenfalls beim EuGH anhängigen Verfahren zu Facebook Fanpages.

Eine Stelle, die weder einen rechtlichen, noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, könne nicht als für die Verarbeitung Verantwortlicher angesehen werden (BVerwG Beschl. v. 25.02.2016, 1 C 28/14 Rn. 27, beim Gerichtshof anhängig unter C-210/16).

Das OLG Düsseldorf führt dazu richtigerweise aus, dass die gegenteilige Auffassung, allein durch die Einbindung von Dritten bereitgestellter Inhalte werde auch der Einbindende „für die Verarbeitung Verantwortlicher“ praktisch datenschutzrechtlich eine derartige Einbindung unmöglich mache. Denn der hierdurch ausgelöste Datenverarbeitungsvorgang ist für den Einbindenden nicht zu kontrollieren.

Interessant ist dann die Anschlussfrage des OLG, wenn keine datenschutzrechtliche Verantwortlichkeit angenommen wird. Man könnte dann nämlich über eine (m.E. abzulehnende Anwendung der Figur des „Störers“) nachdenken. Insofern stellt sich dann die Frage, ob Art. 2 Buchst. d) RL 95/46/EG insofern abschließend ist, als eine zivilrechtliche Haftung für von Dritten zu verantwortenden Datenschutzverstößen ausgeschlossen ist und die Haftung auf die Verantwortlichen beschränkt ist.

Wie auch das Vorlageverfahren des BVerwG (C-210/16), so ist auch dieses Verfahren von praktischer Relevanz. Im hiesigen Verfahren am OLG insofern eventuell in einer noch gesteigerten Form, da in der Praxis sowohl auf Webseiten und in Apps massenweise tagtäglich Plugins eingebunden werden. Eine datenschutzrechtliche Klärung ist daher zu begrüßen. Eventuell muss man sich aber mit dem Gedanken anfreunden, dass ein Urteil des EuGH erst nach dem 25. Mai 2018 und damit erst dann gefällt wird, wenn die Datenschutz-Grundverordnung (DSGVO) anwendbar ist und die RL 95/46/EG nicht mehr existiert. Nichtsdestotrotz ist die Frage nach der datenschutzrechtlichen Verantwortlichkeit und auch ein möglicher Rückgriff auf die Figur der Störerhaftung auch unter der DSGVO relevant.

Privacy Shield: Europäische Datenschützer veröffentlichen Leitfaden für Unternehmen

Posted on by

Die Art. 29 Datenschutzgruppe, die Versammlung der nationalen Datenschutzbehörden, hat am 13. Dezember 2016 ein Papier mit Fragen und Antworten (FAQ) zur praktischen Handhabe des EU-US Datenschutzschildes (Privacy Shield) für europäische Unternehmen veröffentlicht (pdf).

Unter anderem geben die europäischen Datenschützer darüber Auskunft, was ein europäisches Unternehmen zu beachten hat, bevor es personenbezogenen Daten an ein US-Unternehmen übermittelt, welches unter dem Privacy Shield zertifiziert ist.

Prüfung der Zertifizierung und umfasster Datenkategorien

Zum einen müssen sich europäische Unternehmen vergewissern, dass das US-Unternehmen eine aktive Zertifizierung besitzt und zum anderen, dass diese Zertifizierung auch die der geplanten Übermittlung zu Grunde liegenden Daten (eine wichtige Unterscheidung besteht hier zwischen Daten von Mitarbeitern und anderen personenbezogenen Daten) umfasst. Um diese Prüfung vorzunehmen, müssen europäische Unternehmen die Zertifizierung des jeweiligen amerikanischen Unternehmens auf der Webseite des US-Handelsministeriums verifizieren: https://www.privacyshield.gov/welcome

Sollte ein amerikanisches Unternehmen nicht in dieser Liste verzeichnet sein, bestehen dennoch Möglichkeiten, personenbezogene Daten an dieses Unternehmen zu übertragen. Hierauf weisen die europäischen Datenschützer auch ausdrücklich in ihrer Leitlinie hin. Insbesondere können die EU-Standardvertragsklauseln zum Einsatz kommen.

Amerikanisches Unternehmen als Verantwortlicher

Werden personenbezogene Daten an ein amerikanisches Unternehmen übermittelt, welches in der Rolle eines datenschutzrechtlich Verantwortlichen („controller“) agiert, muss das europäische Unternehmen dafür Sorge tragen, dass für den Verarbeitungsvorgang der Übermittlung europäisches Datenschutzrecht eingehalten wird. Insbesondere bedeutet dies, dass für die Übermittlung ein Erlaubnistatbestand (etwa eine Einwilligung oder ein Vertrag) vorhanden sein muss. Zudem weisen die europäischen Datenschützer darauf hin, dass auch alle übrigen Voraussetzungen für eine zulässige Datenverarbeitung erfüllt sein müssen, wie etwa die Erfüllung von Informationspflichten und das Prinzip der Zweckbindung.

Nach Auffassung der europäischen Datenschützer muss ein europäisches Unternehmen, wenn es personenbezogene Daten an ein amerikanisches Unternehmen übermittelt, welches unter dem Privacy Shield zertifiziert ist, betroffene Personen über die Identität der jeweiligen Datenempfänger und über die Tatsache, dass die übermittelten personenbezogenen Daten unter dem Schutz des Privacy Shield übermittelt werden, informieren. Ob ein europäisches Unternehmen jedoch tatsächlich über die konkrete Identität eines amerikanischen Unternehmens als Empfänger von Daten informieren muss, lässt sich meines Erachtens hinterfragen. So erfordert Art. 10 EU-Datenschutzrichtlinie, dass über die Empfänger oder Kategorien der Empfänger der Daten zu informieren ist. Auch die Information über Kategorien ist also ausreichend. Eine andere Frage ist freilich, ob das amerikanische Unternehmen selbst dazu verpflichtet ist, die betroffenen Personen zu informieren. Eine solche Pflicht besteht nach den Datenschutzgrundsätzen des Privacy Shield (Anhang II, II. Grundsätze, Ziffer 1.).

Amerikanisches Unternehmen als Auftragsverarbeiter

Von besonderem Interesse für europäische Unternehmen dürften zudem die Leitlinien der europäischen Datenschützer für Situationen sein, in denen das amerikanische Unternehmen als Auftragsverarbeiter („processor“) agiert. In einem solchen Fall sind beide Unternehmen dazu verpflichtet, einen Vertrag zur Auftragsverarbeitung abzuschließen. Dieser Hinweis, der sich auf Art. 17 EU-Datenschutzrichtlinie stützt, ist wichtig. Denn dies bedeutet, dass etwa ein deutsches Unternehmen nicht einfach personenbezogene Daten an ein amerikanisches Unternehmen, welches unter dem Privacy Shield zertifiziert ist, übermitteln darf, wenn dieses Unternehmen als Auftragsverarbeiter agiert. Zusätzlich ist vielmehr der Abschluss eines Vertrages zur Auftragsverarbeitung erforderlich. Diese Voraussetzung gilt im Übrigen auch unabhängig davon, ob das empfangende Unternehmen unter dem Privacy Shield zertifiziert ist.

Die europäischen Datenschützer weisen in ihren Leitlinien zudem darauf hin, dass jeweiliges nationales Datenschutzrecht noch zusätzliche Anforderungen an diesen Vertrag aufstellen kann. Grundsätzlich empfehlen die europäischen Datenschützer zudem, dass ein europäisches Unternehmen in einem solchen Vertrag festlegt, ob es mit einer Einschaltung von Unterauftragsverarbeitern durch das amerikanische Unternehmen einverstanden ist oder nicht.

Internationale Datentransfers: EU Kommission ändert Angemessenheitsbeschlüsse und Standardvertragsklauseln

Posted on by

Gestern habe ich hier im Blog noch darüber berichtet, dass die geltenden Angemessenheitsbeschlüsse für das Schutzniveau personenbezogener Daten in Drittstaaten als auch die Beschlüsse zu den geltenden EU Standardvertragsklauseln überarbeitet wurden und die europäischen Datenschützer (Art. 29 Datenschutzgruppe) im Rahmen dieser Überarbeitung eine interessante Stellungnahme abgegeben haben.

Nun wurde ich darauf aufmerksam gemacht, dass die finalen Durchführungsbeschlüsse der Kommission am 17. Dezember 2016 im Amtsblatt der Europäischen Union veröffentlicht wurden. Zur Änderung der Beschlüsse über die Standardvertragsklauseln und zur Änderung der Beschlüsse über die Angemessenheit des Schutzes personenbezogener Daten in bestimmten Drittländern.

Die an den geltenden Beschlüssen vorgenommenen Ergänzungen betreffen jeweils Artikel, die sich mit den Befugnissen der nationalen Datenschutzbehörden befassen.

In den Beschlüssen zu den Standardvertragsklauseln wird jeweils Artikel 4 angepasst. Die Ausübung der Befugnisse der Datenschutzbehörden, insbesondere im Fall einer Untersagung eines Datentransfers in einen Drittstaat, wird nun nicht mehr von bestimmten Voraussetzungen abhängig gemacht, die erfüllt sein müssen, bevor die Befugnis ausgeübt werden kann. In seinem Schrems-Urteil hatte der Europäische Gerichtshof diese Beschränkung der Befugnisse der nationalen Behörden kritisiert und die Safe Harbor-Entscheidung unter anderem aus diesem Grund für ungültig erklärt. Nach den neuen Artikeln 4 müssen die Mitgliedstaaten die Europäische Kommission nun nur noch informieren, wenn eine Aufsichtsbehörde einen Datentransfer, der auf der Grundlage von Standardvertragsklauseln stattfindet, untersagt.

Wichtig, insbesondere für die Praxis, dürfte der Hinweis sein, dass der Text der Standardvertragsklauseln selbst, also jener Teil der Beschlüsse der Kommission, der von den Parteien, die Daten austauschen, zu unterzeichnen ist, nicht abgeändert wird. Die Änderungen beziehen sich nicht auf den Vertrag selbst, sondern auf das dahinterliegende System der Überwachung, Prüfung und Durchsetzung der europäischen Regelungen durch die nationalen Behörden.

Eine solche angepasste Regelung findet sich nun auch in den jeweiligen Angemessenheitsentscheidung der Kommission zum Schutzniveau in Drittstaaten. Dort wird jeweils Artikel 3 angepasst. Zudem wird jedoch in einem neuen Artikel 3a die Kommission dazu verpflichtet, die Entwicklungen in der Rechtsordnung des jeweiligen Drittstaates laufend zu überwachen, die die Funktionsweise der jeweiligen Angemessenheitsentscheidung beeinträchtigten könnten. Zudem werden die Kommission aber auch die Mitgliedstaaten dazu verpflichtet, sich gegenseitig zu unterrichten, wenn Anhaltspunkte dafür vorliegen, dass Eingriffe der Behörden des jeweiligen Drittstaates in das Recht von Privatpersonen den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen in den Drittstaat besteht.

Europäische Datenschützer: Geltende Angemessenheitsbeschlüsse für Drittstaaten wohl ungültig

Posted on by

Wie hier im Blog berichtet, werden derzeit sowohl die geltenden Angemessenheitsentscheidungen der Europäischen Kommission für das Schutzniveau in Drittstaaten als auch die Beschlüsse zu den geltenden EU-Standardvertragsklauseln überarbeitet. Hintergrund dieser Anpassungen ist das Urteil des EuGH im Fall Schrems (C-362/14).

Dieser Prozess scheint dem Grunde nach bereits abgeschlossen zu sein. Denn im zuständigen Art. 31 Ausschuss haben die Mitgliedstaaten schon über die Entwürfe zur Anpassung der geltenden Beschlüsse (positiv) abgestimmt. Leider sind die neu gefassten Beschlüsse immer noch nicht veröffentlicht. Mir selbst liegen nur die Entwürfe vor, über die im Art. 31 Ausschuss abgestimmt wurde, die dann aber wieder von der Webseite entfernt wurden. Über die Ergänzungen in den jeweiligen Beschlüssen habe ich hier berichtet.

Im Zuge der Beratungen zu den Änderungen an den geltenden Beschlüssen wurde auch die Art. 29 Datenschutzgruppe um eine Stellungnahme gebeten. Diese Stellungnahme ist hier abrufbar (pdf).

Zunächst kritisieren die Datenschützer die sehr kurz bemessene Frist, in der sie zu den Änderungen der Beschlüsse Stellung nehmen sollen. Dies vor allem aus dem Grund, weil die Änderungen die Rechte der Datenschutzbehörden betreffen.

Danach weisen die Datenschützer darauf hin, dass die Kommission mit den Anpassungen den Zweck verfolge, die Vorgaben des EuGH im Schrems-Urteil vollständig umzusetzen. Jedoch bemängeln die Datenschützer, dass die vorgeschlagenen Änderungen gerade keine vollständige Umsetzung der Kritik des EuGH darstellen. Zwar sollen die Befugnisse der Behörden zur Untersagung von Datentransfers nun nicht mehr von bestimmten Bedingungen abhängig gemacht werden. Dies war jedoch nur ein Grund, warum der EuGH die Safe Harbor-Entscheidung für ungültig erklärte.

Daneben wurde die Entscheidung gerade auch deshalb aufgehoben, weil die Kommission keine Feststellungen dazu traf, dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“. Die Datenschützer weisen darauf hin, dass diese erforderlichen Feststellungen ebenfalls nicht in anderen, derzeit gültigen, Angemessenheitsentscheidungen für Drittstaaten wie die Schweiz, Kanada oder Israel enthalten sind und diese Entscheidungen daher wohl nicht die Anforderungen des EuGH erfüllen und in der Konsequenz, falls sie angefochten werden würden, wohl auch für ungültig erklärt werden könnten.

The assessment made by the Commission as to the compliance with this requirement does not seem sufficient to meet the requirements stated by the CJEU in the Case C-362/147 and could jeopardize their legal validity possibly leading to a referral to a competent Court.

Die Art. 29 Gruppe fordert die Kommission daher auf, die erforderlichen Feststellungen für die betreffenden Drittländer so schnell wie möglich vorzunehmen.

Entwurf der ePrivacy-Verordnung: Erste Anmerkungen

Posted on by

Auf der Webseite von politico.eu wurde gestern ein Entwurf für eine neue ePrivacy-Verordnung der Europäischen Kommission veröffentlicht (pdf). Diese Verordnung soll die bisher geltende Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG in der Fassung durch RL 2009/136/EG) ersetzen und inhaltlich mit der bereits in Kraft getretenen Datenschutz-Grundverordnung abstimmen.

Ob es sich bei dem nun veröffentlichten Entwurf tatsächlich um den letzten Stand handelt oder wie am Ende der offiziell veröffentlichte Entwurf für eine ePrivacy-Verordnung (ePrivacy-VO) aussieht, lässt sich momentan noch nicht sagen. Daher sollte man in jedem Fall im Hinterkopf behalten, dass es auch noch inhaltliche Änderungen an diesem Entwurf geben kann. Nichtsdestotrotz möchte ich nachfolgend einige interessante Aspekte der vorgeschlagenen Verordnung ansprechen.

Verhältnis zur Datenschutz-Grundverordnung (DSGVO)

Sowohl aus den Erwägungsgründen (5 und 7) als auch aus den Artikeln des Entwurfs (insbesondere Art. 1 Abs. 3) wird deutlich, dass die geplante ePrivacy-VO die speziellere Regelung gegenüber der DSGVO sein wird. Soweit also der Anwendungsbereich der ePrivacy-VO eröffnet ist, tritt die DSGVO zurück. Da die ePrivacy-VO jedoch weit weniger umfassende Regelungen trifft als die DSGVO, werden viele Vorgaben der DSGVO die Lücken in der ePrivacy-VO füllen. Dies betrifft etwa die Rechte der Betroffenen (vgl. Ziffer. 1.2. ePrivacy-VO).

Keine Regelung zur Vorratsdatenspeicherung

Ausdrücklich macht die Kommission in ihren Verordnungsentwurf klar, dass sie keine spezifischen Vorgaben zu einer Speicherung von Daten auf Vorrat vorsieht (Ziffer 1.3.; am Ende). Die Kommission stellt doch gleichzeitig klar, dass die Mitgliedstaaten weiterhin die Möglichkeit besitzen, nationale Regeln zu einer Vorratsdatenspeicherung beizubehalten oder zu kreieren.

Anwendungsbereich der ePrivacy-VO

Nach Art. 2 Abs. 1 soll die Verordnung für die Verarbeitung elektronischer Kommunikationsdaten im Zusammenhang mit der Bereitstellung und Benutzung elektronischer Kommunikationsdienste gelten. Hiervon umfasst sind nach der Begriffsbestimmung in Art. 4 Abs. 2 lit. (b) sowohl Inhalts- als auch Metadaten.

Wichtig ist zudem der Hinweis darauf, dass sich der Anwendungsbereich nach Art. 2 Abs. 1 auch allein auf „Informationen“ erstreckt, die sich auf die Endgeräteinrichtungen von Endnutzern beziehen. Umfasst sind damit von der Verordnung also nicht nur klassische Kommunikationsdaten.

Räumlich soll die ePrivacy-VO, den Regelungen der DSGVO entsprechend, einen weiten Anwendungsbereich haben (vergleiche Art. 3). Insbesondere ist sie anwendbar auf die Verarbeitung elektronischer Kommunikationsdaten im Zusammenhang mit der Bereitstellung von elektronischen Kommunikationsdiensten in der Europäischen Union, unabhängig davon, ob die Verarbeitung selbst in der Europäischen Union stattfindet oder nicht. Der räumliche Anwendungsbereich erstreckt sich auch auf den Schutz von Informationen bezogen auf Endgeräte von Nutzern, die sich in der Europäischen Union befinden (vgl. Art. 3 Abs. 1 lit (a)).

Räumlich ist die ePrivacy-VO auch auf eine Verarbeitung elektronischer Kommunikationsdaten anwendbar, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste außerhalb der Europäischen Union an Endnutzer in der Europäischen Union steht. Auch diese Regelung erinnert an die neuen Vorgaben der DSGVO (vgl. Art. 3 Abs. 1 lit. (b).

Neue Pflichten für OTT-Dienste

Im Rahmen der Diskussionen zu der Neuregelung der ePrivacy-VO wurde stets auch eine Erweiterung des Anwendungsbereichs auf sogenannte OTT-Dienste erörtert. Diese Erweiterung soll nun tatsächlich mit der ePrivacy-VO kommen. Nach Auffassung der Kommission (siehe Erwägungsgrund 13) hat die bisherige Situation, dass Anbieter von over-the-top-Diensten nicht den Pflichten der bisher geltenden ePrivacy-Richtlinie Unterlagen, dazu geführt, dass ein unzureichender Schutz der Vertraulichkeit der Kommunikation existierte. Aus diesem Grund müsse der Anwendungsbereich der existierenden Richtlinie mit der nun vorliegenden Verordnung erweitert werden.

Internet der Dinge und Industrie 4.0

Ausdrückliche Erwähnung findet in den Erwägungsgründen (14) auch das Internet der Dinge vernetzte Geräte und Maschinen. Der Fokus der Kommission liegt im Rahmen dieses Entwurfs jedoch nicht nur auf eine Kommunikation zwischen Maschine und einem Endbenutzer sondern ausdrücklich auch auf der Kommunikation zwischen zwei Maschinen. Informationen, die im Rahmen der vernetzten Industrie und auch verletzter Haushaltsgeräte zwischen zwei Geräten ausgetauscht werden, können auch personenbezogene Daten im Sinne der DSGVO enthalten.

Um dem Schutz der Privatsphäre und auch der vertraulichen Kommission größtmögliche Rechnung zu tragen stellt die Kommission klar, dass die ePrivacy-VO auch für die Maschine-Maschine-Kommunikation und damit also auch für den Informationsaustausch zwischen vernetzten Geräten selbst, etwa im Rahmen der Industrie 4.0, Anwendung findet.

„Cookie-Regelung“

Eines der umstrittensten Themen bereits unter der geltenden ePrivacy-Richtlinie und dann auch im Zuge der Diskussion um deren Überarbeitung war die Frage nach dem regulatorischen Umgang mit Cookies und anderen Techniken, mit denen auf Informationen in Endgeräten von Nutzern zugegriffen wird bzw. Informationen auf Endgeräten von Nutzern abgelegt werden.

Vorgaben hier zu finden sich in Art. 8 ePrivacy-VO. Grundsätzlich soll nach Art. 8 Abs. 1 verboten sein, die Rechen- und Speicherleistung eines Endgerätes zu nutzen und auch Informationen über Endgeräte eines Endnutzers (einschließlich Informationen über Software und Hardware) zu erheben.

Von diesem Grundsatz gibt es einige wenige Ausnahmen. Unter anderem dann, wenn es erforderlich ist für den alleinigen Zweck der Übertragung der Kommunikation über ein elektronisches Kommunikationsnetzwerk oder aber wenn der Endnutzer zuvor dieser Datenerhebung oder der Nutzung der Speicherkapazität seines Endgeräts zugestimmt hat.

Nicht erforderlich ist eine Einwilligung beim Einsatz von Cookies auch dann, wenn ihre Verwendung für die Nutzung eines bestimmten Dienstes erforderlich ist und ausdrücklich von dem Endbenutzer gewünscht wird. In Erwägungsgrund 25 wird beispielhaft ein Cookie zur Personalisierung einer Benutzeroberfläche erwähnt, insbesondere etwa auch um Spracheinstellungen zu speichern. Hierzu gehören nach dem Erwägungsgrund 25 auch solche Cookies, die die Eingaben von Nutzer speichern, während dieser über mehrere Webseiten hinweg Formulare ausfüllt.

Insgesamt sind die Erwägungsgründe 25 bis 28 durchaus lesenswert. In Erwägungsgrund 26 wird konstatiert, dass derzeit sich die Nutzer im Internet bei der Erteilung von Einwilligungen einer Informationsüberflutung gegenübersehen und daher zum Einsatz zentralisierter, transparenter und benutzerfreundlicher Einstellungen zur Privatsphäre „ermutigt“ werden soll. Grundsätzlich wird auch klargestellt, dass die Einstellungen im Browser oder in der Anwendung durch einen Nutzer als Einwilligung in die Verarbeitung von Daten angesehen werden kann.

Interessant ist die neue Regelung in Art. 8 Abs. 2. Diese befasst sich mit dem oben bereits erwähnten erweiterten Anwendungsbereich der ePrivacy-VO auf die Maschinen-Maschinen-Kommunikation und dem Internet der Dinge. Nach Art. 8 Abs. 2 ist der Erhebung von Daten (Achtung: nicht etwa nur elektronischen Kommunikationsdaten), die von Endgeräten ausgesendet werden, um eine Verbindung mit einem anderen Gerät oder einem Netzwerk herzustellen, ebenfalls grundsätzlich ausgeschlossen. Auch hier bestehen jedoch Ausnahmen. Die Erhebung solcher Daten ist dann gestattet, wenn dies ausschließlich dem Zweck einer Verbindungsaufbau zwischen den Geräten dient. Außerdem ist Erhebung und Nutzung solcher Daten auch für Werbezwecke möglich (Art. 8 Abs. 2 lit. (b)), jedoch ist hierfür erforderlich, dass ein klarer und deutlicher Hinweis über die Umstände der Erhebung, die Zwecke, den Verantwortlichen und jene Maßnahmen erteilt wird, die Endbenutzer der Endgeräte unternehmen können, um den Erhebungsumfang zu verringern. Sollten solche Daten für Werbezwecke oder das Pro feilen genutzt werden, so hat der Nutzer ein Widerspruchsrecht wie dies in Art. 21 DSGVO vorgesehen ist.

Zusätzlich, und dies ist insbesondere auch für Unternehmen im Bereich der Industrie 4.0 und der vernetzten Geräte interessant, müssen angemessene technische und obligatorische Maßnahmen getroffen werden um ein angemessenes Sicherheitsniveau zu schaffen. Auch hier verweist der Verordnungsentwurf auf die DSGVO, nämlich Art. 32.

Beschränkungen durch die Mitgliedstaaten

Nach Art. 11 ePrivacy-VO  ist es den Mitgliedstaaten jedoch auch gestattet, in gewissen Grenzen die Rechte und Pflichten welche in den Artikeln 5,6, 7 und 8 vorgesehen sind zu begrenzen. Diese Möglichkeit der Beschränkung erinnert ebenfalls an jene in der DSGVO. Auch hier dürfte sich da das Problem ergeben, dass es zur abweichenden Regelung in den verschiedenen Mitgliedstaaten kommen kann, und der Harmonisierungseffekt der Verordnung zumindest nur bis zu einem gewissen Grad erreicht wird.

Einwilligung

Was die Einwilligung anbelangt, so verweist die ePrivacy-VO  auf die Vorgaben der DSGVO. Dennoch sieht Art. 9 ePrivacy-VO einige Spezialitäten bei der Einwilligung vor. So wird etwa ausdrücklich darauf hingewiesen, dass die Einwilligung auch durch die Nutzung angemessener technischer Einstellungen von Softwareprodukten erteilt werden kann, die den Zugang zum Internet ermöglichen. Hier scheint die Europäische Kommission also insbesondere Webbrowser im Blick zu haben.

Zudem sollen Nutzer, die in die Verarbeitung elektronischer Kommunikationsdaten eingewilligt haben, stets die Möglichkeit haben, ihre Einwilligung mit Wirkung für die Zukunft zu widerrufen und zusätzlich in periodischen Intervallen von 6 Monaten diese Widerrufsmöglichkeit haben. Diese letzte Verpflichtung erscheint jedoch etwas unverständlich, da ja ohnehin stets eine Widerrufsmöglichkeit existiert. Die Vorgabe einer periodischen Widerrufsmöglichkeit alle 6 Monate lässt sich daher eventuell nur so verstehen, dass das Unternehmen alle 6 Monate den jeweiligen Nutzer darauf hinweisen muss, dass er seine Einwilligung widerrufen kann.

Privacy by Design

In Erwägungsgrund 28 wird vorgesehen, dass Softwareanbieter dazu verpflichtet werden sollten, Software am Markt nur mit Privatsphäre-freundlichen Einstellungen zu vertreiben. Insbesondere hiervon umfasst sind Anbieter von Webbrowsern oder andere Software, mit denen man im Internet surfen kann. Zudem möchte die Kommission vorsehen, dass Nutzer beim 1. Aktivieren der Software ihre Privatsphäre Einstellungen wählen müssen. Nimmt ein Nutzer dann keine Einstellungen vor, soll der Webbrowser die Voreinstellung besitzen, dass er jegliche Speicherung durch Cookies von Dritten oder andere Art von Zwecken nicht gestattet.

In Art. 10 befasst sich die ePrivacy-VO ausdrücklich mit dem Prinzip des Privacy by Design. Nach Abs. 1 müssen die Einstellungen aller Komponenten eines Endgerätes, welches im europäischen Markt vertrieben wird, als Grundeinstellung vorsehen, dass Dritte keine Informationen auf dem Endgerät speichern können oder Informationen aus diesem Endgerät erheben können. Für Softwareanbieter sieht Abs. 2 eine ähnliche Verpflichtung vor.

Bei den Verpflichtungen des Art. 10 fragt man sich freilich, welche Pflichten Adressaten hier angesprochen sind. Denn bei dem Hersteller eines Endgerätes oder bei dem Softwarehersteller muss es sich nicht stets um den Anbieter eines elektronischen Kommunikationsdienstes handeln. Der Anwendungsbereich der ePrivacy-VO erstreckt sich nach ihm Art. 2 Jahr aber grundsätzlich nur auf die Verarbeitung elektronischer Kommunikationsdaten oder aber zumindest die Verarbeitung von „Informationen“ in Bezug auf Endgeräte. Die in Art. 10 beschriebenen Pflichten setzen aber bereits in der Produktionskette eher an. Man wird hier abwarten müssen, ob es noch eine entsprechende Anpassung des Art. 10 gibt.

Vorgaben für Werbung

Wie bisher wird auch die ePrivacy-VO gewisse Regelungen zur Nutzung elektronischer Kommunikationsdienste für Werbezwecke vorsehen. Grundsätzlich soll nach Art. 16 Abs. 1 die Nutzung elektronischer Kommunikationsdienste für den Zweck der Übertragung von Direktwerbung nur nach vorheriger Einwilligung des Endnutzers gestattet sein.

Art. 16 Abs. 2 macht hiervon eine Ausnahme für den bereits jetzt bekannten Fall, dass eine Kundenbeziehung zwischen den werbenden und dem Endnutzer existiert. Ausdrücklich wird jedoch darauf Bezug genommen dass es sich um ein „Kunden“ handeln muss und etwa ein Unternehmen von diesem elektronische Kontaktdaten im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung erhalten hat. Dieser Schritt der Erhebung der elektronischen Kontaktdaten unterliegt nach Art. 16 Abs. 2 der DSGVO und muss den Vorgaben eben dieser entsprechen. Grundsätzlich hat der Kunde dann auch jederzeit ein Recht, der Direktwerbung zu widersprechen.

Aufsichtsbehörden und Kooperation

Zudem ist noch darauf hinzuweisen, dass Art. 19 ePrivacy-VO vorsieht, dass die Regelungen des Kapitels 2 der ePrivacy-VO durch die nationalen Datenschutzbehörden überwacht werden sollen. Art. 19 Abs. 2 verweist ja ausdrücklich auf die Aufsichtsbehörden, welche auch für die Überwachung der Einhaltung der DSGVO zuständig sind.

Diese ausdrückliche Zuweisung ist insbesondere deshalb interessant, weil sie einmal inhaltlich wichtige Pflichten der geplanten ePrivacy-VO umfasst, wie die Vorgaben zur Einwilligung, zur Zulässigkeit der Verarbeitung elektronischer Kommunikationsdaten, zum Einsatz von Cookies und anderen ähnlichen Technologien oder auch zu den Vorgaben des Privacy by Design. In Deutschland wären dann alle Landesaufsichtsbehörden und nicht etwa nur exklusiv die Bundesbeauftragte für den Datenschutz im Rahmen ihrer Zuständigkeit für Telekommunikationsunternehmen, für die Überwachung und Durchsetzung des Kapitels II der ePrivacy-VO zuständig.

Bußgelder

In Art. 25 werden die Vorgaben für die Verhängung von Bußgeldern beschrieben. Diese sind in weiten Teilen an jene Regelungen der DSGVO angelehnt. Dies bedeutet gleichzeitig auch, dass die Höhe der möglichen Bußgeldbeträge auf 4 % des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres eines Unternehmens festgesetzt wird.

Ab wann ist die ePrivacy-VO anwendbar?

Auf diese Frage findet sich in dem Entwurf noch keine Antwort. Im Unterschied zu DSGVO ist jedoch in Art. 31 Abs. 2 vorgesehen, dass die ePrivacy-VO 6 Monate nach dem Datum des Inkrafttretens anwendbar sein soll. Die Übergangszeit ist hier also deutlich kürzer bemessen als mit Blick auf die zwei Jahre bei der DSGVO. Dies ist im Endeffekt aber auch konsequent, da es der Plan der europäischen Kommission sein wird, die DSGVO und auch die neue ePrivacy-VO dem Grunde nach zeitgleich zur Anwendung zu bringen. Die kürzere Frist zur Umstellung auf die neuen Vorgaben der ePrivacy-VO bedeutet für Unternehmen aber gleichzeitig auch erhöhten Anpassungsbedarf und –druck.

International Data Transfers: New Commission Decisions on Standard Contractual Clauses and Adequacy Decisions

Posted on by

As reported in my blog, the European Commission revised both the current decisions on the EU standard contractual clauses (EU Model Clauses) as well as the adequacy decisions on the level of protection of personal data in third countries. In the course of these adjustments, which the European Commission had to discuss with the representatives of the Member States in the so-called Article 31 Committee, the Commission has, inter alia, stated that the decisions in force concerning the standard contract clauses and also the adequacy of the level of protection in Third countries, in their current version are unlawful.

The two new decisions by the European Commission are based on the judgement of the ECJ in its Safe Harbor ruling (C-362/14). The judges found, inter alia, that current provisions in the decisions for the adequacy in third countries as well as the EU Model Clauses restrict the powers of the national supervisory authorities and such a restriction by the Commission is not allowed. The Commission therefore exceeds its competence with its decisions currently in force.

On 15 November, Article 31 Committee met to discuss and vote on the draft decisions to amend the provisions in force. The Commission’s Decisions for the adaptation of the adequacy decisions and the EU standard contractual clauses were available on the website of the EU Comitology Register last week. Unfortunately, the draft decisions are currently not available any more. I hope that the two decisions will be published shortly on the official website for international data transfers of the European Commission.

According to the summary record of the meeting on 15 November, the Article 31 Committee delivered a positive opinion on the two draft implementing decisions (txt).

In terms of content, the adjustments that are to be made to the respective decisions are quite similar. In each case, the article which makes the exercise of the powers of the supervisory authorities (in particular the prohibition of the transfer of data to a third country) conditional on the fulfillment of certain requirements will be deleted. In the decisions on the standard contract clauses (2001/497/EC, 2010/87/EC) Article 4 is replaced by a revised Article 4. The additional preconditions for the prohibition of data transfers will be deleted and the Member States will now only be obliged to notify the Commission if a supervisory authority forbids the transfer of data to a third country.

No substantive changes are made to the standard contract clauses themselves. Therefore, from my point of view, the standard contract clauses that have been used by companies so far can also be used further. However, one will recognize that recital 11 of decision 2010/87/EC and recital 15 of decision 2001/497/EC which refer to the ban of transfers by the authorities, will not be amended or repealed. Bit still, I think that currently used EU Model Clauses will not be affected.

The amendments to the various adequacy decisions also relate, in particular, to the lifting or replacement of an article which made the prohibition of the transfer of data to the third country subject to certain conditions (in each case Article 3). In addition, there is a new Article 3a which obliges the Commission to monitor continuously the development of the legal situation in the respective third country concerned in order to examine whether such a development affects existing adequacy decisions.

Internationale Datentransfers: Neue Beschlüsse der Kommission zu Standardvertragsklauseln und Angemessenheitsentscheidungen

Posted on by

Wie bereits hier im Blog berichtet, befindet sich die Europäische Kommission derzeit im Prozess der Überarbeitung sowohl von geltenden Beschlüssen zu den EU-Standardvertragsklauseln als auch von Angemessenheitsentscheidungen zum Schutzniveau für personenbezogene Daten in Drittstaaten.

Im Zuge dieser Anpassungen, die die Europäische Kommission im sog. Art. 31 Ausschuss mit Vertretern der Mitgliedstaaten besprechen und von diesen absegnen lassen muss, hat die Kommission unter anderem selbst festgestellt, dass die geltenden Beschlüsse zu den Standardvertragsklauseln und auch der Angemessenheit des Schutzniveaus in Drittstaaten, in ihrer derzeitigen Fassung rechtswidrig sind (hierzu mein Blogbeitrag)

Hintergrund dieser Anpassungen sind die Vorgaben des EuGH in seinem Urteil zu Safe Harbor (C-362/14.) Dort stellten die Richter unter anderem fest, dass derzeit vorhandene Vorgaben in den Beschlüssen die Befugnisse der nationalen Aufsichtsbehörden beschränken und eine solche Beschränkung durch die Kommission nicht erlaubt ist. Mit ihren derzeit noch geltenden Beschlüssen überschreitet die Kommission daher ihre Kompetenz.

Am 15. November hat sich der Art. 31 Ausschuss getroffen, um über die Beschlussentwürfe zur Änderung der geltenden Vorgaben zu beraten und abzustimmen. Die Beschlussentwürfe der Kommission zur Anpassung der Angemessenheitsentscheidungen (txt) und der EU-Standardvertragsklauseln (txt) sind nun abrufbar.

Inhaltlich ähneln sich die Anpassungen, die an den jeweiligen Beschlüssen vorgenommen werden sollen. Es geht jeweils um eine Streichung eines Artikels, der die Ausübung der Befugnisse der Aufsichtsbehörden (insbesondere zur Untersagung von Datentransfers in einen Drittstaat) von gewissen Voraussetzungen abhängig macht. In den Beschlüssen zu den Standardvertragsklauseln (2001/497/EC; 2010/87/EC) werden jeweils die Artikel 4 durch einen überarbeiteten Artikel 4 ersetzt. Die zusätzlichen Voraussetzungen für die Untersagung von Datentransfers werden gestrichen und die Mitgliedstaaten werden nun nur noch dazu verpflichtet, die Kommission zu benachrichtigen, wenn eine Aufsichtsbehörde eine Datenübermittlung in einen Drittstaat untersagt.

An den Standardvertragsklauseln selbst werden keine inhaltlichen Änderungen vorgenommen. Daher wird man davon ausgehen können, dass bislang im Einsatz befindliche Standardvertragsklausen auch weiter genutzt werden können.

Auch die Änderungen der verschiedenen Angemessenheitsbeschlüsse beziehen sich insbesondere auf die Aufhebung bzw. Ersetzung eines Artikels, der die Untersagung von Datenübermittlung in den jeweiligen Drittstaat von gewissen Voraussetzungen abhängig machte (jeweils Artikel 3). Neu hinzu kommt noch ein Artikel 3a, mit dem die Kommission verpflichtet wird, kontinuierlich die Entwicklung der Rechtslage in dem jeweils betroffenen Drittland zu beobachten, um zu prüfen, ob eine solche Entwicklung Auswirkungen auf bestehende Angemessenheitsbeschlüsse hat.