Category Archives: Datenschutzbehörde

NRW-Justizminister fordert „Recht auf digitalen Neustart“ für Jugendliche

Posted on by

Der Justizminister des Landes Nordrhein-Westfalen, Thomas Kutschaty, möchte sich laut dem Spiegel für eine Bundesratsinitiative einsetzen, um Internetnutzern die gesetzlich verankerte Möglichkeit zu geben, Suchmaschinenbetreibern in bestimmten Fällen die Löschung von Daten abzuverlangen. Im Blick hat Kutschaty bei seinem Vorschlag vor allem Jugendliche. Seiner Ansicht nach machten sich nämlich zu wenige von ihnen Gedanken über das, was sie ins Internet stellen. Jahre später könnte es dann zu Problemen, etwa bei Bewerbungen kommen.

Recht auf Vergessenwerden?
Der Vorschlag des Ministers (und gerade der Verweis auf Suchmaschinen) klingt nach dem Wunsch einer gesetzlichen Verankerung des sog. Rechts auf Vergessenwerden, wie es der Europäische Gerichtshof (EuGH) im Mai 2014 in seinem Google-Urteil aus der geltenden EU-Datenschutzrichtlinie entwickelte. Da jedoch das Recht von Betroffenen, Verweise auf Internetseiten unter bestimmten Voraussetzungen aus den Suchergebnislisten löschen zu lassen, nach dem EuGH bereits derzeit gesetzlich verankert (bzw. aus den Vorgaben der EU-Datenschutzrichtlinie mindestens ableitbar) ist, muss man sich fragen, welche gesetzlichen Neuregelungen der Justizminister konkret anstrebt? Denn diese wären ja eigentlich nicht erforderlich, sollte es sich allein um das Löschen (oder anders: Unterdrücken) von Links in Ergebnislisten handeln.

Bestehende Vorgaben
Die Intention scheint mehr in die Richtung des allgemeinen Schutzes von Jugendlichen und Kindern im Internet zu gehen und ihnen die Möglichkeit zu geben, dass sich ihre digitale Vergangenheit auf Knopfdruck in Luft auflösen lässt. Dies würde auch zu dem Begriff „digitaler Neustart“ passen. Insofern stellt sich dann jedoch die Frage, welche gesetzlichen Voraussetzungen erfüllt sein müssten, um Bilder, Informationen und Texte, die man als Jugendlicher veröffentlicht hat, zu löschen?

Soll es sich etwa nur um personenbezogene Daten handeln? Hier gilt bereits das Datenschutzrecht, welches nicht nach Erwachsenen und Kindern unterscheidet. Die geltenden Gesetze stellen zum einen gewisse Voraussetzungen an die Verarbeitung personenbezogener Daten an sich, wenn also etwa ein Internetdienst die Daten eines Jugendlichen eigenverantwortlich verwendet. Zudem sehen die Gesetze Löschpflichten für verantwortliche Stellen vor, die nicht nur von dem Ablauf einer gewissen Zeit, sondern auch der Unvereinbarkeit der weiteren Verwendung der Daten mit den Interessen des Jugendlichen abhängen können. Wozu also neue Regelungen?

Digitale Generalamnestie?
Eventuell steckt hinter dem Vorschlag daher eher der Gedanke einer „digitalen Generalamnestie“. Nach dem Motto: bis zum 18. Lebensjahr dürfen sich Jugendlichen im Netz austoben und ihre Jugendsünden dann auch löschen lassen. Ein solcher Vorschlag birgt jedoch meines Erachtens einige Risiken (etwa kollidierende Grundrechte Dritter) und ist natürlich gleichzeitig auch eine Art Schuldeingeständnis, nämlich dass man als Staat noch nicht die (richtigen) Mittel und Wege gefunden hat, um Kinder und Jugendliche auf die unbestreitbar bestehenden Risiken beim Umgang mit dem Internet vorzubereiten und sie aufzuklären.

Beispielhaft sei auf die USA und dort auf ein am 1.1.2015 in Kalifornien in Kraft getretenes Gesetz (Privacy Rights for California Minors in the Digital World) verwiesen. Dieses Gesetz sieht in seinem Abschnitt 22581 nämlich in der Tat eine Art „digitalen Neustart“ für Kinder im Internet (darüber hinausgehend aber etwa auch für Anbieter von Apps) vor. Die Möglichkeit für Jugendliche, bei einem Dienst oder Anbieter eingegeben Informationen (es muss sich nicht um personenbezogene Daten handeln) zu löschen bzw. löschen zu lassen, wird dort jedoch nicht pauschal gewährt, sondern enthält bestimmte Einschränkungen. So etwa eine Speicherpflicht des Anbieters aufgrund anderer Gesetze oder wenn die Informationen anonymisiert werden.

Fazit
Die Beweggründe des Justizministers sind jedoch vielleicht auch noch von einer anderen Natur. Laut dem Spiegel hält es Herr Kutschaty „für problematisch, wenn es keine gesetzliche Regelung gibt und wir uns in Fragen von Persönlichkeitsrechten auf ein Entgegenkommen von Google verlassen müssen“. Den Minister scheint also gerade die mangelnde Durchsetzung der (meines Erachtens bereits bestehenden) gesetzlichen Regelungen bzw. die tatsächlichen Probleme bei der Durchsetzbarkeit (mangelndes Personal und fehlende finanzielle Mittel in den zuständigen Behörden) zu treiben. Dazu bedarf es aber nicht noch eines „neuen“ Rechts, welches dann auch nicht durchsetzbar ist und am Ende einen reinen Placeboeffekt hervorruft.

Bis zu 15 Mio. Euro: Niederländische Datenschutzbehörde verhängt Zwangsgeld gegen Google

Posted on by

Die niederländische Datenschutzbehörde (CBP) gab gestern bekannt, dass sie im Zuge behördlicher Anordnungen gegenüber Google ein Zwangsgeld verhängt habe, dessen Höhe bis zu einem Betrag von 15 Mio. Euro steigen kann.

Nach Angaben der Behörde bietet Google seine Dienste in den Niederlanden unter Verstoß gegen das nationale Datenschutzrecht an. Im November 2013 hat die CBP ein umfassendes Gutachten (PDF, Englisch) veröffentlicht, in dem die datenschutzrechtliche Zulässigkeit der Datenverarbeitung durch die Dienste von Google untersucht wird. Auf der Grundlage der Ergebnisse dieses Gutachtens geht die Behörde nun gegen das amerikanische Unternehmen vor.

Die CBP fordert Google insbesondere zu drei umzusetzenden Maßnahmen auf:

  • Das Unternehmen muss die Einwilligung seiner Nutzer einholen, wenn es personenbezogene Daten aus verschiedenen Diensten kombiniert. Die Einwilligung müsse „ohne jeden Zweifel“ erfolgen, was derzeit nicht sichergestellt sei. So stört sich die Behörde insbesondere daran, dass Google Informationen zu dieser Verknüpfung von Daten in seinen Nutzungsbedingungen und der Datenschutzerklärung bereitstelle, was jedoch nicht ausreichend sei.
  • Zudem müssten die Informationen in den Datenschutzerklärungen darüber, wie verschiedene Dienste von Google personenbezogene Daten nutzen, deutlicher und umfassender bereitgestellt werden.
  • Auch solle Google deutlich machen, dass es sich bei YouTube um einen Dienst von Google handelt. In den Niederlanden habe Google hinsichtlich dieser letzten Forderungen bereits Maßnahmen ergriffen.

Das Vorgehen der CBP steht im Zusammenhang mit einer europaweit angelegten Prüfung der Datenschutzbestimmungen und Datenverarbeitung durch Google, die seit 2012 durch die französische Datenschutzbehörde koordiniert und im Rahmen der sog. Art. 29 Datenschutzgruppe durchgeführt wird. In mehreren Ländern haben Datenschutzbehörden bereits verwaltungsrechtliche Verfahren gegen Google eröffnet. So etwa die spanische Datenschutzbehörde (mein Beitrag) als auch die französische Aufsichtsbehörde (mein Beitrag). In Deutschland hat der Hamburgische Datenschutzbeauftragte im September 2014 eine Anordnung gegen das Unternehmen erlassen.

Erst jüngst hat die Art. 29 Datenschutzgruppe im Zusammenhang mit diesen Verfahren auch eine Stellungnahme veröffentlicht, wie aus ihrer Sicht die Datenschutzerklärung von Google angepasst werden könnte, um den datenschutzrechtlichen Ansprüchen in Europe zu genügen. Man könnte auch von einem „Hausaufagbenheft“ für Google sprechen (mein Beitrag dazu).

In den Niederlanden hat Google nun bis Februar 2015 Zeit, um die Forderungen der CBP umzusetzen. Sollte das Unternehmen dem nicht nachkommen, so kündigt die Behörde bereits an, dass ein Zwangsgeld bis zu einer Höhe von 15 Mio. Euro verhängt werden könnte.

Behörden fordern App-Stores auf, Datenschutzerklärungen als Pflicht für App-Anbieter einzuführen

Posted on by

Insgesamt 23 Datenschutzbehörden auf der ganzen Welt haben einen offenen Brief an sieben Betreiber großer App-Stores unterzeichnet. Darin fordern die Datenschützer die Betreiber der App-Marktplätze auf, eine Verpflichtung für App-Anbieter vorzusehen, Links zu Datenschutzerklärungen ihrer Apps bereitzustellen, wenn sie über ihre Apps personenbezogenen Daten verarbeiten. Ansonsten sollen die Apps nicht zugelassen werden.

Die unterzeichnenden Datenschutzbehörden, aus Deutschland sind die Landesdatenschützer aus Baden-Württemberg und Bayern beteiligt, arbeiten im sog. „Global Privacy Enforcement Network (GPEN)“ zusammen. Innerhalb dieses Netzwerkes führen die Behörden jedes Jahr weltweit Prüfungen von Apps und deren Einhaltung der geltenden Datenschutzgesetze durch. Der bayerische Datenschützer hatte im Mai 2014 informiert, dass im Rahmen seiner Prüfung 60 Apps begutachtet und teilweise erheblich Mängel festgestellt worden sind. Die Datenschutzaufsichtsbehörden des Bundes und der Länder für den nichtöffentlichen Bereich (Düsseldorfer Kreis) haben in Deutschland im Juni 2014 eine „Orientierungshilfe Apps“ erstellt, um die aus ihrer Sicht notwendigen datenschutzrechtlichen Anforderungen an den Einsatz und den Vertrieb von Apps darzustellen (hierzu mein ausführlicher Blogbeitrag).

In ihrem am 9. Dezember 2014 veröffentlichten Brief, fordern die Datenschutzbehörden aus der ganzen Welt nun jedoch Unterstützung durch die großen Anbieter der App-Stores. Darunter Apple, Google, Samsung und Microsoft. Zwar würde auf den App-Marktplätzen die Möglichkeit für App-Anbieter bestehen, einen Link zu ihrer Datenschutzerklärung einzufügen. Die Marktplatz-Anbieter sollten jedoch dazu übergehen, die Bereitstellung von Informationen zur Datenverarbeitung als zwingende Voraussetzung eines Angebotes der App auf der Plattform vorzusehen.

Hamburger Datenschützer: Datenschutzverstöße sollten generell abmahnbar sein

Posted on by

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Caspar, hat sich in einer Stellungnahme (PDF) zur Anhörung der Monopolkommission zur Vorbereitung eines Sondergutachtens zum Wettbewerb auf digitalen Märkten, zu Fragen im Schnittfeld zwischen Datenschutz- und Wettbewerbsrecht geäußert. Zum einen geht es hierbei um marktbeherrschende Stellungen von Unternehmen, die diese möglicherweise auch durch Datenschutzverstöße erlangen, festigen oder ausbauen. Zum anderen äußert sich der HmbBfDI kritisch zu dem (immer noch umstrittenen Verhältnis) zwischen Wettbewerbsrecht und dem Datenschutzrecht, vor allem inwiefern Verstöße gegen datenschutzrechtliche Vorgaben durch Wettbewerber nach dem UWG abgemahnt werden können.

Marktmacht und Datenschutz
Laut der Stellungnahme des HmbBfDI tendiert eine Datenmacht dazu, die Marktmacht von Unternehmen zu festigen. Prof. Caspar kritisiert mit Blick auf die großen Anbieter von sozialen Netzwerken und Suchmaschinen, dass für die Nutzer, anders als bei der Wahl eines Telekommunikationsanbieters, ein Anbieterwechsel nur unter Verlust der gesammelten Kontakte und der eigenen Daten möglich sei. Es bestehe zumeist keine Durchlässigkeit hin zu anderen Dienstleistern auf dem Markt. Der Datenschützer begrüßt daher den in der geplanten europäischen Datenschutz-Grundverordnung geplanten Ansatz, ein Recht auf „Datenportabilität“ einzuführen. Die Möglichkeit, die eigenen Daten beim Anbieterwechsel mitzunehmen, könne nach Ansicht von Prof. Caspar wesentlich dazu beitragen, den Wettbewerb auf digitalen Märkten zu stärken. Auch eine Interoperabilität zwischen den verschiedenen Anbietern fordert der Datenschutzbeauftragte.

Intransparente Strukturen
Zudem kritisiert Prof. Caspar, dass Marktmacht und Datenmacht gleichsam durch intransparente Strukturen der von den Unternehmen verfolgten Geschäftsmodelle begünstigt werden. Er bezieht sich in seiner Stellungnahme etwa auf die Betreiber von Suchmaschinen und die „von außen nicht ohne weiteres nachvollziehbare Platzierung in den Trefferlisten“. Im Prinzip wäre es seiner Ansicht nach erforderlich, dass die Suchalgorithmen offengelegt werden. Auch eine andere, kurzfristig zu erreichende Verbesserung schlägt er vor: durch die Vorgabe einer farbigen Unterlegung von konzerneigenen Angeboten bei den Suchtreffern würde eine größere Transparenz für Nutzer hergestellt.

Unter der Überschrift der „intransparenten Strukturen“ bemängelt Prof. Caspar zudem die Schwierigkeit für Nutzer zu erkennen, „ob und zu welchen Zwecken die Verwendung der von ihnen zur Verfügung gestellten persönlichen Daten durch die Internetdienstleister erfolgt“. Beispielhaft geht er bei seiner Stellungnahme auf die Datenschutzbestimmungen von Netflix ein. Diesen attestiert er eine „schwammige Zweckbindungsbestimmung“ und einen erweiternden Zusatz, „der die Datenschutzfunktion weitgehend ad absurdum führt“. Diese von Prof. Caspar bemängelte, fehlende Transparenz werde seiner Einschätzung nach „von marktrelevanten Unternehmen nicht zuletzt zur Festigung und Ausdehnung der eigenen Markt- und Datenmacht genutzt“.

Datenschutzwidrige Praxis und Wettbewerbsrecht
Auch geht der Datenschutzbeauftragte darauf ein, dass (vermeintliche) datenschutzwidrige Praktiken seiner Ansicht nach zu einem Wettbewerbsvorteil führen können. Gerade auf digitalen Märkten wirke sich die Nichtbeachtung von Vorgaben des Datenschutzes auch auf die Wettbewerbspositionen der Marktteilnehmer aus. Das bisherige Nebeneinander zwischen Wettbewerbs-und Datenschutzrecht erschwere es Wettbewerbern jedoch bislang, Datenschutzverstöße über das UWG erfolgreich und rechtssicher geltend zu machen. Die Rechtsprechung und Literaturmeinungen zu dieser Thematik gehen auseinander. Erforderlich für ein Vorgehen nach dem UWG ist der Verstoß gegen eine Marktverhaltensvorschrift im Sinne des § 4 Nr. 11 UWG. Jedoch existieren beispielsweise divergierende Gerichtsentscheidungen zu der Frage, ob ein Verstoß gegen die Regelung des § 4 Abs. 1 BDSG (der eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur erlaubt, soweit dies nach dem BDSG oder eine andere Rechtsvorschrift gestattet ist oder der Betroffene eingewilligt hat) auch einen Verstoß gegen das Wettbewerbsrecht darstellt.

Prof. Caspar fordert daher in seiner Stellungnahme, dass in Zukunft darüber nachgedacht werden sollte, „den Verstoß gegen Datenschutzregeln mit einem Wettbewerbsverstoß gleichzusetzen“. Hierzu bedürfe es jedoch einer Initiative des Gesetzgebers.

Recht auf Vergessenwerden – Europäische Datenschützer veröffentlichen Richtlinien

Posted on by

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) in Sachen „Google“ (C-131/12) aus dem Mai 2014, besitzen Betroffene einen Anspruch gegen Suchmaschinenbetreiber, mit dem sie unter gewissen Umständen Einträge aus Ergebnislisten entfernen lassen können.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der Art. 29 Datenschutzgruppe (Art. 29 Gruppe), haben nun Richtlinien veröffentlicht (PDF), nach denen sie in Zukunft Beschwerden von Betroffenen bearbeiten möchten, die zuvor mit Ansprüchen gegenüber Suchmaschinenbetreibern gescheitert sind. Das Dokument enthält zudem interessante Informationen dazu, wie die Datenschützer das Urteil des EuGH auslegen. Nachfolgend möchte ich einige Aspekte der Richtlinien näher besprechen.

Im Allgemeinen überwiegt der Datenschutz
Zunächst verweisen (man muss sagen, leider) die Datenschützer auf die Aussage des EuGH, dass im Rahmen der Abwägung zwischen dem Grundrecht auf Schutz personenbezogener Daten mit den Grundrechten der Unternehmen und der Internetnutzer, der Datenschutz im Allgemeinen überwiegen soll. Dass dieser generelle Vorrang eines Grundrechts vor anderen Grundrechten meines Erachtens mit der Charta der Grundrechte der Europäischen Union (EU-Charta) nicht begründbar ist, hatte ich bereits einmal geschrieben. An dieser Einschätzung ändert sich meines Erachtens auch nichts, wenn darauf verwiesen wird, dass ein fairer oder angemessener Ausgleich zwischen den kollidierenden Grundrechtspositionen gefunden werden muss. Denn wenn dieser faire Ausgleich bereits unter dem Vorzeichen des generellen Vorrangs des Datenschutzes steht, dann existiert von Anfang an ein Ungleichgewicht.

Positiv hervorzuheben ist, dass die Art. 29 Gruppe explizit auf das Grundrecht auf Informationsfreiheit nach Art. 11 EU-Charta verweist. Auf der anderen Seite gehen die Datenschützer jedoch davon aus, dass die Auswirkungen von Löschansprüchen auf dieses Grundrecht gar keine große Auswirkungen haben werden, da ja die Originalseiten gar nicht gelöscht werden.

Verantwortung der Niederlassungen
Die Art. 29 Gruppe schein ein Problem zu erkennen, welches bereits in letzter Zeit in Deutschland durch die juristische Nachrichtenlandschaft ging. Einige Landgerichte haben Ansprüche, die gegen die deutsche Niederlassung von Google geltend gemacht wurden, mit der Begründung abgelehnt, dass nach dem Urteil des EuGH allein die Google Inc. in den USA verantwortlich sei. Die nationalen Niederlassungen seien nicht der richtige Anspruchsgegner und damit nicht „passivlegitimiert“. In ihren Richtlinien verweisen die Datenschützer auf das Problem, dass die geltende Datenschutzrichtlinie keine Aussage zu der Verantwortlichkeit von Niederlassungen in der europäischen Union trifft, die eine verantwortliche Stelle, welche in einem Drittland (wie den USA), in der EU besitzt. Nichtsdestotrotz fordern die Datenschützer unter Verweis auf die effektive Durchsetzung der Rechte der Betroffenen, dass diese ihre Ansprüche auch gegenüber nationalen Niederlassungen geltend machen können müssen. Meines Erachtens war der EuGH in seinem Urteil klar: verantwortliche Stelle und damit alleiniger Anspruchsgegner eines datenschutzrechtlichen Anspruchs ist die Google Inc. in den USA. Zwar waren die europäischen Niederlassungen für den EuGH von Relevanz, um europäisches Datenschutzrecht für anwendbar zu erklären. Jedoch bleibt das amerikanische Unternehmen die verantwortliche Stelle. Lösch- oder Widerspruchsansprüche bestehen nur diesem gegenüber. Man kann sich auch fragen, was denn passiert, wenn es in einem europäischen Mitgliedstaat gar keine Niederlassung gibt? Sind dann die Bürger in diesen Staaten darauf angewiesen, allein gegen das in Amerika ansässige Unternehmen vorzugehen? Es existiert ja keine nationale Niederlassung. Damit wären sie im Rahmen der Durchsetzung ihrer Rechte natürlich benachteiligt.

Keine Informationen an Webmaster
Wenig überraschend gehen die Datenschützer auch davon aus, dass Suchmaschinenbetreiber den Webmaster einer Seite nicht darüber informieren dürfen, dass ein Link auf seine Seite aus der Ergebnisliste entfernt wurde. Die Art. 29 Gruppe erkennt keine gesetzliche Grundlage, nach der eine solche Mitteilung, die personenbezogene Daten enthält, erfolgen dürfte. Auch diese Sichtweise ist meines Erachtens, zumindest teilweise, zu kritisieren. Denn zum einen müsste man für jeden Einzelfall prüfen, ob die Information an den Webmaster personenbezogene Daten enthält. Denn wenn nicht (der Name des Antragstellers wird nie mitgeteilt), dann würde das Datenschutzrecht keine Anwendung finden. Selbst wenn eine Rechtsgrundlage erforderlich wäre, dann könnte man hier an Art. 7 (c) (Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt) oder an Art. 7 (f) (Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird) der Datenschutzrichtlinie (RL 95/46/EG) denken. Warum soll etwa ein Presseverlag kein berechtigtes Interesse geltend machen können, hierüber informiert zu werden?

Am Ende des Dokumentes befinden sich dann Fallgruppen und Kriterien, nach denen die europäischen Datenschutzbehörden bestimmte Sachverhalte beurteilen können. Interessant hierbei ist etwa, dass die Datenschützer in Zukunft auch Suchen nach Pseudonymen und Nicknames als taugliche Voraussetzung eines Anspruchs ansehen wollen, wenn diese der Identität einer Person zugeordnet werden können. Das Urteil des EuGH bezog sich jedoch allein auf den Namen einer Person.

Intelligente Netze und Messsysteme: Kommission veröffentlicht Empfehlungen zum Datenschutz

Posted on by

Intelligente Netze (sog. smart grids) und daran angeschlossene Messsysteme (sog. smart meter) erfahren einen immer größeren Verbreitungsgrad. Über diese intelligenten, da digital ansteuer- und auslesbaren, Systeme können Energieunternehmen etwa Daten über das Heizverhalten oder den Stromverbrauch von Haushalten erheben und analysieren. Der Vorteil liegt auf der Hand: Strom kann aufgrund vorgenommener Analysen zum Beispiel besser verteilt werden. Welches Gebiet benötigt wann wieviel Strom? Wo und wann besteht grundsätzlich der geringste Heizbedarf? Auch eine bedarfsgerechtere Abrechnung des Energieverbrauchs ist möglich.

Da jedoch für diese Zwecke nicht nur die jeweiligen „nackten“ Messwerte abgelesen werden, spielt das Thema Datenschutz auch in diesem Bereich des ‚Internets der Dinge‘ eine wichtige Rolle. Die europäischen Datenschützer, versammelt in der sog. Artikel 29 Datenschutzgruppe, haben daher auch bereits im Jahr 2011 eine Stellungnahme zu Fragen des Datenschutzes und dem Smart Meetering verfasst (WP 183, PDF). Die europäischen Datenschützer empfehlen unter anderem vor dem Einsatz von intelligenten Messsystemen eine Datenschutz-Folgenabschätzung vorzunehmen (WP 183, S. 12).

Um eine solche Datenschutz-Folgenabschätzung, welche die potentiellen Risiken für personenbezogene Daten beim Einsatz intelligenter Zähler bereits in der Planungsphase aufzeigen und entsprechend minimieren soll, europaweit möglichst in einer einheitlichen Form durchzuführen, hat eine Arbeitsgruppe auf europäischer Ebene (Expert Group 2 (EG2)) ein Muster (Data Protection Impact Assessment Template for Smart Grid and Smart Metering systems, PDF) entworfen, welches von Unternehmen genutzt werden soll, die den Aufbau oder Investitionen in intelligente Netze oder Messgeräte planen.

Anfang Oktober 2014 hat nun die Europäische Kommission ihre Empfehlungen zum Einsatz des Musters für die Datenschutz-Folgenabschätzung veröffentlicht (2014/724/EU, PDF). Diese Empfehlungen richten sich an die Mitgliedstaaten und wie diese bei der Verbreitung des Musters mitwirken und Unternehmen unterstützen sollten. Interessant sind zudem die in dem Dokument von der Kommission aufgestellten Definitionen zu verschiedensten Begriffen, die derzeit im Datenschutzrecht diskutiert werden (z. B. der „konzeptionsbedingte Datenschutz“ (data protection by design) oder auch der „standardmäßige Datenschutz“ (data protection by default)).

Die Kommission empfiehlt, dass die Mitgliedstaaten mit der Wirtschaft, Interessenträgern der Zivilgesellschaft und auch den nationalen Datenschutzbehörden zusammenarbeiten sollten, um in einem frühen Stadium der Einführung intelligenter Netze und intelligenter Messsysteme die Verbreitung und Anwendung des Musters für die Datenschutz-Folgenabschätzung zu fördern und zu unterstützen. Etwas konkreter sind zudem Empfehlungen, wonach die Mitgliedstaaten sicherstellen sollten, dass die für die Datenverarbeitung Verantwortlichen nach der Durchführung einer Datenschutz-Folgenabschätzung die geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten treffen und die Folgenabschätzung sowie die anhaltende Eignung der festgelegten Maßnahmen während des gesamten Lebenszyklus der Anwendung bzw. des Systems überprüfen.

Der Einsatz des Musters zur Folgenabschätzung sowie die Umsetzungsmaßnahmen der Mitgliedstaaten sollen in einer zwei-jährigen Testphase erprobt und danach von der Kommission bewertet werden. Anhand eines nachfolgenden Prüfberichts will die Kommission dann entscheiden, ob das Muster eventuell angepasst werden muss.

Konferenz der deutschen Datenschützer: „Recht, schwer gefunden zu werden“ soll weltweit gelten

Posted on by

Am 8. und 9. Oktober 2014 fand in Hamburg die 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) statt. Auf der Tagesordnung standen unter anderem die Kontrolle von Geheimdiensten, das Google-Urteil des EuGH und der Datenschutz im KfZ. Die Entschließungen der DSK sind nun auf der Webseite des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit abrufbar.
Mit Blick auf die Tätigkeit der Nachrichtendienste (Effektive Kontrolle der Nachrichtendienste herstellen!, PDF) stellt die DSK fest, dass deren Befugnisse auch die Überwachung der Telekommunikation einschließe und damit im Bereich der strategischen Auslandsüberwachung des BND ein Kontrolldefizit einhergeht. Da für die Betroffenen die durch Nachrichtendienste vorgenommene Datenverarbeitung in weitem Maße intransparent erfolgt, ist nach Ansicht der DSK auch der Individualrechtsschutz faktisch eingeschränkt. Die DSK bemängelt, dass bestimmte Bereiche nachrichtendienstlicher Tätigkeiten per se Eigeninitiativkontrolle durch die Datenschutzbeauftragten des Bundes und der Länder entzogen seien. Es fehle an einem eigenen Kontrollmandat der Datenschutzbeauftragten für Beschränkungen des Fernmeldegeheimnisses. Die DSK hält daher eine Einbindung der Datenschutzbeauftragten neben den parlamentarischen Kontrollinstanzen (G10-Kommission) für erforderlich.

Auch das „Google-Urteil“ des EuGH (Rs. C-131/12) war ein Thema der DSK (Zum Recht auf Sperrung von Suchergebnissen bei Anbietern von Suchmaschinen, PDF). Mit Blick auf die immer noch umstrittene Frage, ob nach einer erfolgreichen Beschwerde eines Betroffenen die Ergebnislisten auch bei einer Suche über „Google.com“ entsprecht angepasst (also bestimmte Ergebnisse unterdrückt) werden müssen, fordert die DSK, dass Anbieter von Suchmaschinen die Suchergebnisse bei einem begründeten Widerspruch weltweit unterbinden. Hinsichtlich der auch vom Bundesinnenministerium angestellten Überlegungen, unabhängige Schlichtungsstellen zu etablieren, die bei Beschwerden über zurückgewiesene Anträge von Betroffenen entscheiden sollen, scheint die DSK Zurückhaltung zu üben. Nach der Entschließung dürften alternative Streitbeilegungs-oder Streitschlichtungsverfahren das verfassungsmäßige Recht der Betroffenen auf eine unabhängige Kontrolle durch die dafür vorgesehenen staatlichen Institutionen (also Gerichte und/oder die Datenschutzbehörden) nicht beschneiden. Zuletzt streiten die Datenschützer eine Befugnis von Suchmaschinenbetreibern ab, dass diese bei einem positiven Antrag eines Betroffenen den jeweiligen Inhalteanbieter (also den Webseitenbetreiber) über die Sperrung von Suchergebnissen informieren dürften. Dies soll selbst dann gelt, wenn die Benachrichtigung nicht ausdrücklich den Namen des Betroffenen enthält. Meiner Ansicht nach ist dann aber, zumindest aus datenschutzrechtlicher Sicht fraglich, warum eine solche Information nicht erteilt werden dürfte? Denn personenbezogene Daten (wie der Name) werden ja dann nicht verarbeitet. Ironischerweise dürfte diese Sichtweise mit der geplanten Datenschutz-Grundverordnung ohnehin bald obsolet sein. Denn nach dem Entwurf der Kommission (Kom (2012) 11,  PDF) soll in Art. 17 Abs. 2 gerade eine solche Benachrichtigung verpflichtend eingeführt werden. Auf diese Pflicht weißt auch die italienische Ratspräsidentschaft in dem neuesten Dokument aus den Ratsverhandlungen zur Thematik des „Rechts auf Vergessenwerden“ hin (PDF).

Weitere Entschließungen der DSK:
Marktmacht und informationelle Selbstbestimmung (PDF)

Unabhängige und effektive Datenschutzaufsicht ist für Grundrechtschutz unabdingbar (PDF)

Datenschutz im Kraftfahrzeug (PDF)

Datenschützer entwickeln ein Hausaufgabenheft für Google

Posted on by

Seit 2012 haben europäische Datenschutzbehörden in einer koordinierten Aktion, unter Führung der französischen Datenschutzbehörde, die Datenschutzerklärung von Google und deren Vereinbarkeit mit europäischem Datenschutzrecht überprüft (hierzu meine Blogbeiträge: Europa gegen Google? – Die “Task-Force” macht ernst und Französische Datenschutzbehörde eröffnet Verfahren gegen Google). Nachdem in den letzten Jahren jeweils nationale Verfahren aus diesem koordinierten Vorgehen erwachsen sind (etwa in Spanien oder in Frankreich), hat das Gremium der europäischen Datenschutzbehörden (die Art. 29 Gruppe) nun einen Maßnahmenkatalog (PDF) (man könnte auch von einem datenschutzrechtlichen Hausaufgabenheft sprechen) entwickelt, der Maßnahmen vorschlägt, wie aus der Datenschutzbehörden die Datenschutzerklärung von Google anzupassen ist, um eine Konformität mit europäischem Datenschutzrecht herzustellen. Begleitet wird dieser Katalog von einem Brief (PDF) an Larry Page.

Die Vorschläge der Datenschützer sind dabei als mögliche Lösungsvarianten anzusehen und sollen Google dabei helfen, die Vorgaben der Aufsichtsbehörden umzusetzen. Nachfolgend einige Highlights des immerhin 6-seitigen Dokuments.

  • Die Datenschutzerklärung soll stets sichtbar und direkt aufrufbar sein, ohne dass Nutzer etwa zum Ende einer Webseite scrollen müssten.
  • Es sollen abschließend alle Datenarten aufgelistet werden, die von Google im Rahmen seiner Dienste verarbeitet werden.
  • Auch sollen abschließend alle Zwecke angegeben werden, die der Datenverarbeitung zugrunde liegen.
  • Allein auf einer Seite soll Google den Nutzern die Möglichkeit bieten, sich ein umfassendes Bild über die Datenverarbeitung zu verschaffen.
  • Sollten sich die Zweck der Datenverarbeitung ändern oder neue hinzukommen, so soll Google dies nicht in den Nutzungsbedingungen darstellen, sondern vielmehr in der Datenschutzerklärung darüber informieren.
  • Werden Daten an Dritte weitergegeben, so dürfe Google nicht einfach von „Partnern“ sprechen, sondern müsse diese Partner konkret benennen.
  • Passive Webseitenbesuchern sollen besser informiert werden. Zudem müsste ihnen die Möglichkeit einer Einwilligung in die Verarbeitung ihrer Daten gegeben werden. Die Art. 29 Gruppe weißt hier auf Google Analytics hin. So könnte der Dienst etwa derart eingestellt werden, dass eine Analyse des Nutzerverhaltens erst beginnt, wenn der Betroffene seine Einwilligung erteilt hat. Auch wird hier auf die in der Praxis etablierte Verfahrensweise des Einsatzes von Google Analytics in Deutschland hingewiesen (Kürzung der IP-Adresse; Abschluss eines Vertrages zur Auftragsdatenverarbeitung; Möglichkeit des Opt-out). Diese Lösung könnte, so die Idee der Datenschützer, auf andere Länder übertragen werden.
  • Google sollte zudem die Formulierungen seiner Datenschutzerklärung ändern und keine Begriffe wie „wir können“ verwenden.
  • Nach Ansicht der Art. 29 Gruppe könnte Google seine Datenschutzerklärung mehrschichtig aufbauen. Auf der ersten Ebene allgemeine Informationen mit Verweisen zu speziellen und umfangreicheren Erläuterungen der einzelnen Dienste. Auf der zweiten Ebene dann spezielle Informationen zum Datenumgang bei den einzelnen Diensten.
  • Zudem soll Google Richtlinien zur Datenspeicherung und der Speicherdauer entwickeln. Diese sollten den Datenschutzbehörden vorgelegt werden.

Die Vorgaben bzw. Empfehlungen der Art. 29 Gruppe sind durchaus eine interessante Zusammenstellung an Interpretationen des europäischen Datenschutzrechts und wie sich ein Diensteanbieter wie Google insoweit konform verhalten kann. Dennoch scheinen einige der Vorgaben praktisch kaum umsetzbar bzw. mit dem geltenden Datenschutzrecht nicht begründbar zu sein. Ein Beispiel: die umfassende Aufklärung der Datenverarbeitung allein auf einer Seite. Was ist überhaupt eine „Seite“? DinA4? Gerade Unternehmen wie Google verarbeiten eine große Menge an Daten. Die Verarbeitungsvorgänge sind teilweise nicht in einem Satz darzustellen. Möchte der Anbieter also zumindest ansatzweise umfassend und dazu noch verständlich aufklären, dann benötigt er eben auch einmal mehr als eine „Seite“ an Informationen. Dieses Dilemma ist aber nicht unbedingt neu. Unternehmen möchten umfassend aufklären: dann wird ihnen vorgeworfen, die Datenschutzerklärung sei zu lang und kompliziert. Diensteanbieter straffen die Informationen und reduzieren sie auf die Kernthemen: dann wird ihnen vorgeworfen, dass sie nicht ausreichend aufklären und Nutzer in die Irre führen. Es zeigt sich, dass der Anspruch des Rechts und die Umsetzung in der Praxis doch häufig kaum (oder nur mit massiven Verrenkungen) vereinbar sind.

Google-Urteil: Europäische Datenschützer entwickeln Netzwerk für Beschwerden

Posted on by

Die europäischen Datenschutzbehörden, versammelt in der sog. Artikel 29 Gruppe, haben gestern bekannt gegeben (Pressemitteilung, PDF), dass als Reaktion auf das Urteil des Europäischen Gerichtshofs (EuGH) in Sachen Google aus dem Mai diesen Jahres (C-131/12) , Maßnahmen ergriffen werden sollen, um Beschwerden koordiniert bearbeiten zu können.

Nachdem sich die Vertreter der europäischen Datenschutzbehörden im Juli mit den Anbietern der großen Internetsuchmaschinen in Brüssel trafen (Pressemitteilung, PDF), um über die Folgen und die Umsetzung des Google-Urteils in der Praxis zu beraten, entwickeln die Aufsichtsbehörden nun ein gemeinsames Verfahren, mit dem Beschwerden von Betroffenen bearbeitet werden sollen, deren Antrag auf Entfernung von Suchergebnissen abgelehnt wurde.

Nähere Details des europaweit geplanten Systems der Behörden sind noch nicht bekannt. Laut der Pressemitteilung werden wohl in jedem Land besondere Kontaktpersonen in den Behörden benannt, die den Informationsaustausch und Kontakt mit den Kollegen in ausländischen Datenschutzbehörden sicherstellen sollen. Der Artikel 29 Gruppe geht es vor allem darum, eine einheitliche Herangehensweise zu entwickeln, so dass gleich gelagerte Fälle auch gleich entschieden werden können. Die von den Aufsichtsbehörden anzulegenden Prüfkriterien sollen auf diese Weise vereinheitlicht werden. Innerhalb dieses Netzwerkes soll ein gemeinsames Archiv von Entscheidungen der Behörden in anderen Beschwerdeverfahren vorgehalten werden.

Das, wohl virtuell aufgesetzte System (im Prinzip dürfte es sich um eine gemeinsame Datenbank handeln), soll zudem Bedienelemente und Funktionen enthalten, damit bei einer Beschwerde europaweit nach vergleichbaren Verfahren gesucht werden kann oder neue bzw. besonders schwierige Sachverhalte identifiziert werden können.

Die Artikel 29 Gruppe versucht begrüßenswerter Weise, die Beschwerdeverfahren europaweit soweit als möglich zu vereinheitlichen. Abweichende Entscheidungen zu ähnlich gelagerten Fällen in verschiedenen europäischen Ländern würden bei Betroffenen wohl für Verwirrung sorgen. Auf der anderen Seite muss man auch anerkennen, dass es sich bei den Beschwerden im Rahmen des „Rechts auf Vergessenwerden“ häufig um schwierige und komplexe Abwägungsfragen handeln wird. Eine schablonenhafte Herangehensweise scheint mir insoweit nicht unbedingt durchweg als der richtige Weg. Die vorzunehmende Güterabwägung (Datenschutz einerseits, Meinungsfreiheit und Recht auf Informationszugang anderseits) sollte keinem vorher feststehenden Ergebnis zum Opfer fallen. Die Verständigung auf besonders zu beachtende Kriterien im Rahmen der Abwägung ist sicher nicht verkehrt. Doch sollte mit derartigen Methoden äußerst sorgsam umgegangen werden, wenn man das Grundprinzip einer auf den Einzelfall beschränkten Güterabwägung von kollidierenden Grundrechten nicht langsam abbauen möchte.

Eine kleine Randnotiz: die Artikel 29 Gruppe spricht nicht mehr von dem „Recht auf Vergessenwerden“ (right to be forgotten), sondern von einem Recht „entlistet zu werden“ (right to be de-listed).

Vorlagefragen an den EuGH: Wie weit reicht der Arm nationaler Datenschutzbehörden?

Posted on by

Der Europäische Gerichtshof (EuGH) ist im Rahmen eines Vorabentscheidungsersuchens (C-230/14) aus Ungarn mit mehreren Fragen befasst, inwieweit die Datenschutzbehörde eines EU-Mitgliedstaates ihre Kontrollbefugnisse auch gegen Webseitenanbieter, die in einem anderen Mitgliedstaat niedergelassen sind, ausüben und durchsetzen kann.

Sachverhalt
Das Unternehmen Weltimmo, mit Sitz in der Slowakei, bietet auf seiner Webseite die Möglichkeit zur Vermittlung von Immobilien an. Auf der Webseite konnten auch ungarische Staatsbürger Anzeigen für Immobilien schalten, die sich in Ungarn befinden. Die für den Dienst verwendeten Server befinden sich wiederum in einem dritten EU-Mitgliedstaat. Dieser Service wurde zunächst kostenlos angeboten, nach einer gewissen Zeit jedoch automatisch in ein kostenpflichtiges Angebot umgewandelt und die Betroffenen wurden zur Kasse gebeten. Zudem konnten Anzeigen mit personenbezogenen Daten nicht gelöscht werden (hier mehr zu dem ursprünglichen Verfahren, Englisch). Gegen diese Praxis wandten sich einige ungarische Staatsbürger und beschwerten sich bei ihrer nationalen Datenschutzbehörde. Diese untersuchte den Vorfall. Sie hielt sich für zuständig und erließ gegen das slowakische Unternehmen einen Bußgeldbescheid wegen der Verletzung ungarischen Datenschutzrechts. Hiergegen wandte sich Weltimmo, in erster Instanz erfolgreich. In der zweiten Instanz wandte sich das ungarische Gericht nun an den EuGH, da einige Fragen zum anwendbaren Recht als auch der aufsichtsbehördlichen Kompetenz bestanden.

Vorlagefragen
Zunächst möchte das Gericht wissen, ob Art. 28 Abs. 1 der Datenschutz-Richtlinie (DS-RL) in dem Sinn auszulegen, dass die nationale Regelung eines Mitgliedstaats (in diesem Fall Ungarn) in dessen Staatsgebiet auf einen für die Datenverarbeitung Verantwortlichen (Weltimmo) anwendbar ist, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist und der eine Webseite zur Vermittlung von Immobilien betreibt und dort unter anderem Immobilien inseriert, die sich im Staatsgebiet des ersten Mitgliedstaats befinden, nachdem deren Eigentümer ihre personenbezogenen Daten an ein Mittel (Server) zur Speicherung und Verarbeitung von Daten übermittelt haben, das dem Betreiber der Webseite gehört und sich in einem dritten Mitgliedstaat befindet?

Art. 28 Abs. 1 DS-RL lautet: „Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.

Es geht also darum, ob die ungarische Datenschutzbehörde grundsätzlich die Befugnis besitzt, Verstöße gegen ungarisches Datenschutzrecht gegen einen in einem anderen Mitgliedstaat ansässigen für die Verarbeitung Verantwortlichen durchzusetzen. Hintergrund dieser Frage dürfte auch die Regelung des Art. 4 Abs. 1 Buchst. a DS-RL sein, wonach jeder Mitgliedstaat die Vorschriften, die er zur Umsetzung der DS-RL erlässt, auf alle Verarbeitungen personenbezogener Daten anwendet, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Hierauf bezieht sich dann auch die zweite Frage des vorlegenden Gerichts. Ist Art. 4 Abs. 1 Buchst. a DS-RL im Lichte ihrer Erwägungsgründe 18 bis 20 und ihres Art. 1 Abs. 2 sowie Art. 28 Abs. 1 dahingehend auszulegen, dass die ungarische Datenschutzbehörde das ungarische Datenschutzgesetz als nationales Recht nicht auf den Betreiber einer Webseite zur Vermittlung von Immobilien (Weltimmo) anwenden darf, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist, selbst dann nicht, wenn dieser unter anderem ungarische Immobilien inseriert, deren Eigentümer die Daten ihrer Immobilien wahrscheinlich vom ungarischen Staatsgebiet aus an ein Mittel (Server) zur Speicherung und Verarbeitung von Daten übermittelt haben, das dem Betreiber der Webseite gehört und sich in einem dritten Mitgliedstaat befindet?

Beide Fragen beziehen sich also vornehmlich auf das anwendbare Datenschutzrecht und wie dieses unter der DS-RL zu bestimmen ist, wenn es um die Beurteilung eines grenzüberschreitenden Sachverhalts (innerhalb der EU) geht. Grundsätzlich bestimmt sich das anwendbare Datenschutzrecht nach den Vorgaben des Art. 4 DS-RL. Art 28 Abs. 1 DS-RL stellt meines Erachtens keine hiervon abweichende Regelungen auf. Diese Vorschrift regelt vielmehr die Kompetenzen der Datenschutzbehörden, nämlich dass sie dazu berufen sind, die Einhaltung der Datenschutzgesetze in ihrem Mitgliedstaat zu überwachen. Welche nationalen Regelungen Anwendung finden, richtet sich jedoch nach Art. 4 DS-RL.

Des Weiteren fragt das vorlegende Gericht danach, ob es für die Auslegung von Bedeutung ist, ob die von dem für die Datenverarbeitung Verantwortlichen und Betreiber der Webseite erbrachte Dienstleistung auf das Staatsgebiet eines anderen Mitgliedstaats ausgerichtet ist? Diese Bezugnahme auf das Merkmal des „Ausrichtens“ mag einige Leser an das Google-Urteil des EuGH (C-131/12) vom 13. Mai 2014 erinnern. Der Unterschied dazu ist hier jedoch, dass der für die Verarbeitung Verantwortliche sich innerhalb der EU befindet. Zudem möchte das vorlegende Gericht hier wissen, ob bereits das Ausrichten der Dienstleistung auf das Staatsgebiet eines anderen Mitgliedstaats von Bedeutung ist. Im Google-Urteil hat der EuGH (anders als dies häufig berichtet wurde) zudem nicht festgestellt, dass allein das Ausrichten einer Webseite oder eines Dienstes entscheidend ist, für die Antwort auf die Frage nach dem anwendbaren Datenschutzrecht. Dort ging es um die Ausrichtung der Tätigkeit der Niederlassung (!) des verantwortlichen.

Meines Erachtens findet sich für das Abstellen allein auf das Ausrichten der angebotenen Dienstleitung in der DS-RL keine Grundlage. Art. 4 Abs. 1 DS-RL bezieht sich entweder auf die Niederlassung des Verantwortlichen (Buchst. a) oder darauf, ob auf in einem Mitgliedstaat belegene Mittel zurückgegriffen wird (Buchst. c).

Das vorlegende Gericht differenziert dann och weiter und möchte wissen, ob es von Bedeutung ist, ob die Daten der in diesem anderen Mitgliedstaat belegenen Immobilien und die personenbezogenen Daten der Eigentümer tatsächlich vom Staatsgebiet dieses anderen Mitgliedstaats (hier Ungarn) aus eingegeben wurden? Auch fragt das Gericht danach, ob es von Bedeutung ist, ob die Eigentümer der in der Slowakei niedergelassenen Gesellschaft einen Wohnsitz in Ungarn haben?

Zuletzt kommt das vorlegende Gericht auf den Aspekt der aufsichtsbehördlichen Kompetenzen zu sprechen. Für den Fall, dass die ungarische Datenschutzbehörde handeln darf, jedoch nur auf der Grundlage des slowakischen Datenschutzrechts (weil nur dieses für den Verantwortlichen gilt), möchte das ungarische Gericht wissen, ob Art. 28 Abs. 6 DS-RL in dem Sinne auszulegen ist, dass die ungarische Datenschutzbehörde ausschließlich – und zwar nach der Regelung des Mitgliedstaats der Niederlassung – diejenigen Befugnisse ausüben kann, die in Art. 28 Abs. 3 DS-RL genannt sind, und dass sie folglich keine Befugnis besitzt, ein Bußgeld zu verhängen?

Art. 28 Abs. 6 DS-RL bestimmt: „Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden.“ (Hervorhebung durch mich)

In Art. 28 Abs. 3 DS-RL sind Maßnahmen aufgezählt, die den Datenschutzbehörden zustehen (Untersuchungsbefugnis, Einwirkungsbefugnis und Klagerecht). Nicht ausdrücklich erwähnt ist dort jedoch die Möglichkeit, Bußgelder zu verhängen. Bedeutet der Verweis in Art. 28 Abs. 6 DS-RL auf Abs. 3 nun, dass die ungarische Datenschutzbehörde in diesem Fall allein auf die dort benannten Maßnahmen beschränkt ist, obwohl nach nationalen Recht (sei es dem ungarischen oder dem slowakischen) ein Bußgeld verhängt werden könnte? Dies würde im Endeffekt bedeuten, dass der ungarischen Behörde nur ein Grundgerüst an, aus der DS-RL abgeleiteten und durch sie beschränkte, aufsichtsbehördlichen Maßnahmen zusteht. Nämlich allein diejenigen, die in Art. 28 Abs. 3 DS-RL benannt sind. Soll ein Bußgeld verhängt werden, so dürfte dies allein durch die slowakische Datenschutzbehörde nach slowakischem Recht erfolgen.