Category Archives: Datenschutz-Richtlinie

Internationale Datentransfers: Neue Beschlüsse der Kommission zu Standardvertragsklauseln und Angemessenheitsentscheidungen

Posted on by

Wie bereits hier im Blog berichtet, befindet sich die Europäische Kommission derzeit im Prozess der Überarbeitung sowohl von geltenden Beschlüssen zu den EU-Standardvertragsklauseln als auch von Angemessenheitsentscheidungen zum Schutzniveau für personenbezogene Daten in Drittstaaten.

Im Zuge dieser Anpassungen, die die Europäische Kommission im sog. Art. 31 Ausschuss mit Vertretern der Mitgliedstaaten besprechen und von diesen absegnen lassen muss, hat die Kommission unter anderem selbst festgestellt, dass die geltenden Beschlüsse zu den Standardvertragsklauseln und auch der Angemessenheit des Schutzniveaus in Drittstaaten, in ihrer derzeitigen Fassung rechtswidrig sind (hierzu mein Blogbeitrag)

Hintergrund dieser Anpassungen sind die Vorgaben des EuGH in seinem Urteil zu Safe Harbor (C-362/14.) Dort stellten die Richter unter anderem fest, dass derzeit vorhandene Vorgaben in den Beschlüssen die Befugnisse der nationalen Aufsichtsbehörden beschränken und eine solche Beschränkung durch die Kommission nicht erlaubt ist. Mit ihren derzeit noch geltenden Beschlüssen überschreitet die Kommission daher ihre Kompetenz.

Am 15. November hat sich der Art. 31 Ausschuss getroffen, um über die Beschlussentwürfe zur Änderung der geltenden Vorgaben zu beraten und abzustimmen. Die Beschlussentwürfe der Kommission zur Anpassung der Angemessenheitsentscheidungen (txt) und der EU-Standardvertragsklauseln (txt) sind nun abrufbar.

Inhaltlich ähneln sich die Anpassungen, die an den jeweiligen Beschlüssen vorgenommen werden sollen. Es geht jeweils um eine Streichung eines Artikels, der die Ausübung der Befugnisse der Aufsichtsbehörden (insbesondere zur Untersagung von Datentransfers in einen Drittstaat) von gewissen Voraussetzungen abhängig macht. In den Beschlüssen zu den Standardvertragsklauseln (2001/497/EC; 2010/87/EC) werden jeweils die Artikel 4 durch einen überarbeiteten Artikel 4 ersetzt. Die zusätzlichen Voraussetzungen für die Untersagung von Datentransfers werden gestrichen und die Mitgliedstaaten werden nun nur noch dazu verpflichtet, die Kommission zu benachrichtigen, wenn eine Aufsichtsbehörde eine Datenübermittlung in einen Drittstaat untersagt.

An den Standardvertragsklauseln selbst werden keine inhaltlichen Änderungen vorgenommen. Daher wird man davon ausgehen können, dass bislang im Einsatz befindliche Standardvertragsklausen auch weiter genutzt werden können.

Auch die Änderungen der verschiedenen Angemessenheitsbeschlüsse beziehen sich insbesondere auf die Aufhebung bzw. Ersetzung eines Artikels, der die Untersagung von Datenübermittlung in den jeweiligen Drittstaat von gewissen Voraussetzungen abhängig machte (jeweils Artikel 3). Neu hinzu kommt noch ein Artikel 3a, mit dem die Kommission verpflichtet wird, kontinuierlich die Entwicklung der Rechtslage in dem jeweils betroffenen Drittland zu beobachten, um zu prüfen, ob eine solche Entwicklung Auswirkungen auf bestehende Angemessenheitsbeschlüsse hat.

Europäischer Gerichtshof: Klage gegen EU-US Datenschutzschild eingereicht

Posted on by

Die Meldung (u.a. hier bei Reuters) kommt nicht unbedingt überraschend. Beim Gerichtshof der Europäischen Union, genauer gesagt beim „Gericht“, ist eine Nichtigkeitsklage nach Art. 263 AEUV gegen den Angemessenheitsbeschlüsse der Europäischen Kommission zum EU-US Datenschutzschild (Privacy Shield, Durchführungsbeschluss (EU) 2016/1250,) anhängig.

Kläger ist die Digital Rights Ireland Ltd, ist eine Gesellschaft mit beschränkter Haftung aus Irland, die sich mit der Förderung und dem Schutz der Bürger- und Menschenrechte, insbesondere in der Welt der modernen Kommunikationstechnologien, befasst. Das Aktenzeichen der Rechtssache ist T-670/16.

Nach den Informationen auf der Webseite des Europäischen Gerichtshofs wurden die verfahrenseinleitenden Schriftstücke am 16. September 2016 eingereicht. Dass diese Nichtigkeitsklage so kurz nach Veröffentlichung des Kommissionsbeschlusses im Amtsblatt am 1. August 2016 erhoben wurde, hängt damit zusammen, dass für Erhebung von Nichtigkeitsklagen eine Frist von zwei Monaten gilt (Art. 263 Abs. 6).

Erstinstanzlich zuständig ist vorliegend das „Gericht“ (EuG), also nicht der Gerichtshof (EuGH) (Art. 256 Abs. 1 AEUV).

Hinsichtlich möglicher Erfolgsaussichten der Klage lassen sich zu diesem Zeitpunkt keine validen Aussagen treffen. Zudem muss man in einem solchen Verfahren der Nichtigkeitsklage insbesondere die zwei Ebenen der Zulässigkeit und Begründetheit der Klage unterscheiden.

Im Fall der hier eingelegten Nichtigkeitsklage nach Art. 263 Abs. 4 AEUV ist im Rahmen der Zulässigkeit, konkret bei der Klagebefugnis, zu berücksichtigen, dass zwar natürliche oder juristische Person eine solche Klage erheben können. Jedoch nur dann, wenn es sich um an sie gerichteten oder sie unmittelbar und individuell betreffenden Handlungen sowie gegen Rechtsakte mit Verordnungscharakter, die sie unmittelbar betreffen und keine Durchführungsmaßnahmen nach sich ziehen, handelt. Die 1. Alternative schallt im Fall der Angemessenheitsentscheidung der Europäischen Kommission aus. Denn der Beschluss ist nicht an natürliche oder juristische Person in den Mitgliedstaaten gerichtet, sondern an die Mitgliedstaaten selbst (vgl. Art. 6 des Beschlusses).

Digital Rights Ireland Ltd wird also vor allem darlegen müssen, dass sich bei dem Beschluss um eine sie „unmittelbar und individuell betreffende Handlung“ der Europäischen Kommission handelt. Das Merkmal der unmittelbaren Betroffenheit ist dabei noch eher als unproblematisch anzusehen. Diese unmittelbare Betroffenheit liegt dann vor, wenn die Handlung sich unmittelbar auf die Rechtsstellung der Partei auswirkt und den mit ihrer Durchführung betrauten Behörden keinerlei Ermessensspielraum lässt, da ihre Durchführung rein automatisch erfolgt und sich allein aus dem Unionsrecht ergibt, ohne dass weitere Vorschriften angewandt werden (EuGH, Urt. v. 27.2.2014, C-133/12 P, Rz. 55). Inwiefern der Beschluss der Kommission bereits unmittelbar die Rechtsstellung der Digital Rights Ireland Ltd, die ja etwa keine natürliche Person ist und allein für natürliche Personen ein Schutz personenbezogener Daten und ihrer Privatsphäre gewährleistet ist (vgl. Art. 1 RL 95/46/EG), wird eine interessante Frage sein. Noch kniffliger dürfte jedoch die Erfüllung der zweiten, kumulativ zu erfüllenden, Voraussetzung der individuellen Betroffenheit sein. Dieses Merkmal wird grundsätzlich restriktiv ausgelegt und richtet sich nach der sogenannten „Plaumann-Formel“. Eine Person, die nicht Adressat einer Entscheidung ist, kann nur dann geltend machen, von ihr individuell betroffen zu sein, wenn die Entscheidung sie wegen bestimmter persönlicher Eigenschaften oder besonderer, sie aus dem Kreis aller übrigen Personen heraushebender Umstände berührt und sie daher in ähnlicher Weise individualisiert wie den Adressaten (Urt. v. 19.12.2013, C-274/12 P, Rz. 46). Digital Rights Ireland Ltd müsste also eine Adressaten gleiche Stellung nachweisen. In jedem Fall nicht ausreichend ist, von der angegriffenen Handlung, hier dem Angemessenheitsbeschluss, in allgemeiner Weise betroffen zu sein.

Im Rahmen der Begründetheit muss dann selbst verständlich noch nachgewiesen werden, dass der Beschluss der Kommission rechtswidrig ist, also nach Art. 263 Abs. 2 AEUV insbesondere die Verträge verletzt oder ein Ermessensmissbrauch vorliegt.

Man darf mit Spannung abwarten, wie sich diese Rechtslage entwickelt. Ein erster interessanter Verfahrensschritt dürfte die Verhandlung und danach die Schlussanträge des Generalanwalts sein.

Hamburger Datenschutzbehörde: Keine wirksame Einwilligung gegenüber Facebook. Wirklich?

Posted on by

Mit Bescheid vom 23. September 2016 hat der Hamburger Datenschutzbeauftragte der Facebook Irleand Ltd. u.a. die Erhebung und Speicherung von Bestandsdaten deutscher WhatsApp-Nutzer untersagt. Den Bescheid der Behörde hat der Kollege Dirks veröffentlicht (pdf).

Die Hamburger Behörde begründet ihre Verfügung materiell-rechtlich insbesondere mit einer fehlenden Rechtsgrundlage seitens Facebook für die Erhebung und Speicherung der Daten, die das Unternehmen von WhatsApp erhält. Der Datenschutzbeauftragte stützt seine Argumentation auf das sog. Doppeltürmodell des BVerfG (Urt. 24. 1. 2014 – 1 BvR 1299/05), nach dem sich ein Datenaustausch zwischen zwei öffentlichen Stellen durch einander korrespondiere Eingriffe von Abfrage und Übermittlung vollzieht, die jeweils einer eigenen Rechtsgrundlage bedürfen.

So weit, so klar. Staatliches Handeln bedarf einer Rechtsgrundlage. Der Vorgang der Übertragung von Daten stellt eine Datenverarbeitung dar, eine Übermittlung. Der Vorgang des Abrufs von Daten und deren Speicherung stellen Datenverarbeitungen dar, eine Erhebung und Speicherung. Bis hier hin eigentlich keine Überraschung, da Art. 7 der Datenschutz-Richtlinie vorsieht, dass die Verarbeitung personenbezogener Daten nur erfolgen darf, wenn die Voraussetzungen eines Erlaubnistatbestandes in Art. 7 lit. a) bis f) erfüllt sind. Als ein solcher Erlaubnistatbestand kam hier die Einwilligung der WhatsApp-Nutzer in Betracht, die diese im Rahmen der Aktualisierung der AGB und Datenschutzbestimmungen abgaben.

Wie gesagt, meines Erachtens ist unstreitig und nicht neu, dass beide involvierte Stellen, WhatsApp einerseits und Facebook andererseits, für die Datenverarbeitungen einen Erlaubnistatbestand benötigen. Das stellt das BVerfG in seinem Urteil klar. Mehr nicht.

Vorliegend stört sich die Aufsichtsbehörde aber daran, dass die Betroffenen (also WhatsApp-Nutzer) mit ihrer Einwilligung gegenüber WhatsApp „nicht gleichzeitig ihre Einwilligung gegenüber Facebook Ireland Ltd.“ erteilen. Es fehle daher an einem Erlaubnistatbestand für Facebook. Zwar wurden WhatsApp-Nutzer auf den Datenaustausch mit Facebook und auch die Zwecke der Verarbeitung der Daten durch Facebook hingewiesen, jedoch werde die Einwilligung eben nicht gegenüber Facebook erteilt.

Die Frage ist: ist das überhaupt erforderlich? Meiner Meinung nach sprechen gute Argumente gegen die Ansicht der Behörde.

Erstens

Der Wortlaut der Datenschutzrichtlinie. Nach Art. 2 lit. h) wird die „Einwilligung der betroffenen Person“ als jede Willensbekundung definiert, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden. Die Legaldefinition sagt jedoch nichts dazu aus, wem tatsächlich die Willensbekundung gegenüber abzugeben ist. Natürlich muss ihr Inhalt die geplante Datenverarbeitung abdecken und auch die Stelle benannt sein, die die Verarbeitung vornimmt. Der Adressat der Einwilligungserklärung selbst, wem die Einwilligung wie zugehen muss, wird aber nicht benannt (etwa: gegenüber dem Verantwortlichen).

Zweitens

Urteil des EuGH vom 5. Mai 2011 – C-543/09. Dieses betraf einen Rechtsstreit zwischen der Deutschen Telekom AG und der Bundesnetzagentur, über die gemäß dem Telekommunikationsgesetz bestehende Verpflichtung der Unternehmen, die Telefonnummern zuweisen, ihnen vorliegende Daten von Teilnehmern dritter Unternehmen anderen Unternehmen, deren Tätigkeit in der Bereitstellung von öffentlich zugänglichen Auskunftsdiensten oder Teilnehmerverzeichnissen besteht, zur Verfügung zu stellen.

Entscheidende Vorschriften ergaben sich aus der Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG), die mit Blick auf die „Einwilligung“ auf die Definition der Datenschutz-Richtlinie (siehe oben) verweist.

Nach Art. 12 Abs. 1 Datenschutzrichtlinie für elektronische Kommunikation müssen Teilnehmer (also Kunden des TK-Anbieters) vor Aufnahme in öffentliche Teilnehmerverzeichnisse über deren Zweck bzw. Zwecke und über eine eventuelle besondere Nutzung, insbesondere aufgrund der in die Software der elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen, informiert werden.

Hierzu stellt der EuGH fest (Rz. 58), dass diese vorherige Unterrichtung es dem betroffenen Teilnehmer ermöglicht, „in die Veröffentlichung seiner personenbezogenen Daten in öffentliche Teilnehmerverzeichnisse ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage im Sinne von Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 einzuwilligen“.

Nach Art. 12 Abs. 2 Datenschutzrichtlinie für elektronische Kommunikation kann der Teilnehmer lediglich entscheiden, ob seine personenbezogenen Daten – und gegebenenfalls welche – in ein öffentliches Verzeichnis aufgenommen werden. Diese Zustimmung (also die Einwilligung) bezieht sich auf den Zweck der Veröffentlichung der personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis und nicht auf einen bestimmten Anbieter eines Verzeichnisses (Rz. 61).

Der EuGH stellt danach fest (Rz. 65), dass sich die Zustimmung eines ordnungsgemäß unterrichteten Teilnehmers zur Veröffentlichung seiner personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis gemäß Art. 12 Abs. 2 der Datenschutzrichtlinie für elektronische Kommunikation auf den Zweck dieser Veröffentlichung bezieht

und erstreckt sich daher auf jede spätere Verarbeitung dieser Daten durch dritte Unternehmen, die auf dem Markt öffentlich zugänglicher Telefonauskunftsdienste und Teilnehmerverzeichnisse tätig sind, sofern diese Verarbeitung denselben Zweck verfolgt.

Die inhaltlichen Anforderungen an die Einwilligung sind hier also noch geringer angesetzt, als es bei WhatsApp und Facebook der Fall war. Im Fall der EuGH mussten in der Einwilligung z.B. nicht einmal konkrete dritte Unternehmen benannte werden. Zudem wird auch deutlich, dass die einmal gegenüber einem Unternehmen erteilte Einwilligung auch spätere Datenverarbeitungen durch unbekannte Dritte legitimiert, solange die Zwecke bekannt waren und eingehalten werden.

Drittens

Die Art. 29 Datenschutzgruppe hat sich auch schon zu der Frage geäußert, welcher Stelle konkret gegenüber eine Einwilligung abzugeben ist. Stets dem Verantwortlichen? Nein.

In der Arbeitsunterlage WP 12 (pdf) gehen die Datenschützer für Datenübermittlungen in Drittstaaten auf der Grundlage einer Einwilligung klar davon aus (S. 38), dass eine Einwilligung entweder direkt durch übermittelnde Stelle selbst oder „in ihrem Auftrag“ durch eine andere Stelle eingeholt werden kann.

Übertragen auf den hiesigen Fall, könnte WhatsApp also natürlich für Facebook die Einwilligung der Betroffenen einholen.

Auch in einem weiteren Bespiel (S. 40) gehen die Datenschützer ausdrücklich davon aus, dass Einwilligung nicht durch die verantwortliche Stelle selbst eingeholt werden müssen.

Man wird nun abwarten müssen, wie das Verwaltungsgericht Hamburg entscheidet. Vorgelagert zu der obigen Thematik muss sich das Gericht mit der Frage befassen, ob überhaupt deutsches Datenschutzrecht anwendbar ist.

Important ruling by the European Court of Justice: More data usage possibilities for website and app operators in Germany

Posted on by

The European Court of Justice (ECJ) has, in its judgment in Case C-582/14, ruled that the data protection provisions of the German Telemedia Act (TMG, pdf) are incompatible with European data protection law (in particular Art. 7 (f) of the Data Protection Directive). As a result, the relatively strict requirements for the processing of personal data in the provisions for telemedia services (e.g. an app or a website operator) pursuant to §§ 14 and 15 TMG must be interpreted and extended in the light of this judgment.

As a result, service providers are able to process personal data of a user not only to if it is needed for the establishment, content or amendment of a contractual relationship between the service provider and the user (§ 14 para 1 TMG) or to the extent necessary to enable and invoice the use of a telemedia service (§ 15 para. 1 TMG).

In his Opinion of 12 May 2016, the Advocate General had already held that § 15 of the TMG was not compatible with the European requirements laid down in Art. 7 (f) of the Data Protection Directive. § 15 TMG does not add additional requirements for the legality of a data processing to those provided for in Art. 7 (f). But it limits the material scope of the condition referred to in Art. 7 (f) thereof.

According to that provision, processing of personal data is allowed if it is necessary for the purposes of the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, except where such interests are overridden by the interests for fundamental rights and freedoms of the data subject

The problem with § 15 para 1 TMG (examined by the court) as well as with § 14 TMG is that these provisions allow processing of personal data only for specific and determined purposes and leave no room for the weighing of interests. However, due to the strictly limited processing possibilities within the framework of the TMG, the German legislator excludes the possibility for data controllers to process personal data in accordance with the European requirement of Article 7 (f). Or, in the words of the Advocate-General in his Opinion: „Paragraph 15 of the TMG would substantially reduce, with regard to Article 7(f) of Directive 95/46, the scope of the relevant legitimate interest justifying the processing of data and not merely define or qualify it“.

According to the ECJ ruling, a national provision which does not allow the legitimate interests of the data-processing body to be taken into account is not compatible with the requirements of the European Data Protection Directive. Neither § 14 nor § 15 TMG allow a weighing of interests according to the European standards. For this reason, in my opinion, the judgment, even though it assessed „only“ § 15 para 1 TMG, must also be taken into account within the framework of the remaining paragraphs of § 15 TMG and also § 14 TMG, which anticipate and restrict the weighing of interests.

In practice, this means that Website and app operators are allowed to process personal data from their users even if this processing serves the realization of a legitimate interest, and does not override any legitimate interests or fundamental rights of users.

The European Court of Justice also explicitly stated in its judgment that such a legitimate interest is the maintenance of the functionality of websites and thus allows the storage of IP addresses for this purpose, even beyond the respective concrete usage process by the visitor. It is important to note that the court did not have to deal with further examples of „legitimate interests“, because this certain case only concerned the maintenance and functionality of a website.

One last point: the “processing of personal data for direct marketing purposes“ may be regarded as carried out for a legitimate interest, as expressly stated in recital 47 of the General Data Protection Regulation.

Wichtiges Urteil des Europäischen Gerichtshofs: Mehr Datennutzungsmöglichkeiten für Webseiten- und App-Betreiber

Posted on by

Der Europäische Gerichtshof (EuGH) hat mit seinem heutigen Urteil in der Rechtssache C-582/14 die datenschutzrechtlichen Vorschriften des deutschen Telemediengesetzes (TMG) dem Grunde nach für mit den europarechtlichen Vorgaben (insbesondere Art. 7 lit. f) der Datenschutzrichtlinie) unvereinbar erklärt. Die Folge ist, dass die relativ strikten Voraussetzungen für eine Verarbeitung personenbezogener Daten bei der Bereitstellung eines Telemediendienstes (also etwa einer App oder einer Webseite) nach den §§ 14 und 15 TMG im Lichte dieses Urteils interpretiert und erweitert werden müssen.

Im Ergebnis bedeutet dies, dass Diensteanbieter personenbezogene Daten eines Nutzers nun nicht mehr nur dann verarbeiten dürfen, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses erforderlich sind (§ 14 Abs. 1 TMG) oder nur erheben und verwenden dürfen, soweit dies erforderlich ist, um die Inanspruchnahme der App oder Webseite zu ermöglichen (§ 15 Abs. 1 TMG).

Bereits der Generalanwalt hatte in seinen Schlussanträgen vom 12. Mai 2016 die Auffassung vertreten, dass § 15 TMG nicht mit den europäischen Vorgaben des Art. 7 lit. f) Datenschutzrichtlinie vereinbar ist. § 15 TMG stelle zwar keine zusätzliche Bedingung für die Rechtmäßigkeit einer Datenverarbeitung auf. Er schränkt aber, die Bedingung des Art. 7 lit. f) Datenschutzrichtlinie ein.  Nach dieser Vorschrift ist eine Verarbeitung personenbezogener Daten auch dann zulässig, wenn die Verarbeitung

zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden,

erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Das Problem der Regelungen sowohl in dem durch das Gericht begutachteten § 15 Abs. 1 TMG als auch etwa in § 14 TMG ist, dass diese Vorschriften eine Verarbeitung personenbezogener Daten nur zu konkret bestimmten und durch den Gesetzgeber festgelegten Zwecken ermöglichen. Durch die so vorgeschriebenen eng begrenzten Verarbeitungsmöglichkeiten im Rahmen des TMG schneidet der deutsche Gesetzgeber jedoch die Möglichkeit für verantwortliche Stellen ab, personenbezogenen Daten entsprechend der europarechtlichen Vorgabe des Art. 7 lit. f) Datenschutzrichtlinie auf der Grundlage einer Interessenabwägung zu verarbeiten. Man könnte es auch mit den Worten des Generalanwalts in seinen Schlussanträgen sagen: „§ 15 TMG verkleinert im Vergleich zu Art. 7 Buchst. f der Richtlinie 95/46 den Umfang des berechtigten Interesses, das die Verarbeitung von Daten rechtfertigen kann, erheblich“.

Nach dem Urteil des EuGH ist eine nationale Vorschrift, die die Berücksichtigung berechtigter Interessen der Daten verarbeitenden Stelle nicht zulässt, jedoch mit den Vorgaben der europäischen Datenschutzrichtlinie nicht vereinbar.

Nach dem EuGH (Rz. 62) hindert Art. 7 lit. f) Datenschutzrichtlinie einen Mitgliedstaat daran,

kategorisch und ganz allgemein die Verarbeitung bestimmter Kategorien personenbezogener Daten auszuschließen, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen.

In keinem der §§ 14, 15 TMG gestattet der deutsche Gesetzgeber jedoch eine Interessenabwägung entsprechend den europarechtlichen Vorgaben. Aus diesem Grund ist meines Erachtens das Urteil, obwohl es „nur“ mit Blick auf Paragraf 15 Abs. 1 TMG ergangen ist, auch im Rahmen der übrigen Absätze des § 15 TMG und auch des § 14 TMG zu berücksichtigen, soweit es sich dort um Vorschriften handelt, die die europarechtlich vorgegebene Interessenabwägung vorwegnehmen und einschränken.

In der Praxis bedeutet dies für Webseiten- und App-Betreiber, dass sie personenbezogene Daten von ihren Nutzern auch dann verarbeiten dürfen, wenn diese Verarbeitung der Verwirklichung eines berechtigten Interesses dient, und keine schutzwürdigen Interessen oder Grundrechte der Nutzer überwiegen („überwiegen“, nicht: „entgegenstehen“). Eine solche Regelung findet sich derzeit etwa in § 28 Abs. 1 S. 1 Nr. 2 BDSG. In Zukunft ist man meiner Meinung nach im Anwendungsbereich des TMG also nicht mehr darauf beschränkt, personenbezogene Daten etwa nur dann zu verarbeiten, soweit dies für die Inanspruchnahme des jeweiligen Dienstes erforderlich ist. Im Ergebnis werden daher die Datennutzungsmöglichkeiten für Webseiten- und App-Betreiber im Vergleich zur jetzigen Rechtslage erweitert. Man mag den Begriff des „berechtigten Interesses“ durchaus als schwammig oder zu unbestimmt verstehen. Jedoch bietet er andererseits gerade für die Praxis die erforderliche Flexibilität, um auch neue Arten von Verarbeitungstätigkeiten zu erfassen. Zudem muss man schlicht konstatieren, dass eine Verarbeitung auf der Grundlage berechtigter Interessen europarechtlich vorgegeben und zulässig ist.

Zuletzt stellte EuGH in seinem Urteil auch ausdrücklich klar, dass ein solches berechtigtes Interesse die Aufrechterhaltung der Funktionsfähigkeit von Webseiten ist und damit eine Speicherung von IP-Adressen zu diesem Zwecke, auch über den jeweiligen konkreten Nutzungsvorgang hinaus, gestattet. Hinzuweisen ist darauf, dass der EuGH sich hier nicht mit weiteren Beispielen für „berechtigte Interessen“ befassen musste, dass in der Vorlagefrage tatsächlich allein um die Aufrechterhaltung der Funktionsfähigkeit einer Webseite ging.

Noch ein letzter Hinweis: berechtigte Interessen sind übrigens anerkanntermaßen auch „Zwecke der Direktwerbung“, wie es nun ausdrücklich in Erwägungsgrund 47 der bereits in Kraft getretenen aber noch nicht anwendbaren Datenschutz-Grundverordnung steht.

Europäische Kommission: Geltende Angemessenheitsbeschlüsse und Standardvertragsklauseln sind rechtswidrig

Posted on by

Ende September hatte ich hier im Blog berichtet, dass die Europäische Kommission derzeit an Entwürfen für zwei Beschlüsse zur Anpassung der den derzeit geltenden EU-Standardvertragsklauseln zugrunde liegenden Entscheidungen und Angemessenheitsbeschlüsse hinsichtlich des Schutzniveaus in bestimmten Drittstaaten. In dem sogenannten Art. 31 Ausschuss (der sich aus Vertretern der Mitgliedstaaten zusammensetzt und zuletzt etwa über den Beschluss zum EU-US Datenschutzschild abgestimmt hat) hat man am 3. Oktober 2016 über diese Entwürfe beraten.

Eine Zusammenfassung der Sitzung wurde nun veröffentlicht (txt).

Aus dieser Zusammenfassung geht hervor, dass, wie von mir bereits im damaligen Blogbeitrag vermutet, die Entwürfe der Kommission sich insbesondere auf die Anpassung der existierenden Beschlüsse hinsichtlich der Befugnisse der Datenschutzaufsichtsbehörden beziehen. Jegliche Beschränkung der Befugnisse der Aufsichtsbehörden soll durch die beiden neuen Entwürfe gestrichen werden. Eine solche Beschränkung hatte nämlich der europäische Gerichtshof in seinem Urteil zu Safe Harbor für unzulässig erklärt.

Von besonderer Brisanz dürfte jedoch die Feststellung der Kommission in der Sitzung vom 3. Oktober sein, dass ihrer Auffassung nach die derzeit existierenden Beschlüsse, sowohl hinsichtlich der Angemessenheitsentscheidungen für Drittländer als auch hinsichtlich der EU-Standardvertragsklauseln, rechtswidrig sind.

It explained that the purpose of both draft decisions is to cure the illegality that follows from the findings in the Court of Justice’s Schrems ruling.

Diese Schlussfolgerung dürfte nun für viele Beobachter nicht unbedingt überraschend kommen. Dass sie jedoch tatsächlich so öffentlich in einem Protokoll zur Sitzung als Aussage der Kommission festgehalten wird, finde ich zumindest interessant. Zudem geht aus dem Protokoll zur Sitzung hervor, dass einige der anwesenden Mitgliedstaaten die beiden Entwürfe für neue Beschlüsse positiv bewerteten. Jedoch seien andere Mitgliedstaaten aktuell nicht in der Lage gewesen, eine Entscheidung hinsichtlich der vorgelegten Beschlussentwürfe zu treffen und baten um eine Vertagung. Nun soll die Art. 29 Datenschutzgruppe (die Vertreter der europäischen Datenschutzbehörden) um eine Stellungnahme zu den Entwürfen gebeten werden.

Internationale Datentransfers: Europäische Kommission bereitet Anpassung aller geltenden Beschlüsse vor

Posted on by

Die Europäische Kommission befindet sich derzeit im Prozess der Anpassung von allen existierenden Beschlüssen zur Zulässigkeit der Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraumes (sogenannte Drittstaaten). Dies geht aus der Tagesordnung (txt) des Ausschusses nach Artikel 31 der Datenschutzrichtlinie 95/46/EG für die Sitzung am 3. Oktober 2016 hervor.

Demnach plant die Europäische Kommission sowohl einen offiziellen Beschluss zur Anpassung der Entscheidung 2001/497/EG für Standardvertragsklauseln zur Übermittlung personenbezogener Daten an verantwortliche Stellen in Drittstaaten sowie einen Beschluss zur Anpassung der Entscheidung 2010/87/EG für Standardvertragsklauseln zu Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittstaaten.

Daneben sollen alle existierenden Angemessenheitsbeschlüsse für das Datenschutzniveau in bestimmten Drittstaaten angepasst werden. Eine Übersicht dieser Angemessenheitsbeschlüsse findet sich hier.

Die nun vorgesehenen Anpassungen durch die Europäische Kommission wurden aufgrund des Urteils des Europäischen Gerichtshofs zur Aufhebung der Safe Harbor-Entscheidung (C-362/14, Schrems) erforderlich. Welche Änderungen konkret vorgesehen sind, lässt sich jedoch leider der nun veröffentlichten Tagesordnung nicht entnehmen. Die beiden vorgeschlagenen Beschlüsse der Europäischen Kommission sind nicht veröffentlicht. Es dürfte jedoch, betrachtet man das Urteil des Europäischen Gerichtshofs, insbesondere um die Befugnisse der nationalen Aufsichtsbehörden gehen, die durch Beschlüsse der Europäischen Kommission nicht beschränkt werden dürfen. Die Beschlüsse zu Standardvertragsklauseln und Angemessenheitsentscheidungen, die nun abgeändert werden sollen, enthalten jedoch jeweils noch gewisse Voraussetzungen dazu, wann eine nationale Aufsichtsbehörde eine Datenübermittlung in einen Drittstaat überhaupt erst untersagen darf.

In dem Ausschuss nach Artikel 31 finden sich die Vertreter der Europäischen Mitgliedstaaten zusammen. Diese müssen nun eine Stellungnahme zu den im Entwurf vorgelegten Beschlüssen der europäischen Kommission fassen.

Die Zukunft der derzeit existierenden Standardvertragsklauseln könnte zudem von dem Ausgang eines Verfahrens in Irland abhängen. Hierzu hat die irische Datenschutzaufsichtsbehörde Hintergrundinformationen veröffentlicht (hierzu mein Blogbeitrag).

Zukunft der EU-Standardvertragsklauseln: Irische Datenschutzbehörde veröffentlicht Informationen zum aktuellen Verfahren

Posted on by

Die irische Datenschutzbehörde hat auf ihrer Webseite Hintergrundinformationen zu einem derzeit vor dem irischen High Court anhängigen Verfahren zur Frage der Gültigkeit der EU-Standardvertragsklauseln (genauer: den zugrundeliegenden Beschlüssen der Europäischen Kommission) veröffentlicht. Hiermit möchte die Behörde über die Hintergründe des Verfahrens, an dem Maximilian Schrems und Facebook beteiligt sind, und den aktuellen Stand informieren. EU-Standardvertragsklauseln sind ein Instrument, um personenbezogene Daten in Staaten außerhalb des EWR zu übermitteln zu dürfen, die, aus Sicht des europäischen Rechts, nicht über ein angemessenes Schutzniveau für personenbezogene Daten verfügen. Die von der Kommission entwickelten Klauseln stellen ihrer Auffassung nach „ausreichende Garantien“ (Art. 26 Abs. 2 Datenschutzrichtlinie 95/46/EG) für den Schutz der Privatsphäre und der Grundrechte der betroffenen Personen dar. Anders als etwa eine Angemessenheitsentscheidung der Kommission, wie jüngst zum EU US Datenschutzschild, entfalten die Klauseln jedoch ihre Wirkung nur im Verhältnis der Parteien, die diese nutzen.

Die Aufsichtsbehörde weist darauf hin, dass Facebook und auch andere international tätige Unternehmen diese Klauseln nutzen, um personenbezogene Daten aus der EU in die USA zu übermitteln. Nach Auffassung der Behörde genügen die von der Kommission entwickelten Standardvertragsklauseln aber in drei Punkten nicht den Anforderungen europäischen Rechts.

Zum einen stünden europäischen Bürgern in den USA keine vergleichbar wirksamen Rechtsbehelfe zur Verfügung, wie sie Art. 47 der Charta der Grundrechte der Europäischen Union fordert, wenn die Daten in den USA durch staatliche Behörden für Zwecke der nationalen Sicherheit verwendet werden.

Zum anderen behandeln die Standardvertragsklauseln die Frage des wirksamen Rechtsbehelfs nicht entsprechend den Vorgaben des Europäischen Gerichtshofs, die er in seinem Urteil zur Safe Harbor-Entscheidung der Kommission (C-362/14, Schrems) aufstellte.

Zuletzt, so die Behörde, ergebe sich daraus, dass die Standardvertragsklauseln (bzw. die diesen zugrundeliegenden Beschlüssen der Kommission) selbst gegen Art. 47 der Charta verstoßen.

Entsprechend den Vorgaben des Europäischen Gerichtshofs in seinem Urteil zu Safe Harbor, habe die Aufsichtsbehörde daher die Gültigkeit der Standardvertragsklauseln vor einem irischen Gericht in Zweifel gezogen. Das Gericht könnte nun die Frage der Gültigkeit der Klauseln dem Europäischen Gerichtshof vorlegen. Wann dies genau geschieht, ist noch unklar. Derzeit befinde man sich in einer Phase des Austauschs von Meinungen und rechtlichen Ansichten zu dem Fall, der bis zum 20. Januar 2017 abgeschlossen sein soll.

Die Aufsichtsbehörde wird fortlaufend über dieses Verfahren berichten.

Generalanwalt zur Vorratsdatenspeicherung: Ja, aber…

Posted on by

Heute hat der Generalanwalt am europäischen Gerichtshof (EuGH), Saugmandsgaard Øe, seine Schlussanträge in den verbundenen Rechtssachen C-203/15 und C-698/15 vorgelegt. Es geht um die, gerade auch aus deutscher Sicht, wichtige Frage, inwiefern nationale Regelungen, die eine Speicherung von Kommunikationsdaten auf Vorrat vorsehen, mit europäischem Recht vereinbar sind.

Die Schlussanträge des Generalanwalts sind sehr ausführlich. Ich möchte daher nachfolgend nur einige Schlaglichter auf aus meiner Sicht besonders interessante Aspekte werfen.

Deutsche Regierung: Pflicht zur Vorratsdatenspeicherung nach EU-Recht zu beurteilen

Im Rahmen des Gesetzgebungsverfahrens zur Anpassung des Telekommunikationsgesetzes (TKG) in Deutschland und zur Einführung der Vorratsdatenspeicherung wurde teilweise vertreten, dass die neuen nationalen Regelungen sich nicht an europäische Standards messen lassen müssten, damit den neuen Regelungen im TKG kein europäisches Recht durchgeführt wird. Die deutsche Regierung hat bereits im Gesetzgebungsentwurf darauf hingewiesen, dass ihre Ansicht nach sehr wohl europäische Vorgaben zu beachten sind. Diese Ansicht bekräftigt die Bundesregierung noch einmal in dem Verfahren vor dem EuGH (Rz. 91). Die generelle Verpflichtung zur Vorratsspeicherung stellt eine Durchführung des Art. 15 Abs. 1 der Richtlinie 2002/58 dar. Auch die neuen Regelungen im TKG müssen also die Vorgaben europäischen Rechts beachten und aus diesem Grunde ist auch der Ausgang des hier vorliegenden Verfahrens für die Vorratsdatenspeicherung in Deutschland von besonderem Interesse.

Trennung zwischen Speicherung und Zugang

Der Generalanwalt trennt in seinen Schlussanträgen grundsätzlich zwischen der Verpflichtung und technischen Phase der Speicherung von Verkehrsdaten einerseits und dem späteren Zugang und technischen Zugriff auf diese gesammelten Verkehrsdaten durch nationale Behörden andererseits. Die Pflicht zur Speicherung fällt nicht unter die Ausnahmeregelung des Art. 1 Abs. 3 der Richtlinie 2002/58 (für Tätigkeiten im Rahmen der öffentlichen Sicherheit, der Landesverteidigung, der Sicherheit des Staates und der Tätigkeit des Staates im strafrechtlichen Bereich). Denn die Pflicht zur Speicherung trifft private Wirtschaftsteilnehmer im Rahmen ihrer privaten Tätigkeit (Rz. 94). Die in Art. 15 Abs. 1 der Richtlinie 2002/58 erlaube gerade die Einführung einer generellen Verpflichtung zur Vorratsdatenspeicherung. Die Inanspruchnahme dieser Befugnis durch den nationalen Gesetzgeber ist jedoch von der Einhaltung strenger Voraussetzungen abhängig (Rz. 116).

Der Generalanwalt stellt auch klar, dass seiner Ansicht nach die nationalen Bestimmungen die den Zugang zu den auf Vorrat gespeicherten Daten regeln nicht in den Anwendungsbereich der europäischen Charta der Grundrechte fallen (Rz. 123). Jedoch könne man seiner Ansicht nach die Problematik der Vorratsspeicherung und diejenige des nachgelagerten Zugangs nicht vollständig voneinander getrennt beobachten. Denn die konkrete Ausgestaltung des Zugangs ist von entscheidender Bedeutung für die Beurteilung der Frage, ob die Bestimmungen zur Einführung der Vorratsdatenspeicherung (also die vorgelagerte 1. Stufe) mit der Charta der Grundrechte der Europäischen Union und den Vorgaben der Richtlinie 2002/58 vereinbar sind (Rz. 125).

Zweifacher Eingriff: 6 kumulative Voraussetzungen zu erfüllen

Nach Auffassung des Generalanwalts stellt die generelle Verpflichtung zur Vorratsdatenspeicherung sowohl ein Eingriff in die in der Richtlinie 2002/58 verankerten Rechte als auch in die in den Art. 7 und 8 der Charta der Grundrechte verankerten Grundrechte dar (Rz. 127). Für eine Rechtfertigung dieser Eingriffe müssen sowohl die Vorgaben von Art. 15 Abs. 1 der Richtlinie 2002/58 und von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union, ausgelegt im Lichte des Urteils des EuGH in Sachen Digital Rights Ireland, erfüllt sein. Nach Auffassung des Generalanwalts müssen folgende Voraussetzungen kumulativ erfüllt werden:

  • Die Vorratsspeicherungspflicht muss eine gesetzliche Grundlage haben;
  • sie muss den Wesensgehalt der in der Charta verankerten Rechte wahren;
  • sie muss einer dem Gemeinwohl dienenden Zielsetzung entsprechen;
  • sie muss zur Verfolgung dieses Ziels geeignet sein;
  • sie muss für die Verfolgung des genannten Ziels erforderlich sein, und
  • sie muss in einer demokratischen Gesellschaft in angemessenem Verhältnis zur Verfolgung dieses Ziels stehen.

Einfache Kriminalität rechtfertigt keine generelle Verpflichtung zur Vorratsdatenspeicherung

teilweise wurde in dem Verfahren vorgebracht, dass jede Zielsetzung, die in Art. 15 Abs. 3 der Richtlinie 2002/58 oder auch in Art. 13 Abs. 1 der geltenden Datenschutzrichtlinie (95/46/EG) genannt sei eine generelle Verpflichtung zur Vorratsdatenspeicherung rechtfertigen könne auch bei Straftaten im Rahmen „einfacher“ Kriminalität oder im Kontext nicht strafrechtlicher Verfahren wäre die generelle Verpflichtung zur Vorratsdatenspeicherung gerechtfertigt (Rz. 169). Diese Auffassung teilt der Generalanwalt nicht. Seiner Ansicht nach schließt es das Erfordernis der Verhältnismäßigkeit in einer demokratischen Gesellschaft aus, dass die Bekämpfung einfacher Kriminalität eine Rechtfertigung für eine generelle Verpflichtung zur Vorratsdatenspeicherung sein kann. Die erheblichen Gefahren, die von dieser Verpflichtung ausgingen, stünden nämlich außer Verhältnis zu den Vorteilen, die sie bei der Bekämpfung leichter Kriminalität verschaffen würden (Rz. 172).

Erforderlichkeit: Einschränkung des Rechts aus Schutz personenbezogener Daten aus das „absolut Notwendige“

Im Rahmen der Prüfung der Erforderlichkeit der generellen Verpflichtung zur Vorratsdatenspeicherung macht der Generalanwalt unter anderem auch allgemeingültige Ausführung dazu, wann seiner Ansicht nach die Voraussetzungen der absoluten Notwendigkeit erfüllt sind. Das Merkmal der absoluten Notwendigkeit wird von dem EuGH gerade im Bereich des Datenschutzrechts und des Eingriffs in das entsprechende Grundrecht sehr oft ausgelegt und geprüft. Zuletzt etwa auch in seinem Schrems-Urteil zu Safe Harbor bei der Frage, welches Schutzniveau für personenbezogene Daten in der europäischen Union hinsichtlich der Verarbeitung dieser Daten durch staatliche Behörden existiert.

Nach Auffassung des Generalanwalts geht eine Verpflichtung zur Vorratsdatenspeicherung nicht über das absolut wendige hinaus, sofern mit dieser Speicherung bestimmte Garantien einhergehen die den Zugang zu den Daten, die Dauer der Vorratsspeicherung und den Schutz und die Sicherheit der Daten betreffen (Rz. 193). Diese Differenzierung ist meines Erachtens zum Verständnis der Schlussanträge sehr wichtig. Der Generalanwalt leitet in der Folge seine Auffassung aus früheren Urteilen des EuGH ab, dass dieser nicht entschieden habe, dass eine mangelnde Differenzierung bei der Erhebung und Speicherung personenbezogener Daten bedeuten würde, dass die Verpflichtung zu dieser Speicherung als solche über das absolut notwendige hinausgehen (Rz. 199). Sie geht jedoch dann über das absolut wendige hinaus, wenn, quasi als Auffanglager Schale einer fehlenden Differenzierung bei der Erhebung und Speicherung, keine geeigneten Garantien hinsichtlich der Datensicherheit und des Zugriffs auf die Daten vorhanden sind.

Diesbezüglich verweist der Generalanwalt auch auf das Urteil des EuGH in Sachen Schrems, wo das Gericht in Rz. 93 diese Zweigliedrigkeit bei der Auslegung des Begriffs des „absolut Notwendigen“ noch einmal klar formulierte. Der Generalanwalt folgert, dass eine Verpflichtung zur Vorratsspeicherung über das absolut notwendige stets dann hinausgeht, wenn mit ihr keine Garantien hinsichtlich des Datenzugangs, der Dauer der Vorratsspeicherung sowie des Schutzes und der Sicherheit der Daten einhergehen (Rz. 205).

Interessant sind die diesbezüglichen Verstellung des Generalanwalts insbesondere hinsichtlich der Frage, inwieweit die neue Angemessenheitsentscheidung der Europäischen Kommission zum Privacy Shield ein angemessenes Schutzniveau hinsichtlich personenbezogener Daten, die in die USA übertragen werden, gewährleistet. Vor der offiziellen Verabschiedung des Privacy Shield wurde ja gerade auch über die Thematik der generellen Erhebung und Speicherung von personenbezogenen Daten durch US-Behörden einerseits und den Vorgaben der US-Behörden hinsichtlich des Zugangs und der Nutzung dieser Daten andererseits diskutiert. Man könnte sich also meines Erachtens durchaus die Frage stellen, inwieweit die durch die US-Regierung zugesicherten Garantien den Anforderungen jener Garantien genügen, die der Generalanwalt in diesem Verfahren formuliert.

Datenschutz-Grundverordnung: Deutsche Datenschutzbehörden fordern mehr Personal und finanzielle Mittel

Posted on by

Am 24. Mai 2016 ist die Datenschutz-Grundverordnung in Kraft getreten. Ab dem 25. Mai 2018 wird sie in allen europäischen Mitgliedstaaten unmittelbar anwendbar sein. Nicht nur Unternehmen oder Behörden haben also nun zwei Jahre Zeit, ihre Datenverarbeitungsprozesse den zukünftigen Vorgaben anzupassen. Auch die jeweiligen nationalen Gesetzgeber müssen die geltenden datenschutzrechtlichen Bestimmungen in ihrem Mitgliedstaat auf Konformität mit den zukünftigen Regelungen prüfen.

Die Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder fordert vor diesem Hintergrund in einer Entschließung vom 25. Mai 2016 den deutschen Landes und Bundesgesetzgeber auf, den Datenschutzaufsichtsbehörden mehr Personal und auch finanzielle Mittel zur Verfügung zu stellen, damit die Behörden die ihnen zugedachten Aufgaben wirksam erfüllen können.

Die deutschen Aufsichtsbehörden weisen in ihrer Entschließung darauf hin, dass die Datenschutz-Grundverordnung die Mitgliedstaaten verpflichtet, die Aufsichtsbehörden zur Gewährleistung ihrer Unabhängigkeit mit den erforderlichen personellen, finanziellen und technischen Ressourcen auszustatten (Art. 52 Abs. 4 DSGVO). Aus Sicht der deutschen Behörden ist es

für die Bewältigung der neuen Aufgaben zwingend erforderlich, für die Datenschutzbehörden in Deutschland erweiterte personelle und finanzielle Ressourcen vorzusehen. Dies gilt bereits für die jetzt laufende Vorbereitungsphase, in der die Weichen für eine funktionierende Umsetzung der Datenschutz-Grundverordnung gestellt werden.

Dieser Forderung der deutschen Aufsichtsbehörden wird man sich, wenn man bereits die aktuelle Situation betrachtet, durchaus anschließen können. Interessant würde es natürlich werden, wenn die deutschen Aufsichtsbehörden nicht mit den erforderlichen Mitteln und dem nötigen Personal ausgestattet werden und bei Anwendbarkeit der Datenschutz-Grundverordnung dann eventuell ein Mitgliedstaat durch die Europäische Kommission im Wege einer Vertragsverletzungsklage nach Art. 258 AEUV verklagt wird. Derartige Klagen gab es ja bereits unter der geltenden Datenschutzrichtlinie (z.B. in der Rechtssache C?614/10).

Ein weiterer interessanter Aspekt der Entschließung ist, dass sich die bayerischen Behörden bei der Abstimmung zur Annahme dieser Entschließung enthalten haben. Sowohl der Bayerische Landesbeauftragte für den Datenschutz als auch das Bayerische Landesamt für Datenschutzaufsicht scheinen also die Positionen der übrigen Aufsichtsbehörden zumindest nicht in Gänze zu teilen. Man darf gespannt sein, inwieweit der Gesetzgeber auf Landes- und Bundesebene der Forderung der Aufsichtsbehörden nachkommt.