OLG Frankfurt: Einsatz von Cookies für Werbezwecke erfordert kein Opt-in

Das OLG Frankfurt am Main hat mit Urteil vom 17.12.2015 (Az.: 6 U 30/15) über die Wirksamkeit der im Rahmen eines Gewinnspiels im Internet eingeholten Einwilligung in die Datenverarbeitung für Werbezwecke mittels Cookies entschieden. (Hinweis: JBB Rechtsanwälte waren an dem Rechtsstreit als Verfahrensbevollmächtigte beteiligt).

Das Urteil ist insbesondere deshalb interessant, weil es sich unter anderem mit der Frage auseinandersetzt, ob die sogenannte ePrivacy- oder Cookie-Richtlinie (RL 2002/58/EG in der Fassung der RL 2009/136/EG, PDF) und deren Vorgaben zur Einwilligung beim Einsatz von Cookies in Deutschland unmittelbar anwendbar sind. Diese Frage ist seit Jahren umstritten.

Ausgangslage

Im ursprünglichen Verfahren hat ein Verbraucherschutzverband gegen den Veranstalter eines Gewinnspiels im Internet geklagt. Angegriffen wurde hierbei unter anderem eine Einwilligungserklärung, in der sich Teilnehmer des Gewinnspiels damit einverstanden erklärten, dass nach ihrer Registrierung ein Cookie gesetzt wird, über das eine Auswertung des Surf- und Nutzungsverhaltens auf Webseiten von Werbepartnern und eine Verwendung für interessengerechte Werbung ermöglicht werden.

In der Einwilligungserklärung, die mittels eines bereits angekreuzten Kästchens (opt-out) eingeholt wurde, fand sich zudem ein Link auf weitere Informationen zum Einsatz des  Cookies und der damit zusammenhängenden Datenverarbeitung.

Urteil

Der vom Verbraucherschutzverband geltend gemachte Unterlassungsanspruch (§ 1 UKlaG) gegen die Einwilligungserklärung wurde vom OLG zurückgewiesen.

Die Einwilligungserklärungen qualifizierte das Gericht als eine Allgemeine Geschäftsbedingung und war damit nach Auffassung des Senats auch einer Inhaltskontrolle (§ 307 BGB) zugänglich. Jedoch verstößt die Einwilligungserklärung gegen keine der insoweit maßgeblichen gesetzlichen Vorgaben der §§ 4a, 28 Abs. 3a BDSG sowie §§ 13 Abs. 2, 15 Abs. 3 TMG).

Dies gilt, so das OLG, auch dann, wenn man diese Vorschriften nach Ablauf der Umsetzungsfrist der Neuregelung des Artikel 5 Abs. 3 ePrivacy-Richtlinie richtlinienkonform auslegen möchte.

Opt-out ausreichend

Das Gericht stellt fest, dass den genannten datenschutzrechtlichen Vorschriften das Erfordernis einer ausdrücklich erteilten Einwilligung (opt-in) nicht zu entnehmen ist. Vielmehr kann die Einwilligung auch dadurch erklärt werden, dass der Nutzer einen bereits gesetzten Haken in einem Kästchen nicht entfernt (opt-out). Das Gericht verweist hierzu auf das sogenannte Payback-Urteil des Bundesgerichtshofs.

Ohne Erfolg berief sich der Verbraucherschutzverband darauf, dass nach Ablauf der Umsetzungsfrist der ePrivacy-Richtlinie das nationale Recht richtlinienkonform dahingehend ausgelegt werden müsste, dass ein solches Opt-Out Verfahren nicht ausreiche. Art. 5 Abs. 3 ePrivacy-Richtlinie enthält nämlich keine Regelung, die ein Ort in Verfahren zwingend vorschreiben würde. Danach haben die Mitgliedstaaten sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Hierzu das Gericht:

Dort ist jeweils nur von der klaren und umfassenden bzw. verständlichen Information die Rede, die dem Nutzer vor Abgabe der Einwilligungserklärung gegeben werden muss. Dem steht ein „opt-out“-Verfahren nicht generell entgegen.

Zudem, lässt sich zusätzlich anführen, dass der Begriff der „Einwilligung“ in der ePrivacy-Richtlinie genau derselbe ist wie in der europäischen Datenschutzrichtlinie (RL 95/46/EG) (vgl. Art. 2 f) ePrivacy-Richtlinie).

Der Verbraucherschutzverband argumentierte zudem mit einer Stellungnahme der europäischen Art. 29 Datenschutzgruppe vom 8.12.2011. Dabei handelt es sich aber nach Auffassung des Gerichts

nur um eine unverbindliche Meinungsäußerung dieses Beratungsgremiums.

Dieser Meinungsäußerung folgt das OLG Frankfurt nicht. Zwar fordert die Art. 29 Datenschutzgruppe eine „bejahende Handlung“ des Nutzers, durch die das Setzen des Cookies und die danach erfolgende Datenverarbeitung akzeptiert werden müsse. Dies beziehe sich jedoch nicht auf die Frage, ob eine Einwilligungserklärung auch im Rahmen des Opt-Out-Verfahrens eingeholt werden kann.

Möglichkeit der Verweigerung

Zudem stellt das OLG fest, dass der durchschnittliche Internetnutzer heute weiß, dass er ein Häkchen in einem Kästchen durch Anklicken des Feldes entfernen und damit seine Einwilligung verweigern kann. Ein ausdrücklicher Hinweis auf diese Möglichkeit ist daher nicht erforderlich.

Hervorhebung der Einwilligungserklärung

Auch ist es nicht unzulässig, dass wesentliche Informationen zum Einsatz des Cookies unter Datenverarbeitung nicht schon in der Einwilligungserklärung selbst, sondern erst in der verlinkten Erläuterung erteilt werden. Zwar verlangt § 28 Abs. 3a S. 2 BDSG hier, dass die Einwilligung „in drucktechnisch deutlicher Gestaltung besonders hervorzuheben“ ist. Dies war jedoch der Fall. Denn die besondere Hervorhebung bezieht sich nur auf die Einwilligungserklärung selbst, und nicht auf die weiteren erläuternden Informationen, die durchaus (über einen deutlich gekennzeichneten Link) auf einer weiteren Informationsebene erteilt werden können.

Auch inhaltlich beanstandete das OLG Frankfurt die Einwilligungserklärung nicht. Insbesondere würden die Funktionen des Cookies richtig herausgestellt werden. Dabei müssen sich die Anforderungen an die erforderlichen Informationen für den Nutzer (wenn sie denn ihren Sinn erfüllen sollten) auch an der Fähigkeit und Bereitschaft des Nutzers orientieren, sich mit diesen Fragen überhaupt tatsächlich zu befassen.

Fazit

Die Frage, ob die ePrivacy-Richtlinie in Deutschland tatsächlich umgesetzt wurde oder nicht, stellt das OLG nicht. Selbst bei einer richtlinienkonform Auslegung der Richtlinie würde die Einholung einer Einwilligung für Werbezwecke im Rahmen eines Opt-Out-Verfahrens genügen. Die ausdrückliche Erteilung der Einwilligung (etwa durch aktives Ankreuzen eines Kästchens) ist also beim Einsatz von Cookies für Werbezwecke nicht erforderlich.

Die Datenschutz-Grundverordnung kommt. Und ich habe eine Frage.

Nachdem sich gestern in den Trilogverhandlungen zur Datenschutz-Grundverordnung (DS-GVO) die Verhandlungsparteien auf einen gemeinsamen Text geeinigt haben, der Anfang kommenden Jahres vom europäischen Parlament und dem Rat bestätigt werden muss, stellen sich in den nächsten Monaten sicherlich viele Fragen.

Für den Moment möchte ich jedoch eine einzige Frage stellen, die mir bisher niemand beantworten konnte: wann gilt in Zukunft welches nationale Datenschutzrecht in Europa?

Man mag sich denken, dass diese Frage völlig überflüssig ist, da es ja mit der DS-GVO ein in allen Mitgliedstaaten unmittelbar anwendbares Gesetz geben wird. Jedoch wissen wir mittlerweile auch, dass die DS-GVO an vielen (insbesondere auch aus Sicht der Praxis) relevanten Stellen Öffnungsklauseln vorsieht und es den Mitgliedstaaten erlaubt, nationale Regelungen für bestimmte Bereiche zu schaffen. Als Beispiel sei hier etwa die Festlegung einer Altersgrenze bei der Einwilligung von Minderjährigen (zwischen 13 und 16 Jahren) genannt oder auch die Frage der Bestellpflicht für Datenschutzbeauftragte in den Fällen, die in der Verordnung nicht aufgelistet sind.

Die DS-GVO beantwortet in ihrem Art. 3 verständlicherweise allein die Frage, wann sie selbst Anwendung findet. Jedoch findet sich keine Regelung dazu, wann neben der DS-GVO weiterhin bestehendes und von ihr ja sogar vorausgesetztes nationales Datenschutzrecht Anwendung findet.

Wird es in Zukunft also so sein, dass jeder Mitgliedstaat frei nach seinem Belieben entscheiden kann, wann sein nationales Datenschutzrecht und damit auch die benannten Spezifikationen auf der Grundlage der Öffnungsklauseln der DS-GVO gelten? Von welchen Kriterien soll dies abhängen? Reicht eine Niederlassung in dem Mitgliedstaat? Reicht es aus, dass Dienste in dem Mitgliedstaat angeboten werden, in deren Rahmen personenbezogene Daten verarbeitet werden?

Auf die derzeit bestehende Regelung in der Datenschutzrichtlinie 95/46 (Art. 4), die genau diese Frage regeln soll, könnte man sich in Zukunft nicht berufen, da diese Richtlinie ja in Gänze aufgehoben wird.

Ein „einheitliches Datenschutzrecht“ würde damit für viele wichtige Bereiche in weite Ferne rücken.

Europäische Kommission veröffentlicht ihre Analyse des Safe Harbor-Urteils

Heute hat die Europäische Kommission in einer Mitteilung (PDF) ihre Analyse des Safe Harbor-Urteils des europäischen Gerichtshofs veröffentlicht.

Neue Erkenntnisse oder Informationen zu den rechtlichen Möglichkeiten für Datentransfers in die USA finden sich in der Position kaum. Zumeist verweist die Kommission auf Stellungnahmen der Art. 29 Datenschutzgruppe. Einige Kernpunkte des Papiers möchte ich nachfolgend dennoch ansprechen:

Standardvertragsklauseln

Mit Blick auf den Einsatz von Standardvertragsklauseln (welche durch die Europäische Kommission auf der Grundlage von Art. 26 Abs. 4 der Datenschutzrichtlinie erlassen wurden und „ausreichende Garantien“ im Sinne von Art. 26 Abs. 2 der Datenschutzrichtlinie darstellen) stellt die Kommission fest, dass nationale Datenschutzbehörden dem Grunde nach verpflichtet sind, diese als rechtmäßige Möglichkeit eines Datentransfers in einen Drittstaat zu akzeptieren. Der Grund hierfür ist die rechtliche Verbindlichkeit von Kommissionsentscheidungen in den Mitgliedstaaten.

Weiterhin stellt die Kommission fest, dass Datenschutzbehörden Datentransfers auf der Grundlage von Standardvertragsklauseln nicht mit der Begründung untersagen dürfen, dass die Standardvertragsklauseln keine ausreichenden Garantien bieten würden. Denn genau dies hat die Europäische Kommission verbindlich festgestellt. Natürlich ist es den nationalen Datenschutzbehörden unbenommen, Datentransfers auf der Grundlage der Standardvertragsklauseln auf ihre Rechtmäßigkeit (gerade mit Blick auf die Entscheidung des Europäischen Gerichtshofs) zu prüfen. Sollten seitens der Datenschutzbehörde Zweifel bestehen, legt die Kommission in ihrer Mitteilung nahe, dass die nationalen Behörden einen solchen Sachverhalt vor ein nationales Gericht zu Prüfung bringen sollten, damit dieses wiederum die Frage der Rechtmäßigkeit des Datentransfers und damit implizit auch der zugrunde liegenden Standardvertragsklauseln zum Europäischen Gerichtshof vorlegen kann.

Daneben weist die Europäische Kommission darauf hin, dass verantwortliche Stellen in der EU natürlich zusätzliche (auch vertragliche) Garantien vorsehen können. Dies gerade in den Fällen, wenn sie Informationen dazu erhalten, dass das Rechtssystem im Drittstaat die datenimportieren Stelle an der Erfüllung ihrer vertraglichen Pflichten aus den Standardvertragsklauseln hindern könnte.

Ausnahmeregelungen

Zudem befasst sich die Mitteilung der Europäischen Kommission mit den gesetzlichen Ausnahmeregelungen (Art. 26 Abs. 1 der Datenschutzrichtlinie). Hier weist die Europäische Kommission darauf hin, dass die datenexportierende Stelle gerade nicht dazu verpflichtet ist, dafür Sorge zu tragen, dass die importierende Stelle ausreichende Garantien mit Blick auf den Schutz personenbezogener Daten bietet. Denn die Ausnahmeregelungen gelten ja gerade für den Fall, dass ausreichende Garantien nicht existieren.

Kompetenzen der nationalen Datenschutzbehörden

Auch wenn die Europäische Kommission mehrmals darauf hinweist, dass nationale Datenschutzbehörden in völliger Unabhängigkeit handeln können und auch müssen, so stellt sie in ihrer Mitteilung dennoch ausdrücklich fest, dass die Datenschutzbehörden Datentransfers auf der Grundlage einer Angemessenheitsentscheidung der Kommission oder einer Entscheidung über das Vorhandensein ausreichender Garantien (wie Standardvertragsklauseln), im Rahmen von Beschwerden nur auf ihre Rechtmäßigkeit hin nur überprüfen(!) dürfen. Jedoch, so die Kommission, dürfen die nationalen Datenschutzbehörden in einem solchen Fall keine verbindliche Entscheidung treffen, sondern die Mitgliedstaaten müssen in einem solchen Fall ein Klagerecht für Datenschutzbehörden vorsehen, damit das Verfahren vor ein nationales Gericht gebracht werden kann.

The DPAs remain competent to examine claims within the meaning of Article 28(4) of Directive 95/46/EC that the data transfer complies with the requirements laid down by the Directive (as interpreted by the Court of Justice), but cannot make a definitive finding. (S. 14)

Weitere Auswirkungen des Urteils

Zuletzt kündigt die Kommission an das sie vor dem Hintergrund des Urteils alle bestehenden Angemessenheitsbeschlüsse für Drittstaaten (unter anderem Argentinien, Kanada, Israel und Schweiz) überprüfen werde und insbesondere jene Klauseln in den Angemessenheitsentscheidung anpassen wird, die der europäische Gerichtshof im Rahmen des Safe Harbor-Urteils für ungültig erklärt hat. Hierbei bezieht sich die Kommission auf Vorschriften, die die Ausübung der Kompetenzen der nationalen Datenschutzbehörden unter bestimmte Voraussetzungen stellen.

Datenschutzreform: Österreichs Bundesrat fordert Augenmaß und Ausnahmen

Die Verhandlungen zur Datenschutz-Grundverordnung befinden in ihrer entscheidenden Phase, den Trilog-Verhandlungen zwischen Kommission, Parlament und Rat. Österreich war in den Ratsverhandlungen eine der kritischsten Stimmen und hat auch gegen den Kompromissvariante des Rates zur Datenschutz-Grundverordnung gestimmt. Der österreichische Bundesrat nimmt den Trilog zum Anlass genommen, um gewisse, aus seiner Sicht unter anderem für die österreichische Wirtschaft und das geltende österreichische Datenschutzrecht, wichtige Forderungen an die beteiligten Akteure zu richten.

Das Schreiben des EU-Ausschusses des österreichischen Bundesrates findet sich hier (PDF).

Gefordert bzw. angemerkt wird dort unter anderem:

Der Schutz von juristischen Personen, wie er derzeit im österreichischen Datenschutzrecht gilt, soll beibehalten werden.

Dieser Schutz stellt in Europa durchaus eine Besonderheit dar. Denn die geltende Datenschutz-Richtlinie bezieht sich dem Wortlaut nach auch nur auf „natürliche Personen“ und verweist explizit in Erwägungsgrund 24 darauf, dass sie nicht andere Rechtsvorschriften zum Schutz juristischer Personen berührt. In Deutschland etwa unterfallen juristische Personen nicht dem Schutzbereich des Bundesdatenschutzgesetzes.

 

Bisher rechtmäßig durchgeführte Datenverarbeitungen dürften nicht ihre Rechtsgrundlage verlieren.

Was also derzeit legitim ist, darf in Zukunft nicht als rechtswidrig angesehen werden. Eventuell auch dann, wenn bestehende Erlaubnistatbestände im Datenschutzrecht angepasst werden.

 

Die Einführung eines Datenschutzbeauftragten für jedes Unternehmen würde vor allem für KMU und EPU zu einer unüberwindlichen Hürde führen.

Hier erkennt man, wie unterschiedlich die Wünsche und Vorstellungen der Mitgliedstaaten sind. Deutschland spricht sich seit langem für Vorgaben in der Datenschutz-Grundverordnung für die Bestellung von Datenschutzbeauftragten aus. Andere Mitgliedstaaten erkennen hierin eine Belastung für die Wirtschaft und wünschen sich praktikable Lösungen.

Generalanwalt: Safe Harbor-Entscheidung verletzt europäische Grundrechte. Nicht Facebook.

Heute hat der Generalanwalt am EuGH seine Schlussanträge im Verfahren von Max Schrems gegen die irische Datenschutzbehörde (C-362/14) präsentiert. In der Presse (z.B. Golem und FAZ) und in Blogs (etwa bei Thomas Stadler) wurde bereits darüber berichtet und erste Schlussfolgerungen gezogen.

Ich möchte nachfolgend, nachdem ich die Schlussanträge einmal grob überfliegen konnte, auf einige Besonderheiten und besonders relevante Aussagen des Generalanwalts hinweisen, die vielleicht bisher noch nicht beleuchtet wurden.

Starke Stellung der Datenschutzbehörden

Wenig überraschend vertritt der Generalanwalt die Auffassung, dass nationale Datenschutzbehörden durch einen Angemessenheitsbeschluss der Kommission (um den es sich bei Safe Harbor handelt) nicht absolut gebunden sind und weiterhin die ihnen durch die Charta der Grundrechte der Europäischen Union und die Datenschutz-Richtlinie (RL 95/46/EG) übertragenen Befugnisse ausüben dürfen. Wenn es um den Schutz von Grundrechten (im vorliegenden Fall von Art. 7 und 8 der Charta) geht, dürfen nationale Behörden eigene Untersuchungen vornehmen und erforderlichenfalls auch Datentransfers in Drittstaaten untersagen, selbst wenn ein Angemessenheitsbeschluss der Kommission existiert. Rechtlich gesprochen nimmt eine Angemessenheitsentscheidung nach Art. 25 Abs. 6 RL 95/46/EG den Aufsichtsbehörden nicht ihre Befugnisse nach Art. 28 RL 95/46/EG (vgl. Rz. 120 der Schlussanträge).

Grundvoraussetzung: gleicher Schutz

Wenn personenbezogene Daten aus der Europäischen Union heraus, auf der Grundlage einer Angemessenheitsentscheidung, in Drittstaaten übertragen werden können sollen, dann muss in diesem Drittstaat dem Grunde nach dasselbe Schutzniveau gelten, wie es durch die Vorgaben der Grundrechtecharta und der RL 95/46/EG auch innerhalb der EU existiert (Rz. 144). Ein wichtiger Baustein hierfür ist die Existenz einer unabhängigen Kontrollinstanz, die die Einhaltung der datenschutzrechtlichen Vorgaben überwacht und durchsetzt (Rz. 145).

Unklare Ausnahmeregelungen für Zwecke der nationalen Sicherheit

Der Generalanwalt kritisiert die in der Safe Harbor-Entscheidung vorgesehenen Möglichkeiten, für Zwecke der nationalen Sicherheit von den vorgegebenen Prinzipien zum Schutz personenbezogener Daten abweichen zu können (Anhang I Absatz 4). Der Wortlaut der Vorschriften sei viel zu allgemein gehalten und werde von Sicherheitsbehörden in den USA weit ausgelegt und genutzt, um auf personenbezogene Daten zugreifen zu können (Rz. 164).

Keine Möglichkeit des Rechtsschutzes in den USA

Ebenfalls kritisiert der Generalanwalt, dass EU-Bürger keine Möglichkeit hätten, Rechtsschutz gegen Datenverarbeitungen zu suchen, die über jene Zwecke hinausgehen, für die die Daten ursprünglich in die USA übermittelt wurden (Rz. 165).

Facebook verletzt nicht die Vorgaben von Safe Harbor

Der Generalanwalt stellt zudem klar, dass Facebook nicht gegen die Vorgaben von Safe Harbor verstößt (Rz. 168). Denn ein Zugriff von Sicherheitsbehörden auf Daten oder eine Weiterleitung der Daten auf der Grundlage nationaler Gesetze in den USA ist in der Safe Harbor-Entscheidung gerade vorgesehen. Die Frage ist daher vielmehr, ob die Safe Harbor-Entscheidung selbst (und in ihr aufgestellte Prinzipien und auch die Ausnahmen) gegen europäisches Recht verstößt. Die in der Safe Harbor-Entscheidung ausdrücklich zugelassene Weitergabe von Daten für Zwecke der nationalen Sicherheit stellt einen Eingriff in die Grundrechte der EU-Bürger dar (nicht jedoch durch die privaten Unternehmen) und muss gerechtfertigt sein (Rz. 174).

Ausnahmeregelungen in Safe Harbor verstoßen gegen Grundrechte

Die in der Safe Harbor-Entscheidung vorgesehenen Ausnahmen sind nach Auffassung des Generalanwalts viel zu offen und ungenau formuliert, um einen Eingriff in die Grundrechte aus Art. 7 und 8 der Charta zu rechtfertigen. Es existieren keine ausreichenden und genau definierten Schutzmechanismen, um eine Massenüberwachung durch ausländische Sicherheitsbehörden zu unterbinden (Rz. 202).

Verstoß gegen Verhältnismäßigkeitsgrundsatz

Ein Eingriff in Grundrechte kann gerechtfertigt sein. Muss dafür jedoch geeignet, erforderlich und angemessen sein. Der Generalanwalt stellt klar, dass die EU-Kommission, mit Annahme der Safe Harbor-Entscheidung und ihrer Aufrechterhaltung, gegen den Verhältnismäßigkeitsgrundsatz verstoßen hat und eine Verletzung der Grundrechte aus Art. 7 und 8 der Charta sowie Art. 52 Abs. 1 der Charta vorliegt. Aus diesem Grund ist die Entscheidung der Kommission für ungültig zu erklären (Rz. 215 f.). Hinzu kommt nach Ansicht des Generalanwalts, dass die EU-Kommission Safe Harbor auch noch während der Verhandlungen über eine neue Version weiterhin in Kraft belassen hat (Rz. 233 und 236).

Ausblick

Abschließend möchte ich anmerken, dass man nun abwarten muss, wie der EuGH entscheiden wird. Ich denke, die Tendenz ist aber klar. Doch was bedeutet es, wenn von einem auf den anderen Tag Safe Harbor ungültig wäre? Natürlich dürften personenbezogene Daten aus Europa auch weiterhin in die USA übermittelt werden. Hierfür wäre dann jedoch eine andere Grundlage (Einwilligung, Standardvertragsklauseln, etc.) erforderlich. Ich denke zudem, dass man nicht unbedingt einen großen Gewinn für den transatlantischen Datenschutz einfährt, wenn Safe Harbor, ohne Nachfolgeregelungen, für ungültig erklärt wird. Denn dass die Datenstrome einfach aufhören zu fließen, daran kann niemand wirklich glauben. Man wird dann einfach eine Situation mit tausendfacher Rechtsverletzung kreieren. Die Unternehmen stehen natürlich zwischen zwei Stühlen. Verschiedenen, auf sie anwendbare Rechtsordnung. Auch wenn Safe Harbor fällt, werden Sicherheitsbehörden (im Übrigen nicht nur in Drittsaaten) auf Daten bei Unternehmen zugreifen. In diesem Zusammenhang sollte man sich auch einmal die Frage stellen, wie denn der Rechtsschutz und die Aufsicht über den Zugriff von Geheimdiensten bei uns in der EU ausgestaltet sind.

Justizministerium zweifelt an einheitlichem Datenschutzstandard in Europa

Die Europäische Kommission hat in einer Stellungnahme (abrufbar bei netzpolitik.org) den Gesetzesentwurf des Bundesministeriums für Justiz und Verbraucherschutz  (BMJV) zur „Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (PDF) inhaltlich bemängelt.

Die Kommission stört sich insbesondere an der in § 113b des Entwurfs vorgesehenen Pflicht, Vorratsdaten allein im Inland zu speichern:

dass der betreffende Entwurf einer Verordnung eine Verletzung von Artikel 56 AEUV sowie Artikel 1 Absatz 2 der Richtlinie 95/46/EG darstellen würde.

Art. 1 Abs. 2 der Richtlinie 95/46/EG (die geltende Datenschutzrichtlinie) gibt vor, dass Mitgliedstaaten nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des Schutzes der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten beschränken oder untersagen dürfen. Noch deutlicher ist die Vorgabe in Erwägungsgrund 9 der Datenschutzrichtlinie. Danach dürfen die Mitgliedstaaten aufgrund des gleichwertigen Schutzes, der sich aus der Angleichung der einzelstaatlichen Rechtsvorschriften ergibt, den freien Verkehr personenbezogener Daten zwischen ihnen nicht mehr aus Gründen behindern, die den Schutz der Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre betreffen.

Die Pflicht zur Inlandsspeicherung in § 113b des Entwurfs würde aber den freien Verkehr personenbezogener Daten nicht nur behindern, sondern in Bezug auf die Speicherung Vorratsdaten schlicht untersagen.

Zweck der Datenschutzrichtlinie ist es zum einen, die Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre bei der Verarbeitung personenbezogener Daten zu schützen und zum anderen den freien Verkehr von personenbezogenen Daten innerhalb der EU nicht zu behindern.

Gleichwertiger Schutz innerhalb der EU?

Die Datenschutzrichtlinie gibt also auf europäischer Ebene für die Mitgliedstaaten verbindlich vor, dass in ihrem Anwendungsbereich ein gleichwertiges Schutzniveau für personenbezogene Daten existiert. Personenbezogene Daten dürfen innerhalb der EU übermittelt werden, wenn für die Datenverarbeitung (hier die Übermittlung) selbst eine Einwilligung oder gesetzliche Grundlage (z.B. ein Vertrag) existiert.

Das BMJV sieht dies jedoch anders. Die Gesetzesbegründung verweist zur Beschränkung der ebenfalls beeinträchtigten Dienstleistungsfreiheit (Art. 56 AEUV) auf die Notwendigkeit,

um  die  grundrechtlichen  Erfordernisse  des  Datenschutzes  und der  Datensicherheit zu gewährleisten.

Also nutzt die Begründung genau jene Argumente, auf die man ausweislich des Wortlauts der Datenschutzrichtlinie eine Beschränkung des freien Flusses personenbezogener Daten eben gerade nicht stützen darf. Das BMJV zweifelt damit freilich auch ein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU insgesamt an.

Kein Vertrauen in die Arbeit von Aufsichtsbehörden in anderen Mitgliedstaaten

Die Gesetzesbegründung sägt jedoch sogar noch weiter an den eigentlich existierenden europäischen Standards:

Zudem hätten die mit der Überprüfung der Einhaltung der Sicherheitsstandards und des Datenschutzes befassten deutschen öffentlichen Stellen in anderen Mitgliedstaaten der EU  keine unmittelbaren und gleich wirksamen Möglichkeiten zur Prüfung.

Das stimmt. Deutsche Datenschutzbehörden könnten nicht in anderen EU-Ländern tätig werden und die Einhaltung des Datenschutzrechts prüfen. Zuständig wäre vielmehr die jeweilige nationale Aufsichtsbehörde. Doch scheint das BMJV auch kein Vertrauen in die Kompetenz und Prüfungen durch andere europäische Aufsichtsbehörden zu besitzen:

Angesichts des Umfangs der Prüfpflichten und der Tatsache, dass es sich nicht um eine einmalige Überprüfung eines Anbieters sondern um die Wahrnehmung dauerhafter Aufgaben (zum Beispiel bei der Anpassung der Sicherheitskonzepte an den jeweiligen Stand der Technik) handelt, erscheint dies aber zu wenig wirksam.

Mit „dies“ bezieht sich die Gesetzesbegründung auf die in der Datenschutzrichtlinie ausdrücklich vorgesehene Möglichkeit, dass eine Aufsichtsbehörde (etwa in Deutschland) eine andere Behörde in einem EU-Mitgliedstaat um Amtshilfe ersuchen kann, um hoheitliche Maßnahmen vorzunehmen oder die Einhaltung des Datenschutzrechts zu prüfen. Auch mit dieser Begründung verkehrt das BMJV die geltenden Prinzipien der Datenschutzrichtlinie in ihr Gegenteil. Das Instrument der Amtshilfe wird dort ja gerade vorgesehen, weil es eben möglich ist, dass eine nationale Aufsichtsbehörde nicht zuständig ist. Ein gleichwertiges Schutzniveau für personenbezogene Daten existiert aber dennoch (bzw. gerade auch deshalb) innerhalb der EU.

Zudem fragt man sich, welcher „Umfang“ hier für die besondere Notwendigkeit einer Inlandsspeicherung und alleinigen Kontrolle durch deutsche Behörden spricht? Denn der in dem Gesetzesentwurf beschriebene Umfang an Pflichten in Bezug auf den Umgangt mit Daten und einzusetzende Datensicherheitsmaßnahmen ist kein anderer als jener, der für jedes normale Unternehmen gilt, wenn es personenbezogene Daten im Rahmen seiner Geschäftstätigkeit verarbeitet.

Mögliche Folgen?

Denkt man die Argumentation im Gesetzesentwurf zu Ende, so würde dies bedeuten, dass kein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU besteht. Personenbezogene Daten dürften dann auch grundsätzlich nicht in andere Mitgliedstaaten übermittelt werden bzw. nur dann, wenn besondere Anforderungen erfüllt sind. Im Prinzip würde man, überspitzt formuliert, jeden Staat außerhalb Deutschlands zum „unsicheren Drittstaat“ deklarieren.

Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung zur Richtlinie zur Einführung der Vorratsdatenspeicherung (C-293/12) bemängelt, dass die fraglichen Daten nicht „im Unionsgebiet auf Vorrat gespeichert werden“. Eine Pflicht zur Speicherung allein in einem Mitgliedstaat, hat der EuGH jedoch nicht aufgestellt.

Datenschutzreform: Kein Mitgliedstaat verfolgt die Absicht, zentrale Datenschutzprinzipien aufzuweichen

Im Rahmen ihrer Antwort (PDF) auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag zu dem Thema „Neuregelung des Beschäftigtendatenschutzes“, hat sich die Bundesregierung nicht nur mit spezifischen Fragen der Datenverarbeitung im Verhältnis zwischen Arbeitgeber und Arbeitnehmer befasst, sondern auch einige interessante Ausführungen zu anderen wichtigen Bereichen der geplanten Datenschutz-Grundverordnung (DS-GVO) gemacht und ihre Auffassung zu diesen Themen dargelegt.

Betrieblicher Datenschutzbeauftragter
Die Frage, ob es in Zukunft eine EU-weite Pflicht zur Bestellung von betrieblichen Datenschutzbeauftragten gibt, ist nach wie vor offen. Im Rat der Europäischen Union konnte hinsichtlich dieses Vorschlags (u.a. von Deutschland) bisher keine Mehrheit gewonnen werden.

In ihrer Antwort bekräftigt die Bundesregierung ihre Absicht, eine solche Pflicht eventuell noch innerhalb der aktuell laufenden Trilogverhandlungen auf EU-Ebene noch in die DS-GVO einfließen zu lassen.

Die Bundesregierung setzt sich in den Verhandlungen weiterhin dafür ein, dass die Mitgliedstaaten durch die Datenschutz-Grundverordnung verpflichtet werden, dieses in Deutschland bewährte Konzept zu übernehmen.

Was geschieht mit aktuell gültigen Betriebsvereinbarungen?
Nach derzeit geltendem Recht stellen Betriebsvereinbarungen eine „andere Rechtsvorschrift“ im Sinne des § 4 Abs. 1 BDSG dar und können daher als Grundlage von Datenverarbeitungen in Unternehmen dienen. Doch was geschieht mit geltenden Betriebsvereinbarungen, wenn die DS-GVO, als unmittelbar geltende europäische Verordnung, in Kraft tritt und zwei Jahre später Anwendung findet?

Die Bundesregierung verweist auf den grundsätzlichen Anwendungsvorrang des EU-Rechts vor kollidierenden nationalen Regelungen. Ob geltende Betriebsvereinbarungen dann keine Anwendung mehr finden, hängt jedoch von der finalen Fassung der DS-GVO und möglichen Öffnungsklauseln und den Voraussetzungen an nationale Regelungen ab. Die Bundesregierung verweist zudem darauf, dass die Ratsfassung der DS-GVO in Erwägungsgrund 124 klarstellt, dass in Art. 82 DS-GVO (der speziellen Vorschrift zum Umgang mit personenbezogenen Daten von Arbeitnehmern) erwähnte Kollektivvereinbarungen auch Betriebsvereinbarungen umfassen.

Keine „strengeren“ nationalen Gesetze im Vergleich zur DS-GVO?
In Zukunft stellt sich zudem die Frage, ob nationale Regelungen im Anwendungsbereich von Öffnungsklauseln der DS-GVO erlassen werden dürfen, die „strengere“ Vorgaben an die Verarbeitung personenbezogener Daten machen, als jene in der DS-GVO. Sollte dies möglich sein, wird sich freilich in Folge eine Situation einstellen, in der manche Mitgliedstaaten „strengere“ Datenschutzgesetze besitzen als andere. Eine Vereinheitlichung wäre damit zumindest nicht gänzlich erreicht.

Die Bundesregierung will sich dafür einsetzen, dass die Mitgliedstaaten sektorspezifische Rechtsvorschrift, die bereits auf Grundlage der geltenden Datenschutz-Richtlinie erlassen wurden, beibehalten werden können. Zudem möchte sich die Bundesregierung dafür einsetzen, dass Art. 82 DS-GVO im Bereich des Arbeitnehmerdatenschutzes nur als „Mindestnorm“ anzusehen ist. Mitgliedstaaten könnten also etwa in diesem Bereich abweichend „strenge“ Vorgaben machen.

Bleiben geltende Datenschutzprinzipien erhalten?
Die Fraktion DIE LINKE möchte wissen, welche EU-Mitgliedsstaaten

nach Kenntnis der Bundesregierung aus welchen Gründen oder mit welcher Begründung ggf. die Absicht, zentrale Datenschutzprinzipien, wie die Zweckbindung und die Datensparsamkeit, in der EU-Datenschutz-Grundverordnung aufzuweichen.

Die Bundesregierung kann eine solches „Aufweichen“ geltender Datenschutzprinzipien jedoch nicht ausmachen:

Nach Beobachtung der Bundesregierung verfolgt kein Mitgliedstaat die Absicht, zentrale Datenschutzprinzipien aufzuweichen.

Der Grundsatz der Datensparsamkeit finde sich in Art. 5 Abs. 1 (c) der DS-GVO. Zudem merkt die Bundesregierung an, dass sie sich in den Ratsverhandlungen für die Beibehaltung der Formulierung des ursprünglichen Kommissionsvorschlags ausgesprochen habe.

Auch der Grundsatz der Zweckbindung werde beibehalten und finde sich in Art. 5 Abs. 1 (b) der DS-GVO. Die Formulierung entspreche zudem im Wesentlichen derjenigen der Datenschutz-Richtlinie.

Zweckändernde Datenverarbeitung auch ohne Einwilligung oder Vertrag
Die „Zweckänderung“ war ein Thema, welches vor allem auch in der Öffentlichkeit heftig diskutiert wurde. Die Bundesregierung wurde für ihre Änderungsvorschläge zum Teil heftig kritisiert. In ihrer Antwort verweist sie darauf, dass das geltende Bundesdatenschutzgesetz bereits derzeit zahlreiche Regelungen zur zweckändernden Weiterverarbeitung enthalte. Zudem führt sie an, dass eine solche Weiterverarbeitung nicht heimlich geschehen kann, sondern der Betroffene hierüber zu informieren ist (Art. 14 Abs. 1b) und Art. 14a Abs. 3a DS-GVO Ratsfassung). Auch möchte sich die Bundesregierung weiterhin dafür einsetzen,

dass die Befugnis zur zweckändernden Datenverarbeitung ohne Rechtsgrundlage und allein auf Grundlage einer Interessenabwägung für den öffentlichen Bereich nicht in der Datenschutz-Grundverordnung enthalten sein wird.

Datenschutzreform: Bundesratsausschüsse fordern weitere Anpassungen

Nachdem sich der Rat der Europäischen Union am 15. Juni 2015 auf eine allgemeine Ausrichtung zur geplanten Datenschutz-Grundverordnung (DS-GVO) verständigt hat und die Trilog-Verhandlungen zwischen Kommission, Parlament und Rat bereits begonnen haben (hierzu mein Beitrag mit einem Überblick zu dem Zeitplan sowie zu den ersten Verhandlungen), hat sich auch erneut der deutsche Bundesrat mit der DS-GVO befasst.

Der Bundesrat wird in seiner Sitzung am 10. Juli 2015 über neue Empfehlungen (PDF) des EU- und Innenausschuss beraten. Die beiden Ausschüsse empfehlen dem Bundesrat, zur DS-GVO erneut Stellung zu nehmen.

Nachfolgend möchte ich auf einige der Änderungsforderungen des Bundesrates eingehen.

DS-GVO für den „digitalen Binnenmarkt“?
Zunächst begrüßen die Ausschüsse, dass das Rechtsetzungsverfahren zur DS-GVO möglichst noch bis Ende 2015 abgeschlossen werden soll

um damit rechtssichere Grundlagen für den digitalen Binnenmarkt zu schaffen.

Die Ausschüsse richten ihr Hauptaugenmerk offensichtlich, wie dies in der öffentlichen Diskussion im Übrigen fast auch immer der Fall ist, auf die digitale Wirtschaft. Man kann jedoch nicht oft genug betonen, dass die DS-GVO eben gerade kein spezielles Gesetz für das Internet oder digitale Dienste darstellt, sondern jede Behörde, jedes Unternehmen, jeden Verein oder auch jede Privatperson betrifft, die personenbezogene Daten verarbeiten. Unabhängig von einem digitalen Handlungsfeld. Wichtig erscheint mir bei der nun stattfindenden Diskussion auf der Zielgeraden, diesen Effekt der DS-GVO nicht aus den Augen zu verlieren.

Pseudonyme
Kritisch beleuchten die Ausschüsse den stiefmütterlichen Umgang mit dem Instrument der Pseudonymisierung in der DS-GVO. Die Empfehlung bedauert,

dass im Standpunkt des Rates nur punktuell Anreize zur Verarbeitung pseudonymisierter Daten aufgenommen wurden.

Gerade vor dem Hintergrund, dass Datenanalysen einen wichtigen Bestandteil der zukünftigen Wirtschaft darstellen und nach Ansicht der Ausschüsse sogar von „elementarer Bedeutung“ sind, fordern die Ausschüsse die Bundesregierung dazu auf, sich auch in den Trilog-Verhandlungen dafür einzusetzen, dass neue Verfahren zur Verarbeitung pseudonymisierter Daten gefördert werden.

Zweckänderung
Einer der besonders umstrittenen Punkte in der DS-GVO ist die Möglichkeit einer Zweckänderung von Datenverarbeitungen. Hierzu fordern die Ausschüsse die Bundesregierung dazu auf, bei den

weiteren Beratungen einer Verschlechterung des durch die geltende Datenschutzrichtlinie 95/46/EG gewährleisteten Schutzniveaus konsequent entgegenzutreten.

Diese Forderung ist durchaus verständlich und wird auch von vielen Beteiligten in den Verhandlungen geteilt. Eine Datenschutzreform, die das geltende Schutzniveau unterschreitet, soll nicht das Ergebnis sein.

Meines Erachtens ziemlich spektakulär ist jedoch die zusätzliche Forderung der Bundesratsausschüsse.

Sie appellieren an die Bundesregierung

dafür Sorge zu tragen, dass die schutzwürdigen Interessen der Betroffenen Vorrang vor einer kommerziellen Weiterverwendung ihrer Daten für Big-Data-Konzepte und vor anderen Beeinträchtigungen ihrer Persönlichkeit erhalten.

Damit würde eine Interessenabwägung im Fall von kommerziellen „Big-Data-Konzepten“ (dieser Begriff ist freilich nirgends definiert) stets zu einer Unzulässigkeit der Datenverarbeitung führen. Ein solches Postulat ist jedoch meines Erachtens brandgefährlich. Dies aus mehreren Gründen: nirgends wird erläutert, was unter „Big Data“ oder „Big Data Konzepten“ zu verstehen ist? Wer wäre hiervon also betroffen? Jedes Unternehmen, welches ein CRM-System einsetzt?

Desweiteren stellt sich die Frage, welche Unternehmen denn nicht „kommerziell“ tätig werden und Daten verarbeiten? Die Wirtschaft handelt grundsätzlich aus kommerziellen Interessen. Ein Unternehmen kann nun einmal nicht von Luft und Liebe leben und muss Geld verdienen, um Mitarbeiter, Lieferanten, etc. zu bezahlen.

Der per-se etablierte Vorrang von schutzwürdigen Interessen der Betroffenen würde den Erlaubnistatbestand der Interessenabwägung im Datenschutzrecht für den „Big-Data“-Bereich (wie auch immer dieser verstanden wird) praktisch entleeren. Eine Verarbeitung von Daten wäre dann etwa nur auf der Grundlage einer Einwilligung oder eines Vertrages möglich.

Minderjährige
Zudem sprechen sich die Ausschüsse für eine Stärkung des Minderjährigenschutzes aus. Die Bundesregierung soll

sich dafür einzusetzen, dass personenbezogene Daten Minderjähriger nicht für Zwecke der Werbung und zur Profilbildung verwendet werden dürfen.

Also ein Postulat des absoluten Verarbeitungsverbots für diese Fälle. Eine Einwilligung würde nicht helfen. Selbst wenn also ein Minderjähriger (also alle Personen unter 18 Jahren!) mit personalisierter Werbung im Internet einverstanden wäre, so dürfte ein Unternehmen wie Youtube oder Facebook diese Werbung nicht auf der Grundlage von Daten über diesen Jugendlichen ausspielen. Eine solche Forderung verkennt meines Erachtens die Realitäten (gerade im Internet) und lässt zudem von einem informationellen Selbst(!)Bestimmungsrecht nichts mehr übrig.

Datenschutzbeauftragter
Auch dem Thema Pflicht zur Bestellung eines Datenschutzbeauftragten widmen sich die Ausschüsse. Nach der Empfehlung soll sich

die Bundesregierung dafür einsetzen, weiterhin für das in Deutschland bewährte Modell betriebsinterner Datenschutzkontrolle zu werben, dessen Vorzüge auch im Standpunkt des Europäischen Parlaments aufgegriffen wurden.

Man möchte also die Bestellpflicht direkt in der DS-GVO geregelt wissen. Falls eine verbindliche Bestellungspflicht nicht in die DS-GVO hineinzuverhandeln sei und es den Mitgliedstaaten und ihrem nationalen Recht überlassen bleibt, eine Bestellpflicht vorzusehen, so halten es die Ausschüsse jedoch

für erforderlich, auch auf die verbliebenen unionrechtlichen Detailanforderungen an die Ausgestaltung dieser Aufgaben (vergleiche Artikel 35 Absatz 2 bis Artikel 37) zu verzichten.

Denn selbst wenn es den nationalen Datenschutzgesetzen vorbehalten bliebe, die Voraussetzungen der verbindlichen Bestellungen eines Datenschutzbeauftragten vorzugeben, so sieht der Ratsentwurf der DS-GVO derzeit doch daneben umfängliche (und verbindliche) Anforderungen an die Bestellung eines Datenschutzbeauftragten vor.

EuGH-Generalanwalt zur Frage des anwendbaren Datenschutzrechts und der Zuständigkeit von Datenschutzbehörden

Heute hat der Generalanwalt („GA“) am Europäischen Gerichtshof, Pedro Cruz Villalón, seine Schlussanträge in der Sache „Weltimmo“ (C-230/14) vorgelegt. In diesem Vorabentscheidungsersuchen geht es um zwei wichtige Fragen des europäischen Datenschutzrechts:

  1. Welches Recht ist innerhalb der EU anwendbar auf ein Unternehmen, mit alleinigem Sitz in einem Mitgliedstaat, das jedoch über Internetseiten Dienstleistungen auch in anderen Ländern anbietet?
  2. Welche Kompetenzen besitzen Datenschutzbehörden, wenn es darum geht, gegen Unternehmen vorzugehen, die nicht im Mitgliedstaat der Behörde niedergelassen sind und wenn nicht das Datenschutzrecht des Mitgliedstaates dieser Behörde anwendbar ist?

Zu der Vorlagefrage selbst und auch zu dem Sachverhalt habe ich bereits ausführlich berichtet. Ich möchte mich daher nachfolgend auf eine kurze Zusammenfassung der Feststellungen des Generalanwalts beschränken.

Zum anwendbaren Recht und zum Begriff der Niederlassung (Nr. 1)

In dem Verfahren geht es hinsichtlich des anwendbaren Rechts um Art. 4 Abs. 1 lit. a) der Datenschutz-Richtlinie (RL 95/46/EG, „DS-RL“) in dem es heißt:

Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an: a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Zunächst stellt der GA fest, dass diese Vorschrift als Norm fungiert, die im Verhältnis der Mitgliedstaaten zueinander das anwendbare Recht bestimmt. Art. 4 Abs. 1 lit. a ist daher die entscheidende Vorschrift, die als Kollisionsnorm zwischen den Rechtsordnungen der verschiedenen Mitgliedstaaten das anwendbare Recht bestimmt. Mit dieser Aussage des GA wird meines Erachtens auch deutlich, dass eine Rechtswahl des Datenschutzrechts derzeit gerade nicht möglich ist. Welches nationale Datenschutzrecht bindend gilt, ergibt sich eben gerade aus der oben bezeichneten Kollisionsnorm.

Für die korrekte Anwendung von Art. 4 Abs. 1 lit. a DS-RL kommt es entscheidend darauf an, wie der Begriff der „Niederlassung“ ausgelegt wird. So prüft dann auch der GA zunächst, ob Weltimmo eine Niederlassung auf ungarischem Staatsgebiet besitzt. In einem zweiten Schritt wird es um das Merkmal „im Rahmen der Tätigkeit“ gehen und die Frage zu beantworten sein, ob die Datenverarbeitung im Bereich der Tätigkeit dieser Niederlassung stattgefunden hat.

Zunächst geht der GA darauf ein, dass das Unionsrecht besonderen Wert auf einen Begriff der Niederlassung legt, die sich auf die effektive Ausübung der wirtschaftlichen Tätigkeiten und auf einen gewissen Grad an Beständigkeit stützt. Der GA schlägt vor, den Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen.

Danach geht der GA speziell auf die Situation eines ausschließlich über das Internet tätigen Unternehmens ein.

Nach Ansicht des GA kann unter bestimmten Umständen ein Vertreter eines Unternehmens mit dauerhafter Präsenz und wenig mehr als einem tragbaren Computer eine ausreichende Struktur darstellen, um eine effektive, tatsächliche Tätigkeit mit einem ausreichenden Grad an Beständigkeit in einem anderen Mitgliedstaat durchzuführen, als jenem der Hauptniederlassung des Unternehmens. Daher sei es, laut dem GA, notwendig, bei der Bewertung dieser personellen und technischen Mittel sorgfältig die Eigenheiten von Unternehmen zu berücksichtigen, die Leistungen über das Internet anbieten, wobei auf die Besonderheiten der jeweiligen konkreten Situation einzugehen ist.

Zudem macht der GA weitere wichtige Anmerkungen, zu den gerade nicht mit in die Prüfung des anwendbaren Rechts einzubeziehenden Faktoren. So haben, meines Erachtens richtigerweise,

„der Ort, von dem aus die Daten eingegeben wurden, der Mitgliedstaat, auf den die Dienstleistungen ausgerichtet sind, die Staatsangehörigkeit der Betroffenen oder der Ort, an dem die Eigentümer des Unternehmens ihren Wohnsitz haben“

keinen direkten und entscheidenden Einfluss auf die Bestimmung des anzuwendenden Rechts.

Hinsichtlich des weiteren Merkmals von Art. 4 Abs. 1 lit. a DS-RL („im Rahmen der Tätigkeit“), verweist der AG vor allem auf das Urteil des EuGH in Sachen „Google Spain“ (C-131/12).

Für den GA ist jedoch klar, dass wenn die tatsächlichen Feststellungen ergeben sollten, dass Weltimmo ausschließlich in der Slowakei niedergelassen ist, auch nicht ungarisches Datenschutzrecht gelten kann. Selbst wenn Dienstleistungen in der Slowakei angeboten werden. Der GA dazu:

… in dem Sinne zu beantworten, dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 es der ungarischen Datenschutzbehörde verwehrt, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist.

Diese Aussage, so sie denn der EuGH in seinem späteren Urteil bestätigen sollte, wäre für in der EU niedergelassene Unternehmen, die ihre relevante Hauptniederlassung in einem Land konzentrieren, besonders relevant.

Zur zuständigen Aufsichtsbehörde und zu den möglichen Aufsichtsmaßnahmen (Nr. 2)

Sodann geht der GA auf die Vorlagefrage ein, ob es denn möglich wäre, dass zwar slowakisches Datenschutzrecht anwendbar wäre, die ungarische Datenschutzbehörde dennoch Sanktionen verhängen oder die Rechtswidrigkeit der Datenverarbeitung feststellen könnte.

Bereits vorweg: der GA verneint diese Möglichkeit.

Der Kern der Frage, welche Kompetenzen mitgliedstaatliche Aufsichtsbehörden innerhalb der EU über Landesgrenzen hinweg ausüben können, ist von besonderer Praxisrelevanz und spielt auch im Rahmen der finalen Verhandlungen zur Datenschutz-Grundverordnung und dem sog. One stop shop eine wichtige Rolle. Immerhin geht es um das Handeln staatlicher Institutionen und die Ausübung hoheitlicher Befugnisse in anderen Mitgliedstaaten. So führt auch der GA aus:

In der Tat ist im Zusammenhang mit der Zuständigkeit öffentlicher Stellen und folglich mit der Ausübung öffentlich-rechtlicher Hoheitsbefugnisse, insbesondere der Sanktionsbefugnis, unbedingt von den Anforderungen auszugehen, die sich aus den Grundsätzen der territorialen Souveränität des Staates, der Gesetzmäßigkeit der Verwaltung und damit letztlich dem Begriff des Rechtsstaats ergeben.

Die Ausübung von Sanktionsgewalt kann, so der GA, grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden, in denen eine Behörde nach ihrem nationalen Recht ermächtigt ist. Eine Abweichung von dieser Regel scheint zumindest eine spezielle gesetzliche Grundlage zu erfordern, die die Anwendung des öffentlichen Rechts eines anderen Mitgliedstaats erlaubt und abgrenzt. Eine solche gesetzliche Regelung existiert derzeit jedoch nicht. Zu untersuchen ist hier insbesondere Art. 28 Abs. 6 S. 1 DS-RL. Dieser lautet:

Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist.

Der referenzierte Art. 28 Abs. 3 DS-RL listet verschiedene Rechte der Aufsichtsbehörde auf (Untersuchungsbefugnis, Einwirkungsbefugnis und Klagebefugnis). Jedoch gerade nicht die Sanktionsbefugnis. Zwar erlauben die Vorschriften der DS-RL nach Ansicht des GA, dass die Behörde eines Mitgliedstaats die in ihrem Hoheitsgebiet ausgeübten Tätigkeiten überwacht, und zwar auch dann, wenn das Recht eines anderen Mitgliedstaats anwendbar ist. Letztlich besitzen die Aufsichtsbehörden unabhängig vom im Einzelfall anzuwendenden Recht die Untersuchungs- und Einwirkungsbefugnisse, die in Art. 28 Abs. 3 DS-RL genannt sind, allerdings allein in der in ihrem nationalen Recht geregelten Form, im Bereich ihrer geografischen Zuständigkeit.

Möchte also eine Aufsichtsbehörde eines Mitgliedstaates, dessen Datenschutzrecht auf die betreffende Datenverarbeitung nicht anwendbar ist, auch Sanktionen gegen den Verantwortlichen verhängen, so kann sie dies nicht selbst tun. Jedoch hat sie die Möglichkeit, unter Berücksichtigung der Verpflichtung zur Zusammenarbeit der Datenschutzbehörden nach Art. 28 Abs. 6 DS-RL die Behörde des Mitgliedstaats, dessen Recht auf die Datenverarbeitung anwendbar ist, zu ersuchen, die eventuelle Feststellung eines Verstoßes gegen das anwendbare Recht und die eventuelle Verhängung von Sanktionen auf der Grundlage der eingeholten Informationen vorzunehmen. Die unzuständige Behörde besitzt nach Ansicht des GA also durchaus ein Grundgerüst an möglichen Handlungen, jedoch steht ihr nicht die Befugnis zu, eine Datenverarbeitung eines Verantwortlichen aus einem anderen Mitgliedstaat offiziell als rechtswidrig zu bescheiden oder etwa ein Bußgeld zu verhängen.

In Deutschland dürften diese Ausführungen insbesondere für Verfahren gegen Facebook interessant sein. Denn wenn irisches Datenschutzrecht gilt (also keine relevante Niederlassung in Deutschland existiert), so ist die irische Datenschutzbehörde nach Ansicht des GA zumindest für Sanktionen und die Feststellung von rechtswidrigen Verarbeitungen allein verantwortlich.

Der GA führt abschließend aus:

Insbesondere müssen eine eventuelle Feststellung der Rechtswidrigkeit der Datenverarbeitung und die gleichfalls eventuelle Verhängung von Sanktionen, die sich daraus ergibt, in jedem Fall durch die Behörde des Staates erfolgen, dessen materielles Recht nach dem Anknüpfungskriterium von Art. 4 Abs. 1 Buchst. a der Richtlinie auf die Datenverarbeitung anwendbar ist.

All diese Fragen sind hiermit freilich nicht final entschieden. Das Urteil des EuGH steht noch aus. Die Thematik ist jedoch, wie erwähnt, von besonderer Praxisrelevanz und dürfte gerade auch im Trilog zur Datenschutz-Grundverordnung auf den Tisch kommen.

Europäische Datenschutzbehörden fordern mehr Mittel und praxistaugliche Gesetze

Vom 18. – 20. Mai 2015 trafen sich Vertreter der Datenschutzbehörden der EU-Mitgliedstaaten und des Europarates zu einer Frühjahrskonferenz in Manchester. Diskutiert wurde über Themen von gemeinsamem Interesse. Besonders im Vordergrund stand dieses Jahr die mangelnde finanzielle als auch personelle Ausstattung staatlicher Aufsichtsbehörden und ihre Wahrnehmung in der Öffentlichkeit.

Die Vertreter der Datenschutzbehörden verabschiedeten vor diesem Hintergrund eine Resolution („Meeting data protection expectations in the digital future“, PDF), die sich eindringlich an die Mitgliedstaaten wendet und für die Tätigkeit der Aufsichtsbehörden, vor allem die Kontrolle und Durchsetzung des Grundrechts auf Schutz personenbezogener Daten in Europa, mehr finanzielle und personelle Mittel verlangt. Andernfalls könnten die Datenschützer die ihnen obliegenden Aufgaben nicht mehr wahrnehmen.

Forderung nach mehr Mitteln
Direkt an die europäischen Regierungen wendet sich die Forderung der Datenschützer, sicherzustellen, dass die finanzielle Unterstützung der Behörden ausreicht, um die weiter an ihre Arbeit gestiegenen Anforderungen erfüllen zu können. Hierzu gehöre auch eine Förderung der internationalen Zusammenarbeit von Behörden, wobei die Unabhängigkeit der Aufsichtsstellen nicht gefährdet werden dürfe. Die Datenschützer verweisen zur Untermauerung ihrer Forderung auf drei Urteile des Gerichtshofs der Europäischen Union (C-518/07; C-614/10; C-288/12), in denen die Unabhängigkeit und die finanzielle und personelle Ausstattung der Behörden als erforderliches Mittel zur Gewährleistung des Datenschutzes in Europa als Grundrecht bekräftigt wurde.

Einfaches Datenschutzrecht
Zudem wenden sich die Datenschützer an den europäischen Gesetzgeber. Dieser müsse sicherstellen, dass die nächste Generation von Datenschutzgesetzen in einer klaren und einfachen Sprache verfasst werden, so dass sie von denjenigen Adressaten verstanden und auch umgesetzt werden können, für die sich gedacht sind: Unternehmen, Betroffene und Aufsichtsbehörden. Nur so könne ein hohes Datenschutzniveau auch in der Praxis tatsächlich durchgesetzt werden.