Konzerninterne Datentransfers: Hessische Aufsichtsbehörde verweist auf gesetzliche Erlaubnisnormen

Posted on 13. Juli 2016 by Carlo Piltz

Am 11.7.2016 hat der hessische Datenschutzbeauftragte seinen 44. Tätigkeitsbericht vorgestellt (pdf).

Unter anderem befasst sich der Datenschutzbeauftragte in seinem Bericht auch mit der Frage, unter welchen rechtlichen Voraussetzungen personenbezogene Daten von Arbeitnehmern in einem Konzern zwischen Unternehmen übermittelt werden dürfen. Bekanntermaßen kennt das deutsche Datenschutzrecht kein Konzernprivileg. Liegt also kein Fall der Auftragsdatenverarbeitung vor und werden personenbezogene Daten an eine andere verantwortliche Stelle im selben Konzern weitergegeben, so liegt datenschutzrechtlich betrachtet eine rechtfertigungsbedürftige „Übermittlung“ vor.

§ 32 BDSG

Der hessische Datenschutzbeauftragte weist darauf hin, dass als Rechtsgrundlage für die Übermittlung von Beschäftigtendaten insbesondere § 32 Abs. 1 Satz 1 BDSG in Betracht kommt. Diese Bestimmung setzt voraus, dass die Verarbeitung (im konkreten Fall die Übermittlung der Daten) für die Durchführung des Beschäftigungsverhältnisses „erforderlich ist“.

In der Praxis stellt sich dann freilich die Frage, wann von einer Erforderlichkeit der Verarbeitung auszugehen ist. Diesbezüglich verweist der Datenschutzbeauftragte auf den Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ vom 11.01.2005. Zum einen sei von der Erforderlichkeit auszugehen, sofern der Arbeitsvertrag einen bei Vertragsabschluss für den Betroffenen erkennbaren Konzernbezug aufweist, wenn er also z. B. ein Tätigwerden des Arbeitnehmers auch in anderen Konzernunternehmen vorsieht. Zum anderen sei die Erforderlichkeit auch vorhanden, wenn bei der Einstellung des Arbeitnehmers deutlich erkennbar ist, dass die Personaldatenverarbeitung in einem anderen Konzernunternehmen zentralisiert ist. Wenn das Unternehmen dann noch entsprechend den Vorgaben des § 4 Abs. 3 BDSG über die Identität der verantwortlichen Stelle, die Zwecke der Verarbeitung sowie die Kategorien der Empfänger der Daten informiert, ist dies nach Auffassung des Datenschutzbeauftragten ausreichend, um die Datenübermittlung nach § 32 Abs. 1 Satz 1 BDSG zu legitimieren.

Dauerproblem: Einwilligung

In dem im Tätigkeitsbericht beschriebenen konkreten Fall trat der Umstand hinzu, dass der Arbeitgeber ursprünglich eine Einwilligung der Arbeitnehmer für die Übermittlung einholte. Zwar gesteht der hessische Datenschutzbeauftragte zu, dass auch die Einwilligung eine Grundlage für die konzerninterne Datenübermittlung darstellen kann. Jedoch führt er weiter aus:

Aufgrund des wirtschaftlichen Ungleichgewichts und der existentiellen Bedeutung des Beschäftigungsverhältnisses wird im Allgemeinen jedoch bezweifelt, dass auf Seiten der Beschäftigten die Einwilligung freiwillig erteilt werden kann.

Zwar ist es richtig, dass gerade in einem Beschäftigungsverhältnis möglicherweise ein Ungleichgewicht vorherrscht. Eventuell kann es dann auch an der Freiwilligkeit einer Einwilligung fehlen. Jedoch davon auszugehen, dass „im Allgemeinen“ bezweifelt werde, dass die Einwilligung von Beschäftigten nicht freiwillig erteilt werden könne, erscheint nicht angebracht. Es dürfte sich hierbei vielmehr um eine (von mindestens zwei) vertretene Ansicht handeln. Auch im Arbeitsverhältnis kann grundsätzlcih eine datenschutzrechtliche Einwilligung wirksam eingeholt werden. Im Jahr 2015 (Urteil vom 11.12.2014, 8 AZR 1010/13) hat dies auch das Bundesarbeitsgericht vertreten:

Auch im Rahmen eines Arbeitsverhältnisses können Arbeitnehmer sich grundsätzlich „frei entscheiden“, wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen.

Und unter der Datenschutz-Grundverordnung?

Auch die ab dem 25. Mai 2018 anwendbare Datenschutz-Grundverordnung wird kein ausdrückliches Konzernprivileg kennen. Jedoch wird in Erwägungsgrund 48 S. 1 klargestellt, dass Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, ein berechtigtes Interesse haben können, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.

Die europäische Datenschutz-Grundverordnung macht damit deutlich, dass eine konzerninterne Übermittlung von Beschäftigtendaten und auch Kundendaten als berechtigtes Interesse des Verantwortlichen angesehen werden kann und damit die Voraussetzungen des Erlaubnistatbestandes nach Art. 6 Abs. 1 lit. f) erfüllt sein können.

PrivacyShield: Doppelte Pflichten für US-Unternehmen ab Mai 2018?

Posted on 8. Juli 2016 by Carlo Piltz

Heute gab die Europäische Kommission bekannt, dass der sogenannte Artikel 31 Ausschuss (Vertreter der europäischen Mitgliedstaaten) den überarbeiteten Entwurf des EU-US Privacy Shield abgesegnet hat (4 Mitgliedstaaten haben sich jedoch wohl bei der Abstimmung enthalten). Nun muss nur noch die Europäische Kommission insgesamt den erforderlichen Angemessenheitsbeschluss fassen. Dies soll wohl Anfang kommender Woche geschehen. Eine für Montag angesetzte Aussprache bzw. Diskussion im LIBE-Ausschuss des europäischen Parlaments wird keine inhaltlichen Änderungen zur Folge haben.

Wie der finale Text nun konkret aussieht, wissen wir leider noch nicht. Spiegel Online veröffentlichte zumindest einen überarbeiteten Entwurf am 30. Juni 2016 (pdf). Eventuell handelt es sich hierbei auch um die finale Fassung.

Die Regelungen des Privacy Shield, also insbesondere die Grundsätze (Principles), müssen von US-amerikanischen Unternehmen eingehalten werden, wenn sie entweder als verantwortliche Stelle oder auch als Auftragsverarbeiter handeln und Person bezogenen Daten aus der Europäischen Union erhalten und verarbeiten.

Der Angemessenheitsbeschluss der Europäischen Kommission wird eine Übermittlung personenbezogener Daten an US-Unternehmen insoweit legitimieren, als es um die Frage des angemessenen Schutzniveaus in den USA geht (Art. 25 Abs. 6 Richtlinie 95/46/EG). Daneben ist zu beachten, dass die verantwortliche Stelle in Europa noch dafür Sorge zu tragen hat, dass die Datenverarbeitung in Form der Übermittlung selbst auch zulässig ist. Hierfür bedarf es also etwa eine Einwilligung, eines Vertrages mit der betroffenen Person oder aber berechtigte Interessen der verantwortlichen Stelle und keine entgegenstehenden schutzwürdigen Interessen der betroffenen Person.

Bei einer ersten Sichtung des Privacy Shield hat sich mir die Frage gestellt, was denn aus Sicht der amerikanischen Unternehmen ab dem vom 25. Mai 2018 zu beachten ist: die Grundsätze des Privacy Shield oder aber die gesetzlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO)? Oder vielleicht sogar beide Instrumente und in diesen enthaltende Verpflichtungen parallel?

Nach Art 3 Abs. 2 DSGVO findet die Verordnung Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten. Wichtig bereits hier der Hinweis: auch ein Auftragsverarbeiter in einem Drittstaat muss sich also an die Vorgaben der DSGVO halten, wenn die Voraussetzungen von Art. 3 Abs. 3 DSGVO erfüllt sind. Zu denken ist etwa an ein Unternehmen, welches Clouddienste oder andere Onlinedienste direkt gegenüber Personen in der Union, im Auftrag eines Verantwortlichen in der EU, erbringt. Genauso kann eine Dienstleistung auch durch einen Verantwortlichen angeboten werden, der dies etwa gemeinschaftlich mit einem weiteren Verantwortlichen in der Union gestaltet und von diesem EU-Verantwortlichen personenbezogene Daten erhält.

Nach Erwägungsgrund 15 S. 2 des Privacy Shield sind die Grundsätze aber ausdrücklich nur auf die Verarbeitung personenbezogener Daten anwendbar, soweit die Verarbeitung nicht in den Anwendungsbereich des Unionsrechts fällt. Also etwa in dem oben erdachten Beispiel. Was bedeutet dies nun? Gilt für einen Auftragsverarbeiter oder Verantwortlichen in den USA dann allein die DSGVO? Oder eventuell doch auch parallel die Grundsätze des Privacy Shield? So könnte man evntuell Erwägungsgrund 15 S. 3 verstehen, nach dem das Privacy Shield keinen Einfluss auf die Anwendbarkeit von Unionsrecht hat, welches die Verarbeitung personenbezogener Daten in den Mitgliedstaaten regelt. Nach diesem Satz 3 ist die Anwendbarkeit des Privacy Shield zumindest nicht ausgeschlossen.

Mir scheinen die Vorgaben für US-Unternehmen hier in jedem Fall unklar zu sein. Wenn ein US-Unternehmen sich nicht an die Vorgaben des Privacy Shield halten würde, dann liefe es aber Gefahr, den „Angemessenheitsstatus“ zu verlieren und die Übermittlung aus der EU wäre eventuell unzulässig (zumindest soweit man sich auf das Privacy Shield beruft). Denn in einem Drittstaat befindet sich das Unternehmen ja die ganze Zeit, auch wenn es sich an die Vorgaben der DSGVO halten muss.

Dies ist nur ein erster Gedanke zu dem neuen Angemessenheitsbeschluss, dessen Anwendung und konkrete Umsetzung uns sicherlich in den nächsten Jahren noch beschäftigen wird.

Datenschutz-Grundverordnung: jede Datenverarbeitung muss auf ihre Vereinbarkeit mit den neuen Vorgaben überprüft werden

Posted on 29. Juni 2016 by Carlo Piltz

Am 24. Mai 2016 ist die europäische Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Ab dem vom 25. Mai 2018 wird sie in den europäischen Mitgliedstaaten und den Staaten des EWR unmittelbar anwendbar sein.

Unternehmen, Vereine, Verbände und andere Stellen, die bereits derzeit personenbezogene Daten verarbeiten, haben nun knapp zwei Jahre Zeit, sich auf die neuen Vorgaben einzustellen und gegebenenfalls Datenverarbeitungsprozesse, die interne Organisation, Datenschutzerklärungen, etc. auf ihre Konformität mit der DSGVO hin zu prüfen.

Diese Prüfung ist auch dringend erforderlich. Selbst für derzeit rechtmäßige Datenverarbeitungen, mögen sie auf einer Einwilligung oder auch auf einem Erlaubnistatbestand (wie zum Beispiel im Rahmen der Durchführung eines Vertrages) beruhen, wird es nach dem vom 25. Mai 2018 kein einfaches „weiter so“ allein aus dem Grund geben, weil die betreffende Datenverarbeitung derzeit zulässig ist.

Nach Art. 94 Abs. 1 DSGVO wird die noch existierende europäischen Datenschutzrichtlinie 95/46/EG mit Wirkung vom 25. Mai 2018 aufgehoben. Nationale Datenschutzgesetze, die die Vorgaben der europäischen Datenschutzrichtlinie umsetzen, sind zwar nicht per se ungültig, jedoch genießt das europäische Recht Anwendungsvorrang vor den nationalen Regelungen, soweit sich diese decken. Vorschriften wie etwa § 4a oder § 28 BDSG sind dann zum Großteil nicht mehr anwendbar.

Erwägungsgrund 171 S. 2 DSGVO bestimmt, dass Verarbeitungen, die zum Zeitpunkt der Anwendung der DSGVO (also zum 25. Mai 2018) bereits begonnen haben, innerhalb von zwei Jahren nach dem Inkrafttreten der DSGVO (also nach dem 24. Mai 2016) mit der DSGVO „in Einklang gebracht werden“ müssen. Dies bedeutet: nach dem vom 25. Mai 2018 müssen jegliche Datenverarbeitung die in den Anwendungsbereich der DSGVO fallen auch ihre Voraussetzungen erfüllen. Allein die aktuelle Rechtmäßigkeit von derzeit vorgenommen Datenverarbeitungen taugt also nicht, um sie in den Zeitraum nach dem vom 25. Mai 2018 zu übertragen.

Ganz konkret müssen für jede Datenverarbeitung die spezifischen Voraussetzungen aus der DSGVO, also etwa für die Einwilligung aus Art. 6 Abs. 1 lit. a und Art. 4 Nr. 11 DSGVO, erfüllt werden.

Die DSGVO erläutert diese Situation beispielhaft anhand der Einwilligung in Erwägungsgrund 171. Beruht danach die Verarbeitung auf einer Einwilligung gemäß der Richtlinie 95/46/EG, „so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht“. Die entscheidende Aussage verbirgt sich am Ende des Satzes. Den Bedingungen dieser Verordnung. Allein darum geht es.

Zu beachten ist, dass sich diese Prüfung nicht allein auf die Erfüllung der Voraussetzungen eines jeweiligen Erlaubnistatbestandes beschränkt. Datenverarbeitungen müssen etwa nach Art. 5 Abs. 1 DSGVO auch alle dort aufgezählten Grundsätze kumulativ erfüllen. Das ergibt sich klar aus der Vorgabe „Bedingungen dieser Verordnung“, die sich gerade nicht auf „Voraussetzungen von Art. 6“ oder „Bedingungen des Art. 6“ beschränkt.

Irische Datenschutzbehörde veröffentlicht Jahresbericht 2015

Posted on 23. Juni 2016 by Carlo Piltz

Am 21. Juni 2016 hat die irische Datenschutzbeauftragte, Helen Dixon, den Tätigkeitsbericht der Aufsichtsbehörde für das Jahr 2015 vorgestellt.

Insbesondere, weil Irland der Standort europäischer Zentralen vieler „digital player“ darstellt, ist der Bericht der Behörde durchaus lesenswert. So wird unter anderem Über Prüfungen bei LinkedIn oder Facebook berichtet.

So berichtet die Behörde, dass man sich, nach einem Audit in 2013, oft mit Vertretern von LinkedIn im Jahre 2015 traf, um gemeinsam über mögliche Anpassungen der Plattform des beruflichen Online-Netzwerks zu reden. Konkrete Ergebnisse dieser Gespräche waren unter anderem Anpassungen bei den Kontrollmöglichkeiten für Mitglieder über die von ihnen bereit gestellten Informationen in dem sozialen Netzwerk.

Ein weiterer interessanter Aspekt sind internationale Datentransfers. Natürlich wird auch kurz das Urteil des EuGH zu Safe Harbor angesprochen. Nach dem Wegfall der betreffenden Kommissionsentscheidung als Grundlage für Datenübermittlungen in die USA, war (und ist es immer noch) für Unternehmen wichtig, alternative Instrumente zu finden. Für Datentransfers innerhalb eines Konzerns bieten sich insbesondere die Binding Corporate Rules (BCR) an. Hierbei handelt es sich um verbindliche, unternehmensinterne Richtlinien, die in Zusammenarbeit mit den europäischen Aufsichtsbehörden erstellt und von diesen genehmigt werden müssen.

Die irische Datenschutzbeauftragte berichtet, dass bereits im Jahr 2015 in vier Verfahren als federführende Aufsichtsbehörde für das Genehmigungsverfahren von BCR agierte. In den ersten Monaten des Jahres 2016 habe die Behörde zudem weitere Anträge von Unternehmen zur Prüfung von BCR erhalten. Diese Zunahme an beantragten Genehmigungsverfahren für BCR, insbesondere im Jahr 2016, dürfte auch mit dem Wegfall von Safe Harbor zusammenhängen. Wobei darauf hinzuweisen ist, dass BCR eben nur konzerninterne Datentransfers abdecken können und damit nicht für Datenübermittlungen an konzernfremde Unternehmen geeignet sind.

Datenschutz-Grundverordnung: Bayerische Behörde veröffentlicht Hinweise zu Schwerpunktthemen

Posted on 13. Juni 2016 by Carlo Piltz

Die Datenschutz-Grundverordnung (DSGVO) ist in Kraft. Bis zum 25 Mai 2018, dann ist sie anwendbar, müssen Unternehmen in Europa die eigenen Datenverarbeitungsprozesse auf ihre Konformität mit den neuen Regelungen prüfen.

Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) ist, wie andere Aufsichtsbehörden in Europa, derzeit bemüht, eine einheitliche Sichtweise und Interpretationen zu den neuen Gesetzesvorgaben zu erarbeiten. In diesem Zusammenhang kündigte die Behörde letzte Woche an, dass man in regelmäßigen Abständen (wohl zweimal im Monat) kurze Übersichtspapiere zu ausgewählten Schwerpunkten der DSGVO veröffentlichen wird. Hierbei soll es sich um Informationen zur gegenwärtigen Auslegung verschiedener Vorschriften der DSGVO handeln. Die Behörde weist ausdrücklich darauf hin, dass es sich bei diesen Übersichtspapieren noch nicht um verbindliche Auffassungen handelt.
Auch wenn es sich nur um eine erste Auslegungs- und Interpretationshilfe durch eine Aufsichtsbehörde handelt, ist der Schritt des BayLDA, derartige Hinweise zu veröffentlichen, meines Erachtens uneingeschränkt zu begrüßen.

Das erste Übersichtspapier (PDF) widmet sich der „Sicherheit der Verarbeitung“ (Art. 32 DSGVO). Nach Art 32. Abs. 1 1. HS DSGVO haben der Verantwortliche und der Auftragsverarbeiter, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Das BayLDA nennt als klassische Schutzziele der IT-Sicherheit die Vertraulichkeit, Integrität und Verfügbarkeit, die sich auch in der DSGVO an zentraler Stelle in Art. 32 Abs. 1 DSGVO finden. Jedoch führt die DSGVO auch ein neues Schutzziel ein: die Belastbarkeit. Nach Auffassung des BayLDA müssen Verantwortliche (ich möchte ergänzen: und auch Auftragsverarbeiter) künftig auch die Belastbarkeit der Systeme und Dienste, die in Zusammenhang mit der Verarbeitung stehen, gewährleisten. Welche Maßnahmen jedoch konkret zur Belastbarkeit positiv beitragen, wird in der DSGVO nicht erwähnt.

Des Weiteren weist das BayLDA darauf hin, dass Art. 32 Abs. 1 DSGVO von geeigneten technischen und organisatorischen Maßnahmen spricht, die der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung u. a. des Stands der Technik und der Implementierungskosten zu treffen haben. Nach Ansicht der Behörde wird einerseits stets zu prüfen bleiben, was beim jeweiligen Verfahren als Stand der Technik angesehen wird. Anderseits wird auch die Verhältnismäßigkeit einer Maßnahme hinsichtlich des Aufwands zu diskutieren sein. Die Gewährleistung der Sicherheit der Verarbeitung muss zudem nachgewiesen werden können (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Nach Ansicht der Behörde werden in diesem Zusammenhang in Zukunft genehmigte Verhaltensregeln und Zertifizierungen an Bedeutung gewinnen.

Datenschutz-Grundverordnung: Deutsche Datenschutzbehörden fordern mehr Personal und finanzielle Mittel

Posted on 25. Mai 2016 by Carlo Piltz

Am 24. Mai 2016 ist die Datenschutz-Grundverordnung in Kraft getreten. Ab dem 25. Mai 2018 wird sie in allen europäischen Mitgliedstaaten unmittelbar anwendbar sein. Nicht nur Unternehmen oder Behörden haben also nun zwei Jahre Zeit, ihre Datenverarbeitungsprozesse den zukünftigen Vorgaben anzupassen. Auch die jeweiligen nationalen Gesetzgeber müssen die geltenden datenschutzrechtlichen Bestimmungen in ihrem Mitgliedstaat auf Konformität mit den zukünftigen Regelungen prüfen.

Die Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder fordert vor diesem Hintergrund in einer Entschließung vom 25. Mai 2016 den deutschen Landes und Bundesgesetzgeber auf, den Datenschutzaufsichtsbehörden mehr Personal und auch finanzielle Mittel zur Verfügung zu stellen, damit die Behörden die ihnen zugedachten Aufgaben wirksam erfüllen können.

Die deutschen Aufsichtsbehörden weisen in ihrer Entschließung darauf hin, dass die Datenschutz-Grundverordnung die Mitgliedstaaten verpflichtet, die Aufsichtsbehörden zur Gewährleistung ihrer Unabhängigkeit mit den erforderlichen personellen, finanziellen und technischen Ressourcen auszustatten (Art. 52 Abs. 4 DSGVO). Aus Sicht der deutschen Behörden ist es

für die Bewältigung der neuen Aufgaben zwingend erforderlich, für die Datenschutzbehörden in Deutschland erweiterte personelle und finanzielle Ressourcen vorzusehen. Dies gilt bereits für die jetzt laufende Vorbereitungsphase, in der die Weichen für eine funktionierende Umsetzung der Datenschutz-Grundverordnung gestellt werden.

Dieser Forderung der deutschen Aufsichtsbehörden wird man sich, wenn man bereits die aktuelle Situation betrachtet, durchaus anschließen können. Interessant würde es natürlich werden, wenn die deutschen Aufsichtsbehörden nicht mit den erforderlichen Mitteln und dem nötigen Personal ausgestattet werden und bei Anwendbarkeit der Datenschutz-Grundverordnung dann eventuell ein Mitgliedstaat durch die Europäische Kommission im Wege einer Vertragsverletzungsklage nach Art. 258 AEUV verklagt wird. Derartige Klagen gab es ja bereits unter der geltenden Datenschutzrichtlinie (z.B. in der Rechtssache C?614/10).

Ein weiterer interessanter Aspekt der Entschließung ist, dass sich die bayerischen Behörden bei der Abstimmung zur Annahme dieser Entschließung enthalten haben. Sowohl der Bayerische Landesbeauftragte für den Datenschutz als auch das Bayerische Landesamt für Datenschutzaufsicht scheinen also die Positionen der übrigen Aufsichtsbehörden zumindest nicht in Gänze zu teilen. Man darf gespannt sein, inwieweit der Gesetzgeber auf Landes- und Bundesebene der Forderung der Aufsichtsbehörden nachkommt.

Google wehrt sich gegen französische Behörde: gilt das „Recht auf Vergessenwerden“ weltweit?

Posted on 19. Mai 2016 by Carlo Piltz

Heute hat Google in einem Blogpost bekannt gegeben, dass sich das Unternehmen gegen eine durch die französische Datenschutzbehörde (CNIL) verhängte Geldstrafe in Höhe von 100.000 EUR juristisch zur Wehr setzen wird. Informationen zu dem Verfahren gibt es auf der Seite der CNIL. Dort ist auch eine inoffizielle Übersetzung des entsprechenden Beschlusses (PDF) ins Englische verfügbar.

Insbesondere vertritt die CNIL die Auffassung, dass es unter dem geltenden europäischen Datenschutzrecht und mit Blick auf das Urteil des Europäischen Gerichtshofs (EuGH) in seinem Google-Urteil (C-131/12) nicht ausreicht, wenn nach einer Beschwerde einer betroffenen Person Links aus Suchergebnislisten allein auf Webseiten mit europäischen Endungen (z.B. .de, .es oder .fr) und auch bei Suchanfragen aus dem jeweiligen Mitgliedstaat des Beschwerdeführers auf allen Webseiten der Suchmaschine (also auch auf Google.com) unterdrückt werden. Dieses Vorgehen hatte Google zuletzt gewählt. Die französische Behörde verlangt vielmehr, dass Links aus Ergebnislisten von allen Webseiten der Suchmaschine entfernt werden müssen und zudem unabhängig davon, in welchem Mitgliedstaat der Beschwerdeführer sitzt und von wo aus die Suchanfrage gestellt wird.

Im Ergebnis stellt sich die Frage, ob das europäische Datenschutzrecht und insbesondere seine Durchsetzung durch die Datenschutzbehörden globale Geltung beanspruchen. Ob also etwa auf Anweisung einer französischen Behörde zum einen Nutzer der Suchmaschine in anderen Mitgliedstaaten (z.B. in Deutschland oder Spanien) und zum anderen in Staaten außerhalb des EWR wie z.B. den USA (Google.com) oder Japan (Google.co.jp) nur die veränderte Ergebnisliste angezeigt bekommen dürfen.

Dazu nachfolgend einige Gedanken, die sicherlich nicht abschließend sind, jedoch eventuell zur Diskussion anregen.

Grundsätzlich lässt sich die Feststellung treffen, dass der EuGH in seinem Google-Urteil keine konkreten Aussagen zur territorialen Reichweite des sog. „Recht auf Vergessenwerden“ getroffen hat. Was er in seinem Urteil jedoch stets betont, ist die Bedeutung, die der Durchsetzung und vollen Entfaltung der in der Datenschutzrichtlinie (DS-RL) aufgestellten Garantien für betroffene Personen zukommt.

Der EuGH führt in seinem Google Urteil aus, dass der für Verarbeitung Verantwortliche (also etwa der Suchmaschinenbetreiber)

in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten dafür zu sorgen [hat], dass die Verarbeitung den Anforderungen der Richtlinie 95/46 genügt, so dass die von dieser vorgesehenen Garantien ihre volle Wirkung entfalten können (Rz. 83)

Eine wichtige Rolle bei der Erreichung dieses Ziels der Durchsetzung des europäischen Rechts spielen natürlich die Aufsichtsbehörden. Hierauf weist auch der EuGH in seinem Urteil hin:

In diesem Zusammenhang ist darauf hinzuweisen, dass sich nach Art. 28 Abs. 3 und 4 der Richtlinie 95/46 jede Person zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden kann und jede Kontrollstelle über Untersuchungsbefugnisse und wirksame Einwirkungsbefugnisse verfügt, aufgrund deren sie u. a. die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung personenbezogener Daten anordnen kann. (Rz. 78)

Hieraus lässt sich bereits der Schluss ziehen, dass die Frage, ob europäisches Datenschutzrecht weltweit gelten soll, stets auch im Zusammenhang mit seiner Durchsetzung durch die Aufsichtsbehörden zu sehen ist. Denn allein die Anwendbarkeit europäischen Datenschutzrechts hat noch nichts mit der Verwirklichung der vorgesehenen Garantien aus der DS-RL oder auch aus der Charta der Grundrechte der Europäischen Union für die betroffenen Personen zu tun.

Ich möchte, zur Untermauerung dieser Ansicht, auf das bekannte Urteil des EuGH zur Aufhebung der Vorratsdatenspeicherungsrichtlinie hinweisen (C?293/12 und C?594/12). Dort kritisiert das Gericht nämlich, dass die betreffende Richtlinie keine Pflicht vorsieht,

dass die fraglichen Daten im Unionsgebiet auf Vorrat gespeichert werden, so dass es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten (vgl. in diesem Sinne Urteil Kommission/Österreich, C 614/10, EU:C:2012:631, Rn. 37) (Rz. 68).

Der EuGH geht also selbst davon aus, dass überhaupt nur dann eine den Anforderungen der Charta der Grundrechte und auch der DS-RL entsprechende Garantie für den Schutz personenbezogener Daten möglich ist, wenn die Einhaltung der Vorschriften durch die jeweils zuständigen europäischen Datenschutzbehörden überwacht und gegebenenfalls auch durchgesetzt werden kann. Dies kann allein im Unionsgebiet möglich sein.

Geht man also, mit der vorstehenden Argumentation davon aus, dass neben der reinen Anwendbarkeit europäischen Datenschutzrechts auch immer die Möglichkeit seiner Einhaltung und insbesondere Durchsetzung als inhärente Garantie zu sehen ist, stellt sich unweigerlich die Frage, wie weit die Befugnisse europäischer Datenschutzbehörden, insbesondere territorial, reichen.

Hierzu möchte ich auf eine weitere Entscheidung des EuGH, die sog. Weltimmo-Entscheidung (C-230/14) hinweisen. In diesem Urteil befasst sich das Gericht mit der Frage, wie weit die Kompetenzen der europäischen Aufsichtsbehörden reichen.

So hat nach Art. 28 Abs. 1 DS-RL jede von einem Mitgliedstaat eingeführte Kontrollstelle dafür Sorge zu tragen hat, dass die von den Mitgliedstaaten zur Umsetzung der DS-RL erlassenen Vorschriften im Hoheitsgebiet dieses Mitgliedstaats eingehalten werden (Rz. 47; Hervorhebung durch mich). Zudem, so der EuGH, ergibt sich aus Art. 28 Abs. 1 und 3 DS-RL, dass jede Kontrollstelle sämtliche Befugnisse ausübt, die ihr im Hoheitsgebiet ihres Mitgliedstaats übertragen wurden, um in diesem Hoheitsgebiet die Einhaltung der Datenschutzvorschriften sicherzustellen (Rz. 51; Hervorhebung durch mich). Auch stellt der EuGH klar, dass aus den Anforderungen, die sich aus der territorialen Souveränität des betreffenden Mitgliedstaats, der Gesetzmäßigkeit der Verwaltung und dem Begriff des Rechtsstaats ergeben, folgt, dass die Sanktionsgewalt grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden kann, in denen eine Behörde nach dem Recht ihres Mitgliedstaats ermächtigt ist (Rz. 56; Hervorhebung durch mich).

In dem Fall Weltimmo ging es um einen innereuropäischen Sachverhalt, also die Frage, inwieweit die Aufsichtsbehörde eines Mitgliedstaates im Territorium eines anderen Mitgliedstaates Sanktionsgewalt ausüben darf. Dies lehnt das Gericht mit obiger Begründung ab. Die Sanktionsgewalt darf nicht außerhalb der gesetzlichen Grenzen des eigenen Mitgliedstaates ausgeübt werden.

Übertragen auf die Auseinandersetzung zwischen Google und der französischen Behörde stellt sich nun die Frage, ob es mit der vorgenannten Rechtsprechung des EuGH konform wäre, einer europäischen Aufsichtsbehörde die Befugnis zuzugestehen, Datenverarbeitungen, die zum einen entweder von Personen in anderen europäischen Mitgliedstaaten (der jeweilige Nutzer der Suchmaschine, der nach einem Namen einer betroffenen Person sucht) oder die zum anderen von Personen auf einem Territorium eines Staates außerhalb der Europäischen Union durchgeführt werden, zu regulieren und am Ende mit einem entsprechenden verwaltungsrechtlichen Beschluss, der von seinem Anwendungsbereich her eigentlich nur auf das Territorium des jeweiligen Mitgliedstaates begrenzt ist, zu beeinflussen. Die Maßnahme einer europäischen Behörde hätte dann direkte Auswirkungen in anderen Staaten. Bereits für die erste Konstellation, dass sich ein entsprechender französischer Beschluss etwa auf deutsches oder spanisches Territorium bzw. die dortigen Personen auswirkt, hätte ich meine Zweifel. Dies gilt freilich erst recht in der zweiten Konstellation, also außerhalb der Europäischen Union und damit auch des Kompetenzbereichs der europäischen Datenschutzbehörden.

Nun wird man sicher als Gegenargument anführen können, dass der territoriale Anwendungsbereich europäischen Datenschutzrechts aber doch auch durch den EuGH sehr weit interpretiert wird und eben auch europäisches Datenschutzrecht für die Tätigkeiten einer Google Inc. mit Sitz in den USA gilt. Das ist korrekt. Doch meiner Ansicht nach ist, wie oben beschrieben, für die Verwirklichung der in der europäischen Datenschutzrichtlinie und auch in der Charta der Grundrechte der Europäischen Union festgelegten Rechte und Garantien unweigerlich erforderlich, dass diese durchgesetzt werden (ich verweise noch einmal auf das Urteil des EuGH zur Vorratsdatenspeicherungsrichtlinie). Eine solche Durchsetzung ist aber, aufgrund des Prinzips der territorialen Souveränität von Staaten, nicht immer möglich. Im Ergebnis scheint mir der aktuelle Ansatz von Google zumindest nicht außerhalb der Vorgaben europäischen Rechts zu liegen.

Dieser Problematik scheinen sich im Prinzip auch die europäischen Datenschutzbehörden bewusst zu sein. Wenn man sich die Leitlinien der europäischen Behörden zur Umsetzung des Google-Urteils anschaut (WP 225, PDF), so findet sich auf Seite 8 unter Ziffer 19 der Hinweis, dass die Behörden sich in der Praxis auf solche Fälle „fokussieren“ werden, die einen deutlichen Bezug zum Territorium eines europäischen Mitgliedstaates aufweisen, insbesondere, wenn es sich um ein EU-Bürger handelt.

Am Ende bleibt wohl nur festzustellen, dass die territoriale Durchsetzung europäischen Datenschutzrechts sicherlich kein einfaches und auch ein streitbares Thema darstellt. Man darf gespannt sein, wie dieses Verfahren in Frankreich weitergeht. Am Ende könnte erneut eine Entscheidung des Europäischen Gerichtshofs stehen.

Generalanwalt: Datenschutzvorschriften des deutschen Telemediengesetzes verstoßen gegen EU-Recht

Posted on 12. Mai 2016 by Carlo Piltz

Heute hat der Generalanwalt am Europäischen Gerichtshof (EuGH), Campos Sánchez-Bordona, seine Schlussanträge in dem Verfahren „Breyer“ (C-582/14) vorgelegt. In dem diesem Vorabentscheidungsersuchen des Bundesgerichtshofs zugrundeliegenden Rechtsstreit geht es, sehr vereinfacht formuliert, um zwei Fragen:

1. Sind dynamische IP-Adressen, die ein Webseitenbetreiber über Seitenbesucher erhebt und verarbeitet personenbezogene Daten i. S. d. europäischen Datenschutzrechts (konkret: Art. 2 lit. a Datenschutzrichtlinie 95/46/EG), wenn ein Dritter (hier der Internetzugangsanbieter über Wissen verfügt, um die IP-Adresse einer natürlichen Person zuzuordnen)?

2. Sind die Vorgaben der Vorschrift des § 15 Abs. 1 TMG, wonach Diensteanbieter (z.B. Webseitenbetreiber oder App-Anbieter) personenbezogene Daten eines Nutzers nur erheben und verwenden dürfen, soweit dies erforderlich ist, um die Inanspruchnahme des Telemediums zu ermöglichen und abzurechnen, mit Art. 7 lit. f der Datenschutzrichtlinie vereinbar?

Das Ergebnis des Generalanwalts. Zu 1: ja. Zu 2: nein.

Nachfolgende einige Anmerkungen zu den Schlussanträgen.
Auf die Frage, ob eine dynamische IP-Adresse ein personenbezogenes Datum ist, möchte ich nicht weiter eingehen. Der Streit über diese Frage wird seit Jahren geführt und es gibt meines Erachtens Argumente für und gegen eine Einordnung der Adressen als personenbezogenes Datum. Dem Grunde nach kommt es für das Ergebnis darauf an, ob man bei der Bestimmbarkeit einer natürlichen Person anhand eines Datums allein auf die verantwortliche Stelle, z.B. den Webseitenbetreiber und die ihm zur Verfügung stehen Mittel abstellt. Oder aber man legt eine weitergehende Auffassung zugrunde, wonach es für die Einordnung einer Information als personenbezogenes Datum nicht nur auf die Stelle ankommt, die dieses Datum gerade verarbeitet, sondern auch auf Zusatzwissen von Dritten, im vorliegenden Fall des Access-Providers, ankommt. Der Generalanwalt vertritt die Letztere Auffassung, zumindest soweit er das Wissen Dritter berücksichtigen möchte, an die sich die verantwortliche Stelle „vernünftigerweise“ wenden könnte, um den Personenbezug herzustellen. Der Generalanwalt nimmt hierbei eine durchaus streitbare Auslegung des Erwägungsgrundes 26 der Datenschutzrichtlinie vor. Dort wird von „einem Dritten“ gesprochen. Der Generalanwalt möchte dies jedoch einschränkend auf „bestimmte Dritte“, worunter der Internetzugangsanbieter fällt, auslegen. Hinweisen möchte ich auch noch auf Rz. 50 der Schlussanträge, in denen klargestellt wird, dass hier nicht die Frage behandelt wird, ob dynamische IP Adressen grundsätzlich als personenbezogene Daten einzustufen sind.
Weitaus gravierender für die deutsche Rechtslage und die gesetzlichen Vorgaben zum Umgang mit personenbezogenen Daten im Internet oder in Apps (dafür gelten die §§ 13 ff. TMG), dürften die Ausführungen des Generalanwalts zur zweiten Frage sein.

Nach den Vorgaben des deutschen § 12 Abs. 1 TMG dürfen Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Unterfallen personenbezogene Daten (als sog. Bestandsdaten, § 14 oder Nutzungsdaten, § 15) dem TMG, ist ihre Erhebung und Verwendung nur sehr eingeschränkt möglich, wenn keine Einwilligung des Betroffenen vorliegt. Außerhalb des Anwendungsbereichs des TMG ist das anders. So können personenbezogene Daten z.B. nach § 28 BDSG auch auf der Grundlage eines berechtigten Interesses der verantwortlichen Stelle oder zur Erfüllung einer gesetzlichen Verpflichtung verarbeitet werden. Das entspricht auch den europäischen Vorgaben des Art. 7 der Datenschutzrichtlinie. Die §§ 12, 14 und 15 TMG schränken den Umgang mit personenbezogenen Daten also (soweit keine Einwilligung vorliegt) sehr stark ein.

In dem vorliegenden Verfahren ging es in der zweiten Frage darum, ob diese gesetzliche Beschränkung im TMG (hier ging es konkret um § 15 Abs. 1 und Abs. 4 TMG) und quasi der Ausschluss von gesetzlichen Verarbeitungsgrundlagen, die europarechtlich vorgegeben sind, zulässig ist. Vorliegend wollte der Webseitenbetreiber (ich meine, dass es sich hierbei um das BMJV handelte) personenbezogene Daten für den Zweck, die Funktionsfähigkeit des Telemediums zu gewährleisten, verwenden. Ein solcher Verarbeitungszweck ist nach Auffassung des Generalanwalts auch grundsätzlich als ein berechtigtes Interesse anzusehen. Das Problem: § 15 Abs. 1 und Abs. 4 TMG erlauben die Verwendung der Daten für diesen Zweck dem Wortlaut nach wohl nicht. In jedem Fall aber nicht, wenn die Daten über den Nutzungsvorgang hinaus gespeichert werden sollen.

Diese Beschränkung der Verarbeitungsmöglichkeit und damit das gesetzliche Verbot einer Datenverarbeitung, die europarechtlich eigentlich nach Art. 7 lit. f Datenschutzrichtlinie zulässig sein kann, ist nach Ansicht des Generalanwalts nicht mit dem EU-Recht zu vereinbaren.

Die Argumentation des Generalanwalts lässt sich meines Erachtens auf alle Paragraphen des TMG übertragen, die eine Datenverarbeitung nur für ganz bestimmt Zwecke zulassen und vor allem das berechtigte Interesse des Diensteanbieters nicht berücksichtigen. Also auch die §§ 12 und 14 TMG.

Man darf gespannt die Entscheidung des EuGH in dieser Sache erwarten. Das Gericht ist an die Schlussanträge nicht gebunden, folgt diesen jedoch sehr häufig. Sollte der EuGH ebenfalls der Auffassung sein, dass § 15 Abs. 1 TMG nicht mit Art. 7 lit. f Datenschutzrichtlinie vereinbar ist, so dürfte die deutsche Vorschrift nur noch europarechtskonform angewendet werden, mit der Folge, dass Nutzungsdaten nach dem TMG auch durch Diensteanbeiter (hierbei handelt es sich um die bekannten verantwortlichen Stellen i. S. d. BDSG) verarbeitet werden dürfen, wenn diese zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Bundesrat: Gesetzesvorschlag für ein neues Klagerecht der Datenschutzbehörden gegen Privacy Shield

Posted on 11. Mai 2016 by Carlo Piltz

In meinem Beitrag vom 19. April 2016 habe ich berichtet, dass das Land Hamburg (das Land Brandenburg hat sich dem angeschlossen) im Bundesrat einen Vorschlag für einen Antrag an die Bundesregierung eingebracht hat, mit dem die Bundesregierung aufgefordert werden soll, ein Klaggerecht für deutsche Datenschutzbehörden gegen sog. Angemessenheitsentscheidungen der Europäischen Kommission (wie vormals Safe Harbor und in Zukunft wohl das EU-US Privacy Shield) zu schaffen. Es solle eine entsprechende Gesetzesänderung auf Bundesebene im Verwaltungsrecht vorgenommen werden. Der Antrag ist auf der Webseite des Bundesrates abrufbar (PDF).

Hintergrund dieses Vorschlags ist das Urteil des Europäischen Gerichtshofs (EuGH) in der Sache „Schrems“ (C-362/14), mit dem die Safe Harbor-Entscheidung der Kommission für ungültig erklärt wurde. In dem Urteil verlangt das Gericht unter anderem, dass den nationalen Aufsichtsbehörden für den Datenschutz ein Klagerecht für den Fall zustehen muss, wenn ein Betroffener sich gegen eine Datenübermittlung in einen Drittstaat (wie die USA) wendet, die auf einer Angemessenheitsentscheidung der Europäischen Kommission (basierend auf Art. 25 Abs. 6 der Datenschutzrichtlinie (RL 95/46/EG) beruht. Dann müsse, so der EuGH, die Aufsichtsbehörde die Möglichkeit haben, vor den nationalen Gerichten von sich aus mit dem Ziel zu klagen, dass das angerufene Gericht die Frage der Gültigkeit eines Angemessenheitsbeschlusses (wie vormals Safe Harbor) dem EuGH vorlegt. Am 20. April 2016 (Pressemitteilung) haben sich auch die deutschen Datenschutzbehörden hinter den Vorschlag gestellt und die „rasche Schaffung eines Klagerechtes auch für die deutschen Datenschutzbehörden gefordert“.

Nun liegt ein entsprechender Gesetzesvorschlag (PDF) zur Einführung eines neuen „§ 38b BDSG – Verfahren zur Überprüfung von Rechtsakten nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG“ vor, der von dem Innenausschuss des Bundesrates erarbeitet und vom federführenden Rechtsausschuss angenommen wurde. Am 13. Mai 2016 soll der Bundesrat über diesen Antrag und den darin enthaltenen Gesetzesvorschlag beraten. Der Wortlaut des Vorschlags:

(1) Jede Aufsichtsbehörde ist im Rahmen ihrer Prüfung von Beschwerden eines Betroffenen über den Schutz seiner Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten, die aus der Bundesrepublik Deutschland an ausländische, nicht in § 4b Absatz 1 Satz 1 erfasste Stellen übermittelt werden, befugt, das Bundesverwaltungsgericht zur Entscheidung im ersten und letzten Rechtszug mit den Antrag anzurufen, festzustellen, dass ein zur Rechtfertigung der Übermittlung angewendeter Rechtsakt der Kommission nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG ungültig ist, weil das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisten.

(2) Absatz 1 gilt entsprechend für den Bundesbeauftragten oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die nach Landesrecht für die Kontrolle des Datenschutzes bei öffentlichen Stellen der Länder zuständigen Behörden.

Nachfolgend einige kurze Anmerkungen zu dem Vorschlag.

Nach Abs. 1 wären nur Prüfungen der Behörden hinsichtlich der „Verarbeitung“ personenbezogener Daten erfasst. Die Phase der Erhebung (§ 3 Abs. 3 BDSG) und auch ein „Nutzen“ (§ 3 Abs. 5 BDSG) personenbezogener Daten würden nicht dem Anwendungsbereich des neuen § 38b Abs. 1 BDSG unterfallen, selbst wenn eine Übermittlung der Daten stattfindet.

Aufsichtsbehörden könnten eine Feststellungsklage beim Bundesverwaltungsgericht erheben. Hierzu sollen sie „befugt“ sein. Nicht aus dem Urteil des EuGH wurde jedoch die Voraussetzung übernommen, dass die Aufsichtsbehörde die Beschwerde eines Betroffenen für „begründet“ erachten muss. (Rz. 64 des EuGH-Urteils: Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen). § 38b Abs. 1 BDSG lässt die Klagemöglichkeit zum Bundesverwaltungsgericht ganz generell zu.

Der Klageantrag soll darauf gerichtet sein, festzustellen, dass „ein zur Rechtfertigung der Übermittlung angewendeter Rechtsakt der Kommission nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG ungültig ist“. Eine solche Feststellung kann ein nationales Gericht, ebenso wie eine nationale Aufsichtsbehörde, jedoch nicht treffen. Dies hat der EuGH in seinem Urteil ausdrücklich betont (Rz. 61 des EuGH-Urteils): „Gleichwohl ist allein der Gerichtshof befugt, die Ungültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission festzustellen“. Nach dem EuGH dürfen nationale Gerichte diesem nur ein Ersuchen um Vorabentscheidung über die Gültigkeit solcher Entscheidungen vorlegen. Zudem sind die nationalen Gerichte berechtigt, die Gültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission zu prüfen. Die Feststellung ihrer Ungültigkeit, ist jedoch nicht möglich.
Selbst wenn also in Zukunft z.B. die dem EU-US Privacy Shield zugrundeliegende Entscheidung durch den EuGH für ungültig erklärt werden sollte, so dürfte, wenn das Verfahren nach der Entscheidung des EuGH zurück an das Bundesverwaltungsgericht kommt, dieses nicht die Ungültigkeit der Angemessenheitsentscheidung feststellen. Im Ergebnis müsste es vor dem Bundesverwaltungsgericht wohl eher um die Feststellung gehen, dass eine auf einer Angemessenheitsentscheidung beruhende Übermittlung unzulässig ist. Im Rahmen einer erforderlichen Inzidentprüfung könnte dann dem EuGH die Frage der Gültigkeit der zugrundeliegenden Entscheidung der Europäischen Kommission vorgelegt werden.

Mit Blick auf die Klagemöglichkeit der Aufsichtsbehörden bei Datenübermittlungen in Drittstaaten bleibt es also weiter spannend. Man muss nun abwarten, inwiefern der Bundesrat den nun vorliegenden Antrag und Gesetzesvorschlag annimmt und im Rahmen der Entschließung die Bundesregierung zum Handeln auffordert.

Datenschutz-Grundverordnung – Kaum beachtet: Deutsche Privilegierung der Auftragsdatenverarbeitung entfällt.

Posted on 10. Mai 2016 by Carlo Piltz

Im deutschen Datenschutzrecht kennt man bekanntlich eine sog. Privilegierung der Auftragsdatenverarbeitung. Schaltet die verantwortliche Stelle etwa einen Dienstleister ein, der für sie und in ihrem Auftrag personenbezogene Daten verarbeiten soll, so bedarf die Übermittlung der Daten an diesen Auftragsdatenverarbeiter, obwohl es sich hierbei um eine Datenverarbeitung handelt, keiner gesetzlichen Erlaubnis (also zB keiner Einwilligung der Betroffenen oder das Vorliegen eines gesetzlichen Erlaubnistatbestandes). Der Vorgang der Übergabe der Daten oder auch die Gewährung des Zugriffs auf diese für den Auftragsverarbeiter stellt nämlich, qua Gesetz, keine „Übermittlung“ i.S.d. § 3 Abs. 4 S. 2 Nr. 3 BDSG dar. § 3 Abs. 4 S. 1 BDSG legt zunächst fest, dass das Übermitteln eine Form des Verarbeitens von personenbezogenen Daten darstellt. § 3 Abs. 4 S. 2 Nr. 3 BDSG besagt dann:

Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten. (Hervorhebung durch mich)

Und § 3 Abs. 8 S. 2 BDSG sieht vor, dass Dritter gerade nicht der Auftragsdatenverarbeiter ist, der sich innerhalb des EWR befindet. Dies ist eine vom Gesetzgeber gewollte Vereinfachung und Privilegierung des Verhältnisses zwischen verantwortlicher Stelle und Auftragsdatenverarbeiter. Letzterer handelt allein im Auftrag und nach Weisungen und wird damit quasi ein ausgelagerter Teil der verantwortlichen Stelle. Die Übermittlung der Daten bedarf keiner rechtfertigenden Erlaubnis.

Keine Privilegierung unter der DS-GVO
Diese Privilegierung wird jedoch mit Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) zum 25. Mai 2018 entfallen. Die Folge: Zum einen liegt auch mit Blick auf Auftragsverarbeiter stets eine Übermittlung vor. Zum anderen bedarf jede Übermittlung von personenbezogenen Daten an einen Auftragsverarbeiter einer gesetzlichen Erlaubnis, sei es das Vorliegen einer Einwilligung oder die Erfüllung der Voraussetzungen einer der Tatbestände aus Art. 6 Abs. 1 DS-GVO.

Art. 4 Nr. 2 DS-GVO definiert die „Verarbeitung“ als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung…“ (Hervorhebung durch mich).

Wie auch unter dem BDSG stellt die Übermittlung also einen Unterfall der Verarbeitung dar, wobei die Übermittlung selbst noch ein Unterfall der „Offenlegung“ von personenbezogenen Daten ist. Soweit so gut.

Was die DS-GVO jedoch nicht kennt, ist eine eigene Definition der Übermittlung wie im § 3 Abs. 4 S. 2 BDSG. Die obige Definition des Art. 4 Nr. 2 DS-GVO beschränkt die Offenlegung etwa nicht auf „Dritte“. Es erfolgt vielmehr gar keine Beschränkung. Jede Offenlegung ist eine Übermittlung, egal, an wen sie erfolgt.

Es hilft daher auch wenig, dass nach Art. 4 Nr. 10 DS-GVO „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten, ist (Hervorhebung durch mich). Es bleibt dabei, dass ein Auftragsverarbeiter nicht Dritter ist. Für die Frage, ob eine rechtfertigungsbedürftige Übermittlung personenbezogener Daten vorliegt, hat dies jedoch keine Bewandtnis.

Was bedeutet dies für Auftragsverarbeitungsverhältnisse in Deutschland?
Bis zum 25. Mai 2018 sollte jeder Verantwortliche, der Auftragsverarbeiter einsetzt (z.B. beim Cloud-Computing, technischer Dienstleistungen, etc.), prüfen, ob die Übermittlung personenbezogener Daten an den Auftragsverarbeiter auf einen der Erlaubnistatbestände des Art. 6 Abs. 1 DS-GVO gestützt werden kann. Im Ergebnis muss wirklich jede Beziehung zu Auftragsverarbeitern geprüft werden. Falls die Übermittlung nicht zulässig ist oder entsprechend ausgestaltet werden kann, wird eine unzulässige Verarbeitung personenbezogener Daten vorliegen. Die Folge können Untersagungsverfügungen der Aufsichtsbehörden oder auch Geldbußen sein. Ein einfaches „Weiter so“ wird es nicht geben. Bisher zulässige Datenverarbeitungen können nicht, etwa ähnlich einer Form des Bestandsschutzes, ohne nähere Prüfung und Abgleich mit den Vorgaben der DS-GVO gerettet werden. Erwägungsgrund 171 DS-GVO sieht vor, dass Verarbeitungen, die zum Zeitpunkt der Anwendung der DS-GVO (also am 25. Mai 2018) bereits begonnen haben, innerhalb von zwei Jahren nach dem Inkrafttreten der DS-GVO (ab dem 24. Mai 2016) mit ihr in Einklang gebracht werden müssen.

Page 33 of 51« First ‹ Previous 29 30 31 323334 35 36 37 Next ›Last »

de lege data

Datenschutz – Privacy – Web 2.0

Category Archives: Europa