Category Archives: Europa

Datenschutzreform: Deutschland möchte Beschäftigtendatenschutz national regeln

Posted on by

Die Verhandlungen zur geplanten Datenschutz-Grundverordnung (DS-GVO, KOM (2012)11, PDF) gehen auch im Jahr 2015 weiter. Ziel der Verordnung stellt die Vereinheitlichung des europäischen Datenschutzrechts dar, wobei die DS-GVO anders als derzeit die Datenschutz-Richtlinie, zwingende, durch die Mitgliedstaaten nicht mehr in nationales Recht umzusetzende, Vorgaben machen würde.

Doch ob es am Ende tatsächlich bei solch durchgehenden und für die Mitgliedstaaten zwingeden Vorschriften in der DS-GVO bleibt, kann immer mehr bezweifelt werden. So zeigt sich in den Verhandlungen im Rat der Europäischen Union, dass große Sympathie dafür besteht, gerade im Bereich der öffentlichen Verwaltung sog. Öffnungsklauseln in die DS-GVO einzubauen, die den Mitgliedstaaten eine eigene nationale Ausgestaltungen der Regelungen zur Datenverarbeitung in bestimmten Themenfeldern, z. B. Steuern oder Sozialversicherungen, ermöglichen sollen.

Beschäftigtendatenschutz
Ein Dokument (PDF) aus dem November 2014 zeigt nun, dass Deutschland diese Möglichkeit von abweichenden nationalen Regelungen jedoch nicht nur für den öffentlichen Bereich favorisiert. Auch der Beschäftigtendatenschutz und der Umgang mit Arbeitnehmerdaten soll in den einzelnen EU-Mitgliedstaaten selbstständig geregelt werden können, solange solche Regelungen noch dem grundsätzlichen Schutzniveau der DS-GVO entsprechen bzw. darüber hinausgehen.

Tarifverträge
Für die deutsche Delegation von besonderer Bedeutung ist dabei, dass auch zukünftig Tarifverträge und Betriebsvereinbarungen als Grundlagen für Datenverarbeitungen innerhalb eines Unternehmens anerkannt werden. Unter dem geltenden deutschen Datenschutzrecht ist dies bereits der Fall. Derzeit lasse sich, so die deutschen Delegation, aus dem Entwurf der DS-GVO jedoch in keinster Weise ableiten, ob ein Tarifvertrag oder eine Betriebsvereinbarung auch in Zukunft als Grundlage einer Datenverarbeitung dienen können. Die EU-Kommission habe diesbezüglich zwar auf Art. 6 Abs. 1 c) DS-GVO (Verarbeitung zur Erfüllung einer gesetzlichen Verpflichtung) verwiesen. Dieser Schluss ist für die deutsche Delegation jedoch nicht zwingend und weder aus dem Text der DS-GVO selbst, noch aus den Erwägungsgründen abzuleiten.

Einwilligung
Auch die Besonderheiten einer datenschutzrechtlichen Einwilligung des Arbeitnehmers in seinem Beschäftigungsverhältnis sollen stärker Berücksichtigung finden. Dazu schlägt die deutsche Delegation vor, dass in Zukunft das jeweilige nationale Datenschutzrecht die Anfroderungen festlegen kann, nach denen eine datenschutzrechtliche Einwilligung im Arbeitsverhältnis erteilt werden kann. Problematisch an derartigen Einwilligungen ist häufig ihre Wirksamkeit, da man an dem Erfordernis der „Freiwilligkeit“ einer solchen Willensbekundung im Zusammenhang mit einem Beschäftigungsverhältnis zweifeln kann.

Sollten sich solche Vorschläge im Ergebnis durchsetzen, wird man sich natürlich die Frage stellen müssen, inwiefern die angedachte europaweite Vereinheitlichung des Datenschutzrechts mit der DS-GVO noch erzielt werden kann. Denn viele nationale Spezialregelungen würden freileich dazu führen, dass man, trotz einer allgemeinen gemeinsamen und verbindlichen Grundlage, in der Praxis doch wieder verschiedene Vorgaben im Umgang mit personenbezogenen Daten innerhalb Europas zu beachten hätte.

Eine aktuelle Liste an den Verhandlungsdokumenten des Rates zur Datenschutz-Grundverordnung findet man hier im Blog.

IT-Sicherheitsgesetz: Bundesrat übt Kritik und sieht Gefahr der Vorratsdatenspeicherung

Posted on by

Im Dezember 2014 hat die Bundesregierung den Entwurf für das sog. IT-Sicherheitsgesetz beschlossen. Der Gesetzesentwurf (PDF) sieht vor allem Änderungen im BSI-Gesetz vor und möchte den Betreibern „kritischer Infrastrukturen“ gewisse Pflichten zum Schutz der informationstechnischen Systeme auferlegen. In diesem Zuge werden jedoch auch Vorschriften des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) geändert. Zu den möglichen Änderungen für Webseitenbetreiber hatte ich bereits einen Beitrag geschrieben.

Nun hat der für das IT-Sicherheitsgesetz im Bundesrat federführend zuständige Ausschuss für Innere Angelegenheiten seine Empfehlungen zu möglichen Anpassungen des Gesetzesentwurfs vorgelegt (PDF).

Präzisierung für mehr Rechtssicherheit
Laut der Beschlussempfehlung begrüßt der Bundesrat die „Initiative der Bundesregierung zur Verbesserung der IT-Sicherheit von Unternehmen und zum verstärkten Schutz der Bürgerinnen und Bürger im Internet“. Jedoch sieht die Empfehlung des Ausschusses auch vor, dass der Bundesrat im weiteren Gesetzgebungsverfahren dafür Sorge tragen soll, dass zur Schaffung von Planungs- und auch Rechtssicherheit eine weitere Konkretisierung von unbestimmten Rechtsbegriffen erfolgt. Laut der Empfehlung gilt dies vor allem für die Begriffe „Kritische Infrastrukturen“, die Definition der Meldeschwelle für Telekommunikationsunternehmen und den Begriff „Stand der Technik“. Gerade eine Einstufung als Betreiber einer kritischen Infrastruktur könne nämlich gravierend wirtschaftliche Folgen nach sich ziehen.

Regelungen zum Schutz der Meldedaten
Zudem sieht die Empfehlung vor, dass der Bundesrat darauf achten möge, „dass eindeutige und transparente Regelungen getroffen werden, die einen angemessenen Schutz und eine sinnvolle Verwendung der umfangreichen Datenmengen sicherstellen“, die das BSI aufgrund der vorgesehenen Meldepflicht erhält. Laut der vorgeschlagenen Begründung des Ausschusses zu seiner Empfehlung beantwortet der Gesetzentwurf nicht die Frage, wie das BSI mit diesen Datenmengen in Zukunft umgehen will.

Gefahr der Vorratsdatenspeicherung
Nach dem im Gesetzentwurf vorgeschlagenen § 100 Abs. 1 TKG-E sollen Telekommunikationsanbieter die gesetzliche Erlaubnis erhalten, Nutzungsdaten „zum Erkennen, Eingrenzen und Beseitigen von Störungen sowie von Missbrauch seiner für Zwecke seines Telemedienangebots genutzten technischen Einrichtungen“ zu erheben und zu verwenden. Der federführende Ausschuss ist hier in seiner Empfehlung klar:

Bei der damit eingeführten Speicherbefugnis handelt es sich im Kern um eine weitreichende Vorratsdatenspeicherung, für die unter anderem das Bundesverfassungsgericht und der Europäische Gerichtshof enge Grenzen gesetzt haben.

(Hervorhebung durch mich)

Der Ausschuss erkennt in dieser Möglichkeit der Speicherung von Nutzungsdaten jedoch keine Verbesserung der Informationssicherheit. Vielmehr geht er davon aus, dass die Speicherung

zu einer weiteren Gefahrenquelle werden

könnte.

Bundesregierung: Geltende Datenschutzvorgaben für Werbung & Marketing sind ausreichend

Posted on by

Die Bundesregierung hat mit Datum vom 6. Januar 2015 einen Bericht „über die Auswirkungen der Änderungen der §§ 28 und 29 des Bundesdatenschutzgesetzes (BSDG) im Rahmen der zweiten BDSG-Novelle“ veröffentlicht (PDF) (BT-Drs. 18/3707).

Novellierung des BDSG
Die §§ 28 und 29 BDSG wurden in der Novelle des Jahres 2009, vor allem mit Blick auf die Neureglung des Datenumgangs im Adresshandel und bei Werbung, angepasst und nach § 48 BDSG hat die Bundesregierung den Auftrag, bis zum 31. Dezember 2014 über die Auswirkungen der Gesetzesänderungen zu unterrichten. Der nun vorliegende Bericht gibt zum einen Überblick darüber, wie aus Sicht der Aufsichtsbehörden die Vorgaben der §§ 28 und 29 BDSG eingehalten werden und wo diese noch Defizite sehen. Auch wird auf Stellungnahmen aus der Wirtschaft eingegangen.

Häufigste Verstöße
Laut den Angaben der deutschen Datenschutzbehörden finden die meisten Verstöße gegen das Datenschutzrecht (bzw. teilweise auch die Vorgaben des § 7 UWG) aufgrund folgender Konstellationen statt:

Interessant ist vor allem das durch die Bundesregierung gezogene Fazit in dem Bericht. Danach wurde das Ziel der zweiten BDSG-Novelle grundsätzlich erreicht. Die strukturellen Veränderungen im Rahmen der Novelle haben, so die Bundesregierung

den Anfall von Daten gesenkt, ihren Schutz, soweit sie anfallen, gesteigert und die Transparenz für die Betroffenen sowie ihre Widerrufsrechte gestärkt.

Zwar verneint die Bundesregierung nicht, dass es auch noch Probleme bei der Einhaltung der Vorgaben der §§ 28, 29 BDSG in der Praxis gebe. Diese Probleme beziehen sich jedoch vor allem auf Rechtsverstöße. Man könnte also auch sagen, dass eine Gesetzesänderung nicht daran ändert wird, dass auch in Zukunft gegen gesetzliche Vorgaben verstoßen werde. Daher schlägt auch die Bundesregierung vor, dass diese noch bestehenden Probleme vor allem durch stärkere Kontrollen und Sanktionierungen der Aufsichtsbehörden verringert werden sollen. „Legislative Abhilfemöglichkeiten“ sieht die Bundesregierung als wenig zielführend an.

Auch geht der Bericht auf die Auswirkungen der geplanten europäischen Datenschutz-Grundverordnung ein. Die klare Aussage der Bundesregierung:

Unabhängig von seinem Inhalt wird dieser EU-Rechtsakt erhebliche Auswirkungen auf das nationale Datenschutzrecht haben.

Fazit
Datenschutzrecht und Werbung schließen sich sicherlich nicht aus. Dennoch gilt es gerade in diesem Bereich besonderen Wert auf die Einhaltung der gesetzlichen Anforderungen zu legen. Die bayerische Datenschutzbehörde hatte erst im November 2014 angekündigt, dass sie in Zukunft wird das BayLDA ihre eher zurückhaltende Praxis bei der Ahndung dieser Verstöße durch Bußgeldverfahren aufgeben und schwerpunktmäßig in der nächsten Zeit die „Missachtung von Werbewidersprüchen“ und die unzulässige „E-Mail-Werbung zur Neukundengewinnung“ mit Bußgeldern sanktionieren werde. Erste Hinweise und Hilfestellungen zum Thema „Werbung und Datenschutz“ lassen sich etwa den „Anwendungshinweisen der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke“ (PDF) entnehmen.

NRW-Justizminister fordert „Recht auf digitalen Neustart“ für Jugendliche

Posted on by

Der Justizminister des Landes Nordrhein-Westfalen, Thomas Kutschaty, möchte sich laut dem Spiegel für eine Bundesratsinitiative einsetzen, um Internetnutzern die gesetzlich verankerte Möglichkeit zu geben, Suchmaschinenbetreibern in bestimmten Fällen die Löschung von Daten abzuverlangen. Im Blick hat Kutschaty bei seinem Vorschlag vor allem Jugendliche. Seiner Ansicht nach machten sich nämlich zu wenige von ihnen Gedanken über das, was sie ins Internet stellen. Jahre später könnte es dann zu Problemen, etwa bei Bewerbungen kommen.

Recht auf Vergessenwerden?
Der Vorschlag des Ministers (und gerade der Verweis auf Suchmaschinen) klingt nach dem Wunsch einer gesetzlichen Verankerung des sog. Rechts auf Vergessenwerden, wie es der Europäische Gerichtshof (EuGH) im Mai 2014 in seinem Google-Urteil aus der geltenden EU-Datenschutzrichtlinie entwickelte. Da jedoch das Recht von Betroffenen, Verweise auf Internetseiten unter bestimmten Voraussetzungen aus den Suchergebnislisten löschen zu lassen, nach dem EuGH bereits derzeit gesetzlich verankert (bzw. aus den Vorgaben der EU-Datenschutzrichtlinie mindestens ableitbar) ist, muss man sich fragen, welche gesetzlichen Neuregelungen der Justizminister konkret anstrebt? Denn diese wären ja eigentlich nicht erforderlich, sollte es sich allein um das Löschen (oder anders: Unterdrücken) von Links in Ergebnislisten handeln.

Bestehende Vorgaben
Die Intention scheint mehr in die Richtung des allgemeinen Schutzes von Jugendlichen und Kindern im Internet zu gehen und ihnen die Möglichkeit zu geben, dass sich ihre digitale Vergangenheit auf Knopfdruck in Luft auflösen lässt. Dies würde auch zu dem Begriff „digitaler Neustart“ passen. Insofern stellt sich dann jedoch die Frage, welche gesetzlichen Voraussetzungen erfüllt sein müssten, um Bilder, Informationen und Texte, die man als Jugendlicher veröffentlicht hat, zu löschen?

Soll es sich etwa nur um personenbezogene Daten handeln? Hier gilt bereits das Datenschutzrecht, welches nicht nach Erwachsenen und Kindern unterscheidet. Die geltenden Gesetze stellen zum einen gewisse Voraussetzungen an die Verarbeitung personenbezogener Daten an sich, wenn also etwa ein Internetdienst die Daten eines Jugendlichen eigenverantwortlich verwendet. Zudem sehen die Gesetze Löschpflichten für verantwortliche Stellen vor, die nicht nur von dem Ablauf einer gewissen Zeit, sondern auch der Unvereinbarkeit der weiteren Verwendung der Daten mit den Interessen des Jugendlichen abhängen können. Wozu also neue Regelungen?

Digitale Generalamnestie?
Eventuell steckt hinter dem Vorschlag daher eher der Gedanke einer „digitalen Generalamnestie“. Nach dem Motto: bis zum 18. Lebensjahr dürfen sich Jugendlichen im Netz austoben und ihre Jugendsünden dann auch löschen lassen. Ein solcher Vorschlag birgt jedoch meines Erachtens einige Risiken (etwa kollidierende Grundrechte Dritter) und ist natürlich gleichzeitig auch eine Art Schuldeingeständnis, nämlich dass man als Staat noch nicht die (richtigen) Mittel und Wege gefunden hat, um Kinder und Jugendliche auf die unbestreitbar bestehenden Risiken beim Umgang mit dem Internet vorzubereiten und sie aufzuklären.

Beispielhaft sei auf die USA und dort auf ein am 1.1.2015 in Kalifornien in Kraft getretenes Gesetz (Privacy Rights for California Minors in the Digital World) verwiesen. Dieses Gesetz sieht in seinem Abschnitt 22581 nämlich in der Tat eine Art „digitalen Neustart“ für Kinder im Internet (darüber hinausgehend aber etwa auch für Anbieter von Apps) vor. Die Möglichkeit für Jugendliche, bei einem Dienst oder Anbieter eingegeben Informationen (es muss sich nicht um personenbezogene Daten handeln) zu löschen bzw. löschen zu lassen, wird dort jedoch nicht pauschal gewährt, sondern enthält bestimmte Einschränkungen. So etwa eine Speicherpflicht des Anbieters aufgrund anderer Gesetze oder wenn die Informationen anonymisiert werden.

Fazit
Die Beweggründe des Justizministers sind jedoch vielleicht auch noch von einer anderen Natur. Laut dem Spiegel hält es Herr Kutschaty „für problematisch, wenn es keine gesetzliche Regelung gibt und wir uns in Fragen von Persönlichkeitsrechten auf ein Entgegenkommen von Google verlassen müssen“. Den Minister scheint also gerade die mangelnde Durchsetzung der (meines Erachtens bereits bestehenden) gesetzlichen Regelungen bzw. die tatsächlichen Probleme bei der Durchsetzbarkeit (mangelndes Personal und fehlende finanzielle Mittel in den zuständigen Behörden) zu treiben. Dazu bedarf es aber nicht noch eines „neuen“ Rechts, welches dann auch nicht durchsetzbar ist und am Ende einen reinen Placeboeffekt hervorruft.

Bis zu 15 Mio. Euro: Niederländische Datenschutzbehörde verhängt Zwangsgeld gegen Google

Posted on by

Die niederländische Datenschutzbehörde (CBP) gab gestern bekannt, dass sie im Zuge behördlicher Anordnungen gegenüber Google ein Zwangsgeld verhängt habe, dessen Höhe bis zu einem Betrag von 15 Mio. Euro steigen kann.

Nach Angaben der Behörde bietet Google seine Dienste in den Niederlanden unter Verstoß gegen das nationale Datenschutzrecht an. Im November 2013 hat die CBP ein umfassendes Gutachten (PDF, Englisch) veröffentlicht, in dem die datenschutzrechtliche Zulässigkeit der Datenverarbeitung durch die Dienste von Google untersucht wird. Auf der Grundlage der Ergebnisse dieses Gutachtens geht die Behörde nun gegen das amerikanische Unternehmen vor.

Die CBP fordert Google insbesondere zu drei umzusetzenden Maßnahmen auf:

  • Das Unternehmen muss die Einwilligung seiner Nutzer einholen, wenn es personenbezogene Daten aus verschiedenen Diensten kombiniert. Die Einwilligung müsse „ohne jeden Zweifel“ erfolgen, was derzeit nicht sichergestellt sei. So stört sich die Behörde insbesondere daran, dass Google Informationen zu dieser Verknüpfung von Daten in seinen Nutzungsbedingungen und der Datenschutzerklärung bereitstelle, was jedoch nicht ausreichend sei.
  • Zudem müssten die Informationen in den Datenschutzerklärungen darüber, wie verschiedene Dienste von Google personenbezogene Daten nutzen, deutlicher und umfassender bereitgestellt werden.
  • Auch solle Google deutlich machen, dass es sich bei YouTube um einen Dienst von Google handelt. In den Niederlanden habe Google hinsichtlich dieser letzten Forderungen bereits Maßnahmen ergriffen.

Das Vorgehen der CBP steht im Zusammenhang mit einer europaweit angelegten Prüfung der Datenschutzbestimmungen und Datenverarbeitung durch Google, die seit 2012 durch die französische Datenschutzbehörde koordiniert und im Rahmen der sog. Art. 29 Datenschutzgruppe durchgeführt wird. In mehreren Ländern haben Datenschutzbehörden bereits verwaltungsrechtliche Verfahren gegen Google eröffnet. So etwa die spanische Datenschutzbehörde (mein Beitrag) als auch die französische Aufsichtsbehörde (mein Beitrag). In Deutschland hat der Hamburgische Datenschutzbeauftragte im September 2014 eine Anordnung gegen das Unternehmen erlassen.

Erst jüngst hat die Art. 29 Datenschutzgruppe im Zusammenhang mit diesen Verfahren auch eine Stellungnahme veröffentlicht, wie aus ihrer Sicht die Datenschutzerklärung von Google angepasst werden könnte, um den datenschutzrechtlichen Ansprüchen in Europe zu genügen. Man könnte auch von einem „Hausaufagbenheft“ für Google sprechen (mein Beitrag dazu).

In den Niederlanden hat Google nun bis Februar 2015 Zeit, um die Forderungen der CBP umzusetzen. Sollte das Unternehmen dem nicht nachkommen, so kündigt die Behörde bereits an, dass ein Zwangsgeld bis zu einer Höhe von 15 Mio. Euro verhängt werden könnte.

Datenschutzreform: Deutschland will Einwilligungen der AGB-Kontrolle unterwerfen

Posted on by

Die deutsche Delegation im Rat der Europäischen Union möchte datenschutzrechtliche Einwilligungserklärungen unter der zukünftigen Datenschutz-Grundverordnung (DS-GVO) zwingend den Anforderungen des AGB-Rechts unterwerfen. Ein entsprechender Änderungsvorschlag vom 3. November 2014 (PDF) wurde der zuständigen Ratsarbeitsgruppe (Dapix) zugeleitet.

Nach der Begründung des Dokumentes werden Betroffene häufig mit Einwilligungserklärungen konfrontiert, die Bestandteil von langen und komplexen vorformulierten Vertrags- oder Nutzungsbedingungen sind, die der für die Verarbeitung Verantwortliche für eine Vielzahl von Fällen stellt und auf deren Inhalt der Betroffene keinen Einfluss nehmen kann. Um Verbraucher in solchen Fällen zu schützen, sieht das geltende AGB-Recht das Verbot von missbräuchlichen Klauseln in Verbraucherverträgen vor.

In Anlehnung an dieses verbraucherschutzrechtliche Instrument, möchte die deutsche Delegation derartige Schutzmechanismen nun auch in der DS-GVO verankern (Art. 7 Abs. 2 a). Laut dem Dokument soll

die Möglichkeit einer objektivierten Inhaltskontrolle von vorformulierten Einwilligungserklärungen

vorgeschlagen werden. Die so in das Datenschutzrecht neu einzuführende

Inhaltskontrolle ermöglicht insbesondere eine objektivierte Kontrolle, ob der Inhalt der Einwilligungserklärung alle Transparenzanforderungen erfüllt.

Auch eine unangemessene Benachteiligung (bekannt aus § 307 Abs. 2 BGB) von Betroffenen durch Einwilligungserklärungen, will die deutsche Delegation unterbinden. Daher sieht der Vorschlag eine Definition von Situationen in der DS-GVO vor, in denen eine unangemessen Benachteiligung des Betroffenen im Zweifel vorliegen und die Einwilligungserklärung unwirksam sein soll (Art. 7 Abs. 2 b).

Die von der deutschen Delegation unterbreitet Vorschläge sind eigentlich nur aus dem geltenden AGB-Recht, also vor allem bei der Prüfung von zivilrechtlichen Verbraucherverträgen, bekannt. Zwar wenden deutsche Gericht die Vorgaben der §§ 305 ff. BGB häufig auch auf Datenschutzerklärungen und dort enthaltene Einwilligungen an. Es ist jedoch nicht unumstritten, ob die jedem bekannten Datenschutzerklärungen (also Informationen zum Umgang mit personenbezogenen Daten) tatsächlich Verträge darstellen, welche einer AGB-Kontrolle zugänglich sind. Die deutsche Delegation beabsichtigt nun ein neues datenschutzrechtliches, quasi „AGB-Prüfungsregime“, fokussiert auf Einwilligungserklärungen, in die geplante DS-GVO einzuführen. Damit soll das zukünftige Datenschutzrecht, zumindest im Bereich der Einwilligungserklärungen, wohl auch dem Verbraucherschutzrecht und den dort bekannten Schutzmeachnismen angenähert werden. Auch erwähnt der Vorschlag, dass ein Vorgehen gegen intransparente oder den Betroffenen unangemessen benachteiligende Einwilligungserklärungen über ein Verbandsklagerecht (also etwa für Verbraucherschutzverbände) möglich sein soll.

EuGH: Öffentliche Videoüberwachung durch Private – nicht per se verboten!

Posted on by

Heute hat der Europäische Gerichtshof (EuGH) sein Urteil in der Sache C-212/13 gesprochen, in der es um die öffentliche Videoüberwachung durch private Personen zum Schutz ihres Lebens, Eigentums und ihrer Familie geht. Eine Darstellung des Sachverhaltes und eine Besprechung der Schlussanträge des Generalanwaltes findet sich hier bei mir im Blog.
Entgegen anderslautenden Einschätzungen, die kurz nach dem Richterspruch bereits durch die Medien geisterten, hat der EuGH die Videoüberwachung jedoch nicht für unzulässig erklärt. Er hat sich in seinem Urteil allein darauf beschränkt festzustellen, dass für die stattfindende Datenverarbeitung durch die die Videokamera betreibende Person, die Vorschriften des europäischen Datenschutzrechts (Richtlinie 95/46/EG) Anwendung finden.

Der EuGH stellt fest:

Soweit sich eine Videoüberwachung wie die im Ausgangsverfahren in Rede stehende auch nur teilweise auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten auf diese Weise verarbeitet, kann sie nicht als eine ausschließlich „persönliche oder familiäre“ Tätigkeit

angesehen werden.

Damit ist aber noch nichts darüber gesagt, ob die Datenverarbeitung rechtmäßig oder rechtswidrig erfolgt. Dieser Prüfungsschritt schließt sich erst nachfolgend an, nämlich wenn nun feststeht, dass das Datenschutzrecht überhaupt anwendbar ist.

Und diesbezüglich ist der EuGH deutlich:

Zugleich ermöglicht die Anwendung der Bestimmungen der Richtlinie 95/46, gegebenenfalls die berechtigten Interessen des für die Verarbeitung Verantwortlichen insbesondere auf der Grundlage von Art. 7 Buchst. f, Art. 11 Abs. 2 und Art. 13 Abs. 1 Buchst. d und g dieser Richtlinie zu berücksichtigen.

Wenn die Videoüberwachung per se rechtswidrig wäre, dann müsste man auch keine berechtigten Interessen berücksichtigen. Das Gericht stellt zudem fest, dass unter diese „berechtigten Interessen“ des Betreibers der Videokamera unter anderem „der Schutz des Eigentums, der Gesundheit und des Lebens des für die Verarbeitung Verantwortlichen und seiner Familie“ fallen. Ob dies im konkreten Fall zur Rechtmäßig- oder Rechtswidrigkeit der Datenverarbeitung führt, hat nun das nationale Gericht zu entscheiden. Der EuGH deutet auf jeden Fall an, dass es durchaus beachtlichen Auslegungsspielraum dafür gibt, dass die Videoaufzeichnung in diesem Fall rechtmäßig sein kann.

Hamburger Datenschützer: Datenschutzverstöße sollten generell abmahnbar sein

Posted on by

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Caspar, hat sich in einer Stellungnahme (PDF) zur Anhörung der Monopolkommission zur Vorbereitung eines Sondergutachtens zum Wettbewerb auf digitalen Märkten, zu Fragen im Schnittfeld zwischen Datenschutz- und Wettbewerbsrecht geäußert. Zum einen geht es hierbei um marktbeherrschende Stellungen von Unternehmen, die diese möglicherweise auch durch Datenschutzverstöße erlangen, festigen oder ausbauen. Zum anderen äußert sich der HmbBfDI kritisch zu dem (immer noch umstrittenen Verhältnis) zwischen Wettbewerbsrecht und dem Datenschutzrecht, vor allem inwiefern Verstöße gegen datenschutzrechtliche Vorgaben durch Wettbewerber nach dem UWG abgemahnt werden können.

Marktmacht und Datenschutz
Laut der Stellungnahme des HmbBfDI tendiert eine Datenmacht dazu, die Marktmacht von Unternehmen zu festigen. Prof. Caspar kritisiert mit Blick auf die großen Anbieter von sozialen Netzwerken und Suchmaschinen, dass für die Nutzer, anders als bei der Wahl eines Telekommunikationsanbieters, ein Anbieterwechsel nur unter Verlust der gesammelten Kontakte und der eigenen Daten möglich sei. Es bestehe zumeist keine Durchlässigkeit hin zu anderen Dienstleistern auf dem Markt. Der Datenschützer begrüßt daher den in der geplanten europäischen Datenschutz-Grundverordnung geplanten Ansatz, ein Recht auf „Datenportabilität“ einzuführen. Die Möglichkeit, die eigenen Daten beim Anbieterwechsel mitzunehmen, könne nach Ansicht von Prof. Caspar wesentlich dazu beitragen, den Wettbewerb auf digitalen Märkten zu stärken. Auch eine Interoperabilität zwischen den verschiedenen Anbietern fordert der Datenschutzbeauftragte.

Intransparente Strukturen
Zudem kritisiert Prof. Caspar, dass Marktmacht und Datenmacht gleichsam durch intransparente Strukturen der von den Unternehmen verfolgten Geschäftsmodelle begünstigt werden. Er bezieht sich in seiner Stellungnahme etwa auf die Betreiber von Suchmaschinen und die „von außen nicht ohne weiteres nachvollziehbare Platzierung in den Trefferlisten“. Im Prinzip wäre es seiner Ansicht nach erforderlich, dass die Suchalgorithmen offengelegt werden. Auch eine andere, kurzfristig zu erreichende Verbesserung schlägt er vor: durch die Vorgabe einer farbigen Unterlegung von konzerneigenen Angeboten bei den Suchtreffern würde eine größere Transparenz für Nutzer hergestellt.

Unter der Überschrift der „intransparenten Strukturen“ bemängelt Prof. Caspar zudem die Schwierigkeit für Nutzer zu erkennen, „ob und zu welchen Zwecken die Verwendung der von ihnen zur Verfügung gestellten persönlichen Daten durch die Internetdienstleister erfolgt“. Beispielhaft geht er bei seiner Stellungnahme auf die Datenschutzbestimmungen von Netflix ein. Diesen attestiert er eine „schwammige Zweckbindungsbestimmung“ und einen erweiternden Zusatz, „der die Datenschutzfunktion weitgehend ad absurdum führt“. Diese von Prof. Caspar bemängelte, fehlende Transparenz werde seiner Einschätzung nach „von marktrelevanten Unternehmen nicht zuletzt zur Festigung und Ausdehnung der eigenen Markt- und Datenmacht genutzt“.

Datenschutzwidrige Praxis und Wettbewerbsrecht
Auch geht der Datenschutzbeauftragte darauf ein, dass (vermeintliche) datenschutzwidrige Praktiken seiner Ansicht nach zu einem Wettbewerbsvorteil führen können. Gerade auf digitalen Märkten wirke sich die Nichtbeachtung von Vorgaben des Datenschutzes auch auf die Wettbewerbspositionen der Marktteilnehmer aus. Das bisherige Nebeneinander zwischen Wettbewerbs-und Datenschutzrecht erschwere es Wettbewerbern jedoch bislang, Datenschutzverstöße über das UWG erfolgreich und rechtssicher geltend zu machen. Die Rechtsprechung und Literaturmeinungen zu dieser Thematik gehen auseinander. Erforderlich für ein Vorgehen nach dem UWG ist der Verstoß gegen eine Marktverhaltensvorschrift im Sinne des § 4 Nr. 11 UWG. Jedoch existieren beispielsweise divergierende Gerichtsentscheidungen zu der Frage, ob ein Verstoß gegen die Regelung des § 4 Abs. 1 BDSG (der eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur erlaubt, soweit dies nach dem BDSG oder eine andere Rechtsvorschrift gestattet ist oder der Betroffene eingewilligt hat) auch einen Verstoß gegen das Wettbewerbsrecht darstellt.

Prof. Caspar fordert daher in seiner Stellungnahme, dass in Zukunft darüber nachgedacht werden sollte, „den Verstoß gegen Datenschutzregeln mit einem Wettbewerbsverstoß gleichzusetzen“. Hierzu bedürfe es jedoch einer Initiative des Gesetzgebers.

Internationale Datentransfers: Neues Prüfverfahren durch europäische Behörden

Posted on by

Die Übermittlung von personenbezogenen Daten aus der EU bzw. aus dem EWR in einen sog. Drittstaat, stellt Unternehmen regelmäßig vor die Herausforderung, bestimmte datenschutzrechtliche Anforderungen zu erfüllen, um den Datenfluss zu legitimieren. Nach der europäischen Datenschutzrichtlinie (RL 95/46/EG) ist im Grundsatz jede Übermittlung in Drittstaaten verboten, solange nicht ein angemessenes Schutzniveau für die übermittelten Daten geschaffen wird. Dieses angemessene Schutzniveau kann auf mehreren Wegen hergestellt werden. Ein Beispiel für Übermittlungen in die USA ist etwa die Selbstzertifizierung der die Daten empfangenden Stelle unter Safe Harbor. Daneben werden in der Praxis oft die sog. Standardvertragsklauseln der Europäischen Kommission eingesetzt. Hierbei handelt es sich um Musterverträge (eine Übersicht findet sich hier), die zwischen dem „Datenexporteur“ in der EU/dem EWR und dem „Datenimporteur“ (im Drittland) abgeschlossen werden können. Werden die Verträge ohne inhaltliche Änderungen (oder zumindest ohne solche, die zum Nachteil des Schutzniveaus der Daten von den Mustertexten abweichen) abgeschlossen, so wird automatisch ein angemessenes Schutzniveau der Daten angenommen. Eine Genehmigung der Standardverträge durch eine Aufsichtsbehörde ist dann (zumindest in Deutschland und einigen anderen Ländern der EU) nicht erforderlich, da die Behörden an die Entscheidung der EU-Kommission gebunden sind. Manche Behörden verlangen jedoch zumindest, die Verwendung der Verträge ihr gegenüber anzuzeigen. Anders sieht es für Individualverträge aus, welche der Genehmigung der Behörde bedürfen.

Die europäischen Datenschutzbehörden, versammelt in der Artikel 29 Datenschutzgruppe (Art. 29 Gruppe), haben nun in einer neuen Stellungnahme (WP 226, PDF) ein Verfahren im Zusammenhang mit der Prüfung und Genehmigung von Standard- als auch Individualverträgen vorgestellt, welches vor allem für international tätige und in mehreren Mitgliedstaaten ansässige Unternehmen interessant sein dürfte, die personenbezogene Daten in Drittstaaten übermitteln.

Die Art. 29 Gruppe erkennt die praktische Schwierigkeit, dass ein Unternehmen mit mehreren Niederlassungen in der EU möglicherweise (je nach dem nationalen Recht) gezwungen ist, in jedem Mitgliedstaat, von dem aus personenbezogene Daten in ein Drittland übermittelt werden sollen, eine Genehmigung der Behörde für inhaltlich dieselben Verträge einzuholen. Es besteht das Risiko, dass eine Aufsichtsbehörde die ihr vorgelegten Verträge als ausreichend anerkennt, eine andere Behörde jedoch Nachbesserungen fordert. Die Folge ist ein nicht zu unterschätzender Mehraufwand für Unternehmen und im schlimmsten Fall eine Divergenz der Verträge oder sogar ein Absehen von deren Verwendung, unter einem ja eigentlich vollharmonisierten europäischen Datenschutzrecht!

Unternehmen, die Übermittlungen aus mehreren Mitgliedstaaten in einen Drittstaat auf der Grundlage inhaltlicher gleicher Verträge planen, können nun ein neu geschaffenes Kooperations-Verfahren der europäischen Aufsichtsbehörden in Anspruch nehmen, um eine für alle Verträge einheitliche Entscheidung und damit vor allem eine gewisse Rechtssicherheit zu erhalten.

Das Verfahren ist nach der Stellungnahme der Art. 29 Gruppe grob wie folgt aufgebaut:

1. Das Unternehmen sucht sich diejenige Aufsichtsbehörde in einem Mitgliedstaat (in dem es eine Niederlassung besitzt) aus, die seiner Meinung nach als führende Behörde agieren sollte. Folgende Kriterien sollten der Entscheidung zugrunde liegen: der Ort der Niederlassung, an dem die Vertragsklauseln ausgehandelt bzw. entworfen werden; der Ort der Niederlassung, an dem die meisten Entscheidungen in Bezug auf die Zwecke und Mittel der Datenverarbeitung getroffen werden; den Ort der Niederlassung, um das Verfahren am effektivsten durchzuführen und die Vertragsklauseln durchzusetzen; den Ort einer Niederlassung, von dem aus die meisten Datenübermittlungen stattfinden; der Ort der Niederlassung des europäischen Hauptsitzes.

2. Das Unternehmen hat dieser Behörde den Vertragsentwurf (schriftlich als auch per E-Mail) zu übersenden und dabei auf die Art der verwendeten Standardvertragsklauseln hinzuweisen. Zudem muss auf Abweichungen zu den Mustern hingewiesen werden. Zudem sollte angegeben werden, aus welchen Mitgliedstaaten die Übermittlungen erfolgen.

3. Die Aufsichtsbehörden können entscheiden, ob im konkreten Fall ein solches Kooperations-Verfahren überhaupt sinnvoll erscheint oder nicht (etwa wenn Änderungen an den Mustertexten sich nicht auf den Datenschutz beziehen).

4. Die Wahl der führenden Behörde bleibt letztendlich den beteiligten Aufsichtsbehörden vorbehalten. Sie können etwa eine andere als die von dem Unternehmen gewählte Behörde als führend bestimmen. In diesem Fall müssen sie jedoch die Präsidentin der Art. 29 Gruppe informieren, die diese Übertragung durchführt.

5. Nach Eingang der Unterlagen soll das Unternehmen innerhalb von 2 Wochen Nachricht erhalten, ob das Kooperations-Verfahren eingeleitet wird.

6. Nimmt die ausgewählte Behörde die Bestimmung als führende Behörde an, so wird sie alle anderen von der Entscheidung betroffenen Behörden kontaktieren (also jene Behörden in Mitgliedstaaten, in denen sich Niederlassungen befinden, die ebenfalls Daten übermitteln sollen). Zudem werden gleichzeitig Prüfbehörden bestimmt, die neben der führenden Behörde die Verträge inhaltlich kontrollieren. Sind mehr als 9 Mitgliedstaaten betroffen, so werden 2 Prüfbehörden bestimmt. Ansonsten nur eine.

7. Andere betroffene Behörden können innerhalb von 2 Wochen der Einsetzung der Behörden und der Verteilung der Rollen widersprechen. Die Prüfbehörden sollen ihrer Benennung zustimmen.

8. Ähnlich wie bei der EU-weiten Prüfung von verbindlichen Unternehmensregelungen (BCR), soll auch hier ein freiwilliges System der gegenseitigen Anerkennung von behördlichem Handeln zwischen europäischen Aufsichtsbehörden eingerichtet werden.

Hat die führende Behörde ihre Analyse beendet, so wird sie das Ergebnis den Prüfbehörden mitteilen. Die Prüfbehörden haben dann einen Monat Zeit, um eigene Anmerkungen oder Änderungen vorzuschlagen. Diese Monatsfrist soll nur in Ausnahmefällen verlängert werden können. Sollte keine Reaktion der Prüfbehörde erfolgen, so gilt dies als ihre Zustimmung zum Vorschlag der führenden Behörde.

9. Danach wird das Ergebnis an alle anderen betroffenen Behörden weitergeleitet. Solche Behörden, die Teil des Systems der gegenseitigen Anerkennungen von Entscheidungen sind, werden die positive Entscheidung der führenden Behörden nur umsetzen (entsprechend den nationalen Vorgaben also etwa ihre Genehmigung erteilen).

Aufsichtsbehörden, die nicht an dem gegenseitigen Anerkennungsverfahren teilnehmen, haben eine Frist von einem Monat, um der Entscheidung der führenden Behörde zu widersprechen. Eine Fristverlängerung kann nur in Ausnahmefällen gewährt werden. Erfolgt keine Antwort der Behörde, so gilt dies als ihre Zustimmung.

10. Als letzten Schritt wird die führende Behörde das Antwortschreiben an das Unternehmen im Namen der betroffenen Aufsichtsbehörden unterzeichnen und ihr Ergebnis bekannt geben. Ab diesem Moment ist das Kooperations-Verfahren abgeschlossen und das Unternehmen kann die jeweiligen nationalen Behörden kontaktieren, um die erforderlichen Genehmigungen für die Verträge zu erhalten.

Recht auf Vergessenwerden – Europäische Datenschützer veröffentlichen Richtlinien

Posted on by

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) in Sachen „Google“ (C-131/12) aus dem Mai 2014, besitzen Betroffene einen Anspruch gegen Suchmaschinenbetreiber, mit dem sie unter gewissen Umständen Einträge aus Ergebnislisten entfernen lassen können.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der Art. 29 Datenschutzgruppe (Art. 29 Gruppe), haben nun Richtlinien veröffentlicht (PDF), nach denen sie in Zukunft Beschwerden von Betroffenen bearbeiten möchten, die zuvor mit Ansprüchen gegenüber Suchmaschinenbetreibern gescheitert sind. Das Dokument enthält zudem interessante Informationen dazu, wie die Datenschützer das Urteil des EuGH auslegen. Nachfolgend möchte ich einige Aspekte der Richtlinien näher besprechen.

Im Allgemeinen überwiegt der Datenschutz
Zunächst verweisen (man muss sagen, leider) die Datenschützer auf die Aussage des EuGH, dass im Rahmen der Abwägung zwischen dem Grundrecht auf Schutz personenbezogener Daten mit den Grundrechten der Unternehmen und der Internetnutzer, der Datenschutz im Allgemeinen überwiegen soll. Dass dieser generelle Vorrang eines Grundrechts vor anderen Grundrechten meines Erachtens mit der Charta der Grundrechte der Europäischen Union (EU-Charta) nicht begründbar ist, hatte ich bereits einmal geschrieben. An dieser Einschätzung ändert sich meines Erachtens auch nichts, wenn darauf verwiesen wird, dass ein fairer oder angemessener Ausgleich zwischen den kollidierenden Grundrechtspositionen gefunden werden muss. Denn wenn dieser faire Ausgleich bereits unter dem Vorzeichen des generellen Vorrangs des Datenschutzes steht, dann existiert von Anfang an ein Ungleichgewicht.

Positiv hervorzuheben ist, dass die Art. 29 Gruppe explizit auf das Grundrecht auf Informationsfreiheit nach Art. 11 EU-Charta verweist. Auf der anderen Seite gehen die Datenschützer jedoch davon aus, dass die Auswirkungen von Löschansprüchen auf dieses Grundrecht gar keine große Auswirkungen haben werden, da ja die Originalseiten gar nicht gelöscht werden.

Verantwortung der Niederlassungen
Die Art. 29 Gruppe schein ein Problem zu erkennen, welches bereits in letzter Zeit in Deutschland durch die juristische Nachrichtenlandschaft ging. Einige Landgerichte haben Ansprüche, die gegen die deutsche Niederlassung von Google geltend gemacht wurden, mit der Begründung abgelehnt, dass nach dem Urteil des EuGH allein die Google Inc. in den USA verantwortlich sei. Die nationalen Niederlassungen seien nicht der richtige Anspruchsgegner und damit nicht „passivlegitimiert“. In ihren Richtlinien verweisen die Datenschützer auf das Problem, dass die geltende Datenschutzrichtlinie keine Aussage zu der Verantwortlichkeit von Niederlassungen in der europäischen Union trifft, die eine verantwortliche Stelle, welche in einem Drittland (wie den USA), in der EU besitzt. Nichtsdestotrotz fordern die Datenschützer unter Verweis auf die effektive Durchsetzung der Rechte der Betroffenen, dass diese ihre Ansprüche auch gegenüber nationalen Niederlassungen geltend machen können müssen. Meines Erachtens war der EuGH in seinem Urteil klar: verantwortliche Stelle und damit alleiniger Anspruchsgegner eines datenschutzrechtlichen Anspruchs ist die Google Inc. in den USA. Zwar waren die europäischen Niederlassungen für den EuGH von Relevanz, um europäisches Datenschutzrecht für anwendbar zu erklären. Jedoch bleibt das amerikanische Unternehmen die verantwortliche Stelle. Lösch- oder Widerspruchsansprüche bestehen nur diesem gegenüber. Man kann sich auch fragen, was denn passiert, wenn es in einem europäischen Mitgliedstaat gar keine Niederlassung gibt? Sind dann die Bürger in diesen Staaten darauf angewiesen, allein gegen das in Amerika ansässige Unternehmen vorzugehen? Es existiert ja keine nationale Niederlassung. Damit wären sie im Rahmen der Durchsetzung ihrer Rechte natürlich benachteiligt.

Keine Informationen an Webmaster
Wenig überraschend gehen die Datenschützer auch davon aus, dass Suchmaschinenbetreiber den Webmaster einer Seite nicht darüber informieren dürfen, dass ein Link auf seine Seite aus der Ergebnisliste entfernt wurde. Die Art. 29 Gruppe erkennt keine gesetzliche Grundlage, nach der eine solche Mitteilung, die personenbezogene Daten enthält, erfolgen dürfte. Auch diese Sichtweise ist meines Erachtens, zumindest teilweise, zu kritisieren. Denn zum einen müsste man für jeden Einzelfall prüfen, ob die Information an den Webmaster personenbezogene Daten enthält. Denn wenn nicht (der Name des Antragstellers wird nie mitgeteilt), dann würde das Datenschutzrecht keine Anwendung finden. Selbst wenn eine Rechtsgrundlage erforderlich wäre, dann könnte man hier an Art. 7 (c) (Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt) oder an Art. 7 (f) (Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird) der Datenschutzrichtlinie (RL 95/46/EG) denken. Warum soll etwa ein Presseverlag kein berechtigtes Interesse geltend machen können, hierüber informiert zu werden?

Am Ende des Dokumentes befinden sich dann Fallgruppen und Kriterien, nach denen die europäischen Datenschutzbehörden bestimmte Sachverhalte beurteilen können. Interessant hierbei ist etwa, dass die Datenschützer in Zukunft auch Suchen nach Pseudonymen und Nicknames als taugliche Voraussetzung eines Anspruchs ansehen wollen, wenn diese der Identität einer Person zugeordnet werden können. Das Urteil des EuGH bezog sich jedoch allein auf den Namen einer Person.