Zukunft der EU-Standardvertragsklauseln: Irische Datenschutzbehörde veröffentlicht Informationen zum aktuellen Verfahren

Die irische Datenschutzbehörde hat auf ihrer Webseite Hintergrundinformationen zu einem derzeit vor dem irischen High Court anhängigen Verfahren zur Frage der Gültigkeit der EU-Standardvertragsklauseln (genauer: den zugrundeliegenden Beschlüssen der Europäischen Kommission) veröffentlicht. Hiermit möchte die Behörde über die Hintergründe des Verfahrens, an dem Maximilian Schrems und Facebook beteiligt sind, und den aktuellen Stand informieren. EU-Standardvertragsklauseln sind ein Instrument, um personenbezogene Daten in Staaten außerhalb des EWR zu übermitteln zu dürfen, die, aus Sicht des europäischen Rechts, nicht über ein angemessenes Schutzniveau für personenbezogene Daten verfügen. Die von der Kommission entwickelten Klauseln stellen ihrer Auffassung nach „ausreichende Garantien“ (Art. 26 Abs. 2 Datenschutzrichtlinie 95/46/EG) für den Schutz der Privatsphäre und der Grundrechte der betroffenen Personen dar. Anders als etwa eine Angemessenheitsentscheidung der Kommission, wie jüngst zum EU US Datenschutzschild, entfalten die Klauseln jedoch ihre Wirkung nur im Verhältnis der Parteien, die diese nutzen.

Die Aufsichtsbehörde weist darauf hin, dass Facebook und auch andere international tätige Unternehmen diese Klauseln nutzen, um personenbezogene Daten aus der EU in die USA zu übermitteln. Nach Auffassung der Behörde genügen die von der Kommission entwickelten Standardvertragsklauseln aber in drei Punkten nicht den Anforderungen europäischen Rechts.

Zum einen stünden europäischen Bürgern in den USA keine vergleichbar wirksamen Rechtsbehelfe zur Verfügung, wie sie Art. 47 der Charta der Grundrechte der Europäischen Union fordert, wenn die Daten in den USA durch staatliche Behörden für Zwecke der nationalen Sicherheit verwendet werden.

Zum anderen behandeln die Standardvertragsklauseln die Frage des wirksamen Rechtsbehelfs nicht entsprechend den Vorgaben des Europäischen Gerichtshofs, die er in seinem Urteil zur Safe Harbor-Entscheidung der Kommission (C-362/14, Schrems) aufstellte.

Zuletzt, so die Behörde, ergebe sich daraus, dass die Standardvertragsklauseln (bzw. die diesen zugrundeliegenden Beschlüssen der Kommission) selbst gegen Art. 47 der Charta verstoßen.

Entsprechend den Vorgaben des Europäischen Gerichtshofs in seinem Urteil zu Safe Harbor, habe die Aufsichtsbehörde daher die Gültigkeit der Standardvertragsklauseln vor einem irischen Gericht in Zweifel gezogen. Das Gericht könnte nun die Frage der Gültigkeit der Klauseln dem Europäischen Gerichtshof vorlegen. Wann dies genau geschieht, ist noch unklar. Derzeit befinde man sich in einer Phase des Austauschs von Meinungen und rechtlichen Ansichten zu dem Fall, der bis zum 20. Januar 2017 abgeschlossen sein soll.

Die Aufsichtsbehörde wird fortlaufend über dieses Verfahren berichten.

Google Analytics: Neuer Vertrag zur Auftragsdatenverarbeitung für deutsche Unternehmen verfügbar

Im Juni diesen Jahres informierte der Hamburger Datenschutzbeauftragte darüber, dass sich die Aufhebung der Safe Harbor Entscheidung durch den Europäischen Gerichtshof unmittelbar auf den Einsatz des Dienstes Google Analytics auswirke (hier mein Beitrag dazu). In dem ursprünglich von Google zur Verfügung gestellten Vertrag zur Auftragsdatenverarbeitung wurde nämlich in Ziffer 4.7 auf die „Safe Harbor-Vereinbarung“ verwiesen. Diese Angemessenheitsentscheidung der Europäischen Kommission konnte jedoch nach dem Urteil des Europäischen Gerichtshofs nicht mehr als Grundlage einer Datenübermittlung von personenbezogenen Daten auf Server von Google in die USA dienen. Daher wurde damals durch die Behörde auch eine Überprüfung der empfohlenen Maßnahmen eingeleitet und Gespräche mit Google geführt.

Nun hat Google für deutsche Kunden des Dienstes Google Analytics einen neuen Vertrag zur Auftragsdatenverarbeitung bereitgestellt. Dieser ist hier abrufbar (PDF). In diesem Vertrag wird in Ziffer 4.7 nun auch nicht mehr auf Safe Harbor verwiesen. Es scheint sich bei diesem Vertragsformular, welches von deutschen Webseiten- oder App-Betreibern, die Analytics einsetzen möchten, unterzeichnet werden muss, um eine mit Blick auf den seit kurzem in Kraft getretenen EU-US Datenschutzschild (Privacy Shield) angefertigte Vertragsversion zu handeln. Der Titel des Dokuments wird als „(Privacy Shield version)“ bezeichnet.

Das passt. Denn seit dem 22. September 2016 ist die Google Inc. auch offiziell unter dem EU-US Datenschutzschild zertifiziert. Unternehmen, die den Dienst Google Analytics einsetzen möchten, können sich für eine Übermittlung personenbezogener Daten an Google in den USA daher nun auf die Teilnahme des US-Unternehmens an dem Datenschutzschild berufen (vgl. auch die Information in der Datenschutzerklärung von Google).

Allein die Zertifizierung von Google unter dem Datenschutzschild reicht jedoch noch nicht aus, damit personenbezogene Daten zulässigerweise auf dieser Grundlage in die USA übermittelt werden dürfen. Erforderlich ist zudem, dass das jeweilige deutsche Unternehmen ein Vertrag zur Auftragsdatenverarbeitung mit Google abschließt (vgl. auch Anhang II, III. Zusatzgrundsätze, Ziffer 10 a. i. des Beschlusses zum Datenschutzschild). Diese Auffassung haben auch bisher die deutschen Datenschutzbehörden zu Safe Harbor vertreten und die Landesdatenschutzbeauftragte in Nordrhein-Westfalen hat erst kürzlich einen Leitfaden zur Anwendung des Datenschutzschildes veröffentlicht, in dem diese Auffassung bestätigt wurde (mein Beitrag dazu hier). Hierüber informiert Google auch in den Google Analytics Bedingungen. Neben dem Abschluss dieses Vertrages zur Auftragsdatenverarbeitung muss insbesondere darauf geachtet werden, in der eigenen Datenschutzerklärung auf den Einsatz des Dienstes hinzuweisen, eine Widerspruchsmöglichkeit bereitzustellen und durch entsprechende Einstellungen im Google-Analytics-Programmcode die Kürzung von IP-Adressen in Auftrag zu geben (Funktion „_anonymizeIp()). Vielleicht gibt es in näherer Zukunft auch noch eine offizielle Information des Hamburger Datenschutzbeauftragten oder einer anderen Aufsichtsbehörde.

 

Datenschutzrechtliche Folgen des WLAN-Urteils des EuGH

Das heutige Urteil des Europäischen Gerichtshofs (C-484/14) in der Sache Mc Fadden und seine konkreten Folgen für die Haftungssituation der Anbieter von WLANs in der Öffentlichkeit, insbesondere für das im Sommer diesen Jahres überarbeitete Telemediengesetz (neuer § 8 Abs. 3 TMG), werden bereits heftig diskutiert.

Ich möchte mich nachfolgend gar nicht so sehr mit den Feststellungen des EuGH zur Haftung eines Anbieters eines WLANs befassen. Vielmehr möchte ich nachfolgend kurz auf die durch den EuGH aufgestellte Anforderung eingehen, dass ein Anbieter, wenn ein Nutzer des von ihm angebotenen offenen WLANs beispielsweise Urheberrechtsverletzungen begeht, gerichtlich dazu verpflichtet werden kann, hinreichend wirksame Maßnahmen zu ergreifen, um einen wirkungsvollen Schutz des Rechts des geistigen Eigentums sicherzustellen.

Nach Auffassung des EuGH muss eine solche Maßnahme bewirken, dass unerlaubte Zugriffe auf die Schutzgegenstände verhindert oder zumindest erschwert werden und dass die Internetnutzer, die die Dienste des WLAN-Anbieters in Anspruch nehmen, zuverlässig davon abgehalten werden, auf die Schutzgegenstände zuzugreifen (Rz. 95).

Im vorliegenden Fall entschied das Gericht, dass unter den gegebenen Umständen eine Maßnahme, die in der Sicherung des Internetanschlusses durch ein Passwort besteht, als erforderlich anzusehen ist (Rz. 99). Das vorlegende deutsche Gericht zog überhaupt nur drei mögliche Maßnahmen in Betracht; meines Erachtens ist daher auch nicht ausgeschlossen, dass andere, in diesem Verfahren nicht erwähnte Maßnahmen, ebenfalls als wirksame Alternativen angesehen werden könnten. Der EuGH verweist mehrmals ausdrücklich darauf, dass seine Prüfung vorliegend allein auf die drei durch das deutsche Gericht erwähnten Maßnahmen beschränkt ist.

Eine solche Sicherung des WLANs durch ein Passwort könnte, so der EuGH, die Nutzer dieses Anschlusses davon abschrecken, ein Urheberrecht oder verwandtes Schutzrecht zu verletzen, soweit diese Nutzer ihre Identität offenbaren müssen, um das erforderliche Passwort zu erhalten, und damit nicht anonym handeln können (Rz. 96).

Der EuGH macht die zu erzielende Abschreckungswirkung davon abhängig, dass sowohl ein Passwort vergeben werden muss und dieses zwingend von der Offenbarung der Identität der WLAN Nutzer abhängt. Das Ergebnis dieser Maßnahme muss nach dem Urteil des EuGH sein, dass die Nutzer „nicht anonym handeln können“.

Damit gestattet es der EuGH, dass WLAN Anbieter gerichtlich dazu verpflichtet werden können personenbezogenen Daten der Nutzer zur Identifizierung zu verarbeiten. Sie müssen ihre „Identität offenbaren“. Folglich wird diese Entscheidung auch datenschutzrechtliche Implikationen für die Anbieter von offenen WLANs haben. Sie können quasi dazu gezwungen werden, personenbezogene Daten zum Zweck der Identifizierung der Nutzer zu verarbeiten. Insbesondere dürfte es nach dem Urteil des EuGH nicht ausreichen, wenn etwa Pseudonyme vergeben werden können oder man sich zum Beispiel auch nur mit seinem Nachnamen anmelden könnte. Das Gericht bekräftigt mehrmals, dass der Nutzer seine Identität offenbaren müsse. Dies wird aber im Ergebnis nur möglich sein, wenn der Nutzer seinen vollen Namen und eventuell weitere personenbezogene Daten angibt.

Aus Sicht eines Anbieters eines WLAN muss sich dann unweigerlich die Frage stellen, auf der Grundlage welches Erlaubnistatbestandes die Verarbeitung entsprechender personenbezogener Daten zur Identifizierung eines Nutzers erlaubt ist.

Dabei wird sich zuallererst die Frage stellen, welches Gesetz überhaupt die einschlägigen datenschutzrechtlichen Regelungen für den Umgang mit personenbezogenen Daten in einem offenen WLAN bereithält. Man könnte zunächst freilich davon ausgehen, dass die datenschutzrechtlichen Regelungen der §§ 11 ff. TMG Anwendung finden, da es ja in dem Urteil um europäische Vorgaben gehen, welche ihre Umsetzung ebenfalls im TMG (§§ 7 und 8) finden. Hier ist jedoch zu beachten, dass die Frage, wer datenschutzrechtlich verantwortlich ist, wer also die „verantwortliche Stelle“ (§ 3 Abs. 7 BDSG) ist, zunächst einmal nach den Vorgaben des BDSG richtet. Dies auch, soweit es die datenschutzrechtlichen Regelungen des TMG betrifft.

Verantwortlich für die Datenverarbeitung (konkret die Identifizierung der Nutzer und die Vergabe eines Passwortes) wird hier in den meisten Fällen natürlich der Anbieter des WLANs sein. Wenn dieser im Rahmen einer vorgeschalteten Webseite, bevor der Nutzer in den Genuss des Zugangs zum freien Internet kommt, personenbezogene Daten, etwa zur Identifizierung erhebt und verarbeitet, dürfte die Datenverarbeitung über diese Website im Rahmen des Bereithaltens eigener Telemedien erfolgen (freilich mag man hier auch die Frage stellen, ob eine Identifizierung über eine Webseite überhaupt wirksam möglich ist). Jedoch erscheint fraglich, ob etwa der Erlaubnistatbestand des § 15 Abs. 1 TMG (also für den Umgang mit Nutzungsdaten; Bestandsdaten nach § 14 dürften nicht vorliegen, da kein Vertragsverhältnis mit dem WLAN-Anbieter besteht) die Verarbeitung personenbezogene Daten zur Identifizierung eines Nutzers gestattet. Zwar darf der Anbieter nach § 15 Abs. 1 TMG personenbezogene Daten eines Nutzers verwenden, jedoch nur soweit dies erforderlich ist, um die Inanspruchnahme des Telemediums (also etwa der vorgeschalteten Anmeldewebseite) zu ermöglichen. Man könnte jedoch wohl auch die Auffassung vertreten, dass die Verarbeitung personenbezogener Daten für eine Identifizierung des Nutzers ja nicht unbedingt erforderlich ist um die vorgeschaltete Webseite zu nutzen, sondern allein den Zweck hat um nach gelagert von dem Internetzugang profitieren zu können. Das Telemedium ist nur die Anmeldeseite, nicht der nachgelagerte Zugang zum Internet. Möglicherweise kann man sich hier nur mit der Einholung einer Einwilligung nach § 13 Abs. 2 TMG behelfen. Sollte die Identifzierung dagegen „offline“ erfolgen (beispielsweise prüft der Kellner im Cafe die Ausweise), würde sich die Datenverarbeitung nach den Vorgaben des BDSG richten.

Daneben muss noch beachtet werden, dass die Anbieter von WLANs als sog. „Diensteanbieter“ im Sinne des § 3 Nr. 6 b) TKG angesehen werden, da sie an der Erbringung von Telekommunikationsdiensten mitwirken. Diese Auffassung vertritt unter anderem die Bundesnetzagentur (Amtsblattmitteilung Nr. 149, 2015, PDF). Dies hat zur Folge, dass grundsätzlich auch die spezialgesetzlichen Regelungen zum Datenschutz im TKG (§§ 91 ff) Anwendung finden. Möglicherweise könnten die Informationen zum Passworte und zur Identität der Nutzer auch unter den Begriff der „Verkehrsdaten“ nach § Nr. 30 TKG fallen. Deren Verarbeitung richtet sich nach den Vorgaben des § 96 TKG.

Man wird abwarten müssen, wie sich die Folgen des Urteils in der Praxis auswirken und mit den nun aufgestellten Vorgaben des Urteils umgegangen wird. Anbieter von WLANs sollten aber in jedem Fall auch die mit diesen Vorgaben des EuGH einhergehenden datenschutzrechtlichen Folgen beachten.

Federal Government: No new right for data protection authorities to directly challenge Privacy Shield

On 13 May 2016, the German Bundesrat (representing the sixteen Länder) in a resolution (BR Drs. 171/16 (B) pdf, German) prompted the Federal Government to introduce a new law for a right of action by data protection authorities against so-called adequacy decisions of the EU Commission for third-country transfers of personal data, as formerly Safe Harbor and now the EU-U.S. Privacy Shield (see my earlier post, German). This demand originated in particular from the judgment of the ECJ in “Schrems” (C-362/14) in October 2015.

In a statement (pdf, German) from July 15, 2016 the Federal Government now takes a stand on this resolution of the Bundesrat.

The Ministry of the Interior indicates that it is already currently working intensively on the adaptation of the national data protection law to the General Data Protection Regulation (GDPR). The new national data protection law shall, in accordance to the provision of Art. 58 para 5 GDPR, also provide legal remedies for data protection authorities.

However, the Ministry of the Interior does not directly mention the possibility of a judicial remedy against an adequacy decision of the European Commission but only refers to Art. 58 para 5 GDPR. Art. 58 para 5 GDPR also does not refer to the legal challenge of adequacy decisions of the European Commission as such, but to „infringements of this Regulation“.

This refers to a transfer of data to a third country as such that is not in accordance with the provisions of the GDPR, for example not based on a decision on adequacy or for example standard contractual clauses. The binding adequacy decision of the European Commission’s decision is, at least in my interpretation, not the subject of Art. 58 para 5 GDPR, but the processing of personal data as such which could be illegal and therefore challenged. Of course, the basis for this transfer (like an adequacy decision) could then also be assessed by the ECJ as part of a the general assessment of lawfulness of the transfer.

This would also be in line with the ECJ case law, as the Court has emphasized (margin 61 of Schrems judgment, C-362 /14)): „the Court alone has jurisdiction to declare that an EU act, such as a Commission decision adopted pursuant to Article 25(6) of Directive 95/46, is invalid, the exclusivity of that jurisdiction having the purpose of guaranteeing legal certainty by ensuring that EU law is applied uniformly“.

The Federal Government also does not want to grant data protection authorities the right to launch an action for annulment before the ECJ in accordance with Art. 263 TFEU on behalf of the Federal Republic of Germany. This is mainly because the data protection supervisory authorities are and must be independent.

Bundesregierung: Kein Klagerecht für Datenschutzaufsichtsbehörden gegen Privacy Shield

Am 13. Mai 2016 hat der Bundesrat in einer Entschließung (BR Drs. 171/16 (B), pdf) die Bundesregierung dazu aufgefordert, zeitnah einen Gesetzentwurf für ein Klagerecht von Datenschutzaufsichtsbehörden gegen sog. Angemessenheitsbeschlüsse der Europäischen Kommission für Drittstaatentransfers personenbezogener Daten, wie vormals Safe Harbor und nun das EU-U.S. Privacy Shield, vorzulegen (hierzu mein Beitrag). Teil des Beschlusses des Bundesrates war auch ein eigener Vorschlag für einen neuen § 38b-E Bundesdatenschutzgesetz.

In einer Stellungnahme (pdf) vom 15. Juli 2016 äußert sich nun die Bundesregierung zu dieser Entschließung des Bundesrates.

Das Bundesministerium des Inneren weist darauf hin, dass man bereits derzeit intensiv an der Anpassung des nationalen Datenschutzrechts an die Datenschutz-Grundverordnung (DSGVO) arbeite. In dem neuen nationalen Datenschutzrecht soll es, entsprechend den Vorgaben von Art. 58 Abs. 5 DSGVO, auch Klagemöglichkeiten für Datenschutzaufsichtsbehörden geben. Jedoch spricht das Bundesinnenministerium nicht direkt die Klagemöglichkeit gegen eine Angemessenheitsentscheidung der Europäischen Kommission an. Art. 58 Abs. 5 DSGVO bezieht sich auch nicht auf die gerichtliche Anfechtung von Beschlüssen der Europäischen Kommission, sondern benennt „Verstöße gegen diese Verordnung“. Dies bezieht sich etwa auf eine Datenübermittlung in einen Drittstaat, die nicht auf der Grundlage einer Angemessenheitsentscheidung oder aber zum Beispiel unter Einsatz von Standardvertragsklauseln erfolgt.

Der bindende Beschluss der Europäischen Kommission ist, zumindest nach meiner Lesart, gerade nicht Gegenstand des Art. 58 Abs. 5 DSGVO, sondern die Datenübermittlung (also die Verarbeitung) selbst. Geht man gegen diese vor, könnte inzident am Ende durch den EuGH auch die zugrundeliegende Angemessenheitsentscheidung geprüft werden. Dies liegt auf einer Linie mit der Rechtsprechung des EuGH, der ausdrücklich betont hat (Rz. 61 des Schrems-Urteils, C-362/14)): „Gleichwohl ist allein der Gerichtshof befugt, die Ungültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission festzustellen“.

Nicht zugestehen will die Bundesregierung den Datenschutzaufsichtsbehörden darüber hinaus eine Ermächtigung, gegen Angemessenheitsbeschlüsse in Vertretung der Bundesrepublik Deutschland Nichtigkeitsklage vor dem EuGH nach Artikel 263 AEUV zu erheben. Dies vor allem deshalb, weil die Datenschutzaufsichtsbehörden unabhängig sind.

Generalanwalt zur Vorratsdatenspeicherung: Ja, aber…

Heute hat der Generalanwalt am europäischen Gerichtshof (EuGH), Saugmandsgaard Øe, seine Schlussanträge in den verbundenen Rechtssachen C-203/15 und C-698/15 vorgelegt. Es geht um die, gerade auch aus deutscher Sicht, wichtige Frage, inwiefern nationale Regelungen, die eine Speicherung von Kommunikationsdaten auf Vorrat vorsehen, mit europäischem Recht vereinbar sind.

Die Schlussanträge des Generalanwalts sind sehr ausführlich. Ich möchte daher nachfolgend nur einige Schlaglichter auf aus meiner Sicht besonders interessante Aspekte werfen.

Deutsche Regierung: Pflicht zur Vorratsdatenspeicherung nach EU-Recht zu beurteilen

Im Rahmen des Gesetzgebungsverfahrens zur Anpassung des Telekommunikationsgesetzes (TKG) in Deutschland und zur Einführung der Vorratsdatenspeicherung wurde teilweise vertreten, dass die neuen nationalen Regelungen sich nicht an europäische Standards messen lassen müssten, damit den neuen Regelungen im TKG kein europäisches Recht durchgeführt wird. Die deutsche Regierung hat bereits im Gesetzgebungsentwurf darauf hingewiesen, dass ihre Ansicht nach sehr wohl europäische Vorgaben zu beachten sind. Diese Ansicht bekräftigt die Bundesregierung noch einmal in dem Verfahren vor dem EuGH (Rz. 91). Die generelle Verpflichtung zur Vorratsspeicherung stellt eine Durchführung des Art. 15 Abs. 1 der Richtlinie 2002/58 dar. Auch die neuen Regelungen im TKG müssen also die Vorgaben europäischen Rechts beachten und aus diesem Grunde ist auch der Ausgang des hier vorliegenden Verfahrens für die Vorratsdatenspeicherung in Deutschland von besonderem Interesse.

Trennung zwischen Speicherung und Zugang

Der Generalanwalt trennt in seinen Schlussanträgen grundsätzlich zwischen der Verpflichtung und technischen Phase der Speicherung von Verkehrsdaten einerseits und dem späteren Zugang und technischen Zugriff auf diese gesammelten Verkehrsdaten durch nationale Behörden andererseits. Die Pflicht zur Speicherung fällt nicht unter die Ausnahmeregelung des Art. 1 Abs. 3 der Richtlinie 2002/58 (für Tätigkeiten im Rahmen der öffentlichen Sicherheit, der Landesverteidigung, der Sicherheit des Staates und der Tätigkeit des Staates im strafrechtlichen Bereich). Denn die Pflicht zur Speicherung trifft private Wirtschaftsteilnehmer im Rahmen ihrer privaten Tätigkeit (Rz. 94). Die in Art. 15 Abs. 1 der Richtlinie 2002/58 erlaube gerade die Einführung einer generellen Verpflichtung zur Vorratsdatenspeicherung. Die Inanspruchnahme dieser Befugnis durch den nationalen Gesetzgeber ist jedoch von der Einhaltung strenger Voraussetzungen abhängig (Rz. 116).

Der Generalanwalt stellt auch klar, dass seiner Ansicht nach die nationalen Bestimmungen die den Zugang zu den auf Vorrat gespeicherten Daten regeln nicht in den Anwendungsbereich der europäischen Charta der Grundrechte fallen (Rz. 123). Jedoch könne man seiner Ansicht nach die Problematik der Vorratsspeicherung und diejenige des nachgelagerten Zugangs nicht vollständig voneinander getrennt beobachten. Denn die konkrete Ausgestaltung des Zugangs ist von entscheidender Bedeutung für die Beurteilung der Frage, ob die Bestimmungen zur Einführung der Vorratsdatenspeicherung (also die vorgelagerte 1. Stufe) mit der Charta der Grundrechte der Europäischen Union und den Vorgaben der Richtlinie 2002/58 vereinbar sind (Rz. 125).

Zweifacher Eingriff: 6 kumulative Voraussetzungen zu erfüllen

Nach Auffassung des Generalanwalts stellt die generelle Verpflichtung zur Vorratsdatenspeicherung sowohl ein Eingriff in die in der Richtlinie 2002/58 verankerten Rechte als auch in die in den Art. 7 und 8 der Charta der Grundrechte verankerten Grundrechte dar (Rz. 127). Für eine Rechtfertigung dieser Eingriffe müssen sowohl die Vorgaben von Art. 15 Abs. 1 der Richtlinie 2002/58 und von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union, ausgelegt im Lichte des Urteils des EuGH in Sachen Digital Rights Ireland, erfüllt sein. Nach Auffassung des Generalanwalts müssen folgende Voraussetzungen kumulativ erfüllt werden:

  • Die Vorratsspeicherungspflicht muss eine gesetzliche Grundlage haben;
  • sie muss den Wesensgehalt der in der Charta verankerten Rechte wahren;
  • sie muss einer dem Gemeinwohl dienenden Zielsetzung entsprechen;
  • sie muss zur Verfolgung dieses Ziels geeignet sein;
  • sie muss für die Verfolgung des genannten Ziels erforderlich sein, und
  • sie muss in einer demokratischen Gesellschaft in angemessenem Verhältnis zur Verfolgung dieses Ziels stehen.

Einfache Kriminalität rechtfertigt keine generelle Verpflichtung zur Vorratsdatenspeicherung

teilweise wurde in dem Verfahren vorgebracht, dass jede Zielsetzung, die in Art. 15 Abs. 3 der Richtlinie 2002/58 oder auch in Art. 13 Abs. 1 der geltenden Datenschutzrichtlinie (95/46/EG) genannt sei eine generelle Verpflichtung zur Vorratsdatenspeicherung rechtfertigen könne auch bei Straftaten im Rahmen „einfacher“ Kriminalität oder im Kontext nicht strafrechtlicher Verfahren wäre die generelle Verpflichtung zur Vorratsdatenspeicherung gerechtfertigt (Rz. 169). Diese Auffassung teilt der Generalanwalt nicht. Seiner Ansicht nach schließt es das Erfordernis der Verhältnismäßigkeit in einer demokratischen Gesellschaft aus, dass die Bekämpfung einfacher Kriminalität eine Rechtfertigung für eine generelle Verpflichtung zur Vorratsdatenspeicherung sein kann. Die erheblichen Gefahren, die von dieser Verpflichtung ausgingen, stünden nämlich außer Verhältnis zu den Vorteilen, die sie bei der Bekämpfung leichter Kriminalität verschaffen würden (Rz. 172).

Erforderlichkeit: Einschränkung des Rechts aus Schutz personenbezogener Daten aus das „absolut Notwendige“

Im Rahmen der Prüfung der Erforderlichkeit der generellen Verpflichtung zur Vorratsdatenspeicherung macht der Generalanwalt unter anderem auch allgemeingültige Ausführung dazu, wann seiner Ansicht nach die Voraussetzungen der absoluten Notwendigkeit erfüllt sind. Das Merkmal der absoluten Notwendigkeit wird von dem EuGH gerade im Bereich des Datenschutzrechts und des Eingriffs in das entsprechende Grundrecht sehr oft ausgelegt und geprüft. Zuletzt etwa auch in seinem Schrems-Urteil zu Safe Harbor bei der Frage, welches Schutzniveau für personenbezogene Daten in der europäischen Union hinsichtlich der Verarbeitung dieser Daten durch staatliche Behörden existiert.

Nach Auffassung des Generalanwalts geht eine Verpflichtung zur Vorratsdatenspeicherung nicht über das absolut wendige hinaus, sofern mit dieser Speicherung bestimmte Garantien einhergehen die den Zugang zu den Daten, die Dauer der Vorratsspeicherung und den Schutz und die Sicherheit der Daten betreffen (Rz. 193). Diese Differenzierung ist meines Erachtens zum Verständnis der Schlussanträge sehr wichtig. Der Generalanwalt leitet in der Folge seine Auffassung aus früheren Urteilen des EuGH ab, dass dieser nicht entschieden habe, dass eine mangelnde Differenzierung bei der Erhebung und Speicherung personenbezogener Daten bedeuten würde, dass die Verpflichtung zu dieser Speicherung als solche über das absolut notwendige hinausgehen (Rz. 199). Sie geht jedoch dann über das absolut wendige hinaus, wenn, quasi als Auffanglager Schale einer fehlenden Differenzierung bei der Erhebung und Speicherung, keine geeigneten Garantien hinsichtlich der Datensicherheit und des Zugriffs auf die Daten vorhanden sind.

Diesbezüglich verweist der Generalanwalt auch auf das Urteil des EuGH in Sachen Schrems, wo das Gericht in Rz. 93 diese Zweigliedrigkeit bei der Auslegung des Begriffs des „absolut Notwendigen“ noch einmal klar formulierte. Der Generalanwalt folgert, dass eine Verpflichtung zur Vorratsspeicherung über das absolut notwendige stets dann hinausgeht, wenn mit ihr keine Garantien hinsichtlich des Datenzugangs, der Dauer der Vorratsspeicherung sowie des Schutzes und der Sicherheit der Daten einhergehen (Rz. 205).

Interessant sind die diesbezüglichen Verstellung des Generalanwalts insbesondere hinsichtlich der Frage, inwieweit die neue Angemessenheitsentscheidung der Europäischen Kommission zum Privacy Shield ein angemessenes Schutzniveau hinsichtlich personenbezogener Daten, die in die USA übertragen werden, gewährleistet. Vor der offiziellen Verabschiedung des Privacy Shield wurde ja gerade auch über die Thematik der generellen Erhebung und Speicherung von personenbezogenen Daten durch US-Behörden einerseits und den Vorgaben der US-Behörden hinsichtlich des Zugangs und der Nutzung dieser Daten andererseits diskutiert. Man könnte sich also meines Erachtens durchaus die Frage stellen, inwieweit die durch die US-Regierung zugesicherten Garantien den Anforderungen jener Garantien genügen, die der Generalanwalt in diesem Verfahren formuliert.

Hamburger Datenschützer: Safe Harbor-Urteil wirkt sich auf Einsatz von Analysetools aus

Seit Jahren herrschte in Deutschland bei der Einbindung von Analysetools durch Webseitenbetreiber, z.B. auch von Google Analytics, eine bewährte und durch die Datenschutzbehörden akzeptierte Praxis. Im Jahre 2009 hatten sich die deutschen Datenschutzbehörden auf Vorgaben für eine datenschutzkonforme Ausgestaltung von „Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ (PDF) geeinigt. Auf Betreiben der Datenschutzbehörde in Hamburg hin hat zudem Ende 2009 auch Google verschiedene Anpassungen an seinem Produkt Google Analytics vorgenommen, um einen aus Sicht der Datenschutzbehörden beanstandungsfreien Betrieb durch Webseitenbetreiber gewährleisten zu können.

Webseitenbetreiber mussten den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Zudem mussten Nutzer der Webseite in der Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufgeklärt und auf die Widerspruchsmöglichkeiten gegen die Erhebung personenbezogener Daten durch Google Analytics hingewiesen werden. Hierbei sollte auf die entsprechende Seite „http://tools.google.com/dlpage/gaoptout?hl=de“ verlinkt werden. Durch entsprechende Einstellungen im Google-Analytics-Programmcode musste die Kürzung von IP-Adressen in Auftrag gegeben werden (Funktion „_anonymizeIp()). Zuvor erhobene Altdaten mussten gelöscht werden. Diese Anforderung finden sich etwa noch auf der Webseite der Datenschutzbehörde in Nordrhein-Westfalen. Von der Webseite des Hamburgischen Beauftragten für Datenschutz wurden sie entfernt.

Der Grund: nach einer Mitteilung des Datenschutzbeauftragten aus Hamburg (Stand: Juni 2016) unterliegt die bisher veröffentlichte Handreichung zu den datenschutzrechtlichen Anforderungen an Webseitenbetreiber mit Sitz in Hamburg beim Einsatz von Google Analytics unter anderem wegen des Urteils des EuGH vom 06.10.2015 (C-362/14- Schrems) zur Ungültigkeit der Entscheidung der Kommission zum sogenannten Safe-Harbor-Abkommen mit den Vereinigten Staaten von Amerika zur Herstellung eines angemessenes Schutzniveaus einer datenschutzrechtlichen Überprüfung und gegebenenfalls einer Überarbeitung.

Der Hamburger Datenschützer weist in seiner Mitteilung darauf hin, dass nach Ziffer 4.7 der Anlage 1 „Regelungen zur Auftragsdatenverarbeitung“ der Google Analytics-Bedingungen zur Herstellung der Angemessenheit des Datenschutzniveaus für Datenübermittlungen in die USA auf die für ungültig erklärte Safe-Harbor-Entscheidung verwiesen wird. Die Angemessenheit des Datenschutzniveaus kann auf dieser Grundlage rechtlich jedoch nicht mehr sichergestellt werden. Die Schlussfolgerung des Datenschutzbeauftragten:

Dies wirkt sich unmittelbar auf den Einsatz des Dienstes aus. Eine Überprüfung der von uns empfohlenen Maßnahmen ist eingeleitet, allerdings noch nicht abgeschlossen. Wir stehen dabei auch im Gespräch mit dem Unternehmen Google.

Man wird nun abwarten müssen, welches Ergebnis nach der Überprüfung durch die Behörde und auch nach den Gesprächen mit Google selbst am Ende herauskommt. Eventuell wird die Behörde von Google fordern, dass Kunden ab sofort die EU-Standardvertragsklauseln abschließen müssen. Diese alternativen Übermittlungsinstrumente werden, so der Hamburgische Datenschutzbeauftragte in einer Pressemitteilung vom 6. Juni 2016, „derzeit nicht beanstandet“.

Hamburg Data Protection Watchdog Fines International Companies For Illegal Data Transfers

Today, the Data Protection Authority of Hamburg (“authority”) informed in a press statement (German) that, in the past months, it reviewed the data transfers of 35 international organizations based in Hamburg.

After the Schrems judgment in October 2015 by the European Court of Justice, declaring the former Safe Harbor-decision by the European Commission invalid, the authority contacted organizations in Hamburg operating also in the USA and reviewed the legality of the transfer of personal data to America, especially if other instruments than the Safe Harbor-decision was used. According to the press statement, the tests have shown that the vast majority of the companies had changed the legal basis of their transfers of data, implementing the so-called standard contractual clauses which are also based on a decision by the European Commission.

However, the authority informs that a few companies had not switched to a valid alternative within half a year after the judgement. The data transfers of these companies were therefore considered unlawful.
While some of the initiated proceedings could until now not be completed and other reviews are still running, three administrative fines issued due to illegal transfers of personal data of customers and employees have become legally binding now.

With regard to the new EU-US Privacy Shield, the designated successor of the Safe Harbor-decision, the Data Protection Commissioner of Hamburg, Prof. Caspar, calls on the European Commission and the US government to revise the draft decision in several key areas. Against this background, Prof. Caspar also wants to put the question of the legality of the EU standard contractual clauses on the table. But the commissioner also highlights that the use of these alterative instruments for data transfers to third countries is currently not objected.

Update:
According to a report by Spiegel Online (German), the three fined companies are Adobe (fine: 8.000 Euros), Punica (fine: 9.000 Euros) and Unilever (fine: 11.000 Euros). Since all three companies have changed the legal basis for data transfers during the proceeding, the fine was significantly smaller than the theoretical maximum of 300.000 Euros.

Bundesrat: Gesetzesvorschlag für ein neues Klagerecht der Datenschutzbehörden gegen Privacy Shield

In meinem Beitrag vom 19. April 2016 habe ich berichtet, dass das Land Hamburg (das Land Brandenburg hat sich dem angeschlossen) im Bundesrat einen Vorschlag für einen Antrag an die Bundesregierung eingebracht hat, mit dem die Bundesregierung aufgefordert werden soll, ein Klaggerecht für deutsche Datenschutzbehörden gegen sog. Angemessenheitsentscheidungen der Europäischen Kommission (wie vormals Safe Harbor und in Zukunft wohl das EU-US Privacy Shield) zu schaffen. Es solle eine entsprechende Gesetzesänderung auf Bundesebene im Verwaltungsrecht vorgenommen werden. Der Antrag ist auf der Webseite des Bundesrates abrufbar (PDF).

Hintergrund dieses Vorschlags ist das Urteil des Europäischen Gerichtshofs (EuGH) in der Sache „Schrems“ (C-362/14), mit dem die Safe Harbor-Entscheidung der Kommission für ungültig erklärt wurde. In dem Urteil verlangt das Gericht unter anderem, dass den nationalen Aufsichtsbehörden für den Datenschutz ein Klagerecht für den Fall zustehen muss, wenn ein Betroffener sich gegen eine Datenübermittlung in einen Drittstaat (wie die USA) wendet, die auf einer Angemessenheitsentscheidung der Europäischen Kommission (basierend auf Art. 25 Abs. 6 der Datenschutzrichtlinie (RL 95/46/EG) beruht. Dann müsse, so der EuGH, die Aufsichtsbehörde die Möglichkeit haben, vor den nationalen Gerichten von sich aus mit dem Ziel zu klagen, dass das angerufene Gericht die Frage der Gültigkeit eines Angemessenheitsbeschlusses (wie vormals Safe Harbor) dem EuGH vorlegt. Am 20. April 2016 (Pressemitteilung) haben sich auch die deutschen Datenschutzbehörden hinter den Vorschlag gestellt und die „rasche Schaffung eines Klagerechtes auch für die deutschen Datenschutzbehörden gefordert“.

Nun liegt ein entsprechender Gesetzesvorschlag (PDF) zur Einführung eines neuen „§ 38b BDSG – Verfahren zur Überprüfung von Rechtsakten nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG“ vor, der von dem Innenausschuss des Bundesrates erarbeitet und vom federführenden Rechtsausschuss angenommen wurde. Am 13. Mai 2016 soll der Bundesrat über diesen Antrag und den darin enthaltenen Gesetzesvorschlag beraten. Der Wortlaut des Vorschlags:

(1) Jede Aufsichtsbehörde ist im Rahmen ihrer Prüfung von Beschwerden eines Betroffenen über den Schutz seiner Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten, die aus der Bundesrepublik Deutschland an ausländische, nicht in § 4b Absatz 1 Satz 1 erfasste Stellen übermittelt werden, befugt, das Bundesverwaltungsgericht zur Entscheidung im ersten und letzten Rechtszug mit den Antrag anzurufen, festzustellen, dass ein zur Rechtfertigung der Übermittlung angewendeter Rechtsakt der Kommission nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG ungültig ist, weil das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisten.

(2) Absatz 1 gilt entsprechend für den Bundesbeauftragten oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die nach Landesrecht für die Kontrolle des Datenschutzes bei öffentlichen Stellen der Länder zuständigen Behörden.

Nachfolgend einige kurze Anmerkungen zu dem Vorschlag.

Nach Abs. 1 wären nur Prüfungen der Behörden hinsichtlich der „Verarbeitung“ personenbezogener Daten erfasst. Die Phase der Erhebung (§ 3 Abs. 3 BDSG) und auch ein „Nutzen“ (§ 3 Abs. 5 BDSG) personenbezogener Daten würden nicht dem Anwendungsbereich des neuen § 38b Abs. 1 BDSG unterfallen, selbst wenn eine Übermittlung der Daten stattfindet.

Aufsichtsbehörden könnten eine Feststellungsklage beim Bundesverwaltungsgericht erheben. Hierzu sollen sie „befugt“ sein. Nicht aus dem Urteil des EuGH wurde jedoch die Voraussetzung übernommen, dass die Aufsichtsbehörde die Beschwerde eines Betroffenen für „begründet“ erachten muss. (Rz. 64 des EuGH-Urteils: Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen). § 38b Abs. 1 BDSG lässt die Klagemöglichkeit zum Bundesverwaltungsgericht ganz generell zu.

Der Klageantrag soll darauf gerichtet sein, festzustellen, dass „ein zur Rechtfertigung der Übermittlung angewendeter Rechtsakt der Kommission nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG ungültig ist“. Eine solche Feststellung kann ein nationales Gericht, ebenso wie eine nationale Aufsichtsbehörde, jedoch nicht treffen. Dies hat der EuGH in seinem Urteil ausdrücklich betont (Rz. 61 des EuGH-Urteils): „Gleichwohl ist allein der Gerichtshof befugt, die Ungültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission festzustellen“. Nach dem EuGH dürfen nationale Gerichte diesem nur ein Ersuchen um Vorabentscheidung über die Gültigkeit solcher Entscheidungen vorlegen. Zudem sind die nationalen Gerichte berechtigt, die Gültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission zu prüfen. Die Feststellung ihrer Ungültigkeit, ist jedoch nicht möglich.
Selbst wenn also in Zukunft z.B. die dem EU-US Privacy Shield zugrundeliegende Entscheidung durch den EuGH für ungültig erklärt werden sollte, so dürfte, wenn das Verfahren nach der Entscheidung des EuGH zurück an das Bundesverwaltungsgericht kommt, dieses nicht die Ungültigkeit der Angemessenheitsentscheidung feststellen. Im Ergebnis müsste es vor dem Bundesverwaltungsgericht wohl eher um die Feststellung gehen, dass eine auf einer Angemessenheitsentscheidung beruhende Übermittlung unzulässig ist. Im Rahmen einer erforderlichen Inzidentprüfung könnte dann dem EuGH die Frage der Gültigkeit der zugrundeliegenden Entscheidung der Europäischen Kommission vorgelegt werden.

Mit Blick auf die Klagemöglichkeit der Aufsichtsbehörden bei Datenübermittlungen in Drittstaaten bleibt es also weiter spannend. Man muss nun abwarten, inwiefern der Bundesrat den nun vorliegenden Antrag und Gesetzesvorschlag annimmt und im Rahmen der Entschließung die Bundesregierung zum Handeln auffordert.

German authorities slam draft Privacy Shield – Call for new legal remedies to challenge Commission decision

The draft EU-US Privacy Shield does not ensures an adequate level of protection for data transfers to the USA. That’s one conclusion of a new resolution (dated 20th April 2016, German) by the Conference of independent German data protection authorities (“Conference”).

Last week, the European data protection authorities (the Article 29 Working Party) published their critical “Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision” (PDF).

Now, also the German authorities publicly voice their concern. According to the resolution, the Conference shares the comprehensive analysis and supports the call on the EU Commission to make substantial improvements before adopting the adequacy decision contained therein. Specifically, the Conference holds that it

believes that the „EU-US Privacy Shield“ in its current form is not sufficient to ensure the „adequate level of data protection“ required for the transfer of personal data to the United States.

Furthermore, the Conference requests the German legislator to create, as soon as possible, a new legal remedy for data protection authorities to challenge adequacy decisions by the EU Commission in front of national courts in order to initiate a request for a preliminary ruling to the European Court of Justice (ECJ).

According to the resolution, the reason for the request of the Conference is the presentation of the draft EU-US Privacy Shield.

In the Safe Harbor judgment (C-362/14) of 6 October 2015, the ECJ hold that national supervisors must be able to engage in legal proceedings, where the national supervisory authority considers that the objections advanced by a person who has lodged with it a claim concerning the protection of his rights and freedoms in regard to the transfer of his personal data to a third country based on an adequacy decision are well founded. The ECJ ruled:

It is incumbent upon the national legislature to provide for legal remedies enabling the national supervisory authority concerned to put forward the objections which it considers well founded before the national courts in order for them, if they share its doubts as to the validity of the Commission decision, to make a reference for a preliminary ruling for the purpose of examination of the decision’s validity.

Whether such a legal remedy exists in Germany, is at least „doubtful“. That’s how the state of Hamburg describes the situation in a proposal to create such a new legal remedy. Therefore, at the next meeting of the German Federal Council (Bundesrat), on 22 April 2016, Hamburg will propose to demand the federal government to make appropriate changes in legislation at the federal level in administrative law. The request is available (PDF, German) on the website of the Federal Council.

This new resolution seems to show that German authorities already now prepare themselves for possible legal challenges against a future adequacy decision by the EU Commission. It will be interesting to see if the proposal by the state of Hamburg will be adopted in the Federal Council.