Category Archives: Rechtsprechung

Bundesrat: Hamburg fordert neues Klagerecht für Datenschutzbehörden

Posted on by

In seinem Safe Harbor-Urteil (C-362/14) vom 6. Oktober 2015 stellte der Europäische Gerichtshof (EuGH) unter anderem fest, dass den nationalen Aufsichtsbehörden für den Datenschutz ein Klagerecht für den Fall zustehen muss, wenn ein Betroffener sich gegen eine Datenübermittlung in einen Drittstaat (wie die USA) wendet, die auf einer Angemessenheitsentscheidung der Europäischen Kommission beruht. Dann müsse die Aufsichtsbehörde die Möglichkeit haben, vor den nationalen Gerichten von sich aus mit dem Ziel zu klagen, dass das angerufene Gericht die Frage der Gültigkeit eines Angemessenheitsbeschlusses (wie vormals Safe Harbor) dem EuGH vorzulegen. Denn, auch dies hat der EuGH klargestellt, alleine er besitzt die Kompetenz, eine Kommissionsentscheidung für ungültig zu erklären.

Hier noch einmal die entsprechende Aufforderung des EuGH an den nationalen Gesetzgeber aus seinem Urteil:

Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese, wenn sie die Zweifel der Kontrollstelle an der Gültigkeit der Entscheidung der Kommission teilen, um eine Vorabentscheidung über deren Gültigkeit ersuchen.

Ob ein solches Klagerecht der Behörden in Deutschland existiert, ist nach Auffassung des Landes Hamburg zumindest „unsicher“. Aus diesem Grund wird Hamburg in der nächsten Sitzung des Bundesrates, am 22. April 2016, vorschlagen, die Bundesregierung aufzufordern, entsprechende Gesetzesänderungen auf Bundesebene im Verwaltungsrecht vorzunehmen. Der entsprechende Antrag ist auf der Webseite des Bundesrates abrufbar (PDF). Nach Ansicht der Antragsteller soll mit der Einführung eines solchen Klagerechts auch nicht gewartet werden, bis das nationale Datenschutzrecht den zukünftigen Vorgaben der Datenschutz-Grundverordnung angepasst wurde. Diese Alternative hat in der Vergangenheit die Bundesregierung favorisiert, wie sich etwa aus der Antwort auf eine kleine Anfrage im Bundestag ergibt, PDF, dort S. 7).

Man darf gespannt sein, ob der Antrag aus Hamburg, nachdem er in den Ausschüssen des Bundesrates beraten wurde, in dieser Form der Bundesregierung zugeleitet wird.

Beschluss des Bundesverwaltungsgerichts zu Fanpages: Betreiber ist nicht verantwortlich. Oder vielleicht doch?

Posted on by

Gestern Nacht hat mich „Joma“ auf Twitter darauf aufmerksam gemacht, dass nun der Beschluss des Bundesverwaltungsgerichts vom 25. Februar 2016 in dem Verfahren (BVerwG 1 C 28.14) zwischen dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH (WAK) im Volltext veröffentlicht wurde.

Bekanntlich hat das Bundesverwaltungsgericht das Verfahren ausgesetzt und dem Europäischen Gerichtshof in Luxemburg mehrere Fragen zur Auslegung des geltenden Datenschutzrechts vorgelegt. Auch wenn das Bundesverwaltungsgericht noch nicht abschließend in diesem Verfahren entschieden hat, so ergeben sich aus dem Beschluss bereits einige rechtliche Aussagen des Gerichts, die für Facebook Fanpagebetreiber in Deutschland von Interesse sein dürften.

Das Bundesverwaltungsgericht geht nämlich davon aus, dass die WAK für die Erhebung und Verarbeitung der Nutzerdaten ihrer Fanpage durch Facebook nicht die „Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“ (§ 3 Abs. 7 BDSG) bzw. die „Stelle, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 2 Buchst. d) RL 95/46/EG) ist (Rz. 24). Nach Auffassung des Bundesverwaltungsgerichts ist also ein Facebook Fanpagebetreiber nicht als verantwortliche Stelle im Sinne des Datenschutzrechts anzusehen. Damit einher geht meines Erachtens zwingend die Schlussfolgerung, dass der Facebook Fanpagebetreiber, soweit es sich um Datenverarbeitungen handelt, die von Facebook durchgeführt werden und auf die der Fanpagebetreiber keinen Einfluss hat, auch nicht für eventuell unzulässige Datenverarbeitungen verantwortlich ist.

Nun mag sich der Leser fragen, warum dann überhaupt noch der Europäische Gerichtshof angerufen wird. Dies liegt daran, dass das Bundesverwaltungsgericht, auch wenn der Fanpagebetreiber nicht als verantwortliche Stelle im Sinne des Datenschutzrechts anzusehen ist, den Europäischen Gerichtshof fragt, ob nicht doch eine gewisse Auswahlverantwortlichkeit des Fanpagebetreibers besteht. Ohne selbst für die Datenverarbeitung verantwortlich zu sein, hält es das Bundesverwaltungsgericht nämlich für denkbar, die geltenden gesetzlichen Vorgaben eventuell in dem Sinne auszulegen, dass die zuständige Datenschutzaufsichtsbehörde wegen einer fehlerhaften Auswahl eines Plattformbetreibers (in diesem Beispiel etwa Facebook für Fanpages) durch den Fanpagebetreiber (also z.B. ein Unternehmen, einen Verein etc.), gegen diesen vorgehen kann. Das Bundesverwaltungsgericht beschreibt diese aus seiner Sicht möglicherweise existierende Verantwortlichkeit wie folgt:

Diese datenschutzrechtliche Verantwortung bezieht sich zwar nicht auf die Erhebung und Verarbeitung der Daten durch den Infrastrukturanbieter selbst, die in einer Infrastruktur wie der von der Beigeladenen angebotenen rechtlich und tatsächlich durch den Informationsanbieter nicht gesteuert werden kann. Sie bezieht sich aber auf die sorgfältige Auswahl des Betreibers der Infrastruktur, die für das eigene Informationsangebot genutzt wird.

Der Fanpagebetreiber wäre also nicht für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und müsste diese, auch bei einer eventuell existierenden Auswahlverantwortlichkeit, nicht prüfen.

die Nutzer von Infrastrukturangeboten und Plattformen bleiben zudem von der Notwendigkeit befreit, die Rechtmäßigkeit der Datenverarbeitung durch den ausgewählten Anbieter (inzident) überprüfen zu müssen. (Rz. 36)

Jedoch könnten den Fanpagebetreiber im Rahmen der Auswahl einer Plattform vorgelagerte Prüfungspflichten („Auswahl- und Überprüfungspflichten“) treffen, deren Herleitung das das Bundesverwaltungsgericht (unter Hinweis auf Martini/Fritzsche, Mitverantwortung in sozialen Netzwerken. Facebook-Fanpage-Betreiber in der datenschutzrechtlichen Grauzone, NVwZ-Extra 21/2015) aus den Regelungen zur Auftragsdatenverarbeitung (§ 11 Abs. 2 Satz 1 und 4 BDSG) zumindest für möglich hält.

Ein Aktenzeichen beim Europäischen Gerichtshof für dieses Verfahren ist mir derzeit noch nicht bekannt.

European Court of Justice hears arguments in two procedures on national data retention laws

Posted on by

Today, the hearing takes place before the European Court of Justice (ECJ) in Luxembourg in joined Cases C-203/15 and C-698/15 place (Link to the calendar of the ECJ). In these procedures, the question of the conformity of national laws, forcing telecommunications providers to store traffic data, with EU law is at stake. In 2014, the ECJ ruled invalid the European Data Retention Directive (Ruling of 8th April 2014, C -293 / 12).

In the now negotiated procedures, the Court has to deal with national laws that impose obligations on providers to store traffic data.

In a Swedish preliminary ruling (Tele2 Sverige, C-203/15) the referring court asks whether

a general obligation to retain traffic data covering all persons, all means of electronic communication and all traffic data without any distinctions, limitations or exceptions for the purpose of combating crime

is compatible with Article 15(1) of Directive 2002/58/EC, taking account of Articles 7, 8 and 15(1) of the Charter of Fundamental Rights. The Swedish court furthermore wants to know if the retention may nevertheless be permitted where, inter alia all relevant data are to be retained for six months.

At the same time, the ECJ will assess a preliminary ruling from the UK (Davis and Others, C-698/15) which also deals with the question of the conformity of national regulations on data retention.

Today, „only“ the hearing takes place. This means that the various parties can express their positions. The Court may ask questions in connection with the preliminary ruling. Sometimes, these questions already show a tendency for a subsequent judgment.

The request for a preliminary ruling from Sweden is particularly relevant for Germany, where recently a new data retention law has been adopted by the Parliament. In the reasoning of the new law, „Law establishing a storage requirement and a maximum retention period for traffic data“ (pdf, German), the German legislature explicitly refers to the application of Art. 15 (1) of Directive 2002/58/EC and assumes that national rules on data retention must therefore be measured against the requirements of the Charter of Fundamental rights of the European Union.

Europäischer Gerichtshof verhandelt über Vorratsdatenspeicherung

Posted on by

Heute findet vor dem europäischen Gerichtshof (EuGH) in Luxemburg die mündliche Verhandlung in den verbundenen Rechtssachen C-203/15 und C-698/15 statt (Link zum Sitzungskalender). In den Verfahren geht es um die Frage der Konformität nationaler Gesetze mit EU-Recht, die Telekommunikationsanbieter zur Speicherung von Verkehrsdaten verpflichten. Im Jahr 2014 hat der EuGH die europäische Richtlinie zur Vorratsdatenspeicherung für ungültig erklärt (Urt. v. 8. April 2014, C-293/12).

In den nun verhandelten Verfahren muss ich der EuGH mit nationalen Gesetzen befassen, die eine Speicherung von Verkehrsdaten vorschreiben.

In einem schwedischen Vorabentscheidungsersuchen (Tele2 Sverige, C-203/15) stellt das vorlegende Gericht die Frage, ob

eine generelle Verpflichtung zur Vorratsspeicherung von Verkehrsdaten, die sich (wie [im Vorabentscheidungsersuchen] beschrieben) auf alle Personen und alle elektronischen Kommunikationsmittel sowie auf sämtliche Verkehrsdaten erstreckt, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung von Straftaten vorzusehen, mit Art. 15 Abs. 1 der Richtlinie 2002/58 unter Berücksichtigung der Art. 7, 8 und 52 Abs. 1 der Charta vereinbar

ist.

Falls der EuGH diese erste Frage verneinen sollte, möchte das vorlegende Gericht wissen, ob die Vorratsspeicherung dennoch zulässig sein kann, wenn

a) der Zugang der nationalen Behörden zu den gespeicherten Daten wie [im Vorabentscheidungsersuchen] beschrieben festgelegt ist und
b) die Sicherheitsanforderungen wie [im Vorabentscheidungsersuchen] beschrieben geregelt sind und
c) sämtliche relevanten Daten wie [im Vorabentscheidungsersuchen] beschrieben für einen Zeitraum von sechs Monaten ab dem Tag, an dem die Kommunikation beendet wird, gespeichert und anschließend gelöscht werden müssen?

Verbunden mit diesem Verfahren wird zugleich ein Vorabentscheidungsersuchen aus England behandelt (Davis u.a., C-698/15), in dem es ebenfalls um die Frage der Konformität nationaler Regelungen zur Vorratsdatenspeicherung geht. Hier stellt das vorlegende Gericht unter anderem die Frage, ob das Urteil des EuGH in der Rechtssache C-293/12

verbindliche, für die nationale Regelung eines Mitgliedstaats über den Zugang zu gemäß den nationalen Rechtsvorschriften auf Vorrat gespeicherten Daten geltende Voraussetzungen für die Vereinbarkeit mit den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) fest

legt.

Heute wird zunächst einmal nur verhandelt. Das bedeutet, dass die verschiedenen Beteiligten ihre Positionen darlegen können. Der Gerichtshof kann im Rahmen der mündlichen Verhandlung aber auch Fragen stellen, aus denen sich bereits oft eine Tendenz für ein späteres Urteil abzeichnet.

Gerade das Vorabentscheidungsersuchen aus Schweden ist insbesondere auch für die kürzlich in Deutschland (wieder) beschlossene Vorratsdatenspeicherung relevant. Denn der deutsche Gesetzgeber geht für das „Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (pdf) unter anderem davon aus, dass der Anwendungsbereich des Art. 15 Abs. 1 der Richtlinie 2002/58 eröffnet ist und nationale Regelungen zur Vorratsdatenspeicherung sich an den Vorgaben der Charta der Grundrechte der Europäischen Union messen lassen müssen.

Landgericht Hamburg untersagt fehlerhaften Einsatz von Google Analytics

Posted on by

Google Analytics ist eines der beliebtesten Analysetools für Webseitenbetreiber überhaupt. Bei der Einbindung dieses Dienstes auf der eigenen Webseite sind jedoch insbesondere datenschutzrechtliche Anforderungen (konkret vor allem jene des Telemediengesetzes und der Auftragsdatenverarbeitung) zu beachten.  Sollten diese Voraussetzung nicht erfüllt werden, besteht unter anderem die Gefahr, von Wettbewerbern abgemahnt und auf Unterlassung und Ersatz der Abmahn- und Gerichtskosten in Anspruch genommen zu werden.

Genauso hat in einem aktuellen Fall das Landgericht Hamburg per Beschluss im Wege der einstweiligen Verfügung entschieden (Az. 312 O 127/16, PDF). In dem Fall wurde es einem Webseitenbetreiber untersagt, auf seinem Internetangebot den Analysedienst Google Analytics einzusetzen, ohne die Besucher des Internetangebots zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten. Den Streitwert hat das Gericht auf 20.000 € festgesetzt.

Schon im Jahr 2011 haben die deutschen Datenschutzbehörden darüber informiert, wie aus ihrer Sicht ein zulässiger Einsatz des Analysetools auszusehen hat (Informationen der Datenschutzbehörde aus Hamburg):

  • Webseitenbetreiber müssen den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Diesen Vertrag erhalten Sie unter „http://www.google.com/analytics/terms/de.pdf“.
  • Webseitenbetreiber müssen die Nutzer Ihrer Website in Ihrer Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufklären und auf die Widerspruchsmöglichkeiten gegen die Erfassung durch Google Analytics hinweisen. Hierbei sollte möglichst auf die entsprechende Seite „http://tools.google.com/dlpage/gaoptout?hl=de“ verlinkt werden.
  • Webseitenbetreiber müssen durch entsprechende Einstellungen im Google Analytics-Programmcode Google mit der Kürzung der IP-Adressen beauftragen. Dazu ist auf jeder Internetseite mit Analytics-Einbindung der Trackingcode um die Funktion „_anonymizeIp()“ zu ergänzen.

Im konkreten Fall stellte der Webseitenbetreiber überhaupt keine Datenschutzerklärung und damit auch keine Informationen zum Einsatz von Google Analytics zur Verfügung. Damit lag ein Verstoß gegen die Informationspflicht des § 13 Abs. 1 S. 1 TMG vor. Bei dieser Vorschrift handelt es sich nach Auffassung vieler Gerichte (u.a. auch des OLG Hamburg, Urt. v. 27. Juni 2013 – Az. 3 U 26/12) um eine sogenannte Marktverhaltensregelung im Sinne des § 3a UWG. Die Verletzung einer solchen Regelung kann durch Wettbewerber abgemahnt und die Abgabe einer Unterlassungserklärung gefordert werden. Wenn eine solche Erklärung nicht rechtzeitig abgegeben wird, kann der Unterlassungsanspruch im Wege der einstweiligen Verfügung vor Gericht durchgesetzt werden, wie der oben verlinkte Beschluss einmal mehr zeigt.

Für den Abgemahnten bzw. im Fall des Erlasses einer einstweiligen Verfügung, den Antragsgegner, können am Ende Kosten in vierstelliger Höhe entstehen, die er dem Antragsteller zu ersetzen hat. Hinzu kommt, dass spätestens mit Zustellung der einstweiligen Verfügung der weitere Einsatz von Google Analytics nur noch möglich ist, wenn sofort die oben geschilderten Anforderungen umgesetzt werden. Andernfalls droht ein empfindliches Ordnungsgeld. Jeder Webseitenbetreiber, der Google Analytics nutzt, sollte daher darauf achten, in jedem Fall die oben aufgeführten Anforderungen umzusetzen. Man mag vielleicht meinen, dass es eher unwahrscheinlich ist, in das Visier einer Datenschutzbehörde zu gelangen. Die Gefahr, von einem Wettbewerber abgemahnt zu werden, ist jedenfalls durchaus realistisch.

Disclaimer: Die Kanzlei JBB Rechtsanwälte war an dem Verfahren vor dem Landgericht Hamburg als Vertreter der Antragstellerseite beteiligt.

Gerichtsurteil: Arbeitnehmer können in Videoüberwachung einwilligen

Posted on by

Mit Urteil vom 29. Januar 2016 (Az.: 1 K 1122/14) hat sich das Verwaltungsgericht Saarlouis zu zwei interessante datenschutzrechtliche Fragen geäußert. Zum einen zur Frage der datenschutzrechtlichen Zulässigkeit einer Videoüberwachung in einer Apotheke und zum anderen zur Frage der Möglichkeit, in einem Arbeitsverhältnis wirksam gegenüber dem Arbeitgeber einwilligen zu können.

Geklagt hatte der Eigentümer eine Apotheke gegen eine Untersagungsverfügung der zuständigen Datenschutzaufsichtsbehörde. Er überwachte sowohl den öffentlich zugänglichen Verkaufsraum als auch einen nur für das Personal zugänglichen Bereich zu einem Betäubungsmittelschrank mit Videokameras. Die Aufzeichnungen wurden automatisch alle 2 Wochen gelöscht und unterlagen nur dem Zugriff durch den Kläger. Grund für die Überwachung war vor allem ein Schwund bzw. Fehlbestand an Medikamenten und damit einhergehender finanzieller Verlust. Die Datenschutzbehörde untersagte dem Kläger die Videoüberwachung im Verkaufsraum und auch am Betäubungsmittelschrank.

Das Gericht hob den Bescheid der Behörde insoweit auf, als die Untersagung die Videoüberwachung an dem Betäubungsmittelschrank betraf. Im Übrigen wurde der Bescheid als rechtmäßig angesehen.

Videoüberwachung im Verkaufsraum und am Kundeneingang

Keine Einwilligung der Kunden

Das Gericht stellte fest, dass es hinsichtlich aller Kameras im Verkaufsraum an einer wirksamen Einwilligung der Kunden fehle.

Aus der Tatsache, dass auf die in dem Verkaufsraum stattfindende Videoüberwachung durch Beschilderung an den Eingangstüren zur Apotheke hingewiesen wird, könne keine konkludente Einwilligung der Kunden, die dennoch und damit in Kenntnis der Videoüberwachung die Verkaufsräume der Apotheke betreten, abgeleitet werden.

Gesetzliche Erlaubnis (§ 6 b BDSG)

Auch sei die Videoüberwachung der Kundeneingänge und des Freiwahlbereichs des Verkaufsraums mit § 6 b Abs. 1 BDSG unvereinbar. Das Gericht prüft das Vorliegen der Voraussetzungen von § 6 b BDSG und stellt zunächst fest, dass es sich bei dem Freiwahlbereich der Apotheke um einen öffentlich zugänglichen Raum handelt. Zwar diene die Videoüberwachung im Verkaufsraum der Wahrnehmung des Hausrechts nach § 6 b Abs. 1 Nr. 2 BDSG, nicht aber der Wahrnehmung berechtigter Interessen nach § 6 b Abs. 1 Nr. 3 BDSG.

Zu diesen berechtigten Interessen gehöre zwar grundsätzlich jedes rechtliche, wirtschaftliche und ideelle Interesse, sofern es objektiv begründbar ist und sich nicht nur an den subjektiven Wünschen und Vorstellungen der verantwortlichen Stelle orientiert. Kommt damit eine die Videoüberwachung zum Zweck der Gefahrenabwehr zum Einsatz, wird man nach Auffassung des Gerichts regelmäßig eine Wahrnehmung berechtigter Interessen annehmen können.

Wichtig ist jedoch insoweit, dass eine konkrete oder zumindest abstrakte Gefährdungslage darzulegen ist. Daran fehlte es im vorliegenden Fall. Dies ist ein wichtiger Aspekt des Urteils. Das Gericht lehnt die Zulässigkeit einer Videoüberwachung im Verkaufsraum nicht per se ab. Vorliegend lagen nur nicht genug Anhaltspunkte dafür vor, die eine zumindest abstrakte Gefährdungslage begründen würden.

Mit Blick auf eine konkrete Gefährdungslage führt das Gericht aus, dass der Kläger nicht aufzeigen konnte, welche Arzneimittel und ob überhaupt und wenn ja welche nicht apothekenpflichtigen Waren abhandengekommen sind. Sein Hinweis auf Entwendungen in der Apotheke, reiche allein nicht aus.

Auch eine abstrakte Gefährdungslage habe der Kläger nicht darlegen können.

Zwar diene die Videoüberwachung der Wahrnehmung des Hausrechts (§ 6 b Abs. 1 Nr. 2 BDSG). Jedoch sei ihre Erforderlichkeit im streitigen Einzelfall nicht ersichtlich gewesen. Auch hier ist darauf hinzuweisen, dass das Gericht allein auf Grundlage der Umstände des Einzelfalls und der mangelnden Darlegung der Erforderlichkeit die Videoüberwachung als unzulässig ablehnte. In einem anderen Fall, kann eine solche Überwachung also durchaus zulässig sein.

Das Gericht führt aus, dass wenn eine Videoüberwachung zur Wahrnehmung des Hausrechts diene, diese der Verfolgung präventiver Zwecke dienen könne, sofern Ziel der Maßnahme ist, Personen von der Begehung von Rechtsverstößen innerhalb des vom Hausrecht geschützten Bereichs abzuhalten. Rechtsverstöße können insoweit auch die Verübung von Diebstählen sein.

Auf ein solches Hausrecht kann sich der Kläger als Inhaber der Apotheke grundsätzlich auch berufen. Er hat ein Interesse daran, die in der Apotheke befindlichen Arzneimittel und die Waren des Freiwahlbereichs zu schützen sowie Personen, die die Apotheke zu unberechtigten Zwecken betreten, aus dieser zu verweisen.

Es fehlte vorliegend jedoch, wie beschrieben, an der konkreten Erforderlichkeit der Maßnahme.

Der Kläger habe, so das Gericht, im konkreten Fall keine Tatsachen dargelegt, die es nachvollziehbar machten, dass das festgelegte Ziel mit der Überwachung tatsächlich erreicht werden kann.

Videoüberwachung im Mitarbeiterbereich

Die offene Videoüberwachung an dem Betäubungsmittelschrank ist hingegen datenschutzrechtlich zulässig, weil die Beschäftigten wirksam eingewilligt haben.

Gesetzliche Erlaubnis (§§ 6 b, 32 BDSG)

Zuvor geht das Gericht noch auf mögliche gesetzliche Erlaubnistatbestände ein.

Die Videoüberwachung sei hier aber nicht an § 6 b BDSG zu messen. Diese Vorschrift finde nämlich dann keine Anwendung, wenn es um die Videoüberwachung von Arbeitsplätzen geht, die sich in nicht öffentlich zugänglichen Bereichen befinden. Um so einen Bereich handelte es sich bei dem Lager der Apotheke, das nur dem Zutritt von Apothekenpersonal offenstand.

Auch die Voraussetzungen des § 32 BDSG lagen nach Ansicht des Gerichts nicht vor.

Zur Aufdeckung von Straftaten erlaube § 32 Abs. 1 S. 2 BDSG zwar den Einsatz von datenschutzrechtlich relevanten Maßnahmen, wozu nach Ansicht des Gerichts ausdrücklich auch die Videoüberwachung gehört. Jedoch nicht allein zu präventiven Zwecken. Immer erforderlich seien tatsächliche Verdachtsmomente. Daran mangelte es im vorliegenden Fall.

Des Weiteren, so das Gericht, sei die Videoüberwachung am Betäubungsmittelschrank auch nicht erforderlich. Das wäre sie nur dann, wenn es kein milderes, gleich geeignetes Mittel zur Erreichung des Zwecks gäbe. Auch dies beurteilt sich anhand des Einzelfalles. Dies bedeutet freilich auch, dass eine solche Überwachung durchaus zulässig sein kann.

Nach Auffassung des Gerichts ermöglichte im vorliegenden Fall das Verschließen des Betäubungsmittelschranks und das Führen von Entnahme- und Kontrolllisten effektiv, den Zugriff auf den Betäubungsmittelschrank zu kontrollieren. Dies wäre daher im Hinblick auf das Recht auf informationelle Selbstbestimmung der Arbeitnehmer das weniger einschneidende Mittel gewesen.

Einwilligung der Mitarbeiter

Begrüßenswerter Weise stellt auch das Verwaltungsgericht (wie dies bereits 2015 das Bundesarbeitsgericht entschied, Az. 6 AZR 845/13) ganz ausdrücklich klar, dass Arbeitnehmer gegenüber ihrem Arbeitgeber grundsätzlich wirksam eine datenschutzrechtliche Einwilligung erteilen können.

Im Rahmen eines Arbeitsverhältnisses können Arbeitnehmer sich grundsätzlich „frei entscheiden“, wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen. Dem steht weder die grundlegende Tatsache, dass Arbeitnehmer abhängig Beschäftigte sind noch das Weisungsrecht des Arbeitgebers, § 106 GewO, entgegen. Mit der Eingehung eines Arbeitsverhältnisses und der Eingliederung in einen Betrieb begeben sich die Arbeitnehmer nicht ihrer Grund- und Persönlichkeitsrechte. Die zu § 4a BDSG formulierte Gegenauffassung (Simitis in Simitis BDSG 8. Aufl. § 4a Rn. 62) verkennt, dass schon nach § 32 BDSG Datenverarbeitung im Arbeitsverhältnis möglich ist, unter den Voraussetzungen des § 32 BDSG sogar einwilligungsfrei.

Jedoch weißt das Gericht auch auf die allgemeinen Wirksamkeitsvoraussetzungen der Einwilligung hin und konstatiert, dass sie als Grundlage einer Überwachung eher ungeeignet sei, da sie jederzeit mit Wirkung für die Zukunft widerrufen werden kann.

Für die Praxis relevant dürften die Ausführungen des Gerichts zu den konkreten Anforderungen an die Einwilligung sein. Eine Unterschriftenliste unter dem alleinigen Satz – „Mir ist bekannt, dass in der S.-Apotheke 5 Überwachungskameras aufgestellt sind und ich erkläre mich damit einverstanden.“ – genüge offensichtlich auf keinen Fall den Anforderungen des § 4 a Abs. 1 BDSG.

Der Kläger reichte während des gerichtlichen Verfahrens 18 einzelnen Einwilligungserklärungen der Beschäftigten nach, die den Anforderungen formal genügten.

Mit Blick auf das Erfordernis der freien Entscheidung der Mitarbeiter stellt das Gericht zudem noch fest, dass auch in einem Verhältnis des Machtungleichgewichts die Selbstbestimmung nicht unbedingt ausgeschlossen sein müsse. Es bedürfe daher konkreter Anhaltspunkte dafür, dass ein Arbeitnehmer im Einzelfall die Einwilligung nicht ohne Zwang abgegeben habe. Als Indiz für einen zusätzlichen Druck könne nach Ansicht des Gerichts der Zwang zur Unterschrift auf einer gemeinsamen Erklärung (gewisser Gruppenzwang) angesehen werden.

 

Zum Like-Button Urteil in Düsseldorf: Wer ist denn nun für was verantwortlich?

Posted on by

Heute hat das Landgericht Düsseldorf in einem Verfahren zwischen der Verbraucherzentrale NRW und dem Unternehmen Fashion ID ein Urteil (pdf) zu datenschutzrechtlichen Fragen rund um den Facebook Like-Button gefällt (Az 12 O 151/15). Im Ergebnis wurde die Klage der Verbraucherschützer in weiten Teilen für begründet erachtet. Nachfolgend möchte ich kurz auf einige Aspekte des Urteils, teilweise auch kritisch, eingehen.

Das Unternehmen hatte auf seiner Webseite das bekannte Social Plugin eingebunden und hierauf in seiner Datenschutzerklärung, die über einen Link erreichbar war, hingewiesen. Zudem wurde dort darauf aufmerksam gemacht, dass Daten an Facebook übertragen werden und auf die Datenschutzerklärung von Facebook hingewiesen.

Personenbezug von IP-Adressen

Im Tatbestand führt das Gericht zunächst aus, dass es vorliegend um sog. Dynamische IP-Adressen geht. Nur dem jeweiligen Telekommunikationsunternehmen als Anbieter des Internetzugangs sei es möglich, Auskunft darüber zu erteilen, welchem Anschlussnehmer eine IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet war.  Zudem geht das Gericht davon aus, dass beim Aufruf einer Webseite, die den Like-Button integriert hat, mindestens die IP-Adresse und der String des vom Webseitenbesucher genutzten Browsers an Facebook übermittelt werden.

Wichtig ist die Feststellung des Gerichts, dass diese Daten nicht vom Server des Webseitenbetreibers, sondern von dem Endgerät des Nutzers direkt an Facebook übermittelt werden.

In seinen Urteilsgründen geht das Gericht weiter davon aus, dass es Facebook zumindest mit Blick auf registrierte Mitglieder (seien diese ein- oder ausgeloggt, wenn sie die Webseite von Fashion ID besuchen) möglich sei, dieser IP-Adresse und anderen Informationen ein Mitglied zuzuordnen. Für Facebook handelt es sich also bei jenen Informationen, die über den Like-Button erhoben werden, um personenbezogene Daten.

Doch macht das Gericht hier nicht Halt, sondern geht, der sog. absoluten Theorie des Personenbezugs folgend, davon aus, dass damit die IP-Adresse auch für Fashion ID ein personenbezogenes Datum darstelle. Die Übermittlung der IP-Adresse stelle daher eine Übermittlung personenbezogener Daten dar.

Interessanterweise spricht das Gericht hier ausdrücklich von einer „Übermittlung“, obwohl zuvor festgestellt wurde, dass diese Übermittlung nicht, zumindest nicht technisch, durch den Webseitenbetreiber vorgenommen wird, sondern direkt zwischen dem Nutzer und Facebook erfolgt.

Webseitenbetreiber als datenschutzrechtlich verantwortliche Stelle

Danach stellt das Gericht fest, dass Fashion ID eine verantwortliche Stelle nach § 3 Abs. 7 BDSG ist. Es fragt sich jedoch: für was? Bzw. für welche konkreten Datenerhebungs-, – verarbeitungs- oder –nutzungsvorgänge?

Nach Auffassung des Gerichts ist der Begriff der „verantwortlichen Stelle“ weit auszulegen und der Webseitenbetreiber „beschafft“ personenbezogene Daten. Damit liegt eine datenschutzrechtlich relevante Erhebung (§ 3 Abs. 3 BDSG) vor. Diese Feststellung ist meines Erachtens von besonderer Relevanz für das weitere Studium des Urteils. Unter anderem auch deshalb, da später auf andere Verarbeitungsphasen abgestellt wird, was doch irritiert. Und zum anderen deshalb, weil ich eine datenschutzrechtliche Einwilligung konkret auf einen bestimmten Umgang mit personenbezogenen Daten beschränken muss. Unternehmen sollten also als Ergebnis zumindest wissen müssen, für welche Phase der Erhebung, Verarbeitung oder Nutzung sie, nach Auffassung des LG Düsseldorf, verantwortlich sind.

Schon im nächsten Satz führt das Gericht darüberhinausgehend aus, dass das Unternehmen durch die Einbindung des Plugins die „Datenerhebung und spätere Verwendung der Daten“ durch Facebook ermögliche.

Zwei Kritikpunkte: Die „Ermöglichung“ einer Datenverarbeitung ist nicht von der Definition der verantwortlichen Stelle (§ 3 Abs. 7 BDGS) umfasst. Zudem scheint nun hier doch eine Datenerhebung durch Facebook im Raum zu stehen, obwohl zuvor die Erhebung durch den Webseitenbetreiber festgestellt wurde.

In einem weiteren Satz geht das Gericht dann davon aus, dass Fashion ID durch das Einbinden des Plugins an der unmittelbar „an der Erhebung durch Facebook“ mitwirke. Geht das Gericht also nun von einer alleinigen Verantwortlichkeit für die Erhebung, einer Mitverantwortlichkeit oder aber einer Verantwortlichkeit von Facebook aus? Dies wird leider nicht deutlich.

Das LG Düsseldorf urteilt weiter, dass die „Erhebung der Daten zu deren Verwendung“ im „eigenen Tätigkeits- und Haftungsbereich“ des Unternehmens stattfinde. Auch hieraus ergibt sich meines Erachtens nicht klar, für welchen Vorgang das Unternehmen nun datenschutzrechtlich verantwortlich sein soll.

Dass Fashion ID keinen Einfluss auf die Verarbeitung der Daten hat, lässt das LG Düsseldorf nicht als Gegenargument gelten. Denn, so das Gericht, der „Vorgang“ wird durch die Einbindung des Codes in die eigene Webseite initiiert.

Rechtsgrundlage der … ja, was eigentlich?

Im nächsten Prüfungspunkt geht das Gericht auf die Frage der Zulässigkeit der „Datenübermittlung“ ein. Spätestens hier stellt sich mir die Frage, wie man nun auf die Phase der Übermittlung kommt, denn zuvor wurde noch über die „Erhebung“ diskutiert. Zudem möchte man fragen: welche Übermittlung? Vom Nutzer an Facebook?

Aus Sicht des LG Düsseldorf ist diese Datenübermittlung auf jeden Fall nicht auf § 15 TMG zu stützen. Denn die Datenübermittlung ist für den Betrieb der Webseite nicht erforderlich.

Danach prüft das Gericht eine „Datennutzung“, die nicht auf eine Einwilligung der Besucher gestützt werden könne. Hierunter scheint das LG Düsseldorf die Erhebung der Daten durch Fashion ID zu fassen.

Das Gericht erläutert nachfolgend die Anforderungen an eine Einwilligung nach § 13 Abs. 2 TMG. Nach Auffassung des Gerichts ist u.a. das Setzen eines Häckchens in einer Checkbox erforderlich, damit die Einwilligung eindeutig erteilt wird. Andere Gerichte, wie etwa das OLG Frankfurt am Main (hierzu mein Beitrag), sehen dies anders und lassen etwa für Cookies zu Werbezwecken ein opt-out als Form der Einwilligung ausreichen.

Ein Kommentar hierzu: wenn die Verbraucherzentrale NRW und das LG Düsseldorf für die Einbindung des normalen Like-Buttons tatsächlich eine Einwilligung nach § 13 Abs. 2 TMG fordern, frage ich mich, wie Webseitenbetreiber die übrigen Voraussetzungen der Norm erfüllen sollen. Gerade die Protokollierung und die jederzeitige Abrufbarkeit der Einwilligung durch den Nutzer werden wohl überhaupt nur möglich sein, wenn der Webseitenbetreiber noch mehr personenbezogene Daten sammelt und verarbeitet. Wie könnte die Erteilung der Einwilligung sonst protokollieren oder diese zum Abruf für jeden Nutzer bereithalten? Am Ende müsste der Webseitenbetreiber also eventuell, obwohl er daran gar kein Interesse hat, erst recht personenbezogene Daten erheben und verarbeiten.

Zudem stellt sich mir aus praktischer Sicht die einfache Frage, welchen konkreten Inhalt die hier geforderte Einwilligung denn nun haben soll. Bezieht sie sich auf die Erhebung, die Verarbeitung oder Nutzung? Bezieht sie sich auf diese Verarbeitungsvorgänge durch den Webseitenbetreiber oder durch Facebook? Wie kann ein Unternehmen eine konkret formulierte und auf bestimmt Zwecke festgelegte Einwilligungserklärung formulieren, wenn es selbst nicht weiß, für welche Zwecke die Daten bei Facebook genutzt werden?

Hinweise in der Datenschutzerklärung nicht ausreichend

Wie beschrieben hielt Fashion ID eine Datenschutzerklärung mit Informationen zum Like-Button vor. So, wie dies wohl derzeit auf deutschsprachigen Webseiten der Usus sein wird.

Dies reicht dem Gericht jedoch nicht aus. Denn der Hinweise auf die (ich gehe einmal davon aus) Erhebung erfolge so nicht „zu Beginn“ des Verarbeitungsvorgangs.

Fazit

In vielerlei Hinsicht lässt einen die Begründung des Gerichts zumindest innehalten oder die Stirn runzeln. Möchten Webseitenbetreiber die durch das Gericht aufgestellten Voraussetzungen erfüllen und dabei nicht auf Lösungen wie die 2-Klick-Lösung zurückgreifen, bleibt wohl nur ein Pop-Up oder Banner, welcher eine Einwilligungserklärung (mit opt-in check box) enthält. Die Einwilligung muss dann auch protokolliert und zum Abruf bereitgehalten werden. Man darf gespannt sein, ob dieses Urteil nicht eventuell in die nächste Instanz getragen wird.

Französische Datenschutzbehörde prüft Facebook – Analyse und Kritik

Posted on by

Am 8. Februar 2016 hat die französische Datenschutzbehörde (CNIL) bekannt gegeben, dass sie den Betreiber des sozialen Online-Netzwerks Facebook am 26. Januar 2016 durch ein förmliches Anschreiben dazu aufgefordert hat, mehrere Verstöße gegen das französische Datenschutzrecht innerhalb von drei Monaten abzustellen. Sollten nicht alle in dem Anschreiben (pdf; Englisch) beanstandeten Datenschutzverstöße innerhalb dieses Zeitraums abgestellt werden, so weist die Behörde darauf hin, dass es am Ende möglicherweise zu Sanktionen kommen könnte. Nachfolgend möchte ich auf einige Aspekte der Feststellung der französischen Datenschutzbehörde näher eingehen.

Anwendbares Recht

Wenig überraschend geht die Behörde zunächst davon aus, dass auf die Datenverarbeitungen des Unternehmens französisches Datenschutzrecht anwendbar sei. „Wenig überraschend“ ist dies vor allem vor dem Hintergrund, dass der EuGH in seinen beiden Entscheidungen Google Spain (C-131/12) und Weltimmo (C-230/14) den Anwendungsbereich europäischen Datenschutzrechts sehr weit ausgedehnt hat.

In der Entscheidung „Weltimmo“, die aufgrund des eine Woche später gefällten Urteil zu Safe Harbor nur wenig Beachtung fand, konkretisierte EuGH die Anforderungen an das Vorliegen einer „Niederlassung“ im Sinne des Art. 4 Abs. 1 Buchst a der Datenschutzrichtlinie (RL 95/46/EG). Meine Blogbeiträge sowohl zu dem Urteil als auch zu den entsprechenden Schlussanträgen findet man hier.

Mit dem ebenfalls für die Anwendbarkeit europäischen Datenschutzrechts relevanten Merkmal der Datenverarbeitung „im Rahmen der Tätigkeit“ eine Niederlassung, hat sich der EuGH in seinem „Google Spain“ Urteil auseinandergesetzt und auch dieses Tatbestandsmerkmal sehr weit ausgelegt.

Dem Grunde nach reicht dem Gericht für die Bejahung der Anwendbarkeit europäischen Datenschutzrechts (bzw. des jeweils nationalen Datenschutzrechts) eine untrennbare wirtschaftliche Verbundenheit zwischen der verantwortlichen Stelle und einer Niederlassung in einem Mitgliedstaat aus. Die Niederlassung muss nicht einmal selbst bei der untersuchten Datenverarbeitung mitwirken.

Vor allem stellte der EuGH auch darauf ab, dass eine nationale Niederlassung an der Generierung von Einnahmen für den Mutterkonzern beteiligt ist.

Hier stellt sich für mich die Frage, wie der Niederlassung zu beurteilen wären die überhaupt keine Einnahmen für ein Mutterkonzern in einem anderen Mitgliedstaat oder sogar außerhalb der EU generieren, sondern vielmehr nur Ausgaben produzieren. Man denke etwa an Repräsentanzen, die sich allein um die Öffentlichkeit Arbeit eines Unternehmens kümmern, zu Veranstaltungen einladen etc. da hier keine Einnahmen generiert werden, könnte man sich fragen, ob in einer solchen Situation das jeweils nationale Datenschutzrecht Anwendung findet.

Zurück zum Verfahren der französischen Datenschutzbehörde: aus einer gesamteuropäischen Betrachtungsweise lässt sich kritisch anmerken dass wir gerade in Deutschland völlig divergierende Gerichtsentscheidungen dazu haben, welches Datenschutzrecht nun konkret auf Facebook anwendbar ist (Kammergericht Berlin, Az. 5 U 42/12; Oberverwaltungsgericht Schleswig-Holstein: Az. 4 MB 10/13). Kritisieren lässt sich zudem, dass sowohl in den dortigen deutschen Verfahren, als auch jetzt im Verfahren der CNIL (zumindest soweit dies aus den veröffentlichten Dokumenten hervorgeht) ganz allgemein auf Datenverarbeitungen abgestellt wird, ohne diese einzelnen zu konkretisieren und jede Datenverarbeitung für sich zu betrachten. Meines Erachtens ist genau dieser Prüfung Schritt jedoch erforderlich. Für die Frage der Rechtmäßigkeit einer Datenverarbeitung prüft man ja auch nicht alle Datenverarbeitungen auf einmal, sondern muss sich auf jede einzelne Verarbeitung konzentrieren. Warum soll in Bezug auf die Frage des anwendbaren Datenschutzrechts etwas anderes?

Interessanterweise stellt die CNIL zudem in ihrem Schreiben fest dass sowohl die Facebook Inc. als auch Facebook Irland Ltd. gemeinsam für die Verarbeitung verantwortliche darstellen würden. Auch diese Feststellung laufend diametral zu jenen von deutschen Gerichten. Mir geht es hier vor allen Dingen darum das Problem aufzuzeigen, in dem sich international agierende Unternehmen befinden. Nimmt man die in den europäischen Mitgliedstaaten vorherrschenden verschiedenen Feststellungen von Gerichten und Datenschutzbehörden zusammen, erscheint ein recht sicheres Wirtschaften nur schwer möglich, selbst wenn man einen dementsprechenden Anspruch an seine Tätigkeiten hat (was meines Erachtens stets der Fall sein sollte).

Zuletzt möchte ich mit Blick auf die Frage des anwendbaren Datenschutzrechts noch auf die kürzlich veröffentlichte überarbeitete Stellungnahme 179 (pdf) der Art 29 Datenschutzgruppe verweisen. In dieser analysiert das Gremium die oben genannten Entscheidungen des EuGH.

Insbesondere gehen die Datenschützer darin begrüßenswerte weise auch davon aus, dass es ein Fehler wäre, wenn man die Entscheidungen des EuGH zu weit auslegen und zu dem Schluss kommen würde,  dass die Existenz jeglicher Niederlassung die nur im entferntesten mit einer Datenverarbeitung der verantwortlichen Stelle zu tun hat zur Anwendbarkeit europäischen Datenschutzrechts führen würde.

Insbesondere stellt die Art. 29 Datenschutzgruppe auch heraus, dass der EuGH in seiner “Google Spain” Entscheidung zu Begründung anführt, dass Betroffene in der EU ansonsten den durch die Datenschutzrichtlinie gewährten Schutz verlieren würden. Dieses Argument, so die Datenschützer, würde jedoch in dem Fall, in dem eine verantwortliche Stelle in einem EU Mitgliedstaat sitzt, nicht greifen. Denn in einem solchen Fall würde stets europäisches Datenschutzrecht anwendbar sein. Es käme nur auf die Frage an, welches nationale Recht.

Zuletzt noch der Hinweis auf eine weitere Feststellung der Art 29 Gruppe in ihrer neuen Stellungnahme: allein eine gesellschaftsrechtliche Verbundenheit zwischen einem Mutterunternehmen und einer Niederlassung in einem europäischen Mitgliedstaat reicht für sich betrachtet noch nicht aus, um das jeweilige Datenschutzrecht zur Anwendung zu bringen. Genau mit diesem Argument hatte jedoch das Kammergericht in Berlin das deutsche Datenschutzrecht für anwendbar erklärt.

Datenverarbeitung für Werbezwecke

Des Weiteren bemängelt die CNIL, dass Facebook personenbezogenen Daten von Mitgliedern für Werbezwecke verarbeitete und dafür keine Rechtsgrundlage vorliege. Eine vorherige Einwilligung der betroffenen Nutzer liege nicht vor. Damit kommen im Ergebnis als Grundlage der Verarbeitung nur ein Vertrag oder aber die berechtigten Interessen von Facebook in Betracht wenn die schutzwürdigen Interessen des Betroffenen nicht überwiegen würden.

Hinsichtlich einer Verarbeitung für vertragliche Zwecke stellt die CNIL fest, dass die Nutzung der Daten für Werbezwecke gerade nicht der Durchführung des Vertrages mit den Betroffenen diene. Die Datenverarbeitung sei nur einen Nebenzweck, um vertragliche Pflichten zu erfüllen. Zudem führen die französischen Datenschützer an, dass Nutzer die Möglichkeit hätten der Verarbeitung ihrer Daten für Werbezwecke zu widersprechen (opt-out). Dies würde dafür sprechen, dass sie Datenverarbeitung für Werkezwecke nicht für die Durchführung des Nutzungsvertrages mit dem Betroffenen erforderlich ist.

Hier stellt sich freilich aus Praxis sich die Frage, ob man dann als Unternehmen in Zukunft einfach vertraglich die Verarbeitung für Werbezwecke gegenüber dem Nutzer regeln und diese zum Vertragsinhalt machen sollte. Zudem würde man dann eben keine Widerspruchsmöglichkeit anbieten. Nach der Argumentation der CNIL, könnte die Datenverarbeitung dann ja eventuell zulässig sein. Auf die Frage, wie dies dann mit Vorgaben wie jener des § 28 Abs. 4 BDSG in Einklang gebracht werden kann, möchte ich hier nicht näher eingehen.

Auch lehnt die CNIL die Datenverarbeitung auf der Grundlage berechtigter Interessen von Facebook ab. Dies soll nur möglich sein, wenn Nutzer Kontrolle darüber haben, wie personenbezogene Daten genutzt werden und sie ihre Rechte effektiv ausüben können. Dies sei hier jedoch nicht gegeben.

Besondere Arten personenbezogener Daten

Im Profil bei Facebook können Nutzer unter anderem Informationen über ihre religiöse Einstellung oder auch ihre sexuelle Orientierung angeben. Bei diesen Arten von Informationen handelt es sich umso genannte besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG), deren Verarbeitung nach den gesetzlichen Vorgaben nur unter sehr eingeschränkten Voraussetzungen möglich ist.

Was man hierbei beachten sollte ist, dass Datenschutzbehörden den Begriff der besonderen Arten personenbezogenen Daten grundsätzlich sehr weit auslegen und hierunter viel mehr Informationen fallen, als vielen vielleicht bewusst ist. So geht etwa die Art. 29 Gruppe in einer Stellungnahme zur Verarbeitung von Gesundheitsdaten bei der Nutzung von Apps (pdf) davon aus, dass die Information, dass jemand einer Brille trägt ein solches besonderes Datum darstellt. Das bedeutet: ein Foto, auf dem jemand eine normale Brille trägt, würde auch unter diese Kategorie fallen. In der Stellungnahme kommen die Datenschützer der Art 29 Gruppe im Prinzip zu dem Ergebnis, dass eigentlich nur eine Einwilligung die Datenverarbeitung für solche Fälle (Apps, Internet, etc.) rechtfertigen kann. Meinen Beitrag zu der erwähnten Stellungnahme findet man hier und hier einen weiteren zu einer Einschätzung durch die Bundesregierung.

Die CNIL verlangt in ihrem Anschreiben, dass eine Einwilligung für die Verarbeitung dieser Arten von Daten überhaupt nur dann wirksam abgegeben werden könnte, wenn ein Kästchen durch den Nutzer angeklickt wird. Erst dann sei die Voraussetzung erfüllt, dass die betroffene Person „ausdrücklich in die Verarbeitung der genannten Daten eingewilligt“ (so in Art. 8 Abs. 2 Buchst a) Datenschutzrichtlinie) habe.

Ausdrücklich verneint die französische Datenschutzbehörde das Vorliegen einer Einwilligung durch den Nutzer, wenn dieser freiwillig die betroffenen Daten in seinem Profil eingegeben und dann zur Ansicht freigegeben bzw. hochgeladen hat. Warum es sich hierbei nicht um eine ausdrückliche Einwilligung handeln soll, kann ich jedoch nicht ganz nachvollziehen.

Natürliche stets Voraussetzung, dass der Nutzer zuvor weiß, in Wasser einwilligt, um welche Daten es sich handelt und für welche Zwecke diese Daten genutzt werden. Ist diese Voraussetzung jedoch gegeben, und gibt der Nutzer in Kenntnis dieser Informationen freiwillig derartige Daten an und führt dann noch aktiv eine entsprechende Handlung aus, wie etwa den Klick auf einen Button, um die Daten im Profil anzeigen zu lassen, lässt sich meines Erachtens durchaus argumentieren, dass eine ausdrückliche Einwilligung vorliegt. Hier zeigt sich leider einmal mehr ein in der Praxis bekanntes Problem bei dem Versuch, datenschutzrechtlich sicher zu handeln: die geltenden Vorgaben sind teilweise schlicht realitätsfern und werden in der Masse einfach nicht mehr beachtet. Ich persönlich kann mich zum Beispiel nicht entsinnen, dass sich eine den Anforderungen der französischen Datenschützer entsprechende Einwilligung abgeben musste, als ich mein Profilbild bei Twitter hochgeladen habe. Genau dieses Argument habe ich auch gegenüber der Abgeordneten im europäischen Parlament, Frau Birgit Sippel, im Rahmen einer Diskussion auf Twitter entgegengehalten. Nachfolgend Auszüge aus der Diskussion:

Zuletzt sei noch der Hinweis gestattet, dass die europäischen Datenschützer in ihrer Stellungnahme 187 (pdf) festgestellt haben, dass in der Online-Umgebung eine ausdrückliche Einwilligung durch die Verwendung elektronischer oder digitaler Signaturen gegeben werden. Sie kann abhängig vom Zusammenhang aber auch durch anklickbare Schaltflächen, das Versenden einer bestätigenden E-Mail, das Anklicken von Icons usw. erteilt werden.

Warum soll es aber dann nicht ausreichen, wenn man im Profil bei Facebook seine Daten ausfüllt und danach auf eine Schaltfläche klickt, um diese hochzuladen? Die Anforderung der französischen Datenschutzbehörde ist ja, dass zusätzlich zu diesem aktiven Verhalten noch in jedem Falle eine Checkbox vorgehalten werden muss die auch noch einmal aktiv angeklickt werden muss. Endeffekt verlangen die Datenschützer damit zwei aktive, ausdrückliche Handlungen.

Schwaches Passwort

Zudem kritisiert die französische Datenschutzbehörde die Vorgaben für das Passwort bei dem sozialen Netzwerk. Dieses muss dort aus mindestens 6 Zeichen, einer Zahl und einem Buchstaben bestehen. Diese Anforderung ist nach Auffassung der CNIL jedoch keine ausreichende Daten Sicherheitsmaßnahme und verstößt gegen Vorgaben französischen Rechts. Unweigerlich möchte man sich natürlich fragen, wie viele Unternehmen im Internet gegen diese Vorgabe wohl verstoßen. Hinsichtlich dieser Beanstandung verweist die französische Datenschutzbehörde zudem darauf, dass ein entsprechender Verstoß mit einer Strafe in Höhe von bis zu 1.5 Mio EUR geahndet werden kann.

Datentransfers in Drittstaaten

Auch bemängelt die CNIL, dass Facebook, zumindest nach eigener Aussage gegenüber der Behörde im Rahmen der Prüfung, immer noch personenbezogene Daten auf der Grundlage der Angemessenheitsentscheidung der Europäischen Kommission zu Safe Harbor übermitteln würde. Da diese Angemessenheitsentscheidung seit dem entsprechenden Urteil des EuGH jedoch nicht mehr existiert, kann dieses Instrument richtigerweise nicht mehr für Datentransfers genutzt werden. Des Weiteren nutze Facebook jedoch auch Standardvertragsklauseln als Grundlage einer Datenübermittlung in Drittstaaten. Im Ergebnis wird man hier eine genauere Untersuchung, die ja gerade auch im Land im Rahmen der Beschwerde von Max Schrems läuft, abwarten müssen.

Was mich persönlich jedoch verblüfft hat, ist, dass die Entscheidung der CNIL bzw. das vorliegende Anschreiben auf den 26. Januar 2016 datiert. Nach eigener Aussage (Pressemitteilung vom 16. Oktober 2015,  pdf) wollten die europäischen Datenschutzbehörden, deren Vorsitz gerade die Leiterin der CNIL inne hat, Unternehmen jedoch bis Ende Januar (also bis zum 31. Januar 2016) Zeit geben, Datentransfers in die USA auf entsprechende neue Grundlagen zu stützen. Auch der Hamburgische Beauftragte für den Datenschutz hatte im November 2015 informiert (pdf), dass Unternehmen, die Daten auf der Grundlage der ungültigen Angemessenheitsentscheidung zu Safe Harbor übermitteln, „ab Februar 2016 mit Maßnahmen durch die Aufsichtsbehörden rechnen“ müssen. Die damals aufgestellte Übergangsfrist scheint also daher eher eine grobe Richtschnur gewesen und von den Aufsichtsbehörden unterschiedlich in der Praxis umgesetzt worden zu sein.

Ausblick

Auch in Deutschland kämpft Facebook derzeit an mehreren Datenschutzfronten. In Hamburg ist vor dem Verwaltungsgericht ein Verfahren zur Frage der Klarnamenpflicht in dem sozialen Netzwerk anhängig. Am 25. Februar 2016 findet die Verhandlung vor dem Bundesverwaltungsgericht zur Frage statt, ob Fanpage Betreiber datenschutzrechtlich verantwortlich sind.

EU-US Privacy Shield: Was wir bisher wissen.

Posted on by

Am 2. Februar 2016 hat die Europäische Kommission eine politische Einigung mit der amerikanischen Regierung auf ein neues System bzw. einen Rahmen für transatlantische Datentransfers bekanntgegeben, das „EU-US Privacy Shield“. Was genau der Inhalt dieses Systems sein wird, dazu existieren derzeit kaum valide Informationen. Das mag man kritisieren. In der Öffentlichkeit wurden zwar bereits Einschätzungen diskutiert, nach denen das EU-US Privacy Shield den datenschutzrechtlichen Anforderungen an Datentransfers in Drittstaaten (insbesondere unter Berücksichtigung des Urteils des EuGH vom 6. Oktober 2015, C-362/14) klar nicht genügen würde. Derartige inhaltliche Meinungen halte ich persönlich jedoch für verfrüht und warte daher gerne auf einen konkreten Text (insbesondere die Angemessenheitsentscheidung der Europäischen Kommission), der sich dann juristisch prüfen lässt.

Dennoch brennt die Frage, was da auf transatlantische Datenübermittlungen und betroffene Organisationen zukommt, verständlicherweise vielen Beteiligten unter den Nägeln. Bis also ein offizieller Text vorliegt, lässt sich dem Grunde nach nur zusammentragen, was aus verschiedenen Quellen bekannt gegeben wurde. An diesen Ankündigungen muss sich das System dann auch messen lassen. Nachfolgend möchte ich versuchen, eine solche Übersicht (Stand 4. Februar 2016) zu erstellen.

Pressemitteilung der Europäischen Kommission vom 2. Februar 2016

Überwachung und Durchsetzung der Regelungen durch das US-Handelsministerium und die Federal Trade Commission (FTC).

Vorgaben zur verstärkten Zusammenarbeit mit den europäischen Datenschutzbehörden.

Zusagen der US-Regierung, dass die Möglichkeiten für Behörden, nach dem amerikanischen Recht auf im Rahmen der neuen Vereinbarung übertragene personenbezogene Daten zuzugreifen, an klare Bedingungen, Beschränkungen und Aufsicht geknüpft ist, um einen allgemeinen Zugang zu verhindern.

Europäer werden die Möglichkeit haben, jede Anfrage oder Beschwerde in diesem Zusammenhang bei einer neu zu schaffenden Ombudsperson vorzubringen.

Verbindliche Zusicherungen der US-Regierung, dass der Zugang durch Behörden für Zwecke der nationalen Sicherheit klaren Grenzen, Schutz- und Aufsichtsmechanismen unterliegen wird.

Zum ersten Mal wird für EU-Bürger die Möglichkeit bestehen, Rechtsschutzverfahren in diesem Bereich [Anm. d. Autors: bezieht sich auf den Zugang durch Behörden für Zwecke der nationalen Sicherheit] in Anspruch zu nehmen.

Jährliche gemeinsame Überprüfung, um die Umsetzung dieser Verpflichtungen genau zu beobachten. Die Europäische Kommission und das US-Handelsministerium werden die Überprüfung durchführen und Experten für Nachrichtendienste aus den USA und europäische Datenschutzbehörden zur Teilnahme einladen.

US-Unternehmen, die personenbezogene Daten aus Europa importieren möchten, müssen sich zur Einhaltung von Vorgaben verpflichten, wie personenbezogene Daten verarbeitet und die Rechte des Einzelnen gewährleistet werden.

Darüber hinaus muss sich jedes Unternehmen, welches mit Arbeitnehmerdaten aus Europa umgeht, dazu verpflichten, Entscheidungen der europäischen Datenschutzbehörden anzuerkennen und nachzukommen.

Jeder Bürger, der der Auffassung ist, dass seine Daten im Rahmen des neuen Systems unzulässig verwendet wurden, wird mehrere Rechtsbehelfsverfahren zur Auswahl haben.

Unternehmen haben konkrete Fristen zu beachten, um auf Beschwerden zu antworten.

Europäische Datenschutzbehörden können Beschwerden an das US-Handelsministerium und die Federal Trade Commission weiterleiten.

Alternative Streitbeilegungsmechanismen werden kostenlos sein.

Die Europäische Kommission wird nun in den nächsten Wochen einen Entwurf für eine Angemessenheitsentscheidung [Anm. d. Autors: Nach Art. 25 Abs. 6 der Europäischen Datenschutzrichtlinie] erarbeiten. Dieser wird der Art. 29 Datenschutzgruppe für eine Stellungnahme zugeleitet und muss nach dem Ausschussverfahren [Anm. d. Autors: Art. 31 der Europäischen Datenschutzrichtlinie] angenommen werden.

Fragerunde des US Handelsministeriums auf Twitter vom 3. Februar 2016

Um am Privacy Shield teilnehmen zu können, müssen US-Unternehmen entweder Durchsetzungsbefugnissen der FTC oder des US-Transportministeriums unterliegen.

Ich selbst hatte zwei Fragen gestellt: 1) Ob das System erneut auf einer Selbstzertifizierung der US-Unternehmen basieren wird? 2) Ob noch amerikanisches Recht angepasst werden muss?

Die Antwort des US-Handelsministeriums, kurz und knapp:

Derzeit unter Safe Harbor zertifizierte Unternehmen werden einen Übergangszeitraum erhalten.

Das US-Handelsministerium wird die für das Privacy Shield zuständige Mitarbeiterzahl verdoppeln.

Auf die Frage eines Twitter-Nutzers, ob die „Presidential Policy Directive 28“ (PPD-28) ein rechtlich bindendes Instrument darstelle, antwortete das US-Handelsministerium:

Informationsblatt des US Handelsministeriums vom 2. Februar 2016 (hier Informationen, die über jene der Europäischen Kommission hinausgehen)

Unternehmen werden sich verpflichten, an Schiedsverfahren als mögliche letzte Instanz bei Beschwerden teilzunehmen, um sicherzustellen, dass EU-Bürger die Möglichkeit haben, auf diesem Wege Rechtsmittel einzulegen.

Das Privacy Shield enthält neue vertragliche Vorgaben zum Schutz der Privatsphäre und zur Aufsicht für Daten, die von teilnehmenden Unternehmen an Dritte weitergegeben oder von deren Dienstleistern verarbeitet werden, um die Haftung besser zu regeln und die Fortgeltung des Schutzes zu gewährleisten.

Ankündigung

Und noch eine Ankündigung zum Schluss: unter www.euusprivacyshield.de werde ich bald eine eigene Informationsseite einrichten und dort versuchen, die neuesten Entwicklung rund um dieses wichtige Projekt zu verfolgen und zu kommentieren.

Vernetzte Fahrzeuge: Möchte die Bundesregierung den Datenschutz verschärfen?

Posted on by

Am heutigen Freitag soll im Bundestag über einen Antrag der Fraktionen der CDU/CSU und SPD mit dem Titel „Intelligente Mobilität fördern – Die Chancen der Digitalisierung für den Verkehrssektor nutzen“ (BT-Drs. 18/7362, pdf) abgestimmt werden.

In diesem Antrag befasst sich die Bundesregierung unter anderem auch mit dem Thema Datenschutz (ab S. 5) und wie mit personenbezogenen Daten, die beim Einsatz verletzter Fahrzeuge entstehen, in Zukunft umgegangen und wie diese geschützt werden sollen. Die in dem Antrag zum Ausdruck gebrachten Forderungen bzw. Wünsche werfen jedoch einige Fragen mit Blick auf die geltende Rechtslage im Datenschutzrecht auf.

Nach dem Antrag sollen personenbezogene Daten, die vom Fahrzeug erzeugt werden, nur

mit Zustimmung des Betroffenen und bestehend auf einer gesetzlichen Grundlage pseudonymisiert erhoben werden dürfen, so dass u.a. die Erstellung von Bewegungsprofilen mit einem direkten Personenbezug nicht möglich ist.

Vor dem Hintergrund des geltenden Rechts, dass personenbezogene Daten, auf die sich die Bundesregierung hier ausdrücklich bezieht, dann verarbeitet werden dürfen, soweit dies ein Gesetz oder eine andere Rechtsvorschrift erlaubt oder aber der Betroffene selbst eingewilligt hat (§ 4 Abs. 1 BDSG), irritiert die Formulierung, dass personenbezogene Daten mit Zustimmung des Betroffenen und (!) auf einer gesetzlichen Grundlage erhoben werden dürfen. Den gesetzlichen Vorgaben hätte es jedoch entsprochen, wenn das Wort „und“ durch ein oder ersetzt worden wäre. Die Bundesregierung scheint hier den Wunsch zu äußern, dass sowohl eine Einwilligung vorliegen als auch eine gesetzliche Grundlage einschlägig sein muss, damit personenbezogene Daten überhaupt erst erhoben werden dürfen.

Hierbei kann es sich freilich auch um ein Versehen oder eine zu strenge Auslegung am Wortlaut meinerseits handeln. Sollte die Bundesregierung jedoch tatsächlich kumulativ eine Einwilligung als eine gesetzliche Grundlage für die Datenverarbeitung erforderlich halten, so dürfte dies gegen europäisches Recht verstoßen.

Der europäische Gerichtshof hat bereits im Jahre 2011 (C-468/10 und C-469/10) zu Art. 7 der Datenschutzrichtlinie (RL 95/46 EG), der die möglichen Grundlagen einer Datenverarbeitung festlegt, entschieden, dass die Mitgliedstaaten weder neue Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten neben Art. 7 der Richtlinie 95/46 einführen, noch zusätzliche Bedingungen stellen dürfen, die die Tragweite eines der sechs in diesem Artikel vorgesehenen Grundsätze verändern würden. Möchte die Bundesregierung jedoch kumulativ sowohl die Einwilligung als auch eine gesetzliche Erlaubnis für die Zulässigkeit des Umgangs mit personenbezogenen Daten im vernetzten Fahrzeug vorsehen, dürfte dies eine zusätzliche Bedingungen im Sinne des Urteils des europäischen Gerichtshofs darstellen. Die Erfüllung von zwei möglichen Zulässigkeitsalternativen würden verpflichtend zusammengefasst.

Unklar ist zudem, wie sich die Vorgabe der Bundesregierung, dass per se bereits nur pseudonymisierte Daten erhoben werden dürfen, mit der geplanten Vorgabe verhält, dass hierfür sowohl eine Einwilligung als auch eine gesetzliche Erlaubnis erforderlich ist. Zwar wird heute bereits vielfach davon ausgegangen, dass es sich auch bei pseudonymisierten Daten weiterhin um personenbezogene Daten handelt. Jedoch wird gerade der Umgang mit Daten unter einem Pseudonym, insbesondere auch wenn es sich um Fälle handelt die von der Bundesregierung im Antrag angesprochen werden, nämlich wenn Nutzungsprofile erstellt werden, gesetzlich privilegiert. So erlaubt § 15 Abs. 3 TMG die Erstellung von Nutzungsprofilen unter Verwendung eines Pseudonyms für Zwecke der Werbung, Marktforschung oder auch zur bedarfsgerechten Gestaltung von Telemedien ohne vorherige Einwilligung. Dem Nutzer muss nur die Gelegenheit gegeben werden, der Datenverarbeitung im Nachhinein zu widersprechen. Gerade wenn man sich das vernetzte Fahrzeug anschaut, welches sich immer mehr zu einem rollenden Telemediendienst wandelt, stellt sich daher die Frage, ob die Bundesregierung eine Verschärfung der geltenden Vorgaben auch bezüglich des Erstellens von Nutzungsprofilen unter einem Pseudonym plant.

Des Weiteren weist die Bundesregierung in ihrem Antrag darauf hin, dass den Betroffenen die wichtigsten Informationen zum Umgang mit personenbezogenen Daten einfach formuliert bereitgestellt werden müssen. Diese Vorgabe ist nicht unbedingt neu, denn bereits derzeit müssen Informationen zur Datenverarbeitung etwa nach § 13 Abs. 1 TMG oder § 4 Abs. 3 BDSG.

Zudem sieht der Antrag der Bundesregierung vor, dass der Fahrer und/oder Fahrzeughalter selbst entscheiden dürfen sollte,

wer Zugriff auf seine personenbezogenen Daten hat. Deshalb bedarf das Auslesen bzw. Übermitteln dieser Daten aus dem Fahrzeug einer Erlaubnis. Die „Aktivierung/Deaktivierung“ der Datenu?bermittlung muss jederzeit möglich und einfach auszuführen sein.

Auch diese Forderung ist dem Grunde nach erst einmal keine Änderung zu geltenden Rechtslage. Denn wie bereits beschrieben, bedarf eine Datenverarbeitung (damit auch eine Erhebung im Wege des Zugriffs) entweder der Einwilligung oder eines gesetzlichen Erlaubnistatbestandes. Eine Verschärfung würde sich jedoch dann ergeben, wenn die Aussagen der Bundesregierung dahin zu verstehen sind, dass mit dem „selbst entscheiden dürfen“ stets eine Einwilligung des Betroffenen gemeint ist. Man könnte jedoch eventuell auch davon ausgehen, dass diese Erlaubnis bereits bei Vertragsabschluss, etwa beim Kauf des Fahrzeugs, erteilt wird. Zudem spricht die Bundesregierung in ihrem Antrag von „einer“ Erlaubnis und nicht „seiner“. Unter „einer Erlaubnis“ kann man auch gesetzliche Grundlagen verstehen.

Der nachfolgende Zusatz jedoch, dass die Aktivierung bzw. Deaktivierung einer Datenübermittlung jederzeit möglich sein muss, spricht erneut für das zwingende Erfordernis einer Einwilligung des Betroffenen die durch die zuvor beschriebene Aktivierung bzw. Deaktivierung ausgeübt wird. Da diese „jederzeit“ ausgeübt können werden soll, kann es sich auch nicht um eine zuvor erteilte Einwilligung, etwa beim Kauf des Autos handeln.

Insgesamt stellen sich nach kurzer Analyse dieses Antrags der Bundesregierung doch einige Fragen und man wird abwarten müssen, in welcher Form die Bundesregierung eine Umsetzung dieses Antrags plant. Sollte es ja noch zu den oben besprochenen Verschärfungen kommen, habe ich Zweifel, ob diese einer Prüfung aus europarechtlicher Sicht standhalten würden. Dies gilt auch, wenn in ca. zwei Jahren die neue Datenschutz Grundverordnung wirksam wird.

Das Thema Datenschutz und vernetzte Fahrzeuge ist derzeit nicht nur im Parlament von Interesse. Diese Woche haben sich die Landesdatenschutzbeauftragten in Deutschland und der Verband der Automobilindustrie auf eine gemeinsame Leitlinie (pdf) bei der Anwendung und Auslegung des geltenden Datenschutzrechts mit Blick auf die Nutzung vernetzter Fahrzeuge geeinigt (hierzu mein englischer Blogbeitrag).