Category Archives: Rechtsprechung

Stellungnahme europäischer Datenschützer: Weiter Anwendungsbereich des europäischen Datenschutzrechts

Posted on by

Die Art. 29 Datenschutzgruppe hat am 16. Dezember 2015 eine überarbeitete Version (pdf) ihrer Stellungnahme 8/2010 zum anwendbaren Datenschutzrecht (pdf) verabschiedet. Die Überarbeitung wurde insbesondere nach den Urteilen den Europäischen Gerichtshofs (EuGH) in der Sache „Google Spain“ (C-131/12) und „Weltimmo“ (C-230/14) erforderlich, in denen der Gerichtshofs die Vorschrift des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie auslegte.

Die europäische Regelung

Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie beantwortet die Frage (oder versucht dies zumindest), wann das jeweils nationale Datenschutzrecht eines EU-Mitgliedstaates anwendbar ist:

Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält.

Stellungnahme der Art. 29 Datenschutzgruppe

Grundsätzlich analysieren die Datenschützer das Google Spain-Urteil des EuGH und gehen vereinzelt auch auf das zeitlich später ergangene Weltimmo-Urteil ein.

Nach Auffassung der Datenschützer wendet der EuGH europäisches Datenschutzrecht auf Datenverarbeitungen an, die durch eine verantwortliche Stelle vorgenommen werden, die in einem Staat außerhalb der EU niedergelassen ist, wenn sie eine „relevante“ Niederlassung innerhalb der EU besitzt. Jedoch werfe dieser sehr weite Anwendungsbereich europäischen Rechts auch Fragen auf.

Ebenfalls wichtig für die Art.29 Gruppe ist die Frage, inwieweit bei Konstellationen, in denen die verantwortliche Stelle in der EU niedergelassen ist und mehrere Niederlassungen in anderen Mitgliedstaaten besitzt, die Vorgaben des EuGH übertragbar sind und ob eventuell stets nur ein nationales Datenschutzrecht anwendbar ist.

Auslegung der EuGH-Urteile durch die Art. 29 Datenschutzgruppe

Zunächst befasst sich die Stellungnahme mit dem Tatbestandsmerkmal „im Rahmen der Tätigkeiten einer Niederlassung“. Die Art. 29 Gruppe weist auf eine weite Auslegung des Begriffs „Niederlassung“ in beiden Urteilen hin. Zudem kreiere der EuGH das Merkmal der „untrennbaren Verbundenheit“ der Tätigkeiten der europäischen Niederlassung mit der verantwortlichen Stelle, die in einem Staat außerhalb der EU ihren Sitzt hat.

Die Art. 29 Gruppe versteht diese Verbundenheit vor allem im Sinne eines wirtschaftlichen Konnexes, etwa im Sinne von Umsätzen der EU-Niederlassung. Es dürfe keine Trennung der Tätigkeiten möglich sein, ohne dass das Angebot des ausländischen Dienstes, etwa einer Suchmaschine, wirtschaftlich unrentabel werde.

Zu dem Merkmal der untrennbaren Verbundenheit stellt die Art. 29 Gruppe weiter fest, dass bei deren Vorliegen europäisches Datenschutzrecht anwendbar ist, selbst wenn die EU-Niederlassung gar keine Rolle bei Datenverarbeitung der verantwortlichen Stelle spielt. Nach Auffassung der Datenschützer können jedoch die Tätigkeiten der Niederlassung so mit der verantwortlichen Stelle verbunden sein, dass europäisches Recht auf deren Datenverarbeitung anwendbar ist. Hierzu bildet die Art. 29 Gruppe etwa ein Beispiel, in dem eine verantwortliche Stelle mehrere Verkaufsbüros in der EU besitzt. Dann beurteile sich Verarbeitung der verantwortlichen Stelle nach europäischem Datenschutzrecht, selbst wenn die Niederlassung in der EU an der Datenverarbeitung nicht beteiligt ist.

Zudem stellen die Datenschützer fest, dass das EuGH-Urteil das Geschäftsmodell einer Internetsuchmaschine und deren Generierung von Werbeeinnahmen betraf. Es wäre aus diesem Grund ein Fehler zu glauben, dass nun jede Verbindung zwischen einer EU-Niederlassung und der verantwortlichen Stelle im EU-Ausland ausreichen würde, um europäisches Datenschutzrecht zur Anwendung zu bringen. Jeder Fall muss für sich betrachtet werden. Andererseits dürfe das Urteil nach Ansicht der Art. 29 Gruppe aber auch nicht zu eng ausgelegt und etwa nur auf Suchmaschinen und deren Geschäftsmodell angewendet werden.

Aus Sicht der Praxis von Interesse dürfte die Aussage der Datenschützer sein, dass das Urteil ihrer Auffassung nach je nach Einzelfall vor allem auf Unternehmen anwendbar sein kann, die kostenlose Dienste in der EU anbieten und Daten, die von Nutzern dieser Dienste erhoben und verarbeitet werden, dann in der ein oder anderen Form kommerziell, z. B. für Werbezwecke, genutzt werden.

Auch der Frage, wie die Urteile des EuGH mit Blick auf Sachverhalte zu beurteilen sind, die allein Innerhalb der EU spielen, gehen die Datenschützer nach. Es geht hierbei um Fälle, bei denen mehrere Niederlassungen in verschiedenen Mitgliedstaaten bestehen und eine Hauptniederlassung in einem Mitgliedstaat existiert, die allein als verantwortliche Stelle agiert.

Ist in einem solchen Fall jedes nationale Recht und damit nebeneinander verschiedene Rechtsordnungen auf verschiedene Datenverarbeitung derselben verantwortlichen Stelle anwendbar, wenn die „untrennbare Verbundenheit“ besteht, selbst wenn diese Niederlassungen nicht an der Verarbeitung beteiligt sind?

Nach richtiger Auffassung der Art. 29 Gruppe hat der EuGH in seinem Google Spain-Urteil hierzu nichts gesagt und auch keine Unterscheidung getroffen, wie der Fall zu beurteilen wäre, wenn die verantwortliche Stelle in der EU ansässig ist. Ich möchte hinzufügen: das musste er auch gar nicht. Dennoch habe der EuGH für die Anwendung des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie eine neue Voraussetzung geschaffen: die untrennbare Verbundenheit zwischen verantwortlicher Stelle und der Niederlassung. Das Argument des EuGH, europäisches Recht anzuwenden, da ansonsten die Gefahr bestünde, dass der Betroffene den ihm gewährten Schutz verlieren würde, ist nach Ansicht der Datenschützer in den Konstellationen, die allein in der EU spielen, nicht zwingend. Denn in einem solchen Fall geht es nur darum im Anwendungsbereich der Datenschutzrichtlinie zu bestimmen, welches nationale Recht anwendbar ist.

Doch geht die Art. 29 Gruppe davon aus, dass derzeit keine Vollharmonisierung unter dem europäischen Datenschutzrecht existiert. Daher sei es schon wichtig, welches nationale Recht gilt. Zudem führen die Datenschützer aus, dass die Datenschutzrichtlinie keine Form eines „one stop shops“ für das anwendbare Recht vorsieht. Es sei vielmehr jedes nationale Recht anwendbar, in dem eine Niederlassung existiert, die mit ihren Tätigkeiten untrennbar mit der verantwortlichen Stelle verbunden ist. Die Begründung: ansonsten bestünde die Gefahr des forum shoppings in der EU.

Das Fazit der Art. 29 Gruppe: der EuGH schafft ein neues Kriterium im Rahmen des Tatbestandsmerkmals des Art. 4 Abs. 1 Buchst. a Datenschutzrichtlinie („im Rahmen der Tätigkeiten einer Niederlassung“), die untrennbare Verbundenheit. Hier gehen die Datenschützer noch einmal deutlich darauf ein, dass es sich um eine wirtschaftliche Verbundenheit handeln muss.

Im zweiten Teil der Stellungnahme beschreiben die Datenschützer konkrete Änderungen ihrer alten Stellungnahme. Zudem stellen sie klar, dass selbst wenn nicht EU-Recht auf eine außerhalb der EU sitzende verantwortliche Stelle anwendbar ist, doch immer noch nationales Recht für solche Datenverarbeitungen gilt, die „lokal“ von einer EU-Niederlassung vorgenommen werden, etwa im Rahmen der Verwaltung eigener Dienstleister oder Mitarbeiter.

Zudem sei EU-Recht auch anwendbar, wenn nur eine einzige Niederlassung einer außereuropäischen verantwortlichen Stelle in der EU existiert, die Dienstleistungen in der EU anbietet. Dann scheint nach Ansicht der Art. 29 Gruppe eine Art Vermutung dafür zu streiten, dass die Tätigkeiten dieser EU-Niederlassung mit der verantwortlichen Stelle untrennbar verbunden sein müssen.

Zudem fügen die Datenschützer noch einige neue Beispiele für die Praxis in ihre Stellungnahme ein. Sehr relevant ist, dass die Art. 29 Gruppe in diesem Zusammenhang klarstellt, dass allein die gesellschaftsrechtliche Verbundenheit nicht für eine „untrennbare Verbundenheit“ ausreicht. Selbst wenn nur eine Niederlassung in der EU vorhanden sein sollte und eine finanzielle Verbindung zur verantwortlichen Stelle (hier in Kanada) besteht, reicht dies nicht aus, wenn die EU-Niederlassung tatsächlich im Rahmen völlig andere Tätigkeiten agiert, als die verantwortliche Stelle.

Bundesregierung zum Safe Harbor-Urteil: Einwilligung und Standardvertragsklauseln weiter möglich

Posted on by

Wie geht es mit Datentransfers nach Amerika nach dem sog. „Safe Harbor-Urteil“ des Europäischen Gerichtshofs weiter? In der Antwort auf eine Kleine Anfrage der Fraktion DIE LINKE im Deutschen Bundestag (BT-Drs. 18/7134, PDF) setzt sich die Bundesregierung mit den Auswirkungen der Safe Harbor-Entscheidung des Europäischen Gerichtshofs vom 6. Oktober 2015 auseinander und legt insbesondere ihre Ansicht zu Rechtmäßigkeit von Datenübermittlung auf der Grundlage alternativer, gesetzlich vorgesehene Mechanismen dar.

Richtigerweise stellt die Bundesregierung unter anderem klar, dass für Datenübermittlungen in die USA (nach der Ungültigkeit von Safe Harbor) alternative Rechtsgrundlagen in Betracht kommen.

Dies sind neben vertraglichen Regelungen wie den Standardvertragsklauseln verbindliche Unternehmensregelungen oder die in der Richtlinie 95/46 EG bzw. § 4c des Bundesdatenschutzgesetzes (BDSG) genannten Ausnahmetatbestände.

Derzeit verhandelt die europäische Kommission mit der amerikanischen Regierung über eine Nachfolgeregelung zu Safe Harbor. Die europäischen Datenschutzbehörden haben den Verhandlungsparteien eine Frist bis Anfang Februar 2016 gesetzt. Danach, so die Aufsichtsbehörden, würden internationale Transfer in die USA verstärkt kontrolliert werden. In ihrer Antwort legt die Bundesregierung dar, dass sie das Ziel der Europäischen Kommission, zeitnah ein neues Safe-Harbor-Abkommen zu erreichen, um Rechtssicherheit sowohl für Verbraucher als auch für die Wirtschaft zu schaffen, unterstützt. Zudem ist sie der Auffassung, dass eine Nachfolgeregelung für Safe Harbor durchaus möglich ist, wenn diese den Maßstäben des Europäischen Gerichtshofs gerecht wird.

Mit Blick auf die behördliche Kontrolle und Durchsetzung des Datenschutzrechts verweist die Bundesregierung hinsichtlich der personellen, materiellen und finanziellen Ausstattung der Landesdatenschutzbehörden auf die Zuständigkeit der Länder. Was die Bundesbeauftragte für den Datenschutz betrifft, so ist die Bundesregierung der Ansicht,

dass die Bundesbeauftragte für Datenschutz und die Informationsfreiheit finanziell, personell und technisch ausreichend ausgestattet ist.

Zudem äußert sich die Bundesregierung zu den Anforderungen an eine datenschutzrechtliche Einwilligung für Datentransfers nach Amerika. Eine solche, ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erteilte Einwilligung der betroffenen Person, ermöglicht eine Übermittlung personenbezogener

Daten in Drittstaaten, in denen kein angemessenes Datenschutzniveau im Sinne der europäischen Datenschutzrichtlinie gewährleistet ist. Aus diesem Grund sieht die Bundesregierung keine Veranlassung,

die gesetzlichen Reglungen über die Einwilligung bei der Übermittlung von personenbezogenen Daten in Drittstaaten zu ändern. Datenschutzrechtliche Einwilligung ist also auch nach Ansicht der Bundesregierung in Zukunft ein taugliches Mittel, um Datentransfers nach Amerika zu legitimieren.

Die Fragesteller möchten zudem wissen, ob die Bundesregierung eine Gesetzesinitiative plane, um dem Urteil des Gerichts entsprechend, den Datenschutzbehörden ein Klagerecht gegen (Angemessenheits-) Entscheidungen der Kommission einzuräumen. Eine solche mögliche Gesetzesänderung möchte die Bundesregierung, insbesondere im Zusammenhang mit den erforderlichen Rechtsänderungen nach dem Inkrafttreten der Datenschutz-Grundverordnung, überprüfen.

Des Weiteren ist die Bundesregierung der Auffassung,

dass die EU-Standardvertragsklauseln sowie die verbindlichen Unternehmensregeln (BCRs) weiterhin als Rechtsgrundlage für einen legalen Datentransfer in die USA verwendet werden können.

Zudem führt sie aus, dass die Standardvertragsklauseln nur vom EuGH für ungültig oder nichtig erklärt werden können. Die jeweils zuständigen Datenschutzbehörden können die Rechtmäßigkeit einer Datenübermittlung auf der Grundlage alternativer Instrumente im Einzelfall aber jederzeit überprüfen.

Von einer raschen Überarbeitung der derzeit geltenden Standardvertragsklauseln geht die Bundesregierung nicht aus. Vielmehr ist sie der Ansicht, dass die Europäische Kommission nach Erlass der Datenschutz-Grundverordnung die Standardvertragsklauseln überprüfen wird.

Auch auf mögliche Auswirkungen des Urteils auf  TTIP und CETA geht die Bundesregierung ein. Hierbei verweist sie darauf, dass die Europäische Kommission in ihrer handelspolitischen Strategie

Bekräftigt habe, dass Vorschriften über die Verarbeitung personenbezogener Daten nicht Gegenstand der Verhandlungen über Handelsabkommen sind und von diesen nicht berührt werden. Nach Auffassung der Bundesregierung hat das Safe Harbor-Urteil daher keine konkreten Konsequenzen für die Verhandlungen über TTIP oder CETA.

OLG Frankfurt: Einsatz von Cookies für Werbezwecke erfordert kein Opt-in

Posted on by

Das OLG Frankfurt am Main hat mit Urteil vom 17.12.2015 (Az.: 6 U 30/15) über die Wirksamkeit der im Rahmen eines Gewinnspiels im Internet eingeholten Einwilligung in die Datenverarbeitung für Werbezwecke mittels Cookies entschieden. (Hinweis: JBB Rechtsanwälte waren an dem Rechtsstreit als Verfahrensbevollmächtigte beteiligt).

Das Urteil ist insbesondere deshalb interessant, weil es sich unter anderem mit der Frage auseinandersetzt, ob die sogenannte ePrivacy- oder Cookie-Richtlinie (RL 2002/58/EG in der Fassung der RL 2009/136/EG, PDF) und deren Vorgaben zur Einwilligung beim Einsatz von Cookies in Deutschland unmittelbar anwendbar sind. Diese Frage ist seit Jahren umstritten.

Ausgangslage

Im ursprünglichen Verfahren hat ein Verbraucherschutzverband gegen den Veranstalter eines Gewinnspiels im Internet geklagt. Angegriffen wurde hierbei unter anderem eine Einwilligungserklärung, in der sich Teilnehmer des Gewinnspiels damit einverstanden erklärten, dass nach ihrer Registrierung ein Cookie gesetzt wird, über das eine Auswertung des Surf- und Nutzungsverhaltens auf Webseiten von Werbepartnern und eine Verwendung für interessengerechte Werbung ermöglicht werden.

In der Einwilligungserklärung, die mittels eines bereits angekreuzten Kästchens (opt-out) eingeholt wurde, fand sich zudem ein Link auf weitere Informationen zum Einsatz des  Cookies und der damit zusammenhängenden Datenverarbeitung.

Urteil

Der vom Verbraucherschutzverband geltend gemachte Unterlassungsanspruch (§ 1 UKlaG) gegen die Einwilligungserklärung wurde vom OLG zurückgewiesen.

Die Einwilligungserklärungen qualifizierte das Gericht als eine Allgemeine Geschäftsbedingung und war damit nach Auffassung des Senats auch einer Inhaltskontrolle (§ 307 BGB) zugänglich. Jedoch verstößt die Einwilligungserklärung gegen keine der insoweit maßgeblichen gesetzlichen Vorgaben der §§ 4a, 28 Abs. 3a BDSG sowie §§ 13 Abs. 2, 15 Abs. 3 TMG).

Dies gilt, so das OLG, auch dann, wenn man diese Vorschriften nach Ablauf der Umsetzungsfrist der Neuregelung des Artikel 5 Abs. 3 ePrivacy-Richtlinie richtlinienkonform auslegen möchte.

Opt-out ausreichend

Das Gericht stellt fest, dass den genannten datenschutzrechtlichen Vorschriften das Erfordernis einer ausdrücklich erteilten Einwilligung (opt-in) nicht zu entnehmen ist. Vielmehr kann die Einwilligung auch dadurch erklärt werden, dass der Nutzer einen bereits gesetzten Haken in einem Kästchen nicht entfernt (opt-out). Das Gericht verweist hierzu auf das sogenannte Payback-Urteil des Bundesgerichtshofs.

Ohne Erfolg berief sich der Verbraucherschutzverband darauf, dass nach Ablauf der Umsetzungsfrist der ePrivacy-Richtlinie das nationale Recht richtlinienkonform dahingehend ausgelegt werden müsste, dass ein solches Opt-Out Verfahren nicht ausreiche. Art. 5 Abs. 3 ePrivacy-Richtlinie enthält nämlich keine Regelung, die ein Ort in Verfahren zwingend vorschreiben würde. Danach haben die Mitgliedstaaten sicherzustellen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Hierzu das Gericht:

Dort ist jeweils nur von der klaren und umfassenden bzw. verständlichen Information die Rede, die dem Nutzer vor Abgabe der Einwilligungserklärung gegeben werden muss. Dem steht ein „opt-out“-Verfahren nicht generell entgegen.

Zudem, lässt sich zusätzlich anführen, dass der Begriff der „Einwilligung“ in der ePrivacy-Richtlinie genau derselbe ist wie in der europäischen Datenschutzrichtlinie (RL 95/46/EG) (vgl. Art. 2 f) ePrivacy-Richtlinie).

Der Verbraucherschutzverband argumentierte zudem mit einer Stellungnahme der europäischen Art. 29 Datenschutzgruppe vom 8.12.2011. Dabei handelt es sich aber nach Auffassung des Gerichts

nur um eine unverbindliche Meinungsäußerung dieses Beratungsgremiums.

Dieser Meinungsäußerung folgt das OLG Frankfurt nicht. Zwar fordert die Art. 29 Datenschutzgruppe eine „bejahende Handlung“ des Nutzers, durch die das Setzen des Cookies und die danach erfolgende Datenverarbeitung akzeptiert werden müsse. Dies beziehe sich jedoch nicht auf die Frage, ob eine Einwilligungserklärung auch im Rahmen des Opt-Out-Verfahrens eingeholt werden kann.

Möglichkeit der Verweigerung

Zudem stellt das OLG fest, dass der durchschnittliche Internetnutzer heute weiß, dass er ein Häkchen in einem Kästchen durch Anklicken des Feldes entfernen und damit seine Einwilligung verweigern kann. Ein ausdrücklicher Hinweis auf diese Möglichkeit ist daher nicht erforderlich.

Hervorhebung der Einwilligungserklärung

Auch ist es nicht unzulässig, dass wesentliche Informationen zum Einsatz des Cookies unter Datenverarbeitung nicht schon in der Einwilligungserklärung selbst, sondern erst in der verlinkten Erläuterung erteilt werden. Zwar verlangt § 28 Abs. 3a S. 2 BDSG hier, dass die Einwilligung „in drucktechnisch deutlicher Gestaltung besonders hervorzuheben“ ist. Dies war jedoch der Fall. Denn die besondere Hervorhebung bezieht sich nur auf die Einwilligungserklärung selbst, und nicht auf die weiteren erläuternden Informationen, die durchaus (über einen deutlich gekennzeichneten Link) auf einer weiteren Informationsebene erteilt werden können.

Auch inhaltlich beanstandete das OLG Frankfurt die Einwilligungserklärung nicht. Insbesondere würden die Funktionen des Cookies richtig herausgestellt werden. Dabei müssen sich die Anforderungen an die erforderlichen Informationen für den Nutzer (wenn sie denn ihren Sinn erfüllen sollten) auch an der Fähigkeit und Bereitschaft des Nutzers orientieren, sich mit diesen Fragen überhaupt tatsächlich zu befassen.

Fazit

Die Frage, ob die ePrivacy-Richtlinie in Deutschland tatsächlich umgesetzt wurde oder nicht, stellt das OLG nicht. Selbst bei einer richtlinienkonform Auslegung der Richtlinie würde die Einholung einer Einwilligung für Werbezwecke im Rahmen eines Opt-Out-Verfahrens genügen. Die ausdrückliche Erteilung der Einwilligung (etwa durch aktives Ankreuzen eines Kästchens) ist also beim Einsatz von Cookies für Werbezwecke nicht erforderlich.

Europäische Kommission veröffentlicht ihre Analyse des Safe Harbor-Urteils

Posted on by

Heute hat die Europäische Kommission in einer Mitteilung (PDF) ihre Analyse des Safe Harbor-Urteils des europäischen Gerichtshofs veröffentlicht.

Neue Erkenntnisse oder Informationen zu den rechtlichen Möglichkeiten für Datentransfers in die USA finden sich in der Position kaum. Zumeist verweist die Kommission auf Stellungnahmen der Art. 29 Datenschutzgruppe. Einige Kernpunkte des Papiers möchte ich nachfolgend dennoch ansprechen:

Standardvertragsklauseln

Mit Blick auf den Einsatz von Standardvertragsklauseln (welche durch die Europäische Kommission auf der Grundlage von Art. 26 Abs. 4 der Datenschutzrichtlinie erlassen wurden und „ausreichende Garantien“ im Sinne von Art. 26 Abs. 2 der Datenschutzrichtlinie darstellen) stellt die Kommission fest, dass nationale Datenschutzbehörden dem Grunde nach verpflichtet sind, diese als rechtmäßige Möglichkeit eines Datentransfers in einen Drittstaat zu akzeptieren. Der Grund hierfür ist die rechtliche Verbindlichkeit von Kommissionsentscheidungen in den Mitgliedstaaten.

Weiterhin stellt die Kommission fest, dass Datenschutzbehörden Datentransfers auf der Grundlage von Standardvertragsklauseln nicht mit der Begründung untersagen dürfen, dass die Standardvertragsklauseln keine ausreichenden Garantien bieten würden. Denn genau dies hat die Europäische Kommission verbindlich festgestellt. Natürlich ist es den nationalen Datenschutzbehörden unbenommen, Datentransfers auf der Grundlage der Standardvertragsklauseln auf ihre Rechtmäßigkeit (gerade mit Blick auf die Entscheidung des Europäischen Gerichtshofs) zu prüfen. Sollten seitens der Datenschutzbehörde Zweifel bestehen, legt die Kommission in ihrer Mitteilung nahe, dass die nationalen Behörden einen solchen Sachverhalt vor ein nationales Gericht zu Prüfung bringen sollten, damit dieses wiederum die Frage der Rechtmäßigkeit des Datentransfers und damit implizit auch der zugrunde liegenden Standardvertragsklauseln zum Europäischen Gerichtshof vorlegen kann.

Daneben weist die Europäische Kommission darauf hin, dass verantwortliche Stellen in der EU natürlich zusätzliche (auch vertragliche) Garantien vorsehen können. Dies gerade in den Fällen, wenn sie Informationen dazu erhalten, dass das Rechtssystem im Drittstaat die datenimportieren Stelle an der Erfüllung ihrer vertraglichen Pflichten aus den Standardvertragsklauseln hindern könnte.

Ausnahmeregelungen

Zudem befasst sich die Mitteilung der Europäischen Kommission mit den gesetzlichen Ausnahmeregelungen (Art. 26 Abs. 1 der Datenschutzrichtlinie). Hier weist die Europäische Kommission darauf hin, dass die datenexportierende Stelle gerade nicht dazu verpflichtet ist, dafür Sorge zu tragen, dass die importierende Stelle ausreichende Garantien mit Blick auf den Schutz personenbezogener Daten bietet. Denn die Ausnahmeregelungen gelten ja gerade für den Fall, dass ausreichende Garantien nicht existieren.

Kompetenzen der nationalen Datenschutzbehörden

Auch wenn die Europäische Kommission mehrmals darauf hinweist, dass nationale Datenschutzbehörden in völliger Unabhängigkeit handeln können und auch müssen, so stellt sie in ihrer Mitteilung dennoch ausdrücklich fest, dass die Datenschutzbehörden Datentransfers auf der Grundlage einer Angemessenheitsentscheidung der Kommission oder einer Entscheidung über das Vorhandensein ausreichender Garantien (wie Standardvertragsklauseln), im Rahmen von Beschwerden nur auf ihre Rechtmäßigkeit hin nur überprüfen(!) dürfen. Jedoch, so die Kommission, dürfen die nationalen Datenschutzbehörden in einem solchen Fall keine verbindliche Entscheidung treffen, sondern die Mitgliedstaaten müssen in einem solchen Fall ein Klagerecht für Datenschutzbehörden vorsehen, damit das Verfahren vor ein nationales Gericht gebracht werden kann.

The DPAs remain competent to examine claims within the meaning of Article 28(4) of Directive 95/46/EC that the data transfer complies with the requirements laid down by the Directive (as interpreted by the Court of Justice), but cannot make a definitive finding. (S. 14)

Weitere Auswirkungen des Urteils

Zuletzt kündigt die Kommission an das sie vor dem Hintergrund des Urteils alle bestehenden Angemessenheitsbeschlüsse für Drittstaaten (unter anderem Argentinien, Kanada, Israel und Schweiz) überprüfen werde und insbesondere jene Klauseln in den Angemessenheitsentscheidung anpassen wird, die der europäische Gerichtshof im Rahmen des Safe Harbor-Urteils für ungültig erklärt hat. Hierbei bezieht sich die Kommission auf Vorschriften, die die Ausübung der Kompetenzen der nationalen Datenschutzbehörden unter bestimmte Voraussetzungen stellen.

Juristischer Dienst des Europäischen Parlaments: EuGH urteilte nicht zu US-Gesetzen

Posted on by

Gestern fand im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments eine Aussprache zum Safe Harbor-Urteil des EuGH statt. Unter anderem präsentierte ein Vertreter des juristischen Dienstes des Europäischen Parlaments die Kernelemente der Entscheidung.  Das Video zu der Aussprache ist hier abrufbar. Die Präsentation beginnt ab ca. 15.18.00.

Meines Erachtens von besonderer Relevanz und begrüßenswert sind die Feststellungen des juristischen Dienstes im Hinblick auf jene Urteilsgründe, in denen sich der EuGH mit der Zulässigkeit der Überwachung der Kommunikation durch stattliche Behörden befasst. In der Berichterstattung zu dem Urteil wurde oft auf die Rz. 93, 94 und 95 verwiesen, die ich hier noch einmal abbilde:

93 Nicht auf das absolut Notwendige beschränkt ist eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung verbundenen Eingriff zu rechtfertigen vermögen (vgl. in diesem Sinne, in Bezug auf die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG [ABl. L 105, S. 54], Urteil Digital Rights Ireland u. a., C?293/12 und C?594/12, EU:C:2014:238, Rn. 57 bis 61).

94 Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens (vgl. in diesem Sinne Urteil Digital Rights Ireland u. a., C?293/12 und C?594/12, EU:C:2014:238, Rn. 39).

95 Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz. Nach Art. 47 Abs. 1 der Charta hat nämlich jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, das Recht, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. Insoweit ist schon das Vorhandensein einer wirksamen, zur Gewährleistung der Einhaltung des Unionsrechts dienenden gerichtlichen Kontrolle dem Wesen eines Rechtsstaats inhärent (vgl. in diesem Sinne Urteile Les Verts/Parlament, 294/83, EU:C:1986:166, Rn. 23, Johnston, 222/84, EU:C:1986:206, Rn. 18 und 19, Heylens u. a., 222/86, EU:C:1987:442, Rn. 14, sowie UGT?Rioja u. a., C?428/06 bis C?434/06, EU:C:2008:488, Rn. 80).

Vor allem aus der Feststellung in Rz. 94 könnte man schließen, dass es sich dabei um „Regelungen“ in US-Gesetzen handelt oder dass der EuGH mit „Regelungen“ ausländische Vorschriften anspricht. Doch dies ist gerade nicht der Fall. Der EuGH bezieht sich in diesen Randnummern auf das Schutzniveau innerhalb der EU und was im Rahmen dieses Schutzniveaus gesetzlich nicht zulässig ist.

Klar wird der Bezug auf das europäische Recht auch, wenn man Rz. 96 betrachtet. Dort fasst der EuGH noch einmal zusammen, dass eine Angemessenheitsentscheidung eines Mitgliedstaates oder der EU-Kommission mit Blick auf das Schutzniveau in einem Drittstaat begründete Feststellungen enthalten muss,

dass das betreffende Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleistet, das dem in der Rechtsordnung der Union garantierten Niveau, wie es sich insbesondere aus den vorstehenden Randnummern des vorliegenden Urteils ergibt, der Sache nach gleichwertig ist. (Hervorhebung durch mich)

Der EuGH bezieht sich hier noch einmal auf die Rz. 93 ff. und macht deutlich, dass es sich in den Ausführungen in diesen Randnummern um das in der Union garantierte Schutzniveau und die (grund)rechtlichen Vorgaben innerhalb der EU geht. Gegenstand der Begutachtung war nicht das amerikanische Recht. Inhalt eines Angemessenheitsbeschlusses muss damit die Feststellung sein, dass die Gesetze und/oder Verpflichtungen aus internationalen Abkommen in dem Drittstaat dieses in der Union garantierte Niveau (welches sich aus den Rz. 93 ff ergibt) nicht unterschreiten. Der EuGH gibt dem Grund nach also im Groben vor, welches Schutzniveau in der Union mit Blick auf die Überwachung durch Geheimdienste und Rechtsschutzmöglichkeiten für Bürger gilt und dass dieses Niveau gleichwertig in einem Drittland existieren muss. Ob dies für die USA der Fall ist, dazu hat sich der EuGH nicht verhalten. In der zu beurteilenden Safe Harbor-Entscheidung wurde schlicht die gesetzlich erforderliche Feststellung zum Schutzniveau nicht vorgenommen. Aus diesem Grund ist Safe Harbor ungültig.

Update vom 14.10.2015:

In einem Interview mit dem „The Wall Street Journal“ stellt auch der neue Präsident des EuGH noch einmal ausdrücklich klar, dass das Urteil sich nicht mit den Vorgaben und dem Schutzumfang des amerikanischen Rechts befasst, sondern allein das Schutzniveau innerhalb der EU und die europäischen Voraussetzungen für Datentransfers im Blick hat:

We are not judging the U.S. system here; we are judging the requirements of EU law in terms of the conditions to transfer data to third countries, whatever they may be.

Safe Harbor-Urteil des EuGH: Die Kommission hat ihre Kompetenzen unter- und überschritten

Posted on by

Heute hat der Europäische Gerichtshof (EuGH) entschieden (Az. C-362/14), dass die Safe Harbor-Entscheidung der Europäischen Kommission, die eine von mehreren möglichen Grundlagen der Übermittlung von personenbezogenen Daten aus dem EWR in die USA darstellt, ungültig ist.

Der zuständige Generalanwalt Bot hatte seine Schlussanträge erst vor zwei Wochen präsentiert (hierzu mein Blogbeitrag und ein Beitrag bei Legal Tribune Online). Mit seinem heutigen Urteil folgt der EuGH dem Generalanwalt in einigen, jedoch nicht in allen Punkten.

Was hat der EuGH nun konkret entschieden? Was sind die Gründe des Urteils? Nachfolgend möchte ich zu diesen Fragen einige erste Einschätzungen geben. Die Erwägungen des EuGH sind teilweise doch etwas überraschend. Folgende Informationen bereits vorab, da es in der Berichterstattung zu dem Urteil bereits (leider) oft anders dargestellt wird:

  • Der EuGH verhält sich in keinster Weise zum konkreten Schutzniveau für personenbezogene Daten in den USA.
  • Der EuGH stützt sein Urteil nicht ausdrücklich (wie noch der Generalanwalt) auf die Zugriffsmöglichkeiten von speziellen Geheimdiensten, insbesondere der NSA, sondern begründet seine Entscheidung allgemeiner. Auch stützt er seine Entscheidung nicht auf die Berichterstattung und Enthüllungen von Edward Snowden.
  • Entscheidungsgegenstand ist ein Rechtsakt der EU-Kommission, der nach Auffassung des EuGH nicht den Anforderungen des EU-Rechts (insbesondere Verhältnismäßigkeit) an europäische Rechtsakte und durch diese ermöglichte Eingriffe in Grundrechte genügt.

Befugnisse nationaler Datenschutzbehörden und Angemessenheitsbeschlüsse

Zunächst befasst sich der EuGH mit den Befugnissen der nationalen Datenschutzbehörden und wie diese bei Vorliegen eines Angemessenheitsbeschlusses der Kommission (wie Safe Harbor) ihre Befugnisse ausüben dürfen. Nach Art. 28 Abs. 1 der geltenden Datenschutz-Richtlinie (DS-RL, RL 95/46/EG) dürfen die Aufsichtsbehörden die ihnen gesetzlich übertragenen Befugnisses allein im Hoheitsgebiet ihres Mitgliedstaates ausüben (Rz. 44). Also etwa nicht in einem Drittstaat, wie den USA oder auch in einem anderen Mitgliedstaat innerhalb der EU.

Eine Datenübermittlung aus einem Mitgliedstaat in einen Drittstaat stellt aber selbstverständlich eine Datenverarbeitung innerhalb des Mitgliedstaates dar, die durch die Aufsichtsbehörde geprüft werden kann (Rz. 45). Die Feststellung, dass ein Drittstaat über ein „angemessenes“ Niveau für den Schutz personenbezogener Daten verfügt und damit eine Übermittlung in diesen Drittstaat überhaupt erst möglich ist, kann sowohl von der Kommission als auch von einem Mitgliedstaat getroffen werden (Rz. 50). Fällt die Kommission eine solche Entscheidung auf der Grundlage von Art. 25 Abs. 6 DS-RL, so sind hieran die Mitgliedstaaten und all ihre Organe gebunden (Rz. 51). Dies betrifft auch die nationalen Aufsichtsbehörden. Ab hier scheint sich der EuGH nun etwas von der Auffassung des Generalanwalts in dessen Schlussanträgen zu entfernen.

Der EuGH urteilt weitert, dass allein der EuGH selbst eine solche Entscheidung der Kommission aufheben darf. Bis zur Aufhebung oder auch Anpassung durch die Kommission selbst, dürfen jedoch die Mitgliedstaaten und damit auch die Aufsichtsbehörden keine abweichenden Entscheidungen treffen (Rz. 52). Freileich muss es für Betroffene, auch bei einer Bindungswirkung der Kommissionsentscheidung, möglich sein, Beschwerden hinsichtlich eines Datentransfers in den Drittstaat vorzubringen. Ebenso stehen den Aufsichtsbehörden auch weiterhin ihre gesetzlichen Aufsichts-, Untersuchungs- und Sanktionsmaßnahmen zu (Rz. 53). Aufsichtsbehörden müssen also, nach Beschwerden, auch bei bestehendem Angemessenheitsbeschluss, Untersuchungen durchführen (Rz. 57). Wenn jedoch eine Beschwerde die Frage der Rechtmäßigkeit von Datentransfers betrifft, für die schon ein entsprechender Beschluss der Kommission existiert (so wie hier), dann ist eine solche als insgesamt gegen die Gültigkeit des Angemessenheitsbeschlusses anzusehen (Rz. 59). Wie jeder andere europäische Rechtsakte (Verordnungen, Richtlinien), so muss sich auch ein Angemessenheitsbeschluss der Kommission an den rechtsstaatlichen Vorgaben des EU-Rechts messen lassen (Rz. 60). Nur der EuGH jedoch kann eine entsprechende Entscheidung der Kommission für ungültig erklären (Rz. 61). Nationale Aufsichtsbehörden können, wie bereits erwähnt, keine inhaltlich abweichenden Entscheidungen treffen oder gar einen Angemessenheitsbeschluss als unwirksam ansehen (Rz. 62). Wenn ein Betroffener mit seiner Beschwerde, die sich auf den Datentransfer in einen Drittstaat bezieht, von der zuständigen Aufsichtsbehörde abgewiesen wird, so muss er die Möglichkeit haben, hiergegen gerichtlich vorzugehen. Ebenso muss es den nationalen Aufsichtsbehörden möglich sein, eine Angemessenheitsentscheidung gerichtlich prüfen lassen zu können. Am Ende beider verfahren muss die Vorlage an den EuGH durch das nationale Gericht stehen (Rz. 64 ff.).

Was ist „angemessen“?

Danach geht der EuGH auf Safe Harbor und dessen Wirksamkeit ein.

Zunächst beleuchtet das Gericht die Frage, was unter dem Begriff „angemessen“ i.S.d. Art. 25 Abs. 1 DS-RL zu verstehen ist. Denn nur wenn ein angemessenes Schutzniveau in einem Drittstaat festgellt wurde (entweder durch die Kommission oder durch einen Mitgliedstaat), kann ein Angemessenheitsbeschluss erfolgen. Der Begriff selbst wird in der DS-RL jedoch nicht näher umschrieben oder etwa definiert (Rz. 70). Für den EuGH ist klar, dass der grundrechtlich garantierte Schutz personenbezogener Daten des Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union dem Grunde nach auch für solche Daten gelten muss, die in Drittstaaten übermittelt werden (Rz. 72). „Angemessen“ bedeutet jedoch nach dem EuGH nicht, dass in dem Drittstaat etwa dasselbe Schutzniveau existieren muss, wie es in der EU vorhanden ist. Im Kern muss der Schutz jedoch gleichwertig sein. Dieser Schutz von personenbezogenen Daten kann durch die nationalen Gesetze oder auch internationale Abkommen erreicht werden, denen der Drittstaat beigetreten ist (Rz. 73). Überspitzt formuliert postuliert der EuGH damit den Export des europäischen Datenschutzrechts und seiner grundlegenden Prinzipien in jeden Drittstaat. Das grundlegende Schutzniveau „wandert“ mit den Daten also mit.

Zudem weist der EuGH darauf hin, dass ein einmal existierender Angemessenheitsbeschluss nicht bedeutet, dass die Frage der „Angemessenheit“ des Schutzniveaus damit grundsätzlich beantwortet wäre. Vielmehr muss die Kommission eine solche Entscheidung grundsätzlich über die Zeit hinweg prüfen und vor allem aktuelle Entwicklungen berücksichtigen, die sich auf das Schutzniveau auswirken können (Rz. 76). Wenn die Kommission im Rahmen der Prüfung des Schutzniveaus in einem Drittstaat die dortigen Gesetze und Vorgaben zum Schutz personenbezogener Daten untersucht, so steht ihr nach Auffassung des EuGH nur ein eingeschränkter Beurteilungsspielraum zu und sie hat besonders strenge Maßstäbe anzulegen (Rz. 78).

Gültigkeit der Safe Harbor-Entscheidung

Im Folgenden setzt sich der EuGH mit der Safe Harbor-Entscheidung selbst auseinander…und nimmt sie auseinander.

Zunächst stellt der EuGH jedoch fest, dass das Prinzip der Selbstzertifizierung durch Unternehmen in einem Drittstaat grundsätzlich nicht gegen die Wirksamkeit eines Angemessenheitsbeschluss oder das Vorliegen eines angemessenen Schutzniveaus spricht (Rz. 81). Jedoch erfordert ein solcher Mechanismus dann auch ein wirksames System der Überwachung der Einhaltung der Vorgaben und effiziente Sanktionen bei Verstößen.

Nachfolgend kritisiert der EuGH, dass die Safe Harbor-Prinzipien, an die sich amerikanische Unternehmen halten müssen, gerade nur privatwirtschaftliche Akteure adressieren und staatlichen Einheiten in den USA keine Pflichten auferlegen und diese daher nicht an die Prinzipien gebunden sind, wenn sie Zugriff auf Daten nehmen die bei amerikanischen Unternehmen gespeichert sind (Rz. 82).

Desweiteren kritisiert der EuGH, dass die Angemessenheitsentscheidung der Kommission, entgegen den Vorgaben der DS-RL, sich überhaupt nicht mit den einschlägigen Gesetzen in den USA befasst oder deren möglichen Schutzumfang näher untersucht (Rz. 83). Die Kommission habe es versäumt, ausreichend zu prüfen, inwiefern in den USA personenbezogene Daten (nicht) geschützt sind, um auf dieser Grundlage ihre Entscheidung zu treffen. Die in Safe Harbor vorgesehen Ausnahmen, wann von den Schutzprinzipien der Entscheidung abgewichen werden darf, sind nach Ansicht des EuGH (wie auch nach Ansicht des Generalanwalts) zu weit gefasst. Zudem erlauben sie für Zwecke der nationalen Sicherheit und Strafverfolgung ein Abweichen durch staatliche Behörden. Nationale Vorschriften in den USA können den Schutzprinzipien vorgehen und diese im Endeffekt außer Kraft setzen. Amerikanische Unternehmen können von den Vorgaben von Safe Harbor zugunsten dieser nationalen Regelungen abweichen, sogar wenn diese den Schutzprinzipien von Safe Harbor entgegenstehen (Rz. 86). Aus diesem Grund ermöglicht die Safe Harbor-Entscheidung (mit ihren Ausnahmen) den Eingriff in europäische Grundrechte (Rz. 87).

Der EuGH kritisiert weiter, dass die Safe Harbor-Entscheidung keine Untersuchungsergebnisse enthält, inwiefern ein Eingriff in Grundrechte der Betroffenen (durch einen Zugriff auf Daten durch staatliche Stellen) auf ein absolut erforderliches Maß begrenzt wird (Rz. 88). Auch hier bemängelt der EuGH erneut die fehlende Prüfung und Feststellung durch die Kommission.

Desweiteren findet sich in der Safe Harbor-Entscheidung der Kommission kein Verweis auf eventuell existierende Rechtsschutzmöglichkeiten für Betroffene, wenn durch stattliche Behörden auf die übermittelten Daten zugegriffen wird (Rz. 89). Zwar existiere eine Aufsicht durch die amerikanische Federal Trade Commission. Diese bezieht sich jedoch allein auf den privatwirtschaftlichen Sektor und kann nicht den Umgang mit Daten durch staatliche Behörden überwachen.

Nun kommt der EuGH zu der Grundlage seiner faktischen Feststellungen. Die Kommission selbst habe die Mangelhaftigkeit der Safe Harbor-Entscheidung, gerade mit Blick auf die weiten Ausnahmen für Zugriffe durch staatliche Behörden und den fehlenden Rechtsschutz, im Jahre 2013 in zwei Mitteilungen analysiert und festgestellt (Rz. 90; Mitteilung COM(2013) 846 final und Mitteilung COM(2013) 847 final). Insbesondere habe die Kommission erkannt, dass US-Behörden in einer mit den Safe Harbor-Prinzipien unvereinbaren Weise auf Daten zugreifen können. Der Zugriff kann gerade über das erforderliche und absolut notwendige Maß zur Verfolgung der legitimen Zwecke der nationalen Sicherheit oder der Strafverfolgung hinausgehen. Auch habe die Kommission selbst festgestellt, dass Betroffene keine administrativen oder gerichtlichen Rechtsbehelfe haben, um Zugang zu Daten zu erhalten oder eine Berichtigung oder Löschung zu beantragen.

Danach geht der EuGH auf die (hier nicht eingehaltenen) Vorgaben ein, die ein EU-Rechtsakt wie die Safe Harbor-Entscheidung erfüllen muss, wenn durch die Unionsregelung in Grundrechte eingegriffen wird. Nach ständiger Rechtsprechung des Gerichtshofs muss ein solcher Rechtsakt klare und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme vorsehen und Mindestanforderungen aufstellen, so dass die Betroffenen, deren personenbezogene Daten verarbeitet werden, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen (Rz. 91).

Abweichungen oder Ausnahmen vom Schutz personenbezogener Daten müssen auf das absolut notwendige Maß beschränkt werden (Rz. 92). Nach Auffassung des EuGH genügt diesen Anforderungen die Safe Harbor-Entscheidung nicht. Nicht auf das absolut Notwendige beschränkt ist nämlich eine Regelung, die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen (Rz. 93). Die in Safe Harbor vorgesehenen Ausnahmen (in der Form von Unionsregelungen) erlauben eine generelle und unverhältnismäßige Zugriffsmöglichkeit durch Behörden in den USA auf den Inhalt elektronischer Kommunikation und die Regelung in Safe Harbor verletzt daher den Wesensgehalt des grundrechts aus Art. 7 der Charta. Zudem verletzt eine solche Unionsregelung, die keine Möglichkeit für die Betroffenen vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz (Rz. 95).

Der Hauptkritik des EuGH ist damit folgender:

Die Kommission hat jedoch in der Entscheidung 2000/520 nicht festgestellt, dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“. (Rz. 97)

Aus diesem Grund kommt der EuGH zu dem Ergebnis, dass Art. 1 der Safe Harbor-Entscheidung gegen die in Art. 25 Abs. 6 DS-RL im Licht der Charta festgelegten Anforderungen verstößt und aus diesem Grund ungültig ist (Rz. 98).

Ein wichtiger Aspekt hierbei ist, dass der EuGH im Ergebnis eine Grundrechtsverletzung durch einen mangelhaften Unionsrechtsakt annimmt. Die EU-Kommission habe nicht die Anforderungen des EU-Rechts beachtet, als sie die Safe Harbor-Entscheidung getroffen hat. Bereits die Struktur von Safe Harbor und die unterbliebene Untersuchung und Feststellung des Schutzniveaus durch die Kommission stellt damit eine Grundrechtsverletzung dar.

Ausdrücklich urteilt der EuGH nicht über die generelle Frage der Angemessenheit des Schutzniveaus für personenbezogene Daten in den USA oder auch, ob die Safe Harbor-Prinzipien inhaltlich ein entsprechendes Schutzniveau herstellen.

ohne dass es einer Prüfung des Inhalts der Grundsätze des „sicheren Hafens“ bedarf. (Rz. 98)

Allein die fehlerhafte Struktur und mangelnde Einhaltung der Vorgaben der DS-RL durch die Kommission bei Safe Harbor stellen die Grundrechtsverletzung dar.

Ein weiterer Grund, warum Safe Harbor ungültig ist, ist für den EuGH, dass die Kommission mit der Entscheidung die Befugnisse der nationalen Datenschutzbehörden beschränkt, obwohl sie dazu rechtliche nicht befugt ist (Rz. 99 ff.). Nach Art. 3 von Safe Harbor dürfen Aufsichtsbehörden nur in besonderen Fällen Datentransfers unterbinden. Die Kopplung der Befugnisse der Behörden an bestimmte Voraussetzungen durch die Kommission stellt jedoch eine Überschreitung ihrer Befugnisse dar, so der EuGH. Mit dem Erlass von Art. 3 der Safe Harbor-Entscheidung habe die Kommission daher die ihr durch Art. 25 Abs. 6 DS-RL im Licht der Charta übertragene Zuständigkeit überschritten hat, so dass dieser Artikel ungültig ist.

Da nach Auffassung des EuGH Art. 1 und Art. 3 der Safe Harbor-Entscheidung ungültig sind und diese Artikel untrennbar mit den übrigen Vorgaben der Entscheidung im Zusammenhang stehen, berührt die Ungültigkeit der beiden Artikel die gesamte Entscheidung (Rz. 105).

Fazit

Das Urteil des EuGH befasst sich nicht mit der Frage, ob ein angemessenes Schutzniveau für Daten in den USA existiert. Die Ungültigkeit der Entscheidung rührt vielmehr bereits aus dem Umstand, dass die Kommission zum einen ihre Kompetenzen und auch ihre Pflichten auf Grundlage der DS-RL in Bezug auf Art. 1 der Safe Harbor-Entscheidung nicht korrekt ausgeübt und unterschritten hat. IN Bezug auf Art. 3 der Safe Harbor-Entscheidung stellt der EuGH dann eine Überschreitung der Kompetenzen fest. Die in Rede stehende Unionsregelung (Safe Harbor) verstößt aufgrund ihrer Struktur und ihrer Unvereinbarkeit mit den EU-rechtlichen Vorgaben an solche Unionsregelungen gegen mehrere Grundrechte.

 

 

 

Generalanwalt: Safe Harbor-Entscheidung verletzt europäische Grundrechte. Nicht Facebook.

Posted on by

Heute hat der Generalanwalt am EuGH seine Schlussanträge im Verfahren von Max Schrems gegen die irische Datenschutzbehörde (C-362/14) präsentiert. In der Presse (z.B. Golem und FAZ) und in Blogs (etwa bei Thomas Stadler) wurde bereits darüber berichtet und erste Schlussfolgerungen gezogen.

Ich möchte nachfolgend, nachdem ich die Schlussanträge einmal grob überfliegen konnte, auf einige Besonderheiten und besonders relevante Aussagen des Generalanwalts hinweisen, die vielleicht bisher noch nicht beleuchtet wurden.

Starke Stellung der Datenschutzbehörden

Wenig überraschend vertritt der Generalanwalt die Auffassung, dass nationale Datenschutzbehörden durch einen Angemessenheitsbeschluss der Kommission (um den es sich bei Safe Harbor handelt) nicht absolut gebunden sind und weiterhin die ihnen durch die Charta der Grundrechte der Europäischen Union und die Datenschutz-Richtlinie (RL 95/46/EG) übertragenen Befugnisse ausüben dürfen. Wenn es um den Schutz von Grundrechten (im vorliegenden Fall von Art. 7 und 8 der Charta) geht, dürfen nationale Behörden eigene Untersuchungen vornehmen und erforderlichenfalls auch Datentransfers in Drittstaaten untersagen, selbst wenn ein Angemessenheitsbeschluss der Kommission existiert. Rechtlich gesprochen nimmt eine Angemessenheitsentscheidung nach Art. 25 Abs. 6 RL 95/46/EG den Aufsichtsbehörden nicht ihre Befugnisse nach Art. 28 RL 95/46/EG (vgl. Rz. 120 der Schlussanträge).

Grundvoraussetzung: gleicher Schutz

Wenn personenbezogene Daten aus der Europäischen Union heraus, auf der Grundlage einer Angemessenheitsentscheidung, in Drittstaaten übertragen werden können sollen, dann muss in diesem Drittstaat dem Grunde nach dasselbe Schutzniveau gelten, wie es durch die Vorgaben der Grundrechtecharta und der RL 95/46/EG auch innerhalb der EU existiert (Rz. 144). Ein wichtiger Baustein hierfür ist die Existenz einer unabhängigen Kontrollinstanz, die die Einhaltung der datenschutzrechtlichen Vorgaben überwacht und durchsetzt (Rz. 145).

Unklare Ausnahmeregelungen für Zwecke der nationalen Sicherheit

Der Generalanwalt kritisiert die in der Safe Harbor-Entscheidung vorgesehenen Möglichkeiten, für Zwecke der nationalen Sicherheit von den vorgegebenen Prinzipien zum Schutz personenbezogener Daten abweichen zu können (Anhang I Absatz 4). Der Wortlaut der Vorschriften sei viel zu allgemein gehalten und werde von Sicherheitsbehörden in den USA weit ausgelegt und genutzt, um auf personenbezogene Daten zugreifen zu können (Rz. 164).

Keine Möglichkeit des Rechtsschutzes in den USA

Ebenfalls kritisiert der Generalanwalt, dass EU-Bürger keine Möglichkeit hätten, Rechtsschutz gegen Datenverarbeitungen zu suchen, die über jene Zwecke hinausgehen, für die die Daten ursprünglich in die USA übermittelt wurden (Rz. 165).

Facebook verletzt nicht die Vorgaben von Safe Harbor

Der Generalanwalt stellt zudem klar, dass Facebook nicht gegen die Vorgaben von Safe Harbor verstößt (Rz. 168). Denn ein Zugriff von Sicherheitsbehörden auf Daten oder eine Weiterleitung der Daten auf der Grundlage nationaler Gesetze in den USA ist in der Safe Harbor-Entscheidung gerade vorgesehen. Die Frage ist daher vielmehr, ob die Safe Harbor-Entscheidung selbst (und in ihr aufgestellte Prinzipien und auch die Ausnahmen) gegen europäisches Recht verstößt. Die in der Safe Harbor-Entscheidung ausdrücklich zugelassene Weitergabe von Daten für Zwecke der nationalen Sicherheit stellt einen Eingriff in die Grundrechte der EU-Bürger dar (nicht jedoch durch die privaten Unternehmen) und muss gerechtfertigt sein (Rz. 174).

Ausnahmeregelungen in Safe Harbor verstoßen gegen Grundrechte

Die in der Safe Harbor-Entscheidung vorgesehenen Ausnahmen sind nach Auffassung des Generalanwalts viel zu offen und ungenau formuliert, um einen Eingriff in die Grundrechte aus Art. 7 und 8 der Charta zu rechtfertigen. Es existieren keine ausreichenden und genau definierten Schutzmechanismen, um eine Massenüberwachung durch ausländische Sicherheitsbehörden zu unterbinden (Rz. 202).

Verstoß gegen Verhältnismäßigkeitsgrundsatz

Ein Eingriff in Grundrechte kann gerechtfertigt sein. Muss dafür jedoch geeignet, erforderlich und angemessen sein. Der Generalanwalt stellt klar, dass die EU-Kommission, mit Annahme der Safe Harbor-Entscheidung und ihrer Aufrechterhaltung, gegen den Verhältnismäßigkeitsgrundsatz verstoßen hat und eine Verletzung der Grundrechte aus Art. 7 und 8 der Charta sowie Art. 52 Abs. 1 der Charta vorliegt. Aus diesem Grund ist die Entscheidung der Kommission für ungültig zu erklären (Rz. 215 f.). Hinzu kommt nach Ansicht des Generalanwalts, dass die EU-Kommission Safe Harbor auch noch während der Verhandlungen über eine neue Version weiterhin in Kraft belassen hat (Rz. 233 und 236).

Ausblick

Abschließend möchte ich anmerken, dass man nun abwarten muss, wie der EuGH entscheiden wird. Ich denke, die Tendenz ist aber klar. Doch was bedeutet es, wenn von einem auf den anderen Tag Safe Harbor ungültig wäre? Natürlich dürften personenbezogene Daten aus Europa auch weiterhin in die USA übermittelt werden. Hierfür wäre dann jedoch eine andere Grundlage (Einwilligung, Standardvertragsklauseln, etc.) erforderlich. Ich denke zudem, dass man nicht unbedingt einen großen Gewinn für den transatlantischen Datenschutz einfährt, wenn Safe Harbor, ohne Nachfolgeregelungen, für ungültig erklärt wird. Denn dass die Datenstrome einfach aufhören zu fließen, daran kann niemand wirklich glauben. Man wird dann einfach eine Situation mit tausendfacher Rechtsverletzung kreieren. Die Unternehmen stehen natürlich zwischen zwei Stühlen. Verschiedenen, auf sie anwendbare Rechtsordnung. Auch wenn Safe Harbor fällt, werden Sicherheitsbehörden (im Übrigen nicht nur in Drittsaaten) auf Daten bei Unternehmen zugreifen. In diesem Zusammenhang sollte man sich auch einmal die Frage stellen, wie denn der Rechtsschutz und die Aufsicht über den Zugriff von Geheimdiensten bei uns in der EU ausgestaltet sind.

Justizministerium zweifelt an einheitlichem Datenschutzstandard in Europa

Posted on by

Die Europäische Kommission hat in einer Stellungnahme (abrufbar bei netzpolitik.org) den Gesetzesentwurf des Bundesministeriums für Justiz und Verbraucherschutz  (BMJV) zur „Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (PDF) inhaltlich bemängelt.

Die Kommission stört sich insbesondere an der in § 113b des Entwurfs vorgesehenen Pflicht, Vorratsdaten allein im Inland zu speichern:

dass der betreffende Entwurf einer Verordnung eine Verletzung von Artikel 56 AEUV sowie Artikel 1 Absatz 2 der Richtlinie 95/46/EG darstellen würde.

Art. 1 Abs. 2 der Richtlinie 95/46/EG (die geltende Datenschutzrichtlinie) gibt vor, dass Mitgliedstaaten nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des Schutzes der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten beschränken oder untersagen dürfen. Noch deutlicher ist die Vorgabe in Erwägungsgrund 9 der Datenschutzrichtlinie. Danach dürfen die Mitgliedstaaten aufgrund des gleichwertigen Schutzes, der sich aus der Angleichung der einzelstaatlichen Rechtsvorschriften ergibt, den freien Verkehr personenbezogener Daten zwischen ihnen nicht mehr aus Gründen behindern, die den Schutz der Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre betreffen.

Die Pflicht zur Inlandsspeicherung in § 113b des Entwurfs würde aber den freien Verkehr personenbezogener Daten nicht nur behindern, sondern in Bezug auf die Speicherung Vorratsdaten schlicht untersagen.

Zweck der Datenschutzrichtlinie ist es zum einen, die Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre bei der Verarbeitung personenbezogener Daten zu schützen und zum anderen den freien Verkehr von personenbezogenen Daten innerhalb der EU nicht zu behindern.

Gleichwertiger Schutz innerhalb der EU?

Die Datenschutzrichtlinie gibt also auf europäischer Ebene für die Mitgliedstaaten verbindlich vor, dass in ihrem Anwendungsbereich ein gleichwertiges Schutzniveau für personenbezogene Daten existiert. Personenbezogene Daten dürfen innerhalb der EU übermittelt werden, wenn für die Datenverarbeitung (hier die Übermittlung) selbst eine Einwilligung oder gesetzliche Grundlage (z.B. ein Vertrag) existiert.

Das BMJV sieht dies jedoch anders. Die Gesetzesbegründung verweist zur Beschränkung der ebenfalls beeinträchtigten Dienstleistungsfreiheit (Art. 56 AEUV) auf die Notwendigkeit,

um  die  grundrechtlichen  Erfordernisse  des  Datenschutzes  und der  Datensicherheit zu gewährleisten.

Also nutzt die Begründung genau jene Argumente, auf die man ausweislich des Wortlauts der Datenschutzrichtlinie eine Beschränkung des freien Flusses personenbezogener Daten eben gerade nicht stützen darf. Das BMJV zweifelt damit freilich auch ein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU insgesamt an.

Kein Vertrauen in die Arbeit von Aufsichtsbehörden in anderen Mitgliedstaaten

Die Gesetzesbegründung sägt jedoch sogar noch weiter an den eigentlich existierenden europäischen Standards:

Zudem hätten die mit der Überprüfung der Einhaltung der Sicherheitsstandards und des Datenschutzes befassten deutschen öffentlichen Stellen in anderen Mitgliedstaaten der EU  keine unmittelbaren und gleich wirksamen Möglichkeiten zur Prüfung.

Das stimmt. Deutsche Datenschutzbehörden könnten nicht in anderen EU-Ländern tätig werden und die Einhaltung des Datenschutzrechts prüfen. Zuständig wäre vielmehr die jeweilige nationale Aufsichtsbehörde. Doch scheint das BMJV auch kein Vertrauen in die Kompetenz und Prüfungen durch andere europäische Aufsichtsbehörden zu besitzen:

Angesichts des Umfangs der Prüfpflichten und der Tatsache, dass es sich nicht um eine einmalige Überprüfung eines Anbieters sondern um die Wahrnehmung dauerhafter Aufgaben (zum Beispiel bei der Anpassung der Sicherheitskonzepte an den jeweiligen Stand der Technik) handelt, erscheint dies aber zu wenig wirksam.

Mit „dies“ bezieht sich die Gesetzesbegründung auf die in der Datenschutzrichtlinie ausdrücklich vorgesehene Möglichkeit, dass eine Aufsichtsbehörde (etwa in Deutschland) eine andere Behörde in einem EU-Mitgliedstaat um Amtshilfe ersuchen kann, um hoheitliche Maßnahmen vorzunehmen oder die Einhaltung des Datenschutzrechts zu prüfen. Auch mit dieser Begründung verkehrt das BMJV die geltenden Prinzipien der Datenschutzrichtlinie in ihr Gegenteil. Das Instrument der Amtshilfe wird dort ja gerade vorgesehen, weil es eben möglich ist, dass eine nationale Aufsichtsbehörde nicht zuständig ist. Ein gleichwertiges Schutzniveau für personenbezogene Daten existiert aber dennoch (bzw. gerade auch deshalb) innerhalb der EU.

Zudem fragt man sich, welcher „Umfang“ hier für die besondere Notwendigkeit einer Inlandsspeicherung und alleinigen Kontrolle durch deutsche Behörden spricht? Denn der in dem Gesetzesentwurf beschriebene Umfang an Pflichten in Bezug auf den Umgangt mit Daten und einzusetzende Datensicherheitsmaßnahmen ist kein anderer als jener, der für jedes normale Unternehmen gilt, wenn es personenbezogene Daten im Rahmen seiner Geschäftstätigkeit verarbeitet.

Mögliche Folgen?

Denkt man die Argumentation im Gesetzesentwurf zu Ende, so würde dies bedeuten, dass kein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU besteht. Personenbezogene Daten dürften dann auch grundsätzlich nicht in andere Mitgliedstaaten übermittelt werden bzw. nur dann, wenn besondere Anforderungen erfüllt sind. Im Prinzip würde man, überspitzt formuliert, jeden Staat außerhalb Deutschlands zum „unsicheren Drittstaat“ deklarieren.

Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung zur Richtlinie zur Einführung der Vorratsdatenspeicherung (C-293/12) bemängelt, dass die fraglichen Daten nicht „im Unionsgebiet auf Vorrat gespeichert werden“. Eine Pflicht zur Speicherung allein in einem Mitgliedstaat, hat der EuGH jedoch nicht aufgestellt.

EuGH-Generalanwalt zur Frage des anwendbaren Datenschutzrechts und der Zuständigkeit von Datenschutzbehörden

Posted on by

Heute hat der Generalanwalt („GA“) am Europäischen Gerichtshof, Pedro Cruz Villalón, seine Schlussanträge in der Sache „Weltimmo“ (C-230/14) vorgelegt. In diesem Vorabentscheidungsersuchen geht es um zwei wichtige Fragen des europäischen Datenschutzrechts:

  1. Welches Recht ist innerhalb der EU anwendbar auf ein Unternehmen, mit alleinigem Sitz in einem Mitgliedstaat, das jedoch über Internetseiten Dienstleistungen auch in anderen Ländern anbietet?
  2. Welche Kompetenzen besitzen Datenschutzbehörden, wenn es darum geht, gegen Unternehmen vorzugehen, die nicht im Mitgliedstaat der Behörde niedergelassen sind und wenn nicht das Datenschutzrecht des Mitgliedstaates dieser Behörde anwendbar ist?

Zu der Vorlagefrage selbst und auch zu dem Sachverhalt habe ich bereits ausführlich berichtet. Ich möchte mich daher nachfolgend auf eine kurze Zusammenfassung der Feststellungen des Generalanwalts beschränken.

Zum anwendbaren Recht und zum Begriff der Niederlassung (Nr. 1)

In dem Verfahren geht es hinsichtlich des anwendbaren Rechts um Art. 4 Abs. 1 lit. a) der Datenschutz-Richtlinie (RL 95/46/EG, „DS-RL“) in dem es heißt:

Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an: a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Zunächst stellt der GA fest, dass diese Vorschrift als Norm fungiert, die im Verhältnis der Mitgliedstaaten zueinander das anwendbare Recht bestimmt. Art. 4 Abs. 1 lit. a ist daher die entscheidende Vorschrift, die als Kollisionsnorm zwischen den Rechtsordnungen der verschiedenen Mitgliedstaaten das anwendbare Recht bestimmt. Mit dieser Aussage des GA wird meines Erachtens auch deutlich, dass eine Rechtswahl des Datenschutzrechts derzeit gerade nicht möglich ist. Welches nationale Datenschutzrecht bindend gilt, ergibt sich eben gerade aus der oben bezeichneten Kollisionsnorm.

Für die korrekte Anwendung von Art. 4 Abs. 1 lit. a DS-RL kommt es entscheidend darauf an, wie der Begriff der „Niederlassung“ ausgelegt wird. So prüft dann auch der GA zunächst, ob Weltimmo eine Niederlassung auf ungarischem Staatsgebiet besitzt. In einem zweiten Schritt wird es um das Merkmal „im Rahmen der Tätigkeit“ gehen und die Frage zu beantworten sein, ob die Datenverarbeitung im Bereich der Tätigkeit dieser Niederlassung stattgefunden hat.

Zunächst geht der GA darauf ein, dass das Unionsrecht besonderen Wert auf einen Begriff der Niederlassung legt, die sich auf die effektive Ausübung der wirtschaftlichen Tätigkeiten und auf einen gewissen Grad an Beständigkeit stützt. Der GA schlägt vor, den Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen.

Danach geht der GA speziell auf die Situation eines ausschließlich über das Internet tätigen Unternehmens ein.

Nach Ansicht des GA kann unter bestimmten Umständen ein Vertreter eines Unternehmens mit dauerhafter Präsenz und wenig mehr als einem tragbaren Computer eine ausreichende Struktur darstellen, um eine effektive, tatsächliche Tätigkeit mit einem ausreichenden Grad an Beständigkeit in einem anderen Mitgliedstaat durchzuführen, als jenem der Hauptniederlassung des Unternehmens. Daher sei es, laut dem GA, notwendig, bei der Bewertung dieser personellen und technischen Mittel sorgfältig die Eigenheiten von Unternehmen zu berücksichtigen, die Leistungen über das Internet anbieten, wobei auf die Besonderheiten der jeweiligen konkreten Situation einzugehen ist.

Zudem macht der GA weitere wichtige Anmerkungen, zu den gerade nicht mit in die Prüfung des anwendbaren Rechts einzubeziehenden Faktoren. So haben, meines Erachtens richtigerweise,

„der Ort, von dem aus die Daten eingegeben wurden, der Mitgliedstaat, auf den die Dienstleistungen ausgerichtet sind, die Staatsangehörigkeit der Betroffenen oder der Ort, an dem die Eigentümer des Unternehmens ihren Wohnsitz haben“

keinen direkten und entscheidenden Einfluss auf die Bestimmung des anzuwendenden Rechts.

Hinsichtlich des weiteren Merkmals von Art. 4 Abs. 1 lit. a DS-RL („im Rahmen der Tätigkeit“), verweist der AG vor allem auf das Urteil des EuGH in Sachen „Google Spain“ (C-131/12).

Für den GA ist jedoch klar, dass wenn die tatsächlichen Feststellungen ergeben sollten, dass Weltimmo ausschließlich in der Slowakei niedergelassen ist, auch nicht ungarisches Datenschutzrecht gelten kann. Selbst wenn Dienstleistungen in der Slowakei angeboten werden. Der GA dazu:

… in dem Sinne zu beantworten, dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 es der ungarischen Datenschutzbehörde verwehrt, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist.

Diese Aussage, so sie denn der EuGH in seinem späteren Urteil bestätigen sollte, wäre für in der EU niedergelassene Unternehmen, die ihre relevante Hauptniederlassung in einem Land konzentrieren, besonders relevant.

Zur zuständigen Aufsichtsbehörde und zu den möglichen Aufsichtsmaßnahmen (Nr. 2)

Sodann geht der GA auf die Vorlagefrage ein, ob es denn möglich wäre, dass zwar slowakisches Datenschutzrecht anwendbar wäre, die ungarische Datenschutzbehörde dennoch Sanktionen verhängen oder die Rechtswidrigkeit der Datenverarbeitung feststellen könnte.

Bereits vorweg: der GA verneint diese Möglichkeit.

Der Kern der Frage, welche Kompetenzen mitgliedstaatliche Aufsichtsbehörden innerhalb der EU über Landesgrenzen hinweg ausüben können, ist von besonderer Praxisrelevanz und spielt auch im Rahmen der finalen Verhandlungen zur Datenschutz-Grundverordnung und dem sog. One stop shop eine wichtige Rolle. Immerhin geht es um das Handeln staatlicher Institutionen und die Ausübung hoheitlicher Befugnisse in anderen Mitgliedstaaten. So führt auch der GA aus:

In der Tat ist im Zusammenhang mit der Zuständigkeit öffentlicher Stellen und folglich mit der Ausübung öffentlich-rechtlicher Hoheitsbefugnisse, insbesondere der Sanktionsbefugnis, unbedingt von den Anforderungen auszugehen, die sich aus den Grundsätzen der territorialen Souveränität des Staates, der Gesetzmäßigkeit der Verwaltung und damit letztlich dem Begriff des Rechtsstaats ergeben.

Die Ausübung von Sanktionsgewalt kann, so der GA, grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden, in denen eine Behörde nach ihrem nationalen Recht ermächtigt ist. Eine Abweichung von dieser Regel scheint zumindest eine spezielle gesetzliche Grundlage zu erfordern, die die Anwendung des öffentlichen Rechts eines anderen Mitgliedstaats erlaubt und abgrenzt. Eine solche gesetzliche Regelung existiert derzeit jedoch nicht. Zu untersuchen ist hier insbesondere Art. 28 Abs. 6 S. 1 DS-RL. Dieser lautet:

Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist.

Der referenzierte Art. 28 Abs. 3 DS-RL listet verschiedene Rechte der Aufsichtsbehörde auf (Untersuchungsbefugnis, Einwirkungsbefugnis und Klagebefugnis). Jedoch gerade nicht die Sanktionsbefugnis. Zwar erlauben die Vorschriften der DS-RL nach Ansicht des GA, dass die Behörde eines Mitgliedstaats die in ihrem Hoheitsgebiet ausgeübten Tätigkeiten überwacht, und zwar auch dann, wenn das Recht eines anderen Mitgliedstaats anwendbar ist. Letztlich besitzen die Aufsichtsbehörden unabhängig vom im Einzelfall anzuwendenden Recht die Untersuchungs- und Einwirkungsbefugnisse, die in Art. 28 Abs. 3 DS-RL genannt sind, allerdings allein in der in ihrem nationalen Recht geregelten Form, im Bereich ihrer geografischen Zuständigkeit.

Möchte also eine Aufsichtsbehörde eines Mitgliedstaates, dessen Datenschutzrecht auf die betreffende Datenverarbeitung nicht anwendbar ist, auch Sanktionen gegen den Verantwortlichen verhängen, so kann sie dies nicht selbst tun. Jedoch hat sie die Möglichkeit, unter Berücksichtigung der Verpflichtung zur Zusammenarbeit der Datenschutzbehörden nach Art. 28 Abs. 6 DS-RL die Behörde des Mitgliedstaats, dessen Recht auf die Datenverarbeitung anwendbar ist, zu ersuchen, die eventuelle Feststellung eines Verstoßes gegen das anwendbare Recht und die eventuelle Verhängung von Sanktionen auf der Grundlage der eingeholten Informationen vorzunehmen. Die unzuständige Behörde besitzt nach Ansicht des GA also durchaus ein Grundgerüst an möglichen Handlungen, jedoch steht ihr nicht die Befugnis zu, eine Datenverarbeitung eines Verantwortlichen aus einem anderen Mitgliedstaat offiziell als rechtswidrig zu bescheiden oder etwa ein Bußgeld zu verhängen.

In Deutschland dürften diese Ausführungen insbesondere für Verfahren gegen Facebook interessant sein. Denn wenn irisches Datenschutzrecht gilt (also keine relevante Niederlassung in Deutschland existiert), so ist die irische Datenschutzbehörde nach Ansicht des GA zumindest für Sanktionen und die Feststellung von rechtswidrigen Verarbeitungen allein verantwortlich.

Der GA führt abschließend aus:

Insbesondere müssen eine eventuelle Feststellung der Rechtswidrigkeit der Datenverarbeitung und die gleichfalls eventuelle Verhängung von Sanktionen, die sich daraus ergibt, in jedem Fall durch die Behörde des Staates erfolgen, dessen materielles Recht nach dem Anknüpfungskriterium von Art. 4 Abs. 1 Buchst. a der Richtlinie auf die Datenverarbeitung anwendbar ist.

All diese Fragen sind hiermit freilich nicht final entschieden. Das Urteil des EuGH steht noch aus. Die Thematik ist jedoch, wie erwähnt, von besonderer Praxisrelevanz und dürfte gerade auch im Trilog zur Datenschutz-Grundverordnung auf den Tisch kommen.

Gesetzentwurf: Grüne wollen Schufa und Co. strenger regulieren

Posted on by

Die Fraktion BÜNDNIS 90/DIE GRÜNEN hat im Bundestag ein Gesetz zur „Verbesserung der Transparenz und der Bedingungen beim Scoring (Scoringänderungsgesetz, PDF)“ eingebracht. Mit diesem Gesetz zur Änderung verschiedener Vorgaben des Bundesdatenschutzgesetzes (BDSG) möchte die Fraktion laut der Gesetzesbegründung

„insbesondere die Transparenz des statistischen Analyseverfahrens beim Scoring“

grundlegend verbessern werden.

Die Ausgangslage
Der Gesetzesentwurf referenziert unter anderem auf eine Studie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und der GP Forschungsgruppe aus dem Jahre 2014. Beeinflusst ist der Gesetzesentwurf freilich auch durch ein Urteil des Bundesgerichtshofs (BGH) aus dem Jahre 2014 (VI ZR 156/13), in dem es um den Auskunftsanspruch von Prsonen gegenüber der SCHUFA ging und das Gericht entschied, dass

die sogenannte Scoreformel, also die abstrakte Methode der Scorewert berechnung

der Auskunft suchenden Person nicht mitzuteilen ist. Ebenso wenig erstrecke sich der Auskunftsanspruch auf solche Inhalte der Scoreformel, die als Geschäftsgeheimnisse schützenswert sind.

Der Gesetzesentwurf
Nachfolgend möchte ich knapp auf einige Änderungsvorschlage des Gesetzesentwurfs eingehen.

Es soll eine generelle Pflicht der Vorabkontrolle beim Angebot von Scoringverfahren eingefügt werden (§ 4d Abs. 5 S. 2 BDSG-E). Diese Pflicht soll, anders als die bestehende Vorabkontrollverpflichtung, unabhängig davon bestehen, ob eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Verarbeitung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Zuständig für die Vorabkontrollen ist innerhalb von Unternehmen, wie auch jetzt, der Datenschutzbeauftragte.

Die Informationspflichten im Rahmen der Meldepflicht (und damit des Verfahrensverzeichnisses) sollen um einen neuen Punkt erweitert werden (§ 4e Abs. 1 Nr. 10 BDSG-E). Nach der Nr. 10 sollen im Fall des Scoring „eine Beschreibung des wissenschaftlich anerkannten mathematischstatistischen Verfahrens sowie Angaben zu § 28b Nummer 4“ erfolgen. Nach dem Gesetzesentwurf liegt der Zweck der Meldung darin, die eine Prüfung der Zulässigkeit der beabsichtigten Verfahren zu ermöglichen. Nicht erwähnt wird in dem Entwurf jedoch eine Anpassung von § 4g Abs. 2 S. 2 BDSG, wonach der Datenschutzbeauftragte nur die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar machen muss. Informationen zum anerkannten mathematischstatistischen Verfahren sollen also nicht im öffentlichen Verfahrensverzeichnis erwähnt werden.

Natürlich soll auch der § 28b BDSG geändert werden, der derzeit die Zulässigkeit von Scoring-Verfahren regelt. § 28 BDSG gibt vor, was zur Berechnung des Wahrscheinlichkeitswertes genutzt und nicht genutzt werden darf. Nach dem neuen § 28b Abs. 1 Nr. 4 BDSG-E darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn

für die Berechnung des Wahrscheinlichkeitswerts zum Zwecke der Bonität keine Anschriftendaten, Daten aus sozialen Netzwerken, Daten aus Internetforen, Angaben zur Staatsangehörigkeit, zum Geschlecht, zu einer Behinderung oder Daten nach § 3 Absatz 9 genutzt werden.

Explizit soll also eine Verwendung von besonderen Arten personenbezogener Daten (z.B. Gesundheitsdaten) ebenso ausgeschlossen werden, wie ein Rückgriff auf Informationen aus „sozialen Netzwerken“ und „Internetforen“. Der Praktiker wird sich fragen: Was ist damit gemeint? Die Begründung definiert „Soziale Netzwerke“ und “Internetforen“ als

Plattformen, auf denen z.B. Kontakte, Meinungen, Interessen und das Einkaufsverhalten der betroffenen Personen mitgeteilt werden.

Plattformen auf denen Meinungen und Interessen mitgeteilt werden. Man möchte sich gar nicht ausmalen, was man (bei einer weiten Auslegung) alles hierunter fassen könnte.

Zudem soll eine neue § 28b Abs. 1 Nr. 5 BDSG-E eingefügt werden. Die Verwendung des Wahrscheinlichkeitswertes wird davon abhängig gemacht, dass

der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung seiner Daten schriftlich unterrichtet worden ist. Die Unterrichtung ist zu dokumentieren. Soll die Unterrichtung zusammen mit anderen Erklärungen erfolgen, ist sie besonders hervorzuheben.

Dies bedeutet: bevor überhaupt irgendeine Datenverarbeitung hinsichtlich des Wahrscheinlichkeitswertes beginnen kann, muss der Betroffene schriftlich(!) informiert werden. Dies soll auch innerhalb von AGB möglich sein, jedoch dann deutlich hervorgehoben. Hier grüßt meines Erachtens der Medienbruch. Denn in dem bisher geltenden § 28b Nr. 4 BDSG ist auch allein von „Unterrichtung“ die Rede. Schriftlich muss diese nicht erfolgen.

Zudem soll ein neuer § 28b Abs. 2 BDSG-E vorgeben, dass das wissenschaftlich anerkannte mathematisch-statistische Verfahren muss dem Stand der Wissenschaft und Forschung entsprechen muss. Wie genau dieser Stand aussieht, dies überlässt der Gesetzesentwurf der Bundesregierung, die hierzu durch eine Rechtsverordnung mit Zustimmung des Bundesrats Vorgaben machen kann.

Auch die Weite des Auskunftsanspruchs soll vergrößert werden. Nach dem neuen § 34 Abs. 2 S. 1 Nr. 2 BDSG-E ist Auskunft zu erteilen, über

die verwendeten Einzeldaten, die Gewichtung der verwendeten Daten, die verwendeten Vergleichsgruppen und die Zuordnung der betroffenen Personen zu den Vergleichsgruppen, die in die Berechnung des Wahrscheinlichkeitswerts einfließen.

Ein solcher Umfang des Auskunftsanspruches ist derzeit nicht vorgesehen.
U
nd noch eine weitere wichtige Änderung soll im Rahmen des Auskunftsanspruchs geregelt werden. § 34 Abs. 2 S. 2 BDSG-E sieht vor, dass der Zugang zu diesen Informationen nicht

unter Berufung auf das Betriebs- und Geschäftsgeheimnis abgelehnt werden“

kann. Diese Änderung referenziert direkt auf das oben erwähnte Urteil des BGH, mit dem die Verfasser des Gesetzentwurfs nicht einverstanden sind und folglich eine gesetzgeberische Anpassung vorschlagen. Interessant ist folgende Klarstellung in der Gesetzesbegründung:

Verlangt werden kann nicht die Offenlegung … des zugrunde liegenden Algorithmus.

Ein berechtigtes Geheimhaltungsinteresse der Unternehmen erkennt der Gesetzesentwurf nicht an. Auch ein unzulässiger Eingriff in das Grundrecht auf Berufsfreiheit in Art. 12 Abs. 1 GG der Scoring-Verwender lehnt die Gesetzesbegründung ab.

Der Gesetzesentwurf sieht noch weitere Änderungen vor. Unter anderem soll eine jährliche Auskunftspflicht (!) der Auskunfteien eingeführt werden.

Zudem soll eine Pflicht für die zuständigen Landesdatenschutzbehörden eingeführt werden, Unternehmen, die Scoring-Verfahren verwenden, mindestens einmal jährlich zu kontrollieren (§ 38 Abs. 1 S. 2 BDSG-E). Hierbei handelt es sich um eine „Sollpflichtprüfung“. Dies bedeutet, dass die Aufsichtsbehörden grundsätzlich prüfen müssen, es sei denn es liegen besondere Umstände vor. Bei der derzeitigen Ausstattung (finanziell als auch personell) der Behörden, darf man sich doch die Frage stellen, inwieweit eine solche Pflicht eventuell weite Teile einer Behörde binden und damit lähmen könnte. Denn eine Prüfung sollte wenn sie denn schon durchgeführt wird doch umfassend erfolgen und nicht etwa als eine Art „Feigenblatt“ dienen. Dies erfordert dann aber auch einigen Einsatz an Personal und Zeit.

Fazit
Es bleibt abzuwarten, inwieweit der vorliegende Gesetzesentwurf im Gesetzgebungsverfahren noch Änderungen erfahren wird und ob sich die Opposition hier gegenüber der Koalition durchsetzen kann. Zudem muss freilich auf die sich bereits abzeichnende Einigung bei der Datenschutz-Grundverordnung hingewiesen werden, die dann Gesetzesnormen schafft, die den hier entstehenden Regelungen grundsätzlich vorgehen.