Category Archives: Rechtsprechung

Bundesregierung zu Redtube: Gutes Maß an Rechtssicherheit erreicht.

Posted on by

Die Bundesregierung hat auf eine kleine Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN zum Thema „Klarheit für Verbraucherinnen und Verbraucher im Zusammenhang mit den Redtube-Abmahnungen“ (BT-Drs. 18/751, PDF) geantwortet. In einer ersten Antwort auf eine kleine Anfrage der DIE LINKE hatte die Bundesregierung zu den Redtube-Abmahnungen ausgeführt, dass aus ihrer Sicht die „Vervielfältigung, die bei Betrachten eines Videostreams erfolgt, unter den Voraussetzungen des § 53 Abs. 1 UrhG (so genannte Privatkopie-Schranke) zulässig“ sei (BT-Drs. 18/246).

Da jedoch zum Tatbestand des § 53 Abs. 1 UrhG auch die Voraussetzung erfüllt sein muss, dass „zur Vervielfältigung keine offensichtlich rechtswidrig hergestellte oder öffentlich zugänglich gemachte Vorlage verwendet“ wird, obliegt es den Nutzern zu beurteilen, ob es sich um eine solche Vorlage handelt. Die Fragesteller sehen hierin eine Rechtsunsicherheit für Verbraucher, da es für diese als juristische Laien kaum zu beurteilen sei, ob die Vorlage entweder offensichtlich rechtswidrig hergestellt oder aber offensichtlich rechtswidrig öffentlich zugänglich gemacht worden ist. Daher erbeten die Grünen u. a. eine Antwort darauf, ob die Bundesregierung hier gesetzgeberischen Handlungsbedarf sieht.

In der Öffentlichkeit wurde in Bezug auf die Redtube-Verfahren unter anderem auch darüber diskutiert, inwieweit es den beteiligten Richtern am LG Köln an technischer Expertise gemangelt haben könnte, um ein vorgelegtes Gutachten richtig beurteilen zu können. Die Bundesregierung geht in ihrer Antwort davon aus, dass

der hier angesprochene Sachverhalt […] nicht den Schluss zu[lässt], dass deutsche Gerichte mit den in technischer Hinsicht aufgeworfenen Fragen überfordert seien.

Hinsichtlich der Voraussetzungen des § 53 Abs. 1 UrhG, insbesondere in Bezug auf den oben beschrieben Halbsatz, weißt die Bundesregierung auf die Gesetzgebungsgeschichte der Vorschrift hin und führt aus:

Zugleich sollte aber mit dieser Einschränkung auch der Verbraucher geschützt werden. Er sollte nicht mit unerfüllbaren Prüfpflichten belastet werden. Denn die Einschränkung des letzten Halbsatzes ist so formuliert, dass es im Streitfall dem Rechtsinhaber – und nicht dem Verbraucher – obliegt zu beweisen, dass die Vorlage offensichtlich rechtswidrig hergestellt oder offensichtlich unerlaubt öffentlich zugänglich gemacht worden ist.

Auch geht die Bundesregierung jedoch davon aus, dass man diesbezüglich auf den jeweiligen Verbraucher und seinen individuellen Bildungs- und Kenntnisstand abstellen müsse. Für diesen müsse erkennbar sein, dass die Vorlage eine offensichtliche rechtswidrige Quelle war. Konkreter müssten nach der Bundesregierung hierbei die für den Verbraucher erkennbaren Gesamtumstände des Angebots berücksichtigt werden. Wann ein, aus der Sicht des jeweiligen Verbrauchers, legales Angebot vorliegt, hängt daher vom Einzelfall ab.

Allein das Vorhandensein eines Rechtsverletzungsmanagements zur Durchführung des sog. Notice-and-Take-Down-Verfahrens lässt daher noch nicht auf ein legales Angebot schließen, wenn alle anderen Umstände eine offensichtlich unerlaubt zugänglich gemachte Vorlage erkennen lassen.

Jedoch erklärt die Bundesregierung auch, dass eine Pflicht zu aktiven Nachforschungen durch den Verbraucher nicht besteht. Daher sei die geltende Rechtslageaus Sicht der Bundesregierung bereits verbraucherfreundlich ausgestaltet. Eine rechtssichere Klarstellung könne jedoch nur auf europäischer Ebene erfolgen.
Zuletzt merkt die Bundesregierung an, dass das LG Köln den Beschwerden gegen die zunächst ergangenen Beschlüsse zur Auskunft über die Anschlussinhaber stattgegeben habe. Damit habe das Gericht die Auffassung der Bundesregierung bestätigt.

Damit ist bereits ein gutes Maß an Rechtssicherheit erreicht.

LG Saarbrücken: Todesanzeigen im Internet sind erlaubt

Posted on by

Das Landgericht (LG) Saarbrücken hat mit Urteil vom 14.02.2014 (Az.: 13 S 4/14, derzeit noch nicht online abrufbar) entschieden, dass eine Internetseite mit „virtuellen Grabstätten“ nicht gegen das Datenschutzrecht und das postmortale Persönlichkeitsrecht der verstorbenen Person verstößt, wenn die Daten der Todesanzeige aus allgemein zugänglichen Quellen entnommen wurden. Es wies damit die Berufung des Betreibers der entsprechenden Internetseite gegen ein Urteil des Amtsgerichts (AG) Saarlouis (Az. 29 C 1892/12 (16)) teilweise zurück. In Bezug auf Kommentare unter der entsprechenden Todesanzeige, welche die Witwe des Verstorbenen in ihren Rechten verletzten, änderte das LG das erstinstanzliche Urteil jedoch nur ab (und bestätigte damit im Prinzip insoweit die Ansicht des AG).

Dieser, zugegebenermaßen etwas ungewöhnliche Fall, zeigt deutlich, dass nicht notwendigerweise jeder Umgang mit personenbezogenen Daten verboten sein muss. Zudem beleuchtet er, wenn auch nur in einem Nebensatz, die Frage, inwieweit sich eigentlich Verstorbene, bzw. deren Angehörige, auf den Schutz personenbezogener Daten berufen können.

Sachverhalt
Auf einer Internetseite veröffentlichte der Beklagte eine Todesanzeige unter vollständiger Nennung von Vor- und Zunamen, Geburts- und Sterbedatum, Wohnort, Berufsbezeichnung und letzter Ruhestätte des Verstorbenen. Diese Daten waren bereits in Sterbeanzeigen, die u. a. die Witwe selbst aufgegeben hatte, enthalten. Zudem war es Dritten möglich, Kondolenzeinträge (also im Prinzip Kommentare) zu verfassen. Diese Chance nutzte auch eine Dame um mehr oder minder direkt zum Ausdruck zu bringen, dass sie die Geliebte des Verstorbenen gewesen sei. In einem separaten Verfahren wurde sie daraufhin verurteilt, Veröffentlichungen dieser Art zu unterlassen. In erster Instanz erkannte der Beklagte bereits die begehrte Löschung dieser sieben Kondolenzeinträge der Dame an.

Entscheidung
Das LG sah die Verarbeitung der personenbezogenen Daten des Verstorbenen zum Zwecke der Darstellung in der Todesanzeige als rechtmäßig an. Dieser Löschungsanspruch ergebe sich weder aus § 35 Abs. 2 S. 2 Nr. 1 BDSG noch aus dem postmortalen Persönlichkeitsrechts ihres verstorbenen Ehemannes oder ihren eigenen Rechten (§ 1004 Abs. 1 S. 1 BGB analog). Ich möchte mich hier auf einige datenschutzrechtliche Gesichtspunkte der Entscheidung beschränken.

Zum einen tendiert das LG bereits dazu, personenbezogene Daten Verstorbener nicht in den Schutzbereich des BDSG aufzunehmen. Doch selbst wenn diese Schutz genießen würden, so würde die Datenverarbeitung doch rechtmäßig erfolgen.
Ob Daten Verstorbener vom BDSG geschützt werden ist zumindest nicht unumstritten. Gegen eine Einbeziehung könnte jedoch sprechen, dass Rechte der Betroffenen (wie etwa dasjenige auf Löschung oder Auskunft) gerade eine lebende Person voraussetzen. Ein weiteres Argument gegen die Erstreckung des Schutzes auf Verstorbene könnte zudem sein, dass das Bundesverfassungsgericht davon ausgeht, dass das allgemeine Persönlichkeitsrecht mit dem Tod des Betroffenen erlischt. Das Recht auf informationelle Selbstbestimmung, welches als Grundlage des Schutzes personenbezogener Daten dient, ist jedoch nur ein besonderer Teil dieses allgemeinen Persönlichkeitsrechts und erlischt dann folgerichtig ebenso. Schutzlos steht das Ansehen der Verstorbenen (und so mittelbar auch der Umgang mit ihren Daten) damit jedoch nicht. Denn das Bundesverfassungsgericht geht ebenso davon aus, dass der Schutz der Menschenwürde (Art. 1 Abs. 1 GG) nicht mit dem Tode endet (vgl. etwa Az.: 1 BvR 435/68).

Nach dem LG sei jedoch die Speicherung und Veröffentlichung der Todesanzeige rechtmäßig, da sich der Betreiber auf den Erlaubnistatbestand des § 29 Abs. 1 Nr. 2 BDSG berufen könne. Danach ist das geschäftsmäßige Erheben, Speichern und Nutzen personenbezogener Daten zum Zwecke der Übermittlung zulässig, wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können, es sei denn, dass das schutzwürdige Interesse des Betroffenen offensichtlich überwiegt.
Vorliegend waren die Daten allgemein zugänglich, da die Witwe bereits selbst Todesanzeigen veröffentlicht hatte. Die Verarbeitung wäre nur dann unzulässig, wenn ein schutzwürdiges Interesse des Betroffenen am Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle „offensichtlich überwiegt“. Eine umfangreiche Einzelfallprüfung der widerstreitenden Interessen durch den Beklagten war daher nicht erforderlich. Die erleichterten Voraussetzungen der Datenverarbeitung werden vor allem als ein Ausfluss des Grundrechts der Informationsfreiheit aus Art. 5 Abs. 1 S. 1 GG angesehen. Das LG führt weiter aus, dass vorliegend eine Abwägung nur mit dem postmortalen Persönlichkeitsrechts des Verstorbenen in Betracht käme, da (entsprechend der oben erwähnten Ansicht des Bundesverfassungsgerichts) das Recht auf informationelle Selbstbestimmung mit dessen Tode erloschen sei. Die hier zu beurteilende Todesanzeige verletze den Verstorbenen jedoch nicht in seinem geschützten Achtungsanspruch. Denn es handele sich um wertneutrale Daten, ohne wertenden Bezug zur Persönlichkeit. Auch „dass die Daten durch eine Veröffentlichung im Internet einer breiteren Öffentlichkeit zugänglich gemacht und möglicherweise auch dauerhaft verfügbar gehalten werden, ändert an dieser Bewertung im Grundsatz nichts“.

Kammergericht: Für Facebook gilt deutsches Datenschutzrecht – und nun?

Posted on by

Mit Urteil vom 24.01.2014 (Az. 5 U 42/12 (hier als PDF)) hat das Kammergericht (KG) die Berufung von Facebook im Streit mit dem VZBV um die Zulässigkeit des Freunde-Finders zurückgewiesen (hier die Pressemitteilung). Das Urteil ist nun im Volltext verfügbar und der Inhalt dürfte durchaus für Diskussionen sorgen. Denn das KG bestätigt die Auffassung des Landgerichts Berlin (Az. 16 O 551/10), wonach im europäischen Datenschutzrecht eine Rechtswahl zwischen den Parteien möglich ist. Selbst ohne eine solche Rechtswahl fände vorliegend jedoch deutsches Datenschutzrecht Anwendung, da nicht Facebook Irland, sondern vielmehr die Muttergesellschaft in Amerika allein die verantwortliche Stelle der Datenverarbeitung sei. Da diese nicht in Europa sitze, jedoch auf die Daten von Nutzern in Deutschland zurückgreife, gelte deutsches Datenschutzrecht.

Die Frage des anwendbaren Datenschutzrechts ist freilich nur die (wenn auch notwendig) zu prüfende Vorstufe, um zu einer Beurteilung der Rechtmäßigkeit des Freunde-Finders an sich zu gelangen. Ich möchte mich nachfolgend jedoch auf diese Vorfrage beschränken, denn ihre Beantwortung ist besonders vor dem Hintergrund interessant, dass sowohl das VG (Az.: 8 B 60/12; 8 B 61/12) als auch das OVG Schleswig (Az.: 4 MB 10/13) die Anwendbarkeit deutschen Datenschutzrechts abgelehnt haben. Wir haben also in Deutschland nun zwei Obergerichte, die hier unterschiedlicher Auffassung sind. Man sollte meines Erachtens zudem beachten, dass es bei dieser Frage nicht um „Facebook“-Bashing gehen darf, sondern diese Thematik vielmehr für jeglichen internationalen Anbieter von Dienstleistungen im Internet von Interesse ist.

Anwendbares Recht nach der EU-Datenschutz-Richtlinie
Das Kammergericht geht in seiner Entscheidung zunächst auf die im BDSG zum anwendbaren Recht festgeschriebenen Grundsätze (§ 1 Abs. 5 BDSG und deren europarechtliche Grundlage in Art. 4 RL 1995/46/EG, (DS-RL)) ein. Die Vorgaben aus der DS-RL sind als eine angestrebte Vollharmonisierung des Datenschutzrechts zu verstehen, zumindest soweit die entsprechende Vorschrift inhaltlich unbedingt und hinreichend genau ist.
Diese Voraussetzungen sind für Art. 4 DS-RL erfüllt. Richtigerweise stellt das KG fest, das die Vorschriften zum anwendbaren Recht „zum Kernbereich dieser Richtlinie“ gehören. Das KG erläutert dann zunächst die beiden möglichen Varianten, die als Anknüpfungspunkt des anzuwendenden Datenschutzrechts in Frage kommen. Einmal in Art. 4 Abs. 1 lit. a DS-RL der Sitz der verantwortlichen Stelle, wenn diese sich innerhalb der EU befindet oder nach Art. 4 Abs. 1 lit. c DS-RL der Anknüpfungspunkt des „Zurückgreifens“ auf in einem Mitgliedstaat belegene Mittel, wenn die verantwortliche Stelle der Datenverarbeitung nicht in der EU oder dem EWR sitzt.

Verantwortliche Stelle außerhalb der EU
Das KG beginnt seine Prüfung mit der Variante des Art. 4 Abs. 1 Lit. c DS-RL. Und hier wird das Urteil nun interessant und weicht von den oben angeführten Entscheidungen der Gerichte in Schleswig-Holstein ab. Denn das KG geht davon aus, dass nicht die Europazentrale von Facebook in Irland für die Datenverarbeitung deutscher Nutzer verantwortlich ist, sondern allein die Muttergesellschaft in den USA.

Ebenso werden die u?ber den Internetauftritt der Beklagten erhobenen und weitergehend verwendeten Daten in tatsächlicher Hinsicht von dieser Muttergesellschaft verarbeitet.

Diese Feststellung des Gerichts ist erforderlich, um in den Anwendungsbereich von Art. 4 Abs. 1 lit. c DS-RL zu gelangen. Denn wenn die irische Niederlassung verantwortlich wäre, so würde Art. 4 Abs. 1 lit. a DS-RL eingreifen und irisches Datenschutzrecht zur Anwendung kommen (in diesem Sinne hatten die Gerichte in Schleswig-Holstein entschieden). Übereinstimmend mit der Ansicht der Art. 29 Datenschutzgruppe (Stellungnahme WP 179) geht das KG dann davon aus, dass auf „automatisierte oder nicht automatisierte Mittel“ zurückgegriffen wird, wenn Cookies auf einem PC platziert und hierdurch personenbezogene Daten erhoben werden. Das KG nimmt diese Konstellation für Facebook USA an. Facebook USA setze Cookies auf Rechnern von deutschen Nutzern und greife daher auf „Mittel“ in Deutschland zurück. Daher gelte deutsches Datenschutzrecht. Zudem sieht das KG (sozusagen alternativ) den Auftragsdatenverarbeiter des Konzerns, der einer Niederlassung in Deutschland besitzt, als ein „Mittel“ an, auf das Facebook USA zurückgreift. Auch deshalb gelte deutsches Datenschutzrecht.

Diese Ansicht halte ich im Ergebnis für vertretbar. Manche europäische Datenschutzbehörden sehen sogar die eigenen Niederlassungen von außereuropäischen Unternehmen als solche „Mittel“ an. Was jedoch leider in dem Urteil etwas zu kurz kommt ist die, meines Erachtens gerade im Datenschutzrecht erforderliche, Differenzierung der verschiedenen Datenverarbeitungsvorgänge. Natürlich ist es möglich, dass Facebook USA Cookies einsetzt und hierüber Daten verarbeitet. Doch darf man damit nicht die kompletten Datenverarbeitungsvorgänge eines Weltkonzerns über einen Kamm scheren. Es scheint doch durchaus möglich, dass etwa für einen Verarbeitungsprozess die Muttergesellschaft, für einen anderen jedoch eine europäische Niederlassung verantwortlich ist. Wer für welchen Verarbeitungsvorgang verantwortlich ist, muss freilich auf einer tatsächlichen Ebene ermittelt bzw. vorgetragen werden.

Verantwortliche Stelle innerhalb der EU
In einem nächsten Schritt prüft das KG, ob nicht eventuell die Niederlassung in Irland doch als verantwortliche Stelle anzusehen sei und daher irisches Recht Anwendung finden würde (Art. 4 Abs. 1 lit. a DS-RL; falls dem so seien sollte, dann wäre die Vorschrift es Art. 4 Abs. 1 lit. c DS-RL quasi „gesperrt“. Daher hätte man sicherlich auch zunächst die Voraussetzungen von Art. 4 Abs. 1 lit. a DS-RL prüfen können). Und mit Blick auf die irische Niederlassung stellt das KG fest:

„Es fehlt aber ein hinreichender Vortrag dazu, dass sie die hier maßgebliche Erhebung und weitere Verarbeitung der Daten vornimmt.“

Das KG legt, wie eigentlich in dem gesamten Urteilsabschnitt zum anwendbaren Recht, richtigerweise die Bestimmung des § 1 Abs. 5 S. 1 BDSG richtlinienkonform aus. Nach dieser Vorschrift gilt grundsätzlich das Datenschutzrecht desjenigen Mitgliedstaates, in dem die verantwortliche Stelle belegen ist. Für das KG muss jedoch hinzukommen, dass die Datenverarbeitungsvorgänge auch „effektiv und tatsächlich“ dort ausgeführt werden. Diese Voraussetzung sieht es hier nicht als erfüllt an.

Auch diese Ansicht ist meines Erachtens grundsätzlich richtig. Die Art. 29 Datenschutzgruppe spricht in ihren Stellungnahmen in diesem Zusammenhang gerne von der „relevanten Niederlassung“. Es kommt im Rahmen der Prüfung des Art. 4 Abs. 1 lit. a DS-RL entscheidend darauf an, inwieweit eine europäische Niederlassung als verantwortliche Stelle angesehen werden kann. Für diese Prüfung ist von entscheidender Bedeutung, welche tatsächlichen Einflussmöglichkeiten sie auf den jeweiligen Verarbeitungsprozess besitzt.
Das Vorbringen von Facebook in dem Prozess konnte das KG nicht überzeugen.

„Die Beklagte trägt nur vor, sie sei alleinige Vertragspartnerin aller Facebook Nutzer außerhalb Nordamerikas. … Eine eigene effektive und tatsächliche Datenverarbeitung (mittels eigener Datenverarbeitungsanlagen und eigenem Personal) wird damit nicht dargetan. … Letztlich bezieht sie sich insoweit auch nur auf die tatsächliche Datenverarbeitung durch ihre Muttergesellschaft. Weitergehendes hat die Beklagte auch nach Erörterung in der mündlichen Verhandlung vor dem Senat nicht geltend gemacht.“

Es kommt also entscheidend auf die dargelegten, tatsächlichen Gegebenheiten an. Anders als in den Prozessen in Schleswig-Holstein konnte Facebook das KG jedoch nicht davon überzeugen, für die relevanten Vorgänge allein verantwortlich zu sein.

Im Ergebnis ist die Entscheidung des KG hinsichtlich dieses Komplexes daher konsequent. Als unbeteiligter Betrachter von außen lässt sich nur schwer beurteilen, ob man aufgrund des tatsächlichen Vorbringens nicht auch zu einem anderen Ergebnis hätte kommen können.

Rechtswahl
In einem weiteren Teil stützt sich das KG nun alternativ darauf, dass zudem eine wirksame Rechtswahl in Bezug auf deutsches Datenschutzrecht vorliege.

Insoweit überzeugt mich das Urteil jedoch nicht. Ich hatte bereits hier im Blog einmal zu der Möglichkeit einer Rechtswahl im Datenschutzrecht Stellung genommen.

Dass eine Rechtswahl möglich sei, begründet das KG damit, dass das BDSG unter anderem auch Privatrecht enthalte, wenn Ansprüche der Betroffenen (etwa auf Löschung oder Schadenersatz) auf Vorschriften wie §§ 4, 28 BDSG verweisen. Es ist in der Tat nicht unumstritten, inwieweit das BDSG nun (rein) öffentlich-rechtlich oder privatrechtlich oder gemischt zu qualifizieren ist.

Unabhängig davon sehe ich jedoch die, wie auch vom KG hervorgehoben, entscheidende Vorschrift des Art. 4 DS-RL nicht als eine solche des Privatrechts an, die zur Disposition der Parteien steht. Diese kann daher auch nicht durch eine Rechtswahl der Parteien „umgangen“ werden. Der Gesetzgeber wollte vielmehr eindeutig regeln, wann welches Datenschutzrecht gilt. Es lässt sich hier sicherlich darüber streiten, ob Art. 4 DS-RL bzw. die deutsche Umsetzung in § 1 Abs. 5 BDSG, nun eine international-privatrechtliche Eingriffsnorm darstellt oder etwa eine Sonderanknüpfung. Was jedoch beiden Qualifizierungen gemeinsam ist, ist der Ausschluss der Möglichkeit einer freien Rechtswahl.

Das KG bezieht sich in seiner Begründung vor allem auf die AGB von Facebook. Dort sei festgeschrieben, dass die Erklärung deutschem Recht unterliege. Meines Erachtens muss man hier jedoch strikt differenzieren. Es ist zwar möglich, das Vertragsrecht in internationalen Konstellationen grundsätzlich frei zu wählen (es sei denn es greifen Ausnahmen ein, wie etwa der Schutz für Verbraucher). Diese freie Rechtswahl bezieht sich meiner Meinung nach jedoch nicht auf das Datenschutzrecht. Denn allein Art. 4 DS-RL bzw. die jeweilige nationale Umsetzung soll vorgeben, welches Recht Anwendung findet. Dies kann in der Praxis freilich zu der Situation führen, dass in Bezug auf eine AGB-Prüfung deutsches Recht Anwendung findet (insoweit greift die Schutzausnahme für Verbraucher). Innerhalb dieser AGB-Prüfung kann jedoch das zugrunde zu legende Recht, von dem mittels der AGB eventuell abgewichen wird, durchaus ein ausländisches Datenschutzrecht sein. Herr Dr. Redeker hat dies in einem Blogbeitrag auf CR-Online ebenso dargestellt.

Auch die Art. 29 Datenschutzgruppe hat in ihrer Stellungnahme zu Apps (WP 202, S. 9) zu einer möglichen Rechtswahl im Datenschutzrecht klare Worte gefunden:

Es ist wichtig, dass App-Entwickler wissen, dass die beiden Richtlinien insofern zwingende Vorschriften darstellen, als die Rechte natürlicher Personen nicht übertragbar sind und keinem vertraglichen Verzicht unterliegen. Das bedeutet, dass die Anwendbarkeit des europäischen Rechts zum Schutz der Privatsphäre nicht durch eine einseitige Erklärung oder eine vertragliche Vereinbarung ausgeschlossen werden kann.

Das KG geht in seiner Begründung leider auch nicht auf die Vorgaben der für internationale Sachverhalte und die Bestimmung des anzuwenden Rechts entscheidenden Verordnungen (Rom I und Rom II) ein. Es begründet die Entscheidung mit seiner Ansicht der freien Wahl hinsichtlich des „privatrechtlichen Teils“ des deutschen Datenschutzrechts. Dass hier deutsches und nicht etwa irisches Datenschutzrecht zur Anwendung gelangt, mache

vorliegend auch Sinn. Denn in Ziff. 1 der Nutzungsbedingungen stellt die Beklagte ausdru?cklich klar, wie wichtig ihr die Privatsphäre des Nutzers und der Schutz seiner Daten sind. Mit der Vereinbarung auch des deutschen Datenschutzrechts nimmt sie den Nutzern in Deutschland einen Teil der Sorgen, indem sie die in Deutschland insoweit geltenden und diesen Nutzern vertrauten Maßstäbe auch fu?r sich zu Grunde legt.

So sehr ich den Gedanken verstehe, dass es für deutsche Nutzer besser erscheinen mag, wenn deutsches Datenschutzrecht anwendbar ist, so wenig überzeugt mich jedoch das voran gestellte Zitat als eine rechtliche Begründung einer wirksamen Rechtswahl im Datenschutzrecht.

Ausblick
Und nun? Man wird abwarten müssen, ob Facebook auch gegen das Urteil des KG vorgeht. Da wir jedoch nun zwei konträre Entscheidungen zum anwendbaren Datenschutzrecht auf Facebook und auch zu den grundsätzlichen rechtlichen Möglichkeiten einer Rechtswahl im Datenschutzrecht haben, wäre im Sinne der Rechtssicherheit eine höchstrichterliche Klärung sicherlich wünschenswert.

Neues Urteil: Wie dürfen Auskunfteien über gesperrte Daten informieren?

Posted on by

Der Hessische Verwaltungsgerichtshof hat mit Beschluss vom 02.01.2014 (Az.: 10 B 1397/13) entschieden, dass ein Kreditschutzunternehmen Dritten gegenüber keine Auskunft über die Sperrung von Daten geben darf. Die Auskunft darf auch nicht so ausgestaltet sein, dass sie von dem Anfragenden als versteckte Mitteilung einer Datensperrung verstanden werden kann.

Sachverhalt
Die Situation ist eine alltägliche. Im Zuge des Abschlusses eines gewerblichen Leasingvertrages für ein Auto möchte sich der Leasinggeber der Kreditwürdigkeit des Leasingnehmers versichern. Dazu fragt er bei Kreditschutzunternehmen an, ob Daten zu den Betroffenen vorlägen. Sind Einträge vorhanden, geht dies meist zu Lasten des Leasingnehmers. Im hier entschiedenen Fall wurde das Kreditschutzunternehmen, nach Beschwerden von Betroffenen, die neue Leasingverträge abschließen wollten, von der hessischen Datenschutzaufsichtsbehörde dazu verpflichtet bei teilweiser oder vollständiger Sperrung von Daten Betroffener, Dritten keine Auskünfte zu den Betroffenen zu erteilen, die einen Hinweis auf die Speicherung von Daten enthielten. Formulierungen, wie etwa „über gespeicherte Datenarten wird derzeit/generell keine Auskunft erteilt“, „… ist nicht möglich …“, „… ist nicht gestattet …“ seien unzulässig, da sie für anfragende Unternehmen dennoch den Schluss zuließen, dass Daten vorhanden seien und damit negative Folgen haben könnten.

Entscheidung
Wie auch schon das VG Darmstadt (Az.: 5 L 304/13.DA), so sieht der VGH den Bescheid der Datenschutzbehörde als rechtmäßig an. Die von dem Kreditschutzunternehmen bisher verwendete Formulierung, wonach „eine Auskunftserteilung zurzeit nicht möglich ist“, sei nämlich nicht mit den Vorgaben des § 35 Abs. 4a BDSG vereinbar. Danach darf die Tatsache der Sperrung von personenbezogenen Daten nicht übermittelt werden.

Nun kann man sich freilich auf den Standpunkt stellen, dass das Unternehmen ja die Tatsche der Sperrung gerade nicht mitteilt. Doch der VGH geht davon aus, dass der Gesetzgeber mit der Bestimmung in § 35 Abs. 4a BDSG offensichtlich sicherstellen wollte, „dass in der Außenwirkung für den Betroffenen, auf den sich die personenbezogenen Daten beziehen, die Sperrung dieselbe Wirkung entfaltet wie eine Löschung“. Die Auskunftserteilung im Fall der Sperrung muss also einer solchen wie im Fall der Löschung von Daten gleichen. Nur dann könne die mit der Sperrung, als gegenüber der Löschung geringerem Mittel, vom Gesetzgeber beabsichtigte gleiche Wirkung erreicht werden.

Für diese Auffassung scheint in der Tat der gesetzgeberische Wille zu sprechen. § 35 Abs. 4a BDSG beruht auf einem Entwurf zur Änderung des BDSG aus dem Jahre 2008 (BT-Drs. 16/10529). Dort heißt es (S. 19):

Die Vorschrift darf auch nicht dadurch umgangen werden, dass eine Formulierung gewählt wird, aus der auf die Tatsache der Sperre bzw. das Vorliegen einer Unregelmäßigkeit geschlossen werden kann.

Nun ist es freilich eine Auslegungsfrage, wer als Empfänger einer Auskunft etwas aus dem Wortlaut einer solchen schließen kann. Es wird jedoch davon ausgegangen, dass allein durch die Kenntnis, dass bestimmte Daten gesperrt wurden, negative Rückschlüsse auf den Betroffenen gezogen werden könnten. Formulierungen wie „zurzeit“ oder „derzeit“ sieht der VGH daher nicht als neutral genug an, um einem solchen Rückschluss vorbeugen zu können. Wie eine solche „Nichtmitteilung“ vorzunehmen ist, lässt das Gesetz jedoch offen. Der VGH erkennt an,

dass es im Einzelfall schwierig sein kann, diese dargelegten Voraussetzungen zu erfüllen. Dies kann jedoch nicht dazu führen, dass ein Betroffener, dessen personenbezogene Daten nicht gelöscht, sondern lediglich gesperrt sind, auskunftsbegehrenden Stellen gegenüber schlechter gestellt wird.

Was tun?
Die Datenschutzbehörde ordnete folgende Vorgehensweise an:

  • Bei teilweise gesperrten Daten: Dritten zu diesen Daten keine Auskunft oder ausschließlich die Auskunft, dass zu den betroffenen Datenarten keine Daten gespeichert seien, zu geben
  • Bei vollständiger Sperrung von Daten: Dritten zu dem Betroffenen keine Auskunft oder die Auskunft, dass keine Daten zu dem Betroffenen gespeichert seien, zu geben

Sowohl VG als auch VGH sahen diese Vorgaben als recht- und insbesondere auch verhältnismäßig an. Zur Not bleibe laut dem VGH eben nur eine Alternative: die Antwort zu verweigern.

VG Berlin: Staatsanwaltschaft darf von „Datenklau im Bundesgesundheitsministerium“ sprechen

Posted on by

Das VG Berlin hat mit Beschluss vom 31.01.2014 (Az.: VG 1 L 17.14) entschieden, dass die Staatsanwaltschaft Berlin in einer offiziellen Pressemitteilung vom 20.01.2014 (PM 02/2014) folgende Überschrift verwenden durfte:
„Datenklau im Bundesgesundheitsministerium – Anklageerhebung gegen einen externen IT-Administrator des Ministeriums und einen Apothekenlobbyisten“

Der dort als „Apothekenlobbyist“ bezeichnet Antragsteller begehrte die Löschung dieser Pressemitteilung von der Webseite „Berlin.de“, da er sich hierdurch in seinem Allgemeinen Persönlichkeitsrecht verletzt sah. Nachdem im Dezember 2012 in der Öffentlichkeit bekannt wurde, dass vertrauliche Daten des Bundesgesundheitsministeriums auf ungeklärte Weise in die Hände von nicht dem Ministerium zugehörigen Personen gelangt waren, hatte die Staatsanwaltschaft Berlin im Dezember 2013 beim Landgericht Berlin Anklage gegen den Antragsteller erhoben. In dieser wurde ihm das Ausspähen von Daten nach dem Strafgesetzbuch sowie Verstöße gegen das Bundesdatenschutzgesetz (BDSG) vorgeworfen. Die Zustellung der Anklage an den Antragsteller erfolgte am 17. Januar 2014.

Das VG sah in dieser, weiterhin abrufbaren Pressemitteilung, jedoch keinen hoheitlichen rechtswidrigen Eingriff in das Persönlichkeitsrecht des Antragstellers. Zwar liege ein hoheitlicher Eingriff in das Allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1, Art. 1 Abs. 1 GG) vor. Dieser sei vorliegend jedoch nicht rechtswidrig.

Maßstab für die Rechtmäßigkeitsprüfung amtlicher Äußerungen sei, dass 1) sich der Amtsträger mit seinen Äußerungen im Rahmen des ihm zugewiesenen Aufgabenbereichs bewegt, 2) die rechtsstaatlichen Anforderungen an hoheitliche Äußerungen gewahrt sind (Sachlichkeitsgebot) und 3) die Äußerungen nicht unverhältnismäßig sind.

All diese Voraussetzungen waren vorliegend erfüllt. Hinsichtlich des Begriffes „Datenklau“ führt das VG aus, dass die zuständige Pressestelle der Generalstaatsanwaltschaft Berlin diesen Begriff in der Pressemitteilung verwendet,

um schlagwortartig den Umstand zu bezeichnen, dass sie gegen den Antragsteller und einen weiteren Beteiligten wegen des Verstoßes gegen datenschutzrechtliche Strafvorschriften Anklage erhoben hat

Hierbei handele es sich um eine Tatsachenbehauptung, deren objektive Richtigkeit einer Beweiserhebung zugänglich ist. Daraus folge, dass diese Aussage den Antragsteller nur dann in seinem Persönlichkeitsrecht verletzen würde, wenn sie unwahr oder unverhältnismäßig wäre. Beides sei vorliegend jedoch nicht der Fall. Denn unbestritten legt die Anklageschrift dem Antragsteller Vergehen nach § 202a StGB („Ausspähen von Daten“) und dem BDSG zur Last. Die diesen Tatvorwürfen zugrunde liegenden Sachverhalte zusammenfassend als „Datenklau“ zu bezeichnen sei weder unwahr, noch unverhältnismäßig. Zudem ergebe sich für jeden verständigen Leser, dass „Datenklau“ kein dem Strafgesetz entnommener Begriff sei, zumal in dem Text der Pressemitteilung eine genauere Erläuterung der Tatvorwürfe unter Nennung der relevanten Normen erfolge.

Schließlich sei der Begriff „Datenklau“ zwar plakativ. Jedoch sei nicht ersichtlich, dass der Antragsteller hierdurch über Gebühr belastet werde. Die vorzunehmende Abwägung seiner privaten Interessen gegenüber dem Informationsinteresse der Öffentlichkeit falle hier zu seinen Lasten aus.

Insbesondere stellt das VG darauf ab, dass die Pressestelle diesen Begriff nicht neu erfunden und damit erstmalig in die öffentliche Diskussion eingebracht hat. Vielmehr handele es sich um ein seit Monaten in den Medien für die zugrunde liegenden Vorgänge verwendetes Schlagwort. Der Begriff war der Öffentlichkeit daher in Verbindung mit den Ermittlungen bekannt und sorgte in der interessierten Öffentlichkeit für einen hohen Wiedererkennungswert.

Auch der Begriff „Apothekenlobbyist“ sei nicht unwahr oder seine Verwendung unverhältnismäßig. Denn die Staatsanwaltschaft bezeichnet den Antragsteller in der Anklageschrift mindestens einmal als „Lobbyist“. Zudem werde der Antragsteller durch diese Bezeichnung nicht unverhältnismäßig belastet, da „Lobbyist“ grundsätzlich eine normale Berufsbezeichnung sei. Das VG führt aus:

Die „negative Konnotation“, welche der Antragsteller dem Begriff zuschreibt, mag in bestimmten Konstellationen gegeben, dann aber vor allem auf die Wahl der eingesetzten, möglicherweise unlauteren Mittel bestimmter Lobbyarbeit zurückzuführen sein

Insgesamt wurde die Rechtswidrigkeit des Eingriffs daher abgelehnt. Gegen die Entscheidung des VG kann der Antragsteller noch eine Beschwerde zum OVG erheben.

Europäischer Gerichtshof für Menschenrechte: Ex-Geheimdienstmitarbeiter darf öffentlich über illegale Überwachung informieren

Posted on by

Der Europäische Gerichtshof für Menschenrechte (EGMR) hat mit Urteil vom 8.1.2013 (40238/02, auf Französisch; hier die offizielle englische Zusammenfassung) entschieden, dass die gegen einen ehemaligen rumänischen Geheimdienstmitarbeiter verhängte Gefängnisstrafe, wegen der Veröffentlichung von illegalen Überwachungsmaßnahmen, ihn in seinem Grundrecht auf freie Meinungsäußerung (Art. 10 EMRK) verletzt.

Der ehemalige Geheimdienstler war beim rumänischen Nachrichtendienst angestellt und u. a. für elektronische Abhöraktionen zuständig. Im Rahmen seiner Tätigkeit wurden ihm mehrere Unregelmäßigkeiten innerhalb der Behörde und, nach seiner Ansicht, Verletzungen der rumänischen Verfassung im Rahmen von angeordneten Überwachungen bekannt. Als er diese Vorfälle seinen Kollegen und direkten Vorgesetzten mitteilte, unternahmen diese nichts bzw. maßregelten ihn für sein Verhalten. Danach wandte er sich an einen parlamentarischen Abgeordneten, der Mitglied in dem Kontrollgremium war, welches die Tätigkeit des Geheimdienstes überwachte. Dieser Abgeordnete riet dem Mitarbeiter direkt an die Öffentlichkeit zu gehen, da eine Untersuchung in dem Gremium wenig bringen würde, da dessen Vorsitzender und der Behördenleiter des Geheimdienstes zu enge und gute Kontakte pflegten. So hielt der Mitarbeiter im Mai 1996 in der Tat eine öffentliche Pressekonferenz ab, in der er die Medien über die von ihm aufgedeckten Gesetzesverletzungen informierte. Es wurde ein Strafverfahren wegen des Sammelns und des Bekanntmachens geheimer Informationen während des Dienstes gegen ihn eingeleitet, welches mit der Verhängung einer 2 jährigen Haftstrafe, die jedoch ausgesetzt wurde, endete.

Der EGMR erkannte in der Verurteilung eine rechtswidrige Verletzung des Rechts auf freie Meinungsäußerung nach Art. 10 EMRK, da diese in ein der demokratischen Gesellschaft weder notwendig, noch erforderlich war.

Zunächst prüfte das Gericht, ob der Mitarbeiter andere Möglichkeiten hatte, die Informationen zu veröffentlichen. Da jedoch seine Vorgesetzten in die Rechtsverletzungen involviert waren, war der Weg über den Abgeordneten und dann direkt an die Presse erforderlich. Zwar wurden in Rumänien nach dem Geschehen spezielle Gesetze zum Schutz von Informanten im öffentlichen Dienst erlassen, die jedoch keine Anwendung auf den hier maßgebenden Zeitpunkt fanden.

Danach ging das Gericht auf den Wert der Informationen für die Öffentlichkeit ein. Die Überwachung von Telefonaten sei gerade in Staaten wie Rumänien, die aus ihrer Vergangenheit an solche Überwachungstätigkeiten gewohnt waren, besonders relevant. Zudem war durch die aufgedeckten Tätigkeiten die Gesellschaft direkt betroffen, da im Prinzip jeder Bürger unter den dargelegten Umständen überwacht werden könnte. Zudem bezog sich die Information auf missbräuchliche Handlungen von hochrangigen Staatsbediensteten und betraf damit die demokratischen Grundlagen des Staates. Sie betrafen wichtige Themen für die öffentliche politische Debatte in einer demokratischen Gesellschaft, an der die öffentliche Meinung ein besonderes Interesse habe. Die rumänischen Gerichte berücksichtigten diese Argumente jedoch nicht.

Auch ging das Gericht auf Richtigkeit der veröffentlichten Informationen ein. Die Beweise sprachen dafür, dass es keine Anzeichen dafür gab, dass die Überwachung aus Gründen der öffentlichen Sicherheit angeordnet worden sei, die eine solche Tätigkeit rechtfertigen könnte. Zudem sprach alles dafür, dass die Überwachungen ohne vorherige Autorisierung angeordnet wurden. Das rumänische Gericht weigerte sich diesen Beweisen in vollem Umfang nachzugehen und habe daher den Sachverhalt nicht in aller erforderlichen Tiefe aufgearbeitet.

Hinsichtlich des Motivs des ehemaligen Mitarbeiters stellte der EGMR fest, dass nichts dafür spreche, dass der Informant aus anderen Gründen an die Öffentlichkeit ging, als diese über die Gesetzesverstöße und die Missachtung der Rechte aus der Verfassung aufzuklären. Dies bereits deshalb, da er zunächst versuchte den direkten Dienstweg zu beschreiten.

LG Wiesbaden: Domaininhaber ist nicht zwingend Diensteanbieter

Posted on by

Mit Urteil vom 18.10.2013 (Az. 1 O 159/13) hat das Landgericht Wiesbaden u. a. entschieden, dass der Inhaber einer Domain und auch der Admin-C nicht zwingend mit dem Diensteanbieter i. S. d. § 2 Abs. 1 Nr. 1 TMG gleichzusetzen sind.

Der Sachverhalt

Die Kläger machten sowohl vertragliche als auch deliktische Ansprüche wegen der Nichterfüllung eines Reisevertrags geltend. Sie buchten über eine Internetseite eine Reise, wobei der vollständige Reisepreis erst zu spät bezhalt wurde und die Reise dann nicht angetreten werden konnte. Die Kläger verlangten nun zum einen den Reisepreis und Schadenersatz für vertane Urlaubszeit, da sich ihrer Ansicht nach aus der fehlenden Zahlung ohne vorherige Mahnung kein Kündigungsrecht ableiten ließe und infolgedessen ihnen die Reise zu Unrecht verweigert worden sei. Daher verklagten sie zunächst das im Impressum auf der Webseite angegeben Unternehmen. An der dortigen Adresse konnte die Klage jedoch nicht zugestellt werden. Die Kläger berichtigten sodann die Beklagtenpartei in ihrer Klage, nachdem sie über eine Anfrage bei der DENIC eG den Namen und die Anschrift der dort als Domaininhaberin und administrative Ansprechpartnerin eingetragenen Dame herausgefunden hatten. Diese verteidigte sich damit, dass sie lediglich Webmasterin im Dienstleistungsauftrag sei und die nur Webseite aufgebaut und gewartet habe.

Die Entscheidung

Ich möchte hier nur die Ausführungen des Gerichts im Zusammenhang mit § 5 TMG wiedergeben. Das LG lehnte daneben aber sowohl einen Vertragsschluss mit der Webmasterin als auch einen Schadenersatzanspruch wegen einer Schutzgesetzverletzung nach § 823 Abs. 2 BGB i. V. m. § 17 HGB ab.

Die Kläger stützten ihren Schadenersatzanspruch auch auf eine Schutzgesetzverletzung nach § 823 Abs. 2 BGB i. V. m. § 5 TMG, also wegen Verstößen gegen die Impressumspflicht. Das LG erkannte auch in der Tat solche Verstöße. Jedoch war die Webmasterin hier nicht der von § 5 Abs. 1 TMG in Bezug genommene „Diensteanbieter“, den die Impressums- und Informationspflichten treffen. Der „Diensteanbieter“ ist in § 2 Abs. 1 Nr. 1 TMG legaldefiniert. Danach muss die betreffende Person die „Nutzung“ von Telemedien ermöglichen und nach Außen als Erbringer von Diensten auftreten. Wie jedoch lediglich die „Bereitstellung“ ermöglicht wird, ist unbeachtlich. Das LG führt aus, dass als Diensteanbieter regelmäßig der Homepage-Inhaber anzusehen sein wird. Auf die alleinige Inhaberschaft einer Domain lässt sich die telemedienrechtliche Verantwortlichkeit aber nicht stützen. Die Inhaberschaft der Webseite, also des abrufbaren Inhalts an sich, ist nämlich von der Inhaberschaft der Domain und auch von der Stellung als Admin-C zu unterscheiden. Ein zwingender Schluss, dass die unter einer Domain nutzbaren Telemedien tatsächlich vom Domaininhaber und Admin-C angeboten werden, dürfe nicht gezogen werden. Insbesondere fehle es am erforderlichen Auftritt nach außen i.S.d. Definition des Diensteanbieters.

Dieses Ergebnis rechtfertige sich auch vor dem Hintergrund, dass der Abruf der Webseite grundsätzlich auch ohne die Kenntnis und Eingabe des Domainnamens möglich sei, auch wenn dies in der Praxis kaum vorkommen werde. Denn der Abruf erfolgt nicht über den Domeinnamen, sondern durch die diesem Namen zugeordnete IP-Adresse. Das LG weist auch darauf hin, dass dieses Ergebnis mit Sinn und Zweck des § 5 TMG in Einklang steht, da sich die Impressumspflicht parallel zu den presserechtlichen Impressumspflichten verhält, die sich an den Betreiber des Presseorgans richten.

Eine solche Stellung wird weder durch die Domaininhaberschaft, d.h. durch das Recht an der Domain, noch durch die Eigenschaft als Admin-C, d.h. als technischer Ansprechpartner der DENIC eG, vermittelt.

Zuletzt befasste sich das Gericht noch mit dem Schutzgesetzcharakter des § 5 TMG, auch wenn es darauf nicht mehr entscheidungsehrblich ankam. Selbst wenn man § 5 TMG als Schutzgesetz ansehen würde, so bestünden nach Auffassung der Kammer jedenfalls Zweifel, ob der vorliegend geltend gemachte Schaden in den sachlichen Schutzbereich der Norm fällt. Zwar sollen die Informationen, welche über die Impressumspflicht öffentlich gemacht werden müssen, gerade dazu dienen, Betroffenen die effektive Geltendmachung ihrer Rechte zu ermöglichen. Nach Ansicht des LG erschiene es aber zu weitgehend, eine auf § 5 TMG beruhende, deliktische Haftung für die Verletzung von Pflichten aus vertraglichen Schuldverhältnisse, welche mittels des betreffenden Telemediums eingegangen wurden, zu statuieren. Ein solcher deliktischer Schadensersatzanspruch hätte nach Ansicht des Gerichts wohl nur in der Situation eigenständige Bedeutung, wenn der nicht impressumspflichtige Vertragspartne auf der einen Seite und der impressumspflichtige Diensteanbieter auf der anderen Seite personenverschieden sind. Das Gericht möchte die Haftung des Diesteanbieters jedoch nicht derart weit ausdehnen:

Dass der Diensteanbieter in einer solchen Konstellation aufgrund eines Impressumsfehlers für die pflichtgemäße Erfüllung sämtlicher, mittels des Telemediums begründeter Verträge einstehen soll, scheint angesichts des vom Diensteanbieters unter Umständen kaum zu steuernden Haftungsrisikos weder vom Gesetzgeber erstrebt, noch sinnvoll und tragbar.

OLG Celle: Unzulässigkeit der Drohung mit einer Datenübermittlung an die Schufa

Posted on by

Das OLG Celle hat mit Urteil vom 19.12.2013 (Az. 13 U 64/13) entschieden, dass es ein Inkassounternehmen zum einen zu unterlassen hat, personenbezogene Daten eines Betroffenen an die Schufa zu übermitteln, wenn die gesetzlichen Vorgaben fehlen und zum anderen mit solch einer Übermittlung zu drohen.
Continue reading

Das Grundrecht auf Datenschutz in Europa

Posted on by

Im Zuge der Enthüllungen in der NSA-Affäre und den andauernden Verhandlungen für eine Reform des europäischen Datenschutzrechts wird häufig darauf verwiesen, dass der Schutz personenbezogener Daten in Europa ein Grundrecht darstellt (so etwa die EU Justizkommissarin Viviane Reding in einem Interview). Nachfolgend möchte ich darauf eingehen, wo dieses Grundrecht auf Datenschutz gesetzlich festgeschrieben und wie es tatsächlich ausgestaltet ist. Dazu beschränke ich mich jedoch auf die Ebene der EU und des Europarates (zu weiteren internationalen Datenschutzabkommen hatte ich bereits einmal etwas geschrieben).

A. Europäische Menschenrechtskonvention

Auf der supranationalen Ebene des Europarats, dem sowohl alle europäischen Mitgliedstaaten, aber auch andere Nationen wie die Türkei oder Russland angehören, garantiert die Europäische Menschenrechtskonvention (EMRK) Personen, welche der Hoheitsgewalt der einzelnen Mitgliedstaaten unterliegen, gewisse Grundrechte und –freiheiten.
Continue reading

Französische Datenschutzbehörde eröffnet Verfahren gegen Google

Posted on by

In einer Pressemitteilung gab die französische Datenschutzbehörde (CNIL) heute bekannt, dass sie ein Verfahren gegen Google wegen Verletzungen des französischen Datenschutzrechts einleitet. An dessen Ende könnten Sanktionen gegen das Internetunternehmen stehen.

Gemeinsame Aktion in Europa
Dieses Vorgehen beruht auf den Ergebnissen einer im Jahre 2012 eingerichteten „Task-Force“ mehrerer europäischer Datenschutzbehörden, die unter Leitung der französischen Behörde die Datenschutzkonformität der Angebote von Google in Europa untersuchte. Nachdem der Abschlussbericht der CNIL mehrere mögliche Rechtsverstöße feststellte, entschlossen sich europäische Datenschutzbehörden in einer koordinierten Aktion gegen diese vorzugehen (hierzu mein Blogbeitrag). Jede nationale Datenschutzbehörde sollte danach für sich prüfen, inwieweit sie ein Verfahren gegen Google wegen der Verletzung nationalen Datenschutzrechts eröffnet.

Neben der spanischen Datenschutzbehörde (AEPD), die bereits im Juni 2013 ein Prüfverfahren eröffnete, leiten nun auch die französischen Datenschützer ein offizielles Verfahren gegen Google ein.
Continue reading