Internationale Datentransfers: EU Kommission ändert Angemessenheitsbeschlüsse und Standardvertragsklauseln

Gestern habe ich hier im Blog noch darüber berichtet, dass die geltenden Angemessenheitsbeschlüsse für das Schutzniveau personenbezogener Daten in Drittstaaten als auch die Beschlüsse zu den geltenden EU Standardvertragsklauseln überarbeitet wurden und die europäischen Datenschützer (Art. 29 Datenschutzgruppe) im Rahmen dieser Überarbeitung eine interessante Stellungnahme abgegeben haben.

Nun wurde ich darauf aufmerksam gemacht, dass die finalen Durchführungsbeschlüsse der Kommission am 17. Dezember 2016 im Amtsblatt der Europäischen Union veröffentlicht wurden. Zur Änderung der Beschlüsse über die Standardvertragsklauseln und zur Änderung der Beschlüsse über die Angemessenheit des Schutzes personenbezogener Daten in bestimmten Drittländern.

Die an den geltenden Beschlüssen vorgenommenen Ergänzungen betreffen jeweils Artikel, die sich mit den Befugnissen der nationalen Datenschutzbehörden befassen.

In den Beschlüssen zu den Standardvertragsklauseln wird jeweils Artikel 4 angepasst. Die Ausübung der Befugnisse der Datenschutzbehörden, insbesondere im Fall einer Untersagung eines Datentransfers in einen Drittstaat, wird nun nicht mehr von bestimmten Voraussetzungen abhängig gemacht, die erfüllt sein müssen, bevor die Befugnis ausgeübt werden kann. In seinem Schrems-Urteil hatte der Europäische Gerichtshof diese Beschränkung der Befugnisse der nationalen Behörden kritisiert und die Safe Harbor-Entscheidung unter anderem aus diesem Grund für ungültig erklärt. Nach den neuen Artikeln 4 müssen die Mitgliedstaaten die Europäische Kommission nun nur noch informieren, wenn eine Aufsichtsbehörde einen Datentransfer, der auf der Grundlage von Standardvertragsklauseln stattfindet, untersagt.

Wichtig, insbesondere für die Praxis, dürfte der Hinweis sein, dass der Text der Standardvertragsklauseln selbst, also jener Teil der Beschlüsse der Kommission, der von den Parteien, die Daten austauschen, zu unterzeichnen ist, nicht abgeändert wird. Die Änderungen beziehen sich nicht auf den Vertrag selbst, sondern auf das dahinterliegende System der Überwachung, Prüfung und Durchsetzung der europäischen Regelungen durch die nationalen Behörden.

Eine solche angepasste Regelung findet sich nun auch in den jeweiligen Angemessenheitsentscheidung der Kommission zum Schutzniveau in Drittstaaten. Dort wird jeweils Artikel 3 angepasst. Zudem wird jedoch in einem neuen Artikel 3a die Kommission dazu verpflichtet, die Entwicklungen in der Rechtsordnung des jeweiligen Drittstaates laufend zu überwachen, die die Funktionsweise der jeweiligen Angemessenheitsentscheidung beeinträchtigten könnten. Zudem werden die Kommission aber auch die Mitgliedstaaten dazu verpflichtet, sich gegenseitig zu unterrichten, wenn Anhaltspunkte dafür vorliegen, dass Eingriffe der Behörden des jeweiligen Drittstaates in das Recht von Privatpersonen den Schutz ihrer personenbezogenen Daten über das absolut notwendige Maß hinausgehen und/oder dass kein wirksamer Rechtsschutz vor derartigen Eingriffen in den Drittstaat besteht.

Europäische Datenschützer: Geltende Angemessenheitsbeschlüsse für Drittstaaten wohl ungültig

Wie hier im Blog berichtet, werden derzeit sowohl die geltenden Angemessenheitsentscheidungen der Europäischen Kommission für das Schutzniveau in Drittstaaten als auch die Beschlüsse zu den geltenden EU-Standardvertragsklauseln überarbeitet. Hintergrund dieser Anpassungen ist das Urteil des EuGH im Fall Schrems (C-362/14).

Dieser Prozess scheint dem Grunde nach bereits abgeschlossen zu sein. Denn im zuständigen Art. 31 Ausschuss haben die Mitgliedstaaten schon über die Entwürfe zur Anpassung der geltenden Beschlüsse (positiv) abgestimmt. Leider sind die neu gefassten Beschlüsse immer noch nicht veröffentlicht. Mir selbst liegen nur die Entwürfe vor, über die im Art. 31 Ausschuss abgestimmt wurde, die dann aber wieder von der Webseite entfernt wurden. Über die Ergänzungen in den jeweiligen Beschlüssen habe ich hier berichtet.

Im Zuge der Beratungen zu den Änderungen an den geltenden Beschlüssen wurde auch die Art. 29 Datenschutzgruppe um eine Stellungnahme gebeten. Diese Stellungnahme ist hier abrufbar (pdf).

Zunächst kritisieren die Datenschützer die sehr kurz bemessene Frist, in der sie zu den Änderungen der Beschlüsse Stellung nehmen sollen. Dies vor allem aus dem Grund, weil die Änderungen die Rechte der Datenschutzbehörden betreffen.

Danach weisen die Datenschützer darauf hin, dass die Kommission mit den Anpassungen den Zweck verfolge, die Vorgaben des EuGH im Schrems-Urteil vollständig umzusetzen. Jedoch bemängeln die Datenschützer, dass die vorgeschlagenen Änderungen gerade keine vollständige Umsetzung der Kritik des EuGH darstellen. Zwar sollen die Befugnisse der Behörden zur Untersagung von Datentransfers nun nicht mehr von bestimmten Bedingungen abhängig gemacht werden. Dies war jedoch nur ein Grund, warum der EuGH die Safe Harbor-Entscheidung für ungültig erklärte.

Daneben wurde die Entscheidung gerade auch deshalb aufgehoben, weil die Kommission keine Feststellungen dazu traf, dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“. Die Datenschützer weisen darauf hin, dass diese erforderlichen Feststellungen ebenfalls nicht in anderen, derzeit gültigen, Angemessenheitsentscheidungen für Drittstaaten wie die Schweiz, Kanada oder Israel enthalten sind und diese Entscheidungen daher wohl nicht die Anforderungen des EuGH erfüllen und in der Konsequenz, falls sie angefochten werden würden, wohl auch für ungültig erklärt werden könnten.

The assessment made by the Commission as to the compliance with this requirement does not seem sufficient to meet the requirements stated by the CJEU in the Case C-362/147 and could jeopardize their legal validity possibly leading to a referral to a competent Court.

Die Art. 29 Gruppe fordert die Kommission daher auf, die erforderlichen Feststellungen für die betreffenden Drittländer so schnell wie möglich vorzunehmen.

Europäische Datenschützer: Rolle des Datenschutzbeauftragten in der Datenschutz-Grundverordnung

Die Art. 29 Datenschutzgruppe, der Zusammenschluss der nationalen Datenschutzbehörden in Europa, hat einen Leitfaden zu der Figur des Datenschutzbeauftragten in der ab Mai 2018 anwendbaren Datenschutz Grundverordnung beschlossen und veröffentlicht (pdf).

Die europäischen Datenschützer werden in Zukunft weitere Leitlinien zu verschiedenen Themen der Datenschutz-Grundverordnung (DSGVO) veröffentlichen. Bei diesen Leitlinien handelt es sich nicht um die bereits bekannten, teilweise sehr ausführlichen, Stellungnahmen der Datenschützer. Die Leitlinien sind eher als grober Überblick und Richtschnur für die Praxis zu sehen und geben einen Eindruck davon, wie die europäischen Datenschutzbehörden verschiedene Bestimmung der Datenschutz-Grundverordnung interpretieren. Aus Sicht der Praxis sind diese Leitlinien in jedem Fall ein wertvolles Instrument und sollten bei der Arbeit im Datenschutzrecht und der anstehenden Umsetzung der Vorgaben der Datenschutz-Grundverordnung zumindest zur Kenntnis genommen werden.

In ihrem Leitfaden zum Datenschutzbeauftragten stellen die Datenschützer zunächst fest, dass ihrer Auffassung nach Datenschutzbeauftragte nicht persönlich für die Nichteinhaltung der Datenschutz Grundverordnung durch den Verantwortlichen oder den Auftragsverarbeiter haftet. Nach Auffassung der Datenschützer sei es klar, dass allein der verantwortliche oder der Auftragsverarbeiter verpflichtet sind und nachweisen müssen, dass eine Datenverarbeitung den Vorgaben der Datenschutz Grundverordnung entspricht. Hierzu verweisen sie auf Art. 24 Abs. 1 DSGVO, der die allgemeine Rechenschaftspflicht etabliert.

Des Weiteren erläutern die Datenschützer in ihrem Leitfaden näher, unter welchen Voraussetzungen Datenschutzbeauftragter verpflichten zu bestellen ist, Art. 37 Abs. 1 DSGVO. Interessant ist der Hinweis, dass die Datenschützer empfehlen, die interne Vor-Prüfung, ob bei einem Verantwortlichen oder Auftragsverarbeiter ein Datenschutzbeauftragter zu bestellen ist, dokumentierbar durchgeführt werden sollte, um diese Prüfung im Zweifelsfall nachweisen zu können.

Nach Art. 37 Abs. 1 lit. b) DSGVO muss ein Verantwortliche oder ein Auftragsverarbeiter auf jeden Fall einen Datenschutzbeauftragten benennen, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Die Datenschützer interpretieren den Begriff der „Kerntätigkeit“ im Sinne des Kerngeschäfts, dessen Durchführung für den Verantwortlichen oder Auftragsverarbeiter erforderlich ist, um seine Ziele zu erreichen. Nach Auffassung der Datenschützer sollte der Begriff „Kerntätigkeit“ jedoch nicht zu eng verstanden werden und daher auch solche Aktivitäten umfassen, die untrennbar Teil der Aktivität des Verantwortlichen oder Auftragsverarbeiters sind. Hier wird die Leitlinie leider etwas unbestimmt, auch wenn die Datenschützer versuchen, mit konkreten Beispielen mehr Licht in ihre Aussagen zu bringen. Nicht als Kerntätigkeit stufen die Datenschützer richtigerweise Verarbeitungen im Zusammenhang mit der Verwaltung oder auch der Bezahlung der Mitarbeiter und auch des IT-Supports ein.

Nach Art. 37 Abs. 1 lit. b) DSGVO erfordert zudem eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“. Die Datenschützer weisen darauf hin, dass der Begriff „umfangreich“ nicht konkret mit einer Zahl hinterlegt werden könne. Die Datenschützer benennen einige Faktoren, die ihrer Ansicht nach bei der Prüfung, ob eine umfangreiche Verarbeitung gegeben ist, berücksichtigt werden sollten. Hierzu sollen unter anderem die Zahl der betroffenen Personen, der Umfang der Datensätze oder auch die Dauer der Datenverarbeitung und ihre geographische Ausdehnung Berücksichtigung finden. Zwar verweisen die Datenschützer in ihrer Leitlinie auf Erwägungsgrund 91, in dem es heißt:

Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.

Jedoch scheinen die Datenschützer die dortige Begründung nicht unbedingt auf den Themenkomplex Datenschutzbeauftragter anwenden zu wollen. Die Ablehnung der Übertragung lässt sich meines Erachtens kritisieren, da kein Grund dafür ersichtlich ist, warum die Informationen Erwägungsgrund 91, in denen es genau um die Frage geht, wann eine Verarbeitung umfangreich bzw. eben nicht umfangreich ist, nicht auch hier im Rahmen der Frage zu berücksichtigen sind, wann ein Datenschutzbeauftragter zu bestellen ist. Betrachtet man Erwägungsgrund 91, so ist auch klar, dass der von den Datenschützern benannte Faktor „Zahl der betroffenen Person“ im Ergebnis keine größere Rolle spielt, der nach Erwägungsgrund 91 genau dieser Faktor unerheblich ist, selbst wenn etwa 100.000 Patientendatensätze von einem Arzt verarbeitet werden.

Mit Blick auf den Begriff „regelmäßige und systematische Überwachung“ gehen die Datenschützer davon aus, dass dieser auf der einen Seite selbstverständlich das online Trekking oder die Profilbildung im Internet, etwa für verhaltensbasierte Werbung umfasst. Daneben sind aber auch Überwachungsmethoden umfasst, die nicht im Internet sondern in der „Offline“-Welt stattfinden.

Zu den Anforderungen an die Person des Datenschutzbeauftragten selbst (Art. 37 Abs. 5 DSGVO) halten die Datenschützer fest, dass die Begriffe „berufliche Qualifikation“ und „Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis“ in der DSGVO nicht näher umschrieben sind. Nach Auffassung der europäischen Datenschützer ist es jedoch ein maßgebliches Element, dass der Datenschutzbeauftragte Fachwissen im nationalen und europäischen Datenschutzrecht, in der Datenschutzpraxis und zusätzlich ein fundiertes Verständnis der DSGVO selbst haben muss.

Die Leitlinien der Datenschützer befassen sich noch mit vielen weiteren Themen rund um den Datenschutzbeauftragten, insbesondere auch mit seinen gesetzlich festgelegten Aufgaben und seiner Stellung beim Verantwortlichen oder Auftragsverarbeiter.

Entwurf der ePrivacy-Verordnung: Erste Anmerkungen

Auf der Webseite von politico.eu wurde gestern ein Entwurf für eine neue ePrivacy-Verordnung der Europäischen Kommission veröffentlicht (pdf). Diese Verordnung soll die bisher geltende Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG in der Fassung durch RL 2009/136/EG) ersetzen und inhaltlich mit der bereits in Kraft getretenen Datenschutz-Grundverordnung abstimmen.

Ob es sich bei dem nun veröffentlichten Entwurf tatsächlich um den letzten Stand handelt oder wie am Ende der offiziell veröffentlichte Entwurf für eine ePrivacy-Verordnung (ePrivacy-VO) aussieht, lässt sich momentan noch nicht sagen. Daher sollte man in jedem Fall im Hinterkopf behalten, dass es auch noch inhaltliche Änderungen an diesem Entwurf geben kann. Nichtsdestotrotz möchte ich nachfolgend einige interessante Aspekte der vorgeschlagenen Verordnung ansprechen.

Verhältnis zur Datenschutz-Grundverordnung (DSGVO)

Sowohl aus den Erwägungsgründen (5 und 7) als auch aus den Artikeln des Entwurfs (insbesondere Art. 1 Abs. 3) wird deutlich, dass die geplante ePrivacy-VO die speziellere Regelung gegenüber der DSGVO sein wird. Soweit also der Anwendungsbereich der ePrivacy-VO eröffnet ist, tritt die DSGVO zurück. Da die ePrivacy-VO jedoch weit weniger umfassende Regelungen trifft als die DSGVO, werden viele Vorgaben der DSGVO die Lücken in der ePrivacy-VO füllen. Dies betrifft etwa die Rechte der Betroffenen (vgl. Ziffer. 1.2. ePrivacy-VO).

Keine Regelung zur Vorratsdatenspeicherung

Ausdrücklich macht die Kommission in ihren Verordnungsentwurf klar, dass sie keine spezifischen Vorgaben zu einer Speicherung von Daten auf Vorrat vorsieht (Ziffer 1.3.; am Ende). Die Kommission stellt doch gleichzeitig klar, dass die Mitgliedstaaten weiterhin die Möglichkeit besitzen, nationale Regeln zu einer Vorratsdatenspeicherung beizubehalten oder zu kreieren.

Anwendungsbereich der ePrivacy-VO

Nach Art. 2 Abs. 1 soll die Verordnung für die Verarbeitung elektronischer Kommunikationsdaten im Zusammenhang mit der Bereitstellung und Benutzung elektronischer Kommunikationsdienste gelten. Hiervon umfasst sind nach der Begriffsbestimmung in Art. 4 Abs. 2 lit. (b) sowohl Inhalts- als auch Metadaten.

Wichtig ist zudem der Hinweis darauf, dass sich der Anwendungsbereich nach Art. 2 Abs. 1 auch allein auf „Informationen“ erstreckt, die sich auf die Endgeräteinrichtungen von Endnutzern beziehen. Umfasst sind damit von der Verordnung also nicht nur klassische Kommunikationsdaten.

Räumlich soll die ePrivacy-VO, den Regelungen der DSGVO entsprechend, einen weiten Anwendungsbereich haben (vergleiche Art. 3). Insbesondere ist sie anwendbar auf die Verarbeitung elektronischer Kommunikationsdaten im Zusammenhang mit der Bereitstellung von elektronischen Kommunikationsdiensten in der Europäischen Union, unabhängig davon, ob die Verarbeitung selbst in der Europäischen Union stattfindet oder nicht. Der räumliche Anwendungsbereich erstreckt sich auch auf den Schutz von Informationen bezogen auf Endgeräte von Nutzern, die sich in der Europäischen Union befinden (vgl. Art. 3 Abs. 1 lit (a)).

Räumlich ist die ePrivacy-VO auch auf eine Verarbeitung elektronischer Kommunikationsdaten anwendbar, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste außerhalb der Europäischen Union an Endnutzer in der Europäischen Union steht. Auch diese Regelung erinnert an die neuen Vorgaben der DSGVO (vgl. Art. 3 Abs. 1 lit. (b).

Neue Pflichten für OTT-Dienste

Im Rahmen der Diskussionen zu der Neuregelung der ePrivacy-VO wurde stets auch eine Erweiterung des Anwendungsbereichs auf sogenannte OTT-Dienste erörtert. Diese Erweiterung soll nun tatsächlich mit der ePrivacy-VO kommen. Nach Auffassung der Kommission (siehe Erwägungsgrund 13) hat die bisherige Situation, dass Anbieter von over-the-top-Diensten nicht den Pflichten der bisher geltenden ePrivacy-Richtlinie Unterlagen, dazu geführt, dass ein unzureichender Schutz der Vertraulichkeit der Kommunikation existierte. Aus diesem Grund müsse der Anwendungsbereich der existierenden Richtlinie mit der nun vorliegenden Verordnung erweitert werden.

Internet der Dinge und Industrie 4.0

Ausdrückliche Erwähnung findet in den Erwägungsgründen (14) auch das Internet der Dinge vernetzte Geräte und Maschinen. Der Fokus der Kommission liegt im Rahmen dieses Entwurfs jedoch nicht nur auf eine Kommunikation zwischen Maschine und einem Endbenutzer sondern ausdrücklich auch auf der Kommunikation zwischen zwei Maschinen. Informationen, die im Rahmen der vernetzten Industrie und auch verletzter Haushaltsgeräte zwischen zwei Geräten ausgetauscht werden, können auch personenbezogene Daten im Sinne der DSGVO enthalten.

Um dem Schutz der Privatsphäre und auch der vertraulichen Kommission größtmögliche Rechnung zu tragen stellt die Kommission klar, dass die ePrivacy-VO auch für die Maschine-Maschine-Kommunikation und damit also auch für den Informationsaustausch zwischen vernetzten Geräten selbst, etwa im Rahmen der Industrie 4.0, Anwendung findet.

„Cookie-Regelung“

Eines der umstrittensten Themen bereits unter der geltenden ePrivacy-Richtlinie und dann auch im Zuge der Diskussion um deren Überarbeitung war die Frage nach dem regulatorischen Umgang mit Cookies und anderen Techniken, mit denen auf Informationen in Endgeräten von Nutzern zugegriffen wird bzw. Informationen auf Endgeräten von Nutzern abgelegt werden.

Vorgaben hier zu finden sich in Art. 8 ePrivacy-VO. Grundsätzlich soll nach Art. 8 Abs. 1 verboten sein, die Rechen- und Speicherleistung eines Endgerätes zu nutzen und auch Informationen über Endgeräte eines Endnutzers (einschließlich Informationen über Software und Hardware) zu erheben.

Von diesem Grundsatz gibt es einige wenige Ausnahmen. Unter anderem dann, wenn es erforderlich ist für den alleinigen Zweck der Übertragung der Kommunikation über ein elektronisches Kommunikationsnetzwerk oder aber wenn der Endnutzer zuvor dieser Datenerhebung oder der Nutzung der Speicherkapazität seines Endgeräts zugestimmt hat.

Nicht erforderlich ist eine Einwilligung beim Einsatz von Cookies auch dann, wenn ihre Verwendung für die Nutzung eines bestimmten Dienstes erforderlich ist und ausdrücklich von dem Endbenutzer gewünscht wird. In Erwägungsgrund 25 wird beispielhaft ein Cookie zur Personalisierung einer Benutzeroberfläche erwähnt, insbesondere etwa auch um Spracheinstellungen zu speichern. Hierzu gehören nach dem Erwägungsgrund 25 auch solche Cookies, die die Eingaben von Nutzer speichern, während dieser über mehrere Webseiten hinweg Formulare ausfüllt.

Insgesamt sind die Erwägungsgründe 25 bis 28 durchaus lesenswert. In Erwägungsgrund 26 wird konstatiert, dass derzeit sich die Nutzer im Internet bei der Erteilung von Einwilligungen einer Informationsüberflutung gegenübersehen und daher zum Einsatz zentralisierter, transparenter und benutzerfreundlicher Einstellungen zur Privatsphäre „ermutigt“ werden soll. Grundsätzlich wird auch klargestellt, dass die Einstellungen im Browser oder in der Anwendung durch einen Nutzer als Einwilligung in die Verarbeitung von Daten angesehen werden kann.

Interessant ist die neue Regelung in Art. 8 Abs. 2. Diese befasst sich mit dem oben bereits erwähnten erweiterten Anwendungsbereich der ePrivacy-VO auf die Maschinen-Maschinen-Kommunikation und dem Internet der Dinge. Nach Art. 8 Abs. 2 ist der Erhebung von Daten (Achtung: nicht etwa nur elektronischen Kommunikationsdaten), die von Endgeräten ausgesendet werden, um eine Verbindung mit einem anderen Gerät oder einem Netzwerk herzustellen, ebenfalls grundsätzlich ausgeschlossen. Auch hier bestehen jedoch Ausnahmen. Die Erhebung solcher Daten ist dann gestattet, wenn dies ausschließlich dem Zweck einer Verbindungsaufbau zwischen den Geräten dient. Außerdem ist Erhebung und Nutzung solcher Daten auch für Werbezwecke möglich (Art. 8 Abs. 2 lit. (b)), jedoch ist hierfür erforderlich, dass ein klarer und deutlicher Hinweis über die Umstände der Erhebung, die Zwecke, den Verantwortlichen und jene Maßnahmen erteilt wird, die Endbenutzer der Endgeräte unternehmen können, um den Erhebungsumfang zu verringern. Sollten solche Daten für Werbezwecke oder das Pro feilen genutzt werden, so hat der Nutzer ein Widerspruchsrecht wie dies in Art. 21 DSGVO vorgesehen ist.

Zusätzlich, und dies ist insbesondere auch für Unternehmen im Bereich der Industrie 4.0 und der vernetzten Geräte interessant, müssen angemessene technische und obligatorische Maßnahmen getroffen werden um ein angemessenes Sicherheitsniveau zu schaffen. Auch hier verweist der Verordnungsentwurf auf die DSGVO, nämlich Art. 32.

Beschränkungen durch die Mitgliedstaaten

Nach Art. 11 ePrivacy-VO  ist es den Mitgliedstaaten jedoch auch gestattet, in gewissen Grenzen die Rechte und Pflichten welche in den Artikeln 5,6, 7 und 8 vorgesehen sind zu begrenzen. Diese Möglichkeit der Beschränkung erinnert ebenfalls an jene in der DSGVO. Auch hier dürfte sich da das Problem ergeben, dass es zur abweichenden Regelung in den verschiedenen Mitgliedstaaten kommen kann, und der Harmonisierungseffekt der Verordnung zumindest nur bis zu einem gewissen Grad erreicht wird.

Einwilligung

Was die Einwilligung anbelangt, so verweist die ePrivacy-VO  auf die Vorgaben der DSGVO. Dennoch sieht Art. 9 ePrivacy-VO einige Spezialitäten bei der Einwilligung vor. So wird etwa ausdrücklich darauf hingewiesen, dass die Einwilligung auch durch die Nutzung angemessener technischer Einstellungen von Softwareprodukten erteilt werden kann, die den Zugang zum Internet ermöglichen. Hier scheint die Europäische Kommission also insbesondere Webbrowser im Blick zu haben.

Zudem sollen Nutzer, die in die Verarbeitung elektronischer Kommunikationsdaten eingewilligt haben, stets die Möglichkeit haben, ihre Einwilligung mit Wirkung für die Zukunft zu widerrufen und zusätzlich in periodischen Intervallen von 6 Monaten diese Widerrufsmöglichkeit haben. Diese letzte Verpflichtung erscheint jedoch etwas unverständlich, da ja ohnehin stets eine Widerrufsmöglichkeit existiert. Die Vorgabe einer periodischen Widerrufsmöglichkeit alle 6 Monate lässt sich daher eventuell nur so verstehen, dass das Unternehmen alle 6 Monate den jeweiligen Nutzer darauf hinweisen muss, dass er seine Einwilligung widerrufen kann.

Privacy by Design

In Erwägungsgrund 28 wird vorgesehen, dass Softwareanbieter dazu verpflichtet werden sollten, Software am Markt nur mit Privatsphäre-freundlichen Einstellungen zu vertreiben. Insbesondere hiervon umfasst sind Anbieter von Webbrowsern oder andere Software, mit denen man im Internet surfen kann. Zudem möchte die Kommission vorsehen, dass Nutzer beim 1. Aktivieren der Software ihre Privatsphäre Einstellungen wählen müssen. Nimmt ein Nutzer dann keine Einstellungen vor, soll der Webbrowser die Voreinstellung besitzen, dass er jegliche Speicherung durch Cookies von Dritten oder andere Art von Zwecken nicht gestattet.

In Art. 10 befasst sich die ePrivacy-VO ausdrücklich mit dem Prinzip des Privacy by Design. Nach Abs. 1 müssen die Einstellungen aller Komponenten eines Endgerätes, welches im europäischen Markt vertrieben wird, als Grundeinstellung vorsehen, dass Dritte keine Informationen auf dem Endgerät speichern können oder Informationen aus diesem Endgerät erheben können. Für Softwareanbieter sieht Abs. 2 eine ähnliche Verpflichtung vor.

Bei den Verpflichtungen des Art. 10 fragt man sich freilich, welche Pflichten Adressaten hier angesprochen sind. Denn bei dem Hersteller eines Endgerätes oder bei dem Softwarehersteller muss es sich nicht stets um den Anbieter eines elektronischen Kommunikationsdienstes handeln. Der Anwendungsbereich der ePrivacy-VO erstreckt sich nach ihm Art. 2 Jahr aber grundsätzlich nur auf die Verarbeitung elektronischer Kommunikationsdaten oder aber zumindest die Verarbeitung von „Informationen“ in Bezug auf Endgeräte. Die in Art. 10 beschriebenen Pflichten setzen aber bereits in der Produktionskette eher an. Man wird hier abwarten müssen, ob es noch eine entsprechende Anpassung des Art. 10 gibt.

Vorgaben für Werbung

Wie bisher wird auch die ePrivacy-VO gewisse Regelungen zur Nutzung elektronischer Kommunikationsdienste für Werbezwecke vorsehen. Grundsätzlich soll nach Art. 16 Abs. 1 die Nutzung elektronischer Kommunikationsdienste für den Zweck der Übertragung von Direktwerbung nur nach vorheriger Einwilligung des Endnutzers gestattet sein.

Art. 16 Abs. 2 macht hiervon eine Ausnahme für den bereits jetzt bekannten Fall, dass eine Kundenbeziehung zwischen den werbenden und dem Endnutzer existiert. Ausdrücklich wird jedoch darauf Bezug genommen dass es sich um ein „Kunden“ handeln muss und etwa ein Unternehmen von diesem elektronische Kontaktdaten im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung erhalten hat. Dieser Schritt der Erhebung der elektronischen Kontaktdaten unterliegt nach Art. 16 Abs. 2 der DSGVO und muss den Vorgaben eben dieser entsprechen. Grundsätzlich hat der Kunde dann auch jederzeit ein Recht, der Direktwerbung zu widersprechen.

Aufsichtsbehörden und Kooperation

Zudem ist noch darauf hinzuweisen, dass Art. 19 ePrivacy-VO vorsieht, dass die Regelungen des Kapitels 2 der ePrivacy-VO durch die nationalen Datenschutzbehörden überwacht werden sollen. Art. 19 Abs. 2 verweist ja ausdrücklich auf die Aufsichtsbehörden, welche auch für die Überwachung der Einhaltung der DSGVO zuständig sind.

Diese ausdrückliche Zuweisung ist insbesondere deshalb interessant, weil sie einmal inhaltlich wichtige Pflichten der geplanten ePrivacy-VO umfasst, wie die Vorgaben zur Einwilligung, zur Zulässigkeit der Verarbeitung elektronischer Kommunikationsdaten, zum Einsatz von Cookies und anderen ähnlichen Technologien oder auch zu den Vorgaben des Privacy by Design. In Deutschland wären dann alle Landesaufsichtsbehörden und nicht etwa nur exklusiv die Bundesbeauftragte für den Datenschutz im Rahmen ihrer Zuständigkeit für Telekommunikationsunternehmen, für die Überwachung und Durchsetzung des Kapitels II der ePrivacy-VO zuständig.

Bußgelder

In Art. 25 werden die Vorgaben für die Verhängung von Bußgeldern beschrieben. Diese sind in weiten Teilen an jene Regelungen der DSGVO angelehnt. Dies bedeutet gleichzeitig auch, dass die Höhe der möglichen Bußgeldbeträge auf 4 % des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres eines Unternehmens festgesetzt wird.

Ab wann ist die ePrivacy-VO anwendbar?

Auf diese Frage findet sich in dem Entwurf noch keine Antwort. Im Unterschied zu DSGVO ist jedoch in Art. 31 Abs. 2 vorgesehen, dass die ePrivacy-VO 6 Monate nach dem Datum des Inkrafttretens anwendbar sein soll. Die Übergangszeit ist hier also deutlich kürzer bemessen als mit Blick auf die zwei Jahre bei der DSGVO. Dies ist im Endeffekt aber auch konsequent, da es der Plan der europäischen Kommission sein wird, die DSGVO und auch die neue ePrivacy-VO dem Grunde nach zeitgleich zur Anwendung zu bringen. Die kürzere Frist zur Umstellung auf die neuen Vorgaben der ePrivacy-VO bedeutet für Unternehmen aber gleichzeitig auch erhöhten Anpassungsbedarf und –druck.

EU-Minister sollen über Gewährleistungsrechte beim Kauf vernetzter Geräte entscheiden

Am 9. Dezember 2015 hat die europäische Kommission Entwürfe für zwei verschiedene Richtlinien zum einen über bestimmte vertragliche Aspekte des online waren Handels (COM(2015) 635) und zum anderen über bestimmte vertragliche Aspekte der Bereitstellung digitaler Inhalte (COM(2015) 634)  veröffentlicht. Insbesondere der 2. Richtlinienvorschlag zur Bereitstellung digitaler Inhalte bietet interessante Neuerungen zur aktuellen Rechtslage. Dort sind unter anderem Regelungen zu Situationen vorgesehen, in denen der Zugang bzw. die Bereitstellung personenbezogener Daten oder auch „anderer Daten“ als Gegenleistung für die Bereitstellung digitaler Inhalte anerkannt werden soll (vgl. Art. 3 Abs. 1).

Die beiden Richtlinie Entwürfe werden nun in den verschiedenen europäischen Institutionen beraten. Unter anderem auch im Rat der Europäischen Union.

In einem relativ aktuellen Dokument der Ratspräsidentschaft an den Rat vom 1. Dezember 2016 (14827/16, pdf) wird der aktuelle Diskussionsstand im Rat übersichtlich zusammengefasst und es werden auch Fragen an die einzelnen Mitgliedstaaten zu besonderen Schwerpunkten und noch offenen bzw. streitigen Themen gestellt. Zwei dieser offenen Punkte möchte ich nachfolgend kurz besprechen.

Welche Gewährleistungsregeln sollen bei vernetzten Geräten gelten?

In ihrem ersten Fragekomplex beleuchtet die Ratspräsidentschaft intelligente Haushaltsgeräte (Stichworte sind hier „Internet der Dinge“, „smart cars“ oder auch „smart homes“). Diese intelligenten und vernetzten Geräte bieten bereits derzeit und mit Sicherheit auch in Zukunft bis zu einem gewissen Grad digitale Inhalte an. Als Beispiel wird etwa der intelligente Kühlschrank angeführt, der seinen Inhalt selbst überprüft und eine Einkaufsliste für fehlende Gegenstände erstellt.

Zwischen den Mitgliedstaaten im Rat ist umstritten, welche Gewährleistungsvorschriften aus den beiden zuvor benannten Richtlinienvorschlägen gelten sollen, wenn es bei so einem intelligenten Gerät, man denke hier etwa auch an vernetzte Fahrzeuge, zu einem Fehler kommt bzw. ein Mangel auftritt. Sollen in diesem Fall die Regelungen für die Bereitstellung digitaler Inhalte gelten oder doch die Regelungen für den Verkauf normaler (also physischer) Waren?

Der Richtlinienvorschlag der Kommission zur Bereitstellung digitaler Inhalte sieht vor, dass die Regelungen der Richtlinie nicht für digitale Inhalte gelten sollen, „die derart in einer Ware integriert sind, dass sie fester Bestandteil der Ware sind und ihre Funktionen den Hauptfunktionen der Ware untergeordnet sind“ (Erwägungsgrund 11). Nach Auffassung der Ratspräsidentschaft würde dies bedeuten, dass wohl zumeist die normalen Regeln zu Aspekten des Verbrauchsgüterkaufs und der Garantien für Verbrauchsgüter gelten würden (Richtlinie 1999/44/EG).

Innerhalb der Arbeitsgruppe des Rates für Zivilrecht wurden vor diesem Hintergrund drei mögliche Optionen für ein zukünftiges Vorgehen und gesetzliche Regelungen beraten:

  • Die normalen Regeln zu Aspekten des Verbrauchsgüterkaufs auf die in den Produkten integrierten, digitalen Inhalte anzuwenden.
  • Eine Trennung in der Form vorzunehmen, dass die Regeln zum Verbrauchsgüterkauf auf die physische Ware selbst und die neuen Regeln der vorgeschlagenen Richtlinie auf die in dem Gerät enthaltenen digitalen Inhalte anwendbar sein.
  • Die neuen Vorgaben zu digitalen Inhalten insgesamt auf das vernetzte Gerät anzuwenden, jedoch mit der Ausnahme, dass der Verkäufer die Möglichkeit hat darzulegen, dass der Mangel sich allein aus dem (physischen) Produkt selbst ergibt und dann die Regeln zum Verbrauchsgüterkauf anwendbar wären.

Nach Aussage der Ratspräsidentschaft fand die zweite Option (Trennung) wohl kaum Zuspruch. Für die beiden anderen Optionen gab es jeweils für sprechende Stimmen der Mitgliedstaaten, ohne dass jedoch bisher eine eindeutige Mehrheit erkennbar wäre.

Vor diesem Hintergrund bittet der Rat auf politischer Ebene (also durch die Minister der Mitgliedstaaten) zu entscheiden, welche Option für weitere Diskussionen in der Arbeitsgruppe die Grundlage sein soll.

Die Entscheidung der Minister und damit die zukünftigen Diskussionen sind für die Wirtschaft in Europa nicht trivial. Gerade wenn man bedenkt, wie viele vernetzte Geräte ist derzeit bereits gibt und wohl in Zukunft auch auf dem Markt vorhanden sein werden. Man sollte sich dabei auf vor Augen halten, dass es hier eben nicht nur um kleine Geräte im eigenen zu Hause geht, sondern grundsätzlich auch etwa um vernetzte Fahrzeuge.

Nach Auffassung der Ratspräsidentschaft würde die erste Option, also auf vernetzte Geräte grundsätzlich die Regelung des Verbrauchsgüterkaufs anzuwenden, aus Sicht der Verbraucher leichter vorhersehbare Rechte bereithalten. Jedoch würden natürlich gleichzeitig auch die spezifischen Vorgaben für digitale Inhalte unter der vorgeschlagenen Richtlinie der europäischen Kommission dann nicht anwendbar sein.

Die dritte vorgeschlagene Option bietet aus Sicht der Ratspräsidentschaft eine flexiblere Möglichkeit diejenigen Regelungen zur Anwendung zu bringen, die in der ehemaligen Situation am besten geeignet sind. Dem Verkäufer verbliebene immer noch die Möglichkeit darzulegen, dass in einem konkreten Fall die normalen Regeln zum Verbrauchsgüterkauf gelten würden, wenn etwa ein Mangel allein das physische Gerät an sich betrifft.

Was genau sind „andere Daten“ und sollen diese als Gegenleistung anerkannt werden?

Im zweiten Themenkomplex des Arbeitsdokumentes befasst sich die Ratspräsidentschaft mit dem Begriff der „anderen Daten“ aus dem Richtlinienvorschlag zur Bereitstellung digitaler Inhalte. Einleitend wird darauf hingewiesen, dass bereits in der Vergangenheit im Rat Diskussion zum Verhältnis zwischen der vorgeschlagenen Richtlinie und der ab Mai 2018 anwendbaren Datenschutz-Grundverordnung (DSGVO) geführt wurden. Das Zusammenspiel der beiden Rechtsinstrumente sei nach Auffassung der Ratspräsidentschaft sehr komplex und habe weitere Probleme zutage gefördert, die noch näher behandelt werden müssten. Dies auch vor dem Hintergrund, da der vorgeschlagene Richtlinienentwurf neben den „anderen Daten“ auch personenbezogene Daten erwähnt und ist daher ein Unterschied zwischen beiden Datenarten zu geben scheint.

Zwar existiert bereits derzeit für gewisse Fragen ein Prüfauftrag an den juristischen Dienstes des Rates. So hat die deutsche Delegation im Rat den juristischen Dienst um eine Stellungnahme dazu gebeten, auf welcher Rechtsgrundlage der DSGVO personenbezogene Daten verarbeitet werden dürfen, wenn diese eine Gegenleistung für die Bereitstellung digitaler Inhalte darstellen, in der DSGVO jedoch in Art. 7 Abs. 4 ein Kopplungsverbot für die Einwilligung vorgesehen ist.

Auch hinsichtlich dieses Themenkomplexes, und ohne Antworten etwa des juristischen Dienstes vorgreifen zu wollen, bittet jedoch die Ratspräsidentschaft die Minister der Mitgliedstaaten um eine Vorgabe dazu, ob die Bereitstellung von „anderen Daten“ tatsächlich als eine Gegenleistung im Rahmen des Entwurfs der Richtlinie angesehen werden soll.

Die Ratspräsidentschaft erwähnt in ihrem Dokument noch einige Beispiele der „anderen Daten“, die von der Europäischen Kommission angeführt werden. So sollen zu den „anderen Daten“ zum Beispiel solche Daten gezählt werden die durch den jeweiligen Anbieter in irgend einer Form verwertet werden können, wie zum Beispiel Landschaftsbilder, Liedtexte oder auch anonymisierte Daten über Gruppen von Personen, die sich nicht auf identifizierbare einzelne Personen beziehen.

Jedoch weist die Ratspräsidentschaft darauf hin, dass sich in Diskussionen, unter anderem auch mit Experten ergeben hat, dass in den meisten Fällen solche Daten, die von dem Verbraucher zur Verfügung gestellt werden, diese auch ein Personenbezug aufweisen werden. Stellt sich da die Frage, ob es im Anwendungsbereich der vorgeschlagenen Richtlinie faktisch überhaupt „andere Daten“ geben kann.

In jedem Fall bringe die vorgeschlagene Unterscheidung im Richtlinienentwurf zwischen personenbezogenen Daten und anderen Daten Schwierigkeiten in der Praxis und damit Rechtsunsicherheit mit sich. Einige Delegationen im Rat seien daher der Auffassung, dass es einer Unterscheidung der beiden Datenkategorien nicht bedürfe. Insgesamt seien die Mitgliedstaaten im Rat aber unentschieden darüber, ob man die Kategorie der „anderen Daten“ im Richtlinienvorschlag beibehalten solle.

Auch dieser zweite Themenkomplex ist für europäische Unternehmen, die vernetzte bzw. intelligente Geräte herstellen und/oder vertreiben, von Relevanz. Denn betrachtet man etwa das Beispiel des intelligenten Autos, gibt es diesbezüglich ja durchaus auch Diskussionen über eine Unterscheidung zwischen direkt personenbezogenen Daten und solchen (rein statistischen) Daten, die keinen Personenbezug aufweisen. Hier könnte man sich also die Frage stellen, ob es sich bei letzteren Informationen um „andere Daten“ handelt und welche Regeln zukünftig für diese Daten gelten sollen.

Referentenentwurf zum BDSG-neu – Kurzanalyse zur zweckändernden Weiterverarbeitung nach § 23 BDSG-neu

In dem nun veröffentlichten Referentenentwurf des Bundesministeriums des Innern (Stand: 23.11.2016) „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“ (PDF) soll u.a. in § 23 BDSG-neu eine Regelung zur Zulässigkeit von (Weiter-)Verarbeitungen personenbezogener Daten zu anderen Zwecken getroffen werden.

Mit Blick auf eine Weiterverarbeitung für andere Zwecke ist durchaus umstritten, ob Mitgliedstaaten im nationalen Recht eine eigene Rechtsgrundlage für diese Weiterverarbeitung schaffen dürfen und ob Art. 6 Abs. 4 DSGVO eine solche Ermächtigung enthält. Die zweckändernde Weiterverarbeitung personenbezogener Daten ist in der datenschutzrechtlichen Diskussion ohnehin ein Dauerbrenner.

Ich habe zu dieser Thematik eine kurze rechtliche Einschätzung erstellt. Abrufbar hier (PDF).

International Data Transfers: New Commission Decisions on Standard Contractual Clauses and Adequacy Decisions

As reported in my blog, the European Commission revised both the current decisions on the EU standard contractual clauses (EU Model Clauses) as well as the adequacy decisions on the level of protection of personal data in third countries. In the course of these adjustments, which the European Commission had to discuss with the representatives of the Member States in the so-called Article 31 Committee, the Commission has, inter alia, stated that the decisions in force concerning the standard contract clauses and also the adequacy of the level of protection in Third countries, in their current version are unlawful.

The two new decisions by the European Commission are based on the judgement of the ECJ in its Safe Harbor ruling (C-362/14). The judges found, inter alia, that current provisions in the decisions for the adequacy in third countries as well as the EU Model Clauses restrict the powers of the national supervisory authorities and such a restriction by the Commission is not allowed. The Commission therefore exceeds its competence with its decisions currently in force.

On 15 November, Article 31 Committee met to discuss and vote on the draft decisions to amend the provisions in force. The Commission’s Decisions for the adaptation of the adequacy decisions and the EU standard contractual clauses were available on the website of the EU Comitology Register last week. Unfortunately, the draft decisions are currently not available any more. I hope that the two decisions will be published shortly on the official website for international data transfers of the European Commission.

According to the summary record of the meeting on 15 November, the Article 31 Committee delivered a positive opinion on the two draft implementing decisions (txt).

In terms of content, the adjustments that are to be made to the respective decisions are quite similar. In each case, the article which makes the exercise of the powers of the supervisory authorities (in particular the prohibition of the transfer of data to a third country) conditional on the fulfillment of certain requirements will be deleted. In the decisions on the standard contract clauses (2001/497/EC, 2010/87/EC) Article 4 is replaced by a revised Article 4. The additional preconditions for the prohibition of data transfers will be deleted and the Member States will now only be obliged to notify the Commission if a supervisory authority forbids the transfer of data to a third country.

No substantive changes are made to the standard contract clauses themselves. Therefore, from my point of view, the standard contract clauses that have been used by companies so far can also be used further. However, one will recognize that recital 11 of decision 2010/87/EC and recital 15 of decision 2001/497/EC which refer to the ban of transfers by the authorities, will not be amended or repealed. Bit still, I think that currently used EU Model Clauses will not be affected.

The amendments to the various adequacy decisions also relate, in particular, to the lifting or replacement of an article which made the prohibition of the transfer of data to the third country subject to certain conditions (in each case Article 3). In addition, there is a new Article 3a which obliges the Commission to monitor continuously the development of the legal situation in the respective third country concerned in order to examine whether such a development affects existing adequacy decisions.

Internationale Datentransfers: Neue Beschlüsse der Kommission zu Standardvertragsklauseln und Angemessenheitsentscheidungen

Wie bereits hier im Blog berichtet, befindet sich die Europäische Kommission derzeit im Prozess der Überarbeitung sowohl von geltenden Beschlüssen zu den EU-Standardvertragsklauseln als auch von Angemessenheitsentscheidungen zum Schutzniveau für personenbezogene Daten in Drittstaaten.

Im Zuge dieser Anpassungen, die die Europäische Kommission im sog. Art. 31 Ausschuss mit Vertretern der Mitgliedstaaten besprechen und von diesen absegnen lassen muss, hat die Kommission unter anderem selbst festgestellt, dass die geltenden Beschlüsse zu den Standardvertragsklauseln und auch der Angemessenheit des Schutzniveaus in Drittstaaten, in ihrer derzeitigen Fassung rechtswidrig sind (hierzu mein Blogbeitrag)

Hintergrund dieser Anpassungen sind die Vorgaben des EuGH in seinem Urteil zu Safe Harbor (C-362/14.) Dort stellten die Richter unter anderem fest, dass derzeit vorhandene Vorgaben in den Beschlüssen die Befugnisse der nationalen Aufsichtsbehörden beschränken und eine solche Beschränkung durch die Kommission nicht erlaubt ist. Mit ihren derzeit noch geltenden Beschlüssen überschreitet die Kommission daher ihre Kompetenz.

Am 15. November hat sich der Art. 31 Ausschuss getroffen, um über die Beschlussentwürfe zur Änderung der geltenden Vorgaben zu beraten und abzustimmen. Die Beschlussentwürfe der Kommission zur Anpassung der Angemessenheitsentscheidungen (txt) und der EU-Standardvertragsklauseln (txt) sind nun abrufbar.

Inhaltlich ähneln sich die Anpassungen, die an den jeweiligen Beschlüssen vorgenommen werden sollen. Es geht jeweils um eine Streichung eines Artikels, der die Ausübung der Befugnisse der Aufsichtsbehörden (insbesondere zur Untersagung von Datentransfers in einen Drittstaat) von gewissen Voraussetzungen abhängig macht. In den Beschlüssen zu den Standardvertragsklauseln (2001/497/EC; 2010/87/EC) werden jeweils die Artikel 4 durch einen überarbeiteten Artikel 4 ersetzt. Die zusätzlichen Voraussetzungen für die Untersagung von Datentransfers werden gestrichen und die Mitgliedstaaten werden nun nur noch dazu verpflichtet, die Kommission zu benachrichtigen, wenn eine Aufsichtsbehörde eine Datenübermittlung in einen Drittstaat untersagt.

An den Standardvertragsklauseln selbst werden keine inhaltlichen Änderungen vorgenommen. Daher wird man davon ausgehen können, dass bislang im Einsatz befindliche Standardvertragsklausen auch weiter genutzt werden können.

Auch die Änderungen der verschiedenen Angemessenheitsbeschlüsse beziehen sich insbesondere auf die Aufhebung bzw. Ersetzung eines Artikels, der die Untersagung von Datenübermittlung in den jeweiligen Drittstaat von gewissen Voraussetzungen abhängig machte (jeweils Artikel 3). Neu hinzu kommt noch ein Artikel 3a, mit dem die Kommission verpflichtet wird, kontinuierlich die Entwicklung der Rechtslage in dem jeweils betroffenen Drittland zu beobachten, um zu prüfen, ob eine solche Entwicklung Auswirkungen auf bestehende Angemessenheitsbeschlüsse hat.

Europäischer Gerichtshof: Klage gegen EU-US Datenschutzschild eingereicht

Die Meldung (u.a. hier bei Reuters) kommt nicht unbedingt überraschend. Beim Gerichtshof der Europäischen Union, genauer gesagt beim „Gericht“, ist eine Nichtigkeitsklage nach Art. 263 AEUV gegen den Angemessenheitsbeschlüsse der Europäischen Kommission zum EU-US Datenschutzschild (Privacy Shield, Durchführungsbeschluss (EU) 2016/1250,) anhängig.

Kläger ist die Digital Rights Ireland Ltd, ist eine Gesellschaft mit beschränkter Haftung aus Irland, die sich mit der Förderung und dem Schutz der Bürger- und Menschenrechte, insbesondere in der Welt der modernen Kommunikationstechnologien, befasst. Das Aktenzeichen der Rechtssache ist T-670/16.

Nach den Informationen auf der Webseite des Europäischen Gerichtshofs wurden die verfahrenseinleitenden Schriftstücke am 16. September 2016 eingereicht. Dass diese Nichtigkeitsklage so kurz nach Veröffentlichung des Kommissionsbeschlusses im Amtsblatt am 1. August 2016 erhoben wurde, hängt damit zusammen, dass für Erhebung von Nichtigkeitsklagen eine Frist von zwei Monaten gilt (Art. 263 Abs. 6).

Erstinstanzlich zuständig ist vorliegend das „Gericht“ (EuG), also nicht der Gerichtshof (EuGH) (Art. 256 Abs. 1 AEUV).

Hinsichtlich möglicher Erfolgsaussichten der Klage lassen sich zu diesem Zeitpunkt keine validen Aussagen treffen. Zudem muss man in einem solchen Verfahren der Nichtigkeitsklage insbesondere die zwei Ebenen der Zulässigkeit und Begründetheit der Klage unterscheiden.

Im Fall der hier eingelegten Nichtigkeitsklage nach Art. 263 Abs. 4 AEUV ist im Rahmen der Zulässigkeit, konkret bei der Klagebefugnis, zu berücksichtigen, dass zwar natürliche oder juristische Person eine solche Klage erheben können. Jedoch nur dann, wenn es sich um an sie gerichteten oder sie unmittelbar und individuell betreffenden Handlungen sowie gegen Rechtsakte mit Verordnungscharakter, die sie unmittelbar betreffen und keine Durchführungsmaßnahmen nach sich ziehen, handelt. Die 1. Alternative schallt im Fall der Angemessenheitsentscheidung der Europäischen Kommission aus. Denn der Beschluss ist nicht an natürliche oder juristische Person in den Mitgliedstaaten gerichtet, sondern an die Mitgliedstaaten selbst (vgl. Art. 6 des Beschlusses).

Digital Rights Ireland Ltd wird also vor allem darlegen müssen, dass sich bei dem Beschluss um eine sie „unmittelbar und individuell betreffende Handlung“ der Europäischen Kommission handelt. Das Merkmal der unmittelbaren Betroffenheit ist dabei noch eher als unproblematisch anzusehen. Diese unmittelbare Betroffenheit liegt dann vor, wenn die Handlung sich unmittelbar auf die Rechtsstellung der Partei auswirkt und den mit ihrer Durchführung betrauten Behörden keinerlei Ermessensspielraum lässt, da ihre Durchführung rein automatisch erfolgt und sich allein aus dem Unionsrecht ergibt, ohne dass weitere Vorschriften angewandt werden (EuGH, Urt. v. 27.2.2014, C-133/12 P, Rz. 55). Inwiefern der Beschluss der Kommission bereits unmittelbar die Rechtsstellung der Digital Rights Ireland Ltd, die ja etwa keine natürliche Person ist und allein für natürliche Personen ein Schutz personenbezogener Daten und ihrer Privatsphäre gewährleistet ist (vgl. Art. 1 RL 95/46/EG), wird eine interessante Frage sein. Noch kniffliger dürfte jedoch die Erfüllung der zweiten, kumulativ zu erfüllenden, Voraussetzung der individuellen Betroffenheit sein. Dieses Merkmal wird grundsätzlich restriktiv ausgelegt und richtet sich nach der sogenannten „Plaumann-Formel“. Eine Person, die nicht Adressat einer Entscheidung ist, kann nur dann geltend machen, von ihr individuell betroffen zu sein, wenn die Entscheidung sie wegen bestimmter persönlicher Eigenschaften oder besonderer, sie aus dem Kreis aller übrigen Personen heraushebender Umstände berührt und sie daher in ähnlicher Weise individualisiert wie den Adressaten (Urt. v. 19.12.2013, C-274/12 P, Rz. 46). Digital Rights Ireland Ltd müsste also eine Adressaten gleiche Stellung nachweisen. In jedem Fall nicht ausreichend ist, von der angegriffenen Handlung, hier dem Angemessenheitsbeschluss, in allgemeiner Weise betroffen zu sein.

Im Rahmen der Begründetheit muss dann selbst verständlich noch nachgewiesen werden, dass der Beschluss der Kommission rechtswidrig ist, also nach Art. 263 Abs. 2 AEUV insbesondere die Verträge verletzt oder ein Ermessensmissbrauch vorliegt.

Man darf mit Spannung abwarten, wie sich diese Rechtslage entwickelt. Ein erster interessanter Verfahrensschritt dürfte die Verhandlung und danach die Schlussanträge des Generalanwalts sein.

Hamburger Datenschutzbehörde: Keine wirksame Einwilligung gegenüber Facebook. Wirklich?

Mit Bescheid vom 23. September 2016 hat der Hamburger Datenschutzbeauftragte der Facebook Irleand Ltd. u.a. die Erhebung und Speicherung von Bestandsdaten deutscher WhatsApp-Nutzer untersagt. Den Bescheid der Behörde hat der Kollege Dirks veröffentlicht (pdf).

Die Hamburger Behörde begründet ihre Verfügung materiell-rechtlich insbesondere mit einer fehlenden Rechtsgrundlage seitens Facebook für die Erhebung und Speicherung der Daten, die das Unternehmen von WhatsApp erhält. Der Datenschutzbeauftragte stützt seine Argumentation auf das sog. Doppeltürmodell des BVerfG (Urt. 24. 1. 2014 – 1 BvR 1299/05), nach dem sich ein Datenaustausch zwischen zwei öffentlichen Stellen durch einander korrespondiere Eingriffe von Abfrage und Übermittlung vollzieht, die jeweils einer eigenen Rechtsgrundlage bedürfen.

So weit, so klar. Staatliches Handeln bedarf einer Rechtsgrundlage. Der Vorgang der Übertragung von Daten stellt eine Datenverarbeitung dar, eine Übermittlung. Der Vorgang des Abrufs von Daten und deren Speicherung stellen Datenverarbeitungen dar, eine Erhebung und Speicherung. Bis hier hin eigentlich keine Überraschung, da Art. 7 der Datenschutz-Richtlinie vorsieht, dass die Verarbeitung personenbezogener Daten nur erfolgen darf, wenn die Voraussetzungen eines Erlaubnistatbestandes in Art. 7 lit. a) bis f) erfüllt sind. Als ein solcher Erlaubnistatbestand kam hier die Einwilligung der WhatsApp-Nutzer in Betracht, die diese im Rahmen der Aktualisierung der AGB und Datenschutzbestimmungen abgaben.

Wie gesagt, meines Erachtens ist unstreitig und nicht neu, dass beide involvierte Stellen, WhatsApp einerseits und Facebook andererseits, für die Datenverarbeitungen einen Erlaubnistatbestand benötigen. Das stellt das BVerfG in seinem Urteil klar. Mehr nicht.

Vorliegend stört sich die Aufsichtsbehörde aber daran, dass die Betroffenen (also WhatsApp-Nutzer) mit ihrer Einwilligung gegenüber WhatsApp „nicht gleichzeitig ihre Einwilligung gegenüber Facebook Ireland Ltd.“ erteilen. Es fehle daher an einem Erlaubnistatbestand für Facebook. Zwar wurden WhatsApp-Nutzer auf den Datenaustausch mit Facebook und auch die Zwecke der Verarbeitung der Daten durch Facebook hingewiesen, jedoch werde die Einwilligung eben nicht gegenüber Facebook erteilt.

Die Frage ist: ist das überhaupt erforderlich? Meiner Meinung nach sprechen gute Argumente gegen die Ansicht der Behörde.

Erstens

Der Wortlaut der Datenschutzrichtlinie. Nach Art. 2 lit. h) wird die „Einwilligung der betroffenen Person“ als jede Willensbekundung definiert, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden. Die Legaldefinition sagt jedoch nichts dazu aus, wem tatsächlich die Willensbekundung gegenüber abzugeben ist. Natürlich muss ihr Inhalt die geplante Datenverarbeitung abdecken und auch die Stelle benannt sein, die die Verarbeitung vornimmt. Der Adressat der Einwilligungserklärung selbst, wem die Einwilligung wie zugehen muss, wird aber nicht benannt (etwa: gegenüber dem Verantwortlichen).

Zweitens

Urteil des EuGH vom 5. Mai 2011 – C-543/09. Dieses betraf einen Rechtsstreit zwischen der Deutschen Telekom AG und der Bundesnetzagentur, über die gemäß dem Telekommunikationsgesetz bestehende Verpflichtung der Unternehmen, die Telefonnummern zuweisen, ihnen vorliegende Daten von Teilnehmern dritter Unternehmen anderen Unternehmen, deren Tätigkeit in der Bereitstellung von öffentlich zugänglichen Auskunftsdiensten oder Teilnehmerverzeichnissen besteht, zur Verfügung zu stellen.

Entscheidende Vorschriften ergaben sich aus der Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG), die mit Blick auf die „Einwilligung“ auf die Definition der Datenschutz-Richtlinie (siehe oben) verweist.

Nach Art. 12 Abs. 1 Datenschutzrichtlinie für elektronische Kommunikation müssen Teilnehmer (also Kunden des TK-Anbieters) vor Aufnahme in öffentliche Teilnehmerverzeichnisse über deren Zweck bzw. Zwecke und über eine eventuelle besondere Nutzung, insbesondere aufgrund der in die Software der elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen, informiert werden.

Hierzu stellt der EuGH fest (Rz. 58), dass diese vorherige Unterrichtung es dem betroffenen Teilnehmer ermöglicht, „in die Veröffentlichung seiner personenbezogenen Daten in öffentliche Teilnehmerverzeichnisse ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage im Sinne von Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 einzuwilligen“.

Nach Art. 12 Abs. 2 Datenschutzrichtlinie für elektronische Kommunikation kann der Teilnehmer lediglich entscheiden, ob seine personenbezogenen Daten – und gegebenenfalls welche – in ein öffentliches Verzeichnis aufgenommen werden. Diese Zustimmung (also die Einwilligung) bezieht sich auf den Zweck der Veröffentlichung der personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis und nicht auf einen bestimmten Anbieter eines Verzeichnisses (Rz. 61).

Der EuGH stellt danach fest (Rz. 65), dass sich die Zustimmung eines ordnungsgemäß unterrichteten Teilnehmers zur Veröffentlichung seiner personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis gemäß Art. 12 Abs. 2 der Datenschutzrichtlinie für elektronische Kommunikation auf den Zweck dieser Veröffentlichung bezieht

und erstreckt sich daher auf jede spätere Verarbeitung dieser Daten durch dritte Unternehmen, die auf dem Markt öffentlich zugänglicher Telefonauskunftsdienste und Teilnehmerverzeichnisse tätig sind, sofern diese Verarbeitung denselben Zweck verfolgt.

Die inhaltlichen Anforderungen an die Einwilligung sind hier also noch geringer angesetzt, als es bei WhatsApp und Facebook der Fall war. Im Fall der EuGH mussten in der Einwilligung z.B. nicht einmal konkrete dritte Unternehmen benannte werden. Zudem wird auch deutlich, dass die einmal gegenüber einem Unternehmen erteilte Einwilligung auch spätere Datenverarbeitungen durch unbekannte Dritte legitimiert, solange die Zwecke bekannt waren und eingehalten werden.

Drittens

Die Art. 29 Datenschutzgruppe hat sich auch schon zu der Frage geäußert, welcher Stelle konkret gegenüber eine Einwilligung abzugeben ist. Stets dem Verantwortlichen? Nein.

In der Arbeitsunterlage WP 12 (pdf) gehen die Datenschützer für Datenübermittlungen in Drittstaaten auf der Grundlage einer Einwilligung klar davon aus (S. 38), dass eine Einwilligung entweder direkt durch übermittelnde Stelle selbst oder „in ihrem Auftrag“ durch eine andere Stelle eingeholt werden kann.

Übertragen auf den hiesigen Fall, könnte WhatsApp also natürlich für Facebook die Einwilligung der Betroffenen einholen.

Auch in einem weiteren Bespiel (S. 40) gehen die Datenschützer ausdrücklich davon aus, dass Einwilligung nicht durch die verantwortliche Stelle selbst eingeholt werden müssen.

Man wird nun abwarten müssen, wie das Verwaltungsgericht Hamburg entscheidet. Vorgelagert zu der obigen Thematik muss sich das Gericht mit der Frage befassen, ob überhaupt deutsches Datenschutzrecht anwendbar ist.