Konzerninterne Datentransfers: Hessische Aufsichtsbehörde verweist auf gesetzliche Erlaubnisnormen

Am 11.7.2016 hat der hessische Datenschutzbeauftragte seinen 44. Tätigkeitsbericht vorgestellt (pdf).

Unter anderem befasst sich der Datenschutzbeauftragte in seinem Bericht auch mit der Frage, unter welchen rechtlichen Voraussetzungen personenbezogene Daten von Arbeitnehmern in einem Konzern zwischen Unternehmen übermittelt werden dürfen. Bekanntermaßen kennt das deutsche Datenschutzrecht kein Konzernprivileg. Liegt also kein Fall der Auftragsdatenverarbeitung vor und werden personenbezogene Daten an eine andere verantwortliche Stelle im selben Konzern weitergegeben, so liegt datenschutzrechtlich betrachtet eine rechtfertigungsbedürftige „Übermittlung“ vor.

§ 32 BDSG

Der hessische Datenschutzbeauftragte weist darauf hin, dass als Rechtsgrundlage für die Übermittlung von Beschäftigtendaten insbesondere § 32 Abs. 1 Satz 1 BDSG in Betracht kommt. Diese Bestimmung setzt voraus, dass die Verarbeitung (im konkreten Fall die Übermittlung der Daten) für die Durchführung des Beschäftigungsverhältnisses „erforderlich ist“.

In der Praxis stellt sich dann freilich die Frage, wann von einer Erforderlichkeit der Verarbeitung auszugehen ist. Diesbezüglich verweist der Datenschutzbeauftragte auf den Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ vom 11.01.2005. Zum einen sei von der Erforderlichkeit auszugehen, sofern der Arbeitsvertrag einen bei Vertragsabschluss für den Betroffenen erkennbaren Konzernbezug aufweist, wenn er also z. B. ein Tätigwerden des Arbeitnehmers auch in anderen Konzernunternehmen vorsieht. Zum anderen sei die Erforderlichkeit auch vorhanden, wenn bei der Einstellung des Arbeitnehmers deutlich erkennbar ist, dass die Personaldatenverarbeitung in einem anderen Konzernunternehmen zentralisiert ist. Wenn das Unternehmen dann noch entsprechend den Vorgaben des § 4 Abs. 3 BDSG über die Identität der verantwortlichen Stelle, die Zwecke der Verarbeitung sowie die Kategorien der Empfänger der Daten informiert, ist dies nach Auffassung des Datenschutzbeauftragten ausreichend, um die Datenübermittlung nach § 32 Abs. 1 Satz 1 BDSG zu legitimieren.

Dauerproblem: Einwilligung

In dem im Tätigkeitsbericht beschriebenen konkreten Fall trat der Umstand hinzu, dass der Arbeitgeber ursprünglich eine Einwilligung der Arbeitnehmer für die Übermittlung einholte. Zwar gesteht der hessische Datenschutzbeauftragte zu, dass auch die Einwilligung eine Grundlage für die konzerninterne Datenübermittlung darstellen kann. Jedoch führt er weiter aus:

Aufgrund des wirtschaftlichen Ungleichgewichts und der existentiellen Bedeutung des Beschäftigungsverhältnisses wird im Allgemeinen jedoch bezweifelt, dass auf Seiten der Beschäftigten die Einwilligung freiwillig erteilt werden kann.

Zwar ist es richtig, dass gerade in einem Beschäftigungsverhältnis möglicherweise ein Ungleichgewicht vorherrscht. Eventuell kann es dann auch an der Freiwilligkeit einer Einwilligung fehlen. Jedoch davon auszugehen, dass „im Allgemeinen“ bezweifelt werde, dass die Einwilligung von Beschäftigten nicht freiwillig erteilt werden könne, erscheint nicht angebracht. Es dürfte sich hierbei vielmehr um eine (von mindestens zwei) vertretene Ansicht handeln. Auch im Arbeitsverhältnis kann grundsätzlcih eine datenschutzrechtliche Einwilligung wirksam eingeholt werden. Im Jahr 2015 (Urteil vom 11.12.2014, 8 AZR 1010/13) hat dies auch das Bundesarbeitsgericht vertreten:

Auch im Rahmen eines Arbeitsverhältnisses können Arbeitnehmer sich grundsätzlich „frei entscheiden“, wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen.

Und unter der Datenschutz-Grundverordnung?

Auch die ab  dem 25. Mai 2018 anwendbare Datenschutz-Grundverordnung wird kein ausdrückliches Konzernprivileg kennen. Jedoch wird in Erwägungsgrund 48 S. 1 klargestellt, dass Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, ein berechtigtes Interesse haben können, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.

Die europäische Datenschutz-Grundverordnung macht damit deutlich, dass eine konzerninterne Übermittlung von Beschäftigtendaten und auch Kundendaten als berechtigtes Interesse des Verantwortlichen angesehen werden kann und damit die Voraussetzungen des Erlaubnistatbestandes nach Art. 6 Abs. 1 lit. f) erfüllt sein können.

PrivacyShield: Doppelte Pflichten für US-Unternehmen ab Mai 2018?

Heute gab die Europäische Kommission bekannt, dass der sogenannte Artikel 31 Ausschuss (Vertreter der europäischen Mitgliedstaaten) den überarbeiteten Entwurf des EU-US Privacy Shield abgesegnet hat (4 Mitgliedstaaten haben sich jedoch wohl bei der Abstimmung enthalten). Nun muss nur noch die Europäische Kommission insgesamt den erforderlichen Angemessenheitsbeschluss fassen. Dies soll wohl Anfang kommender Woche geschehen. Eine für Montag angesetzte Aussprache bzw. Diskussion im LIBE-Ausschuss des europäischen Parlaments wird keine inhaltlichen Änderungen zur Folge haben.

Wie der finale Text nun konkret aussieht, wissen wir leider noch nicht. Spiegel Online veröffentlichte zumindest einen überarbeiteten Entwurf am 30. Juni 2016 (pdf). Eventuell handelt es sich hierbei auch um die finale Fassung.

Die Regelungen des Privacy Shield, also insbesondere die Grundsätze (Principles), müssen von US-amerikanischen Unternehmen eingehalten werden, wenn sie entweder als verantwortliche Stelle oder auch als Auftragsverarbeiter handeln und Person bezogenen Daten aus der Europäischen Union erhalten und verarbeiten.

Der Angemessenheitsbeschluss der Europäischen Kommission wird eine Übermittlung personenbezogener Daten an US-Unternehmen insoweit legitimieren, als es um die Frage des angemessenen Schutzniveaus in den USA geht (Art. 25 Abs. 6 Richtlinie 95/46/EG). Daneben ist zu beachten, dass die verantwortliche Stelle in Europa noch dafür Sorge zu tragen hat, dass die Datenverarbeitung in Form der Übermittlung selbst auch zulässig ist. Hierfür bedarf es also etwa eine Einwilligung, eines Vertrages mit der betroffenen Person oder aber berechtigte Interessen der verantwortlichen Stelle und keine entgegenstehenden schutzwürdigen Interessen der betroffenen Person.

Bei einer ersten Sichtung des Privacy Shield hat sich mir die Frage gestellt, was denn aus Sicht der amerikanischen Unternehmen ab dem vom 25. Mai 2018 zu beachten ist: die Grundsätze des Privacy Shield oder aber die gesetzlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO)? Oder vielleicht sogar beide Instrumente und in diesen enthaltende Verpflichtungen parallel?

Nach Art 3 Abs. 2 DSGVO findet die Verordnung Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten. Wichtig bereits hier der Hinweis: auch ein Auftragsverarbeiter in einem Drittstaat muss sich also an die Vorgaben der DSGVO halten, wenn die Voraussetzungen von Art. 3 Abs. 3 DSGVO erfüllt sind. Zu denken ist etwa an ein Unternehmen, welches Clouddienste oder andere Onlinedienste direkt gegenüber Personen in der Union, im Auftrag eines Verantwortlichen in der EU, erbringt. Genauso kann eine Dienstleistung auch durch einen Verantwortlichen angeboten werden, der dies etwa gemeinschaftlich mit einem weiteren Verantwortlichen in der Union gestaltet und von diesem EU-Verantwortlichen personenbezogene Daten erhält.

Nach Erwägungsgrund 15 S. 2 des Privacy Shield sind die Grundsätze aber ausdrücklich nur auf die Verarbeitung personenbezogener Daten anwendbar, soweit die Verarbeitung nicht in den Anwendungsbereich des Unionsrechts fällt. Also etwa in dem oben erdachten Beispiel. Was bedeutet dies nun? Gilt für einen Auftragsverarbeiter oder Verantwortlichen in den USA dann allein die DSGVO? Oder eventuell doch auch parallel die Grundsätze des Privacy Shield? So könnte man evntuell Erwägungsgrund 15 S. 3 verstehen, nach dem das Privacy Shield keinen Einfluss auf die Anwendbarkeit von Unionsrecht hat, welches die Verarbeitung personenbezogener Daten in den Mitgliedstaaten regelt. Nach diesem Satz 3 ist die Anwendbarkeit des Privacy Shield zumindest nicht ausgeschlossen.

Mir scheinen die Vorgaben für US-Unternehmen hier in jedem Fall unklar zu sein. Wenn ein US-Unternehmen sich nicht an die Vorgaben des Privacy Shield halten würde, dann liefe es aber Gefahr, den „Angemessenheitsstatus“ zu verlieren und die Übermittlung aus der EU wäre eventuell unzulässig (zumindest soweit man sich auf das Privacy Shield beruft). Denn in einem Drittstaat befindet sich das Unternehmen ja die ganze Zeit, auch wenn es sich an die Vorgaben der DSGVO halten muss.

Dies ist nur ein erster Gedanke zu dem neuen Angemessenheitsbeschluss, dessen Anwendung und konkrete Umsetzung uns sicherlich in den nächsten Jahren noch beschäftigen wird.

Datenschutz-Grundverordnung: jede Datenverarbeitung muss auf ihre Vereinbarkeit mit den neuen Vorgaben überprüft werden

Am 24. Mai 2016 ist die europäische Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Ab dem vom 25. Mai 2018 wird sie in den europäischen Mitgliedstaaten und den Staaten des EWR unmittelbar anwendbar sein.

Unternehmen, Vereine, Verbände und andere Stellen, die bereits derzeit personenbezogene Daten verarbeiten, haben nun knapp zwei Jahre Zeit, sich auf die neuen Vorgaben einzustellen und gegebenenfalls Datenverarbeitungsprozesse, die interne Organisation, Datenschutzerklärungen, etc. auf ihre Konformität mit der DSGVO hin zu prüfen.

Diese Prüfung ist auch dringend erforderlich. Selbst für derzeit rechtmäßige Datenverarbeitungen, mögen sie auf einer Einwilligung oder auch auf einem Erlaubnistatbestand (wie zum Beispiel im Rahmen der Durchführung eines Vertrages) beruhen, wird es nach dem vom 25. Mai 2018 kein einfaches „weiter so“ allein aus dem Grund geben, weil die betreffende Datenverarbeitung derzeit zulässig ist.

Nach Art. 94 Abs. 1 DSGVO wird die noch existierende europäischen Datenschutzrichtlinie 95/46/EG mit Wirkung vom 25. Mai 2018 aufgehoben. Nationale Datenschutzgesetze, die die Vorgaben der europäischen Datenschutzrichtlinie umsetzen, sind zwar nicht per se ungültig, jedoch genießt das europäische Recht Anwendungsvorrang vor den nationalen Regelungen, soweit sich diese decken. Vorschriften wie etwa § 4a oder § 28 BDSG sind dann zum Großteil nicht mehr anwendbar.

Erwägungsgrund 171 S. 2 DSGVO bestimmt, dass Verarbeitungen, die zum Zeitpunkt der Anwendung der DSGVO (also zum 25. Mai 2018) bereits begonnen haben, innerhalb von zwei Jahren nach dem Inkrafttreten der DSGVO (also nach dem 24. Mai 2016) mit der DSGVO „in Einklang gebracht werden“ müssen. Dies bedeutet: nach dem vom 25. Mai 2018 müssen jegliche Datenverarbeitung die in den Anwendungsbereich der DSGVO fallen auch ihre Voraussetzungen erfüllen. Allein die aktuelle Rechtmäßigkeit von derzeit vorgenommen Datenverarbeitungen taugt also nicht, um sie in den Zeitraum nach dem vom 25. Mai 2018 zu übertragen.

Ganz konkret müssen für jede Datenverarbeitung die spezifischen Voraussetzungen aus der DSGVO, also etwa für die Einwilligung aus Art. 6 Abs. 1 lit. a und Art. 4 Nr. 11 DSGVO, erfüllt werden.

Die DSGVO erläutert diese Situation beispielhaft anhand der Einwilligung in Erwägungsgrund 171. Beruht danach die Verarbeitung auf einer Einwilligung gemäß der Richtlinie 95/46/EG, „so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht“. Die entscheidende Aussage verbirgt sich am Ende des Satzes. Den Bedingungen dieser Verordnung. Allein darum geht es.

Zu beachten ist, dass sich diese Prüfung nicht allein auf die Erfüllung der Voraussetzungen eines jeweiligen Erlaubnistatbestandes beschränkt. Datenverarbeitungen müssen etwa nach Art. 5 Abs. 1 DSGVO auch alle dort aufgezählten Grundsätze kumulativ erfüllen. Das ergibt sich klar aus der Vorgabe „Bedingungen dieser Verordnung“, die sich gerade nicht auf „Voraussetzungen von Art. 6“ oder „Bedingungen des Art. 6“ beschränkt.

Irische Datenschutzbehörde veröffentlicht Jahresbericht 2015

Am 21. Juni 2016 hat die irische Datenschutzbeauftragte, Helen Dixon, den Tätigkeitsbericht der Aufsichtsbehörde für das Jahr 2015 vorgestellt.

Insbesondere, weil Irland der Standort europäischer Zentralen vieler „digital player“ darstellt, ist der Bericht der Behörde durchaus lesenswert. So wird unter anderem Über Prüfungen bei LinkedIn oder Facebook berichtet.

So berichtet die Behörde, dass man sich, nach einem Audit in 2013, oft mit Vertretern von LinkedIn im Jahre 2015 traf, um gemeinsam über mögliche Anpassungen der Plattform des beruflichen Online-Netzwerks zu reden. Konkrete Ergebnisse dieser Gespräche waren unter anderem Anpassungen bei den Kontrollmöglichkeiten für Mitglieder über die von ihnen bereit gestellten Informationen in dem sozialen Netzwerk.

Ein weiterer interessanter Aspekt sind internationale Datentransfers. Natürlich wird auch kurz das Urteil des EuGH zu Safe Harbor angesprochen. Nach dem Wegfall der betreffenden Kommissionsentscheidung als Grundlage für Datenübermittlungen in die USA, war (und ist es immer noch) für Unternehmen wichtig, alternative Instrumente zu finden. Für Datentransfers innerhalb eines Konzerns bieten sich insbesondere die Binding Corporate Rules (BCR) an. Hierbei handelt es sich um verbindliche, unternehmensinterne Richtlinien, die in Zusammenarbeit mit den europäischen Aufsichtsbehörden erstellt und von diesen genehmigt werden müssen.

Die irische Datenschutzbeauftragte berichtet, dass bereits im Jahr 2015 in vier Verfahren als federführende Aufsichtsbehörde für das Genehmigungsverfahren von BCR agierte. In den ersten Monaten des Jahres 2016 habe die Behörde zudem weitere Anträge von Unternehmen zur Prüfung von BCR erhalten. Diese Zunahme an beantragten Genehmigungsverfahren für BCR, insbesondere im Jahr 2016, dürfte auch mit dem Wegfall von Safe Harbor zusammenhängen. Wobei darauf hinzuweisen ist, dass BCR eben nur konzerninterne Datentransfers abdecken können und damit nicht für Datenübermittlungen an konzernfremde Unternehmen geeignet sind.

Hamburger Datenschützer: Safe Harbor-Urteil wirkt sich auf Einsatz von Analysetools aus

Seit Jahren herrschte in Deutschland bei der Einbindung von Analysetools durch Webseitenbetreiber, z.B. auch von Google Analytics, eine bewährte und durch die Datenschutzbehörden akzeptierte Praxis. Im Jahre 2009 hatten sich die deutschen Datenschutzbehörden auf Vorgaben für eine datenschutzkonforme Ausgestaltung von „Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ (PDF) geeinigt. Auf Betreiben der Datenschutzbehörde in Hamburg hin hat zudem Ende 2009 auch Google verschiedene Anpassungen an seinem Produkt Google Analytics vorgenommen, um einen aus Sicht der Datenschutzbehörden beanstandungsfreien Betrieb durch Webseitenbetreiber gewährleisten zu können.

Webseitenbetreiber mussten den von Google vorbereiteten Vertrag zur Auftragsdatenverarbeitung schriftlich abschließen. Zudem mussten Nutzer der Webseite in der Datenschutzerklärung über die Verarbeitung personenbezogener Daten im Rahmen von Google Analytics aufgeklärt und auf die Widerspruchsmöglichkeiten gegen die Erhebung personenbezogener Daten durch Google Analytics hingewiesen werden. Hierbei sollte auf die entsprechende Seite „http://tools.google.com/dlpage/gaoptout?hl=de“ verlinkt werden. Durch entsprechende Einstellungen im Google-Analytics-Programmcode musste die Kürzung von IP-Adressen in Auftrag gegeben werden (Funktion „_anonymizeIp()). Zuvor erhobene Altdaten mussten gelöscht werden. Diese Anforderung finden sich etwa noch auf der Webseite der Datenschutzbehörde in Nordrhein-Westfalen. Von der Webseite des Hamburgischen Beauftragten für Datenschutz wurden sie entfernt.

Der Grund: nach einer Mitteilung des Datenschutzbeauftragten aus Hamburg (Stand: Juni 2016) unterliegt die bisher veröffentlichte Handreichung zu den datenschutzrechtlichen Anforderungen an Webseitenbetreiber mit Sitz in Hamburg beim Einsatz von Google Analytics unter anderem wegen des Urteils des EuGH vom 06.10.2015 (C-362/14- Schrems) zur Ungültigkeit der Entscheidung der Kommission zum sogenannten Safe-Harbor-Abkommen mit den Vereinigten Staaten von Amerika zur Herstellung eines angemessenes Schutzniveaus einer datenschutzrechtlichen Überprüfung und gegebenenfalls einer Überarbeitung.

Der Hamburger Datenschützer weist in seiner Mitteilung darauf hin, dass nach Ziffer 4.7 der Anlage 1 „Regelungen zur Auftragsdatenverarbeitung“ der Google Analytics-Bedingungen zur Herstellung der Angemessenheit des Datenschutzniveaus für Datenübermittlungen in die USA auf die für ungültig erklärte Safe-Harbor-Entscheidung verwiesen wird. Die Angemessenheit des Datenschutzniveaus kann auf dieser Grundlage rechtlich jedoch nicht mehr sichergestellt werden. Die Schlussfolgerung des Datenschutzbeauftragten:

Dies wirkt sich unmittelbar auf den Einsatz des Dienstes aus. Eine Überprüfung der von uns empfohlenen Maßnahmen ist eingeleitet, allerdings noch nicht abgeschlossen. Wir stehen dabei auch im Gespräch mit dem Unternehmen Google.

Man wird nun abwarten müssen, welches Ergebnis nach der Überprüfung durch die Behörde und auch nach den Gesprächen mit Google selbst am Ende herauskommt. Eventuell wird die Behörde von Google fordern, dass Kunden ab sofort die EU-Standardvertragsklauseln abschließen müssen. Diese alternativen Übermittlungsinstrumente werden, so der Hamburgische Datenschutzbeauftragte in einer Pressemitteilung vom 6. Juni 2016, „derzeit nicht beanstandet“.

Datenschutz-Grundverordnung: Bayerische Behörde veröffentlicht Hinweise zu Schwerpunktthemen

Die Datenschutz-Grundverordnung (DSGVO) ist in Kraft. Bis zum 25 Mai 2018, dann ist sie anwendbar, müssen Unternehmen in Europa die eigenen Datenverarbeitungsprozesse auf ihre Konformität mit den neuen Regelungen prüfen.

Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) ist, wie andere Aufsichtsbehörden in Europa, derzeit bemüht, eine einheitliche Sichtweise und Interpretationen zu den neuen Gesetzesvorgaben zu erarbeiten. In diesem Zusammenhang kündigte die Behörde letzte Woche an, dass man in regelmäßigen Abständen (wohl zweimal im Monat) kurze Übersichtspapiere zu ausgewählten Schwerpunkten der DSGVO veröffentlichen wird. Hierbei soll es sich um Informationen zur gegenwärtigen Auslegung verschiedener Vorschriften der DSGVO handeln. Die Behörde weist ausdrücklich darauf hin, dass es sich bei diesen Übersichtspapieren noch nicht um verbindliche Auffassungen handelt.
Auch wenn es sich nur um eine erste Auslegungs- und Interpretationshilfe durch eine Aufsichtsbehörde handelt, ist der Schritt des BayLDA, derartige Hinweise zu veröffentlichen, meines Erachtens uneingeschränkt zu begrüßen.

Das erste Übersichtspapier (PDF) widmet sich der „Sicherheit der Verarbeitung“ (Art. 32 DSGVO). Nach Art 32. Abs. 1 1. HS DSGVO haben der Verantwortliche und der Auftragsverarbeiter, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Das BayLDA nennt als klassische Schutzziele der IT-Sicherheit die Vertraulichkeit, Integrität und Verfügbarkeit, die sich auch in der DSGVO an zentraler Stelle in Art. 32 Abs. 1 DSGVO finden. Jedoch führt die DSGVO auch ein neues Schutzziel ein: die Belastbarkeit. Nach Auffassung des BayLDA müssen Verantwortliche (ich möchte ergänzen: und auch Auftragsverarbeiter) künftig auch die Belastbarkeit der Systeme und Dienste, die in Zusammenhang mit der Verarbeitung stehen, gewährleisten. Welche Maßnahmen jedoch konkret zur Belastbarkeit positiv beitragen, wird in der DSGVO nicht erwähnt.

Des Weiteren weist das BayLDA darauf hin, dass Art. 32 Abs. 1 DSGVO von geeigneten technischen und organisatorischen Maßnahmen spricht, die der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung u. a. des Stands der Technik und der Implementierungskosten zu treffen haben. Nach Ansicht der Behörde wird einerseits stets zu prüfen bleiben, was beim jeweiligen Verfahren als Stand der Technik angesehen wird. Anderseits wird auch die Verhältnismäßigkeit einer Maßnahme hinsichtlich des Aufwands zu diskutieren sein. Die Gewährleistung der Sicherheit der Verarbeitung muss zudem nachgewiesen werden können (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Nach Ansicht der Behörde werden in diesem Zusammenhang in Zukunft genehmigte Verhaltensregeln und Zertifizierungen an Bedeutung gewinnen.

Hamburg Authority Reviews Recommendations For The Implementation Of Google Analytics

The previously published handout by the Data Protection Commissioner of Hamburg (“Commissioner”) about the data protection requirements for website operators based in Hamburg and their use of Google Analytics is subject to a review and possibly revision. According to a statement (German) by the Commissioner, this review is necessary inter alia because of the judgment of the European Court of Justice of 6.10.2016 (Case C-362/14 – Schrems) in which the court invalidated the adequacy decision of the European Commission for so-called Safe Harbor Agreement with the United States of America.

Paragraph 4.7 of Appendix 1 of the „Data Processing Agreement“ for the Google Analytics terms (PDF, German) refers to the now invalidated Safe Harbor Decision in order to create an adequate level of protection for personal data when it is transferred to the USA.

The adequacy of the level of data protection can no longer be guaranteed on this basis. According to the Commissioner, this “directly affects the use of the service”. A review of the recommendations has been initiated, but is not yet completed. The Commissioner is also in contact with Google.

In the past, the Data Protection Authority of Hamburg negotiated a solution for website operators in Hamburg to lawfully use Google Analytics. This solution was also acknowledged by the other German Data Protection Authorities. In the view of the authorities, the implementation of the tool required the following measures:

  • Conclusion of a data processing agreement (PDF, German) with Google
  • Activation of anonymization of the IP address (IP masking)
  • Information and link to an opt-out Add-on for Browsers and link to an opt-out Cookie
  • Amendment of the privacy policy with additional information about Google Analytics and the possibility to opt-out

This whole process was necessary because the authorities are of the opinion that an IP address must be considered “personal data”. This week, the Commissioner clarified that the use of alternative instruments for data transfers to third countries, especially the EU Model Clauses, will currently not be challenged. Perhaps the Commissioner will require Google to offer such EU Model Clauses for Google Analytics.

Hamburg Data Protection Watchdog Fines International Companies For Illegal Data Transfers

Today, the Data Protection Authority of Hamburg (“authority”) informed in a press statement (German) that, in the past months, it reviewed the data transfers of 35 international organizations based in Hamburg.

After the Schrems judgment in October 2015 by the European Court of Justice, declaring the former Safe Harbor-decision by the European Commission invalid, the authority contacted organizations in Hamburg operating also in the USA and reviewed the legality of the transfer of personal data to America, especially if other instruments than the Safe Harbor-decision was used. According to the press statement, the tests have shown that the vast majority of the companies had changed the legal basis of their transfers of data, implementing the so-called standard contractual clauses which are also based on a decision by the European Commission.

However, the authority informs that a few companies had not switched to a valid alternative within half a year after the judgement. The data transfers of these companies were therefore considered unlawful.
While some of the initiated proceedings could until now not be completed and other reviews are still running, three administrative fines issued due to illegal transfers of personal data of customers and employees have become legally binding now.

With regard to the new EU-US Privacy Shield, the designated successor of the Safe Harbor-decision, the Data Protection Commissioner of Hamburg, Prof. Caspar, calls on the European Commission and the US government to revise the draft decision in several key areas. Against this background, Prof. Caspar also wants to put the question of the legality of the EU standard contractual clauses on the table. But the commissioner also highlights that the use of these alterative instruments for data transfers to third countries is currently not objected.

Update:
According to a report by Spiegel Online (German), the three fined companies are Adobe (fine: 8.000 Euros), Punica (fine: 9.000 Euros) and Unilever (fine: 11.000 Euros). Since all three companies have changed the legal basis for data transfers during the proceeding, the fine was significantly smaller than the theoretical maximum of 300.000 Euros.

Datenschutz-Grundverordnung: Deutsche Datenschutzbehörden fordern mehr Personal und finanzielle Mittel

Am 24. Mai 2016 ist die Datenschutz-Grundverordnung in Kraft getreten. Ab dem 25. Mai 2018 wird sie in allen europäischen Mitgliedstaaten unmittelbar anwendbar sein. Nicht nur Unternehmen oder Behörden haben also nun zwei Jahre Zeit, ihre Datenverarbeitungsprozesse den zukünftigen Vorgaben anzupassen. Auch die jeweiligen nationalen Gesetzgeber müssen die geltenden datenschutzrechtlichen Bestimmungen in ihrem Mitgliedstaat auf Konformität mit den zukünftigen Regelungen prüfen.

Die Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder fordert vor diesem Hintergrund in einer Entschließung vom 25. Mai 2016 den deutschen Landes und Bundesgesetzgeber auf, den Datenschutzaufsichtsbehörden mehr Personal und auch finanzielle Mittel zur Verfügung zu stellen, damit die Behörden die ihnen zugedachten Aufgaben wirksam erfüllen können.

Die deutschen Aufsichtsbehörden weisen in ihrer Entschließung darauf hin, dass die Datenschutz-Grundverordnung die Mitgliedstaaten verpflichtet, die Aufsichtsbehörden zur Gewährleistung ihrer Unabhängigkeit mit den erforderlichen personellen, finanziellen und technischen Ressourcen auszustatten (Art. 52 Abs. 4 DSGVO). Aus Sicht der deutschen Behörden ist es

für die Bewältigung der neuen Aufgaben zwingend erforderlich, für die Datenschutzbehörden in Deutschland erweiterte personelle und finanzielle Ressourcen vorzusehen. Dies gilt bereits für die jetzt laufende Vorbereitungsphase, in der die Weichen für eine funktionierende Umsetzung der Datenschutz-Grundverordnung gestellt werden.

Dieser Forderung der deutschen Aufsichtsbehörden wird man sich, wenn man bereits die aktuelle Situation betrachtet, durchaus anschließen können. Interessant würde es natürlich werden, wenn die deutschen Aufsichtsbehörden nicht mit den erforderlichen Mitteln und dem nötigen Personal ausgestattet werden und bei Anwendbarkeit der Datenschutz-Grundverordnung dann eventuell ein Mitgliedstaat durch die Europäische Kommission im Wege einer Vertragsverletzungsklage nach Art. 258 AEUV verklagt wird. Derartige Klagen gab es ja bereits unter der geltenden Datenschutzrichtlinie (z.B. in der Rechtssache C?614/10).

Ein weiterer interessanter Aspekt der Entschließung ist, dass sich die bayerischen Behörden bei der Abstimmung zur Annahme dieser Entschließung enthalten haben. Sowohl der Bayerische Landesbeauftragte für den Datenschutz als auch das Bayerische Landesamt für Datenschutzaufsicht scheinen also die Positionen der übrigen Aufsichtsbehörden zumindest nicht in Gänze zu teilen. Man darf gespannt sein, inwieweit der Gesetzgeber auf Landes- und Bundesebene der Forderung der Aufsichtsbehörden nachkommt.

Google challenges fine by French Data Protection Authority: a „right to be forgotten“ for the entire world?

Yesterday Google announced in a blog post that the company will legally challenge a decision and fine imposed by the French Data Protection Authority (CNIL). Information about the procedure is available on the CNIL website. There is also an unofficial translation of the relevant decision (PDF) available on the website.

In particular, the CNIL considers that it is not sufficient under the current European data protection law and in light of the judgment of the European Court of Justice (ECJ) in its Google decision (C-131/12), if after a complaint from a data subject, links to search result are solely suppressed on websites with European extensions (.de, .es or .fr) and also for searches originating from the Member State of the complainant on all sites of the search engine (so also on Google.com). This approach was recently chosen by Google. The French Authority in fact requires that links from search results must be suppressed on all sites of the search engine and also irrespective of the Member State where the complainant is located and from where the search is made.

As a result, the question arises whether European data protection law and in particular its enforcement by Data Protection Authorities (DPAs) take global validity and know no territorial borders. So whether, on the grounds of a decision of the French authorities, a user of the search engine located in the other Member States (for example in Germany or Spain) and, secondly, in countries outside the EEA such as the US (Google.com) or Japan (Google.co.jp), may only see the changed search result list.

Please find some food for thought below, which is certainly not exhaustive, but may foster the discussion.

In principle, one can determine that the ECJ in its Google decision made no concrete statement on the territorial scope of the so-called „Right to be forgotten“. But what the ECJ always emphasizes (not only in this ruling), is the importance of possible enforcement and full effect the guarantees and established safeguards of the Data Protection Directive (DPD) for data subjects.

In its Google judgment, the ECJ held that

the operator of the search engine as the controller in respect of that processing must ensure, within the framework of its responsibilities, powers and capabilities, that that processing meets the requirements of Directive 95/46, in order that the guarantees laid down by the directive may have full effect. (Margin No 83)

Of course, a major role in achieving the objective of enforcement of European law and its full effect is played by the DPAs. That’s also emphasized by the ECJ in its judgment:

In this connection, it is to be noted that it is clear from Article 28(3) and (4) of Directive 95/46 that each supervisory authority is to hear claims lodged by any person concerning the protection of his rights and freedoms in regard to the processing of personal data and that it has investigative powers and effective powers of intervention enabling it to order in particular the blocking, erasure or destruction of data or to impose a temporary or definitive ban on such processing. (Margin No 78)

From this, one can already conclude that the question of whether European data protection law should “govern the world” or at least countries outside of the EEA, must always be seen in connection with its enforcement by supervisory authorities. Because the applicability of European data protection law alone has nothing to do with the realization of the guarantees provided by the DPD and, in the words of the ECJ, its full effect, or also the guarantees provided by the Charter of Fundamental Rights of the European Union for the individuals concerned.

I want to support this view with a reference to the well-known judgment of the ECJ repealing the data retention directive (C-293/12 and C-594/12). There, the Court criticized that the directive

does not require the data in question to be retained within the European Union, with the result that it cannot be held that the control, explicitly required by Article 8(3) of the Charter, by an independent authority of compliance with the requirements of protection and security, as referred to in the two previous paragraphs, is fully ensured. Such a control, carried out on the basis of EU law, is an essential component of the protection of individuals with regard to the processing of personal data. (Margin No 68)

So the ECJ assumes that when the possibility for a DPA to control compliance with the rules of the DPD and, in the worst case, also enforce these rules exists, only then can the requirements of the Charter of Fundamental Rights and also the corresponding guarantees for the protection of personal data in the DPD be fully fulfilled and ensured. But this possibility of control and especially enforcement by a public authority is only possible within the Union.

Assuming therefore that in addition to pure applicability of European data protection law also the possibility of monitoring its compliance and in particular its enforcement must always be considered as an inherent guarantee, this inevitably raises the question of how far the powers of European DPAs, particularly from a territorial perspective, reach.

To this end, I would like to refer to a further decision of the ECJ, the Weltimmo decision (C-230/14). In that judgment, the Court addressed the question of how far the competences of the European DPAs reach.

It follows from Article 28(1) DPD that each supervisory authority established by a Member State is to ensure compliance, within the territory of that Member State, with the provisions adopted by the Member States pursuant to the DPD (Margin No 47; emphasizes added). Furthermore, according to the ECJ, it is apparent from Article 28(1) and (3) DPD that each supervisory authority is to exercise all of the powers conferred on it on the territory of its own Member State in order to ensure, on that territory, compliance with data protection rules (Margin No 51, emphasizes added). Additionally, the ECJ held that it follows from the requirements derived from the territorial sovereignty of the Member State concerned, the principle of legality and the concept of the rule of law that the exercise of the power to impose penalties cannot take place, as a matter of principle, outside the legal limits within which an administrative authority is authorised to act subject to the law of its own Member State (Margin No 56, emphasizes added).

Weltimmo concerned an intra-European issue and the question of the extent to which the DPA of one Member State may exercise its powers on the territory of another Member State. This is rejected by the court with the above reasoning. The sanctioning power of a DPA may not be exercised outside the legal limits of its own Member State.

Transferred to the dispute between Google and the French DPA now the question arises whether it would be consistent with the aforementioned ECJ case law, to concede the power to a European supervisory authority to regulate, on the one hand, data processing operations initiated by and targeted to persons in other European Member States (the respective user of the search engine, who searches for a name of an affected person) or, on the other hand, also such processing operations initiated by persons on the territory of countries outside the European Union, and, in the end, also to influence such data processing operations with a relevant administrative decision.

The measure of a European authority would have a direct impact in other States. Already for the first constellation that a decision by the French DPA would affect persons on the territory of Germany or Spain, I have my doubts. This is of course even more valid in the second constellation, outside the European Union and thus also outside the competences of European authorities.

Now one surely can cite as a counter-argument that the territorial scope of European data protection law is interpreted in a very broad way, also by the ECJ, and European data protection law applies to the activities of Google Inc., with headquarters in the USA. That is correct. But in my view, as described above, it is inevitably necessary in order to achieve the objectives laid down in the DPD and in the Charter of Fundamental Rights of the European Union that a DPA is able to monitor the compliance with these rules and enforce the rights and guarantees (I refer again to the ECJ judgment regarding the Data retention directive). Such enforcement, however, due to the principle of territorial sovereignty of States, is not always possible.

The European DPAs seem to be aware of this situation. If one looks at the official guidelines on the implementation of the Google decision (WP 225,  PDF), one can find on page 8 in paragraph 19 the following statement: “In practice, DPAs will focus on claims where there is a clear link between the data subject and the EU, for instance where the data subject is a citizen or resident of an EU Member State”. So the DPAs propose only to focus on situations where a clear connecting factor to a European Member State exists.

In the end, one must observe that that the territorial enforcement European data protection law is certainly not an easy and also a disputatious topic. It will be interesting to see how this case moves further in France. Perhaps the ECJ has to decide again.