Schlagwort: EuGH

Datentransfer in Drittländer – Kippen die EU-Standardvertragsklauseln?

12. Oktober 2017

Datentransfers in Drittländer, die kein dem europäischen Standard vergleichbares Datenschutzniveau bieten, sind aus datenschutzrechtlicher Sicht als kritisch einzuordnen. Zu einem solchen Drittland gehören auch die USA. Bis zum Jahr 2015 konnte die Übermittlung in solche Drittländer durch das sogenannte Safe Harbor – Abkommen datenschutzrechtlich legitimiert werden. Durch ein Urteil des EuGH vom 6. Oktober 2015 wurde das Safe Harbor – Abkommen jedoch aufgehoben. Dies wurde damit begründet, dass das Abkommen nach dem EuGH einen Verstoß gegen die europäische Grundrechtecharta darstellt.

Nach dem Ende des Safe Harbor – Abkommens konnte eine Übertragung personenbezogener Daten in die USA nur noch durch die Verwendung von EU-Standardvertragsklauseln oder aufgrund des 2016 als Nachfolger des Safe Harbour – Abkommens beschlossenen EU-US-Privacy Shield legitimiert werden. Kernstück des Privacy Shield ist die Verpflichtung zur Selbstzertifizierung von US-Unternehmen, mit der sichergestellt werden soll, dass gewisse Datenschutzanforderungen eingehalten werden. Daneben wurden durch das Privacy Shield für betroffene EU-Bürger erstmals Rechtsschutzmöglichkeiten gegen Unternehmen mit Sitz in den USA und so Klagemöglichkeiten geschaffen. Jedoch legte bereits Ende Oktober 2016 die irische Nichtregierungsorganisation Digital Rights Ireland Klage vor dem EuGH gegen den Privacy Shield ein und auch mit den Standardvertragsklauseln wird sich der EuGH nun beschäftigen müssen.

Angestoßen durch eine Klage des Anwalts Max Schrems gegen den Datentransfer an Facebook aufgrund der Verwendung von Standardvertragsklauseln hat sich der irische oberste Gerichtshof dazu entschlossen, verschiedene diesbezügliche Fragen zur Vorlage an den EuGH zur Klärung weiterzuleiten. Die irische High Court-Richterin Carolin Costello führte in ihrem Beschluss unter anderem an, dass es begründete Hinweise darauf gebe, dass es in den USA an wirksamen Maßnahmen zum Schutz der Daten von EU-Bürgern fehlen würde. Insbesondere der Rechtschutz für europäische Bürger in den USA sei nur fragmentarisch ausgebildet und die US-Geheimdienste hätten fast unbegrenzte Zugriffsmöglichkeiten auf die Daten.

Nach der Vorlage der konkreten Rechtsfragen an den EuGH wird abzuwarten sein, wie der EuGH die rechtliche Zulässigkeit der Standardvertragsklauseln beurteilt. Sollte der EuGH zum Ergebnis der Unzulässigkeit der Standardvertragsklauseln kommen, dürfte dies viele Unternehmen hinsichtlich der Legitimität von Datentransfers in die USA oder sonstige Drittländer vor ernsthafte Probleme stellen.

Weltweite Geltung des Rechts auf Vergessenwerden?

25. Juli 2017

Zurzeit befasst sich der Europäische Gerichtshof (EuGH) erneut mit dem sogenannten „Recht auf Vergessenwerden“, wie heise berichtet. Hintergrund hierfür ist ein Rechtsstreit zwischen dem US-amerikanischen Suchmaschinenbetreiber Google und der französischen Datenschutzaufsichtsbehörde CNIL. CNIL hatte Google zuvor eine Strafe von € 100.000 auferlegt, da Links aus den Suchmaschinenergebnissen nicht weltweit gelöscht wurden. Um die Strafe gerichtlich prüfen zu lassen, zog Google vor das französische Verwaltungsgericht. Dieses legte die Frage, ob sich der Löschungsanspruch auf weltweite Suchergebnisse erstreckt, nun dem EuGH zur Entscheidung vor.

Vor drei Jahren hatte der EuGH das Recht auf Vergessenwerden in seinem Urteil manifestiert. Das Recht auf Vergessenwerden berechtigt Individuen von Suchmaschinenbetreibern die Löschung von Links zu Informationen zu verlangen, die veraltet sind oder ihre Privatsphäre verletzen. Seit Mai 2014 erhielt Google mehr als 2 Millionen dieser Aufforderungen. Sofern nach der Ansicht von Google die Voraussetzungen für die Löschung vorliegen, wird der beanstandete Link aus den Suchmaschinenergebnissen entfernt. Die Löschung findet jedoch nur auf den europäischen Versionen von Google statt. CNIL geht dies jedoch nicht weit genug und fordert eine weltweite Löschung, damit dem Recht auf Vergessen umfassend entsprochen wird. Google hält diese Forderung für absurd. Zum einen werde die Freiheit des Internets beschränkt. Außerdem könnte Google nationales Recht nicht weltweit umsetzen.

Mit Spannung wird deswegen nun die Entscheidung des EuGH erwartet.

Sammelklage gegen Facebook vor dem EuGH

20. Juli 2017

Der österreichische Datenschützer Maximilian Schrems will mit einer Sammelklage von 25.000 Verbrauchern aus der ganzen Welt gegen Facebook vorgehen. Vor dem OGH in Wien hatte der Jurist schon gegen die missbräuchliche Verwendung von Nutzerdaten geklagt. In Österreich ist es möglich, dass viele Personen ihre Ansprüche an eine Person abtreten, die dann alle Ansprüche gesammelt geltend machen kann, die sogenannte „Sammelklage österreichischer Prägung“. Mehr als 25.000 Verbraucher hatten über Schrems´ Webseite ihre Ansprüche gegen Facebook an Maximilian Schrems abgetreten.

Facebook führte an, dass die österreichischen Gerichte hierfür nicht zuständig seien. Somit bliebe Betroffenen nur der Weg einer einzelnen Klage gegen Facebook. Der Europäische Gerichtshof (EuGH) muss nun klären, ob eine Sammelklage gegen Facebook grundsätzlich zulässig ist.

Je nach der Entscheidung des EuGH könnte eine europaweite, oder gar weltweite Sammelklage möglich, oder aber auch nur für Verbraucher aus bestimmten Ländern zulässig sein. Andernfalls müssten viele parallele Verfahren in Österreich und anderen Ländern geführt werden. Mit einer schnellen Entscheidung ist aber nicht zu rechnen. Der EuGH-Generalanwalt will erst nach dem Sommer eine Einschätzung abgeben.

Schrems ist vor dem EuGH kein Unbekannter. Er hatte bereits eine Klage vor den EuGH gebracht. Dieser Rechtsstreit drehte sich um die Weitergabe von Facebook-Daten an den US-amerikanischen Geheimdienst NSA. Der EuGH setzte darauf das Safe-Harbor-Abkommen aus.

Dynamische IP-Adressen stellen personenbezogene Daten dar

17. Mai 2017

In seinem Urteil vom 16.05.2017 (Az. VI ZR 135/13) hat sich der Bundesgerichtshof (BGH) unter anderem mit den Fragen befasst, ob eine dynamische IP-Adresse ein personenbezogenes Datum darstellt und ob ein Webseitenbetreiber die IP-Adressen der Nutzer länger speichern darf als diese tatsächlich auf der Seite verweilen.

Anlass für dieses BGH-Urteil war, dass das Bundesministerium für Justiz und Verbraucherschutz die IP-Adressen aller Besucher seiner Webseite für eine Zeitspanne von 14 Tagen speicherte. In dieser Speicherung sah ein schleswig-holsteinischer Abgeordneter der Piratenpartei eine unzulässige Überwachung der Internetnutzer und erhob Klage gegen die Bundesrepublik als Betreiberin der Webseite. Die Bundesregierung argumentierte, dass die Speicherung nötig sei, um den sicheren Betrieb der Webseiten zu ermöglichen. Nur so könne man gegebenenfalls Hackerangriffe abwehren und die Angreifer identifizieren um strafrechtliche Schritte einleiten zu können.

Maßgeblich für die Entscheidung war die Frage, ob auch dynamische IP-Adressen personenbezogene Daten darstellen. Um im Internet agieren zu können, bekommt jedes internetfähige Endgerät vom jeweiligen Internetprovider eine eigene IP-Adresse zugewiesen. Bei diesen IP-Adressen unterscheidet man zwischen statischen und dynamischen Adressen. Im Gegensatz zu statischen IP-Adressen können sich dynamische IP-Adressen alle paar Stunden oder Tage ändern. Der Webseitenbetreiber selbst kann die Nutzer einer solchen dynamischen IP-Adresse in aller Regel nicht identifizieren. Lediglich die Internetprovider (bspw. Telekom oder Vodafon) sind hierzu in der Lage, da sie dem Nutzer die dynamische IP-Adresse zuweisen. Wenn dynamische IP-Adressen nicht als personenbezogene Daten anzusehen sind, ist eine Speicherung grundsätzlich als zulässig anzusehen. Sofern man sie jedoch als personenbezogene Daten qualifiziert, ist eine Speicherung nur nach den Maßgaben des Datenschutzrechts zulässig.

Nach § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“ Ähnlich wird dies auch in der EG-Datenschutzrichtlinie 95/46/EG definiert. Gerade bei dynamischen IP-Adressen drängt sich die Frage auf, ob auch diese eine hinreichende Bestimmbarkeit im Sinne der oben genannten Norm aufweisen. Diese Frage hat der BGH vor einiger Zeit dem Europäischen Gerichtshof (EuGH) zur Entscheidung vorgelegt. Der EuGH hat dargelegt, dass eine dynamische IP-Adresse dann ein personenbezogenes Datum darstellt, wenn es dem Webseitenbetreiber möglich ist, mit Hilfe rechtlicher Mittel die betroffene Person hinter der dynamischen IP-Adresse zu bestimmen oder bestimmen zu lassen. In seinem Urteil folgte der BGH dieser Leitlinie und stellte fest, dass dynamische IP-Adressen für die Bundesrepublik als Webseitenbetreiber ein personenbezogenes Datum darstellen, da mit Hilfe der Strafverfolgungsbehörden der Nutzer identifiziert werden könne.

Zur Frage der Speicherung einer dynamischen IP-Adresse als personenbezogenes Datum über das Ende des Nutzungsvorgangs hinaus führte der BGH weiter aus, dass eine solche Speicherung durch den Webseitenbetreiber ohne Einwilligung des Nutzers nur unter den Voraussetzungen des § 15 Abs. 1 Telemediengesetz (TMG) zulässig sei. Diese Norm sei europarechtskonform dahingehend auszulegen, dass die Erhebung und Verwendung erforderlich sein müsse, um die generelle Funktionsfähigkeit des Dienstes zu gewährleisten. Im vorliegenden Fall konnte der BGH kein abschließendes Urteil dazu treffen, ob die Speicherung der IP-Adresse des Nutzers über das Ende des Nutzungsvorgangs hinaus durch das Bundesministerium für Justiz und Verbraucherschutz erforderlich war, um die generelle Funktionsfähigkeit des Dienstes zu gewährleisten. Bei der Frage der Erforderlichkeit sollen aber in einer Abwägung insbesondere das Gefahrenpotential und der „Angriffsdruck“ zu berücksichtigen sein. In einem nächsten Schritt sollen dann das Interesse an der Aufrechterhaltung und der Funktionsfähigkeit des Online-Mediendienstes mit den jeweiligen Grundrechten und Grundfreiheiten des Nutzers der Seite abgewogen und in Einklang gebracht werden.

EuGH lehnt “Recht auf Vergessenwerden“ für in Gesellschaftsregistern enthaltene personenbezogene Daten grundsätzlich ab

14. März 2017

Der Europäische Gerichtshof (EuGH) mit Sitz in Luxemburg, hat mit Urteil im Wege eines Vorabentscheidungsverfahren vom 09.03.2017 (Az.: C-398/15), ein “Recht auf Vergessenwerden“ bezüglich personenbezogener Daten die im Gesellschaftsregister eingetragen sind, grundsätzlich abgelehnt. Betonte allerdings, dass in Ausnahmefällen und nach Ablauf einer hinreichend langen Frist, nach der Auflösung einer Gesellschaft, die EU-Mitgliedsstaaten einen beschränkten Zugriff Dritter zu den hinterlegten Daten vorsehen können.

Der EuGH musste entscheiden, weil ein italienischer Geschäftsmann gegen die Handelskammer Lecce gerichtlich vorgegangen ist. Dieser war der Ansicht, dass er keinen geschäftlichen Erfolg hat, weil im Gesellschaftsregister noch eine Insolvenz von 1992 eingetragen war, welche 2005 liquidiert wurde. Erstinstanzlich wurde ihm vom Tribunale di Lecce Recht gegeben und die Handelskammer aufgefordert die Daten zu anonymisieren. Dagegen ging die Handelskammer Lecce vor. Der angerufene italienische Kassationsgerichtshof hat die relevanten Fragen im Wege des Vorabentscheidungsverfahren dem EuGH vorgelegt.

Die Richter des EuGH begründeten ihre Entscheidung damit, dass die Offenlegung von personenbezogenen Daten im Gesellschaftsregistern der Rechtssicherheit und auch dem Vermögensschutz von Aktiengesellschaften und Gesellschaften mit begrenzter Haftung dient. Zudem sind auch mehrere Jahre nach der Auflösung der Gesellschaft Fragen denkbar, die einen Rückgriff auf die hinterlegten personenbezogenen Daten rechtfertigen.

Die Luxemburger Richter stellten außerdem fest, dass aufgrund von unterschiedlichen Verjährungsfristen der nationalen Gesetzgebungen, einheitliche Fristen nicht möglich sind, sodass die nationalen Gesetzgeber in dieser Frage tätig werden müssen. In jedem Fall muss es aber auf eine Einzelfallprüfung ankommen.

Bezüglich des italienischen Geschäftsmanns sahen die Richter keine Rechtsfertigung für eine Zugangsbeschränkung.

Neue Regelungen zur Vorratsdatenspeicherung widersprechen europarechtlichen Vorgaben

6. Februar 2017

Wie die Mitteldeutsche Zeitung (MZ) berichtet kommt ein Gutachten des Wissenschaftlichen Dienstes des Bundestages, welches der Zeitung vorliegt, zu dem Ergebnis, dass die neuen Regelungen zur Vorratsdatenspeicherung, welche Ende 2015 in Kraft traten, nicht mit europarechtlichen Vorgaben vereinbar sind.

Europarechtlich sind die Regelungen nicht haltbar, weil sie gegen Vorgaben des Europäischen Gerichtshofs (EuGH) verstoßen. Wie der EuGH jüngst wieder bekräftigte ist die Speicherung von Vorratsdaten nur bei Vorliegen einer schweren Straftat zulässig und nicht vorbehaltlos, wie das Gesetz es vorsieht.

Laut hiesigem Gesetz müssen Zugangsanbieter Verbindungsinformationen zehn Wochen und Standortdaten vier Wochen speichern und zwar von allen Nutzern, es entsteht ein Generalverdacht gegen jeden. Lediglich E-Mails werden nicht gespeichert.

Anderer Meinung ist Bundesjustizminister Heiko Maas (SPD) der fortlaufend betonte, dass die Regelungen der höchstrichterlichen Rechtsprechung vollumfänglich gerecht werden.

Die Gegner der Vorratsdatenspeicherung befürchten einen unverhältnismäßigen Eingriff in die Grundrechte. Es wurden bereits Verfassungsbeschwerden gegen die neuen Regelugen eingereicht in der Hoffnung, dass das Bundesverfassungsgericht auch dieses Mal den Bedenken zustimmt und hohe Maßstäbe für die Vorratsdatenspeicherung anlegt, sodass ein Gang zum EuGH vermieden werden kann.  In der Vergangenheit wurden durch die Speicherungsgegner bereits mehrere Verfassungsbeschwerden erhoben und das Vorgängergesetz wurde vom Bundesverfassungsgericht als verfassungswidrig gekippt.

EuGH: IP-Adressen sind personenbezogene Daten und unterliegen damit dem Datenschutzrecht, aber…

20. Oktober 2016

…dürfen dennoch unter Umständen vom Bund gespeichert werden, um sich gegen Cyberattacken zu verteidigen. Dies verkündete der EuGH in seinem Urteil vom gestrigen Tage.

Der Kieler Piraten-Abgeordnete Patrick Breyer hatte gegen die Bundesrepublik Deutschland geklagt, weil die von ihm abgerufenen Webseiten von Einrichtungen des Bundes seine Internet-Protokolladressen (IP-Adressen) aufzeichnen und speichern. Dies habe eine einschüchterne Wirkung und behindere das unbeschwerte anonyme Surfen im Internet, so Breyer laut der Nachrichten-Webseite tagesschau.de.

Damit jedoch nicht genug – auch aus datenschutzrechtlichen Gründen sei das Aufzeichnen und Speichern der IP-Adressen als nicht zulässig anzusehen. Breyer beruft sich dabei auf das Telemediengesetz, wonach „personenbezogene Daten“ nur während der laufenden Verbindung gespeichert werden dürfen, nicht jedoch danach – es sei denn, sie werden noch zu Abrechnungszwecken benötigt. Aber sind IP-Adressen überhaupt personenbezogene Daten im Sinne des Telemedien- und Bundesdatenschutzgesetzes? Breyer behauptet „ja“, der Bund – wie soll es auch anders sein – hingegen „nein“: IP-Adressen seien schließlich dynamisch und würden bei jeder Einwahl ins Internet neu vergeben werden.

Die Luxemburger Richter urteilten nun, dass dynamische IP-Adressen eines Nutzers für den Betreiber der Webseite ein personenbezogenes Datum darstellen können, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, bestimmen zu lassen. Allerdings könne die Speicherung unter Umständen dennoch zulässig sein, wenn der Webseitenbetreiber ein berechtigtes Interesse habe. Die deutsche gesetzliche regelung schränke die Tragweite dieses Grundsatzes zu sehr ein, wenn es die Speicherung von „personenbezogenen Daten“ nur während der Internetverbindung oder während der Abrechung zulasse. Insbesondere müsse deutlicher zwischen dem berechtigten Interesse der Webseitenbetreiber und den Grundrechten und Grundfreiheiten des Nutzers abgewogen werden. Der EuGH sieht in Bezug auf den Bund dahingehend ein berechtigtes Interesse an der Speicherung der IP-Adresse, dass nur dadurch die Aufrechterhaltung der Funktionsfähigkeit der von ihm betriebenen Webseiten über die konkrete Nutzung hinaus gewährleistet werden könne.

EuGH-Entscheidung zu offenen WLANs

16. September 2016

Während in der geplanten Reform des Telekommunikationsgesetzes (TKG) die Störerhaftung nahezu abgeschafft werden soll, hat nun der Europäische Gerichtshof (EuGH) eine nicht unerhebliche Entscheidung zur Urheberrechtsverletzung in offenen WLANs entschieden.

Die Störerhaftung besagt, dass der Betreiber eines offenen WLAN-Netzes für Rechtsverletzungen verantwortlich ist, und zwar auch dann, wenn ein anderer als der Betreiber, die Handlung begangen hat. Aus diesem Grund gibt es hierzulande nur selten offene Netze, da es für den Betreiber kaum nachzuvollziehen ist, wer sich in seinem Netz befindet und welche Handlungen der Nutzer dort vornimmt. Damit setzt sich der Betreiber eines offenen WLANs einem großen Rechtsrisiko aus.

Mit der Reform des Telekommunikationsgesetzes soll nun das sogenannte Providerprivileg ausgebaut werden. Dadurch, dass nicht automatisch der Betreiber eines Netzes haftet, sollen im Bundesgebiet mehr offene Netze entstehen können, da das Rechtsrisiko für den Betreiber deutlich geringer ausfällt.

Das Landgericht München hatte sich mit einem Fall der Störerhaftung zu befassen, bei dem ein Geschäftsbetreiber, der ein offenes WLAN angeboten hat, über das ein Nutzer illegal Musik heruntergeladen hat, für die Tathandlung haften soll. Das Landgericht München hat in diesem Fall den EuGH um Stellungnahme angerufen.

Der Europäische Gerichtshof hat nun entschieden, dass Geschäftsleute, die kostenloses WLAN anbieten, nicht für Urheberrechtsverletzungen, die durch andere Nutzer innerhalb dieses Netzes verursacht werden, haften. Den Betreiber des WLANs treffen jedoch Pflichten, das Netzwerk, zum Beispiel durch ein Passwort, zu sichern, wie chip online berichtet.

Was die geplante Verbreitung offener WLANs betrifft, zeigt sich einmal mehr, wie deutlich Realität und Wunsch auseinander liegen. Die Kontroversen zur Störerhaftung werden trotz des Urteils erhalten bleiben.

Auch EU-Datenschutzbeauftragter kritisiert Privacy Shield

31. Mai 2016

Als Nachfolger des im Oktober vergangenen Jahres vom EuGH gekippten Safe Harbor Abkommens wurde zwischen den USA und der EU das Privacy Shield ausgehandelt, das künftig als Rechtsgrundlage für den Transfer personenbezogener Daten zwischen beiden Staatenbunden dienen soll.

Datenschutzbeauftragte der EU-Mitgliedsstaaten sowie Verbraucherschützer hatten das neue Abkommen bereits stark kritisiert und teilweise sogar als Rückschritt bezeichnet, da es nicht mit dem europäischen Datenschutzstandard vergleichbar sei.

Auch der europäische Datenschutzbeauftragte Giovanni Buttarelli gehe davon aus, dass das neue Abkommen vor europäischen Gerichten nicht bestehen werde, wie Medien berichten. Das Privacy Shield schütze europäische Bürger nicht hinreichend vor willkürlicher Massenüberwachung. Buttarelli fordert Transparenz, nachträgliche Korrekturmöglichkeiten, eine Kontrollaufsicht sowie die Gewährleistungen von Datenschutzrechten. Dass diese Forderungen keinen Einzug in das neue Abkommen gefunden haben, liegt in erster Linie an den USA. Dort wären entsprechende Gesetzesänderungen nötig, die jedoch kaum durchzusetzen wären. Stattdessen vertraut das Privacy Shield auf eine Selbstverpflichtung internationaler Unternehmen.

Generalanwalt beim EuGH: Dynamische IP-Adressen sind personenbezogene Daten

13. Mai 2016

In Kürze wird der Europäische Gerichtshof (EuGH) über eine Vorlagefrage des Bundesgerichtshofs entscheiden. Dabei geht es u. a. um die Frage, ob dynamische IP-Adressen als personenbezogene Daten anzusehen sind und in Folge dem Schutz des Bundesdatenschutzgesetzes unterliegen. Dies ist in juristischen Fachkreisen ein seit Jahren umstrittenes Thema. Am gestrigen Tag hat der Generalanwalt beim EuGH Manuel Campos Sánchez-Bordoma seine Schlussanträge vorgestellt. Er schlägt dem EuGH im Hinblick auf die Einordnung dynamischer IP-Adressen vor, auch diese als personenbezogenes Datum zu klassifizieren.

Gemäß Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sei eine dynamische IP-Adresse, über die ein Nutzer die Internetseite eines Telemedienanbieters aufgerufen hat, für Letzteren ein „personenbezogenes Datum“, soweit ein Internetzugangsanbieter über weitere zusätzlichen Daten verfügt, die in Verbindung mit der dynamischen IP-Adresse die Identifizierung des Nutzers ermöglichen.

Es bleibt abzuwarten, ob der EuGH den Vorschlägen des Generalanwalts Folge leisten wird. In der Regel ist dies der Fall.

1 2 3 4