Kategorie: DSGVO
14. August 2020
Bei der online-Jobbörse der Bundeagentur für Arbeit (BA) haben Datenhändler durch falsche Inserate auf Datensätze zehntausender Bewerber zugegriffen und diese vermutlich auch weiterverkauft.
Aufgefallen war dies 2019 durch Recherchen des SWR. Die BA in Nürnberg konnte hierrauf nach eigenen Feststellungen über 120.000, frei erfundene Inserate ermitteln. Dabei sollen Betroffene auch von Drittfirmen kontatkiert worden sein und Jobangebote erhalten haben, für die sie sich nie beworben hatten.
Das BDSG stellt das Erschleichen von Betroffenendaten durch unrichtige Angaben mit bis zu 2 Jahren unter Strafe. Wie die Süddeutsche Zeitung berichtet, hat die Berliner Staatsanwaltschaft das Ermittlungsverfahren nun jedoch eingestellt. Laut Behörde konnte man gegen den mutmaßlichen Verantwortlichen, ein Berliner Unternehmen, keinen hinreichenden Tatverdacht nach § 170 Abs. 2 Strafprozessordnung feststellen.
Begründet wird die Entscheidung in erster Linie damit, dass keine geschädigten Personen ausfindig gemacht werden konnten. Es sei daher schwer, eine Strafbarkeit zu begründen. Verwundwerlich ist jedoch, dass zumindest eine mutmaßlich betroffene Person im Fernsehn aufgetreten ist. Gleichzeitig beschuldigen die Ermittlungdsbehörden auch den SWR, keine ausreichenden Informationen mit der Staatsanwaltschaft geteilt zu haben.
Datenschützer und Politikker kritiseieren das Vorgehen der Staatsanwaltschaft. Es sei Aufgabe der Behörden selbständig zu ermitteln. Die Entscheidung die Ermittlungen einzustellen stößt dabei auf Unverständnis.
Seit dem Vorfall hat die BA die online Job-Börse umstrukturiert. Nach Bekanntwerden des Datenmissbrauchs wurden die ermittelten, falschen Inserate zunächst gelöscht. Mittlerweile lässt sich erkennen, ob es sich bei dem Inserat um ein betreutes oder ein unbetreutes Angebot der BA handelt.
12. August 2020
Eine Behörde darf einen Bescheid, der sensible personenbezogener Daten enthält, nicht per Telefax übermitteln, wenn der Bescheid stattdessen auf sicherem Weg zum Empfänger gelangen kann. Das entschied jedenfalls das OVG Lüneburg in seinem Beschluss vom 22.07.2020.
Wie es zu der Entscheidung kam
Der Kläger vertrieb explosionsgefährliche Stoffe an nationale Sicherheitsbehörden. Für den Transport der Stoffe nutzte er Fahrzeuge, für die er regelmäßig Übermittlungssperren bei der zuständigen Behörde beantragte. Eine Übermittlungssperre begrenzt die sonst nach dem Straßenverkehrsgesetz vorgesehenen Übermittlungen personenbezogener Daten aus den Fahrzeugregistern an Behörden, Institutionen und Privatpersonen, wenn für eine Sperre erhebliche öffentliche Interessen sprechen.
Der Kläger widersprach Ende 2015 gegenüber der für die Erteilung der Genehmigung der Übermittlungssperren zuständigen Behörde der Übersendung von Faxen mit unverschlüsselten Daten. Er wies auf die Gefahren hin, wenn Kriminelle von den Sprengstofflieferungen erführen. Die Behörde bestätigte Anfang 2016, dass sie beim Umgang mit personenbezogenen Daten die Vorgaben des Datenschutzrechts einhalte und keine personenbezogenen Daten unverschlüsselt übermittle.
Trotz dessen erhielt der Anwalt des Klägers 2017 einen Bescheid der Behörde per Fax. Das Fax enthielt unter anderem Name und Anschrift des Klägers sowie die Fahrzeugidentifikationsnummer und das amtliche Kennzeichen des Fahrzeuges.
Die Entscheidung des OVG Lüneburg
Auf Antrag des Klägers hin stellt das VG Osnabrück fest, dass die unverschlüsselte Kommunikation dieser Daten rechtswidrig war. Der Antrag der Behörde auf Zulassung der Berufung vor dem OVG Lüneburg blieb erfolglos.
Zur Begründung führte das OVG Lüneburg aus, die Behörde habe angesichts der besonderen Schutzbedürftigkeit des Klägers und seiner personenbezogenen Daten bei der Übermittlung dieser Daten ein erhöhtes Schutzniveau einzuhalten. Die unverschlüsselte Übermittlung per Telefax genüge den Anforderungen an ein angemessenes Schutzniveau nicht. In seinem Urteil verweist das OVG Lüneburg auf eine Äußerung des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf seiner Internetseite, wonach der Versand per Telefax mit dem einer Postkarte vergleichbar sei. Bei der unverschlüsselten Übermittlung könnten unberechtigte Dritte jederzeit zugreifen. Zudem sei die Gefahr eines Irrläufers durch falsche Eingaben hoch.
Die Beklagte hätte nach Ansicht des OVG Lüneburg eine andere verfügbare und zumutbare Übermittlungsart nutzen müssen, wie etwa den Versand per Post oder per Bote an die nur 150 m von der Behörde entfernte Kanzlei. Die Nutzung eines Faxgeräts könne in Ausnahmefällen zulässig sein, wenn Verschlüsselungsgeräte verwendet würden. Entscheidungserheblich sei nicht, ob die Benutzung von Faxgeräten dem Stand der Technik entspricht, sondern ob Sicherungsmaßnahmen verfügbar sind und dem Stand der Technik entsprechen.
Folgen der Entscheidung
Die Entscheidung wurde zwar nach altem Datenschutzrecht und nicht nach der Datenschutz-Grundverordnung entschieden, die Rechtslage hat sich diesbezüglich aber nicht wesentlich geändert. Die Entscheidung kann sicherlich im Hinblick auf die Sicherheit von Faxservern kritisiert werden und auch die Übersendung per Post oder Bote bürgt gewisse Risiken. Trotz dessen kann die Entscheidung nicht nur für Behörden, sondern etwa auch für Anwälte oder Ärzte relevant sein. Es muss in jedem Einzelfall abgewogen werden, ob eine unverschlüsselte Übermittlung personenbezogener Daten unter Abwägung der Interessen der betroffenen Person zulässig ist.
31. Juli 2020
Zeitnah nach Verkündung des EuGH-Urteils zur Wirksamkeit des EU-US-Privacy-Shields (Urteil v. 16.07.2020, C-311/18) hatten bereits die ersten deutschen Aufsichtsbehörden zu dieser Entscheidung Stellung bezogen (wir berichteten). Nunmehr haben sich mit der Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) und dem Europäischen Datenschutzausschuss (EDSA) weitere “Big Player” unter den Aufsichtsbehörden zu Wort gemeldet.
Stellungnahme und FAQ des EDSA
Der EDSA hat diesbezüglich gleich zwei Dokumente (in englischer Sprache) veröffentlicht, eine Stellungnahme sowie ein FAQ zum Urteil des Gerichts mit Sitz in Luxemburg. Zunächst einmal wird das Urteil durch den EDSA begrüßt, verdeutliche es doch den Stellenwert des “right to privacy” auch im Hinblick auf den Datentransfer in Drittstaaten. Im Hinblick auf die Unwirksamkeit des Privacy Shields stellt der EDSA heraus, dass einige der nunmehr aufgegriffenen Kritikpunkte auch bereits durch den EDSA aufgeworfen worden waren, und dass ein neues Abkommen zwischen der EU und den USA erforderlich sei, welches sämtliche Rechte der Betroffenen schützt.
Hinsichtlich der Standardvertragsklauseln – welche durch den EuGH grundsätzlich als wirksam anerkannt wurden – obliege es im Wesentlichen den Verantwortlichen selbst, auf ein geeignetes Schutzniveau im betreffenden Drittstaat zu achten. Werde ein solches Schutzniveau nach Ansicht des verantwortlichen Datenexporteurs nicht erreicht, müsse in Betracht gezogen werden, über die in den Standardvertragsklauseln genannten Schutzmaßnahmen hinaus zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen. Wenn die vertraglichen Pflichten (aus den Standardvertragsklauseln) nicht eingehalten werden können – ausdrücklich werden hier die Informationspflichten hinsichtlich Rechtsänderungen in dem Drittstaat genannt – dann müsse in Betracht gezogen werden, den Datentransfer zu stoppen, die Standardvertragsklauseln zu kündigen oder die zuständige Aufsichtsbehörde zu informieren.
In seinen FAQs stellt der EDSA dann noch einmal klar, dass es hinsichtlich der Reaktion auf das Urteil und somit für die Anpassung der Datentransfers in Drittstaaten keine “Gnadenfrist” gebe und sich auf alle Übermittlungen in die USA beziehe. Des Weiteren ist interessant, dass der EDSA die im Urteil nicht erwähnten Binding Corporate Rules (BCRs) ebenfalls anspricht. Auch diese sollten nach Ansicht des EDSA – genauso wie die Standardvertragsklauseln – im Einzelfall daraufhin überprüft werden, ob sie einen hinreichenden Schutz bieten. Ist dies nicht der Fall, sollte hier genauso vorgegangen werden wie bei den Standardvertragsklauseln.
Presseerklärung der DSK
Die Presseerklärung der DSK stimmt mit den Äußerungen des EDSA im Wesentlichen überein. Die DSK stellt jedoch ausdrücklich fest, dass die bisher genutzten Standardvertragsklauseln bei einer Übermittlung in die USA ohne zusätzliche Maßnahmen grundsätzlich nicht ausreichend seien. Dies gelte auch für die weiteren Garantien nach Art. 46 DS-GVO – also auch für die Binding Corporate Rules. Eine Übermittlung nach Art. 49 DS-GVO sei hingegen weiterhin uneingeschränkt zulässig.
Schließlich weist die DSK noch einmal darauf hin, dass eine Schonfrist für laufende Übermittlungen in die USA nicht besteht. Sämtliche datenverarbeitende Akteure, die Übermittlungen in die USA vornehmen, sollten die datenschutzrechtliche Zulässigkeit ihrer Verarbeitungen also umgehend überprüfen.
30. Juli 2020
Die italienische Datenschutzbehörde hat eine Geldbuße in Höhe von 17 Millionen gegen das Telekommunikationsunternehmen Wind Tre verhängt. Wind Tre verstieß mehrfach gegen geltende Datenschutzbestimmungen insbesondere durch seine Werbeaktivitäten.
Wind Tre kontaktierte Kunden, die in eine Kontaktaufnahme nicht eingewilligt hatten, mehrfach über SMS, E-Mail, Fax und automatisierte Anrufe. In mehreren Fällen hatten die Kunden erklärt, dass es nicht möglich war, ihr Recht auf Widerruf der Einwilligung oder Widerspruch gegen die Verarbeitung ihrer Daten zu Marketingzwecken geltend zu machen. In anderen Fällen sind die persönlichen Daten der Benutzer trotz der Widersprüche der Kunden in öffentlichen Telefonbüchern aufgenommen worden. Bei den Apps MyWind und My3 mussten die Kunden einwilligen, dass Wind Tre ihre Daten für Marketing, Profilerstellung, Kommunikation mit Dritten und Geolokalisierung verarbeitet. Ein Widerruf dieser Einwilligung war nach 24 Stunden möglich.
Darüber hinaus beleuchten die Untersuchungen der italienischen Datenschutzbehörde vielfältige Verstöße, die die Handelspartner von Wind Tre betreffen. Einer dieser Handelspartner erhielt von der italienischen Datenschutzbehörde eine Geldbuße in Höhe von 200.000 EUR, da er Kundendaten unrechtmäßig gesammelt hatte.
Die italienische Datenschutzbehörde ordnete an, dass Wind Tre keine Daten verarbeiten darf, wenn es nicht über eine nachweisbare und datenschutzkonforme Einwilligung der Kunden verfügt. Sie wies das Unternehmen außerdem an, technische und organisatorische Maßnahmen zu ergreifen, um eine wirksame Aufsicht über ihre Handelspartner zu gewährleisten.
Mutmaßliche Rechtsextremisten versuchen, mit Drohbriefen Politiker oder Personen des öffentlichen Lebens einzuschüchtern. Über Polizeirechner in Hessen konnten die Täter unberechtigt Adressen, E-Mail-Adressen und Telefonnummern abfragen. Auch in Brandenburg und Berlin wurden solche unberechtigten Abfragen in den vergangenen zwei Jahren bekannt.
Wie die Senatsverwaltung für Inneres auf Anfrage am 27. Juli 2020 mitteilte, wurden gegen die Berliner Polizei deswegen in den letzten zwei Jahren rund 50 Strafverfahren wegen eines Verdachts des Verstoßes gegen das Landesdatenschutzgesetz aufgrund unberechtigter Datenabfragen eingeleitet.
Der Großteil dieser Verfahren wurde allerdings wegen mangelnden Tatverdachts eingestellt:
2018 wurden 24 Verfahren eingeleitet, von denen 23 wieder eingestellt wurden. In lediglich einem Verfahren wurde ein Strafbefehl erlassen.
Im Jahr 2019 wurden von 25 Strafverfahren gegen Bedienstete der Polizei Berlin 16 wegen mangelnden Tatverdachts und eines wegen geringer Schuld eingestellt. Die acht weiteren Strafverfahren sind bisher noch nicht abgeschlossen.
Nach Angaben der Innenverwaltung könnte es weitere Verdachtsfälle gegeben haben, bei denen sich aber unmittelbar herausgestellt haben könnte, dass der Zugriff auf die Daten rechtmäßig war. Das Berliner Datenschutzgesetz wurde Mitte 2018 reformiert. Dadurch können einige Verstöße als Ordnungswidrigkeit einzustufen sein, die bei der Polizei Berlin allerdings statistisch nicht erfasst werden.
Seit 2018 wurden deutschlandweit insgesamt mehr als 400 Ordnungswidrigkeits-, Straf- oder Disziplinarverfahren wegen solcher unberechtigten Datenabfragen eingeleitet. Eine zweistellige Zahl dieser Verfahren wurde allerdings bereits eingestellt oder werden derzeit noch überprüft.
Das Arbeitsgericht Düsseldorf hat in seinem Urteil (v. 05.03.2020 – 9 Ca 6557/18) dem Kläger eine Entschädigung wegen Verstoßes seines Arbeitgebers gegen das Auskunftsrecht aus Art. 15 Abs. 1 DSGVO zugesprochen. In dem Urteil hat das Gericht unter anderem Stellung zu den Voraussetzungen und zur Bemessung eines Anspruchs auf Ersatz eines immateriellen Schadens aus Art. 82 Abs. 1 DSGVO genommen.
Die Parteien stritten über datenschutzrechtliche Auskunft und Information, die Erteilung von Kopien sowie eine Entschädigung. Zwischen der Beklagten, einem Unternehmen in Düsseldorf und dem Kläger bestand bis Anfang 2018 ein Arbeitsverhältnis. Der Kläger begehrte Auskunft über und Kopie von den über ihn verarbeiteten personenbezogenen Daten bei der Beklagten. Die daraufhin erteile Auskunft war seines Erachtens lückenhaft und verspätet. Nach einer erfolglosen Güteverhandlung verlangte der Kläger vollständige Vorlage der fehlenden Informationen und Schadensersatz nach Art. 82 Abs. 1 DSGVO.
Neben dem Umfang der Auskunftspflicht musste das Gericht entscheiden, ob allein durch den Verstoß gegen das Auskunftsrecht ein (immaterieller) Schaden entstanden ist und in welcher Höhe dieser bemessen wird.
Dazu führt das Gericht aus: „Ein immaterieller Schaden entsteht nicht nur in den “auf der Hand liegenden Fällen”, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren. […] Durch die monatelang verspätete, dann unzureichende Auskunft war der Kläger im Ungewissen und ihm die Prüfung verwehrt, dann nur eingeschränkt möglich, ob und wie die Beklagte seine personenbezogenen Daten verarbeitet. Die Schwere des immateriellen Schadens ist für die Begründung der Haftung nach Art. 82 Abs. 1 [DSGVO] irrelevant und wirkt sich nur noch bei der Höhe des Anspruchs aus. […] Verstöße müssen effektiv sanktioniert werden, damit die [DSGVO] wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird. […] Gerichte können sich bei der Bemessung des immateriellen Schadensersatzes auch an Art. 83 Abs. 2 [DSGVO] orientieren, sodass als Zumessungskriterien unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können“
Der Beklagte habe das Auskunftsrecht – das zentrale Betroffenenrecht – beeinträchtigt und zugleich das europäisches Grundrecht des Klägers aus Art. 8 Abs. 2 S. 2 GRCh verletzt, weshalb dem Kläger ein immaterieller Schaden entstanden sei. Als Ersatz dieses Schaden hielt die Kammer einen Betrag in Höhe von 5000 Euro für geboten.
29. Juli 2020
Erstmals nach Inkrafttreten der Datenschutz-Grundverordnung befasste sich der BGH mit dem in Art. 17 DSGVO niedergelegten Recht auf Löschung, allgemein als Recht auf Vergessen bekannt.
Eine wichtige erste Erkenntnis des Urteils ist, dass die Frage nach einem Recht auf Vergessen nicht pauschal beantwortet werden kann. Man wird wohl mit der nicht immer beliebten Standardantwort von Juristen auf komplexe Frage antworten können: „Es kommt darauf an“. In einem der gemeinsam verhandelten Verfahren führte der BGH aus, das Recht auf Vergessen unterliege einer umfassenden Abwägung der Interessen aller Involvierten. Eine weitere Frage zum Recht auf Vergessen legte der BGH dem EuGH zur Entscheidung vor.
Die im Verfahren vor dem BGH aufgeworfenen Fragen sind spannend für die Zukunft von Suchmaschinen und der Internetkommunikation insgesamt: Gibt es im Internet einen unbedingten Anspruch auf ein „Vergessenwerden“, ggf. nach einem gewissen Zeitablauf? Müssen Suchmaschinen erst dann tätig werden, wenn sie von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangen? Erstreckt sich das Recht auf Vergessen bereits auf für die betroffene Person unbequeme oder reputationsschädigende Berichte?
Verfahren VI ZR 405/18 – Der defizitäre Wohlfahrtsverband und sein Geschäftsführer
Der Kläger im ersten Verfahren war Geschäftsführer eines Regionalverbandes einer Wohlfahrtsorganisation. Er begehrte von Google, einen Presseartikel aus dem Jahr 2011 bei der gezielten Suche nach seinem Namen auszulisten. In dem Artikel wurde darüber berichtet, dass der Verband im Jahr 2011 ein finanzielles Defizit von knapp einer Million Euro aufwies und sich der Kläger kurz zuvor krank gemeldet hatte.
Der Kläger scheiterte mit seinem Begehren in allen Instanzen. Der BGH betont, dass das Recht auf Vergessen eine umfassende Grundrechtsabwägung auf Grundlage aller relevanten Umstände des Einzelfalls und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person einerseits und der Grundrechte des Suchmaschinenbetreibers, des Anbieters des beanstandeten Ergebnislinks, der Nutzer und der Öffentlichkeit andererseits bedürfe. Das hatte bereits das Bundesverfassungsgericht Ende 2019 betont.
Interessant ist , dass der BGH damit von seiner früheren Rechtsprechung abkehrt. Der Suchmaschinenbetreiber muss nach dem nun veröffentlichten Urteil nicht erst dann tätig werden, wenn er von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangt. Anders als der EuGH im Verfahren Google-Spain geht der BGH nicht von einem pauschalen Vorrangverhältnis der Interesse des Betroffenen aus.
Im Verfahren um den Geschäftsführer des Wohlfahrtverbands entschied der BGH, dass die Rechte der Nutzer, der Öffentlichkeit und der verlinkten Presseorgane Vorrang haben und ein Anspruch auf Auslistung damit nicht besteht, auch unter Berücksichtigung des Zeitablaufs.
Verfahren VI ZR 476/18 – Das Geschäftsmodell eines Ehepaars aus der Finanzdienstleistungsbranche
In dem zweiten Verfahren begehrte ein in der Finanzdienstleistungsbranche tätiges Ehepaar, kritische Presseartikel und Fotos auszulisten, in denen das Geschäftsmodell der Kläger kritisiert wurde. Die Artikel enthielten u.a. Vorwürfe, die Kläger hätten Unternehmen mit negativer Berichterstattung erpresst. Der Wahrheitsgehalt der Berichte ist – anders als im ersten Verfahren – unklar und konnte auch von Google nicht beurteilt werden.
Dieses Verfahren setzte der BGH aus und legte dem EuGH zwei Fragen zur Vorabentscheidung vor:
Einerseits soll der EuGH klären, wie mit Konstellationen zu verfahren ist, bei denen der Link der Suchmaschine zu einem Inhalt führt, der Tatsachenbehauptungen und auf Tatsachenbehauptungen beruhende Werturteile enthält, deren Wahrheit der Betroffene in Abrede stellt. Kann der Betroffene, etwa durch vorläufigen Rechtsschutz, die Frage der Wahrheit der verlinkten Berichte zumindest vorläufig gerichtlich klären lassen?
Außerdem möchte der BGH vom EuGH wissen, wie mit Vorschaubildern in der Trefferleiste umzugehen ist, wenn der Kontext von der Suchmaschine nicht mit angezeigt wird. Besteht ein Recht auf Vergessen auch dann, wenn die Webseite des Dritten in der Suchmaschine zwar verlinkt, aber noch nicht konkret benannt ist?
Ausblick
Es bleibt abzuwarten wie der EuGH auf die Vorabfragen antworten wird. Die Antworten sind für Presseorgane, Suchmaschinenbetreiber und die Öffentlichkeit gleichsam interessant. Schon jetzt zeichnet sich aber immer deutlicher ab, dass das Recht auf Vergessen keinem Automatismus unterliegt, sondern immer eine Frage der Abwägung im Einzelfall ist. In die Abwägung müssen die Interessen aller Beteiligten einfließen und es kann kein pauschaler Vorrang der Interessen der einen oder anderen Seite angenommen werden. Fazit: “Es komm darauf an”, ob eine betroffen Person ein Recht auf Vergessen hat.
24. Juli 2020
Die belgische Datenschutzbehörde hat eine Geldbuße in Höhe von 600.000 Euro gegen den Suchmaschinen-Anbieter Google wegen Verstoßes gegen das Recht auf Vergessenwerden verhängt. Google hatte den Antrag eines belgischen Bürgers auf Löschung von veralteten Artikeln, die als ernsthaft rufschädigend angesehen wurden, abgelehnt.
Die belgische Datenschutzbehörde stellte fest, dass einige Artikel, die sich auf die Beziehung der Person zu bestimmter politischer Partei beziehen, angesichts ihrer Position im öffentlichen Leben von öffentlichem Interesse seien und online bleiben könnten. Die Datenschutzbehörde stellte jedoch fest, dass die Beibehaltung des Artikels, welche sich auf unbegründete Belästigungsbeschwerden beziehen, ernsthafte Auswirkungen auf die Person haben könnten. Die Behörde sah in Googles Weigerung in letzterem Fall ein „schwerwiegendes Versäumnis“ von Google.
Darüber hinaus wiesen das Google Formular sowie die Antwort an die betroffene Person Transparenzmängel auf. Aus diesen Gründen beschloss die belgische Datenschutzbehörde, eine Geldstrafe von 600.000 Euro zu verhängen. Dies ist die höchste Geldbuße, die je von der belgischen Datenschutzbehörde verhängt wurde.
17. Juli 2020
In Kalifornien wurde durch die US-amerikanische Anwaltskanzlei Boies Schiller Flexner eine Klage gegen Google eingereicht.
Google wird vorgeworfen, Smartphone-Nutzer ohne deren Einwilligung getrackt zu haben. Über Google-Firebase, eine Entwicklungs-Plattform für Apps und Webanwendungen, sollen Daten gesammelt worden sein. Die Anwendung von Google-Firebase in einer App ist üblicherweise für die App-Nutzer nicht ersichtlich.
Wie es in der Klage weiterhin heißt, fängt Google insbesondere Daten über die Nutzung der App, sowie persönliche Daten des App-Nutzers und dessen Kommunikation ab. Android-Nutzer willigen üblicherweise bei einer Neu-Registrierung für ein Google-Konto darin ein, dass ihre Smartphone-Aktivitäten zur Verbesserung des Angebots an Google gesendet werden dürfen. In den Google-Einstellungen besteht die Möglichkeit, diese Einwilligung später zu widerrufen. Hierzu kann der Smartphone-Nutzer unter dem Menüpunkt “Web & App Activity” (“Nutzung & Diagnose”) das Tracking ausschalten. Entgegen der Angaben von Google hierzu, sollen trotz Ausschaltens des Trackings über Firebase Daten gesammelt und an Server von Google gesendet werden.
Google soll die gesammelten Daten verwenden, um Produkte zu verbessern und Anzeigen und andere Inhalte für die Verbraucher zu personalisieren.
Im Rahmen der eingereichten Klage fordert die Kanzlei Boies Schiller Flexner hierfür eine Summe in Höhe von fünf Milliarden Dollar.
Google selbst hat hinsichtlich der Vorwürfe bisher kein offizielles Statement veröffentlicht. Eine Entscheidung durch das Gericht wird innerhalb der nächsten Monate erwartet.
8. Juli 2020
Am morgigen Donnerstag – den 09.07.2020 – entscheidet der EuGH in Luxemburg über ein Vorabentscheidungsersuchen des VG Wiesbaden (Rechtssache C-272/19). Dabei hat der EuGH zwei Vorlagefragen zu beantworten. Die erste Frage befasst sich mit dem Anwendungsbereich der DSGVO, konkret auf Petitionsausschüsse eines Landtags. Die zweite Vorlagefrage hat keinen expliziten datenschutzrechtlichen Hintergrund, ist aber auch für die Belange des Datenschutzes nicht ohne Belang. Das VG Wiesbaden stellt nämlich in Frage, ob es überhaupt als ein “Gericht” im europarechtlichen Sinne angesehen werden kann. Dabei geht es vor allem um die Frage, ob die deuschen Gerichte bzw. Richterinnen und Richter unabhängig genug sind, oder ob eine insitutionelle Abhängigkeit gegeben ist. Diese Entscheidung könnte für sämtliche Gerichte Deutschlands enorme Bedeutung haben.
Erste Vorlagefrage: Anwendbarkeit der DSGVO
Die erste Frage betrifft die Anwendbarkeit der DSGVO auf den Petitionsausschuss als Teil des Hessischen Landtags, und ob dieser als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO zu qualifizieren ist. Dabei ist der Hessische Landtag – vertreten durch seinen Präsidenten – der Auffassung, es handle sich beim Petitionsverfahren um eine parlamentarische Aufgabe, sodass der Ausschuss nicht in den (sachlichen) Geltungsbereich der DSGVO falle (Rn. 3). Dieser Ansicht folgend enthalten das Hessische Datenschutz- und Informationsfreiheitsgesetz (HDSIG, § 30 Abs. 1), die Geschäftsordnung des Hessischen Landtags (§ 112 Abs. 6) sowie deren Datenschutzordnung und weitere Richtlinien entsprechende Regelungen, welche die Anwendbarkeit der DSGVO unter anderem für den Petitionsausschuss verneinen bzw. wegen eines erforderlichen Geheimnisschutzes Auskunftsansprüchen wie Art. 15 DSGVO entgegenstehen. Diese Regelungen seien anzuwenden, wenn der Petitionsausschuss nicht unter die DSGVO fällt (Rn. 13).
Die erste Vorlagefrage bezieht sich daher darauf, ob die DSGVO auf Petitionsausschüsse als Teil des Parlaments eines Gliedstaates (Hessen) eines Mitgliedsstaats (Deutschland) Anwendung findet und insoweit als eine Behörde im Sinne des Art. 4 Nr. 7 DSGVO zu behandeln ist. Der Petitionsausschuss sei zwar eine Behörde im organisationsrechtlichen Sinne, fraglich sei aber ob ihre Aufgaben dem Bereich der öffentlichen Verwaltung unterliegen. Jedenfalls sei der Ausschuss weder der Judikative noch der Legislative zuzuordnen (Rn. 42ff). Für die Definition der “Behörde” im Sinne des Art. 4 Nr. 7 DSGVO sei von einem weiten Verständnis der Verwaltung und somit einem umfassenden Behördenbegriff auszugehen (Rn. 48). Auch erschließe sich nicht, warum Behörden – gegenüber denen nach hessischem Recht ebenfalls eine Petition eingereicht werden kann – der DSGVO unterliegen, diese auf den Petitionsausschuss hingegen keine Anwendung finden sollte; das VG Wiesbaden geht deshalb davon aus, dass der Petitionsausschuss unter Art. 4 Nr. 7 DSGVO zu subsumieren ist (Rn. 51).
Zweite Vorlagefrage: Unabhängikeit deutscher Gerichte
Die zweite Vorlagefrage des VG Wiesbaden befasst sich ebenfalls mit europarechtlichen Vorschriften, konkret mit Art. 267 Abs. 2 AEUV und der Frage, ob das VG Wiesbaden – und mittelbar sämtliche deutsche Gerichte – überhaupt als ein “Gericht” im Sinne dieser Norm zu qualifizieren und somit vorlagebefugt sind. Im Fokus steht hier insbesondere die institutionelle Unabhängigkeit der Gerichte.
In dem Vorabentscheidungsersuchen setzt sich das Gericht diesbezüglich zunächst ausführlicher mit den rechtlichen Grundlagen der richterlichen und gerichtlichen Unabhängigkeit auseinander (Rn. 17ff.). Das VG Wiesbaden kommt dabei zu dem Schluss, dass die deutsche Verfassungslage nur die funktionale richterliche Unabhängigkeit, aber keine institutionelle Unabhängigkeit der Gerichte gewährleiste (Rn. 59). Grund dafür sei, dass die Richterinnen und Richter durch den jeweiligen Justizminister der Länder ernannt, beurteilt und befördert werden und das Beamtenrecht auf die Richterinnen und Richter Anwendung findet. Erforderlich sei jedoch eine “völlige Unabhängigkeit”, wonach keinerlei Einflussnahme irgendeiner Art – mit Ausnahme von Kontrollstellen -, weder unmittelbar noch mittelbar, bestehen dürfe (Rn. 64). Es sei nun aber fraglich, ob Richterinnen und Richter von einer solchen Einflussnahme ausgenommen sind, jedenfalls in solchen Streitigkeiten, in denen das jeweilige Justizministerium beteiligt ist (Rn. 65). Aber auch grundsätzlich sieht das VG Wiesbaden eine äußere Einflussnahme durch das Justizministerium gegeben, indem es über Planstellen, Anzahl des nichtrichterlichen Personals und Ausstattung der Gerichte – und somit letztlich auch über die Verarbeitung personenbezogener Daten durch entsprechende EDV – entscheidet (Rn. 67). Auch durch die bloße Gefahr einer politischer Einflussnahme werde die institutionelle Unabhängigkeit beeinträchtigt (Rn. 73). Demgemäß sieht das VG Wiesbaden sich selbst nicht als unabhängig und unparteiisch im Sinne des Art. 47 Abs. GrCH (Rn. 74).
Einschätzung
Es wird spannend sein zu sehen, wie der EuGH mit den beiden Vorlagefragen umgehen wird. Die Frage der Auslegung des Art. 4 Nr. 7 DSGVO, konkret in Bezug auf “Behörde, Einrichtung oder andere Stelle”, dürfte für einige Insitutionen relevant sein, die sich nicht eindeutig der öffentlichen Verwaltung zuordnen lassen und somit davon ausgehen, nicht den Regelungen der DSGVO zu unterliegen.
Weitreichendere Bedeutung könnte aber die Vorlagefrage zur Unabhängigkeit deutscher Gerichte haben. Geht der EuGH hier ebenfalls davon aus, dass die institutionelle Unabhänigkeit deutscher Gerichte und ihrer Richterinnen und Richter nicht gegeben ist, wird sich die Frage stellen müssen, wie diese Unabhängigkeit künftig sichergestellt werden kann. Jedenfalls dürfte die Entscheidung des EuGH dazu dienen, der durch die Richtervereinigungen geführten Diskussion zur Selbstverwaltung der Justiz neue Aufmerksamkeit zu verschaffen.
Pages: 1 2 ... 40 41 42 43 44 ... 49 50