7. März 2023
Nach Gesprächen mit dem Consumer Protection Cooperation Network (CPC) der Europäischen Union (EU) hat sich WhatsApp bereiterklärt, in Zukunft die Änderungen seiner Nutzungsbedingungen transparenter zu gestalten. Zudem bestätigte WhatsApp, „dass personenbezogene Daten der Nutzerinnen und Nutzer nicht zu Werbezwecken an Dritte oder andere Meta-Unternehmen – einschließlich Facebook – weitergegeben werden“.
Intensiver Dialog mit Verbraucherschutzbehörden und Kommission
Das CPC besteht neben der Europäischen Kommission aus EU-Verbraucherschutzbehörden. Den Dialog führten federführend die schwedische Verbraucheragentur und die irische Kommission für Wettbewerb und Verbraucherschutz. Anstoß für die Untersuchung hatte eine Beschwerde der Europäischen Verbraucherverbands (BEUC) und acht seiner nationalen Mitgliedsverbände im Juli 2021 gegeben. Diese hatten Bedenken wegen „mutmaßlicher unlauterer Praktiken des Unternehmens bei der Aktualisierung seiner Nutzungsbedingungen und Datenschutzbestimmungen“ geäußert. Das CPC hatte WhatsApp daraufhin im Januar 2022 und erneut im Juni 2022 angeschrieben.
Bereitschaft „zu uneingeschränkter Einhaltung von EU-Vorschriften, besserer Information für Nutzer und Respektierung ihrer Entscheidungen bei Vertragsanpassungen“
Ergebnis des Dialogs ist eine Liste von Zusagen, die laut CPC WhatsApps Bereitschaft „zu uneingeschränkter Einhaltung von EU-Vorschriften, besserer Information für Nutzer und Respektierung ihrer Entscheidungen bei Vertragsanpassungen“ zeigen. WhatsApp wolle bei künftigen Änderungen seiner Geschäftspolitik geplante Änderungen an den Verträgen und deren Auswirkungen auf die Nutzerschaft erklären, „die Option zur Ablehnung aktualisierter Nutzungsbedingungen so deutlich anbieten wie die Möglichkeit, diese zu akzeptieren“ sowie „gewährleisten, dass Benachrichtigungen mit Update-Informationen ausgeblendet oder die Überprüfungen auf Updates aufgeschoben werden können, die Entscheidungen der Nutzerinnen und Nutzer respektieren und Benachrichtigungen nicht wiederholt versenden.“
Die Umsetzung dieser Zusagen will das CPC aktiv überwachen und falls erforderlich auch mit Bußgeldern durchsetzen.
Enttäuschung vonseiten des Verbraucherschutzverbands
BEUC zeigte sich enttäuscht von den Ergebnissen der Dialoge und bezeichnete sie als „Gelbe Karte“ für WhatsApp. Während EU-Justizkommissar Didier Reynders die Zusagen begrüßte, bedauerte BEUC-Vizedirektorin Ursula Pachl die „schwache Reaktion“ des CIC. Es sei nicht ausreichend, einfach mehr Transparenz und die Möglichkeit, Änderungen der Richtlinien in Zukunft leichter abzulehnen, zu versprechen. Millionen von Nutzerinnen und Nutzern seien aufgrund des aggressiven Verhaltens von WhatsApp 2021 gezwungen worden, die Änderungen zu akzeptieren. Diesen Menschen werde keine Abhilfe verschafft. Die Verbraucherschutzbehörden senden laut Pachl ein „sehr besorgniserregendes Signal aus, indem sie akzeptieren, dass ein Tech-Gigant wie WhatsApp Verbraucherrechte verletzen kann und dann mit dem Versprechen davonkommt, sich in Zukunft zu bessern. Dies zeigt, dass die derzeitige Art und Weise der Durchsetzung des Verbraucherrechts nicht abschreckend genug ist und dass eine dringende Reform erforderlich ist, um eine wirksamere Durchsetzung insbesondere bei EU-weiten Verstößen zu gewährleisten.“
Der Schutz von IP-Adressen gewinnt in der datenschutzrechtlichen Praxis zunehmend an Bedeutung, insbesondere bei der Einbindung von Drittdiensten in Webseiten und der Nutzung von IP-Adressen im Zensus 2022. Es wird jedoch oft pauschal angenommen, dass dynamische IP-Adressen personenbeziehbar sind, was nicht zwingend der Fall ist. Es wird unterstellt, dass dynamische IP-Adressen personenbeziehbar nach Art. 4 Nr. 1 DS-GVO seien. Findet sich eine Begründung, wird auf das Urteil des EuGH in der Rs. Breyer verwiesen.
Da IP-Adressen bei jeder Internet-Kommunikation unvermeidlich sind und ihre Bedeutung mit dem Auslaufen von cookiebasiertem Tracking weiter zunehmen wird, ist es wichtig, den angeblichen Personenbezug von dynamischen IP-Adressen kritisch zu hinterfragen.
Was steht in der DS-GVO?
Im Gesetzestext der DS-GVO wird nicht explizit auf IP-Adressen eingegangen, jedoch werden sie im Erwägungsgrund 30 erwähnt, wo deutlich wird, dass sie nur in Kombination mit anderen Informationen einen Personenbezug ermöglichen können. Nach Erwägungsgrund 26 sollen dabei nur Zusatzinformationen berücksichtigt werden, die “nach allgemeinem Ermessen wahrscheinlich genutzt werden”, wobei objektive Faktoren wie Kosten und Zeitaufwand zu berücksichtigen sind. Der europäische Verordnungsgeber betrachtet den möglichen Personenbezug von IP-Adressen also differenziert.
Rechtsprechung und Aufsichtsbehörden undifferenziert
In einigen Fällen gehen Gerichte und Datenschutzaufsichtsbehörden reflexartig davon aus, dass eine IP-Adresse einen Personenbezug hat. Zum Beispiel hat das LG München I in einem Fall, der die Google-Fonts-Abmahnwelle ausgelöst hat, entschieden, dass die dynamische IP-Adresse für einen Webseitenbetreiber ein personenbezogenes Datum darstelle, unabhängig davon, ob auch Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen. Ähnlich haben auch andere Gerichte im Zusammenhang mit dem Zensus 2022 entschieden. Deutsche Datenschutzaufsichtsbehörden haben seit vielen Jahren die Ansicht vertreten, dass IP-Adressen stets personenbezogene Daten darstellen, und geben in der Regel keine Begründung dafür an. Dies ist auch in der finalen Fassung der DSK-Orientierungshilfe Telemedien der Fall.
Das Breyer-Urteil des EuGH
Das Urteil des EuGH in der Rs. Breyer aus dem Jahr 2016 wurde von vielen als bahnbrechend angesehen, da es den Personenbezug von IP-Adressen anerkannte. Dieses Urteil wurde jedoch oft missverstanden und es ist weniger klar und differenzierter, als es oft angenommen wurde. Der EuGH wurde von der Vorlagefrage des BGH geleitet, die sich auf die Verarbeitung von IP-Adressen durch Webseitenbetreiber bezieht. Der BGH wollte wissen, ob eine IP-Adresse, die von einem Webseitenbetreiber im Zusammenhang mit einem Zugriff auf seine Webseite gespeichert wird, als personenbezogenes Datum anzusehen ist, wenn der Internetzugangsanbieter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.
Die Vorlagefrage des BGH war relativ eng und bezog sich nur auf die Verarbeitung von IP-Adressen durch Webseitenbetreiber, die diese selbst erhoben haben. Es wurde unterstellt, dass der Internetzugangsanbieter über das erforderliche Zusatzwissen verfügt, um die betroffene Person zu identifizieren. Allerdings blieb die Vorlagefrage unklar, da es unklar war, ob mit der “betroffenen Person” der Inhaber des Internetanschlusses oder der konkrete Nutzer gemeint war, der die betreffende Webseite aufgerufen hatte. In der Praxis fallen diese Gruppen oft auseinander, zum Beispiel bei offenen WLAN-Netzwerken oder wenn sich mehrere Familienmitglieder oder WG-Bewohner einen Internetanschluss teilen.
Es war unklar, ob der BGH den Anschlussinhaber oder den konkreten Nutzer im Sinn hatte, was zu einer Uneinigkeit zwischen dem BGH und dem EuGH führte. Der EuGH interpretierte die Vorlagefrage offenbar dahingehend, dass die “betroffene Person” der Nutzer sei, der die Webseite abgerufen hat. Es scheint, als hätten der BGH in seinem Vorlagebeschluss und der EuGH in seinem Urteil in dieser entscheidenden Frage aneinander “vorbeigeredet”.
Die Frage der Zugänglichkeit der Zusatzinformationen war ebenfalls ein strittiger Punkt zwischen dem BGH und dem EuGH. Der BGH erwähnte in seinem Vorlagebeschluss, dass dem Webseitenbetreiber kein direkter Auskunftsanspruch gegenüber dem Internetzugangsbetreiber zustehe und dass die Zusatzinformationen des Internetzugangsanbieters für den Webseitenbetreiber als nicht zugänglich anzusehen seien. Der EuGH war jedoch der Ansicht, dass es für den Anbieter von Online-Mediendiensten rechtliche Möglichkeiten gebe, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten. Das Urteil des EuGH betont, dass die Identifizierung “praktisch durchführbar” sein müsse.
Insgesamt war das Urteil des EuGH in der Rs. Breyer weniger klar und differenzierter als oft angenommen. Es gibt immer noch offene Fragen bezüglich des Personenbezugs von IP-Adressen und der Zugänglichkeit von Zusatzinformationen.
Fazit
Das Breyer-Urteil des Europäischen Gerichtshofs (EuGH) hat zu einer umfangreichen Diskussion darüber geführt, ob dynamische IP-Adressen als personenbezogene Daten zu betrachten sind. In diesem Zusammenhang ist es wichtig zu betonen, dass das Urteil des EuGH auf den Kontext des Vorlagebeschlusses beschränkt ist und lediglich eines von vielen praktischen Szenarien betrifft, in denen IP-Adressen eine Rolle spielen. Die Entscheidung ist somit mit Vorsicht zu genießen. Eine Übertragung auf die Identifizierbarkeit des konkreten Nutzers erscheint zweifelhaft, wenn dieser nicht zugleich der Anschlussinhaber ist.
Das Urteil ist nicht ohne Einzelfallprüfung auf Situationen übertragbar, in denen IP-Adressen von anderen Verantwortlichen als dem Webseitenbetreiber verarbeitet werden. Ob auch Drittanbietern nach deutschem Recht die rechtlichen Auskunftsansprüche zustehen, haben weder der Bundesgerichtshof noch der EuGH entschieden. Auch die Frage, ob derartige Ansprüche nach anderen anwendbaren Rechtsordnungen bestehen, wenn die Drittanbieter außerhalb Deutschlands sitzen, ist offen. Die Möglichkeit für Drittanbieter, den Personenbezug auf Grundlage eigener Zusatzinformationen herzustellen, kann nicht einfach unterstellt werden, sondern muss im Einzelfall begründet werden. Erhebliche Zweifel am Personenbezug von IP-Adressen bestehen daher auch beim sog. „Server Side Tracking“.
In Konstellationen, in denen IP-Adressen in anderem Kontext als einem http-Request verarbeitet werden, liegt ein Personenbezug noch ferner. Eine Identifizierbarkeit ist kaum mehr denkbar, wenn die Stelle, die IP-Adressen verarbeitet, nicht über die bei einem http-Request übermittelten weiteren Informationen verfügt. Somit ist eine fundierte Begründung notwendig ist, um festzustellen, ob dynamische IP-Adressen personenbezogene Daten darstellen. Ohne eine solche erscheint die Wertung in vielen Fällen rechtlich angreifbar.
Klar ist, dass die Frage, ob dynamische IP-Adressen personenbezogene Daten darstellen, stets einer fundierten Begründung bedarf. Ohne eine solche erscheint die Wertung in vielen Fällen rechtlich angreifbar.
28. Februar 2023
Wie der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski bekanntgab, hat seine Behörde einen Rahmenvertrag mit einem in der EU ansässigen Dienstleister der Open Source-Software Nextcloud und LibreOffice geschlossen.
Datenschutzkonforme Gesamtlösung für EU-Einrichtungen
Mit Nextcloud und LibreOffice können in einer gesicherten Cloud-Umgebung beispielsweise Dateien ausgetauscht, Nachrichten versendet oder auch Videoanrufe getätigt werden. Der gewählte Dienstleister ist in der EU ansässig und nach Aussage des EDSB für alle Organe, Einrichtungen, Ämter und Agenturen der EU zugänglich. Dabei sei die Einhaltung des Datenschutzrechts sowie weiterer spezieller Vorschriften gewährleistet.
Vermeidung von Drittlandstransfers und Unterauftragsverarbeitern
Anders als bei anderen Anbietern sei hier gewährleistet, dass keine Datenübertragung in Nicht-EU-Länder stattfinde. Zudem werde der Einsatz von Unterauftragsverarbeitern vermieden. Der Rahmenvertrag soll damit eine bessere Kontrolle über personenbezogene Daten ermöglichen. Dabei möchten die EU-Institutionen mit gutem Beispiel vorangehen, um digitale Rechte zu schützen und Daten verantwortungsvoll zu verarbeiten.
Alternative zu Microsoft und co.
Bisher bestanden und bestehen vor allem Verträge mit Microsoft für die Office-Produkte in den EU-Institutionen. Bereits 2020 hatte der EDSB deren Einsatz als problematisch eingeordnet. Auch in Deutschland haben die Datenschutzbehörden erhebliche Bedenken gegenüber dem Einsatz der cloudbasierten Microsoft-Produkte geäußert und zuletzt im Rahmen der Datenschutzkonferenz einen datenschutzkonformen Einsatz von Microsoft 365 in öffentlichen Stellen für nicht möglich erachtet. Problematisch ist hier insbesondere, dass Verantwortliche unter Umständen keine Kontrolle über Datentransfers haben.
Vorbild für den nichtöffentlichen Bereich?
Auch im nichtöffentlichen Bereich stellt sich oft die Frage nach datenschutzkonformen Cloud-Lösungen. Hier könnte der Rahmenvertrag des EDSB ein Vorbild sein. Jeder nach dem Datenschutzrecht Verantwortliche muss sich schließlich damit auseinandersetzen, ob die von ihm gewählten Programme datenschutzkonform nutzbar sind. Dabei kann es helfen, solche zu nutzen, die vom EDSB als datenschutzkonform eingeordnet werden. Allerdings ist in jedem Fall eine Einzelfallabwägung erforderlich, die die eigenen Bedürfnisse und Risiken für die Daten berücksichtigt.
Seit Inkrafttreten der RL (EU) 2019/1024 vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (PSI-RL) wurden die sog. hochwertigen Datensätze neu eingeführt. Am 20.1.2023 wurde im Amtsblatt der EU die Durchführungsverordnung VO (EU) 2023/138 der Kommission zur Festlegung bestimmter hochwertiger Datensätze und der Modalitäten ihrer Veröffentlichung und Weiterverwendung veröffentlicht. In dem Beitrag geht es um einen Überblick über die Inhalte der neuen VO (EU) 2023/138 und dem Zusammenhang mit dem Datenschutzrecht.
Was sind hochwertige Datensätze?
Die Legaldefinition von hochwertigen Datensätzen in Art. 2 Nr. 10 PSI-RL bezieht sich auf Dokumente, die wichtige Vorteile für die Gesellschaft, Umwelt und Wirtschaft bieten. Außerdem sind die thematischen Kategorien hochwertiger Datensätze sind in Anhang I der PSI-RL aufgeführt und können durch die EU-Kommission erweitert werden. Art. 14 Abs. 1 UAbs. 1 PSI-RL verpflichtet die EU-Kommission zur Festlegung einer Liste von hochwertigen Datensätzen im Besitz öffentlicher Stellen oder öffentlicher Unternehmen. Diese Festlegung muss auf einer Bewertung des Potenzials der Datensätze basieren, hinsichtlich sozioökonomischer oder ökologischer Vorteile, Nutzen für eine große Zahl von Nutzern, Einnahmen und Kombinierbarkeit mit anderen Datensätzen.
Grund der Unterscheidung zu „nicht-hochwertigen“ Datensätzen
Die Einstufung von Dokumenten als hochwertige Datensätze ist relevant für die Anforderungen der PSI-RL bezüglich Format und kostenfreier Zurverfügungstellung durch öffentliche Stellen. Hochwertige Datensätze müssen in maschinenlesbarem Format über geeignete APIs und als Massen-Download zur Verfügung gestellt werden, ohne dass Kompensationszahlungen erhoben werden dürfen, außer in Ausnahmefällen. Im Gegensatz dazu können für nicht-hochwertige Datensätze Erstattungen für Grenzkosten verlangt werden, die durch Reproduktion, Bereitstellung und Verbreitung von Dokumenten sowie durch die Anonymisierung personenbezogener Daten und Maßnahmen zum Schutz vertraulicher Geschäftsinformationen verursacht werden.
Inhalt der neuen Verordnung
Die EU-Kommission hat mit der VO (EU) 2023/138 für jede der sechs Kategorien in Anhang I PSI-RL eine Liste hochwertiger Datensätze erstellt und Modalitäten für deren Veröffentlichung und Weiterverwendung festgelegt. Ziel ist es, öffentliche Daten mit hohem sozioökonomischem Potenzial leicht zugänglich und kostenlos zur Verfügung zu stellen. Die VO (EU) 2023/138 besteht aus 14 Erwägungsgründen und sechs Artikeln, in denen der Gegenstand der Durchführungsverordnung, Begriffsbestimmungen, Veröffentlichungs- und Weiterverwendungsmodalitäten sowie die Verpflichtung der Mitgliedstaaten zur Übermittlung von Berichten über die Durchführung der Durchführungsverordnung festgelegt sind.
Weiterhin soll die VO (EU) 2023/138 sicherstellen, dass öffentliche Daten mit hohem Potenzial für die Gesellschaft leicht zugänglich und kostenlos zur Verfügung stehen. Die Modalitäten für Veröffentlichung und Weiterverwendung werden für jede Kategorie festgelegt, wobei Ausnahmen und Einschränkungen in einigen Kategorien vorgesehen sind. Die Mitgliedstaaten sind verpflichtet, Berichte über die Durchführung der Durchführungsverordnung zu erstellen und einzureichen. Der Anhang der Durchführungsverordnung enthält detaillierte Informationen zu den erfassten Datensätzen und den kategoriespezifischen Regelungen für ihre Veröffentlichung und Weiterverwendung.
Bleibt der Datenschutz auf der Strecke?
Hochwertige Datensätze können personenbezogene Daten enthalten, die durch das Datenschutzrecht geschützt sind. Der EU-Gesetzgeber hat bei der VO (EU) 2023/ keine Ausnahme vom Datenschutzrecht gemacht. Um die Vertraulichkeit von personenbezogenen Daten in hochwertigen Datensätzen zu gewährleisten, empfiehlt der Text den Einsatz von verschiedenen Techniken, wie Generalisierung, Aggregierung, Anonymisierung, differenzieller Privatsphäre oder Randomisierung. Diese Methoden können dazu beitragen, dass personenbezogene Daten nicht mehr identifizierbar sind und damit der Datenschutz gewahrt bleibt. Solche Maßnahmen können jedoch auch Kosten verursachen. Deswegen können diese bei der Festlegung von angemessenen Entgelten und Gebühren auch berücksichtigt werden.
Weitere Überlegungen zum Datenschutz sind in den Lizenzen und Datenschutz-Folgenabschätzungen gemäß Art. 35 DS-GVO enthalten. In Lizenzen können Bedingungen festgelegt werden, die den Schutz personenbezogener Daten bei der Weiterverwendung durch den Lizenznehmer sicherstellen. Unter bestimmten Umständen müssen auch Datenschutz-Folgenabschätzungen durchgeführt werden, um mögliche Risiken für die Privatsphäre der betroffenen Personen zu identifizieren.
Die Mitgliedstaaten müssen über solche Bewertungen der EU-Kommission Bericht erstatten, um sicherzustellen, dass der Datenschutz bei der Verwendung von hochwertigen Datensätzen gewahrt bleibt.
Fazit
Die EU-Kommission hat mit der Verabschiedung der VO (EU) 2023/138 einen weiteren Schritt zur Förderung der gemeinsamen Datennutzung und eines innovationsfreundlichen europäischen Binnenmarkts gemacht. Dabei müssen die Mitgliedstaaten müssen nun unter anderem APIs für die hochwertigen Datensätze bereitstellen, Datenschutz-Folgenabschätzungen durchführen und entscheiden, ob Ausnahmen von der unentgeltlichen Zurverfügungstellung der Datensätze für bestimmte Stellen erforderlich sind. Es bleibt abzuwarten, wie die Mitgliedstaaten mit den Mindestanforderungen für die Datensätze und Modalitäten für die Weiterverwendung umgehen werden. Die Verordnung trat am 9. Februar 2023 in Kraft und gilt unmittelbar in allen Mitgliedstaaten.
23. Februar 2023
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber veröffentlichte eine Pressemitteilung, der zufolge er der Bundesregierung den Betrieb ihrer Facebookseite untersagt habe. Für die Abschaltung der Facebookseite habe das zuständige Bundespresseamt (BPA) vier Wochen Zeit.
Fehlende Rechtsgrundlage und Cookies
Der Auslöser für die Untersagung sei, neben verschiedener datenschutzrechtlicher Bedenken, ein Gutachten einer Taskforce, die die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) eingesetzt habe. In ihrem Gutachten habe sich die Taskforce mit dem Betrieb von sog. Facebook-Fanpages auseinandergesetzt (wir berichteten). Im Ergebnis habe die Taskforce festgestellt, dass keine wirksame Rechtsgrundlage zum Betrieb einer Facebook-Fanpage bestehe und dass der Betreiber der Seite seinen Informationspflichten nach Art. 12 ff. DSGVO nicht nachkommen könne.
Dementsprechend betonte der BfDI zunächst, dass bei der Erstellung einer Facebookseite eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bestehe. Der Betreiber einer Fanpage und das Facebook-Mutterunternehmen Meta haben im Hinblick auf die Facebook-Fanpage sich ergänzende Interessen.
Aus der gemeinsamen Verantwortlichkeit folge für das BPA die Pflicht, den datenschutzkonformen Betrieb nachzuweisen. In einem zuvor erfolgten Verfahren sei es dem BPA allerdings nicht gelungen, den BfDI von der Datenschutzkonformität der Facebook-Fanpage zu überzeugen.
Konkret kritisierte der BfDI, dass es an einer für die Datenverarbeitung erforderlichen Rechtsgrundlage fehle. Auch die von der DSK eingesetzte Taskforce habe diesen Umstand in ihrem Gutachten vergangen Jahres bemängelt.
Zusätzliche monierte der BfDI den Einsatz von Cookies auf der Facebookseite. Den Einsatz von Cookies regele das TTDSG. Nach § 25 Abs. 1 TTDSG sei für die Speicherung von Informationen in der Einrichtung des Nutzer oder das Auslesen dieser Informationen, d.h. für den Einsatz von Cookies eine Einwilligung erforderlich. Einer solchen Einwilligung bedürfe es unter anderem nicht, wenn die Speicherung oder das Auslesen von Informationen nach § 25 Abs. 2 Nr. 2 TTDSG „unbedingt erforderlich“ sei. Aus Sicht des BfDI sei im Falle der Facebookseite allerdings problematisch, dass Meta nicht unbedingt erforderlich Cookies einsetzte. Für diese Verwendung werde indes keine, mangels Ausnahme erforderliche Einwilligung eingeholt.
Fazit
Die im Ergebnis bestehenden Bedenken der Datenschutzkonformität führen folglich zur Pflicht des BPA, die Facebookseite der Bundesregierung abzuschalten. Gegen die Entscheidung des BfDI könne das BPA Klage erheben.
Bereits vor einem Jahr hatte die DSK, im Zusammenhang mit dem veröffentlichten Gutachten öffentliche Stellen zur Überprüfung und zur eventuell erforderlichen Abschaltung ihrer Facebookseiten aufgerufen. Ob mit der Entscheidung des BfDI die Datenschutzkonformität von Facebookseiten privater Unternehmen vermehrt Aufmerksam erhalten wird, bleibt abzuwarten.
22. Februar 2023
Brüssel. Die EU-Kommission klagt vor dem EuGH wegen unzureichendem Schutz für Hinweisgeber. Dieses Vorgehen gegen Deutschland lässt sich auf eine fehlende Umsetzung einer im Jahr 2019 geschaffenen Richtlinie rückführen. In deutsches Recht hätte die Richtline bereits im Dezember 2021 umgesetzt werden sollen. Sogenannten Whistleblowern sollten damit das Aufdecken und Weitergeben von Missständen oder kriminellen Machenschaften in Unternehmen erleichtert werden.
Hinweisgeberschutzgesetz auf der Zielgeraden blockiert
Der Bundesregierung ist grundsätzlich kein Untätig werden vorzuwerfen. Vielmehr ist das entworfene neue Gesetz zum Schutz von Hinweisgebern auf den letzten Metern der Gesetzgebung gescheitert. Durch das Gegenstimmen der Bundesländer, in denen die Union regiert, wurde das Gesetz nun doch noch gekippt. Mit 38 von 69 Stimmen hat die Union mit einer Blockademehrheit dafür gesorgt, dass ein Schutz von Whistleblowern weiterhin nur wünschenswert bleibt. Dieses Vorgehen wird auf das Argument einer möglichen Regulierung über die von der Kommission geforderten Standards bezogen. Die Union wünschte sich aus Angst vor Missbrauch von Meldungen eine Nachbesserung des Gesetzes.
Ampel über die Blockade empört
SPD und Grüne beharren auf dem Gesetzesentwurf und wollen keine Änderungen. SPD-Innenpolitiker Sebastian Fiedler erklärt in einem Interview einen möglichen Plan B. Demnach könnte ein inhaltlich gleicher Gesetzesentwurf in den Bundestag eingebracht werden. Einziger Unterschied wäre eine nicht zustimmungsbedürftige Form.
Fazit
Der Pyrrhussieg der Union durch die Blockade des Gesetzes könnte für die Bundesrepublik nun eine Strafe nach sich ziehen. Durch das Kippen des Gesetzesentwurfes gehen leider mehrere Parteien als Verlierer heraus. Doch neben einer möglichen Sanktionierung des Staates sind die wahren Opfer Hinweisgeber, welche dennoch mit großem Mut auf Missstände aufmerksam machen.
Mit Urteil vom 16. Februar 2023 hat das Bundesverfassungsgericht (BVerfG) automatisierte Datenanalysen der Polizei in Hessen und Hamburg für verfassungswidrig erklärt. Die beiden angegriffenen Landesgesetze erlaubten der Polizei demnach „automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden“.
Schwere Grundrechtseingriffe durch Profiling-ähnliche Analysen
Das BVerfG erkannte in den angegriffenen Vorschriften (§ 25a Abs. 1 Alt. 1 des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) und § 49 Abs. 1 Alt. 1 des Hamburgischen Gesetzes über die Datenverarbeitung der Polizei (HmbPolDVG)) Verstöße gegen das Recht auf informationelle Selbstbestimmung. Die Polizeien der Länder dürfen auf deren Grundlage „bisher unverbundene, automatisierte Dateien und Datenquellen in Analyseplattformen […] vernetzen und die vorhandenen Datenbestände durch Suchfunktionen systematisch […] erschließen“ (Rn. 2). Laut BVerfG enthalten die Normen jedoch keine „ausreichende Eingriffsschwelle“. Angesichts des Eingriffsgewichts seien die Befugnisse zu offen formuliert.
Es sei zwar nicht ungewöhnlich, dass die Polizei ihre Erkenntnisse auch in Verknüpfung mit anderen Informationen zum Anstoß weiterer Ermittlungen nutze. Allerdings gehe die Analyse nach den angegriffenen Normen viel weiter. Sie nähere sich bei entsprechendem Einsatz sogenanntem „Profiling“ an, mit dem „sich softwaregestützt neue Möglichkeiten einer Vervollständigung des Bildes von einer Person ergeben, wenn Daten und algorithmisch errechnete Annahmen über Beziehungen und Zusammenhänge aus dem Umfeld der Betroffenen einbezogen werden“ (Rn. 69).
Rechtlich unbegrenzte Methoden
Angesichts der hohen Eingriffsintensität der Analysemöglichkeiten müssten laut BVerfG strenge Eingriffsvoraussetzungen erfüllt werden. Hier bemängelte das BVerfG, dass die Befugnisse der Polizei hinsichtlich der Methoden praktisch unbegrenzt sei: „In ihrer daten- und methodenoffenen Unbegrenztheit erlauben die Regelungen der Polizei, mit einem Klick umfassende Profile von Personen, Gruppen und Milieus zu erstellen und auch zahlreiche rechtlich unbeteiligte Personen weiteren polizeilichen Maßnahmen zu unterziehen, die in irgendeinem Zusammenhang Daten hinterlassen haben, deren automatisierte Auswertung die Polizei auf die falsche Spur zu ihnen gebracht hat“ (Rn. 150).
Der Gesetzgeber habe zudem den Wortlaut der Normen sehr weit gefasst, sodass diese auch Data-Mining und den Einsatz selbstlernender Systeme (Künstliche Intelligenz) erlaubten.
Hamburger Gesetz nichtig, Übergangsfrist für Hessen
Das BVerfG hält eine automatisierte Datenanalyse oder -auswertung grundsätzlich für möglich. Diese muss jedoch eine verfassungsrechtliche Rechtfertigung bieten. Für Hessen gilt daher nun eine Übergangsfrist für eine Neuregelung bis zum 30. September 2023. Das Programm „HessenData“, welches auf dem Programm „Gotham“ vom US-Software-Unternehmen Palantir beruht, wird dort bereits seit 2017 eingesetzt.
§ 49 Abs. 1 Alt. 1 HmbPolDVG wurde dagegen direkt für nichtig erklärt. Die Norm wurde mit kleinen Änderungen der hessischen Norm nachgebildet, aber bisher noch nicht angewendet.
Bundesweite Auswirkungen des Urteils
Auch Bayern hat Interesse an dem Analyseprogramm bekundet und prüft derzeit den Einsatz. Nordrhein-Westfalen nutzt bereits Palantir-Dienste. Es bleibt abzuwarten, inwieweit die anderen Länder das Urteil in ihre Gesetzgebung einfließen lassen werden. Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit zweifelte im Verfahren vor dem BVerfG die Rechtmäßigkeit der fraglichen Normen an. Er bemängelte, dass „falsche Entwicklungen immer erst von den Gerichten gestoppt werden“ müssten, anstatt auf die Proteste aus der Zivilgesellschaft und die Datenschutzbeauftragten einzugehen.
21. Februar 2023
Am 20. Januar 2023 erließ das Oberlandesgericht Hamm ein Urteil zugunsten eines Klägers über 100 Euro Schadensersatz i.S.v. Art. 82 Abs. 1 Alt. 2 DSGVO.
Sachverhalt
Im August 2021 kam es im Impfzentrum der Stadt Essen zu einem menschlichen Fehler, von jedoch großem datenschutzrechtlichem Ausmaß. Anstelle einer E-Mail zur Terminverschiebung der Impfung wurden Excel-Tabellen mit Daten der besonderen Kategorien von mehr als 13.000 Essener Bürgerinnen und Bürgern verschickt. Rund 1.200 Essener sollen auf diesem Weg statt eines neuen Termins sensible Gesundheitsinformationen von ihren Mitbürgern erhalten haben. Neben der Information, wann wer mit welchem Impfstoff geimpft werden sollte, wurden auch Adressen und Telefonnummern preisgegeben.
Die Berufung des Klägers gegen das am 02.06.2022 verkündete Urteil der 1. Zivilkammer des Landgerichts Essen wies das Oberlandesgericht Essen zurück. Das Gericht kam in seinem Urteil zu dem Ergebnis, dass der Fehlversand der Excel-Tabellen einen Verstoß gegen datenschutzrechtliche Vorgaben darstelle. Neben einem Verstoß gegen die Grundsätze der Datenverarbeitung i.S.v. Art. 5 DSGVO liege auch ein Verstoß gegen den Schutz von besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO vor. Die Stiftung Datenschutz berichtet, dass das Oberlandesgericht Hamm einen Verstoß gegen die Verpflichtung zu technischen und organisatorischen Maßnahmen zur Datensicherheit offenließe. Dies hatte die Vorinstanz allerdings bejaht. Das OLG Hamm lehnt eine Bagatellgrenze beim Schmerzensgeld ab und betont die Genugtuungsfunktion des Schmerzensgeldanspruchs sowie dessen generalpräventive Wirkung zur Rechtfertigung der Höhe des Schmerzensgeldes.
Fazit
Selbst das höchste Maß technisch-organisatorischer Maßnahmen kann Bedienfehler menschlicher Natur nicht immer ausschließen. Obwohl es sich im beschriebenen Sachverhalt um einen Verstoß gegen die Grundsätze der Verarbeitung personenbezogener Daten handelt und auch Gesundheitsdaten betroffen sind, lässt das Oberlandesgericht Hamm das Bußgeld durchaus milde, aber verhältnismäßig sowie abschreckend ausfallen. Dennoch sollten Verantwortliche sowie Auftragsverarbeiter die Mitarbeitenden , welche sich mit personenbezogenen Daten auseinandersetzen, umfangreich schulen. Ein gut geschultes Bewusstsein für Fehlerquellen kann langfristig die Häufigkeit von Datenschutzvorfällen schmälern.
17. Februar 2023
Die Europäische Kommission hatte im Dezember 2022 den Entwurf eines Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ veröffentlicht. Am 14. Februar 2023 forderte nun der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments die Europäische Kommission in einer Stellungnahme dazu auf, den möglichen Angemessenheitsbeschluss auf der Grundlage des vorgeschlagenen EU-US-Datenschutzrahmens nicht anzunehmen. Der Ausschuss argumentierte, dass der Rahmen keine tatsächliche Gleichwertigkeit mit der Europäischen Union (EU) in Bezug auf das Datenschutzniveau herstelle.
Rechtsverletzungen und zu große Unsicherheit
In der Stellungnahme wird zunächst auf die Charta der Grundrechte der Europäischen Union und ihre Artikel über den Schutz der Privatsphäre und den Datenschutz verwiesen. Sie zitiert auch die Schrems I und II Rechtsprechung des Europäischen Gerichtshofes (EuGH), in denen die Abkommen Safe Harbour und Privacy Shield für ungültig erklärt wurden. In der Stellungnahme wird betont, dass der wahllose Zugriff von Nachrichtendiensten auf die elektronische Kommunikation das Grundrecht auf Vertraulichkeit der Kommunikation und das Wesen des Rechts auf einen Rechtsbehelf verletzte.
Darüber hinaus werden auch die jüngsten Entwicklungen in den USA erwähnt, darunter Präsident Bidens Executive Order 14086 (EO) über die Verbesserung der Sicherheitsvorkehrungen für die Aktivitäten der US-Signalaufklärung und die vom US-Justizminister erlassene Verordnung über das Datenschutzprüfungsgericht. Man erkenne an, dass die USA Schritte unternommen hätten, um Bedenken im Zusammenhang mit Überwachung und Datenschutz auszuräumen, betone jedoch, dass ein angemessenes Schutzniveau für personenbezogene Daten unerlässlich sei.
Die inhaltlichen Definitionen der Begriffe “Verhältnismäßigkeit” und “Notwendigkeit” in der Executive Order, die den Rahmen bildet, stimmten nicht mit ihrer Bedeutung und Auslegung in der EU überein. Darüber hinaus könne der US-Präsident diese ändern, wodurch sie unklar, ungenau und in ihrer Anwendung unvorhersehbar seien. Das Gericht für die Überprüfung des Datenschutzes sei nicht transparent, unabhängig oder unparteiisch und Entscheidungen würden nicht veröffentlicht oder den Beschwerdeführern zugänglich gemacht. Schließlich verfügten die Vereinigten Staaten auch nicht über ein Bundesdatenschutzgesetz. Dabei wurden bestehende datenschutzrechtliche Gesetze der Bundesstaaten sowie branchenspezifische Bundesgesetze allerdings außer Acht gelassen.
Fazit und Ausblick
Der Ausschuss kommt zu dem Schluss, dass der Datenschutzrahmen zwischen der EU und den USA keine tatsächliche Gleichwertigkeit des Schutzniveaus herstellt und fordert die Kommission auf, die Verhandlungen mit ihren US-amerikanischen Partnern fortzusetzen, um so einen Mechanismus zu schaffen, der eine solche Gleichwertigkeit gewährleistet und das angemessene Schutzniveau bietet, das nach dem Datenschutzrecht der Union und der Charta in der Auslegung durch den EuGH erforderlich ist. Er fordert die Kommission nachdrücklich auf, die Angemessenheitsentscheidung nicht anzunehmen. Es ist wahrscheinlich, dass sich das EU-Parlament dieser Haltung anschließen wird.
Die Aufforderung des Ausschusses an die Kommission, unter diesen Voraussetzungen keine neue Angemessenheitsentscheidung in Bezug auf die USA zu erlassen, ist nicht bindend. Die Einwände des Ausschusses und seine Forderung nach sinnvollen Reformen sind angesichts der Bedeutung des Schutzes personenbezogener Daten allerdings nachvollziehbar. Die vom Ausschuss hervorgehobenen Probleme müssen angegangen werden, um sicherzustellen, dass personenbezogene Daten in einem Abkommen zwischen der EU und den USA angemessen geschützt werden. Andernfalls gilt es als wahrscheinlich, dass auch dieses Abkommen der Rechtsprechung und Auslegung des EuGH nicht standhalten würde.
16. Februar 2023
Mit seinem Urteil vom 09. Februar 2023 (Rs. C-453/21) entschied der Gerichtshof der Europäischen Union (EuGH), dass die deutsche Regelung zur Abberufung des Datenschutzbeauftragten europarechtskonform sei. Demnach sei eine Abberufung aus wichtigem Grund iSd § 626 BGB möglich.
Sachverhalt
Hintergrund der Entscheidung war die Klage eines Datenschutzbeauftragten. Er sei aufgrund der Gefahr eines Interessenkonfliktes abberufen worden. Der Datenschutzbeauftragte habe nämlich neben der datenschutzrechtlichen Funktion das Amt des Betriebsratsvorsitzenden bekleidet. Sein Arbeitgeber sei allerdings der Auffassung gewesen, dass nicht dieselbe Person die Ämter des Betriebsratsvorsitzenden und Datenschutzbeauftragten zeitgleich ausüben könne.
Das vorlegende Gericht stellte fest, dass die Abberufung eines Datenschutzbeauftragten nach § 6 Abs. 4 S. 1 BDSG das Vorliegen eines wichtigen Grundes voraussetze. Insoweit stelle sich die Frage, ob die Abberufung des Datenschutzbeauftragten nach nationalen Vorgaben strengeren Voraussetzungen unterstellt werden könne, als sie das Unionsrecht vorsehe.
Entscheidung
Nach Art. 38 Abs. 3 S. 2 DSGVO dürfe der Verantwortliche oder Auftragsverarbeiter den Datenschutzbeauftragte nicht „wegen der Erfüllung seiner Aufgabe abberufen oder benachteilig[en]“. Demnach habe, so der EuGH, der europäische Gesetzgeber eine Grenze zur Abberufung des Datenschutzbeauftragten festgelegt. Es bestehe ein Verbot, den Datenschutzbeauftragten aus Gründen abzuberufen, die sich aus seinen Aufgaben ergeben. Zu diesen Aufgaben zähle nach Art. 39 Abs. 1 lit. b DSGVO unter anderem, die Einhaltung der datenschutzrechtlichen Regelungen zu überwachen. Diese Regelung gelte für den externen Datenschutzbeauftragten, der auf Grundlage eines Dienstvertrages tätig werde. Daneben gelte die Regelung auch für einen beim Verantwortlichen oder Auftragsverarbeiter angestellten Datenschutzbeauftragten.
Laut EuGH sei das Ziel des Abberufungsverbotes, die Unabhängigkeit jedes Datenschutzbeauftragten zu wahren. Insoweit sei diese Unabhängigkeit notwendig, damit der Datenschutzbeauftragte seine „Aufgaben im Einklang mit dem Ziel der DSGVO“ (EuGH, Urteil vom 9.2.2023, C-453/21, Rn. 25) ausüben könne.
Demnach könne die nationale Norm grundsätzlich strengere Voraussetzungen an die Abberufung stellen. Allerdings dürfe „ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen.“ (EuGH, Urteil vom 9.2.2023, C-453/21, Rn. 25) Insbesondere die Unabhängigkeit des Datenschutzbeauftragten dürfe die strengere Norm nicht tangieren.
Fazit
Im Ergebnis stellte der EuGH folglich fest, dass eine nationale Norm festlegen könne, dass der Datenschutzbeauftragte nur aus wichtigem Grund abberufen werden kann. Allerdings dürfe die nationale Regelung die Umsetzung der DSGVO nicht beeinträchtigen.
Pages: 1 2 ... 11 12 13 14 15 ... 266 267 
