16. Juli 2020
Mit seinem Urteil vom 16.07.2020 in der Rechtsache „Schrems II“ (Schrems ./. Facebook Ireland, Az.: C-311/18) hat der Europäische Gerichtshof (EuGH) das EU-US Privacy Shield für ungültig erklärt.
Was ist der EU-US Privacy Shield?
Konkret handelt es sich bei dem „Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes Privacy Shield“ um eine Entscheidung der EU zur Schaffung einer Rechtsgrundlage des Datentransfers. Mit dem sog. Angemessenheitsbeschluss der EU-Kommission sollte der Datentransfer von Europa in die USA auf ein angemessenes Schutzniveau gehoben werden.
Hintergrund ist, dass gemäß der Datenschutz-Grundverordnung (DSGVO) personenbezogene Daten lediglich dann an ein Drittland außerhalb der EU übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Dies kann die EU-Kommission in einem Beschluss feststellen.
Entscheidungsinhalt
Der EuGH kommt in seinem Urteil zu dem Ergebnis, dass der Privacy Shield-Beschluss nicht die Anforderungen erfüllt, um nach dem unionsrechtlichen Grundsatz der Verhältnismäßigkeit gleichwertigen Datenschutz zu gewährleisten. So könnten amerikanische Behörden nach dem Recht der Vereinigten Staaten auf die übermittelten Daten zugreifen, ohne dass diese Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt seien.
Neben der oben erläuterten Möglichkeit des Angemessenheitsbeschlusses sieht die DSGVO als weitere Möglichkeit, ein angemessenes Schutzniveau zu gewährleisten u.a. die Verwendung von Standarddatenschutzklauseln (SCC) vor. Bei SCC handelt es sich um Klauseln, die von der EU-Kommission erarbeitet wurden und in Verträgen zwischen Datenexporteur und Datenimporteur verwendet werden können. Auch diese waren Gegenstand der heute veröffentlichten Entscheidung. Diese sieht der EuGH weiterhin als gültig an, sodass diese auch zukünftig genutzt werden können.
Kontext der Entscheidung
Der Österreicher Maximilian Schrems ist seit 2008 Nutzer von Facebook. Seine personenbezogenen Daten werden, wie die aller Nutzer aus der EU, von Facebook zumindest teilweise von den Facebook Ireland Servern an die Facebook Inc. in den USA übermittelt. Herr Schrems legte bei der irischen Aufsichtsbehörde Beschwerde ein, weil er der Auffassung war, dass die Übermittlungen unzulässig sind.
Die EU-Kommission hatte in einem ersten Anlauf das angemessene Schutzniveau in dem sog. „Safe-Harbour-Abkommen“ in Bezug auf die USA angenommen. Auf von Herrn Schrems erhobene Klage erklärte der EuGH am 06.10.2015 das Safe-Harbour-Abkommen jedoch für ungültig.
In der Folge erließ die EU-Kommission einen weiteren Angemessenheitsbeschluss, der Datenübermittlungen in die USA ermöglichen sollte, das EU-US Privacy Shield.
Herr Schrems formulierte seine Beschwerde bei der irischen Aufsichtsbehörde um und machte geltend, dass die USA kein ausreichendes Schutzniveau gewährleisten und eine Übermittlung nicht auf der Grundlage der Standardvertragsklauseln zulässig sei.
Der irische High Court legte diese Frage dem EuGH vor und warf in diesem Zusammenhang auch die Frage auf, ob der Privacy Shield-Beschluss gültig ist.
Praktische Relevanz
Resultierend aus dem heutigen Urteil ist ein Datentransfer in die USA nicht mehr auf Grundlage des Angemessenheitsbeschlusses möglich. Mithin verstößt ein hierauf basierender Transfer gegen europäisches Datenschutzrecht.
Wie bereits dargelegt bestehen aus der Perspektive des EuGH weiterhin keine Bedenken bei der Nutzung etwaiger Standardvertragsklauseln. Die insoweit genutzten Klauseln enthielten wirksame Mechanismen, die in der Praxis gewährleisten könnten, dass das vom Unionsrecht verlangte Schutzniveau eingehalten werde. Auch könnte ein auf diese Klauseln gestützter Transfer personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen werde oder ihre Einhaltung unmöglich sei.
Fazit
Aus aktueller Perspektive können demnach keine personenbezogenen Daten auf Grundlage eines Angemessenheitsbeschlusses in die USA transferiert werden. Wie bereits nach „Schrems I“ ist es jedoch wahrscheinlich, dass ein derartiger Zustand nicht lange existiert.
Nichtsdestotrotz sollten Unternehmen evaluieren, ob Datentransfers sowohl Konzernintern, als auch mit Dienstleistern auf den EU-US Privacy Shield gestützt werden und sollte dies der Fall sein, schnellstmöglich den Abschluss von SCC herbei führen.
Strafverfolgungsbehörden greifen offenbar vermehrt auf Gästelisten zu, die Restaurants und andere Betriebe in Umsetzung der jeweiligen Bestimmungen der Corona-Schutz-Verordnungen der Länder anlegen. Wie etwa FAZ.net und SZ.de berichten kam es deswegen in mehreren Bundesländern zu Meinungsverschiedenheiten zwischen Strafverfolgungs- und Datenschutzbehörden.
Je nach landesrechtlicher Bestimmung müssen Kunden oder Besucher auf den Listen ihren Namen, Adresse(n), Mail-Adresse(n), Telefonnummer, Zeitraum des Aufenthalts und gegebenenfalls weitere Angaben wie die Tischnummer angeben. Der Zweck der Datenerhebung liegt darin, im Infektionsfall eine einfache Rückverfolgbarkeit der anwesenden Personen zu gewährleisten, diese über das Risiko informieren zu können und Gesundheitsämtern eine Nachverfolgung der Infektionsketten zu ermöglichen.
Die Angaben in den Gästelisten können für Strafverfolgungsbehörden durchaus interessant sein: So berichtet FAZ.net über einen Fall aus Hamburg. Dort soll ein Mann vor einem Lokal einen Passanten mit einem Teppichmesser bedroht haben. Die zuständige Polizeibehörde ließ sich die Gästeliste des nahegelegenen Lokals übergeben und kontaktierte die Gäste, um sie als potentielle Zeugen zu vernehmen.
Die Sprecherin des hessischen Datenschutzbeauftragten, Ulrike Müller, äußerte, die hessische Verordnung sehe eine strikte Zweckbindung vor. Gastronomen dürften die Daten im Infektionsfall an die Gesundheitsämter herausgeben. Eine Weitergabe an andere Behörden sei aber ausgeschlossen.
Etwa die Oberstaatsanwältin Nadja Niesen aus Frankfurt ist dagegen der Ansicht, es handele sich nicht um eine Frage des Datenschutzes. Denn nach der Strafprozessordnung dürfe die Polizei in Abstimmung mit der Staatsanwaltschaft und Gerichten Beweismaterial sicherstellen, um die Namen möglicher Zeugen festzustellen. Darunter fielen auch die Gästelisten.
Nach Angaben von SZ.de suchte etwa die Polizeibehörde in Rosenheim nach einem Raubüberfall auf ein Schuhgeschäft und die Polizeibehörde in Starnberg bei den Ermittlungen in einem Rauschgiftfall über die Gästelisten nahegelegener Restaurants Zeugen.
Der bayerische Landesbeauftragte für Datenschutz, Thomas Petri, leitete daraufhin Prüfungen ein. Er kritisiert, die Datenerhebungen gingen „Richtung Vorratsdatenspeicherung“ und fordert eine bundesweite Regelung über die Zugriffsmöglichkeiten der Strafverfolgungsbehörden. Er befürchtet, dass anhand der Daten Bewegungsprofile erstellt werden könnten, sieht aber gleichzeitig keine grundsätzliche Unzulässigkeit der Nutzung der Gästelisten zu Ermittlungszwecken. Allerdings müssten die „Freiheitsrechte der betroffenen Gäste und die Strafverfolgung abgewogen und in eine rechtssichere Balance gebracht werden.“
Thomas Geppert, Landesgeschäftsführer des Hotel- und Gaststättenverbands Dehoga, fürchtet indessen, dass weitere Gäste ausbleiben könnten oder die Gäste falsche Angaben machen könnten und so eine Nachverfolgung nicht mehr gewährleistet ist. Geppert will deswegen in Abstimmung mit dem Datenschutzbeauftragten auf das Innen- und das Justizministerium zugehen, um eine Lösung in der Sache zu erreichen.
15. Juli 2020
Die Koalitionsfraktionen haben sich auf sich auf den Entwurf eines Gesetzes zur Stärkung des fairen Wettbewerbs geeinigt, um Abmahnmissbrauch wegen Verstößen gegen die DSGVO zu verhindern.
Nach dem Gesetzentwurf sind Abmahnungen zwar weiterhin als lauterkeitsrechtliche Regulierungen möglich. Er soll aber sicherstellen, dass sie im Interesse eines rechtstreuen Wettbewerbs erfolgen und nicht zur Generierung von Gebühren und Vertragsstrafen missbraucht werden. Es werden zum einen höhere Anforderungen an die Befugnis zur Geltendmachung von Ansprüchen gestellt, zum anderen soll der finanzielle Anreize für Abmahnungen verringert werden. So sieht der Gesetzesentwurf vor, dass es keinen Anspruch mehr auf Ersatz der erforderlichen Aufwendungen bei Abmahnung wegen Verstößen gegen die DSGVO gibt (§ 13 Abs. 4 Nr. 2 des Gesetzentwurfs). Darüber hinaus soll durch das neue Gesetz mehr Transparenz sowie vereinfachte Möglichkeiten zur Geltendmachung von Gegenansprüchen geschaffen werden.
Der Gesetzentwurf, der nach der Sommerpause verabschiedet werden soll, ist insbesondere zum Schutz von kleineren Unternehmen vor Abmahnmissbrauch gedacht. Bereits 2019 war das Thema in einer öffentlichen Anhörung im Bundestag diskutiert worden. Die Vertreter der Verbraucher- und Einzelhandelsverbände begrüßten die im Entwurf vorgesehenen Maßnahmen als Schritt zu mehr Rechtssicherheit. Einige eingeladene Rechtsanwälte kritisierten unter anderem, dass das Gesetz keine sinnvolle praktische Funktion habe und es vor allem nicht dazu geeignet sei die postulierten Ziele zu erreichen. Vielmehr würde es nur für mehr Rechtsunsicherheit sorgen.
8. Juli 2020
Am morgigen Donnerstag – den 09.07.2020 – entscheidet der EuGH in Luxemburg über ein Vorabentscheidungsersuchen des VG Wiesbaden (Rechtssache C-272/19). Dabei hat der EuGH zwei Vorlagefragen zu beantworten. Die erste Frage befasst sich mit dem Anwendungsbereich der DSGVO, konkret auf Petitionsausschüsse eines Landtags. Die zweite Vorlagefrage hat keinen expliziten datenschutzrechtlichen Hintergrund, ist aber auch für die Belange des Datenschutzes nicht ohne Belang. Das VG Wiesbaden stellt nämlich in Frage, ob es überhaupt als ein „Gericht“ im europarechtlichen Sinne angesehen werden kann. Dabei geht es vor allem um die Frage, ob die deuschen Gerichte bzw. Richterinnen und Richter unabhängig genug sind, oder ob eine insitutionelle Abhängigkeit gegeben ist. Diese Entscheidung könnte für sämtliche Gerichte Deutschlands enorme Bedeutung haben.
Erste Vorlagefrage: Anwendbarkeit der DSGVO
Die erste Frage betrifft die Anwendbarkeit der DSGVO auf den Petitionsausschuss als Teil des Hessischen Landtags, und ob dieser als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO zu qualifizieren ist. Dabei ist der Hessische Landtag – vertreten durch seinen Präsidenten – der Auffassung, es handle sich beim Petitionsverfahren um eine parlamentarische Aufgabe, sodass der Ausschuss nicht in den (sachlichen) Geltungsbereich der DSGVO falle (Rn. 3). Dieser Ansicht folgend enthalten das Hessische Datenschutz- und Informationsfreiheitsgesetz (HDSIG, § 30 Abs. 1), die Geschäftsordnung des Hessischen Landtags (§ 112 Abs. 6) sowie deren Datenschutzordnung und weitere Richtlinien entsprechende Regelungen, welche die Anwendbarkeit der DSGVO unter anderem für den Petitionsausschuss verneinen bzw. wegen eines erforderlichen Geheimnisschutzes Auskunftsansprüchen wie Art. 15 DSGVO entgegenstehen. Diese Regelungen seien anzuwenden, wenn der Petitionsausschuss nicht unter die DSGVO fällt (Rn. 13).
Die erste Vorlagefrage bezieht sich daher darauf, ob die DSGVO auf Petitionsausschüsse als Teil des Parlaments eines Gliedstaates (Hessen) eines Mitgliedsstaats (Deutschland) Anwendung findet und insoweit als eine Behörde im Sinne des Art. 4 Nr. 7 DSGVO zu behandeln ist. Der Petitionsausschuss sei zwar eine Behörde im organisationsrechtlichen Sinne, fraglich sei aber ob ihre Aufgaben dem Bereich der öffentlichen Verwaltung unterliegen. Jedenfalls sei der Ausschuss weder der Judikative noch der Legislative zuzuordnen (Rn. 42ff). Für die Definition der „Behörde“ im Sinne des Art. 4 Nr. 7 DSGVO sei von einem weiten Verständnis der Verwaltung und somit einem umfassenden Behördenbegriff auszugehen (Rn. 48). Auch erschließe sich nicht, warum Behörden – gegenüber denen nach hessischem Recht ebenfalls eine Petition eingereicht werden kann – der DSGVO unterliegen, diese auf den Petitionsausschuss hingegen keine Anwendung finden sollte; das VG Wiesbaden geht deshalb davon aus, dass der Petitionsausschuss unter Art. 4 Nr. 7 DSGVO zu subsumieren ist (Rn. 51).
Zweite Vorlagefrage: Unabhängikeit deutscher Gerichte
Die zweite Vorlagefrage des VG Wiesbaden befasst sich ebenfalls mit europarechtlichen Vorschriften, konkret mit Art. 267 Abs. 2 AEUV und der Frage, ob das VG Wiesbaden – und mittelbar sämtliche deutsche Gerichte – überhaupt als ein „Gericht“ im Sinne dieser Norm zu qualifizieren und somit vorlagebefugt sind. Im Fokus steht hier insbesondere die institutionelle Unabhängigkeit der Gerichte.
In dem Vorabentscheidungsersuchen setzt sich das Gericht diesbezüglich zunächst ausführlicher mit den rechtlichen Grundlagen der richterlichen und gerichtlichen Unabhängigkeit auseinander (Rn. 17ff.). Das VG Wiesbaden kommt dabei zu dem Schluss, dass die deutsche Verfassungslage nur die funktionale richterliche Unabhängigkeit, aber keine institutionelle Unabhängigkeit der Gerichte gewährleiste (Rn. 59). Grund dafür sei, dass die Richterinnen und Richter durch den jeweiligen Justizminister der Länder ernannt, beurteilt und befördert werden und das Beamtenrecht auf die Richterinnen und Richter Anwendung findet. Erforderlich sei jedoch eine „völlige Unabhängigkeit“, wonach keinerlei Einflussnahme irgendeiner Art – mit Ausnahme von Kontrollstellen -, weder unmittelbar noch mittelbar, bestehen dürfe (Rn. 64). Es sei nun aber fraglich, ob Richterinnen und Richter von einer solchen Einflussnahme ausgenommen sind, jedenfalls in solchen Streitigkeiten, in denen das jeweilige Justizministerium beteiligt ist (Rn. 65). Aber auch grundsätzlich sieht das VG Wiesbaden eine äußere Einflussnahme durch das Justizministerium gegeben, indem es über Planstellen, Anzahl des nichtrichterlichen Personals und Ausstattung der Gerichte – und somit letztlich auch über die Verarbeitung personenbezogener Daten durch entsprechende EDV – entscheidet (Rn. 67). Auch durch die bloße Gefahr einer politischer Einflussnahme werde die institutionelle Unabhängigkeit beeinträchtigt (Rn. 73). Demgemäß sieht das VG Wiesbaden sich selbst nicht als unabhängig und unparteiisch im Sinne des Art. 47 Abs. GrCH (Rn. 74).
Einschätzung
Es wird spannend sein zu sehen, wie der EuGH mit den beiden Vorlagefragen umgehen wird. Die Frage der Auslegung des Art. 4 Nr. 7 DSGVO, konkret in Bezug auf „Behörde, Einrichtung oder andere Stelle“, dürfte für einige Insitutionen relevant sein, die sich nicht eindeutig der öffentlichen Verwaltung zuordnen lassen und somit davon ausgehen, nicht den Regelungen der DSGVO zu unterliegen.
Weitreichendere Bedeutung könnte aber die Vorlagefrage zur Unabhängigkeit deutscher Gerichte haben. Geht der EuGH hier ebenfalls davon aus, dass die institutionelle Unabhänigkeit deutscher Gerichte und ihrer Richterinnen und Richter nicht gegeben ist, wird sich die Frage stellen müssen, wie diese Unabhängigkeit künftig sichergestellt werden kann. Jedenfalls dürfte die Entscheidung des EuGH dazu dienen, der durch die Richtervereinigungen geführten Diskussion zur Selbstverwaltung der Justiz neue Aufmerksamkeit zu verschaffen.
Zunahme von Hackerangriffen
Hackerangriffe werden von der breiten Bevölkerung weder groß gefürchtet, noch wird das Thema Cybersicherheit besonders beachtet. Dabei nimmt ihre Zahl von Jahr zu Jahr zu. Im Jahr 2018 vermeldete das Bundeskriminalamt die Zahl von 87.106 Fällen von Cybercrime. Dies entspricht einer Zunahme von 1,3% im Vergleich zum Vorjahr.
Von Hackerangriffen sind nicht nur Unternehmen betroffen, die über Kundendaten wie Kreditkarten verfügen, sondern auch Justizbehörden und sogar Bundesministerien (siehe Blog vom 05.12.2018).
Sogar das Rote Kreuz ist Anfang des Jahres Opfer eines Hackerangriffs geworden. Glücklicherweise diente dieser Angriff jedoch nur dem Aufsuchen von Sicherheitslücken. Böswillige Hacker hätten hingegen sensible Patientendaten abgreifen können. Eine Krankheitshistorie kann man nicht, wie bei gestohlenen Kreditkartendaten, sperren und ersetzen. Für die Betroffenen wäre eine Veröffentlichung ihrer Gesundheitsdaten mit unangenehmen Konsequenzen verbunden.
Zu diesem Thema hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) eine Prüfliste veröffentlicht, die Empfehlungen zur Cybersicherheit für medizinische Einrichtungen ausspricht.
Die Maßnahmen sind jedoch auch für nicht-medizinische Unternehmen von Relevanz.
Empfohlene Maßnahmen
Bei den empfohlenen Maßnahmen sollten unter anderem folgende Punkte besonders beachtet werden:
- Regelmäßige Aktualisierung der verwendeten Software.
- Nutzung von Antiviren-Programmen. Zu beachten ist, dass immer nur ein Antiviren-Programm gleichzeitig installiert sein sollte. Mehrere Programme blockieren sich gegenseitig und schaden mehr, als sie nutzen.
- Schutz vor Ransomware. Wenn möglich, sollte auf Makros in Office-Dokumenten verzichtet werden und wenn, nur signierte Makros verwendet werden.
- Nutzung starker Passwörter. Es sollten keine banalen Begriffe wie „1234“ oder „passwort“ genutzt werden. Auch sollten Passwörter niemals am Arbeitsplatz liegen gelassen werden.
- Nutzung von Zwei-Faktor-Authentifizierung. Näheres dazu ist in unserem Blog nachzulesen.
- E-Mails sollten nur als Text angezeigt werden. So lassen sich leichter manipulierte Links erkennen. Außerdem sollten E-Mails grundsätzlich von einem Antiviren-Programm überprüft werden.
- Es sollten regelmäßig Backups durchgeführt werden.
- Bei der Arbeit im Homeoffice sollte der Zugang über eine VPN-Verbindung gesichert sein. Im Falle der Nutzung mobiler Endgeräte sollten diese über starke Verschlüsselungsmechanismen verfügen.
- Falls Laborergebnisse online abgerufen werden können, muss der Zugang besonders geschützt werden.
- Es sollte eine leistungsstarke Firewall installiert sein, um unbefugte Zugriffe von außen zu verhindern.
- Das Thema Social Engineering darf nicht unterschätzt werden. Hacker versuchen vermehrt Kontakte über Portale wie Xing, LinkedIn oder auch Facebook zu knüpfen, um das Vertrauen ihrer Opfer zu gewinnen und zum Beispiel über manipulierte E-Mails zu missbrauchen.
3. Juli 2020
Das Bundeskartellamt hat schwere Verstöße beim Datenschutz und der IT-Sicherheit bei Smart-TVs festgestellt und fordert von den Herstellern umfangreiche Nachbesserungen. Zu diesem Schluss kommt das Bundeskartellamt im Abschlussbericht seiner Sektoruntersuchung zu Smart-TVs.
Smart-TVs gehören zu den am weitesten verbreiteten Geräten des Internet der Dinge (Internet of Things, IoT). Mutmaßliche Verbraucherschutzverstöße betreffen daher viele Menschen aller Bevölkerungsgruppen. Vor diesem Hintergrund hat das Bundeskartellamt auf der Basis seiner verbraucherrechtlichen Kompetenzen im Dezember 2017 eine Sektoruntersuchung zu Smart-TVs eingeleitet und veröffentlichte nun seinen Abschlussbericht mit Stand vom Juli 2020.
Schwerwiegende Transparenzmängel bei der Privatsphäre der Verbraucher
Das Bundeskartelamt rügte gleich eine Vielzahl von Mängeln. Insbesondere ergab die Untersuchung, dass die Hersteller intime Nutzungsdaten der Verbraucher sammeln. Dazu gehören etwa das generelle Sehverhalten eines Verbrauchers, die App-Nutzung, das Surf- und Klickverhalten oder auch biometrische Daten wie Stimme oder Cursorbewegungen sowie die im Einzelnen über den Fernseher abgespielten Inhalte. Diese Daten würden dann für personalisierte Werbung verwendet werden.
Das kann der Verbraucher allerdings erst dann stoppen, wenn er die betreffenden Einstellungen an seinem Fernsehgerät ändert und sich dazu durch vielschichtige Menüs klickt. Sich über die Datenschutzbestimmungen bereits vor dem Kauf zu informieren, sei oft nicht oder nur mit großem Aufwand möglich. Bei der Ersteinrichtung – dies kann wahrscheinlich jeder Leser aus eigener Erfahrung bestätigen – willigten die meisten Verbraucher in die angezeigten Bedingungen ein, da dies alternativlos sei.
Selbst wenn sich der Verbraucher die Datenschutzbestimmungen aufmerksam durchlesen würde, wäre er danach in den meisten Fällen kein Deut schlauer als vorher. Denn diese enthielten in vielen Fällen keine Angaben, mit denen der Verbraucher in der Praxis etwas anfangen kann. Insbesondere Pauschalierungen würden dazu führen, dass die Datenschutzbestimmungen erheblich an Informationsgehalt einbüßen. „Dies führt sehr häufig zu Verstößen gegen die DSGVO“, teilte das Bundeskartellamt mit.
Mangelnde IT-Sicherheit
Zahlreiche Hersteller gewährleisten zudem nicht, dass der Standard der Fernsehgeräte für IT-Sicherheit auch in den Jahren nach des Erwerbs durch Software-Updates aufrechterhalten wird. Verbindliche Angaben der Unternehmen hierzu existieren nicht. Für die Verbraucher sei diese Information aber unerlässlich, „um einschätzen zu können, wie lange sie das Gerät uneingeschränkt gefahrlos verwenden können“.
Methodik
Für die nun veröffentlichte Sektoruntersuchung zu Smart-TVs befragte das Bundeskartellamt im vergangenen Jahr 32 Unternehmen sowie mehrere Marktteilnehmer und Experten. Die Ermittlungen betrafen rund 20 Anbieter, die in Deutschland internetfähige Fernsehgeräte unter eigenen Marken absetzen. Der komplette Bericht ist unter diesem Link abrufbar.
In dem Rechtsstreit Max Schrems gegen die Facebook Ireland Limited ist am 30.06.2020 – Aktenzeichen 3 Cg 52/14k-91 – ein Urteil ergangen. Hier hat das „Landesgericht für ZRS Wien“ entschieden, dass
1. die Beklagte dem Kläger binnen vierzehn Tagen schriftlich und kostenlos vollständig Auskunft über alle von ihr verarbeiteten personenbezogenen Daten des Klägers unter Angabe der genauen Herkunft und gegebenenfalls der genauen Empfänger der Daten zu erteilen.
2. Dem Kläger binnen vierzehn Tagen einen Betrag von 500 € zu zahlen. (Redaktionelle Leitsätze)
Sachverhalt
Der Kläger stellte in den Jahren 2011, 2012, 2013, 2015 und zuletzt 2019 Auskunftsbegehren nach Maßgabe des Art. 15 DSGVO. Diese beantwortete die Beklagte zunächst mit einer 18-Seitigen Pdf-Datei vom 09.06.2011 und einer CD-Rom mit weiteren PDF im Umfang von 1.222 A4-Seiten. Der Kläger sah sich trotz erteilter Auskunft in seinen durch die DSGVO normierten Rechten verletzt. Die bereitgestellten Informationen waren aus seiner Perspektive weder inhaltlich ausreichend, noch genügte ihm die Anzahl der Antworten im Verhältnis zur Anzahl der gestellten Begehren.
Ferner störte sich der Kläger an der Datenverarbeitung durch Drittunternehmen. Hierzu führte aus, er sei „Verantwortlicher“ im Sinne der DSGVO. Die daraus resultierenden Anforderungen habe die Beklagte nicht erfüllt. Abschließend habe die Beklagte gegen Art. 9 DSGVO verstoßen, indem sie eine Einwilligung in Bezug auf seine Interessen nicht eingeholt habe.
Das Urteil reiht sich in eine Vielzahl von Klagen Herrn Schrems gegen Facebook ein. So hatte dieser bereits im August 2014 in Wien eine Sammelklage gegen Facebook eingereicht. Ziel der Klage war unter anderem, von Facebook einen symbolischen Schadenersatz von 500 Euro für jeden Beteiligten der Klage erstreiten. Hierzu beschied der Europäische Gerichtshof (EuGH) im Januar 2018, dass derartige Sammelklagen unzulässig seien.
Entscheidung
Das Wiener Gericht gibt dem Kläger teilweise Recht. So habe die Beklagte die ihre Auskunftspflicht dadurch verletzt, dass sie trotz neuerlich begehrter Auskunft sämtliche personenbezogenen Daten mitgeteilt hätte, die Gegenstand der Verarbeitung seien. Der konkrete Umfang sei sowohl durch das Gesetz auch auch in den Erwägungsgründen (hier: EG 63) niedergelegt.
Auch begründe die Regelmäßigkeit der Anfragen keine Möglichkeit der Verweigerung, da ein Jahresabstand der Anfragen angemessenen im Sinne der DSGVO sei.
Entgegen der Ansicht des Klägers sei er jedoch kein „Verantwortlicher“ im Sinne der DSGVO. Diese sei auf den Kläger in seiner Funktion als privater Nutzer des Dienstes nicht anwendbar. Überdies greife die Haushaltsausnahme aus Art. 2 Abs. 2 lit. c) DSGVO mangels Anwendbarkeit nicht.
Die abschließend gerügte Verletzung aus Art. 9 DSGVO sei jedenfalls im konkreten Fall nicht tatsächlich feststellbar gewesen. So habe der Kläger die für die Informationen selbst veröffentlicht, weshalb eine Einwilligung gemäß Art. 9 DSGVO nicht erforderlich gewesen sei.
Praktische Relevanz
Die praktische Relevanz scheint aus aktueller Perspektive überschaubar. So ist weder abschließend zu beurteilen, wie sich das Verhalten auf die künftige Unternehmensführung auswirkt noch steht fest, ob das Urteil überhaupt rechtskräftig wird. So kündigte der Kläger auf der Homepage des Unternehmens NOYB bereits die Einhegung einer Berufung an.
1. Juli 2020
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber hat die Ergebnisse des ersten öffentlichen Konsultationsverfahrens veröffentlicht. Thema ist die Anonymisierung von Daten unter der DSGVO unter besonderer Berücksichtigung der Telekommunikationsbranche.
Zusammengefasst ist die Anonymisierung personenbezogener Daten auch im Telekommunikationssektor grundsätzlich möglich. Besonderes Augenmerk verdient dabei die Validität des eingesetzten Anonymisierungsverfahrens. Eine Verpflichtung zur unverzüglichen Löschung ist durch eine Anonymisierung erfüllbar, hier ist allerdings ein strengerer Maßstab anzulegen.
Dazu führte der BfDI aus: „Wir haben viele Stellungnahmen aus Wirtschaft und Wissenschaft, von Behörden und der Zivilgesellschaft erhalten. Die verschiedenen Ansichten spiegeln dabei die Komplexität des Themas wider. Nach Auswertung aller Beiträge veröffentlichen wir jetzt unser Positionspapier, um für mehr Rechtssicherheit bei den von mir beaufsichtigten Stellen zu sorgen. Ich bedanke mich bei allen, die sich an unserem ersten Konsultationsverfahren beteiligt haben.“
Im Februar diesen Jahres hat der BfDI das erste öffentliche Konsultationsverfahren eröffnet, bei dem Vertreter aus Politik, Wissenschaft, Wirtschaft, Gesellschaft und Verwaltung Stellung zu dem Thema beziehen konnten. Kernfragen waren u.a. ob die Anonymisierung personenbezogener Daten rechtfertigungsbedürftig ist und auf welche Rechtsgrundlage sie sich stützen lässt. Das Positionspapier und die eingegangenen Stellungnahmen sind auf der Website des BfDI abrufbar.
Wie der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg mit einer Pressemitteilung vom 30.06.2020 mitteilte, wurde gegen die AOK Baden-Württemberg wegen Datenschutzverstößen ein Bußgeld in Höhe von 1.240.000 Euro verhängt. Grund für das verhängte Bußgeld sei ein Verstoß gegen die Pflichten zur sicheren Datenverarbeitung nach Art. 32 DS-GVO.
Der Sachverhalt
Die AOK Baden-Württemberg hatte im Zeitraum von 2015 bis 2019 verschiedene Gewinnspiele durchgeführt, und die dabei erhobenen personenbezogenen Daten auch zu Werbezwecken verwendet. Diese Weiterverarbeitung sollte jedoch nur dann erfolgen, wenn die Teilnehmer in diese ausdrücklich eingewilligt haben. Die AOK Baden-Württemberg versuchte mittels technischer und organisatorischer Maßnahmen (sog. TOMs) nach Maßgabe des Art. 32 DS-GVO sicherzustellen, dass nur die Daten derjenigen Teilnehmer zu Werbezwecken verwendet werden, die tatsächlich eine entsprechende Einwilligung abgegeben hatten. Zu diesen Maßnahmen gehörten u.a. Datenschutzschulungen und interne Richtlinien. Diese TOMs seien jedoch nicht ausreichend gewesen, sodass mehr als 500 Gewinnspielteilnehmer Werbung erhielten, obwohl sie keine Einwilligung abgegeben hatten.
Begründung der Bußgeldhöhe
Die Höhe des Bußgeldes sei insbesondere durch die Größe und Bedeutung der AOK Baden-Württemberg gerechtfertigt. Positiv sei jedoch zu berücksichtigen gewesen, dass die TOMs intern überprüft worden seien, wodurch der Datenschutzverstoß überhaupt erst aufgefallen sei. Bei Bekanntwerden des Vorganges habe die AOK Baden-Württemberg alle vertrieblichen Maßnahmen eingestellt, eine Task Force für Datenschutz im Vertrieb gegründet, interne Prozesse und Kontrollstrukturen angepasst und erweitert sowie umfassend und konstruktiv mit dem LfDI zusammengerarbeitet. Dadurch sei kurzfristig eine Steigerung des Schutzniveaus für die Daten der Betroffenen ermöglicht worden.
Weiterhin sei bei der Bemessung der Bußgeldhöhe der gesetzliche Auftrag der AOK Baden-Württemberg innerhalb des Gesundheitssystems zu berücksichtigen gewesen. Um dieser Aufgabe – Sicherstellung der Gesundheitsversorgung – weiterhin effektiv nachkommen zu können, müsse das Bußgeld verhältnismäßig ausfallen. Zudem seien die Auswirkugen der Corona-Pandemie, welche auch die gesetzlichen Krankenkassen treffen, mit in die Erwägungen mit einzubeziehen gewesen.
Fazit
Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg, betonte noch einmal die Bedeutung der technischen und organisatorischen Maßnahmen für die Sicherstellung eines angemessenen Schutzniveaus. Dieses könne jedoch nur dann erreicht werden, wenn alle implementierten TOMs regelmäßig überprüft und ggf. angepasst werden. Datensicherheit sei eine „Daueraufgabe“, und nicht mit der einmaligen Implementierung der TOMs erledigt.
Neben diesem Punkt macht der vorliegende Fall aber auch noch einmal deutlich, dass durch interne Kontrollen, einer zügigen Reaktion auf Datenschutzverstöße und vertrauensvoller Zusammenarbeit mit den zuständigen Aufsichtsbehörden die Höhe eines fälligen Bußgeldes erheblich reduziert werden kann. Das Bußgeld für die AOK Baden-Württemberg wäre sicherlich auch trotz Corona-Pandemie erheblich höher ausgefallen, wäre nicht angemessen auf den aufgedeckten Datenschutzverstoß reagiert worden.
30. Juni 2020
Gegen einen Anspruch auf Datenkopie des Art. 15 Abs. 3 DSGVO eines Arbeitnehmers kann sich der Arbeitgeber wehren, wenn der dafür erforderliche Aufwand in groben Missverhältnis zum Leistungsinteresse steht. Das hat jedenfalls das AG Düsseldorf entschieden (noch nicht rechtskräftig).
Das Gericht gestand dem Arbeitnehmer einen Auskunftsanspruch im Grundsatz zu. Dazu führt es aus, dass die Auskunft vollständig und so konkret und detailliert sein muss, dass sich der Betroffene ein Bild davon machen kann welche Datenverarbeitungen zu welchen Zwecken erfolgen.
Der Arbeitgeber hat in der erteilten Auskunft pauschal erklärt, dass die Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses, namentlich zu dessen Abwicklung und Beendigung, zur Erfüllung bestehender rechtlicher Verpflichtungen und zur Wahrnehmung berechtigter Interessen nach § 26 BDSG bzw. Art. 6 Abs. 1 lit. b, c und f DSGVO erfolge. Diese Auskunft stelle keine konkrete und detaillierte Zwecksetzungen dar, so das Gericht. Verstärkt werde dies dadurch, dass der Arbeitgeber auf einen Anhang verwiesen hatte. Die Bezugnahme auf einen Anhang, erst recht wenn er Hunderte Seiten umfasst, ersetze keine Mitteilung in Form und Sprache gemäß Art. 12 Abs. 1 S. 1 DSGVO.
Besonders interessant sind die Ausführungen zum weiteren Klagebegehren des Arbeitnehmers – der Herausgabe einer Datenkopie. Das AG Düsseldorf folgert aus dem Grundsatz von Treu und Glauben nach Art. 8 Abs. 2 S. 1 GRCh und Art. 5 Abs. 1 lit. a DSGVO, der für die gesamte Datenverarbeitung gelte, dass dem Verantwortlichen per se kein unverhältnismäßiger Aufwand abverlangt werden könne. Der Aufwand, nach personenbezogenen Daten des Klägers in sämtlichen Servern, Datenbanken, Web-Anwendungen, E-Mail-Postfächern, Verzeichnisstrukturen, Speichermedien, Smartphones, Notebooks und diversen anderen Endgeräten der Beklagten nebst aller Vorgesetzten und Kollegen des Klägers zu suchen, um sie in Kopie herausgeben zu können, stehe in grobem Missverhältnis zum Leistungsinteresse des Arbeitnehmers.
Immer öfter beschäftigen sich Gerichte mit der Frage, wie weit der Auskunftsanspruch des Art. 15 DSGVO geht. Wir berichteten bereits über ein Urteil des LG Heidelberg. Hier wies das Gericht ein Auskunftsbegehren mit der Begründung ab, dass die Wiederherstellung und Aufbereitung der Daten aus einem Backup in dem konkreten Fall einen unverhältnismäßigen Aufwand darstellten. Es bleibt abzuwarten, ob zukünftige Rechtsprechung auf dieser Linie bleibt.
