Schlagwort: EuGH

Facebook-Klage des Bundeskartellamts vor dem EuGH: von Düsseldorf nach Luxemburg

31. März 2021

Das Bundeskartellamt will das Datensammeln von Facebook einschränken. Dies sollten Richter vom Oberlandesgericht (OLG) Düsseldorf klären. Nun hat das OLG Düsseldorf im Rechtsstreit zwischen Facebook und dem Bundeskartellamt einige entscheidungserhebliche Fragen zum EU-Datenschutzrecht dem Gerichtshof der Europäischen Union (EuGH) in Luxemburg zur Vorabentscheidung vorgelegt. 

Bisheriger Ablauf des Verfahrens

Das Bundeskartellamt hatte dem US-Internetkonzern im Jahr 2019 Beschränkungen für den Austausch von Daten auferlegt, worüber wir bereits berichteten. Die Behörde argumentierte: das Ausmaß, in dem Facebook Daten ohne Zustimmung der User sammelt und zwischen seinen Diensten teilt, stelle einen Missbrauch seiner Marktmacht dar. 

Die Behörde hatte dem Konzern untersagt, Nutzerdaten der Facebook-Töchter WhatsApp und Instagram sowie Webseiten anderer Anbieter mit den Facebook-Konten der Nutzer zu verknüpfen, sofern der Nutzer in diese Datenerhebung und Datenverwendung nicht zuvor nach den Bestimmungen der DSGVO eingewilligt hat. Und falls die User ihre Erlaubnis nicht geben, dürfe Facebook sie nicht von den Diensten ausschließen. Eine solche Entflechtung der Datenströme hätte weitreichende Folgen für Facebooks Geschäftsmodell.

Der Präsident des Bundeskartellamts hatte damals insbesondere die Zusammenführung der Daten von unterschiedlichen Plattformen (Facebook, WhatsApp und Instagram) kritisiert. Der Düsseldorfer Oberlandesrichter Jürgen Kühnen erklärte seinerseits, dass die Datennutzung durch Facebook nicht zu einem Missbrauch der marktbeherrschenden Stellung führe. Wie wir bereits berichteten, folgte eine Berufungsklage des Kartellamts vor dem Bundesgerichtshof in Karlsruhe. Der BGH teilte die Meinung der Bundeskartellbehörde.

Entscheidung im Hauptsacheverfahren

Nun befasste sich das Düsseldorfer Gericht im Hauptsacheverfahren erneut mit der Akte, um ein endgültiges Urteil zu verkünden. Die zentrale Frage lautet: Dürfen Wettbewerbshüter das Kartellrecht als Werkzeug benutzen, um den Datenschutz durchzusetzen – oder überschreiten sie damit ihre Kompetenz? Dabei kam das Gericht laut Pressemitteilung zu folgendem Ergebnis: „Ob Facebook seine marktbeherrschende Stellung als Anbieter auf dem Markt für soziale Netzwerke deshalb missbräuchlich ausnutzt, weil es die Daten seiner Nutzer unter Verstoß gegen die DSGVO erhebt und verwendet, kann ohne Anrufung des EuGH nicht entschieden werden.“ Das OLG kann somit nicht ohne das EU-Gericht entscheiden, ob der US-Internetkonzern seine marktbeherrschende Stellung ausnutzt, weil er Daten seiner Nutzer unter Verstoß gegen Regeln des Datenschutzes sammelt und verwendet. Denn zur Auslegung des europäischen Rechts sei der EuGH berufen.

Dabei bekräftigte Kühnen die frühere Beurteilung seines Gerichts. Das OLG wird in den kommenden Wochen eine formelle schriftliche Eingabe an den EuGH machen und den Fall offiziell übergeben.

Ausblick

Der EuGH soll entscheiden, ob der US-Internetkonzern eine marktbeherrschende Stellung ausnutzt, indem er Daten seiner Nutzer und Nutzerinnen unter Verstoß gegen Regeln des Datenschutzes sammelt und verwendet. Zu klären ist zudem, ob eine nationale Kartellbehörde DSGVO-Verstöße feststellen und dagegen vorgehen kann. Auch die Definition sensibler Daten soll genauer eingegrenzt werden. Bis zu einer Antwort wird das Verfahren am OLG ausgesetzt.

BVerfG: Vorlage an EuGH wegen Schadensersatz für Datenschutzverstöße

23. Februar 2021

Ein Unternehmen begeht einen Verstoß gegen datenschutzrechtliche Bestimmungen, der betroffenen Person entstehen durch den Datenschutzverstoß aber keine materiellen Schäden. Sind nun immaterielle Schäden zu ersetzen? Wie ist dieser zu bemessen? Oder muss der Schaden eine gewisse Erheblichkeit aufweisen? Letztere Frage sieht das BVerfG als nicht geklärt an, sodass mit Beschluss vom 14.01.2021 (Az. 1 BvR 2853/19) ein Urteil des Amtsgericht Goslar aufgehoben wurde. Die Frage soll dem EuGH im Wege des Vorabentscheidungsverfahrens vorgelegt werden. Dieser soll entscheiden, wie die Regelung des Art. 82 Abs. 1 DS-GVO zum Schadensersatz auszulegen ist.

Hintergrund

Das BVerfG hatte über eine Verfassungsbeschwerde wegen der Verletzung des Rechts auf den gesetzlichen Richter (Art. 101 Abs. 1 S. 2 GG) zu entscheiden. Anstoß für die Verfassungsbeschwerde war ein Urteil des AG Goslar vom 27. September 2019 (Az. 28 C 7/19). Das Amtsgericht hatte u.a. entschieden, dass dem Kläger kein Schadensersatzanspruch nach Art. 82 DS-GVO wegen einer widerrechtlich verschickten Werbe-E-Mail zustehe, weil mangels Erheblichkeit des Vorgangs kein Schaden vorliege. Diese Frage hätte – so das BVerfG – jedoch nach Art. 267 Abs. 3 AEUV dem EuGH vorgelegt werden müssen, da es sich um eine ungeklärte Frage des europäischen Rechts handelt. Indem das Amtsgericht auf diese Vorlage verzichtet hat, habe es die Grundrechte des Klägers verletzt. Somit sei das Urteil aufzuheben. Es wird nun dem AG Goslar obliegen, die offene Frage der Auslegung des Art. 82 Abs. 1 DS-GVO dem EuGH zur Entscheidung vorzulegen.

Bedeutung der Entscheidung

Die Relevanz der Vorlage an den EuGH ist aus praktischer Sicht immens. Art. 82 Abs. 1 DS-GVO gewährt von Datenschutzverstößen betroffenen Personen einen Schadensersatzanspruch, wenn diesen ein materieller oder immaterieller Schaden entstanden ist. Materielle Schäden sind vergleichsweise leicht zu beziffern, bleiben in der Praxis jedoch die Ausnahme. Immaterielle Schäden – also kein Vermögensschaden, sondern z.B. bei Verletzung der Ehre oder der Freiheit – sind wegen des Datenschutzverstoßes gewissermaßen immanent: Jeder Verstoß gegen das Datenschutzrecht verletzt die Freiheit des Betroffenen, darüber entscheiden zu können, wie mit den eigenen Daten verfahren wird. Wie jedoch der dadurch entstandene immaterielle Schaden zu bemessen ist, bleibt Gegenstand zahlreicher Entscheidungen und Diskussionen, sodass hier noch keine Gewissheit besteht. Das AG Goslar schien diese Frage offenbar umgehen zu wollen, indem durch die Bezugnahme auf ein Erheblichkeitskriterium bereits das Bestehen eines Schadens verneint wird.

Ausblick

Eine Erheblichkeitsschwelle ist jedoch weder in der DS-GVO selbst noch in ihren Erwägungsgründen vorgesehen. Im Falle eines Vorabentscheidungsverfahrens wird der EuGH dazu Stellung nehmen müssen, ob ein solches Kriterium herangezogen werden kann und diese Frage vermutlich verneinen. Spannend wird jedoch sein, ob sich der Gerichtshof darüber hinaus zur Auslegung des Art. 82 Abs. 1 DS-GVO äußert und somit die Bemessung des immateriellen Schadensersatzes erleichtert. Auszuschließen ist dies nicht, allzu große Hoffnungen auf eine Klärung dieser Frage sollte sich sowohl die Praxis als auch die Rechtswissenschaft aber wohl nicht machen.

Vorlage zum Europäischen Gerichtshof: Einführung von Livestream-Unterricht an Schulen

31. Januar 2021

Das Verwaltungsgericht Wiesbaden hat mit Beschluss vom 21.12.2020 bezüglich der Einführung eines Livestream-Unterrichtes den Gerichtshof der Europäischen Union angerufen. Gegenstand des Verfahrens vor dem Verwaltungsgericht ist die Frage, ob es bei dieser Form des Unterrichtes neben der Einwilligung der Eltern für ihre Kinder oder der volljährigen Schüler auch der Einwilligung der jeweiligen Lehrkraft bedarf.

Die zuständige Fachkammer entschied (Az.: 23 K 1360/20.WI), dem Gerichtshof die Frage vorzulegen, ob eine Vorschrift bestimmte inhaltliche Anforderungen der DSGVO erfüllen müsse, um eine „spezifische Vorschrift“ im Sinne der DSGVO zu sein. Zudem sei zu klären, ob eine nationale Norm, wenn sie diese Anforderungen offensichtlich nicht erfülle, trotzdem noch anwendbar bleiben könne.

Von der Klärung dieser Frage hänge ab, ob die hessischen Vorschriften zum Datenschutz die Anforderungen der DSGVO erfüllten und ob diese Normen trotz eines möglichen Verstoßes anwendbar blieben, so das Gericht.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

Brexit und Datentransfers: Einigung auf Übergangsregelungen

5. Januar 2021

Zum 01.01.2021 wurde der Brexit nun “endlich” offiziell vollzogen, und noch rechtzeitig vor Ablauf der Übergangsfrist konnten sich die EU und das Vereinigte Königreich (UK) auf ein Handels- und Kooperationsabkommen einigen. Dieses ist zwar bisher lediglich provisorisch in Kraft – es fehlt noch die Bestätigung der verschiedenen Institutionen und Mitgliedsstaaten – jedoch dürfte es sich dabei nur noch um eine Formalie handeln.

Vereinigte Königreich nun ein “Drittstaat”

Mit dem Austritt aus der EU ist das Vereinigte Königreich aus datenschutzrechtlicher Sicht nun ein sog. Drittstaat. Dies bedeutet, dass Datentransfers ins Vereinigte Königreich besonders gerechtfertigt werden müssen. Zu diesem Zweck kommt ein Angemessenheitsbeschluss der Kommission in Betracht (Art. 45 DS-GVO), durch welchen bestätigt wird, dass die Datenschutzbestimmungen des Vereinigten Königreichs ein angemessenes Schutzniveau für die übermittelten Daten gewährleisten. Fehlt es an einem solchen Beschluss, kommen die in Art. 46 Abs. 2 DS-GVO genannten Möglichkeiten zur Rechtfertigung in Betracht. Hier würde wie bei Datentransfers in die USA wohl überwiegend auf die sog. Standardvertragsklauseln zurückgegriffen werden, wobei angesichts der Schrems-II-Entscheidung (wir berichteten) fraglich sein könnte, ob diese allein ausreichend sind.

Angemessenheitsbeschluss in Arbeit

Für Rechtssicherheit auf Seiten der betroffenen Unternehmen – und auch für bürokratische Entlastung – würde demnach ein Angemessenheitsbeschluss sorgen. Bereits seit März 2020 arbeitet die Kommission nach eigenen Angaben an einem solchen Beschluss, bisher wurde dieser jedoch noch nicht erlassen. Selbst wenn die Kommission den Beschluss zeitnah erlässt, würde für zusätzliche Verzögerung sorgen, dass dieser auch noch durch den Europäischen Datenschutzausschuss (EDSA) sowie durch die 27 Mitgliedsstaaten bestätigt werden muss.

Weil zwischen dem Ausstritt des Vereinigten Königreichs und dem (möglichen) Erlass des Angemessenheitsbeschlusses eine Lücke entstanden ist, wurde in das Handels- und Kooperationsabkommen eine Übergangsregelung aufgenommen. Diese ermöglicht für die kommenden vier Monate, dass personenbezogene Daten auch ohne ein in den Art. 45 ff. DS-GVO genanntes Instrument übermittelt werden können. Sofern erforderlich und falls keine der beiden Parteien widerspricht, kann sich die Übergangsfrist um weitere zwei Monate – also bis zum 01.07.2021 – verlängern. Bis zu diesem Zeitpunkt ist also für Rechtssicherheit gesorgt.

Und nach Ablauf der Übergangsregelungen?

Was aber passiert, wenn bis zu diesem Datum kein Angemessenheitsbeschluss erlassen wurde? Unmöglich erscheint dies nicht, berücksichtigt man die durch den EuGH gestellten Anforderungen an die Wirksamkeit eines solchen Beschlusses. Auch scheint fraglich, ob die Kommission ein erneutes Szenario wie beim Privacy-Shield riskieren will, also das Abkommen durch den EuGH gekippt wird und dies für erhöhte Rechtsunsicherheit sorgt. Insofern sollten sich die betroffenen Unternehmen auch auf den Worst Case vorbereiten: Dass ab dem 01.07.2021 Instrumente wie die Standardvertragsklauseln herangezogen werden müssen, um Datentransfers in das Vereinigte Königreich rechtfertigen zu können.

Europäischer Datenschutzausschuss veröffentlicht Empfehlung über zusätzliche Maßnahmen für Übermittlungen in Drittstaaten

12. November 2020

Nachdem der EuGH in seiner “Schrems II-Entscheidung” den EU-US-Privacy-Shield für unwirksam erklärte, setzen viele Unternehmen auf die EU-Standardvertragsklauseln als Grundlage für die Übermittlungen in Drittstaaten. Sowohl der EuGH als auch der Europäische Datenschutzausschuss (EDSA) hatten aber betont, dass alleine die Nutzung der Standarvertragsklauseln regelmäßig nicht ausreichend ist, um ein angemessenes Schutzniveau zu gewährleisten, wenn in dem Drittstaat ein behördlicher Zugriff auf die übermittelten Daten droht. Stattdessen müssten zusätzliche technische oder organisatorische Maßnahmen ergriffen werden, um die Sicherheit der Daten zu gewährleisten.

In der Zwischenzeit war gerätselt worden, welche zusätzlichen Maßnahmen damit gemeint sein könnten. Nun hat sich der EDSA zu dieser Frage geäußert und entsprechende Empfehlungen geäußert (bisher nur auf englischer Sprache vorliegend).

Nicht nur technische und organisatorische, auch vertragliche Maßnahmen möglich

Zunächst gibt der EDSA den betroffenen Unternehmen eine Prozessempfehlung an die Hand. Dabei geht es vor allem um die Identifizierung der relevanten Datenübermittlungen und deren rechtliche Grundlage. Dies dient als Basis für die Einschätzung, ob überhaupt zusätzliche technische und organisatorische Maßnahmen getroffen werden müssen.

Kern der Empfehlung ist aber die Anlage 2, in welcher – durchaus umfangreich – nicht nur zusätzliche technische und organisatorische Maßnahmen, sondern auch mögliche vertragliche Vereinbarungen vorgestellt werden. Der EDSA versucht diese Maßnahmen anschaulich auf konkrete Sachverhalte zu beziehen und stellt genau dar, welche Anforderungen diese Maßnahmen erfüllen müssen. Die möglichen Maßnahmen reichen von wirksamen Verschlüsselungen über eine vertragliche Verstärkung der Betroffenenrechte bis hin zu konzerninternen Richtlinien und der Aufstellung von Spezialistenteams, welche mögliche Behördenzugriffe auf dem Rechtsweg verhindern sollen.

Vorgeschlagene Maßnahmen auch praktikabel?

So umfangreich und detailliert der EDSA die möglichen Maßnahmen beschreibt, mit denen im Verhältnis zwischen den beteiligten Parteien trotz eines drohenden behördlichen Zugriffs auf die Daten deren Sicherheit gewährleistet werden soll, muss sich doch erst noch herausstellen, wie praktikabel diese Empfehlungen sind. Können konzernintern entsprechende Maßnahmen sicherlich zeitnah umgesetzt werden, stellt sich doch die Frage, wie dies gegenüber marktbeherrschenden Dienstleistern möglich sein soll. Hier erscheint die Initiative der Dienstleister erforderlich zu sein, die vertraglichen Grundlagen anzupassen und entsprechende interne Prozesse einzuleiten. Ob dies jedoch aus wirtschaftlicher Sicht sinnvoll ist, wenn gleichzeitig zwischen der EU und den USA über eine neue datenschutzrechtliche Grundlage für Datentransfers verhandelt wird, steht ebenfalls auf einem anderen Blatt.

Nichtsdestotrotz sollten betroffene Unternehmen die Empfehlungen des EDSA nicht unberücksichtigt lassen und prüfen, welche der vorgeschlagenen Maßnahmen im Einzelfall umgesetzt werden können. Die bestehende Rechtsunsicherheit kann dadurch vielleicht nicht gänzlich beseitigt werden, dennoch sind die Empfehlungen sicherlich ein Schritt in die richtige Richtung.

EuGH-Urteil: Pauschale Vorratsdatenspeicherung unzulässig

8. Oktober 2020

Der Europäische Gerichtshof (EuGH) in Luxemburg entschied mit am 06.10.2020 veröffentlichten Urteil, dass eine flächendeckende und pauschale Speicherung von Kommunikations- und Standortdaten bei der Nutzung von Telekommunikationsdiensten unzulässig ist. Anlass hierzu war, dass der belgische Verfassungsgerichtshof, der französische Staatsrat und das britische Gericht für Ermittlungsbefugnisse anfragten, ob die europäische Datenschutzrichtlinie für elektronische Kommunikation auch auf Maßnahmen zur Terrorabwehr angewendet werden kann.

Eine Ausnahme des Verbotes der flächendeckenden und pauschalen Speicherung von Kommunikations- und Standortdaten soll in Fällen der Bekämpfung schwerer Kriminalität sowie bei konkreten Bedrohungen der nationalen Sicherheit gelten. Voraussetzung für einen solchen Ausnahmefall ist, dass sich ein EU-Mitgliedstaat in einer ernsten Bedrohungslage für die nationale Sicherheitslage befände, die allgemein, aktuell und vorhersehbar sei. Unklar bleibt, was genau als „ernsthafte Bedrohung“ definiert werden darf und was nicht. Auch hier gilt, dass die Datenspeicherung und -übermittlung streng zweckgebunden und zeitlich begrenzt sein muss. Eine Beschränkung auf das unbedingt notwendige Maß ist erforderlich. Eine Nachprüfung durch Gerichte oder unabhängige Behörden soll jederzeit möglich sein können.
Gleiches gilt bei Ermittlungen gegen schwere Straftaten und bei einer Bedrohung der öffentlichen Sicherheit.

Weiterhin hält der EuGH eine Vorratsdatenspeicherung für rechtmäßig, wenn sie sich auf bestimmte Personengruppen oder bestimmte Gebiete bezieht und auf einen bestimmten Zeitraum begrenzt ist. Hier sollen Behörden Provider überdies über diese bestimmten Zeiträume hinaus zur Datenspeicherung anhalten können. Hierbei ist wieder Voraussetzung, dass die Vorratsdatenspeicherung Maßnahmen zur Aufklärung von schweren Verbrechen oder von Angriffen auf die nationale Sicherheit dient, oder wenn solche konkreten Anlassfälle vermutet werden.

In Deutschland wird die Vorratsdatenspeicherung momentan ohnehin aufgrund eines früheren Urteils des EuGH ausgesetzt. Ein gesondertes Verfahren vor dem EuGH hierzu ist derzeit noch anhängig.

Weitere Stellungnahmen der Aufsichtsbehörden zum Privacy-Shield-Aus

31. Juli 2020

Zeitnah nach Verkündung des EuGH-Urteils zur Wirksamkeit des EU-US-Privacy-Shields (Urteil v. 16.07.2020, C-311/18) hatten bereits die ersten deutschen Aufsichtsbehörden zu dieser Entscheidung Stellung bezogen (wir berichteten). Nunmehr haben sich mit der Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) und dem Europäischen Datenschutzausschuss (EDSA) weitere “Big Player” unter den Aufsichtsbehörden zu Wort gemeldet.

Stellungnahme und FAQ des EDSA

Der EDSA hat diesbezüglich gleich zwei Dokumente (in englischer Sprache) veröffentlicht, eine Stellungnahme sowie ein FAQ zum Urteil des Gerichts mit Sitz in Luxemburg. Zunächst einmal wird das Urteil durch den EDSA begrüßt, verdeutliche es doch den Stellenwert des “right to privacy” auch im Hinblick auf den Datentransfer in Drittstaaten. Im Hinblick auf die Unwirksamkeit des Privacy Shields stellt der EDSA heraus, dass einige der nunmehr aufgegriffenen Kritikpunkte auch bereits durch den EDSA aufgeworfen worden waren, und dass ein neues Abkommen zwischen der EU und den USA erforderlich sei, welches sämtliche Rechte der Betroffenen schützt.

Hinsichtlich der Standardvertragsklauseln – welche durch den EuGH grundsätzlich als wirksam anerkannt wurden – obliege es im Wesentlichen den Verantwortlichen selbst, auf ein geeignetes Schutzniveau im betreffenden Drittstaat zu achten. Werde ein solches Schutzniveau nach Ansicht des verantwortlichen Datenexporteurs nicht erreicht, müsse in Betracht gezogen werden, über die in den Standardvertragsklauseln genannten Schutzmaßnahmen hinaus zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen. Wenn die vertraglichen Pflichten (aus den Standardvertragsklauseln) nicht eingehalten werden können – ausdrücklich werden hier die Informationspflichten hinsichtlich Rechtsänderungen in dem Drittstaat genannt – dann müsse in Betracht gezogen werden, den Datentransfer zu stoppen, die Standardvertragsklauseln zu kündigen oder die zuständige Aufsichtsbehörde zu informieren.

In seinen FAQs stellt der EDSA dann noch einmal klar, dass es hinsichtlich der Reaktion auf das Urteil und somit für die Anpassung der Datentransfers in Drittstaaten keine “Gnadenfrist” gebe und sich auf alle Übermittlungen in die USA beziehe. Des Weiteren ist interessant, dass der EDSA die im Urteil nicht erwähnten Binding Corporate Rules (BCRs) ebenfalls anspricht. Auch diese sollten nach Ansicht des EDSA – genauso wie die Standardvertragsklauseln – im Einzelfall daraufhin überprüft werden, ob sie einen hinreichenden Schutz bieten. Ist dies nicht der Fall, sollte hier genauso vorgegangen werden wie bei den Standardvertragsklauseln.

Presseerklärung der DSK

Die Presseerklärung der DSK stimmt mit den Äußerungen des EDSA im Wesentlichen überein. Die DSK stellt jedoch ausdrücklich fest, dass die bisher genutzten Standardvertragsklauseln bei einer Übermittlung in die USA ohne zusätzliche Maßnahmen grundsätzlich nicht ausreichend seien. Dies gelte auch für die weiteren Garantien nach Art. 46 DS-GVO – also auch für die Binding Corporate Rules. Eine Übermittlung nach Art. 49 DS-GVO sei hingegen weiterhin uneingeschränkt zulässig.

Schließlich weist die DSK noch einmal darauf hin, dass eine Schonfrist für laufende Übermittlungen in die USA nicht besteht. Sämtliche datenverarbeitende Akteure, die Übermittlungen in die USA vornehmen, sollten die datenschutzrechtliche Zulässigkeit ihrer Verarbeitungen also umgehend überprüfen.

Das Recht auf Vergessen – Eine Frage des Einzelfalls

29. Juli 2020

Erstmals nach Inkrafttreten der Datenschutz-Grundverordnung befasste sich der BGH mit dem in Art. 17 DSGVO niedergelegten Recht auf Löschung, allgemein als Recht auf Vergessen bekannt.

Eine wichtige erste Erkenntnis des Urteils ist, dass die Frage nach einem Recht auf Vergessen nicht pauschal beantwortet werden kann. Man wird wohl mit der nicht immer beliebten Standardantwort von Juristen auf komplexe Frage antworten können: „Es kommt darauf an“. In einem der gemeinsam verhandelten Verfahren führte der BGH aus, das Recht auf Vergessen unterliege einer umfassenden Abwägung der Interessen aller Involvierten. Eine weitere Frage zum Recht auf Vergessen legte der BGH dem EuGH zur Entscheidung vor.

Die im Verfahren vor dem BGH aufgeworfenen Fragen sind spannend für die Zukunft von Suchmaschinen und der Internetkommunikation insgesamt: Gibt es im Internet einen unbedingten Anspruch auf ein „Vergessenwerden“, ggf. nach einem gewissen Zeitablauf? Müssen Suchmaschinen erst dann tätig werden, wenn sie von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangen? Erstreckt sich das Recht auf Vergessen bereits auf für die betroffene Person unbequeme oder reputationsschädigende Berichte?

Verfahren VI ZR 405/18 – Der defizitäre Wohlfahrtsverband und sein Geschäftsführer

Der Kläger im ersten Verfahren war Geschäftsführer eines Regionalverbandes einer Wohlfahrtsorganisation. Er begehrte von Google, einen Presseartikel aus dem Jahr 2011 bei der gezielten Suche nach seinem Namen auszulisten. In dem Artikel wurde darüber berichtet, dass der Verband im Jahr 2011 ein finanzielles Defizit von knapp einer Million Euro aufwies und sich der Kläger kurz zuvor krank gemeldet hatte.

Der Kläger scheiterte mit seinem Begehren in allen Instanzen. Der BGH betont, dass das Recht auf Vergessen eine umfassende Grundrechtsabwägung auf Grundlage aller relevanten Umstände des Einzelfalls und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person einerseits und der Grundrechte des Suchmaschinenbetreibers, des Anbieters des beanstandeten Ergebnislinks, der Nutzer und der Öffentlichkeit andererseits bedürfe. Das hatte bereits das Bundesverfassungsgericht Ende 2019 betont.

Interessant ist , dass der BGH damit von seiner früheren Rechtsprechung abkehrt. Der Suchmaschinenbetreiber muss nach dem nun veröffentlichten Urteil nicht erst dann tätig werden, wenn er von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangt. Anders als der EuGH im Verfahren Google-Spain geht der BGH nicht von einem pauschalen Vorrangverhältnis der Interesse des Betroffenen aus.

Im Verfahren um den Geschäftsführer des Wohlfahrtverbands entschied der BGH, dass die Rechte der Nutzer, der Öffentlichkeit und der verlinkten Presseorgane Vorrang haben und ein Anspruch auf Auslistung damit nicht besteht, auch unter Berücksichtigung des Zeitablaufs.

Verfahren VI ZR 476/18 – Das Geschäftsmodell eines Ehepaars aus der Finanzdienstleistungsbranche

In dem zweiten Verfahren begehrte ein in der Finanzdienstleistungsbranche tätiges Ehepaar, kritische Presseartikel und Fotos auszulisten, in denen das Geschäftsmodell der Kläger kritisiert wurde. Die Artikel enthielten u.a. Vorwürfe, die Kläger hätten Unternehmen mit negativer Berichterstattung erpresst. Der Wahrheitsgehalt der Berichte ist – anders als im ersten Verfahren – unklar und konnte auch von Google nicht beurteilt werden.

Dieses Verfahren setzte der BGH aus und legte dem EuGH zwei Fragen zur Vorabentscheidung vor:

Einerseits soll der EuGH klären, wie mit Konstellationen zu verfahren ist, bei denen der Link der Suchmaschine zu einem Inhalt führt, der Tatsachenbehauptungen und auf Tatsachenbehauptungen beruhende Werturteile enthält, deren Wahrheit der Betroffene in Abrede stellt. Kann der Betroffene, etwa durch vorläufigen Rechtsschutz, die Frage der Wahrheit der verlinkten Berichte zumindest vorläufig gerichtlich klären lassen?

Außerdem möchte der BGH vom EuGH wissen, wie mit Vorschaubildern in der Trefferleiste umzugehen ist, wenn der Kontext von der Suchmaschine nicht mit angezeigt wird. Besteht ein Recht auf Vergessen auch dann, wenn die Webseite des Dritten in der Suchmaschine zwar verlinkt, aber noch nicht konkret benannt ist?

Ausblick

Es bleibt abzuwarten wie der EuGH auf die Vorabfragen antworten wird. Die Antworten sind für Presseorgane, Suchmaschinenbetreiber und die Öffentlichkeit gleichsam interessant. Schon jetzt zeichnet sich aber immer deutlicher ab, dass das Recht auf Vergessen keinem Automatismus unterliegt, sondern immer eine Frage der Abwägung im Einzelfall ist. In die Abwägung müssen die Interessen aller Beteiligten einfließen und es kann kein pauschaler Vorrang der Interessen der einen oder anderen Seite angenommen werden. Fazit: “Es komm darauf an”, ob eine betroffen Person ein Recht auf Vergessen hat.

Stellungnahmen deutscher Aufsichtsbehörden zum EuGH-Urteil vom 16.07.2020

22. Juli 2020

Die ersten deutschen Aufsichtsbehörden haben inzwischen ihre Stellungnahmen zum o. g. Urteil veröffentlicht, in dem das EU-U.S. Privacy Shield für unwirksam erklärt wurde.

Mit dem Urteil hat das Gericht auch Unsicherheit in Bezug auf den weiteren Umgang mit Datenübermittlungen, insbesondere in die USA hervorgerufen, die auf Grundlage der EU-Standardvertragsklauseln legitmiert werden, da auch auch die Standardvertragsklauseln auf den Prüfstand gestellt wurden. Nach dem EuGH obliegt es dem jeweiligen Datenexporteur, jeweils für den Einzelfall zu prüfen, ob diese unter Berücksichtigung des Rechts des Drittlands einen angemessenen Schutz gewährleisten (siehe RN 132 d. Urteils v. 16.07.2020, C-311/18).

Was sagen nun die deutschen Aufsichtsbehörden dazu? Bisher haben sich immerhin vier von ihnen geäußert. Nachfolgend fassen wir die jeweiligen Kernaussagen kurz zusammen:

Berlin:

Er (der EuGH, Anm. d. Red.) betont in diesem Zusammenhang jedoch, dass sowohl die europäischen Datenexporteure als auch die Datenimporteure in Drittländern verpflichtet sind, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen (Rn. 134 f., 142 des Urteils). Bestehen solche Zugriffsrechte, können auch die Standardvertragsklauseln den Datenexport nicht rechtfertigen. Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. (…) Verantwortliche, die –insbesondere bei der Nutzung von Cloud-Diensten –personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“

Hamburg:

Vor diesem Hintergrund ist die Entscheidung des EuGH, die Standardvertragsklauseln (SCC) als angemessenes Instrument beizubehalten, nicht konsequent. Wenn die Ungültigkeit des Privacy Shield primär mit den ausufernden Geheimdienstaktivitäten in den USA begründet wird, muss dasselbe auch für die Standardvertragsklauseln gelten. Vertragliche Vereinbarungen zwischen Datenexporteur und -importeur sind gleichermaßen ungeeignet, um Betroffene vor dem staatlichen Zugriff zu bewahren. Zumindest hinsichtlich des Abschlusses der SCC mit dem streitgegenständlichen US-Unternehmen hätte der EuGH zu demselben Ergebnis kommen müssen. (…) Nach der heutigen EuGH-Entscheidung befindet sich der Ball wieder einmal im Spielfeld der Aufsichtsbehörden, die nun vor der Entscheidung stehen werden, insgesamt die Datenübermittlung über Standardvertragsklauseln kritisch zu hinterfragen

Rheinland-Pfalz:

Der EuGH hat klargestellt, dass sich Unternehmen mit der Verwendung der Standardvertragsklauseln nicht von ihren Prüfpflichten freikaufen können. (…) Der Ball liegt nun im Feld der Verantwortlichen. Sie kommen nicht umhin, sich mit den nationalen Gesetzen des Drittlandes, in welche sie Daten übermitteln möchten, intensiv auseinanderzusetzen. Unterliegen die Datenempfänger gesetzlichen Regeln ihres Heimatlandes, die gegen das europäische Datenschutzrecht verstoßen, können sie die vertraglichen Regelungen der Standardvertragsklauseln ggf. nicht einhalten. In diesem Fall muss der Verantwortliche in der EU die Datenübermittlung dorthin aussetzen, da er sonst einen Datenschutzverstoß begeht.“

Thüringen:

Wenn  der  EuGH  nun  hervorhebt,  dass  die  Schutzmechanismen  der Standardvertragsklauseln   und   ihre   Einhaltung   vom   Datenexporteur   und dem Datenempfänger  vor  der  Übermittlung  geprüft  werden müssen, dann  weiß  ich  nicht, wie  im  Fall  der  Datenübermittlung  in  die  USA  hier  ein  EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll.“

Wir beobachten weitere Äußerungen selbstverständlich äußerst aufmerksam und informieren Sie zeitnah über aktuelle Entwicklungen.

EuGH entscheidet über die Anwendbarkeit der DSGVO auf parlamentarische Petitionsausschüsse – und über die Unabhängigkeit deutscher Gerichte

8. Juli 2020

Am morgigen Donnerstag – den 09.07.2020 – entscheidet der EuGH in Luxemburg über ein Vorabentscheidungsersuchen des VG Wiesbaden (Rechtssache C-272/19). Dabei hat der EuGH zwei Vorlagefragen zu beantworten. Die erste Frage befasst sich mit dem Anwendungsbereich der DSGVO, konkret auf Petitionsausschüsse eines Landtags. Die zweite Vorlagefrage hat keinen expliziten datenschutzrechtlichen Hintergrund, ist aber auch für die Belange des Datenschutzes nicht ohne Belang. Das VG Wiesbaden stellt nämlich in Frage, ob es überhaupt als ein “Gericht” im europarechtlichen Sinne angesehen werden kann. Dabei geht es vor allem um die Frage, ob die deuschen Gerichte bzw. Richterinnen und Richter unabhängig genug sind, oder ob eine insitutionelle Abhängigkeit gegeben ist. Diese Entscheidung könnte für sämtliche Gerichte Deutschlands enorme Bedeutung haben.

Erste Vorlagefrage: Anwendbarkeit der DSGVO

Die erste Frage betrifft die Anwendbarkeit der DSGVO auf den Petitionsausschuss als Teil des Hessischen Landtags, und ob dieser als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO zu qualifizieren ist. Dabei ist der Hessische Landtag – vertreten durch seinen Präsidenten – der Auffassung, es handle sich beim Petitionsverfahren um eine parlamentarische Aufgabe, sodass der Ausschuss nicht in den (sachlichen) Geltungsbereich der DSGVO falle (Rn. 3). Dieser Ansicht folgend enthalten das Hessische Datenschutz- und Informationsfreiheitsgesetz (HDSIG, § 30 Abs. 1), die Geschäftsordnung des Hessischen Landtags (§ 112 Abs. 6) sowie deren Datenschutzordnung und weitere Richtlinien entsprechende Regelungen, welche die Anwendbarkeit der DSGVO unter anderem für den Petitionsausschuss verneinen bzw. wegen eines erforderlichen Geheimnisschutzes Auskunftsansprüchen wie Art. 15 DSGVO entgegenstehen. Diese Regelungen seien anzuwenden, wenn der Petitionsausschuss nicht unter die DSGVO fällt (Rn. 13).

Die erste Vorlagefrage bezieht sich daher darauf, ob die DSGVO auf Petitionsausschüsse als Teil des Parlaments eines Gliedstaates (Hessen) eines Mitgliedsstaats (Deutschland) Anwendung findet und insoweit als eine Behörde im Sinne des Art. 4 Nr. 7 DSGVO zu behandeln ist. Der Petitionsausschuss sei zwar eine Behörde im organisationsrechtlichen Sinne, fraglich sei aber ob ihre Aufgaben dem Bereich der öffentlichen Verwaltung unterliegen. Jedenfalls sei der Ausschuss weder der Judikative noch der Legislative zuzuordnen (Rn. 42ff). Für die Definition der “Behörde” im Sinne des Art. 4 Nr. 7 DSGVO sei von einem weiten Verständnis der Verwaltung und somit einem umfassenden Behördenbegriff auszugehen (Rn. 48). Auch erschließe sich nicht, warum Behörden – gegenüber denen nach hessischem Recht ebenfalls eine Petition eingereicht werden kann – der DSGVO unterliegen, diese auf den Petitionsausschuss hingegen keine Anwendung finden sollte; das VG Wiesbaden geht deshalb davon aus, dass der Petitionsausschuss unter Art. 4 Nr. 7 DSGVO zu subsumieren ist (Rn. 51).

Zweite Vorlagefrage: Unabhängikeit deutscher Gerichte

Die zweite Vorlagefrage des VG Wiesbaden befasst sich ebenfalls mit europarechtlichen Vorschriften, konkret mit Art. 267 Abs. 2 AEUV und der Frage, ob das VG Wiesbaden – und mittelbar sämtliche deutsche Gerichte – überhaupt als ein “Gericht” im Sinne dieser Norm zu qualifizieren und somit vorlagebefugt sind. Im Fokus steht hier insbesondere die institutionelle Unabhängigkeit der Gerichte.

In dem Vorabentscheidungsersuchen setzt sich das Gericht diesbezüglich zunächst ausführlicher mit den rechtlichen Grundlagen der richterlichen und gerichtlichen Unabhängigkeit auseinander (Rn. 17ff.). Das VG Wiesbaden kommt dabei zu dem Schluss, dass die deutsche Verfassungslage nur die funktionale richterliche Unabhängigkeit, aber keine institutionelle Unabhängigkeit der Gerichte gewährleiste (Rn. 59). Grund dafür sei, dass die Richterinnen und Richter durch den jeweiligen Justizminister der Länder ernannt, beurteilt und befördert werden und das Beamtenrecht auf die Richterinnen und Richter Anwendung findet. Erforderlich sei jedoch eine “völlige Unabhängigkeit”, wonach keinerlei Einflussnahme irgendeiner Art – mit Ausnahme von Kontrollstellen -, weder unmittelbar noch mittelbar, bestehen dürfe (Rn. 64). Es sei nun aber fraglich, ob Richterinnen und Richter von einer solchen Einflussnahme ausgenommen sind, jedenfalls in solchen Streitigkeiten, in denen das jeweilige Justizministerium beteiligt ist (Rn. 65). Aber auch grundsätzlich sieht das VG Wiesbaden eine äußere Einflussnahme durch das Justizministerium gegeben, indem es über Planstellen, Anzahl des nichtrichterlichen Personals und Ausstattung der Gerichte – und somit letztlich auch über die Verarbeitung personenbezogener Daten durch entsprechende EDV – entscheidet (Rn. 67). Auch durch die bloße Gefahr einer politischer Einflussnahme werde die institutionelle Unabhängigkeit beeinträchtigt (Rn. 73). Demgemäß sieht das VG Wiesbaden sich selbst nicht als unabhängig und unparteiisch im Sinne des Art. 47 Abs. GrCH (Rn. 74).

Einschätzung

Es wird spannend sein zu sehen, wie der EuGH mit den beiden Vorlagefragen umgehen wird. Die Frage der Auslegung des Art. 4 Nr. 7 DSGVO, konkret in Bezug auf “Behörde, Einrichtung oder andere Stelle”, dürfte für einige Insitutionen relevant sein, die sich nicht eindeutig der öffentlichen Verwaltung zuordnen lassen und somit davon ausgehen, nicht den Regelungen der DSGVO zu unterliegen.

Weitreichendere Bedeutung könnte aber die Vorlagefrage zur Unabhängigkeit deutscher Gerichte haben. Geht der EuGH hier ebenfalls davon aus, dass die institutionelle Unabhänigkeit deutscher Gerichte und ihrer Richterinnen und Richter nicht gegeben ist, wird sich die Frage stellen müssen, wie diese Unabhängigkeit künftig sichergestellt werden kann. Jedenfalls dürfte die Entscheidung des EuGH dazu dienen, der durch die Richtervereinigungen geführten Diskussion zur Selbstverwaltung der Justiz neue Aufmerksamkeit zu verschaffen.

1 2 3 6