Schlagwort: EuGH

Schrems vs. Facebook: Vorlagefragen des OGH an den EuGH

27. August 2021

Der österreichische Oberste Gerichtshof (OGH) hat im Rechtsstreit von Max Schrems gegen Facebook den Europäischen Gerichtshof (EuGH) angerufen, um einzelne Fragen überprüfen zu lassen. Die Fragen beziehen sich auf die Rechtmäßigkeit der Datennutzung durch Facebook bei allen Nutzer:innen innerhalb der EU. 

Das zuständige Landesgericht urteilte im Sommer, dass die Datenverarbeitung vertrags- und rechtskonform sei. Diese Ansicht teilte auch das Oberlandesgericht Wien. Im März wandte sich Schrems dann an den OGH.

Einwilligung oder Vertrag zur Datennutzung

In dem Rechtsstreit geht es unter anderem um die Frage, ob Nutzer:innen tatsächlich eine Einwilligung oder einen Vertrag mit Facebook schließen, da Facebook als angebliche “Leistung” Werbung anbiete. Da diese beiden Rechtsgrundlagen in der DSGVO verschieden geregelt seien, argumentiert Facebook, dass die Regeln der DSGVO zur Einwilligung nicht mehr anwendbar wären. Laut Schrems wären damit die Vorschriften, die vorgeben, wie eine eindeutige Zustimmung aussehen müsse (und auch jederzeit widerrufen werden könne), hinfällig. Dies sei eine rechtswidrige Umgehung der DSGVO.

Werbe-Targeting und Verarbeitung sensibler Daten

Entscheiden soll der EuGH nun auch konkrete Fragen rund ums Werbe-Targeting. Dazu gehört auch die Fragestellung, ob die Verwendung aller personenbezogener Daten der Nutzer:innen auf Facebook sowie aus vielen anderen Quellen, wie etwa Websites, die Facebook “Like”-Buttons oder Werbung verwenden, mit der DSGVO und dem Grundsatz der “Datenminimierung” vereinbar ist.

Des Weiteren beziehen sich die Fragen auch auf die Problematik der Filterung und Verwendung sensibler Daten, wie beispielsweise politische Ansichten oder sexuelle Orientierung für personalisierte Werbung. “Diese weiteren Fragen sind extrem wichtig, da Facebook dann selbst bei einer gültigen Einwilligung möglicherweise nicht mehr alle Daten für Werbung nutzen darf”, so Schrems dazu. Zusätzlich müsste der Konzern dann möglicherweise sensible Daten wie politische Ansichten oder Daten zur sexuellen Orientierung herausfiltern.

Anspruch auf Schadensersatz möglich

Vor dem OGH konnte Schrems bereits einen Teilerfolg verbuchen. Das Gerichts sprach ihm 500 Euro Schadensersatz zu, da Facebook ihm keinen vollen Zugang zu den über ihn gespeicherten Daten gewährt hatte. Der Konzern habe Schrems damit „massiv genervt“, daraus begründe sich ein berechtigter Anspruch auf Schadensersatz.

“Verliert Facebook vor dem EuGH, müssten sie nicht nur damit aufhören Daten zu missbrauchen und illegal gesammelte Daten löschen, sondern auch Millionen von Nutzer:innen Schadenersatz zahlen. Wir sind über die Vorlage daher sehr glücklich”, so Max Schrems.

EuGH: Einblick Dritter in das Strafpunkteregister steht DSGVO entgegen

9. Juli 2021

In der Vergangenheit war es in Lettland nicht abwegig, dass Jedermann Einsicht in das Strafpunkteregister über Verstöße im Straßenverkehr nehmen konnte. Die Besonderheit liegt darin, dass der Einblick in das Register nicht nur auf eigene Verstöße beschränkt war. In seinem Urteil vom 22.6.2021, Rechtssache C-439/19 stellt der Europäische Gerichtshof (EuGH) nunmehr den Verstoß gegen die DSGVO durch die hierfür erlassene Erlaubnisnorm fest.

Der vorliegende Fall wurde dem EuGH vom Verfassungsgericht Lettland zur Vorabentscheidung vorgelegt, nachdem sich ein Betroffener gegen das unbeschränkte Einsichtsrecht Dritter vor dem lettischen Verfassungsgericht gewehrt hatte. Das Ziel der Klarstellung war zweckmäßig, da die DSGVO der lettischen Regelung inhaltlich entgegensteht. Nach dem lettischen Straßenverkehrsgesetz war es demnach möglich, Informationen über eingetragene Strafpunkte anderer Personen ohne besonderes Interesse zu einzusehen.

Bei Strafpunkten, die wegen Verkehrsverstößen verhängt werden, handelt es sich um personenbezogene Daten im Sinne der DSGVO. Diese werden ferner als besonders sensible Daten deklariert, da es sich um personenbezogene Daten über strafrechtliche Verurteilungen handelt. Der Zweck die Straßenverkehrssicherheit mit dieser Möglichkeit zu verbessern, sei in diesem Zusammenhang nicht nachgewiesen und damit nicht erforderlich. Strafpunkte der Öffentlichkeit zugänglich zu machen, stelle einen Eingriff in die Achtung des Privatlebens dar.

In Deutschland kann dem Betroffenen nach Art. 15 DSGVO Auskunft über die eigenen Punkte im Fahreignungsregister erteilt werden. Das Urteil des EuGH lässt auf weitere Auswirkungen auf die Veröffentlichung von Informationen über Straftaten oder Ordnungswidrigkeiten schließen.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

EuGH-Urteil zur behördlichen Zuständigkeit in Sachen Facebook

18. Juni 2021

In der Frage, ob auch eine nicht federführende Aufsichtsbehörde gegen Facebook bei DSGVO Verstößen vorgehen kann, hat der EuGH nun ein Urteil gefällt. Damit legt er einen lang anhaltenden Streit zwischen der irischen Datenschutzbehörde und anderen Ländern bei.

Der Sachverhalt

Zu urteilen hatte der EuGH in einem Rechtsstreit zwischen der belgischen Datenschutzbehörde und mehreren Unternehmen des Facebook-Konzerns, konkret Facebook Ireland Ltd., Facebook Inc. und Facebook Belgium BVBA. Begonnen hat das Verfahren bereits im Jahre 2015 und damit vor in Kraft treten der DSGVO im Mai 2018, jedoch zog sich der Sprung durch die einzelnen Instanzen lange hin.

Das Verfahren selbst zielte darauf ab, Facebook mittels Unterlassungsklage zu verpflichten, auf den Einsatz von Cookies ohne Einwilligung der belgischen Benutzer zu verzichten und die Datenerhebung auf Webseiten von Dritten zu unterlassen. Zudem sollte Facebook Abstand von der Praxis nehmen übermäßig Daten durch Social-Plugins zu erheben und die dadurch gewonnen personenbezogenen Daten zu löschen.

Facebook ist jedoch der Ansicht, dass in diesem Fall die belgische Datenschutzbehörde gar nicht zuständig ist. Damit beruft sich der Konzern auf die 2018 in Kraft getretenen Regeln der DSGVO, wonach nur die Datenschutzbehörde gerichtliche Schritte einleiten können soll, in deren Mitgliedsland Facebook seine Hauptniederlassung hat. Im konkreten Fall, müsste demnach die irische Datenschutzbehörde tätig werden.

Die Richterinnen und Richter des EuGH gelangten hier allerdings zu einer anderen Rechtsauffassung und entschieden, dass zwar grundsätzlich tatsächlich die federführende Datenschutzbehörde (Irland) tätig werden müsse, wenn es sich um DSGVO-Verstöße handele. Allerdings verweist der EuGH zusätzlich auf die Artikel 56 Abs 2, und Artikel 66 DSGVO, nach denen unter bestimmten Voraussetzungen auch andere Behörden bei grenzüberschreitenden Datenverarbeitungen zuständig sein könnten.

Fazit

Letzten Endes folgt der EuGH mit seinem Urteil damit den Ausführungen des Generalanwalts Michael Bobek, der in seinen Schlussanträgen eine Zuständigkeit für andere Datenschutzbehörden in Ausnahmefällen annahm. Das Urteil sollte in seiner Tragweite nicht unterschätzt werden, denn wie Bayerns Justizminister Georg Eisenreich zutreffend urteilte könntenes Unternehmen „künftig schwerer haben, sich durch eine geschickte Standortwahl einer effektiven Kontrolle zu entziehen“.

Kategorien: Allgemein · DSGVO · Social Media
Schlagwörter: , , ,

Personalunion von Betriebsratsvorsitzenden und Datenschutzbeauftragten

5. Mai 2021

Das Bundesarbeitsgericht musste sich mit der Frage befassen, ob das Amt des Vorsitzenden eines Betriebsrats in Personalunion mit dem Amt des Datenschutzbeauftragten ausgeübt werden darf. Dafür soll nun per Vorabentscheidungsersuchen geklärt werden, ob die hohen Anforderungen, die das deutsche Recht an die Abberufung eines betrieblichen Datenschützers stellt, mit der europäischen Datenschutzgrundverordnung im Einklang stehen.

Vorausgegangen war eine Klage eines Betriebsratsvorsitzenden eines Unternehmens, welcher zusätzlich zum betrieblichen Datenschutzbeauftragten bestellt wurde. Nach Inkrafttreten der DSGVO im Jahr 2018 wurde der Kläger jedoch von dem beklagten Unternehmen in seiner Funktion als Datenschutzbeauftragter abberufen. Gründe dafür seien mögliche Interessenskollisionen zwischen der beiden von ihm ausgeübten Positionen, welche einen wichtigen Grund für die Abbestellung im Sinne des §§ 38 Abs. 2, 6 Abs. 4 BDSG i.V.m. § 626 BGB darstellen.

In einem Vorabentscheid soll der EuGH nun ergründen, ob diese hohen Anforderungen des deutschen Rechts mit dem Unionsrecht im Einklang stehen. Dieses schreibt in Art. 38 der DSGVO lediglich vor, dass eine Abbestellung nur dann nicht erfolgen darf, wenn sie wegen der Aufgabenerfüllung des Datenschutzbeauftragten vorgenommen wird.

Sollte der Gerichtshof die Anforderungen des BDSG an eine Abberufung für unionsrechtskonform erachten, ergibt sich die Folgefrage, ob die Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten in einem Betrieb in Personalunion ausgeübt werden dürfen oder ob dies zu einem Interessenkonflikt iSv Art. 38 Abs. 6 Satz 2 DSGVO führt. In einem früheren Urteil wurde vom BAG in Erfurt eine solche Personalunion als vereinbar erklärt. Das Urteil wurde jedoch im Jahr 2011 – und damit vor dem Inkrafttreten der DSGVO – verkündet.

Facebook-Klage des Bundeskartellamts vor dem EuGH: von Düsseldorf nach Luxemburg

31. März 2021

Das Bundeskartellamt will das Datensammeln von Facebook einschränken. Dies sollten Richter vom Oberlandesgericht (OLG) Düsseldorf klären. Nun hat das OLG Düsseldorf im Rechtsstreit zwischen Facebook und dem Bundeskartellamt einige entscheidungserhebliche Fragen zum EU-Datenschutzrecht dem Gerichtshof der Europäischen Union (EuGH) in Luxemburg zur Vorabentscheidung vorgelegt. 

Bisheriger Ablauf des Verfahrens

Das Bundeskartellamt hatte dem US-Internetkonzern im Jahr 2019 Beschränkungen für den Austausch von Daten auferlegt, worüber wir bereits berichteten. Die Behörde argumentierte: das Ausmaß, in dem Facebook Daten ohne Zustimmung der User sammelt und zwischen seinen Diensten teilt, stelle einen Missbrauch seiner Marktmacht dar. 

Die Behörde hatte dem Konzern untersagt, Nutzerdaten der Facebook-Töchter WhatsApp und Instagram sowie Webseiten anderer Anbieter mit den Facebook-Konten der Nutzer zu verknüpfen, sofern der Nutzer in diese Datenerhebung und Datenverwendung nicht zuvor nach den Bestimmungen der DSGVO eingewilligt hat. Und falls die User ihre Erlaubnis nicht geben, dürfe Facebook sie nicht von den Diensten ausschließen. Eine solche Entflechtung der Datenströme hätte weitreichende Folgen für Facebooks Geschäftsmodell.

Der Präsident des Bundeskartellamts hatte damals insbesondere die Zusammenführung der Daten von unterschiedlichen Plattformen (Facebook, WhatsApp und Instagram) kritisiert. Der Düsseldorfer Oberlandesrichter Jürgen Kühnen erklärte seinerseits, dass die Datennutzung durch Facebook nicht zu einem Missbrauch der marktbeherrschenden Stellung führe. Wie wir bereits berichteten, folgte eine Berufungsklage des Kartellamts vor dem Bundesgerichtshof in Karlsruhe. Der BGH teilte die Meinung der Bundeskartellbehörde.

Entscheidung im Hauptsacheverfahren

Nun befasste sich das Düsseldorfer Gericht im Hauptsacheverfahren erneut mit der Akte, um ein endgültiges Urteil zu verkünden. Die zentrale Frage lautet: Dürfen Wettbewerbshüter das Kartellrecht als Werkzeug benutzen, um den Datenschutz durchzusetzen – oder überschreiten sie damit ihre Kompetenz? Dabei kam das Gericht laut Pressemitteilung zu folgendem Ergebnis: „Ob Facebook seine marktbeherrschende Stellung als Anbieter auf dem Markt für soziale Netzwerke deshalb missbräuchlich ausnutzt, weil es die Daten seiner Nutzer unter Verstoß gegen die DSGVO erhebt und verwendet, kann ohne Anrufung des EuGH nicht entschieden werden.“ Das OLG kann somit nicht ohne das EU-Gericht entscheiden, ob der US-Internetkonzern seine marktbeherrschende Stellung ausnutzt, weil er Daten seiner Nutzer unter Verstoß gegen Regeln des Datenschutzes sammelt und verwendet. Denn zur Auslegung des europäischen Rechts sei der EuGH berufen.

Dabei bekräftigte Kühnen die frühere Beurteilung seines Gerichts. Das OLG wird in den kommenden Wochen eine formelle schriftliche Eingabe an den EuGH machen und den Fall offiziell übergeben.

Ausblick

Der EuGH soll entscheiden, ob der US-Internetkonzern eine marktbeherrschende Stellung ausnutzt, indem er Daten seiner Nutzer und Nutzerinnen unter Verstoß gegen Regeln des Datenschutzes sammelt und verwendet. Zu klären ist zudem, ob eine nationale Kartellbehörde DSGVO-Verstöße feststellen und dagegen vorgehen kann. Auch die Definition sensibler Daten soll genauer eingegrenzt werden. Bis zu einer Antwort wird das Verfahren am OLG ausgesetzt.

BVerfG: Vorlage an EuGH wegen Schadensersatz für Datenschutzverstöße

23. Februar 2021

Ein Unternehmen begeht einen Verstoß gegen datenschutzrechtliche Bestimmungen, der betroffenen Person entstehen durch den Datenschutzverstoß aber keine materiellen Schäden. Sind nun immaterielle Schäden zu ersetzen? Wie ist dieser zu bemessen? Oder muss der Schaden eine gewisse Erheblichkeit aufweisen? Letztere Frage sieht das BVerfG als nicht geklärt an, sodass mit Beschluss vom 14.01.2021 (Az. 1 BvR 2853/19) ein Urteil des Amtsgericht Goslar aufgehoben wurde. Die Frage soll dem EuGH im Wege des Vorabentscheidungsverfahrens vorgelegt werden. Dieser soll entscheiden, wie die Regelung des Art. 82 Abs. 1 DS-GVO zum Schadensersatz auszulegen ist.

Hintergrund

Das BVerfG hatte über eine Verfassungsbeschwerde wegen der Verletzung des Rechts auf den gesetzlichen Richter (Art. 101 Abs. 1 S. 2 GG) zu entscheiden. Anstoß für die Verfassungsbeschwerde war ein Urteil des AG Goslar vom 27. September 2019 (Az. 28 C 7/19). Das Amtsgericht hatte u.a. entschieden, dass dem Kläger kein Schadensersatzanspruch nach Art. 82 DS-GVO wegen einer widerrechtlich verschickten Werbe-E-Mail zustehe, weil mangels Erheblichkeit des Vorgangs kein Schaden vorliege. Diese Frage hätte – so das BVerfG – jedoch nach Art. 267 Abs. 3 AEUV dem EuGH vorgelegt werden müssen, da es sich um eine ungeklärte Frage des europäischen Rechts handelt. Indem das Amtsgericht auf diese Vorlage verzichtet hat, habe es die Grundrechte des Klägers verletzt. Somit sei das Urteil aufzuheben. Es wird nun dem AG Goslar obliegen, die offene Frage der Auslegung des Art. 82 Abs. 1 DS-GVO dem EuGH zur Entscheidung vorzulegen.

Bedeutung der Entscheidung

Die Relevanz der Vorlage an den EuGH ist aus praktischer Sicht immens. Art. 82 Abs. 1 DS-GVO gewährt von Datenschutzverstößen betroffenen Personen einen Schadensersatzanspruch, wenn diesen ein materieller oder immaterieller Schaden entstanden ist. Materielle Schäden sind vergleichsweise leicht zu beziffern, bleiben in der Praxis jedoch die Ausnahme. Immaterielle Schäden – also kein Vermögensschaden, sondern z.B. bei Verletzung der Ehre oder der Freiheit – sind wegen des Datenschutzverstoßes gewissermaßen immanent: Jeder Verstoß gegen das Datenschutzrecht verletzt die Freiheit des Betroffenen, darüber entscheiden zu können, wie mit den eigenen Daten verfahren wird. Wie jedoch der dadurch entstandene immaterielle Schaden zu bemessen ist, bleibt Gegenstand zahlreicher Entscheidungen und Diskussionen, sodass hier noch keine Gewissheit besteht. Das AG Goslar schien diese Frage offenbar umgehen zu wollen, indem durch die Bezugnahme auf ein Erheblichkeitskriterium bereits das Bestehen eines Schadens verneint wird.

Ausblick

Eine Erheblichkeitsschwelle ist jedoch weder in der DS-GVO selbst noch in ihren Erwägungsgründen vorgesehen. Im Falle eines Vorabentscheidungsverfahrens wird der EuGH dazu Stellung nehmen müssen, ob ein solches Kriterium herangezogen werden kann und diese Frage vermutlich verneinen. Spannend wird jedoch sein, ob sich der Gerichtshof darüber hinaus zur Auslegung des Art. 82 Abs. 1 DS-GVO äußert und somit die Bemessung des immateriellen Schadensersatzes erleichtert. Auszuschließen ist dies nicht, allzu große Hoffnungen auf eine Klärung dieser Frage sollte sich sowohl die Praxis als auch die Rechtswissenschaft aber wohl nicht machen.

Vorlage zum Europäischen Gerichtshof: Einführung von Livestream-Unterricht an Schulen

31. Januar 2021

Das Verwaltungsgericht Wiesbaden hat mit Beschluss vom 21.12.2020 bezüglich der Einführung eines Livestream-Unterrichtes den Gerichtshof der Europäischen Union angerufen. Gegenstand des Verfahrens vor dem Verwaltungsgericht ist die Frage, ob es bei dieser Form des Unterrichtes neben der Einwilligung der Eltern für ihre Kinder oder der volljährigen Schüler auch der Einwilligung der jeweiligen Lehrkraft bedarf.

Die zuständige Fachkammer entschied (Az.: 23 K 1360/20.WI), dem Gerichtshof die Frage vorzulegen, ob eine Vorschrift bestimmte inhaltliche Anforderungen der DSGVO erfüllen müsse, um eine „spezifische Vorschrift“ im Sinne der DSGVO zu sein. Zudem sei zu klären, ob eine nationale Norm, wenn sie diese Anforderungen offensichtlich nicht erfülle, trotzdem noch anwendbar bleiben könne.

Von der Klärung dieser Frage hänge ab, ob die hessischen Vorschriften zum Datenschutz die Anforderungen der DSGVO erfüllten und ob diese Normen trotz eines möglichen Verstoßes anwendbar blieben, so das Gericht.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

Brexit und Datentransfers: Einigung auf Übergangsregelungen

5. Januar 2021

Zum 01.01.2021 wurde der Brexit nun “endlich” offiziell vollzogen, und noch rechtzeitig vor Ablauf der Übergangsfrist konnten sich die EU und das Vereinigte Königreich (UK) auf ein Handels- und Kooperationsabkommen einigen. Dieses ist zwar bisher lediglich provisorisch in Kraft – es fehlt noch die Bestätigung der verschiedenen Institutionen und Mitgliedsstaaten – jedoch dürfte es sich dabei nur noch um eine Formalie handeln.

Vereinigte Königreich nun ein “Drittstaat”

Mit dem Austritt aus der EU ist das Vereinigte Königreich aus datenschutzrechtlicher Sicht nun ein sog. Drittstaat. Dies bedeutet, dass Datentransfers ins Vereinigte Königreich besonders gerechtfertigt werden müssen. Zu diesem Zweck kommt ein Angemessenheitsbeschluss der Kommission in Betracht (Art. 45 DS-GVO), durch welchen bestätigt wird, dass die Datenschutzbestimmungen des Vereinigten Königreichs ein angemessenes Schutzniveau für die übermittelten Daten gewährleisten. Fehlt es an einem solchen Beschluss, kommen die in Art. 46 Abs. 2 DS-GVO genannten Möglichkeiten zur Rechtfertigung in Betracht. Hier würde wie bei Datentransfers in die USA wohl überwiegend auf die sog. Standardvertragsklauseln zurückgegriffen werden, wobei angesichts der Schrems-II-Entscheidung (wir berichteten) fraglich sein könnte, ob diese allein ausreichend sind.

Angemessenheitsbeschluss in Arbeit

Für Rechtssicherheit auf Seiten der betroffenen Unternehmen – und auch für bürokratische Entlastung – würde demnach ein Angemessenheitsbeschluss sorgen. Bereits seit März 2020 arbeitet die Kommission nach eigenen Angaben an einem solchen Beschluss, bisher wurde dieser jedoch noch nicht erlassen. Selbst wenn die Kommission den Beschluss zeitnah erlässt, würde für zusätzliche Verzögerung sorgen, dass dieser auch noch durch den Europäischen Datenschutzausschuss (EDSA) sowie durch die 27 Mitgliedsstaaten bestätigt werden muss.

Weil zwischen dem Ausstritt des Vereinigten Königreichs und dem (möglichen) Erlass des Angemessenheitsbeschlusses eine Lücke entstanden ist, wurde in das Handels- und Kooperationsabkommen eine Übergangsregelung aufgenommen. Diese ermöglicht für die kommenden vier Monate, dass personenbezogene Daten auch ohne ein in den Art. 45 ff. DS-GVO genanntes Instrument übermittelt werden können. Sofern erforderlich und falls keine der beiden Parteien widerspricht, kann sich die Übergangsfrist um weitere zwei Monate – also bis zum 01.07.2021 – verlängern. Bis zu diesem Zeitpunkt ist also für Rechtssicherheit gesorgt.

Und nach Ablauf der Übergangsregelungen?

Was aber passiert, wenn bis zu diesem Datum kein Angemessenheitsbeschluss erlassen wurde? Unmöglich erscheint dies nicht, berücksichtigt man die durch den EuGH gestellten Anforderungen an die Wirksamkeit eines solchen Beschlusses. Auch scheint fraglich, ob die Kommission ein erneutes Szenario wie beim Privacy-Shield riskieren will, also das Abkommen durch den EuGH gekippt wird und dies für erhöhte Rechtsunsicherheit sorgt. Insofern sollten sich die betroffenen Unternehmen auch auf den Worst Case vorbereiten: Dass ab dem 01.07.2021 Instrumente wie die Standardvertragsklauseln herangezogen werden müssen, um Datentransfers in das Vereinigte Königreich rechtfertigen zu können.

Europäischer Datenschutzausschuss veröffentlicht Empfehlung über zusätzliche Maßnahmen für Übermittlungen in Drittstaaten

12. November 2020

Nachdem der EuGH in seiner “Schrems II-Entscheidung” den EU-US-Privacy-Shield für unwirksam erklärte, setzen viele Unternehmen auf die EU-Standardvertragsklauseln als Grundlage für die Übermittlungen in Drittstaaten. Sowohl der EuGH als auch der Europäische Datenschutzausschuss (EDSA) hatten aber betont, dass alleine die Nutzung der Standarvertragsklauseln regelmäßig nicht ausreichend ist, um ein angemessenes Schutzniveau zu gewährleisten, wenn in dem Drittstaat ein behördlicher Zugriff auf die übermittelten Daten droht. Stattdessen müssten zusätzliche technische oder organisatorische Maßnahmen ergriffen werden, um die Sicherheit der Daten zu gewährleisten.

In der Zwischenzeit war gerätselt worden, welche zusätzlichen Maßnahmen damit gemeint sein könnten. Nun hat sich der EDSA zu dieser Frage geäußert und entsprechende Empfehlungen geäußert (bisher nur auf englischer Sprache vorliegend).

Nicht nur technische und organisatorische, auch vertragliche Maßnahmen möglich

Zunächst gibt der EDSA den betroffenen Unternehmen eine Prozessempfehlung an die Hand. Dabei geht es vor allem um die Identifizierung der relevanten Datenübermittlungen und deren rechtliche Grundlage. Dies dient als Basis für die Einschätzung, ob überhaupt zusätzliche technische und organisatorische Maßnahmen getroffen werden müssen.

Kern der Empfehlung ist aber die Anlage 2, in welcher – durchaus umfangreich – nicht nur zusätzliche technische und organisatorische Maßnahmen, sondern auch mögliche vertragliche Vereinbarungen vorgestellt werden. Der EDSA versucht diese Maßnahmen anschaulich auf konkrete Sachverhalte zu beziehen und stellt genau dar, welche Anforderungen diese Maßnahmen erfüllen müssen. Die möglichen Maßnahmen reichen von wirksamen Verschlüsselungen über eine vertragliche Verstärkung der Betroffenenrechte bis hin zu konzerninternen Richtlinien und der Aufstellung von Spezialistenteams, welche mögliche Behördenzugriffe auf dem Rechtsweg verhindern sollen.

Vorgeschlagene Maßnahmen auch praktikabel?

So umfangreich und detailliert der EDSA die möglichen Maßnahmen beschreibt, mit denen im Verhältnis zwischen den beteiligten Parteien trotz eines drohenden behördlichen Zugriffs auf die Daten deren Sicherheit gewährleistet werden soll, muss sich doch erst noch herausstellen, wie praktikabel diese Empfehlungen sind. Können konzernintern entsprechende Maßnahmen sicherlich zeitnah umgesetzt werden, stellt sich doch die Frage, wie dies gegenüber marktbeherrschenden Dienstleistern möglich sein soll. Hier erscheint die Initiative der Dienstleister erforderlich zu sein, die vertraglichen Grundlagen anzupassen und entsprechende interne Prozesse einzuleiten. Ob dies jedoch aus wirtschaftlicher Sicht sinnvoll ist, wenn gleichzeitig zwischen der EU und den USA über eine neue datenschutzrechtliche Grundlage für Datentransfers verhandelt wird, steht ebenfalls auf einem anderen Blatt.

Nichtsdestotrotz sollten betroffene Unternehmen die Empfehlungen des EDSA nicht unberücksichtigt lassen und prüfen, welche der vorgeschlagenen Maßnahmen im Einzelfall umgesetzt werden können. Die bestehende Rechtsunsicherheit kann dadurch vielleicht nicht gänzlich beseitigt werden, dennoch sind die Empfehlungen sicherlich ein Schritt in die richtige Richtung.

EuGH-Urteil: Pauschale Vorratsdatenspeicherung unzulässig

8. Oktober 2020

Der Europäische Gerichtshof (EuGH) in Luxemburg entschied mit am 06.10.2020 veröffentlichten Urteil, dass eine flächendeckende und pauschale Speicherung von Kommunikations- und Standortdaten bei der Nutzung von Telekommunikationsdiensten unzulässig ist. Anlass hierzu war, dass der belgische Verfassungsgerichtshof, der französische Staatsrat und das britische Gericht für Ermittlungsbefugnisse anfragten, ob die europäische Datenschutzrichtlinie für elektronische Kommunikation auch auf Maßnahmen zur Terrorabwehr angewendet werden kann.

Eine Ausnahme des Verbotes der flächendeckenden und pauschalen Speicherung von Kommunikations- und Standortdaten soll in Fällen der Bekämpfung schwerer Kriminalität sowie bei konkreten Bedrohungen der nationalen Sicherheit gelten. Voraussetzung für einen solchen Ausnahmefall ist, dass sich ein EU-Mitgliedstaat in einer ernsten Bedrohungslage für die nationale Sicherheitslage befände, die allgemein, aktuell und vorhersehbar sei. Unklar bleibt, was genau als „ernsthafte Bedrohung“ definiert werden darf und was nicht. Auch hier gilt, dass die Datenspeicherung und -übermittlung streng zweckgebunden und zeitlich begrenzt sein muss. Eine Beschränkung auf das unbedingt notwendige Maß ist erforderlich. Eine Nachprüfung durch Gerichte oder unabhängige Behörden soll jederzeit möglich sein können.
Gleiches gilt bei Ermittlungen gegen schwere Straftaten und bei einer Bedrohung der öffentlichen Sicherheit.

Weiterhin hält der EuGH eine Vorratsdatenspeicherung für rechtmäßig, wenn sie sich auf bestimmte Personengruppen oder bestimmte Gebiete bezieht und auf einen bestimmten Zeitraum begrenzt ist. Hier sollen Behörden Provider überdies über diese bestimmten Zeiträume hinaus zur Datenspeicherung anhalten können. Hierbei ist wieder Voraussetzung, dass die Vorratsdatenspeicherung Maßnahmen zur Aufklärung von schweren Verbrechen oder von Angriffen auf die nationale Sicherheit dient, oder wenn solche konkreten Anlassfälle vermutet werden.

In Deutschland wird die Vorratsdatenspeicherung momentan ohnehin aufgrund eines früheren Urteils des EuGH ausgesetzt. Ein gesondertes Verfahren vor dem EuGH hierzu ist derzeit noch anhängig.

1 2 3 6