Schlagwort: EuGH

Weitere Stellungnahmen der Aufsichtsbehörden zum Privacy-Shield-Aus

31. Juli 2020

Zeitnah nach Verkündung des EuGH-Urteils zur Wirksamkeit des EU-US-Privacy-Shields (Urteil v. 16.07.2020, C-311/18) hatten bereits die ersten deutschen Aufsichtsbehörden zu dieser Entscheidung Stellung bezogen (wir berichteten). Nunmehr haben sich mit der Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) und dem Europäischen Datenschutzausschuss (EDSA) weitere „Big Player“ unter den Aufsichtsbehörden zu Wort gemeldet.

Stellungnahme und FAQ des EDSA

Der EDSA hat diesbezüglich gleich zwei Dokumente (in englischer Sprache) veröffentlicht, eine Stellungnahme sowie ein FAQ zum Urteil des Gerichts mit Sitz in Luxemburg. Zunächst einmal wird das Urteil durch den EDSA begrüßt, verdeutliche es doch den Stellenwert des „right to privacy“ auch im Hinblick auf den Datentransfer in Drittstaaten. Im Hinblick auf die Unwirksamkeit des Privacy Shields stellt der EDSA heraus, dass einige der nunmehr aufgegriffenen Kritikpunkte auch bereits durch den EDSA aufgeworfen worden waren, und dass ein neues Abkommen zwischen der EU und den USA erforderlich sei, welches sämtliche Rechte der Betroffenen schützt.

Hinsichtlich der Standardvertragsklauseln – welche durch den EuGH grundsätzlich als wirksam anerkannt wurden – obliege es im Wesentlichen den Verantwortlichen selbst, auf ein geeignetes Schutzniveau im betreffenden Drittstaat zu achten. Werde ein solches Schutzniveau nach Ansicht des verantwortlichen Datenexporteurs nicht erreicht, müsse in Betracht gezogen werden, über die in den Standardvertragsklauseln genannten Schutzmaßnahmen hinaus zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen. Wenn die vertraglichen Pflichten (aus den Standardvertragsklauseln) nicht eingehalten werden können – ausdrücklich werden hier die Informationspflichten hinsichtlich Rechtsänderungen in dem Drittstaat genannt – dann müsse in Betracht gezogen werden, den Datentransfer zu stoppen, die Standardvertragsklauseln zu kündigen oder die zuständige Aufsichtsbehörde zu informieren.

In seinen FAQs stellt der EDSA dann noch einmal klar, dass es hinsichtlich der Reaktion auf das Urteil und somit für die Anpassung der Datentransfers in Drittstaaten keine „Gnadenfrist“ gebe und sich auf alle Übermittlungen in die USA beziehe. Des Weiteren ist interessant, dass der EDSA die im Urteil nicht erwähnten Binding Corporate Rules (BCRs) ebenfalls anspricht. Auch diese sollten nach Ansicht des EDSA – genauso wie die Standardvertragsklauseln – im Einzelfall daraufhin überprüft werden, ob sie einen hinreichenden Schutz bieten. Ist dies nicht der Fall, sollte hier genauso vorgegangen werden wie bei den Standardvertragsklauseln.

Presseerklärung der DSK

Die Presseerklärung der DSK stimmt mit den Äußerungen des EDSA im Wesentlichen überein. Die DSK stellt jedoch ausdrücklich fest, dass die bisher genutzten Standardvertragsklauseln bei einer Übermittlung in die USA ohne zusätzliche Maßnahmen grundsätzlich nicht ausreichend seien. Dies gelte auch für die weiteren Garantien nach Art. 46 DS-GVO – also auch für die Binding Corporate Rules. Eine Übermittlung nach Art. 49 DS-GVO sei hingegen weiterhin uneingeschränkt zulässig.

Schließlich weist die DSK noch einmal darauf hin, dass eine Schonfrist für laufende Übermittlungen in die USA nicht besteht. Sämtliche datenverarbeitende Akteure, die Übermittlungen in die USA vornehmen, sollten die datenschutzrechtliche Zulässigkeit ihrer Verarbeitungen also umgehend überprüfen.

Das Recht auf Vergessen – Eine Frage des Einzelfalls

29. Juli 2020

Erstmals nach Inkrafttreten der Datenschutz-Grundverordnung befasste sich der BGH mit dem in Art. 17 DSGVO niedergelegten Recht auf Löschung, allgemein als Recht auf Vergessen bekannt.

Eine wichtige erste Erkenntnis des Urteils ist, dass die Frage nach einem Recht auf Vergessen nicht pauschal beantwortet werden kann. Man wird wohl mit der nicht immer beliebten Standardantwort von Juristen auf komplexe Frage antworten können: „Es kommt darauf an“. In einem der gemeinsam verhandelten Verfahren führte der BGH aus, das Recht auf Vergessen unterliege einer umfassenden Abwägung der Interessen aller Involvierten. Eine weitere Frage zum Recht auf Vergessen legte der BGH dem EuGH zur Entscheidung vor.

Die im Verfahren vor dem BGH aufgeworfenen Fragen sind spannend für die Zukunft von Suchmaschinen und der Internetkommunikation insgesamt: Gibt es im Internet einen unbedingten Anspruch auf ein „Vergessenwerden“, ggf. nach einem gewissen Zeitablauf? Müssen Suchmaschinen erst dann tätig werden, wenn sie von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangen? Erstreckt sich das Recht auf Vergessen bereits auf für die betroffene Person unbequeme oder reputationsschädigende Berichte?

Verfahren VI ZR 405/18 – Der defizitäre Wohlfahrtsverband und sein Geschäftsführer

Der Kläger im ersten Verfahren war Geschäftsführer eines Regionalverbandes einer Wohlfahrtsorganisation. Er begehrte von Google, einen Presseartikel aus dem Jahr 2011 bei der gezielten Suche nach seinem Namen auszulisten. In dem Artikel wurde darüber berichtet, dass der Verband im Jahr 2011 ein finanzielles Defizit von knapp einer Million Euro aufwies und sich der Kläger kurz zuvor krank gemeldet hatte.

Der Kläger scheiterte mit seinem Begehren in allen Instanzen. Der BGH betont, dass das Recht auf Vergessen eine umfassende Grundrechtsabwägung auf Grundlage aller relevanten Umstände des Einzelfalls und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person einerseits und der Grundrechte des Suchmaschinenbetreibers, des Anbieters des beanstandeten Ergebnislinks, der Nutzer und der Öffentlichkeit andererseits bedürfe. Das hatte bereits das Bundesverfassungsgericht Ende 2019 betont.

Interessant ist , dass der BGH damit von seiner früheren Rechtsprechung abkehrt. Der Suchmaschinenbetreiber muss nach dem nun veröffentlichten Urteil nicht erst dann tätig werden, wenn er von einer offensichtlichen und auf den ersten Blick klar erkennbaren Rechtsverletzung des Betroffenen Kenntnis erlangt. Anders als der EuGH im Verfahren Google-Spain geht der BGH nicht von einem pauschalen Vorrangverhältnis der Interesse des Betroffenen aus.

Im Verfahren um den Geschäftsführer des Wohlfahrtverbands entschied der BGH, dass die Rechte der Nutzer, der Öffentlichkeit und der verlinkten Presseorgane Vorrang haben und ein Anspruch auf Auslistung damit nicht besteht, auch unter Berücksichtigung des Zeitablaufs.

Verfahren VI ZR 476/18 – Das Geschäftsmodell eines Ehepaars aus der Finanzdienstleistungsbranche

In dem zweiten Verfahren begehrte ein in der Finanzdienstleistungsbranche tätiges Ehepaar, kritische Presseartikel und Fotos auszulisten, in denen das Geschäftsmodell der Kläger kritisiert wurde. Die Artikel enthielten u.a. Vorwürfe, die Kläger hätten Unternehmen mit negativer Berichterstattung erpresst. Der Wahrheitsgehalt der Berichte ist – anders als im ersten Verfahren – unklar und konnte auch von Google nicht beurteilt werden.

Dieses Verfahren setzte der BGH aus und legte dem EuGH zwei Fragen zur Vorabentscheidung vor:

Einerseits soll der EuGH klären, wie mit Konstellationen zu verfahren ist, bei denen der Link der Suchmaschine zu einem Inhalt führt, der Tatsachenbehauptungen und auf Tatsachenbehauptungen beruhende Werturteile enthält, deren Wahrheit der Betroffene in Abrede stellt. Kann der Betroffene, etwa durch vorläufigen Rechtsschutz, die Frage der Wahrheit der verlinkten Berichte zumindest vorläufig gerichtlich klären lassen?

Außerdem möchte der BGH vom EuGH wissen, wie mit Vorschaubildern in der Trefferleiste umzugehen ist, wenn der Kontext von der Suchmaschine nicht mit angezeigt wird. Besteht ein Recht auf Vergessen auch dann, wenn die Webseite des Dritten in der Suchmaschine zwar verlinkt, aber noch nicht konkret benannt ist?

Ausblick

Es bleibt abzuwarten wie der EuGH auf die Vorabfragen antworten wird. Die Antworten sind für Presseorgane, Suchmaschinenbetreiber und die Öffentlichkeit gleichsam interessant. Schon jetzt zeichnet sich aber immer deutlicher ab, dass das Recht auf Vergessen keinem Automatismus unterliegt, sondern immer eine Frage der Abwägung im Einzelfall ist. In die Abwägung müssen die Interessen aller Beteiligten einfließen und es kann kein pauschaler Vorrang der Interessen der einen oder anderen Seite angenommen werden. Fazit: „Es komm darauf an“, ob eine betroffen Person ein Recht auf Vergessen hat.

Stellungnahmen deutscher Aufsichtsbehörden zum EuGH-Urteil vom 16.07.2020

22. Juli 2020

Die ersten deutschen Aufsichtsbehörden haben inzwischen ihre Stellungnahmen zum o. g. Urteil veröffentlicht, in dem das EU-U.S. Privacy Shield für unwirksam erklärt wurde.

Mit dem Urteil hat das Gericht auch Unsicherheit in Bezug auf den weiteren Umgang mit Datenübermittlungen, insbesondere in die USA hervorgerufen, die auf Grundlage der EU-Standardvertragsklauseln legitmiert werden, da auch auch die Standardvertragsklauseln auf den Prüfstand gestellt wurden. Nach dem EuGH obliegt es dem jeweiligen Datenexporteur, jeweils für den Einzelfall zu prüfen, ob diese unter Berücksichtigung des Rechts des Drittlands einen angemessenen Schutz gewährleisten (siehe RN 132 d. Urteils v. 16.07.2020, C-311/18).

Was sagen nun die deutschen Aufsichtsbehörden dazu? Bisher haben sich immerhin vier von ihnen geäußert. Nachfolgend fassen wir die jeweiligen Kernaussagen kurz zusammen:

Berlin:

Er (der EuGH, Anm. d. Red.) betont in diesem Zusammenhang jedoch, dass sowohl die europäischen Datenexporteure als auch die Datenimporteure in Drittländern verpflichtet sind, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen (Rn. 134 f., 142 des Urteils). Bestehen solche Zugriffsrechte, können auch die Standardvertragsklauseln den Datenexport nicht rechtfertigen. Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. (…) Verantwortliche, die –insbesondere bei der Nutzung von Cloud-Diensten –personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“

Hamburg:

Vor diesem Hintergrund ist die Entscheidung des EuGH, die Standardvertragsklauseln (SCC) als angemessenes Instrument beizubehalten, nicht konsequent. Wenn die Ungültigkeit des Privacy Shield primär mit den ausufernden Geheimdienstaktivitäten in den USA begründet wird, muss dasselbe auch für die Standardvertragsklauseln gelten. Vertragliche Vereinbarungen zwischen Datenexporteur und -importeur sind gleichermaßen ungeeignet, um Betroffene vor dem staatlichen Zugriff zu bewahren. Zumindest hinsichtlich des Abschlusses der SCC mit dem streitgegenständlichen US-Unternehmen hätte der EuGH zu demselben Ergebnis kommen müssen. (…) Nach der heutigen EuGH-Entscheidung befindet sich der Ball wieder einmal im Spielfeld der Aufsichtsbehörden, die nun vor der Entscheidung stehen werden, insgesamt die Datenübermittlung über Standardvertragsklauseln kritisch zu hinterfragen

Rheinland-Pfalz:

Der EuGH hat klargestellt, dass sich Unternehmen mit der Verwendung der Standardvertragsklauseln nicht von ihren Prüfpflichten freikaufen können. (…) Der Ball liegt nun im Feld der Verantwortlichen. Sie kommen nicht umhin, sich mit den nationalen Gesetzen des Drittlandes, in welche sie Daten übermitteln möchten, intensiv auseinanderzusetzen. Unterliegen die Datenempfänger gesetzlichen Regeln ihres Heimatlandes, die gegen das europäische Datenschutzrecht verstoßen, können sie die vertraglichen Regelungen der Standardvertragsklauseln ggf. nicht einhalten. In diesem Fall muss der Verantwortliche in der EU die Datenübermittlung dorthin aussetzen, da er sonst einen Datenschutzverstoß begeht.“

Thüringen:

Wenn  der  EuGH  nun  hervorhebt,  dass  die  Schutzmechanismen  der Standardvertragsklauseln   und   ihre   Einhaltung   vom   Datenexporteur   und dem Datenempfänger  vor  der  Übermittlung  geprüft  werden müssen, dann  weiß  ich  nicht, wie  im  Fall  der  Datenübermittlung  in  die  USA  hier  ein  EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll.“

Wir beobachten weitere Äußerungen selbstverständlich äußerst aufmerksam und informieren Sie zeitnah über aktuelle Entwicklungen.

EuGH entscheidet über die Anwendbarkeit der DSGVO auf parlamentarische Petitionsausschüsse – und über die Unabhängigkeit deutscher Gerichte

8. Juli 2020

Am morgigen Donnerstag – den 09.07.2020 – entscheidet der EuGH in Luxemburg über ein Vorabentscheidungsersuchen des VG Wiesbaden (Rechtssache C-272/19). Dabei hat der EuGH zwei Vorlagefragen zu beantworten. Die erste Frage befasst sich mit dem Anwendungsbereich der DSGVO, konkret auf Petitionsausschüsse eines Landtags. Die zweite Vorlagefrage hat keinen expliziten datenschutzrechtlichen Hintergrund, ist aber auch für die Belange des Datenschutzes nicht ohne Belang. Das VG Wiesbaden stellt nämlich in Frage, ob es überhaupt als ein „Gericht“ im europarechtlichen Sinne angesehen werden kann. Dabei geht es vor allem um die Frage, ob die deuschen Gerichte bzw. Richterinnen und Richter unabhängig genug sind, oder ob eine insitutionelle Abhängigkeit gegeben ist. Diese Entscheidung könnte für sämtliche Gerichte Deutschlands enorme Bedeutung haben.

Erste Vorlagefrage: Anwendbarkeit der DSGVO

Die erste Frage betrifft die Anwendbarkeit der DSGVO auf den Petitionsausschuss als Teil des Hessischen Landtags, und ob dieser als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO zu qualifizieren ist. Dabei ist der Hessische Landtag – vertreten durch seinen Präsidenten – der Auffassung, es handle sich beim Petitionsverfahren um eine parlamentarische Aufgabe, sodass der Ausschuss nicht in den (sachlichen) Geltungsbereich der DSGVO falle (Rn. 3). Dieser Ansicht folgend enthalten das Hessische Datenschutz- und Informationsfreiheitsgesetz (HDSIG, § 30 Abs. 1), die Geschäftsordnung des Hessischen Landtags (§ 112 Abs. 6) sowie deren Datenschutzordnung und weitere Richtlinien entsprechende Regelungen, welche die Anwendbarkeit der DSGVO unter anderem für den Petitionsausschuss verneinen bzw. wegen eines erforderlichen Geheimnisschutzes Auskunftsansprüchen wie Art. 15 DSGVO entgegenstehen. Diese Regelungen seien anzuwenden, wenn der Petitionsausschuss nicht unter die DSGVO fällt (Rn. 13).

Die erste Vorlagefrage bezieht sich daher darauf, ob die DSGVO auf Petitionsausschüsse als Teil des Parlaments eines Gliedstaates (Hessen) eines Mitgliedsstaats (Deutschland) Anwendung findet und insoweit als eine Behörde im Sinne des Art. 4 Nr. 7 DSGVO zu behandeln ist. Der Petitionsausschuss sei zwar eine Behörde im organisationsrechtlichen Sinne, fraglich sei aber ob ihre Aufgaben dem Bereich der öffentlichen Verwaltung unterliegen. Jedenfalls sei der Ausschuss weder der Judikative noch der Legislative zuzuordnen (Rn. 42ff). Für die Definition der „Behörde“ im Sinne des Art. 4 Nr. 7 DSGVO sei von einem weiten Verständnis der Verwaltung und somit einem umfassenden Behördenbegriff auszugehen (Rn. 48). Auch erschließe sich nicht, warum Behörden – gegenüber denen nach hessischem Recht ebenfalls eine Petition eingereicht werden kann – der DSGVO unterliegen, diese auf den Petitionsausschuss hingegen keine Anwendung finden sollte; das VG Wiesbaden geht deshalb davon aus, dass der Petitionsausschuss unter Art. 4 Nr. 7 DSGVO zu subsumieren ist (Rn. 51).

Zweite Vorlagefrage: Unabhängikeit deutscher Gerichte

Die zweite Vorlagefrage des VG Wiesbaden befasst sich ebenfalls mit europarechtlichen Vorschriften, konkret mit Art. 267 Abs. 2 AEUV und der Frage, ob das VG Wiesbaden – und mittelbar sämtliche deutsche Gerichte – überhaupt als ein „Gericht“ im Sinne dieser Norm zu qualifizieren und somit vorlagebefugt sind. Im Fokus steht hier insbesondere die institutionelle Unabhängigkeit der Gerichte.

In dem Vorabentscheidungsersuchen setzt sich das Gericht diesbezüglich zunächst ausführlicher mit den rechtlichen Grundlagen der richterlichen und gerichtlichen Unabhängigkeit auseinander (Rn. 17ff.). Das VG Wiesbaden kommt dabei zu dem Schluss, dass die deutsche Verfassungslage nur die funktionale richterliche Unabhängigkeit, aber keine institutionelle Unabhängigkeit der Gerichte gewährleiste (Rn. 59). Grund dafür sei, dass die Richterinnen und Richter durch den jeweiligen Justizminister der Länder ernannt, beurteilt und befördert werden und das Beamtenrecht auf die Richterinnen und Richter Anwendung findet. Erforderlich sei jedoch eine „völlige Unabhängigkeit“, wonach keinerlei Einflussnahme irgendeiner Art – mit Ausnahme von Kontrollstellen -, weder unmittelbar noch mittelbar, bestehen dürfe (Rn. 64). Es sei nun aber fraglich, ob Richterinnen und Richter von einer solchen Einflussnahme ausgenommen sind, jedenfalls in solchen Streitigkeiten, in denen das jeweilige Justizministerium beteiligt ist (Rn. 65). Aber auch grundsätzlich sieht das VG Wiesbaden eine äußere Einflussnahme durch das Justizministerium gegeben, indem es über Planstellen, Anzahl des nichtrichterlichen Personals und Ausstattung der Gerichte – und somit letztlich auch über die Verarbeitung personenbezogener Daten durch entsprechende EDV – entscheidet (Rn. 67). Auch durch die bloße Gefahr einer politischer Einflussnahme werde die institutionelle Unabhängigkeit beeinträchtigt (Rn. 73). Demgemäß sieht das VG Wiesbaden sich selbst nicht als unabhängig und unparteiisch im Sinne des Art. 47 Abs. GrCH (Rn. 74).

Einschätzung

Es wird spannend sein zu sehen, wie der EuGH mit den beiden Vorlagefragen umgehen wird. Die Frage der Auslegung des Art. 4 Nr. 7 DSGVO, konkret in Bezug auf „Behörde, Einrichtung oder andere Stelle“, dürfte für einige Insitutionen relevant sein, die sich nicht eindeutig der öffentlichen Verwaltung zuordnen lassen und somit davon ausgehen, nicht den Regelungen der DSGVO zu unterliegen.

Weitreichendere Bedeutung könnte aber die Vorlagefrage zur Unabhängigkeit deutscher Gerichte haben. Geht der EuGH hier ebenfalls davon aus, dass die institutionelle Unabhänigkeit deutscher Gerichte und ihrer Richterinnen und Richter nicht gegeben ist, wird sich die Frage stellen müssen, wie diese Unabhängigkeit künftig sichergestellt werden kann. Jedenfalls dürfte die Entscheidung des EuGH dazu dienen, der durch die Richtervereinigungen geführten Diskussion zur Selbstverwaltung der Justiz neue Aufmerksamkeit zu verschaffen.

Verbraucherschutzverbände rügen Datenschutzverstöße: BGH mit Vorlage an den EuGH

2. Juni 2020

Mit Beschluss vom 28.05.2020 (Az.: I ZR 186/17) hat der BGH entschieden, dem EuGH die Frage zur Vorabentscheidung vorzulegen, ob unter Anderem Verbraucherschutzverbände berechtigt sind, Datenschutzverstöße gerichtlich geltend machen zu können. Konkret geht es um die Frage, „ob die in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung) getroffenen Bestimmungen nationalen Regelungen entgegenstehen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die Datenschutzgrundverordnung unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten vorzugehen.“

Der Sachverhalt

In dem Verfahren, das durch den BGH nun bis zur Entscheidung des EuGHs über die Vorlagefrage ausgesetzt wurde, geht es um eine Auseinandersetzung zwischen Facebook Ireland Limited und dem Dachverband der Verbraucherzentralen der Bundesländer. Facebook hatte in seinem Netzwerk im Jahr 2012 ein sog. „App-Zentrum“ installiert, über welches Nutzer Online-Spiele anderer Anbieter spielen konnten. In diesem Rahmen wurde auch auf die erfolgende Datenverarbeitung hingewiesen und eine Einwilligung der Nutzer eingeholt. Diese Einwilligung beurteilte der Verbraucherschutzverband als nicht datenschutzkonform und machte wegen des Rechtsbruchs wettbewerbsrechtliche Unterlassungsansprüche gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG geltend.

Zur Vorlagefrage

Der BGH möchte nun überprüfen lassen, ob Mitbewerber, Verbände u.ä. Verstöße gegen das Datenschutzrecht gerichtlich geltend machen können, obwohl sie nicht in ihren eigenen Rechten verletzt und auch nicht durch die verletzten Betroffenen mit der Geltendmachung ihrer Recht betraut worden sind. Diese Frage werde, so der BGH, in Rechtsprechung und Fachliteratur unterschiedlich beantwortet. Teilweise werde die Auffassung vertreten, Art. 80 DS-GVO enthalte eine abschließende Regelung zur Durchsetzung der in der Verordnung getroffenen datenschutzrechtlichen Bestimmungen. Nationale Regelungen, die dieser Regelung widersprechen, wären damit unionsrechtswidrig. Andere hielten die in der Datenschutzgrundverordnung zur Rechtsdurchsetzung getroffenen Regelungen nicht für abschließend; somit wären nationale Regelungen, welche die Möglichkeit vorsehen, dass z.B. Verbraucherschutzverbände Datenschutzverstöße als Wettbewerbsverstöße geltend machen können, grundsätzlich möglich.

Der BGH weist auch darauf hin, dass sich der EuGH mit dieser Frage bereits einmal befasst hat. Mit Urteil vom 29.07.2019 (Az.: C-40/17) hatte der EuGH entschieden, dass die gesetzlichen Regelungen einer Klagebefugnis von Verbänden nicht entgegenstehen. Allerdings erging dieses Urteil noch zur Datenschutz-Richtlinie, sodass nicht klar sei, ob diese Frage unter Geltung der Datenschutz-Grundverordnung gleich zu beantworten ist.

Generalanwälte am EuGH veröffentlichen Schlussanträge zur Vorratsdatenspeicherung

21. Januar 2020

Der Europäische Gerichtshof befasst sich derzeit im Rahmen mehrerer Vorabentscheidungsverfahren wieder einmal mit der Zulässigkeit verschiedener nationaler Regelungen zur Vorratsdatenspeicherung. In diesen Verfahren haben zwei Generalanwälte nun ihre Schlussanträge vorgelegt. Diese sind für den EuGH zwar nicht bindend, regelmäßig zeichnet sich in ihnen jedoch die spätere Entscheidung ab, sodass sich hier schon eine nähere Betrachtung lohnt.

Bereits 2014 hatte der EuGH die Richtlinie 2006/24/EG zur Vorratsdatenspeicherung von Telekommunikationsverkehrsdaten für unverhältnismäßig und damit nichtig erklärt (verbundene Rechtssachen C‑293/12 und C‑594/12), ebenso wie im Jahr 2016 verschiedene, auf dieser Richtlinie beruhende nationale Regelungen (verbundene Rechtssachen C‑203/15 und C‑698/15). Das Gericht begründete seine Entscheidungen insbesondere damit, dass eine anlasslose und undifferenzierte Vorratsdatenspeicherung einen unverhältnismäßigen Eingriff in die Grundrechte der Betroffenen darstelle. Trotz dieser eindeutigen Entscheidungen weigerten sich jedoch zahlreiche Mitgliedsstaaten, auf die bereits erlassenen Gesetze zur Vorratsdatenspeicherung zu verzichten. Unter anderem die entsprechenden Gesetze aus Frankreich, Belgien, Großbritannien und Estland sind der Anlass dafür, dass sich der EuGH nun erneut mit dieser Frage beschäftigt.

Bereits vergangene Woche hat der in vier Verfahren (Verbundene Rechtssachen C‑511/18 und C‑512/18, Rechtssache C‑520/18 und Rechtssache C‑623/17) zuständige Generalanwalt Campos Sánchez-Bordona seine jeweiligen Schlussanträge vorgelegt. Neben der Anwendbarkeit der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) behandelt der Generalanwalt vor allem die Frage, unter welchen Umständen eine Vorratsdatenspeicherung zulässig sein könnte. Eine allgemeine und unterschiedslose Speicherung könne jedenfalls – so sah es auch schon der EuGH in den oben genannten Urteilen – nicht zulässig sein.

Der Generalanwalt liefert jedoch zugleich mehrere Situationen bzw. Ausgestaltungsmöglichkeiten nationaler Regelungen, die eine zulässige Vorratsdatenspeicherung ermöglichen könnten. Dies sei beispielsweise bei einer zeitlich beschränkten Speicherung nur solcher Kategorien von Daten denkbar, die für eine wirksame Kriminalitäts- und Terrorismusbekämpfung absolut unerlässlich sind. Wichtig sei auch ein begrenzter Zugang zu diesen Daten, etwa durch eine vorherige gerichtliche Kontrolle. Ausnahmsweise könne eine weitreichende Vorratsdatenspeicherung aber auch denkbar sein, wenn die Mitgliedsstaaten durch zeitlich beschränkte und Rechtsschutzgarantien beinhaltende Notstandsregelungen auf unmittelbare Bedrohungen reagieren müssen.

In einem weiteren Verfahren (Rechtssache C‑746/18) wurden am heutigen Dienstag (21.01.2020) die Schlussanträge von Generalanwalt Giovanni Pitruzella veröffentlicht. Dabei ging es zwar nicht um die Speicherung der Daten an sich, sondern um die Zulässigkeit des Zugangs durch staatliche Behörden zu diesen Daten. Der Generalanwalt weist aber darauf hin, dass der Zugang nur dann gerechtfertigt sein könne, wenn schon die Speicherung dieser Daten nach den unionsrechtlichen Vorgaben zulässig ist. Hinsichtlich der Rechtmäßigkeit der Speicherung verweist dieser nun ebenfalls auf die bisherige Rechtsprechung des EuGH zur allgemeinen und unterschiedslosen Speicherung. Weitere Ausgestaltungsmöglichkeiten hinsichtlich der Zulässigkeit der Speicherung, wie sie in den Schlussanträgen von Generalanwalt Campos Sánchez-Bordona enthalten sind, finden sich hier jedoch nicht.

Nun bleibt abzuwarten, ob der EuGH diesen Ansichten folgen wird, wobei erst in einigen Monaten mit entsprechenden Entscheidungen zu rechnen ist. Von Interesse sind diese Entscheidungen auch deshalb, weil das Bundesverwaltungsgericht erst im September 2019 die deutsche Regelung zur Vorratsdatenspeicherung – welche vergleichsweise kurze Speicherfristen vorsieht – dem EuGH vorgelegt hat. Ob der komplexen rechtlichen Problematik jedoch mit einer neuen Richtlinie zur Vorratsdatenspeicherung begegnet werden kann, wie teilweise von politischer Seite gefordert wird, ist fraglich.

EuGH setzt Schranken: Recht auf Vergessenwerden gilt nur innerhalb der EU

25. September 2019

Der EuGH hatte sich erneut mit der Thematik der Löschung von Informationen aus Ergebnislisten einer Suchmaschine befasst. Bereits im Jahr 2014 stärkte der EuGH das Recht auf Vergessenwerden. Es blieb jedoch die umstrittene Frage über die geographische Reichweite des vom Gericht eingeräumten Recht auf Vergessenwerden über die EU-Grenzen hinaus offen. Deshalb hatte der französische Staatsrat den EuGH zur genaueren Auslegung dieser Verpflichtung angerufen.

In seinen jetzigen Urteilen (Urteile vom 24.09.2019, Rechtssache C-136/17 und C-507/17) machte der EuGH deutlich, dass die Suchmaschinenbetreiber nicht dazu verpflichtet werden können, Links weltweit zu löschen und sich damit das Recht auf Vergessenwerden lediglich auf die EU-Staaten beziehe. Jedoch stellt er klar, dass die angezeigten Links weltweit aus allen Versionen des Dienstes zu entfernen sind. Die Suchmaschinenbetreiber müssen durch entsprechende Maßnahmen dafür Sorge tragen, dass Internetnutzer nicht auf Links außerhalb der EU zugreifen können.

Darüber hinaus wurde in einem weiteren Urteil festgestellt, dass das Verbot der Verarbeitung von bestimmten personenbezogenen Informationen auch auf die Suchmaschinenbetreiber übertragbar ist. Ein wirksamer Schutz müsse für die betroffenen Bürgerinnen und Bürger eingehalten werden, damit das Privatleben jedes einzelnen geachtet werden kann.

EuGH entscheidet über „Gefällt mir“-Button

30. Juli 2019

Der EuGH hat vergangenen Montag in einem Urteil verkündet, dass Webseiten mit integrierten Facebook „Gefällt mir“-Button eine Mitverantwortung für die Erhebung und Übermittlung von personenbezogenen Daten an Facebook tragen (C-40/17).

Die Betreiber der Webseiten müssen in diesem Falle über die Erhebung der Daten informieren und eine entsprechende Einwilligung einholen. Für die weitere Verarbeitung nach Übermittlung der Daten ist Facebook alleinverantwortlich.

In dem konkreten Fall ging es darum, dass der Webseitenbetreiber Fashion ID den „Gefällt mir“-Button eingesetzt hat um sein Onlinesortiment zu bewerten. Die personenbezogenen Daten wurden jedoch bereits bei Aufsuchen der Webseite an Facebook übermittelt, vollkommen unabhängig, ob der Webseiten-Nutzer einen „Gefällt mir“-Button genutzt hat oder überhaupt ein Facebook-Account betreibt. Die Klage ging von der Verbraucherzentrale NRW aus, die eine Datenübermittlung ohne Einwilligung stark kritisierte.

Das Verfahren begann beim Landgericht Düsseldorf und führte über das Oberlandesgericht Düsseldorf zum Europäischen Gerichtshof.

Die Entscheidung des EuGH wurde mit dem Prinzip der „Gemeinsamen Verantwortung“ gemäß Art. 26 DSGVO untermauert, wodurch Fashion ID selbst auf seiner Webseite über die Erhebung, Nutzung und Übermittlung der personenbezogenen Daten informieren und die Einwilligung der Nutzer einholen muss.

Der Digitalverband Bitkom kritisierte die Entscheidung des EuGH, da sich diese auf alle Social-Media-Plugins auswirken wird und Cookie-Banner sowie Datenschutzerklärungen bereits viel Platz auf den Webseiten einnehmen ohne vom Nutzer genügend Beachtung zu erhalten.

Kategorien: Allgemein · DSGVO · Social Media
Schlagwörter: , , ,

Darf eine Verbraucherschutzzentrale gegen Datenschutzverstöße klagen?

15. April 2019

Mit dem Beschluss vom 11. April 2019 – I ZR 186/17 setzt der BGH das Verfahren zunächst aus und wartet auf eine Entscheidung des EuGH.

In dem Verfahren vor dem BGH klagt der Dachverband der Verbraucherzentralen der Bundesländer gegen Facebook. Der Verband ist der Ansicht, Facebook habe mit seinem „App-Zentrum“ gegen das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG) alter Fassung verstoßen. In der Version aus dem Jahr 2012 stimmten Nutzer mit ihrem Klick auf „Sofort spielen“ automatisch der Übermittlung ihrer Daten an den Spielebetreiber zu. Parallel berechtigten die Anwendungen dazu, im eigenen Namen Statusmeldungen und Fotos zu veröffentlichen. Weiterhin wirft der Verband Facebook vor, die Nutzer somit nicht ausreichend über die Erhebung und Verwendung der Daten aufgeklärt zu haben, sodass auch die notwendige Einwilligung nicht erfolgen könnte.

War der Verband in den ersten beiden Instanzen noch erfolgreich, soll nun vorab die Frage geklärt werden, ob die Verfolgung von Verstößen überhaupt durch Verbände oder ausschließlich durch die Datenschutzbehörden und die Betroffenen selbst erfolgen darf. Der Bundesgerichtshof (BGH) zieht die Möglichkeit in Betracht, dass dies den Datenschutzbeauftragten vorbehalten sein könnte.

Dazu will der BGH eine Entscheidung des EuGH abwarten. Auch in diesem Verfahren geht es um eine Klage der Verbraucherzentrale NRW gegen Facebook. Gestritten wird um die Einbindung des Like-Buttons in einem Online-Shop.

Zweifel an der Vereinbarkeit der Vorratsdatenspeicherung mit EuGH Rechtsprechung

11. Februar 2019

Das hiesige geltende Gesetz zur Vorratsdatenspeicherung entspricht möglicherweise nicht den strengen Vorgaben des Europäische Gerichtshofs (EuGH). Das vermutet zumindest die bayrische Landesregierung, die sich damit gegen die Ansicht der Bundesregierung stellt.

Die Vorratsdatenspeicherung ist ein kriminalpolitisches Instrument, das die Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste oder Betreiber eines öffentlichen Kommunikationsnetzes verpflichtet, bestimmte Daten, die von ihnen für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden, zum Zwecke der Ermittlung, Feststellung und Verfolgung von Straftaten zur Verfügung zu stellen.

Problematisch sei, dass diese Vorratsdatenspeicherung nach hiesigem Gesetz grundsätzlich anlasslos, generell und damit flächendeckend zu erfolgen hat und damit den Regelfall und nicht die Ausnahme darstelle. Der Leiter der Bayerischen Staatskanzlei, Florian Herrmann, äußert Bedenken dahingehend, dass auch Daten von Personen erfasst werden, bei denen keinerlei Anhaltspunkte dafür bestehen, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen könnte.

Ebenso fraglich erscheint Hermann die Kompatibilität von EuGH Rechtsprechung und der Erhebung und Auswertung mobiler Verbindungs- und Standortdaten mittels der Funkzellenabfrage, „nachdem dort zwangsläufig auch die Daten unbeteiligter Dritter abgefragt werden.“

Trotz der erhobenen Zweifel hofft Herrmann, dass das Gesetz vor dem EuGH Bestand haben könnte. Generell ist Bayern für die Vorratsdatenspeicherung und gewährt als einziges Bundesland grundsätzlich sogar dem Verfassungsschutz Zugriff auf die Informationen. Hermann plädiert an das Bundesverfassungsgericht, den Fall der europäischen Instanz vorzulegen.

Kategorien: Allgemein · Vorratsdatenspeicherung
Schlagwörter:
1 2 3 5