Skip to content

Grundsätzlich gilt, dass ausschließlich die sogenannte “federführende Behörde” für Datenschutzverstöße zuständig sei, so der Generalanwalt des EuGH.

Grenzüberschreitende Zuständigkeit von Datenschutzbehörden  

Einführung 

Der Europäische Gerichtshof (EuGH) befasst sich derzeit in einem Vorabentscheidungsverfahren mit der Frage der grenzüberschreitenden Zuständigkeit von Datenschutzbehörden. Hintergrund der Rechtssache C-645/19 ist ein 2015 entstandener Rechtsstreit zwischen der belgischen Datenschutzbehörde (Gegevensbeschermingsautoriteit) und Facebook Belgium. Die belgische Datenschutzbehörde leitete ein Verfahren gegen Facebook ein und rügte dabei mehrere Datenschutzverstöße, insbesondere die Nutzung von Cookies ohne explizite Einwilligung der Nutzer oder die Datenerhebung auf Webseiten Dritter durch Social Plugins oder Pixel. Facebook ist dabei der Ansicht, dass die belgische Datenschutzbehörde für die Führung des Verfahrens nach Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) gar nicht mehr zuständig sei. Zuständig sei nun lediglich die irische Datenschutzbehörde (Irish Data Protection Commission), da Facebook seinen europäischen Hauptsitz in Irland hat.  

Das Berufungsgericht in Brüssel hat sich schließlich an den EuGH gewandt, um die Frage der grenzüberschreitenden Zuständigkeit von Datenschutzbehörden zu klären. Ein Urteil des EuGH steht derzeit noch aus, der zuständige Generalanwalt Michal Bobek hat in seinen Schlussanträgen aber bereits Stellung genommen. 

Erwägungen des Generalstaatsanwalts 

Zur Beantwortung der Zuständigkeitsfrage bezieht sich der Generalanwalt vor allem auf den Wortlaut des Art. 56 Abs. 1 und Abs. 6 DS-GVO und ist somit der Auffassung, dass für eine grenzüberschreitende Datenverarbeitung ausschließlich die federführende Datenschutzbehörde zuständig sei. Die federführende Datenschutzbehörde ist diejenige, in dessen Hoheitsgebiet sich der Hauptsitz des Unternehmens oder dessen einziger Sitz in der EU befindet. Im vorliegenden Fall wäre das somit die irische Datenschutzbehörde. 

Von der Zuständigkeit der federführenden Datenschutzbehörde sei dann vor allem auch die Einleitung und Führung eines gerichtlichen Verfahrens umfasst. Zwar dürften nationale Datenschutzbehörden bei Verstößen auf ihrem Hoheitsgebiet grundsätzlich tätig werden (Art. 55 Abs. 1 i.V.m. Art. 57 Abs. 1 lit. A DS-GVO), ihre Zuständigkeit sei jedoch ausdrücklich auf nationale Datenverarbeitungsvorgänge beschränkt. Für eine grenzüberschreitende Datenverarbeitung seien die nationalen Datenschutzbehörden gerade nicht zuständig, sofern sie nicht gleichzeitig die federführenden Datenschutzbehörden sind 

Die Zuständigkeitsregelung der DS-GVO bezwecke vor allem die besondere Stellung der federführenden Behörde, um frühere Kooperationsschwierigkeiten und Unsicherheiten bezüglich fremder nationaler Regelwerke endgültig zu beseitigen, so Bobek. Trotz alleiniger Zuständigkeit der federführenden Datenschutzbehörde sei diese aber dennoch dazu angehalten mit den betroffenen nationalen Datenschutzbehörden eng zusammenzuarbeiten.  

Nichtsdestotrotz hält der Generalanwalt es für möglich, dass die nationalen Datenschutzbehörden unter engen Voraussetzungen auch bei grenzüberschreitender Datenverarbeitung tätig werden können. Das ist seiner Ansicht nach der Fall, wenn: 

  1. die nationale Datenschutzbehörde außerhalb des sachlichen Anwendungsbereichs der DS-GVO agiert oder 
  2. die nationale Datenschutzbehörde Untersuchungen zu grenzüberschreitenden Datenverarbeitungen anstellt, die durch Behörden in Ausübung eines öffentlichen Interesses oder öffentlicher Gewalt oder durch Verantwortliche erfolge, die keine Niederlassung in der EU haben oder 
  3. es sich um eine dringliche Mnahme handelt oder 
  4. die federführende Datenschutzbehörde beschlossen habe, selbst nicht tätig zu werden.  

 Fazit  

Es ist festzuhalten, dass nach Ansicht des Generalanwalts Bobek bei einer grenzüberschreitenden Datenverarbeitung lediglich die federführende Datenschutzbehörde zuständig sei. Nur unter engen Voraussetzungen sei es den nationalen Datenschutzbehörden gestattet, selbst ein gerichtliches Verfahren einzuleiten. 

Die Erwägungen des Generalanwalts sind für die Richter am EuGH nicht bindend, es bleibt also abzuwarten, wie das Luxemburger Gericht in der Sache entscheiden wird. Häufig wird jedoch der Auffassung der Generalanwälte gefolgt.  

Ein Urteil des EuGH bezüglich der Zuständigkeit wird nun in den kommenden Monaten erwartet. In der konkreten Rechtssache muss dann im Anschluss noch das belgische Gericht entscheiden.  

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

EU-Kommission veröffentlicht ersten Entwurf für einen Angemessenheitsbeschluss für das Vereinigte Königreich

Neues zur Datenübermittlung ins Vereinigte Königreich nach dem Brexit

Aktueller Stand

Nachdem wir zuletzt noch berichtet hatten, dass ein Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten aus der EU in das Vereinigte Königreich derzeit auf sich warten lässt, kommt jetzt endlich Bewegung in die Diskussion.

So hat die Europäische Kommission nun mehr am 19.02.2021 mitgeteilt, dass sie das Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen (1. Allgemeine Datenschutzverordnung und 2. Strafverfolgungsrichtlinie) für die Übermittlung personenbezogener Daten in das Vereinigte Königreich eingeleitet hat.

Vor dem Hintergrund der aktuellen Rechtsunsicherheiten im Zusammenhang mit der Übermittlung persönlicher Daten zwischen Unternehmen auf beiden Seiten des Ärmelkanals sind dies in jedem Fall gute Nachrichten. Zwar wird der Datenverkehr zwischen der EU und dem Vereinigten Königreich aufgrund einer bedingten, im Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich vereinbarten Übergangsregelung sichergestellt. Datenübermittlungen personenbezogener Daten aus der EU in das Vereinigte Königreich sollten somit vorübergehend nicht als Übermittlung an einen Drittstaat gelten und sind daher ohne weitere Garantien wie z.B. Standardvertragsklauseln oder Corporate Binding Rules möglich.

Allerdings gilt diese nur bis zu einem etwaigen Angemessenheitsbeschluss durch die Europäische Kommission, längstens jedoch für vier Monate und ist um zwei Monate verlängerbar und läuft insofern spätestens am 30. Juni 2021 aus, so dass die entsprechenden Rechtsfragen wieder neu verhandelt werden müssten.

Derzeit existieren Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten in folgende Drittländer:

  • Andorra
  • Argentinien
  • Kanada
  • Färöer-Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Japan
  • Jersey
  • Neuseeland
  • Schweiz
  • Uruguay

Aussicht und nächsten Schritte

Als nächster Schritt ist die Einholung einer Stellungnahme des Europäischen Datenschutzausschusses (EDPB) vorgesehen, der sich wiederum aus Vertretern der EU-Mitgliedstaaten zusammensetzt. Sobald dieses Verfahren im Weiteren abgeschlossen ist, könnte die Kommission die beiden Angemessenheitsbeschlüsse schließlich erlassen.

Wir werden Sie über die weiteren aktuellen Geschehnisse informieren und verweisen darauf, dass unabhängig der Frage zur Datenübermittlung auch die Benennung eines UK-Vertreters („UK-GDPR Representative“) erforderlich sein könnte, wenn Sie nicht in UK ansässig sind und als Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten von Individuen in UK verarbeiten. Umgekehrt kann es sein, dass Sie einen EU-GDPR Vertreter benötigen, wenn Sie as als Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten von Individuen in der EU verarbeiten. Wir bieten beide Dienste an. Sprechen Sie uns an!

 
 
 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Erneut wurde ein Entwurf der ePrivacy-Verordnung von den Mitgliedstaaten abgelehnt. Steht die geplante Verordnung jetzt vor dem Aus?

ENTWICKLUNGEN DER EPRIVACY-VERORDNUNG

Einführung

Seit 2016 gibt es Verhandlungen über eine ePrivacy-Verordnung in der EU, welche die bisherige ePrivacy-Richtlinie (2002/58/EG) aus dem Jahr 2002 ablösen soll, da diese als veraltet angesehen wird und den Fortschritten in Technik und Wirtschaft nicht mehr gerecht wird, bzw. die neuen Belange teils unzulänglich regelt. Die Umsetzung der Richtlinie erfolgte in Deutschland im Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG).

Die ePrivacy-Verordnung soll die Richtlinie schließlich aktualisieren und ergänzend neben die Datenschutz-Grundverordnung (DS-GVO) treten. Ursprünglich war geplant, dass die DS-GVO und die ePrivacy-Verordnung gemeinsam am 25.05.2018 in Kraft treten sollten. Die ePrivacy-Verordnung bekam in der Vergangenheit jedoch viel Gegenwind, sodass ein mögliches Inkrafttreten noch nicht in Sicht ist.

Im Folgenden geben wir einen kurzen Überblick über das Thema ePrivacy und beleuchten die Entwicklungen bezüglich der geplanten Verordnung.

Was ist die ePrivacy-Verordnung? Was soll geregelt werden?

Die geplante ePrivacy-Verordnung geht auf eine Gesetzesinitiative der Europäischen Kommission aus Januar 2017 zurück und soll die Privatsphäre von Bürgern im Onlinebereich stärken. Sie beschäftigt sich in erster Linie mit elektronischen Kommunikationsdaten, welche als personenbezogene Daten einzustufen sind. Ziel ist es, dass Privatsphäre zur Standardeinstellung in Browsern wird.

Die ePrivacy-Verordnung präzisiert die DS-GVO also im Hinblick auf elektronische Kommunikationsdaten und schließt damit ein paar Regelungslücken. Im Großen und Ganzen soll durch die Verordnung die Sicherheit elektronischer Kommunikationsdaten geregelt und schließlich festgelegt werden, unter welchen Voraussetzungen und Bedingungen diese Daten von Betreibern elektronischer Kommunikationsnetze und -dienste verarbeitet werden dürfen. Es werden auch Betroffenenrechte aufgegriffen: es soll Regelungen zur Speicherung und Löschung der elektronischen Kommunikationsdaten geben, sowie weitere Vorgaben zum Schutz der gespeicherten Daten der Endnutzer. Zudem soll die Verordnung die bisherigen Regeln zur Einwilligung in die Datenverarbeitung präzisieren und Vorgaben bezüglich bereitzustellender Informationen und Privatsphäreeinstellungen bei elektronischer Kommunikation enthalten. Des Weiteren soll eine Ende-zu-Ende-Verschlüsselung obligatorisch werden, sodass auch ein Eingreifen seitens staatlicher Stellen stärker reguliert wird.

Ebenso soll es Regelungen für den Telekommunikationssektor geben. Darunter fallen bspw. Vorgaben für die Anzeige von Rufnummern, deren Unterdrückung, die Sperrung eingehender Anrufe, sowie für unerbetene Kommunikation, Direktwerbung über elektronische Kommunikationsdienste an Endnutzer und Informationspflichten über erkannte Sicherheitsrisiken.

Letztlich beinhaltet die ePrivacy-Verordnung auch Sanktionen für mögliche Verstöße und beschreibt die Aufgaben der Aufsichtsbehörden. 

Wen wird die ePrivacy-Verordnung betreffen?

Sobald die ePrivacy-Verordnung in Kraft tritt, sind vor allem Unternehmen mit dem Sitz innerhalb der EU betroffen. Daneben ist die Verordnung aber nach dem sog. Marktortprinzip auch auf solche Unternehmen anwendbar, die ihre elektronischen Kommunikationsdienste innerhalb der EU anbieten. Nicht-EU-Unternehmen benötigen dann einen EU-Vertreter.

Zu den betroffenen Unternehmen zählen neben den konventionellen Telekommunikationsdiensten auch OTT-I-Dienste (Over-the-top-Dienste der ersten Kategorie), insbesondere Messenger- und E-Mail-Dienste, sowie Anbieter von Internettelefonie. In den Anwendungsbereich der Verordnung fallen zudem nur elektronische Kommunikationsdienste, die öffentlich zugänglich sind, also von einem Anbieter für den Endnutzer bereitgestellt werden.

Entwicklungen der ePrivacy-Verordnung

Bisher bekamen die Ausarbeitungen für die ePrivacy-Verordnung viel Gegenwind – sowohl seitens zahlreicher Wirtschaftsverbände als auch der EU-Mitgliedstaaten. Im Europäischen Rat konnte bisher noch kein Konsens erreicht werden. Viele Mitgliedstaaten, darunter bisher auch Deutschland, sahen die Verordnung entweder als zu weitreichend oder eben nicht weitreichend genug an. Bislang gelang es den Mitgliedstaaten nicht, eine gemeinsame Linie auszuarbeiten, Kompromissvorschläge wurden immer wieder abgelehnt, so bspw. im November 2019 als die finnische Ratspräsidentschaft einen Entwurf vorlegte. Nachdem Deutschland Mitte 2020 die Ratspräsidentschaft übernommen hatte, arbeitete die Regierung an einem neuen Kompromiss, um den Interessen der Nutzer in datenschutzrechtlicher Hinsicht, aber auch denen der Wirtschaftsunternehmen gerecht zu werden. Im Fokus der Kritik an den bisherigen Entwürfen standen immer wieder die Regelungen zum Tracking der Nutzer sowie der zielgerichteten Werbung, insbesondere dem Setzen von und der Zustimmung zu Cookies. Das liegt daran, dass diesbezüglich die Rechtslage sehr unklar ist, weil es bislang keine vergleichbaren Regelungen in der EU gibt.

Der sodann ausgearbeitete Entwurf der Bundesregierung richtete sich vor allem gegen Forderungen der Werbeindustrie, ein Sammeln von Metadaten aufgrund eines „berechtigten Interesses“ oder „kompatiblen Zwecks“ zu erlauben. Gestattet werden sollte nur das Sammeln von Metadaten zu statistischen und wissenschaftlichen Zwecken. Dieser Vorschlag wurde im Rat von den anderen Mitgliedstaaten jedoch im November 2020 abgelehnt. Ein neuer Vorschlag für eine mögliche Verordnung ist noch nicht in Sicht.

Seit Anfang Januar hat Portugal die Ratspräsidentschaft inne, sodass abzuwarten bleibt, inwiefern die portugiesische Regierung sich an einen neuen Kompromissvorschlag wagt.

Fazit

Anhand der letzten Entwicklungen im Europäischen Rat erscheint es erstmal unwahrscheinlich, dass es in Kürze zu einem Konsens kommt. Teilweise wird sogar befürchtet, dass die ePrivacy-Verordnung nun gänzlich vor dem Aus steht.

Demnach wird es voraussichtlich noch einige Zeit dauern, bis die ePrivacy-Verordnung, namentlich ein Kompromiss, von allen Mitgliedstaaten abgesegnet und dann auch verabschiedet wird. Bisher ist es noch sehr unklar, ob und wie die Ansichten der jeweiligen Akteure bezüglich ePrivacy auf einen Nenner gebracht werden können.

Deshalb herrscht also weiterhin Rechtsunsicherheit für Unternehmen, vor allem im Bereich von Nutzer-Tracking und Cookies. Solange noch keine Verordnung erlassen und in Kraft getreten ist, muss sich also weiter an den Vorschriften der DS-GVO, sowie dem TMG und dem TKG orientiert werden.  

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Einen Elektronikhändler aus Niedersachsen erreichte ein Bußgeldbescheid in Millionenhöhe wegen unzulässiger Videoüberwachung von Mitarbeitern.

Bußgeldbescheid in Höhe von 10,4 Millionen € wegen DS-GVO-Verstoß

Einleitung

Im Dezember 2020 erreichte ein Elektronikunternehmen aus Sarstedt ein Bußgeldbescheid der Landesbeauftragten für Datenschutz (LfD) des Landes Niedersachsen. Gerügt wurde ein Verstoß gegen die Datenschutz-Grundverordnung (DS-GVO), namentlich eine unzulässige Videoüberwachung der Mitarbeiter. Das verhängte Bußgeld betrug 10,4 Millionen € und ist somit das bisher höchste Bußgeld, dass die LfD Niedersachen bisher verhängt hat. Im Folgenden beleuchten wir die Grundsätze für eine Videoüberwachung unter der DS-GVO und gehen genauer auf die Begründung der Datenschutzbehörde und die Reaktion des Elektronikhändlers ein.

Wann ist eine Videoüberwachung am Arbeitsplatz zulässig?

Die Videoüberwachung am Arbeitsplatz ist ein heikles Thema und wird deshalb häufig diskutiert. Aus datenschutzrechtlicher Sicht stellt sie einen erheblichen Eingriff in das Persönlichkeitsrecht der Arbeitnehmer dar. Aus diesem Grund darf eine Videoüberwachung nur erfolgen, wenn sie im konkreten Fall gerechtfertigt ist. Eine Rechtfertigung läge bspw. nach Art. 6 Abs. 1 DS-GVO vor, wenn berechtigte Interessen für eine Videoüberwachung bestünden. Hierfür müsste also zunächst ein berechtigtes Interesse des Arbeitsgebers für eine Videoüberwachung gegeben sein. Dieses Interesse, bspw. ein Eigentumsrecht aus Art. 14 GG oder ein Hausrecht, müsste dann das allgemeine Persönlichkeitsrecht der Arbeitnehmer aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG überwiegen.

Es gibt keine starren Höchstfristen für die Speicherung des Videomaterials. Grundsätzlich gilt jedoch, dass die Speicherung der Daten so lange zulässig ist, wie sie zur Zweckerreichung der Videoüberwachung erforderlich ist und keine schutzwürdigen Interessen der Betroffenen entgegenstehen.

Eine Videoüberwachung ist demnach unter den oben genannten strengen Voraussetzungen zulässig. Sofern die Videoüberwachung unzulässig ist, stellt sie einen Verstoß gegen die DS-GVO dar. In einem solchen Fall steht es den Datenschutzbehörden frei, neben oder zusätzlich zu den Maßnahmen aus Art. 58 Abs. 2 DS-GVO, Bußgelder gem. Art. 83 DS-GVO von bis zu 20 Millionen € oder 4 % des Jahresumsatzes (je nachdem was höher ist) zu verhängen.

Begründung der LfD und Reaktion des Elektronikhändlers

Die LfD rügte eine ihrer Ansicht nach unzulässige Videoüberwachung von Mitarbeitern und Kunden, welche über zwei Jahre stattfand. Von den installierten Kameras wurden die Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche erfasst.

Das Unternehmen rechtfertigte die Videoüberwachung zunächst damit, dass Straftaten so schneller ausgeklärt werden können und sie die Kameras vor allem installiert hatten, um den Warenfluss zu verfolgen. Mitarbeiter sollten zu keinem Zeitpunkt kontrolliert oder deren Verhalten analysiert werden.

Aus Sicht der LfD sei die konstante Überwachung jedoch nicht verhältnismäßig und würde einen zu schwerwiegenden Eingriff in die Persönlichkeitsrechte der Betroffenen darstellen. Insb. stünden andere Mittel zur allgemeinen Diebstahlprävention zur Verfügung, namentlich stichprobenartige Taschenkontrollen der Mitarbeiter. Eine wie hier dauerhafte Videoüberwachung der Arbeitnehmer komme einem Generalverdacht sehr nah. Die langfristige Videoüberwachung zur Diebstahlprävention verlange jedoch gerade einen konkreten Verdacht gegen eine bestimmte Person, um ein berechtigtes Interesse des Arbeitgebers zu begründen, welches gegenüber den Persönlichkeitsrechten der Mitarbeiter überwiegt.

Die LfD kritisierte zudem, dass das Videomaterial im vorliegenden Fall 60 Tage lang gespeichert wurde, was ihrer Ansicht nach deutlich zu lange und unverhältnismäßig sei.

Aus Sicht des Elektronikhändlers ist der Bußgeldbescheid unzulässig. Das Unternehmen rügte vor allem, dass der Sachverhalt seitens der LfD nicht ausreichend ermittelt wurde. Sie hätten Mitarbeiter der Behörde innerhalb der zwei Jahre häufiger eingeladen und dazu aufgerufen, sich die Überwachungssituation vor Ort genauer anzusehen. Dem sei die Behörde jedoch nicht nachgekommen.  Zudem sei die Höhe des Bußgeldes unverhältnismäßig und stünde nach Angaben des Geschäftsführers „in keiner Relation zur Größe und Finanzkraft des Unternehmens sowie zur Schwere des angeblichen Verstoßes“.

Fazit

Es ist festzuhalten, dass die Videoüberwachung am Arbeitsplatz nur unter strengen Voraussetzungen erlaubt ist, um die Persönlichkeitsrechte der Mitarbeiter zu wahren. Ein Verstoß gegen die Voraussetzungen der DS-GVO berechtigt die Datenschutzbehörden dann im Ergebnis dazu, hohe Bußgelder gegen die Unternehmen zu verhängen. Die LfD Niedersachsen und das Elektronikunternehmen sind bezüglich der Zulässigkeit des Bescheides und der Höhe des Bußgeldes unterschiedlicher Auffassungen. Aus diesem Grund ist der Bußgeldbescheid auch noch nicht rechtskräftig. Das Unternehmen hat Einspruch gegen ihn eingelegt, sodass im weiteren Verlauf ein Gericht über den Fall zu entscheiden hat. Es ist demnach abzuwarten, wie das zuständige Gericht den Sachverhalt beurteilen wird. Es bleibt also spannend, ob das horrende Bußgeld seitens der Justiz als angemessen und gerechtfertigt angesehen wird.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären die arbeitsrechtlichen Maßnahmen bei unterlassener Meldepflicht hinsichtlich Datenschutzvorfällen.

Fehlerkultur im Zusammenhang mit Datenpannen

Spannungsfeld zwischen Meldepflicht und arbeitsrechtlichen Sanktionen

Die Zahl bei den Landesaufsichtsbehörden für den Datenschutz gemeldeten Datenvorfällen ist seit Einführung der DS-GVO gestiegen. Allein in  NRW wurden im Jahr 2019 12.500 Fälle gemeldet. Davon waren 2.235 Meldungen sog. Datenpannen gem. Art. 33 DS-GVO. Die  Datenpannen werden häufig durch die eigenen Mitarbeiter verursacht. Dies geschieht unter anderem durch das Öffnen von Phishing-Emails, Datenweitergabe an Unbefugte, etwa in Form von fehladressierten E-Mails, oder das Unterlassen von Updates. Die Folgen für das Unternehmen können verheerend sein. Neben den datenschutzrechtlichen Sanktionen, insbesondere hoher Geldbußen, erwartet das Unternehmen auch einen Imageschaden. Die Meldung eines solchen Vorfalls dient daher als zentrale organisatorische Maßnahme im Unternehmen und sorgt für den Schutz der IT-Infrastruktur und somit auch des Datenschutzes. Dennoch kommen viele Arbeitnehmer ihrer Meldepflicht aus Furcht vor den arbeitsrechtlichen Konsequenzen nicht nach. 

Was sind die Voraussetzungen für die Meldepflicht? 

Die Meldepflicht des Arbeitgebers an die entsprechenden Aufsichtsbehörden bei Datenpannen ergibt sich aus Art. 33 DS-GVO. Die DS-GVO sieht jedoch kein standardisiertes Vorgehen für die Meldung durch den Arbeitnehmer vor.  Die Meldepflicht von Arbeitnehmern für IT-Sicherheits- und Datenschutzvorfälle ergibt sich zum einen aus dem Arbeitsverhältnis und zum anderen aus den vom Arbeitgeber eingeführten Security Policies ergibt.   

Voraussetzung für die Meldepflicht ist das Wissen des Mitarbeiters über IT- oder Datenschutzvorfälle. Zudem dient die Meldepflicht dazu, dass der Mitarbeiter seiner Schadensminderungspflicht gegenüber seinem Arbeitgeber nachkommt. 

Bei Verletzung der Meldepflicht sind die arbeitsrechtlichen Konsequenzen meist abhängig vom Schweregrad des Sicherheitsfehlers. Bei schweren Pflichtverletzungen ist eine ordentliche oder fristlose Kündigung möglich, wie es beim aktuellen Datenschutzvorfall des VfB Stuttgarts zu sehen ist Bei weniger schweren Pflichtverletzungen kommt vielleicht nur eine Abmahnung in Betracht. Letztlich entscheidet der Einzelfall. Da man aber nicht direkt die Schwere des Schadens abschätzen kann, könnte sich aus einem Bagatellschaden noch ein größerer Sicherheitsschaden entstehen und schließlich doch zu härteren arbeitsrechtlichen Konsequenzen führen. Die Beweislast trifft  in der Regel den Arbeitgeber. 

Die angedrohten Sanktionen und die darin enthaltene Selbstbelastung können dazu führen, dass die Mitarbeiter die Sicherheitsvorfälle nicht anzeigen und es kommt zu einem Unterlassen der Meldepflicht.  

Verzicht auf arbeitsrechtliche Sanktionen?  

Die arbeitsrechtlichen Grundsätze zum innerbetrieblichen Schadenausgleich besagen, dass der Arbeitnehmer nur haftet bei Vorsatz und grober Fahrlässigkeit, sowie bei mittlerer Fahrlässigkeit nur anteilig haftet. Bei Vorfällen, die auf fahrlässiges oder leicht fahrlässiges Verhalten des Arbeitnehmers basieren, könnte demnach auf eine arbeitsrechtliche Sanktion verzichtet werden.  

Auf diese Weise können die Mitarbeiter motiviert werden ihre Meldepflicht einzuhalten, selbst wenn ein Fehlverhalten ihrerseits vorliegt. Dem Arbeitgeber ist diese Überlegung zu empfehlen, da er auf die zeitnahe Meldung des Arbeitsnehmers angewiesen ist, um größere Schäden am Unternehmen zu vermeiden. Ein gänzlicher Verzicht ist in der Praxis nicht möglich, da sich die Arbeitnehmer sonst nicht mehr verpflichtet fühlen würden die arbeitsrechtlichen Regelungen einzuhalten. Ferner muss der Arbeitgeber in der Lage sein der eigenen gesetzlichen Meldepflicht nachzukommen, die im Fall von Art. 33 DS-GVO innerhalb von 72 Stunden nach Kenntniserlangung erfolgen muss. Die Frist wird auch dann ausgelöst, wenn ein Wissensvertreter Kenntnis über die Datenpanne erlangt hat.  

Zusätzliche Maßnahmen zur Einhaltung der Meldepflicht? 

Der Arbeitgeber sollte interne Prozesse festlegen, um Verletzungen des Schutzes personenbezogener Daten aufdecken und abstellen zu können. Dazu kann ein “incident response plan” eingeführt werden, der eine umgehende Weiterleitung an die Führungsebene ermöglicht. Diesbezüglich helfen interne Richtlinien weiter, welche u.a die Definition von Datenpannen umfasst und die Verantwortlichen sowie weitere Ansprechpartner nennt. 

Im Allgemeinen empfiehlt es sich, die Mitarbeiter für das Thema Meldepflicht und die damit einhergehenden Schäden besser zu sensibilisieren. Denn um den Mitarbeiter überhaupt in die Haftung miteinzubeziehen, muss dieser auch fähig sein IT-Sicherheits- und Datenschutzvorfälle zu erkennen. Sensibilisierungsmaßnahmen können in Form von IT-Security-Schulungen oder Awareness Trainings erfolgen.  

In Anlehnung an die Whistle-Blower-Fälle könnte man ein anonymisiertes und/oder pseudonymisiertes Meldesystem einrichten, welches eine „sichere“ Meldung von Vorfällen ermöglicht. Der Nachteil an einem Meldesystem ist jedoch meist die gänzliche Pflichtentbindung des Arbeitnehmers bei Verursachung eines Sicherheitsfehlers. 

LAG Kiel nimmt eine andere Betrachtung vor 

Das LAG Kiel hat in einem Urteil vom 06.08.2019 entschieden, dass die Meldung einer Datenpanne keine arbeitsvertragliche Pflicht des Arbeitnehmers darstellt. Im betreffenden Fall hat der Arbeitgeber ein standardisiertes Meldeverfahren in Form einer Arbeitsanweisung festgelegt. Die inhaltlichen Vorgaben der Arbeitsanweisung stellten laut LAG Kiel ein Ordnungsverhalten dar, welches der zwingenden Mitbestimmung des Betriebsrates gem. § 87 Abs.1 Nr.1 BetrVG unterliegt. 

Dabei verkennt das Gericht allerdings die ständige Rechtsprechung des Bundesarbeitsgerichts, wonach positiv festgestellt werden muss, ob eine Maßnahme die betriebliche Ordnung betrifft. Eine derartige Feststellung ist der Entscheidung des LAG Kiel nicht zu entnehmen.  

Diese Entscheidung des LAG Kiel ist insbesondere auch in eiligen Datenschutzfällen fragwürdig. Denn liegt eine mitbestimmungswidrige Anweisung des Arbeitgebers vor, ist diese nicht verbindlich für den Arbeitnehmer. Der Arbeitnehmer ist somit nicht verpflichtet eine Datenpanne zu melden. Gerade im Hinblick auf die Meldefrist für den Arbeitgeber durch die DS-GVO erscheint diese Vorgehensweise nicht praktikabel. 

Abzuwarten bleibt, ob und wie das BAG sich zu dieser Betrachtung äußert. 

Fazit 

Unter Berücksichtigung dieser Erkenntnisse lohnt es sich also für den Arbeitgeber auf Sanktionen wie Abmahnung oder Kündigung in gewissen Fällen zu verzichten. Statt übermäßiger Sanktionierung sollte im Unternehmen eine umfassende Aufklärung über die Meldepflicht und die Konsequenzen bei Unterlassung erfolgen, damit die Arbeitnehmer bei Erkennen eines Datenschutzvorfalls schneller agieren. Ferner sollte eine Abstimmung mit den Sozialpartnern erfolgen, damit keine Komplikationen bei Einführung von Meldesystemen entstehen. 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären die ergänzenden Maßnahmen zur Standarddatenschutzklausel.

Gibt es noch Hoffnung für den US-Datentransfer?

Einleitung

Im Juli diesen Jahres kippte der Europäische Gerichtshof den transatlantischen „Privacy Shield“. Dieses Urteil hatte und hat weitreichende Auswirkungen auf den Datentransfer zwischen der EU und den Vereinigten Staaten. Um dennoch einen Datentransfer zu gewährleisten, werden nun ergänzende Maßnahmen vorgeschlagen, die in Verbindung mit den Standarddatenschutzsklauseln einen gleichwertigen Datenschutz darstellen sollen. Dazu hat das European Data Protection Board (EDPB) eine schriftliche Empfehlung zur praktischen Vorgehensweise veröffentlicht. 

Diese Empfehlungen beinhalten zunächst einen Sechs-Schritte-Plan, in dem es vorrangig darum geht, wie Daten sicher übermittelt werden können. Im Anschluss daran erfolgt dann eine Erläuterung über die neuen ergänzenden Maßnahmen. Diese sollen in Kombination mit bereits bestehenden Transfer Tools eingesetzt werden, um einen gleichwertig geschützten Datentransfer in Drittländer vornehmen zu können, insbesondere dort wo der Schutz allein aufgrund der Standarddatenschutzklauseln nach dem Urteil nicht mehr gewährleistet ist. 

Was für ergänzende Maßnahmen sind das? 

Es gibt drei Kategorien, in die die Maßnahmen eingeteilt sind: technisch, vertraglich und organisatorisch.  

Die technischen Maßnahmen betreffen überwiegend die Verschlüsselung und Pseudonymisierung von Daten einer Datenübermittlung. Diesbezüglich werden in den Empfehlungen Fallbeispiele angeführt, wie die Datenspeicherung bei einem externen Provider oder die Verschlüsselung bei Durchquerung des Drittlandes aussehen sollte, um nach Ansicht des EDPB als angemessene Maßnahme zu gelten. Insbesondere soll eine Verschlüsselung und Pseudonymisierung vor der Datenübermittlung erfolgen, womit eine Entschlüsselung beim Übermittlungs– und Verarbeitungsprozess durch unberechtigte Parteien unmöglich gemacht oder zumindest erschwert werden soll. Allerdings sind derartige technische Maßnahmen bei Cloud-Anbietern oder bei Fernzugriffen auf Geschäftsdaten regelmäßig nur schwer umsetzbar, da in beiden Bereichen eine Verschlüsselung die Arbeitsprozesse behindern kann. 

Die vertraglichen Maßnahmen umfassen die Einführung verpflichtender Klauseln zur Absicherung der technischen Maßnahmen, Informationspflichten, verstärkte Kontrollrechte, Mitteilungspflichten sowie die Anfechtung von behördlichen Anordnungen. 

Die organisatorischen Maßnahmen dienen der angemessenen Umsetzung und Erhaltung der zuvor benannten Maßnahmen. Sie können aus internen Richtlinien, Organisationsmethoden sowie Standards bestehen, die die verantwortlichen Parteien anwenden und auch den Datenimporteuren in Drittländern auferlegt werden können. Des Weiteren wird die Durchführung entsprechender Schulungen empfohlen, um Mitarbeiter für die Überprüfung dieser Prozesse auszubilden. 

Können diese Maßnahmen den Datentransfer in die Vereinigten Staaten sichern?  

Die schriftlichen Empfehlungen legen sich nicht auf die Vereinigten Staaten fest, sondern umfassen allgemein Drittstaaten, wozu nach Wegfall des Privacy Shields nun eben auch die Vereinigten Staaten zählen. Da die Einstellung des Datentransfers in die Vereinigten Staaten wirtschaftlich betrachtet höchst problematisch und nahezu unmöglich ist, zumindest zum gegenwärtigen Zeitpunkt, kann man nur vermuten, dass das EDPB angesichts der verhältnismäßig schnellen Veröffentlichung seiner Empfehlungen dieses Problem erkannt hat und den betroffenen Unternehmen dennoch Möglichkeiten an die Hand geben will, um einen Datentransfer in die Vereinigten Staaten zu legitimieren. Die Anwendbarkeit und Legitimierungswirkung der empfohlenen Maßnahmen sei erst einmal dahingestellt, da die Maßnahmen zumindest dann nicht ausreichend sein können, wenn die Datenimporteure und das Telekommunikations-Sicherheitsgesetz der Vereinigten Staaten (FISA) fallen  

So wurde im Schrems-II-Urteil zwar die weitere Nutzung von Standardvertragsklauseln als zulässig erachtet, aber zusätzlich vor deren Nutzung muss nunmehr von den Datenexporteuren und –importeuren geprüft werden, ob die Standardvertragsklauseln einen ausreichenden Schutz bieten oder ggf. noch weitere Maßnahmen zur Gewährleistung des Datenschutzes erfolgen müssen. Für die Vereinigten Staaten dürfte dies meist der Fall sein. Darüber hinaus ist aber auch jedes andere Drittland betroffen, sofern es nicht den europäischen Datenschutzstandards gerecht wird.  

Wie sieht die praktische Umsetzbarkeit aus? 

Die Einsetzung der ergänzenden Maßnahmen ist hilfreich, allerdings ist die praktische Umsetzung schwierig. Zu einer umfassenden Dokumentationspflicht kommt hinzu, dass die ergänzenden Maßnahmen viele individuelle Absprachen zwischen den datenverarbeitenden Parteien erfordern. Zudem garantiert die Einsetzung einer einzelnen Maßnahme nicht automatisch den erforderlichen Datenschutz. Ganz im Gegenteil muss eine konkrete Abwägung der verschiedenen Maßnahmen vorgenommen werden, die im jeweiligen Drittland zum Einsatz kommen sollen. Denn jedes Drittland hat verschiedene Gesetze und Regelungen, die Auswirkungen auf das EU-Datenschutzniveau haben und daher andere Maßnahmen erforderlich machen. Daher ist es unabdingbar, dass diverse Informationsquellen über das Zielland herangezogen werden. Dazu zählen Rechtsprechung der Europäischen Union, Berichte von zwischenstaatlichen Organisationen, nationale Rechtsprechung und Einschätzungen und Berichte von nationalen oder europäischen Datenschutzbehörden (wie bspw. des EDPB) Letztlich muss immer eine Einzelfallentscheidung getroffen werden, die auch eine Kombination aus mehreren Maßnahmen voraussetzen kann 

Fazit 

Folglich gibt es nicht den einen Lösungsweg. Doch bieten die Empfehlungen eine Orientierungshilfe, um den Datentransfer in Drittländer dennoch anhand von Standardvertragsklauseln zu ermöglichen. Bei alldem gilt es die eigene Verantwortlichkeit für den Datentransfer zu beachten. Daher sollten Datenexporteure und –importeure die Empfehlungen des EDPB vor der Datenübermittlung oder Datenverarbeitung berücksichtigen und sich detailliert über die Regelungen im Drittland informieren, in welches die Daten transferiert oder verarbeitet werden.  

In diesem Zusammenhang ist es auch empfehlenswert den neuen Entwurf der SCCs zu lesen, welcher vermutlich zu Beginn des nächsten Jahres in Kraft treten wird und die Verordnung von 2010 ablösen soll. Bis zum 10.12.2020 hatten Betroffene die Möglichkeit sich zu diesem Entwurf zu äußeren. Besonders besorgt sind einige Betroffene über den Umsetzungszeitraum von einem Jahr ab Inkrafttreten, da viele Forderungen in der Praxis nicht entsprechend schnell umgesetzt werden können.  

Zwar greift der neue Entwurf die oben benannten Maßnahmen auf und wird auf diese Weise den Anforderungen des Schrems-II-Urteils gerecht, aber für die Unternehmen bedeutet das, dass sie mit erheblichem Aufwand eine umfassende Übersicht über ihre Datentransfers vornehmen müssen. 

 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Bisher ist noch kein Angemessenheitsbeschluss für das Vereinigte Königreich in Sicht. Wir erläutern, was für einen solchen Beschluss sprechen könnte und warum auch Bedenken bestehen.

Neues zur Datenübermittlung ins Vereinigte Königreich nach dem Brexit

Einführung

Großbritannien ist am 31.01.2020 aus der EU ausgetreten und seitdem kein Mitgliedstaat mehr. Bis zum 31.12.2020 dauert jedoch noch der sog. Übergangszeitraum an, in dem EU-Recht, vor allem die Datenschutz-Grundverordnung (DS-GVO) noch direkte Anwendung findet. Wie zuvor berichtet, wird das Vereinigte Königreich ab dem 01.01.2021 dann zum Drittland im Sinne der DS-GVO, sodass ein Datentransfer nur noch anhand der Art. 44 ff. DS-GVO zulässig ist. Ein uneingeschränkter Drittlandstransfer bedarf demnach eines Angemessenheitsbeschlusses der Europäischen Kommission, der besagt, dass in dem jeweiligen Drittland ein angemessenes, mit dem der EU vergleichbares, Datenschutzniveau vorliegt. Sofern kein Angemessenheitsbeschluss vorliegt, kann eine Datenübermittlung anhand geeigneter Garantien stattfinden: es kann vor allem auf Standardvertragsklauseln oder Binding Corporate Rules (BCRs) zurückgegriffen werden.

Angemessenheitsbeschluss für das Vereinigte Königreich?

Bisher hat die EU-Kommission noch keinen Angemessenheitsbeschluss für einen Datentransfer in das Vereinigte Königreich erlassen. Es bleibt also abzuwarten, ob und wie schnell sich die Kommission entscheiden wird.

Fraglich ist, ob das Datenschutzniveau in Großbritannien als angemessen angesehen wird. Dafür könnte zunächst sprechen, dass das Vereinigte Königreich maßgeblich im Prozess der Entstehung und Einführung der DS-GVO (als Mitgliedstaat) beteiligt war und 2018 den UK-DPA (Data Protection Act) erlassen hat, welcher viele Regelungen aus der DS-GVO aufgegriffen und umgesetzt hat. Im Zuge des Erlasses der UK-GDPR 2019 hat die Rechtslage sich im Vereinigten Königreich nun weitgehend der DS-GVO angenähert. Deswegen hatten sich viele Menschen und vor allem Unternehmen erhofft, dass der Angemessenheitsbeschluss nur eine Formalität ist und deshalb zügig von der EU-Kommission erlassen wird, um schnellstmöglich Rechtssicherheit zu schaffen. Dies ist nun nicht der Fall; die Kommission überprüft derweil eingehend das Datenschutzniveau in dem ehemaligen Mitgliedstaat.

Einem Angemessenheitsbeschluss könnte jedoch die neuere Rechtsprechung des Europäischen Gerichtshofs (EuGH) und ein Abkommen zwischen dem Vereinigten Königreich und den Vereinigten Staaten entgegenstehen, bzw. diesen erschweren.

Im Folgenden wird näher auf die Auswirkungen des zuvor erwähnten Abkommens und der EuGH-Rechtsprechung auf einen möglichen Angemessenheitsbeschluss eingegangen.

Auswirkungen des Datenschutzabkommens zwischen den USA und dem Vereinigten Königreich?

Die USA und das Vereinigte Königreich haben Ende 2019 ein Abkommen getroffen, welches die Strafverfolgungsbehörden des jeweils anderen Landes dazu ermächtigt, zum Zwecke der Strafverfolgung umfangreichen Zugang zu elektronischen Beweismitteln, einschließlich personenbezogenen Daten, die sich im Besitz eines Unternehmens mit Sitz im jeweils anderen Land befinden, zu erlangen (Agreement between the UK and US on Access to Electronic Data for the Purpose of Countering Serious Crime). Am 28.02.2020 trat das Abkommen dann in Kraft. Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) hat in einem Brief bereits seine Bedenken bezüglich des Abkommens geäußert und klargestellt, dass es auch Einfluss auf die Abgabe eines möglichen Angemessenheitsbeschlusses hat. Der Datenschutzausschuss kritisierte vor allem, dass aus dem Abkommen nicht eindeutig hervorgehe, dass die Beantragung der Datenauskunft der vorherigen gerichtlichen Genehmigung bedürfe. Zudem sei nicht ersichtlich, dass das getroffene Abkommen in Bezug auf den Datenschutz Vorrang vor anderen innerstaatlichen Gesetzen, wie bspw. dem Cloud Act in den USA habe. Dies sei jedoch notwendig, damit ein Abkommen dem Schutzniveau der EU gerecht werde, vor allem, wenn das Land keinen Angemessenheitsbeschluss der EU-Kommission vorweisen könne.

Auswirkungen der Nichtigkeit des Privacy Shields auf einen Angemessenheitsbeschluss?

Auch die Nichtigkeit des Privacy Shields könnte Auswirkungen auf den Erlass eines Angemessenheitsbeschlusses des Vereinigten Königreichs haben. Wie zuvor berichtet, ist das Privacy Shield vom EuGH am 16.07.2020 für ungültig erklärt worden, weil den US-Geheimdiensten und -Behörden zu umfangreiche Befugnisse bezüglich des Zugriffs und des Sammelns von personenbezogenen Daten aufgrund innerstaatlicher Gesetze zustehen und dass Nicht-US-Bürger sich nicht ausreichend gegen einen möglichen Verstoß ihrer Rechte wehren konnten.

Im Vereinigten Königreich könnte es nun ähnlich aussehen, da sie aufgrund ihrer ebenfalls weitgehenden Überwachungsgesetze im Investigatory Powers Act und mit der Mitgliedschaft in der Five Eyes Alliance (UKUSA-Vereinbarung), ihren Behörden auch in großem Umfang Zugriff auf personenbezogene Daten ermöglichen. Aus der Rechtsprechung des EuGH zum Privacy Shield geht jedoch klar hervor, dass ausladende Überwachungsgesetze als nicht vereinbar mit dem EU-Datenschutzniveau angesehen werden. Die Nichtigkeit des Privacy Shields schmälert demnach die Chancen für einen Angemessenheitsbeschluss des Vereinigten Königreichs.

Auswirkungen der EuGH-Rechtsprechung zu Privacy International?

Kürzlich hat der EuGH in der Sache Privacy International (Urteil vom 06.10.2020, Az. C-623/17) geurteilt, dass die britische Regelung zur umfangreichen und anlasslosen Vorratsdatenspeicherung nach dem EU-Recht nicht zulässig sei. Britische Überwachungsgesetze wie der Investigatory Powers Act, welcher britischen Sicherheitsbehörden weitreichende Befugnisse zum Sammeln und Speichern von personenbezogenen Daten der Bevölkerung verschafft, würden gegen die EU-Grundrechte verstoßen.

Daraus folgt, dass das Datenschutzniveau von den Luxemburger Richtern als nicht angemessen angesehen wird. Dies wird sicherlich auch für die Kommission von entscheidender Bedeutung sein. Das Urteil wird einen möglichen Angemessenheitsbeschluss nun erheblich erschweren, gerade weil das Privacy Shield unter anderem wegen zu umfangreicher Befugnisse der Geheimdienste und Sicherheitsbehörden gekippt wurde. Im Vereinigten Königreich ist die Situation nun sehr ähnlich.

Fazit

Nun bleibt es weiter abzuwarten, wie die Europäische Kommission bezüglich des Angemessenheitsbeschlusses entscheiden wird. Aufgrund der neueren EuGH-Rechtsprechung ist ein Angemessenheitsbeschluss jedoch eher unwahrscheinlich. Ein Datentransfer in das Vereinigte Königreich muss ab dem 01.01.2021 also zunächst über Standardvertragsklauseln oder BCRs erfolgen.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erläutern, was unter Bestandsdatenauskunft zu verstehen ist und in welchem Verhältnis sie zu den Grundrechten steht.

BVerfG: Regelungen zur Bestandsdatenauskunft gehen noch immer zu weit

Einleitung

Nach einigen Jahren hat das Bundesverfassungsgericht (BVerfG) sich erneut mit der Bestandsdatenauskunft auseinandergesetzt. Grund dafür waren zwei Verfassungsbeschwerden, wobei eine der Verfassungsbeschwerden 2013 von einem heutigen Piraten-Europapolitiker und einer seiner ehemaligen Parteikolleginnen eingelegt und von etwas mehr als 6.000 Bürgerinnen und Bürgern unterstützt wurde. Die Beschwerde-führer kritisierten insbesondere, dass Sicherheitsbehörden aufgrund der geltenden Gesetzeslage ohne große Hürden personenbezogene Daten einsehen könnten und sie deswegen in ihren Grundrechten verletzt seien.

Nachdem die Regelungen zur Bestandsdatenauskunft bereits 2012 nach einem Beschluss des BVerfG (Beschl. v. 24.01.2012, Az. 1 BvR 1299/05, „Bestandsdatenauskunft I“) abgeändert wurden, stehen sie nun wieder im Visier des Karlsruher Gerichts. Erst kürzlich hat das BVerfG erneut darüber entschieden, ob sie mit der Verfassung vereinbar sind oder sie einer erneuten Änderung bedürfen.

Bestandsdatenauskunft und ihre rechtliche Grundlage

Als Bestandsdaten werden gem. § 3 Nr. 3 des Telekommunikationsgesetzes (TKG) solche personenbezogenen Daten bezeichnet, die im Rahmen eines Telekommunikationsvertrages zu dessen Begründung, inhaltlicher Ausgestaltung, Änderung oder Beendigung erhoben werden. Dazu zählen bspw. der Name, die Adresse, die Telefonnummer oder auch Passwörter und IP-Adressen der Kunden. Bestimmte gesetzliche Regelungen befugen nun Sicherheitsbehörden, von den Telekommunikationsunternehmen Auskunft über diese Kundendaten zu erlangen (sog. Bestandsdatenauskunft). Dabei geht es insbesondere um die Auskunft über den Anschlussinhaber eines Telefonanschlusses oder einer bestimmten IP-Adresse. Sofern die jeweiligen gesetzlichen Voraussetzungen erfüllt sind, sind die Telekommunikationsanbieter zur Auskunft verpflichtet. Dies betrifft jedoch nicht die sog. Verkehrsdaten, welche sich auf die Nutzung des Telekommunikationsdienstes oder deren Inhalt beziehen, sondern ausschließlich die Bestandsdaten der Kunden.

Als gesetzliche Grundlage für die Bestandsdatenauskunft dient insbesondere der § 113 TKG. Danach dürfen Sicherheitsbehörden die jeweiligen Bestandsdaten anfordern, wenn dies im Einzelfall der Verfolgung von Straftaten oder Ordnungswidrigkeiten, der Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder der Erfüllung von gesetzlichen Aufgaben der Behörden dient. Die in § 113 TKG berechtigten Behörden sind bspw. die Bundespolizei, das Bundeskriminalamt oder auch Nachrichtendienste.

Entscheidung des BVerfG 

In seinem neusten Beschluss (Beschl. v. 27.05.2020, Az. 1 BvR 1873/13, 1 BvR 2618/13, “Bestandsdatenauskunft II”) entschied das BVerfG erneut für die Kläger und begründete seine Entscheidung damit, dass § 113 TKG keine ausreichende und verhältnismäßige Rechtsgrundlage für die Bestandsdatenauskunft darstelle. Dies liege daran, dass die Norm zu weit und unbestimmt gefasst sei. Die Eingriffsschwellen für die Sicherheitsbehörden seien zu niedrig, sodass die derzeitige Fassung des § 113 TKG gegen das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m Art 1 Abs. 1 des Grundgesetzes (GG) und gegen das Telekommunikationsgeheimnis aus Art. 10 Abs. 1 GG verstoße. Nach Auffassung des Gerichts seien neben dem § 113 TKG auch andere Bundesgesetze verfassungswidrig, die maßgeblich die Bestandsdatenauskunft betreffen.

Die Karlsruher Richter verlangten, dass der Gesetzgeber sowohl für die Übermittlung der Bestandsdaten an die Behörden als auch für dessen Abruf durch die Behörden eine verhältnismäßige Rechtsgrundlage ausarbeite. Diese müsste dann eine hinreichende Begrenzung der Verwendungszwecke der Daten beinhalten. Davon sei jedenfalls dann auszugehen, wenn tatbestandliche Eingriffsschwellen und ein hinreichend gewichtiger Rechtsgüterschutz in den jeweiligen Normen vorgesehen würden. Das BVerfG betonte zudem, dass eine Bestandsdatenauskunft nicht per se verfassungswidrig sei, sondern nur die derzeitige gesetzliche Grundlage.

Folge der Entscheidung ist, dass § 113 TKG und andere Bundesgesetze, die die Bestandsdatenauskunft betreffen, abgeändert werden müssen, um den Grundrechten der Betroffenen gerecht zu werden und sie nicht in unverhältnismäßiger Weise zu verletzen. Dies soll nun bis spätestens Ende 2021 geschehen. In der Übergangszeit könne § 113 TKG jedoch weiterhin eine Bestandsdatenauskunft legitimieren, sofern die jeweilige Auskunft zur Abwehr einer konkreten Gefahr erforderlich oder bezüglich der Nachrichtendienste zur Aufklärung im Einzelfall geboten sei oder wenn für die Verfolgung von Straftaten und Ordnungswidrigkeiten zumindest ein Anfangsverdacht bestehe, so das BVerfG.

Fazit

Die Änderung der Vorschriften zur Bestandsdatenauskunft in 2012 waren nach Ansicht des BVerfG nicht ausreichend. Die Rechtsgrundlagen, insbesondere § 113 TKG, seien derzeit immer noch zu unbestimmt und würden die Betroffenen in ihren Grundrechten auf informationelle Selbstbestimmung und das Telekommunikationsgeheimnis (Art. 2 Abs.1 i.V.m Art 1 Abs. 1 und Art. 10 Abs. 1 GG) verletzen.

Als Folge des Urteils wird nun eine weitere Änderung der Vorschriften über die Bestandsdatenauskunft erwartet. Für die Reformierung der Gesetze hat der Gesetzgeber nun bis zum 31.12.2021 Zeit. In der Zwischenzeit findet § 113 TKG jedoch weiterhin mit gewissen Einschränkungen Anwendung.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Der BGH bestätigt nun das BKartA, sodass Facebook seine Nutzungsbedingungen vorerst anpassen muss.

BGH im Eilverfahren: Facebooks Datenerhebung behindert den Wettbewerb

Einleitung

Bereits im Februar 2019 sprach das Bundeskartellamt (BKartA) gegen Facebook eine Verbotsverfügung aus, weil es der Meinung war, Facebook behindere mit seinen Nutzungsbedingungen den Wettbewerb und nutze seine marktbeherrschende Position aus. Das BKartA setzte Facebook sodann eine Frist von zwölf Monaten, um seine Nutzungsbedingungen anzupassen. Bereits nach vier Monaten sollten Lösungsvorschläge präsentiert werden. Facebook hat gegen die Verfügung umgehend Beschwerde am Oberlandesgericht (OLG) Düsseldorf eingelegt, welches im Rahmen des vorläufigen Rechtsschutzes die aufschiebende Wirkung der Verfügung angeordnet hat. Dies bedeutet, dass die Entscheidung des BKartA nicht vollzogen werden darf, bis im Hauptsacheverfahren darüber entschieden wurde. Für Facebook heißt das, sich nicht an das Verbot bzw. die Auflagen des BKartA halten zu müssen, bis das OLG über die Rechtmäßigkeit der Verfügung entschieden hat. Das BKartA hat sich daraufhin ebenfalls im Eilverfahren an den Bundesgerichtshof (BGH) gewandt, um die aufschiebende Wirkung der Verfügung beseitigen zu lassen. Der BGH hat nun geprüft, ob die Gewährung der aufschiebenden Wirkung der Verfügung gerechtfertigt ist. Hierbei entscheidet der BGH nicht in der Hauptsache selbst, also ob das Verhalten von Facebook gegen kartellrechtliche Bestimmungen verstößt, sondern, ob ernstliche Zweifel bezüglich der Rechtmäßigkeit der Verbotsverfügung des BKartA bestehen.  

Nutzungsbedingungen von Facebook

Um Facebook nutzen zu können, müssen User zuerst einem plattformübergreifenden Umgang mit ihren Daten zustimmen. Das soziale Netzwerk sammelt und verarbeitet nicht nur Daten, die die jeweiligen Nutzer auf ihrem Facebook-Profil preisgeben, sondern auch Daten von Dritt-Webseiten und -Apps wie Instagram und WhatsApp (welche zu Facebook gehören). Dies dient dazu, genauere Profile der Nutzer zu erstellen und bspw. gezielt Werbung zu platzieren.

Ansicht des BKartA

Das BKartA ist der Ansicht, dass die Nutzungsbedingungen einen Verstoß gegen § 19 Abs. 1 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) darstellen. Durch das plattformübergreifende Datensammeln nutze Facebook seine marktbeherrschende Stellung aus, da den Nutzern keine Wahl gelassen werde, ob sie die Verknüpfung der Daten zulassen wollen oder nicht. Missbräuchlich sei, entgegen der Vorschriften der Datenschutz-Grundverordnung (DS-GVO) die private Nutzung von Facebook vom scheinbar grenzenlosen Sammeln von Daten und Erstellen von Profilen abhängig zu machen und den Nutzer quasi zur Zustimmung zu „zwingen“.

Entscheidung des BGH (Beschl. v. 23.06.2020, Az. KVR 69/19)

Der BGH setzte sich im Eilverfahren damit auseinander, ob ernstliche Zweifel bezüglich der Rechtmäßigkeit der Verbotsverfügung des BKartA bestehen. Dies erfolgt nur aufgrund einer summarischen Prüfung, was bedeutet, dass auf eine umfangreiche Beweisaufnahme verzichtet wird, um dem Charakter des Eilverfahrens gerecht zu werden und schnell eine Entscheidung zu erlangen. Nach seiner Prüfung stellte der BGH sich auf die Seite des BKartA. Das Karlsruher Gericht war ebenfalls der Auffassung, dass keine ernstlichen Zweifel an der marktbeherrschenden Stellung von Facebook auf dem deutschen Markt bestünden und diese Stellung von dem sozialen Netzwerk bei Verwendung ihrer Nutzungsbedingungen missbräuchlich ausgenutzt werde. Ausschlaggebend sei wieder die fehlende Wahlmöglichkeit der Nutzer, ob sie dem umfangreichen Datensammeln zustimmen wollen oder nicht. Dieser Umstand beeinträchtige schließlich die Privatautonomie und die Wahrung des Rechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m Art 1 Abs. 1 Grundgesetz) der Facebook-Nutzer, sowie die Kontrollfunktion des Wettbewerbs. Letztere könne durch die nach Ansicht des BGH kartellrechtlich relevante Ausbeutung der Nutzer von Facebook nicht mehr wirksam ausgeübt werden.

Der BGH bestätigt mithin einen Marktmissbrauch und sieht keine ernsthaften Zweifel an der Rechtmäßigkeit der Verbotsverfügung des BKartA. Die Karlsruher Richter sind der Meinung, dass die Nutzungsbedingungen in der Hinsicht angepasst werden müssten, dass die Nutzer des sozialen Netzwerks der Verknüpfung ihrer Daten von anderen Webseiten und Diensten aktiv zustimmen müssten und zudem eine Nutzung möglich wäre, sofern sie die Verknüpfung der Profile ablehnen würden.

Fazit

Im Ergebnis lehnte der BGH die Entscheidung des OLG Düsseldorf, die Anordnung der aufschiebenden Wirkung, ab und hob sie auf. Daraus folgt, dass Facebook sich zunächst an die Verbotsverfügung des BKartA halten muss, bis in der Hauptsache entschieden wurde. Somit stoppt der BGH zunächst das umfangreiche Datensammeln von dem sozialen Netzwerk. Wie das OLG sich im Hauptsacheverfahren entscheidet und der Rechtsstreit ausgeht, bleibt abzuwarten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Nächste Runde im Duell von Datenschutzaktivist und Jurist Max Schrems gegen Facebook aufgrund der Datenübermittlung aus der EU in die USA.

EuGH: EU-US Privacy Shield ist nichtig

Einleitung

Seit einigen Jahren kritisiert der österreichische Datenschutzaktivist und Jurist Max Schrems die Datenübermittlung von Facebook aus der EU in die USA. Nach seiner Ansicht werde bei den Datentransfers den europäischen Datenschutzvorschriften der Datenschutz-Grundverordnung (DS-GVO) nicht gerecht. Schrems hatte zuletzt bei der irischen Datenschutzbehörde Beschwerde gegen Facebook eingelegt. Die Beschwerde richtet sich gegen die Weiterleitung der Daten von Facebook in Irland an ihren Mutterkonzern in den Vereinigten Staaten. Schrems begründet seine Beschwerde damit, dass kein angemessenes Datenschutzniveau in den USA gewährleistet sei, da Facebook dort dazu verpflichtet sei, seinen Behörden wie NSA oder FBI Zugang zu den aus der EU übermittelten Daten zu gewähren, ohne dass die Betroffenen dagegen vorgehen könnten. Nach Ansicht des österreichischen Datenschutzaktivisten sei ein angemessener Datenschutz auch nicht durch den EU-US Privacy Shield (im Folgenden: Privacy Shield) oder die Standardvertragsklauseln gewahrt. Schrems möchte mit seiner Beschwerde erreichen, dass seine personenbezogenen Daten von Facebook nicht mehr in die Vereinigten Staaten übermittelt werden. Facebook ist hingegen der Ansicht, dass die Datenübermittlung rechtmäßig erfolge und das europäische Datenschutzrecht ferner nicht anzuwenden sei, wenn die personenbezogenen Daten zum Zwecke der nationalen Sicherheit verarbeitet werden.

Der irische High Court hat nun den Europäischen Gerichtshof (EuGH) angerufen, um zu klären, ob der Privacy Shield und die Standardvertragsklauseln mit dem europäischen Datenschutzrecht vereinbar sind.

Datentransfer in ein Drittland nach DS-GVO 

Eine Datenübermittlung aus der EU in Drittländer erfolgt gem. Art. 44 ff. DS-GVO. Ein Datentransfer in ein Drittland ist stets zulässig, wenn die Europäische Kommission einen Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DS-GVO erlässt, welcher besagt, dass das jeweilige Drittland über ein angemessenes, mit dem Unionsrecht vergleichbares Datenschutzniveau verfügt. Bisher wurden transatlantische Datenübermittlungen häufig mit dem Privacy Shield gerechtfertigt. Der Privacy Shield ist eine Absprache zwischen der US-Regierung und der EU-Kommission, welches die Gewährleistung eines angemessenes Schutzniveaus für personenbezogene Daten, welche aus der EU übermittelt wurden, vorsieht.

Zudem können Standardvertragsklauseln der EU-Kommission eine Rechtsgrundlage für den Datentransfer in die Vereinigten Staaten darstellen. Bisher bedienten sich etliche US-Konzerne den Standardvertragsklauseln, sofern Daten aus der EU in die USA weitergeleitet wurden. 

Entscheidung des EuGH

In seinem neusten Urteil (16.07.2020, Az.: C-311/18) stellt der EuGH auf Anfrage eines irischen Gerichts zunächst klar, dass das EU-Recht, vor allem die DS-GVO generell dann Anwendung finde, wenn eine Übermittlung personenbezogener Daten zu gewerblichen Zwecken erfolge. Dies gelte auch in Fällen, in denen die jeweiligen Daten direkt oder im Anschluss von Behörden des Drittlandes verarbeitet werden könnten. Eine Datenverarbeitung durch Behörden in einem Drittland könne nicht dazu führen, dass die Datenübermittlung nicht den Anforderungen der DS-GVO unterliegen müsse.

Des Weiteren entschied der EuGH, dass der Privacy Shield den europäischen Datenschutzvorschriften nicht gerecht werde. Dies sei darauf zurückzuführen, dass die Überwachungsgesetze in den Vereinigten Staaten zu umfangreich seien, sodass ein angemessener Schutz der personenbezogenen Daten von EU-Bürgern auch durch den Privacy Shield nicht gewährleistet sei. Darüber hinaus kritisierte der EuGH, dass keine ausreichenden Betroffenenrechte zur Verfügung stünden, um gegen den Datentransfer bzw. den Zugriff der US-amerikanischen Behörden auf die europäischen Daten, gerichtlich vorzugehen. Der EuGH erklärte den Privacy Shield mithin für nichtig.

Die Verwendung von Standardvertragsklauseln beanstandeten die Luxemburger Richter dagegen nicht. Es sei keine Kollision mit der europäischen Grundrechts-Charta (GRCh) ersichtlich. Der Beschluss der EU-Kommission zu Standardvertragsklauseln (Beschluss 2010/87) sehe die benötigten Maßnahmen vor, um in der Praxis gewährleisten zu können, dass das von der EU verlangte Datenschutzniveau eingehalten werde und dass bei einem Verstoß gegen die Klauseln eine Verarbeitung und Übermittlung ausgesetzt oder verboten werde. 

Fazit

Nachdem der EuGH bereits den Vorgänger des Privacy Shields, das Safe Harbor Abkommen, welches Schrems ebenfalls beanstandet hatte, im Jahr 2015 für ungültig erklärt hatte (Urt. v. 06.10.2015, Az.: C-362/14), teilt der Privacy Shield nun dasselbe Schicksal. Grund seien die ausgiebigen US-amerikanischen Überwachungsgesetze, welche die US-Behörden zur Überwachung „ausländischer Kommunikation“ weitläufig befugen. Zudem seien die Betroffenenrechte der EU-Bürger unzureichend. Alles in allem sei kein angemessenes Datenschutzniveau in den USA gegeben, so die Luxemburger Richter. Die Standardvertragsklauseln seien nicht zu beanstanden, sofern sie in dem jeweiligen Drittland auch eingehalten würden.

Folge des Urteils ist, dass viele Datenübermittlungen, welche sich auf den Privacy Shield als Rechtsgrundlage gestützt hatten, nun nicht mehr rechtmäßig sind. Dies könnte starke Auswirkungen auf Unternehmen haben, die auf den Bestand des Privacy Shields vertraut haben.

Darüber hinaus wird empfohlen, dass in der EU ansässige Unternehmen ihre Datenübermittlungen und Datenverarbeitungsabkommen betreffend Datenübermittlungen in die USA gründlich überprüfen sollten. Wenn die transatlantischen Datentransfers durch den “Privacy Shield” gerechtfertigt sind, ist unverzüglich zu Standardvertragsklauseln überzugehen, um einen angemessenen Datenschutz zu gewährleisten. Findet diese Umstellung nicht statt, drohen hohe Geldstrafen (Art. 83 DS-GVO). 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!