Kategorie: Rechtsprechung

Vorgeschichte des Abkommens 

Zwischen der Europäischen Union und Kanada besteht seit 2006 ein Abkommen über die Übermittlung und Verarbeitung von erweiterten Fluggastdaten und Fluggastdatensätzen, wonach die Fluggesellschaften, die Personen nach Kanada fliegen, erweiterte Fluggastdaten und Fluggastdatensätze an die zuständigen kanadischen Behörden übermitteln dürfen und gegebenenfalls müssen. Gleichzeitig wurde in Art. 1 des Abkommens von 2006 gewährleistet, dass die Weitergabe von den genannten Daten unter uneingeschränkter Achtung grundlegender Rechte und Freiheiten, insbesondere des Rechts auf Privatsphäre erfolgt. Auf dieser Grundlage entschied die Europäische Kommission gem. Art. 25 Abs. 2 RL 95/46/EG, dass das Abkommen einen angemessenen Schutz böte. Diese Entscheidung und damit auch die Geltungsdauer des Abkommens lief im September 2009 aus, sodass im folgenden Jahr die Verhandlungen über ein neues Fluggastdatenabkommen aufgenommen wurde und am 5. Dezember 2013 beschloss der Rat die Unterzeichnung des neuen, wenn auch umstrittenen, Abkommens und ersuchte die Zustimmung des Parlaments zu diesem Entwurf. Das Parlament jedoch legte das Abkommen dem EuGH vor und bat um ein Gutachten nach Art.218 Abs.11 AEUV, welches der EuGH nun am 26. Juli 2017 verkündet hat. Ein solches Gutachten über die Vereinbarkeit mit europäischem Recht bzw Zustimmungsfähigkeit eines internationalen Abkommens wurde bisher noch nie erbeten und stellt damit schon rein verfahrenstechnisch eine Besonderheit dar. 

Inhalt des geplanten Abkommens 

Wesentlicher Inhalt des Abkommens ist die Übermittlung und Verarbeitung von Fluggastdatensätzen, sog. Passenger Name Records, oder kurz: PNR-Daten. Das Abkommen sieht vor, dass die Fluggesellschaften bei Flügen zwischen Kanada und der EU die erhobenen Daten an die zuständigen kanadischen Behörden übermitteln dürfen, welche diese dann verarbeiten können. Dies alles zum Zwecke der Verhinderung und Aufdeckung von terroristischen Straftaten oder anderer grenzüberschreitender schwerer Kriminalität. Dabei gilt ein Speicherungszeitraum von 5 Jahren im Zielland und die gesammelten Daten lassen dabei Rückschlüsse auf den Reiseverlauf, Reisegewohnheiten, Beziehungen zwischen den Fluggästen sowie die finanzielle Situation, Essgewohnheiten und gesundheitlichen Zustand der Fluggäste zu. Das Europäische Parlament wandte sich mit zwei Fragen an den EuGH, in denen es erfragte, ob das Abkommen mit den Bestimmungen der Verträge (Art. 16 AEUV) und der Charta der Grundrechte der Europäischen Union (Art. 7, Art. 8 und Art. 52 Abs. 1) bezüglich des Rechts auf den Schutz personenbezogener Daten vereinbar sei. Und die zweite Frage, bezog sich auf die zutreffende Rechtsgrundlage, denn das Europäische Parlament war sich nicht darüber einig, ob Art. 82 Abs. 1 Buchst. d und Art. 87 Abs. 2 Buchst. a AEUV oder Art. 16 AEUV die zutreffende Rechtsgrundlage darstelle. 

EuGH pocht auf Schutz personenbezogener Daten

Obwohl das Abkommen grundsätzlich zulässig sei, kommt der EuGH dennoch zu dem Ergebnis, dass es in seiner jetzigen Form so nicht geschlossen werden dürfe, weil einzelne Bestimmungen nicht mit den Grundrechten aus der Grundrechtecharta vereinbar seien. Die Speicherungsdauer von 5 Jahren stelle einen besonders großen Zeitraum dar. Die Speicherung, Verwendung und Weitergabe zwischen kanadischen, europäischen und ausländischen Behörden greife in das Grundrecht auf Achtung des Privatlebens sowie in das Grundrecht auf Schutz personenbezogener Daten ein. Diese Eingriffe könnten jedoch gerechtfertigt sein durch die Verfolgung eines dem Gemeinwohl dienenden Ziels, welches hier die Gewährleistung der öffentlichen Sicherheit im Rahmen der Bekämpfung terroristischer und grenzübergreifender schwerer Kriminalität darstellt. Allerdings stellte das Gericht fest, dass einige Bestimmungen im Rahmen der Erforderlichkeitsprüfung problematisch erscheinen: Zum einen fehlt es an einer Rechtfertigung für diejenigen Bestimmungen, die die Übermittlung von sensiblen Daten – darunter sind Daten über die rassische oder ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung oder die Gewerkschaftszugehörigkeit zu verstehen – ermöglichen, da das Risiko einer gegen das Diskriminierungsverbot verstoßenden Verarbeitung besonders präzise und fundierte Rechtfertigungsgründe erfordere, welche aber nicht gegeben sind. 

Darüber hinaus legt der EuGH fest, dass sich das Ausmaß der Befugnisse auf das absolut Notwendige beschränken müsse. Im Falle der Einreise und des Aufenthalts der Fluggäste in Kanada sei ein hinreichender mittelbarer Zusammenhang zum verfolgten Ziel vorhanden, so dass die Speicherung nicht über das absolut Notwendige hinausgeht. Besteht bei den Fluggästen aber weder bei ihrer Ankunft in Kanada noch während ihres Aufenthalts oder ihrer Ausreise der Verdacht einer Gefahr im terroristischen Bereich, ist eine weitere dauerhafte Speicherung ihrer Daten für einen Zeitraum von 5 Jahren nicht erforderlich, da kein mittelbarer Zusammenhang zwischen ihren PNR-Daten und dem verfolgten Ziel bestehe, sodass eine Rechtfertigung hier fehlt. 

Abschließend arbeitet das Gericht einige Änderungsvorgaben heraus, unter deren Berücksichtigung ein überarbeiteter Entwurf zulässig wäre. Darunter fällt zum einen die Forderung, dass einige der zu übermittelnden PNR-Daten klarer und präziser definiert werden müssen, ebenso müssen die in der automatisierten Verarbeitung von PNR-Daten verwendeten Modelle spezifischer und zuverlässiger und keinesfalls diskriminierend sein. Es dürfen außerdem nur Datenbanken gebraucht werden, die im Zusammenhang mit der Terrorismusbekämpfung eingerichtet wurden. Zur Weitergabe an Nicht-EU-Länder durch kanadische Behörden gibt der EuGH vor, dass eine solche Weitergabe nur möglich ist, wenn ein ähnliches Abkommen mit entsprechendem Schutzniveau zwischen der EU und diesem Staat gilt. Außerdem müssen den betroffenen Fluggästen Informationsrechte eingeräumt und eine unabhängige Kontrollstelle zur Überwachung eingerichtet werden. 

Die Frage nach der zutreffenden Rechtsgrundlage beantwortet der EuGH dahingehend, dass das Abkommen auf beiden Rechtsgrundlagen, also Art. 82, 87 AEUV (justizielle Zusammenarbeit in Strafsachen und polizeiliche Zusammenarbeit) sowie auf Art. 16 AEUV (Schutz personenbezogener Daten) fußen muss, da zwei gleichrangige, untrennbar miteinander verbundene Ziele verfolgt werden. 

Kritik 

Von Datenschützern zwar uneingeschränkt begrüßt, löst das Gutachten des EuGH teilweise auch Kritik aus. Denn die Folge ist: Wird kein neues Abkommen geschlossen, gilt das Abkommen von 2006 unverändert weiter, welches mindestens genauso überprüfungsbedürftig sei wie der aktuelle Entwurf. Durch die Änderungsvorgaben des EuGH werde jetzt aber nun der Zeitraum verlängert, in dem das alte Abkommen gelte, das keinen besseren Schutz biete.

Einführung

Das Kammergericht Berlin entschied mit Urteil vom 22. September 2017 (Az. 5 U 155/14), dass Facebook die personenbezogenen Daten deutscher Kunden im App-Zentrum nicht ausreichend schützt und bestätigte die vorherige Entscheidung des Landgerichts Berlin vom November 2014. Facebook ist nun verpflichtet, in Sachen Datenschutz nachzubessern und den Verbraucher über die Nutzungsbedingungen für Spiele aus seinem App-Zentrum besser zu informieren.

Der Sachverhalt

Facebook-Nutzer können über das App-Zentrum kostenlos Onlinespiele anderer Anbieter spielen. Im November 2012 wurde in dem App-Zentrum u.a. auch das Spiel „The Ville“ angeboten, für das Nutzern zu Beginn des Spiels unter dem Button „Sofort spielen“ Hinweise bezüglich der Übermittlung ihrer personenbezogenen Daten an den Betreiber des Spiels angezeigt wurden, jedoch ohne Angaben über den Zweck der Datenverarbeitung. Die personenbezogenen Daten umfassten die E-Mail-Adresse, Statusmeldungen und andere Informationen. Diese Konstellation traf auch auf drei weitere Spiele zu. Bei dem Spiel „Scrabble“ hieß es: „Diese Anwendung darf Statusmeldungen Fotos und mehr in deinem Namen posten“. 

Der Bundesverband der Verbraucherzentralen (VZBV) mahnte Facebook ab und klagte anschließend mit der Begründung, dass die Hinweise zu knapp seien, um den Verbraucher in ausreichendem Maße über die Datenverarbeitung zu informieren. Ferner würde der Hinweis keine rechtswirksame Einwilligung darstellen. Somit sei Facebook nicht befugt, die personenbezogenen Daten der Nutzer an den Anbieter zu übermitteln. Das Landgericht gab dem VZBV Recht. Facebook ging daraufhin in Berufung, scheiterte nun allerdings auch vor dem Kammergericht.

Die Entscheidungen des KG Berlin

Zum einen entschied das Gericht, dass das deutsche Datenschutzrecht Anwendung findet, obwohl es sich bei Facebook um ein Unternehmen mit Sitz in Irland handelt. Grund dafür sei, dass sich das Angebot auch an deutsche Nutzer richte und sich eine in Hamburg sitzende Schwestergesellschaft für die Förderung des Anzeigengeschäfts verantwortlich zeichne. Allein in dem Werben um Werbekunden und deren Unterstützung durch die Facebook Germany GmbH liege eine hinreichend effektive und tatsächliche Tätigkeit einer Niederlassung. Insgesamt unterliege Facebook also hier dem deutschen Datenschutzrecht. 

Auch im Übrigen stimmt das Kammergericht der Entscheidung der Vorinstanz zu. Ein Rechtsverstoß sei darin zu sehen, dass eine Einwilligung des Nutzers bezüglich der Übermittlung seiner personenbezogenen Daten fehle. Allein durch das Anklicken des Buttons „Sofort spielen“ werde der Nutzer nicht ausreichend darüber informiert, dass er dadurch in die Übermittlung seiner Daten einwillige. Der Nutzer werde diesbezüglich nicht einheitlich informiert. Ferner dürfe auch nicht von einer Generaleinwilligung des Nutzers über die Übermittlung seiner Daten an andere Betreiber ausgegangen werden. 

Das Gericht beanstandete auch die Mitteilung bezüglich der Berechtigung zum Posten im Namen des Nutzers. In diesem Zusammenhang stellte die Einräumung derartiger Berechtigungen einen Verstoß gegen das Transparenzgebot aus dem AGB-Recht gemäß § 307 Abs. 1 S. 2 BGB und gegen Vorgaben der EU-Datenschutzrichtlinie 95/46/EG dar. Zum einen sei zu unbestimmt und unklar, in welchem Umfang und mit welchem Inhalt sich diese Posts durch den Spielebetreiber geschehen sollten, zumal zum anderem von der Formulierung auch Werbung für sexuell anzügliche Produkte umfasst sei. 

Das Urteil des Kammergerichts ist allerdings noch nicht rechtskräftig. Es ist möglich, dass Facebook in Revision geht.

Anforderungen an eine wirksame Datenschutzeinwilligungserklärung

Gemäß § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit eine gesetzliche Grundlage dafür vorliegt oder der Betroffene darein eingewilligt hat. Die Anforderungen an eine wirksame Einwilligung regelt § 4a BDSG. 

Zunächst muss eine Einwilligung freiwillig erfolgen, also auf einer autonomen Entscheidung des Betroffenen beruhen. Dies wird dadurch gewährleistet, indem man dem Betroffenen eine Alternative zur Einwilligung bietet. Ferner hat derjenige, der die personenbezogenen Daten erhebt, verarbeitet oder nutzt den Zweck der Datenerhebung, -verarbeitung oder –nutzung anzugeben. Das Erfordernis der Transparenz zeichnet sich dadurch aus, dass gerade keine pauschale Einwilligung für noch unbestimmte Zwecke in der Zukunft eingeholt werden können. Zudem muss die Einwilligung grundsätzlich schriftlich eingeholt werden. Unter Umständen ist es erforderlich, den Betroffenen auch auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Ebenso ist eine besondere optische Hervorhebung unerlässlich, falls die Einwilligung zusammen mit anderen Erklärungen erteilt werden soll. 

Außerdem nutzen viele Unternehmer vorformulierte Einwilligungserklärungen, um sie bei einer Vielzahl von Verträgen anzuwenden. Wenn die Einwilligung in AGB eingebaut wird, muss sie zudem den Anforderungen der §§ 305 ff. BGB genügen. Insbesondere darf kein Verstoß gegen § 307 Abs. 1 BGB vorliegen, nach dem die Klausel den Betroffenen erstens nicht entgegen den Geboten von Treu und Glauben unangemessen benachteiligen darf und zweitens die Erklärung gemäß des Transparenzgebots für den Vertragspartner klar und verständlich sein muss.

Einführung

Mit Beschluss vom 22. Juni 2017 hat das Oberverwaltungsgericht (OVG) Münster entschieden, dass die Pflicht zur Vorratsdatenspeicherung vorläufig bis zum rechtskräftigen Abschluss der Hauptsache für die klagende Telekommunikationsdienstanbieterin ausgesetzt wird. Die Bundesnetzagentur reagierte prompt auf den Beschluss des OVG und verkündete, bis zum Urteil im Hauptverfahren die Pflicht zur Speicherung auch gegenüber anderen Telekommunikationsdienstleistern nicht durchzusetzen. 

Was ist die Vorratsdatenspeicherungspflicht? 

Die sogenannte Vorratsdatenspeicherungspflicht wurde im Dezember 2015 eingeführt und sollte ab dem 1. Juli 2017 für alle Telekommunikationsdienstanbieter verbindlich gelten. Sie umfasst die anlasslose Speicherung von Daten zum Zwecke der Strafverfolgung auf Vorrat, die durch die Nutzung des Dienstes anfallen. Darunter fallen also Verkehrsdaten und Standortdaten. Für letztere gilt eine Speicherpflicht von vier Wochen, alle anderen Daten werden für einen Zeitraum von zehn Wochen gespeichert. 

Die Diskussion über die Vorratsdatenspeicherung hält schon lange an: Befürworter halten sie für ein evidentes Instrument der Verbrechensbekämpfung. Durch den nur im Einzelfall stattfindenden Zugriff auf die personenbezogenen Daten verdächtiger Personen sei der Grundrechtseingriff gering. Auf der anderen Seite kritisieren Gegner die Regelung: Die flächendeckende und ausnahmslose Speicherung von Telekommunikationsdaten sei ohne Einschränkungen des Personenkreises, des Kommunikationsmittels sowie der Daten unverhältnismäßig zum in wenigen Einzelfällen tatsächlich vorkommendem Zugriff auf die Daten. Insoweit führte auch das Bundesverfassungsgericht bereits im Volkzählungsurteil aus dem Jahre 1983 aus, dass wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, versuchen wird, nicht durch solche Verhaltensweisen aufzufallen und dadurch in der Entfaltung seiner freier Persönlichkeit gehemmt ist. 

Jetziger Sachverhalt

Klage eines Telekommunikationsdienstanbieters 

Ein Münchener Internetprovider hatte geklagt und ist nun durch einstweilige Anordnung vorzeitig vor Beendung des Hauptverfahrens von seiner Speicherungspflicht entbunden. 

Bundesnetzagentur zieht nach 

In Folge des Beschlusses und seiner Begrüßung von Rechtswissenschaftlern, Bürgerrechtsorganisationen, wirtschaftlichen Interessenverbänden und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) entschied sich die Bundesnetzagentur für das Absehen von Anordnungen und sonstigen Durchsetzungsmaßnahmen der Speicherpflicht gegenüber allen grundsätzlich verpflichteten Unternehmen. Es kommt somit nicht mehr zur Einleitung von Bußgeldverfahren gegen die Telekommunikationsdienstanbieter, wenn diese die Vorratsdatenspeicherung bis zu einer Entscheidung in der Hauptsache nicht umsetzen.

Begründung des Gerichts: 

Verstoß gegen das Europarecht 

Das OVG begründete seine Ansicht damit, dass die Vorratsdatenspeicherung gegen das Europarecht verstoße. Die Regelung sei nicht mit Art. 15 Abs. 1 der Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG) vereinbar. Zudem verstoße sie auch gegen Art. 7 und 8 der Charta der Grundrechte der Europäischen Union. 

Darüber hinaus nimmt das OVG Bezug auf die Entscheidung des Gerichtshofs der Europäischen Union (EuGH) vom 21.12.2016. Dort hatte das Gericht ergänzend zu einer Entscheidung vom 21.04.2014 verdeutlicht, dass es aufgrund nationaler Regelungen der Vorratsdatenspeicherung nicht zu einer uferlosen Überwachung der Betroffenen kommen dürfe. Die Verhältnismäßigkeit sei strikt auszulegen, also dürfe die Speicherung nur während eines bestimmten Zeitraums und aus eng begrenzten Gründen erfolgen und gerade nicht als allgemeine und unterschiedslose Speicherung nahezu aller Verkehrs- und Standortdaten ausgestaltet sein. Nationale Regelungen müssten die Vorratsdatenspeicherung als Eingriff in den Schutz personenbezogener Daten, zum Schutz des Grundrechts auf Achtung des Privatlebens, auf das absolut Notwendige beschränken. 

Das Gericht stützt seine Entscheidung auf drei Beanstandungen: Zum einen enthalte die Regelung keine Ausnahme. Die Speicherpflicht umfasse alle Personen (auch solche die einem besonderen Berufsgeheimnis unterfallen), alle elektronischen Kommunikationsmittel und alle Verkehrsdaten. Hier fehle es an einem Zusammenhang zwischen den zu speichernden Daten und einer Bedrohung für die öffentliche Sicherheit. Um einen Eingriff in Art. 7 oder 8 der Charta zu rechtfertigen, fehle des Weiteren ein objektives Kriterium zur Beschränkung des Zugangs zu den Daten und ihrer Nutzung für die Verhinderung oder Verfolgung von Straftaten. Zudem enthalte die Regelung keine Verfahrensvorschriften, auch nicht zur vorherigen Kontrolle durch ein Gericht oder eine öffentliche Stelle. Ferner moniert das Gericht die einheitliche Speicherdauer der Daten ohne Unterscheidung bezüglich der Datenkategorien oder anhand der Personenkreise.

Anforderungen an eine mögliche Vorratsdatenspeicherung 

Die Beschränkung der zu speichernden Daten sollte auf das absolut Nötigste beschränkt sein. Dem genüge eine Regelung der Vorratsdatenspeicherung, wenn sie klare und präzise Regeln über die Tragweite und die Anwendung für die Speicherung vorsehe und Mindestanforderungen zur Gewährleistung eines ausreichenden Schutzes vor Missbrauch aufstelle. Dafür bedürfe es einer genauesten Differenzierung, unter welchen Umständen und unter welchen Voraussetzungen eine Maßnahme der Vorratsdatenspeicherung vorbeugend getroffen werden darf. Zudem sind die materiellen Voraussetzungen der Speicherung in die Regelung mit aufzunehmen. Zur Herstellung eines Zusammenhangs zwischen den zu speichernden Daten und dem verfolgten Ziel seien objektive Kriterien der Speicherung zu beachten, die zur Begrenzung des Umfangs der Maßnahme und auch den betroffenen Personenkreis geeignet sind. Eine zulässige Beschränkung könne auch in Bezug auf einen bestimmten Zeitraum, einen Personenkreis oder den Daten vorgenommen werden. Des Weiteren bedürfe es Verfahrensvorschriften, die den Zugang zu den Daten auf das absolut Notwendige beschränken.

Folgeprobleme der Wiedereinführung der Vorratsdatenspeicherung 

Grundsätzlicher Zweck einer Vorratsdatenspeicherungspflicht gegenüber TK-Dienstanbieter ist, diese Daten für Strafermittlungszwecke für eine feste Dauer abrufen zu können. Grundsätzlich werden die Pflicht der manuellen Bestandsdatenauskunft der TK-Dienstanbieter in § 113 TKG geregelt. Nach § 113 Abs. 1 S. 4 TKG haben die Unternehmen zur Auskunftserteilung dabei auf alle unternehmensinternen Datenquellen zurückzugreifen. Bezüglich der Zeiträume der Speicherung dieser Verkehrsdaten gilt somit wieder die Rechtslage, wie vor Einführung der neuen Vorratsdatenspeicherung, bei der nach Vertragsmodellen differenziert werden muss und den TK-Dienstanbieter grundsätzlich auch gewisse eigene Entscheidungsspielräume eröffnet werden.