EuGH: Safe-Harbor-Entscheidung mit den USA ungültig

Der EuGH folgte in der Sache C-362/14 (M. Schrems v. Data Protection Commissioner [Facebook] – Volltext) in seiner Entscheidung vom 6.10.2015 den Schlussanträgen (siehe Beitrag auf dieser Website) des Generalanwalts Bot. Demnach ist die Übermittlung von personenbezogenen Daten von Nutzern in Europa in die USA nicht schon auf Grundlage der sog. Safe-Harbor-Entscheidung (2000/520/EG v. 26.7.2000) durch ein „angemessenes Schutzniveau“ geschützt. Die Safe-Harbor-Entscheidung der EU-Kommission ist vielmehr ungültig, und die Datenschutzbehörden der befassten Mitgliedsstaaten sind befugt eigenständig zu prüfen, inwiefern für die USA ein sog. „angemessenes Schutzniveau“ besteht.

Inhalt des Urteils

Die Richtlinie 95/46/EG (Richtlinie des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281, S. 31 ff) regelt, dass eine Übermittlung von personenbezogenen Daten in ein sog. Drittland (ein Staat außerhalb von EU/EWR) nur zulässig ist, wenn dieses Drittland ein „angemessenes“ Schutzniveau der Daten gewährleistet. Nach der Richtlinie ist die Kommission legitimiert zu bestimmen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, etwa aufgrund des innerstaatlichen Rechts oder internationaler Verpflichtungen. Letztere ist die sog. Safe-Harbor-Entscheidung (näher: Beitrag auf dieser Website).

Der EuGH führt in dem Urteil vom 6.10.2015 aus, dass eine Aufsichtsbehörde aufgrund der Vermutung der Rechtmäßigkeit von Rechtsakten solange keine zuwiderlaufende Maßnahme gegen die Safe-Harbor-Entscheidung treffen könne, wie die Entscheidung der Kommission vom Gerichtshof nicht für ungültig erklärt werde. Aus diesem Grunde „ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese […] um eine Vorabentscheidung über deren Gültigkeit ersuchen.“ Denn der Aufsichtsbehörde müsse – trotz einer Entscheidung der Kommission – die Möglichkeit bleiben, in völliger Unabhängigkeit prüfen zu können, ob bei der Übermittlung von Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Daher könne eine Entscheidung der Kommission (hier: Safe-Harbor-Entscheidung), die Aufsichtsbehörde nicht an der Kontrolle der Übermittlung personenbezogener Daten in Drittländer hindern.

Sodann prüft der EuGH die Gültigkeit der Safe-Harbor-Entscheidung und erklärt diese für ungültig. Er beanstandet u.a., dass die Safe-Harbor-Entscheidung nur für Unternehmen mit Sitz in den USA gelte, nicht aber für die Behörden innerhalb der USA. Darüber hinaus werde den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Vorrang vor den Grundsätzen der Safe-Harbor-Entscheidung eingeräumt, weshalb die Unternehmen in den USA „ohne jede Einschränkung verpflichtet [sind], die Grundsätze […] unangewandt zu lassen“, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Dadurch werde ein Eingriff der US Behörden in die Grundrechte der Personen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden, ermöglicht. Hinzu komme das fehlende Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe, wie der Generalanwalt in seinen Schlussanträgen ausgeführt habe.

Schließlich fehle die Möglichkeit des Betroffenen mittels gerichtlichen Rechtsbehelfen den Zugang zu den ihn betreffenden Daten zu erhalten und ggf. deren Berichtigung oder Löschung zu erwirken, was den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletze.
Die Entscheidung trifft die Meinung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 18./19.3.2015, die gemäß ihrer Entschließung ebenfalls auf dem Standpunkt steht, dass Safe-Harbor kein angemessenes Schutzniveau gewährleistet.

Folgen des Urteils

Die irische Datenschutzbehörde muss nun die Beschwerde von Herrn Schrems prüfen, was sie im Prüfungsverfahren abgelehnt hatte. Stellt sie fest, dass die USA kein angemessenes Schutzniveau im Sinne der Richtlinie aufweist, hat sie die Übermittlung der personenbezogenen Daten der europäischen Nutzer des Social-Media-Anbieters Facebook in die USA auszusetzen. Denkbar ist aber auch, dass die irische Datenschutzbehörde ein angemessenes Schutzniveau feststellt, was Herrn Schrems wahrscheinlich dazu bewegen wird, das Verfahren weiter zu betreiben und erneut den High Court anzurufen, sofern eine beschwerdefähige Entscheidung ergeht.

Aus alledem folgt, dass nationale Aufsichtsbehörden innerhalb der EU die Übermittlung europäischer Daten auf US-Server verbieten können. Das Urteil wirkt sich nicht nur auf personenbezogene Daten der Facebook-Nutzer aus, sondern betrifft sämtliche der mehr als 4.000 Unternehmen mit Sitz in den USA, die sich dem Safe-Harbor-Abkommen im Wege einer Selbstzertifizierung unterworfen haben. Dies führt dazu, dass sie eine neue rechtliche Grundlage benötigen oder ein neues Abkommen zwischen der EU und den USA geschaffen werden muss, sofern nicht im Einzelfall unter Nutzung der EU Model Contracts vorgegangen wird. Die einzuhaltenden Grundsätze hat der EuGH in seinem Urteil skizziert. Das Urteil trifft vor allem kleinere Unternehmen, die sich bislang auf die Safe-Harbor-Entscheidung verlassen haben. Unternehmen müssen nun die Zulässigkeit der Datenübermittlung prüfen und auf andere Weise sicherstellen.

 

Generalanwalt EuGH: Safe-Harbor steht nicht über der Entscheidungsbefugnis nationaler Aufsichtsbehörden

In seinem Schlussantrag in der Sache C-362/14 (M. Schrems v. Data Protection Commissioner [Facebook], veröffentlicht am 23.09.2015 – Volltext) äußert der Generalanwalt am EuGH, Yves Bot, die Auffassung, dass die sog. Safe-Harbor-Entscheidung der EU-Kommission (2000/520/EG, ABl. L 215/7 v. 25.8.2000 – Volltext) nicht dem Vorhaben der irischen Aufsichtsbehörde entgegenstehe, die Übermittlung von Daten europäischer Facebook-Nutzer an Server in den Vereinigten Staaten verbieten zu können.

Hintergrund

Facebook als amerikanischer Social-Media-Anbieter unterhält in Irland eine Tochtergesellschaft und übermittelt von dort die Daten der Nutzer mit Wohnsitz in der EU an in den USA belegene Server. Die Richtlinie (95/46/EG – Volltext) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr erlaubt die Übermittlung von personenbezogenen Daten in ein Drittland (also Länder außerhalb der EU/EWR) nur dann, wenn dieses ein angemessenes Schutzniveau gewährleistet. Drittstaaten mit angemessenem Schutzniveau können entweder als solche festgestellt werden oder auf vertraglicher Grundlage als solche gelten. Hierauf bezog sich, soweit die USA betroffen waren, die o. a. Safe-Harbor-Entscheidung der Europäischen Kommission. Unternehmen in den USA, die der Zuständigkeit der Federal Trade Commission unterliegen, können in dem Safe-Harbor-Verfahren eine Selbstverpflichtung zur Einhaltung der in dem Abkommen niedergelegten Grundsätze erklären. Diesen Grundsätzen hatte sich das Unternehmen Facebook unterworfen, sodass der Datenaustausch nach Auffassung der zuständigen irischen Aufsichtsbehörde nicht zu beanstanden sei.

Im Zusammenhang mit dem Vorgehen des Österreichers Maximilian Schrems gegen Facebook legte der irische High-Court dem EuGH im Wege des Vorabentscheidungsersuchens die Frage vor, ob das Safe-Harbor-Verfahren eine nationale Aufsichtsbehörde daran hindere, eine Beschwerde zu untersuchen, die darauf abzielt, dass das Drittland kein angemessenes Schutzniveau gewährleiste.

Schlussantrag des Generalanwalts

Der Generalanwalt vertritt in den Schlussanträgen im Wesentlichen die Auffassung, dass die Europäische Kommission die USA nicht hätte als Safe-Harbor qualifizieren dürfen und hält dieses somit für ungültig. Er begründet seine Auffassung unter anderem mit der in den USA gelebten Praxis, personenbezogene Daten in großem Umfang zu sammeln, ohne dass Unionsbürger über einen wirksamen Rechtsschutz verfügen. Dies gelte insbesondere aufgrund der massiven und wahllosen Überwachung in den USA durch Nachrichtendienste und dem fehlenden Rechtsbehelf europäischer Bürger, was letztlich zu einem Verstoß gegen den Grundsatz der Verhältnismäßigkeit führe.

Auch stehe das Safe-Harbor-Verfahren nicht über der Entscheidungsbefugnis von nationalen Aufsichtsbehörden. Ihnen müssen als unabhängige Instanzen die Befugnis bleiben, feststellen zu können, dass kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet sei und gegebenenfalls die Übertragung dieser Daten auszusetzen.

Folgen des Schlussantrags

Folgt der EuGH den Schlussanträgen des Generalanwalts, so wie er dies meist tut, sind die Auswirkungen nicht nur für Facebook spürbar, sondern wirkt sich auf sämtliche mehr als 4.000 Unternehmen mit Sitz in den USA aus, die sich dem Safe-Harbor-Abkommen unterworfen haben. Ihnen ist dann die Rechtsgrundlage der Übermittlung personenbezogener Daten in die USA entzogen, sodass sie eine neue rechtliche Grundlage benötigen oder ein neues Abkommen zwischen der EU und den USA geschaffen werden muss. Bis ein solches umgesetzt ist, können die Betroffenen ggf. den Weg über die sog. EU-Standardvertragsklauseln oder Binding-Corporate-Rules (BCR) gehen.

Update: Den Beitrag zum Urteil des EuGH finden Sie auf dieser Website.

 

BAG zur datenschutzrechtlichen Einwilligung eines Arbeitnehmers

Das Bundesarbeitsgericht (BAG) hatte sich in seinem Urteil vom 11.12.2014 (Az. 8 AZR 1010/13 – Volltext) mit der Bildnisveröffentlichung von Arbeitnehmern auf der Website des Unternehmens zu beschäftigen. In diesem Urteil ist das BAG auch auf die grundlegende Frage eingegangen, ob die datenschutzrechtliche Einwilligung eines Betroffenen in Arbeitsverhältnissen wirksam ist.

Hintergrund

Das Bundesdatenschutzgesetz (BDSG) enthält den Grundsatz des Verbots mit Erlaubnisvorbehalt. Hiernach ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Dazu bestimmt § 4a Abs. 1 BDSG die Voraussetzungen an eine wirksame Einwilligung, welche kumulativ vorliegen müssen. Erforderlich für eine wirksame Einwilligung ist demnach die freie Entscheidung des Betroffenen, der Hinweis auf den vorgesehenen Zweck der Verwendung sowie auf die Folgen der Verweigerung der Einwilligung. Im Übrigen bedarf die Erklärung der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.

Die Wirksamkeit der Einwilligung eines Beschäftigten gegenüber seinem Arbeitnehmer ist in der Literatur Gegenstand lebhafter Diskussionen, ohne jedoch ein abschließendes Ergebnis zu vermitteln. Die Uneinigkeit fokussiert sich vor allem auf die Frage, ob es im Arbeitsverhältnis überhaupt eine „freie Entscheidung” geben kann. Auch die Aufsichtsbehörden argumentierten dahingehend, dass die Einwilligung im Arbeitsverhältnis grundsätzlich nicht freiwillig erfolgen könne und damit unwirksam sei. Die Freiwilligkeit sei deshalb zu verneinen, da die Einwilligung unter Ausnutzung einer wirtschaftlichen Machtposition gefordert wird, sich der unterlegene also zur Abgabe der Einwilligung genötigt sieht. Dies sei regelmäßig in einem Abhängigkeitsverhältnis wie zwischen dem Arbeitgeber und dem Beschäftigten der Fall.

Urteil des BAG

Dem stellt sich das BAG in seinem Urteil entgegen und betont, dass auch im Rahmen von Arbeitsverhältnissen der Arbeitnehmer freie Entscheidungen treffen könne und er sich mit Eingehung eines Arbeitsverhältnisses und der Eingliederung in den Betrieb nicht seiner Grund- und Persönlichkeitsrechte begebe. Dies gelte – so das BAG – vor allem deshalb, weil in Arbeitsverhältnissen unter bestimmten Umständen eine Datenverarbeitung selbst ohne Vorliegen einer Einwilligung des Arbeitnehmers möglich sei und verweist hierzu auf den gesetzlichen Erlaubnistatbestand des § 32 BDSG.

Folgen des Urteils

Das BAG spricht in seinem Urteil nicht von „Beschäftigten“ i.S.d. § 3 Abs. 1 BDSG, sondern nur einem diesem Begriff unterfallenden Teil von Personen, nämlich  „Arbeitnehmer“ nach § 3 Abs. 11 Nr. 1 BDSG. Nichts gesagt ist durch das Urteil deshalb darüber, ob sich der Arbeitgeber auch die Einwilligung von anderen Personen, die unter den Beschäftigtenbegriff fallen, einholen kann. Diese Frage wird vor allem dann relevant, wenn es um „Bewerberinnen und Bewerber“ i.S.d. § 3 Abs. 11 Nr. 9 BDSG geht, könnte der Arbeitgeber doch den zulässigen und eng gesteckten Rahmen seines Fragerechts durch Einholung einer Einwilligung erweitern und umgehen.

Für die bewusste Differenzierung zwischen Arbeitnehmern und den übrigen als „Beschäftigte“ bezeichneten Personen durch das BAG, streitet schließlich auch sein Wortlaut, der auf ein bestehendes Arbeitsverhältnis hindeutet („Eingehung eines Arbeitsverhältnisses und die Eingliederung in den Betrieb“).

Auch und gerade bei der Verarbeitung besonders sensibler Daten i.S.d. § 3 Abs. 9 BDSG wird man deshalb nicht die Prüfung der “Freiwilligkeit” im jeweiligen Einzelfall vernachlässigen können. Dies gilt allein schon wegen der formalen und inhaltlichen Anforderungen, die das Gesetz an die wirksame Einwilligung stellt.

Leitlinien zur Vorratsdatenspeicherung

Nachdem das Bundesverfassungsgericht (BVerfG) am 02.03.2010 und der Europäische Gerichtshof (EuGH) am 08.04.2014 (siehe unseren Beitrag) die Vorratsdatenspeicherung für unzulässig erklärten, weil die massenhafte und anlasslose Speicherung von Verbindungsdaten gegen die Grundrechte der Betroffenen verstößt, wurden am 15.04.2015 die Leitlinien eines Gesetzes zur „zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten“ bekannt gegeben (Volltext der Leitlinien).

Sowohl das BVerfG als auch der EuGH machten in ihren Urteilen deutlich, dass eine Vorratsdatenspeicherung nicht von Vornherein ausgeschlossen sei; sie müsse hinsichtlich des Verfahrens aber an strengere Voraussetzungen geknüpft werden.

Um den durch die Urteile aufgestellten Grundsätzen zu genügen, sehen die Leitlinien zum Schutz der Grundrechte der Betroffenen folgende – im Vergleich zum Gesetz von 2008 – verschärfte Bestimmungen vor:

  • Schutz von Berufsgeheimnisträgern beim Abruf der Daten durch Verwendungs- und Verwertungsverbote (insb. Seelsorger, Rechtsanwälte, Ärzte, Apotheker)
  • Datenabruf nur bei schwersten Straftaten (präzisiert in Anl. 2 „Straftatenkatalog“ – insb. Terrorbekämpfung, Straftaten gegen höchstpersönliche Rechtsgüter)
  • Richtervorbehalt mit Verhältnismäßigkeitsprüfung (ohne Eilkompetenz der Staatsanwaltschaft)
  • Transparenz und Rechtsschutzmöglichkeiten des Betroffenen (grds. vorherige Benachrichtigungspflicht)
  • Hohe Anforderungen an den Datenschutz- und Datensicherheit bei den TK-Anbietern (Sicherheit nach dem Stand der Technik)
  • Löschungsverpflichtung nach Ablauf der Höchstspeicherfrist (Standortdaten nach 4 Wochen; Verkehrsdaten nach 10 Wochen)

Die in den Leitlinien dargestellten Anforderungen an die Vorratsdatenspeicherung bedeuten einen geringeren Eingriff in die Persönlichkeitsrechte der Betroffenen. Auffällig ist dabei, dass weniger Daten für einen kürzeren Zeitraum gespeichert werden. Dennoch brechen die Leitlinien den betonten strengen Schutz der Betroffenen partiell auf, zum Beispiel dann, wenn die Länder die Möglichkeit erhalten sollen, den Abruf von Verkehrsdaten in ihren Polizeigesetzen zu regeln. Nichtsdestotrotz wird wohl ohnehin noch einige Zeit vergehen bis der Gesetzesentwurf vorliegt, das Gesetz schließlich verabschiedet wird und es zur Anwendung durch Behörden und Gerichte kommt.

OVG Lüneburg: Überwachungskamera in privaten Bürogebäude ist zulässig

In seinem Urteil vom 29.9.2014 (Az. 11 LC 114/13 – Volltext hier abrufbar) hatte sich das Oberverwaltungsgericht (OVG) Lüneburg mit der datenschutzrechtlichen Zulässigkeit von Überwachungskameras in einem privaten Bürogebäude zu befassen.

Inhalt der Entscheidung

Hintergrund der Entscheidung war, dass sich in einem Gebäude mehrere vermietete Büros von Rechtsanwälten, Steuerberatern, Wirtschaftsprüfern sowie anderen Unternehmen befinden. Nachdem es dort zu Diebstählen von zwei Notebooks sowie mehreren Fällen von Graffiti-Vandalismus an der Außenwand gekommen ist, installierte die Eigentümerin und Verwalterin des Bürogebäudes dort insgesamt zehn Videokameras an verschiedenen Stellen im Inneren des Gebäudes. Hiergegen wendete sich der Landesbeauftragte für Datenschutz Niedersachsen. Dazu führte er aus, dass die Anlage gegen § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) verstoße, da weder eine Einwilligung der Betroffenen noch die Voraussetzungen des § 6b BDSG gegeben seien und untersagte den weiteren Betrieb. Hiergegen hat die Klägerin Klage erhoben.

Zuerst prüfte das OVG Lüneburg die Anwendbarkeit des BDSG. Es stellte fest, dass Fotos und Videoaufnahmen im Rahmen einer Videoüberwachung personenbezogene Daten im Sinne von § 3 Abs. 1 BDSG sind, da der Zweck der Videoüberwachung gerade darin bestehe, die auf den Bildern festgehaltenen Personen zu identifizieren, wenn dies für erforderlich gehalten werde.

  1. Bewertung nach dem BDSG

Nach § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten nur dann zulässig, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt, anordnet oder der Betroffene eingewilligt hat. Eine wirksame Einwilligung muss den Anforderungen des § 4a Abs. 1 BDSG genügen. Allein durch das Betreten des Gebäudes könne trotz Hinweisschilder jedoch noch nicht eine konkludente Einwilligung angenommen werden.

  1. Rechtfertigung 

Eine Rechtfertigung könne sich aber aus der gesetzlichen Norm des § 6b BDSG ergeben. Danach ist die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) unter den dort genannten Voraussetzungen zulässig. Die Videoüberwachung stelle schon deshalb ein „Beobachten“ in diesem Sinne dar, weil unter dem Merkmal die Sichtbarmachung von Geschehnissen und Personen mit Hilfe dazu geeigneter technischer Einrichtungen von einer gewissen Dauer zu verstehen sei. Da im vorliegenden Fall die Bildaufzeichnungen für einen bestimmten Zeitraum gespeichert werden, um die Möglichkeit der anlassbezogenen nachträglichen Inaugenscheinnahme der gespeicherten Videoaufnahmen zu gewährleisten, liege ein Beobachten in diesem Sinne unzweifelhaft vor.

Sodann prüft das Gericht, ob es sich bei dem Bürogebäude um einen öffentlich zugänglichen Raum handelt und bejaht dies im Ergebnis, da Zweck der Räumlichkeiten derjenige sei, dass sie durch Beschäftigte, Kunden und Zulieferer betreten werden. Daher seien alle Räume, die von der Videoüberwachung betroffen seien, als öffentlich zugänglicher Raum zu betrachten.

a)      Rechtfertigungstatbestände des § 6b Abs. 1 BDSG

Eine Rechtfertigung lässt sich aus § 6b Abs. 1 Nr. 2 BDSG herleiten, soweit die Videoüberwachung zur Wahrnehmung des Hausrechts erforderlich ist. Das Hausrecht beinhaltet die Befugnis, darüber zu entscheiden, wer ein Gebäude betreten und darin verweilen darf. Als Eigentümerin und Verwalterin des Gebäudes habe die Klägerin ein Interesse daran, ihr Eigentum zu schützen und den nicht berechtigten Personenkreis vom Betreten des Gebäudes fernzuhalten, damit auch die Mieter der Büroräume nicht zu Schaden kommen.

Zusätzlich könne sich die Klägerin auf den Zulässigkeitstatbestand der Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke berufen (§ 6b Abs. 1 Nr. 3 BDSG). Darunter sind neben rechtlichen auch alle tatsächlichen Interessen, welches auch wirtschaftlicher oder ideeller Art sein können, erfasst. Der Einsatz von Videotechnik zum Zwecke der Gefahrenabwehr sei regelmäßig von der Wahrnehmung berechtigter Interessen gerechtfertigt.

b)      Erforderlichkeit

Schließlich sei die Videoüberwachung und Speicherung über einen Zeitraum von zehn Tagen auch erforderlich, da sie zur Abschreckung von Störern und Straftätern geeignet und keine gleich wirksamen Mittel (insb. Einsatz von Wachpersonal) erkennbar seien. Dem stünden, insbesondere auch aufgrund der Ausgestaltung der Maßnahmen und dem damit einhergehenden geringen Eingriff in die Intimsphäre der Betroffenen, keine Anhaltspunkte für das Überwiegen schutzwürdiger Interessen der Betroffenen entgegen.

Im Ergebnis liegen die Voraussetzungen des § 6b BDSG insgesamt vor, sodass die Videoüberwachung des Bürogebäudes im Einklang mit den datenschutzrechtlichen Vorgaben erfolgt.

Auswirkungen für die Praxis

Das OVG Lüneburg prüft in seinem Urteil in ausführlicher Weise die Voraussetzungen an eine wirksame Installation von Überwachungskameras in einem öffentlich zugänglichen Bürogebäude und zeigt zugleich, welche Kriterien die Abwägungsentscheidungen beeinflussen können.

Das Gesetz bestimmt, dass die Daten unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen (§ 6b Abs. 5 BDSG). Findet eine Videoüberwachung mit Speicherung etwa zum Schutz gegen Diebstahl statt, so entfällt dieser Zweck, wenn sich nach Prüfung der Aufzeichnungen ergibt, dass es hierfür keine Anhaltspunkte gibt.

Das Gericht gibt mit seinem Urteil dem Anwender eine konkrete „zeitliche Grenze“ an die Hand, wonach eine Frist von bis zu zehn Wochentagen noch als unverzüglich im Sinne des § 6b Abs. 5 BDSG zu betrachten ist. Grundsätzlich wird man die im Urteil genannten Grundsätze auch auf die Räumlichkeiten anderer Berufsgruppen mit Publikumsverkehr (Arztpraxen, Tierärzte usw.) ausweiten können, muss allerdings dortige Besonderheiten im Datenschutzrecht bei der Interessensabwägung zwingend beachten.

Siehe auch: Urteil VG Ansbach zur sog. Dash-Cam

VG Ansbach: Dash-Cams nur unter bestimmten Voraussetzungen zulässig

Das VG Ansbach hatte sich am 12.08.2014 (Az. AN 4 K 13.01634 ) – soweit ersichtlich – als erstes deutsches Gericht mit der datenschutzrechtlichen Zulässigkeit von Dash-Cams auseinanderzusetzen und gab dabei den Datenschützern zumindest teilweise recht.

Der Einsatz sogenannter Dash-Cams nimmt in der vergangenen Zeit auch in Deutschland immer mehr zu, sodass es bloß Frage der Zeit blieb, bis sich die Rechtsprechung mit der Zulässigkeit befassen musste. Unter einer Dash-Cam werden kleine Videokameras verstanden, welche auf dem Armaturenbrett eines Fahrzeugs befestigt werden können. Der Verwender verspricht sich durch die Aufzeichnung des Straßenverkehrs, im Falle eines Verkehrsunfalls dessen Hergang nachvollziehen zu können, um etwaige Schadensersatzforderungen beweisen und geltend machen zu können.

Entscheidung des VG Ansbach

Dem Urteil des VG Ansbach liegt der Fall zugrunde, dass einem Fahrzeughalter der Betrieb einer Dash-Cam zur Aufzeichnung von Verkehrsverstößen anderer Verkehrsteilnehmer, durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) untersagt wurde. Hiergegen wendete der Fahrzeughalter ein, dass die Aufnahmen lediglich privaten Zwecken dienen, sodass das Bundesdatenschutzgesetzes (BDSG) erst gar nicht zur Anwendung gelangt (§ 1 Abs. 2 Nr. 3 BDSG) und klagte schließlich gegen den Bescheid.

Wenig überraschend hat das VG Ansbach die Zulässigkeit derartiger Dash-Cams nur unter engen Voraussetzungen für zulässig erachtet. Da im konkreten Fall die Aufzeichnungen der Beweissicherung dienen sollte, führte der Kammervorsitzende aus, dass eine Verwendung von Dash-Cams nur dann zulässig ist, wenn die Videos nicht an Dritte übermittelt werden. Als Dritte nannte er insbesondere die Zurverfügungstellung an die Polizei oder Plattformen im Internet wie YouTube und Facebook.

Damit stützt das Gericht die Begründung seiner Ausführungen auf den Anwendungsbereich des Bundesdatenschutzgesetzes. Gemäß § 1 Abs. 2 Nr. 3 BDSG findet dieses keine Anwendung, wenn die Aufzeichnung ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. Davon ist aber gerade dann nicht mehr auszugehen, wenn die Verwendung derartiger Kameras zur Dokumentation eines Verkehrsunfalls erfolgt.

Da das BDSG im hier vorgestellten Fall anwendbar ist, weist das Gericht schließlich zu Recht darauf hin, dass das Interesse des Verwenders einer Dash-Cam geringer zu gewichten ist, als das informationelle Selbstbestimmungsrecht der anderen Verkehrsteilnehmer, sich in der Öffentlichkeit frei zu bewegen, ohne befürchten zu müssen einer Videoüberwachung ausgesetzt zu sein.

Nichtsdestotrotz wurde das behördliche Verbot des BayLDA jedoch aufgrund formaler Fehler im Bescheid aufgehoben, weil der Verbotsbescheid nicht eindeutig formuliert gewesen gewesen ist.

Beschluss des Düsseldorfer Kreises

Schon der Düsseldorfer Kreis (Gremium aus den Aufsichtsbehörden des Bundes und der Länder für den Datenschutz) wies in seinem Beschluss vom 25./26. Februar 2014 darauf hin, dass er den Einsatz solcher Kameras für generell unzulässig hält. Die Verwendung könne nicht mit § 6b Abs. 1 Nr. 3 und Abs. 3 BDSG in Einklang gebracht werden.

Auswirkungen

Das VG Ansbach zieht mit seinem Urteil richtigerweise Grenzen für die Verwendung von Dash-Cams. Wäre die uneingeschränkte Verwendung von solchen Kameras zulässig, würde eine Ausuferung der Überwachung öffentlicher Bereiche, wie dem Straßenverkehr, drohen, was das nach Art. 2 Abs. 1 GG geschützte informationelle Selbstbestimmungsrecht der Betroffenen erheblich tangieren würde. Ob, wie vom Vorsitzenden der Kammer gefordert, der Gesetzgeber entsprechende Regelungen in das Gesetz aufnimmt, bleibt abzuwarten. Das VG Ansbach hat aufgrund der Bedeutung dieser Rechtsfrage die Berufung zugelassen.

 

Update:

Auch das Landgericht Heilbronn hatte sich in seinem Urteil vom 17.2.2015 (Az. I 3 S 19/14 – Volltext) mit Dash-Cams zu befassen. Es kam zu dem Ergebnis, dass die Aufzeichnungen einer im Fahrzeug installierten Dash-Cam nicht in einem Zivilprozess als Beweismittel zum Unfallhergang verwertet werden dürfen.

§ 28 Abs. 3 BDSG ist Marktverhaltensregel im Sinne des § 4 Nr. 11 UWG

Das OLG Köln hatte sich in seinem Urteil vom 17.1.2014 (Az. 6 U 167/13 – Volltext) insbesondere mit der datenschutzrechtlichen Zulässigkeit über die Verwendung von personenbezogenen Daten zu befassen, die ein Rechtsanwalt zur Mandatsgewinnung verwendet hat, die Kontaktdaten der angesprochenen potentiellen Mandate jedoch im Rahmen eines anderen Mandatsverhältnis erlangte.

Inhalt der Entscheidung

Der Antragsgegner, eine auf „Kapitalanlegerschutz“ spezialisierte Kanzlei, verschickte an Kapitalanleger eines Immobilienfonds ein Anschreiben. Darin wurde auf die kritische Lage des Fonds aufmerksam gemacht, verbunden mit der Bitte, einer Schutzgemeinschaft zur besseren Koordinierung der künftigen Entwicklungen beizutreten. In diesem Anschreiben wurde der Anleger auf einen Internetauftritt verwiesen, welcher die Spezialisierung der Kanzlei auf das Bank- und Kapitalmarktrecht besonders darstellt. Die personenbezogenen Daten der Empfänger des Schreibens erlangte der Antragsgegener im Zusammenhang mit einem gerichtlich durchgesetzten Auskunftsanspruchs bei der Vertretung rechtlicher Interessen eines Mitanlegers.

Hierin sah der Antragsteller insbesondere eine datenschutzrechtlich unzulässige Verwendung der Kontaktdaten der Anleger und machte einen Unterlassungsanspruch geltend, gegen den sich der Antragsgegner erfolgslos wehrte. Ein Unterlassungsanspruch kann insbesondere daraus hergeleitet werden, dass der Antragsgegner einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, vgl. § 4 Nr. 11 Gesetz gegen den unlauteren Wettbewerb (UWG).

a)      § 28 Abs. 3 BDSG als Marktverhaltensregelung

Hier knüpft das OLG Köln an und führt dazu aus, dass § 28 Abs. 3 Bundesdatenschutzgesetz (BDSG) deshalb als Marktverhaltensregel im Sinne des § 4 Nr. 11 UWG anzusehen sei, weil das BDSG nur eingeschränkte Erlaubnistatbestände für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten vorsehe. Soweit sich ein Marktteilnehmer auf einen solchen Erlaubnistatbestand berufe, um diese Erlaubnis für eigene Werbung zu nutzen, bezwecken die Grenzen, die das BDSG einem solchen Marktverhalten setzt, den Schutz des Betroffenen in seiner Stellung als Marktteilnehmer.

b)      Verstoß gegen § 28 Abs. 3 BDSG

Einen Verstoß gegen § 28 Abs. 3 BDSG leitet das OLG Köln daraus her, dass es in dem Schreiben an die Anleger eine „Werbung“ erkennt. Definiert wird der Begriff im BDSG nicht, lässt sich mit Rückgriff auf eine europäische Richtlinie aber als „jede Äußerung bei der Ausübung eines […] freien Berufs mit dem Ziel, […] die Erbringung von Dienstleistungen […] zu fördern“, begreifen, weshalb dieser allgemein weit und umfassend verstanden wird. Das Anschreiben einschließlich des vorbereiteten und beigefügten Antwortscheins („Möchten Sie von der Schutzgemeinschaft berate / vertreten werden?“), subsumiert das Gericht vor diesem Hintergrund unter den Begriff der Werbung. Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke der Werbung ist jedoch gemäß § 28 Abs. 3 S. 1 BDSG nur dann zulässig, wenn der Betroffene eingewilligt hat, woran es in dem Sachverhalt ermangelt. Die Verwendung der erlangten Daten ist somit zur Werbung um konkrete Mandate unzulässig.

Der Rückgriff auf andere Erlaubnistatbestände zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten (z.B. § 28 Abs. 1 S. 1 BDSG) ist nach herrschender Meinung, deren sich das Gericht schließlich angeschlossen hat, deshalb ausgeschlossen, weil § 28 Abs. 3 BDSG eine abschließende Spezialregelung für die Nutzung personenbezogener Daten für die Werbung darstellt.

Auswirkungen auf die Praxis

Die Mandatswerbung stellt für eine Kanzlei, die – wie jedes Unternehmen auch – auf die wirtschaftliche Optimierung ausgerichtet ist, einen wichtigen Bestandteil dar. Hierzu macht § 43b Bundesrechtsanwaltsordnung (BRAO) bereits spezielle Vorgaben. Wie das OLG Köln in seinem Urteil festgestellt hat, treten daneben auch das UWG sowie das BDSG einschränkend hinzu. Die schwierige Abgrenzung einer legitimen Kontaktaufnahme mit weiteren Anlegern, bei der unzweifelhaft auch ein Werbeeffekt des Rechtsanwalts hervorgerufen wird und der hierüber hinausgehenden Werbung erfordert eine sorgfältige Prüfung über die Zulässigkeit einer Kontaktaufnahme im Einzelfall. Das gilt nicht nur für den hier dargestellten Fall, sondern immer dann, wenn Daten außerhalb ihres ursprünglichen Zwecks verwendet werden sollen. Dem Rechtsanwalt, welcher aus einem bestehenden Mandatsverhältnisse Kenntnis über mögliche Gruppen potentieller neuer Mandanten erlangt, wird die Kontaktaufnahme zur Akquise aus datenschutzrechlichen Gründen dadurch jedenfalls verwehrt.

LG Berlin: WhatsApp muss Datenschutzerklärung den Nutzern in deutscher Sprache zur Verfügung stellen

Mit Versäumnisurteil vom 9.5.2014 (Az. 15 O 44/13 – Volltext abrufbar über vzbv) entschied das LG Berlin nach einer Klage durch den Verbraucherzentrale Bundesverband (vzbv), dass WhatsApp, ein Messenger-Anbieter, der ermöglicht, Nachrichten zwischen Smartphones in Echtzeit zu versenden, seine Datenschutzerklärung dem Nutzer auf deutsch zur Verfügung stellen muss. Daneben rügte das Gericht die unzureichenden Angaben, die der Messenger-Anbieter auf seiner Internetseite verfügbar hält.

Inhalt der Entscheidung

Englischsprachige Datenschutzerklärung

Der vzbv beanstandete die Website der Beklagten, da die unter dem Link „Datenschutz & AGB“ enthaltenen Allgemeinen Geschäftsbedingungen (AGB) und Datenschutzerklärung nur in englischer Sprache abgefasst worden seien, obwohl ansonsten der Kunde auf der Internetseite in deutscher Sprache angesprochen werde. Nachdem der Kläger zwei erfolglos gebliebene Abmahnungen aussprach, erhob er hierauf Klage vor dem zuständigen LG Berlin.

Das Gericht folgte der Auffassung des Klägers. Denn lediglich durch die Bereitstellung der in den AGB enthaltenen Datenschutzhinweisen enthaltenen Informationen in englischer Sprache kann nicht davon ausgegangen werden, dass die in Deutschland angesprochenen Kunden hinreichende Kenntnis vom Inhalt erlangen können.

Impressumspflicht

Daneben liegt nach Auffassung des LG Berlin auch ein Verstoß gegen die Impressumspflicht aus § 5 Abs. 1 TMG vor. Danach hat der Dienstanbieter die in der Vorschrift näher bestimmten Informationspflichten verfügbar zu machen. Diese dienen in erster Linie dazu, dass der Nutzer im Falle von Beschwerden auf einfache Möglichkeit mit dem Unternehmen in Kontakt treten kann. Um dies zu gewährleisten, nennt der Gesetzgeber Mindestangaben, die der Dienstanbieter zur Verfügung stellen muss. Auf der Internetseite von WhatsApp fehlen jedoch insbesondere die Postanschrift sowie ein zweiter Kommunikationsweg neben der E-Mail-Adresse.

Auswirkungen

Aus verbraucherrechtlicher Sicht ist das Urteil des LG Berlin begrüßenswert, sind doch auch AGB im grenzüberschreitenden Rechtsverkehr mit dem Verbraucher auf Deutsch abzufassen, wenn sich das Angebot (auch) an Kunden in Deutschland richtet.

Im vorliegenden Urteil war die Datenschutzerklärung jedenfalls den AGB zugeordnet. Bereits zuvor vertrat das LG Berlin Auffassung, dass bei einer Einbindung der Datenschutzbestimmungen in den Vertrag, diese als AGB der Inhaltskontrolle nach § 307ff. BGB unterfallen (siehe den Beitrag auf dieser Webseite).

Gleichwohl beansprucht das Urteil auch dann Geltung, wenn die Datenschutzhinweise eigenständig zu betrachten sind. Denn Rechtsgrundlage für die als Datenschutzerklärung bezeichnete Unterrichtung ist § 13 Abs. 1 TMG. Danach muss der Dienstanbieter in „allgemein verständlicher Form“ unterrichten, also die tatsächliche Verständlichkeit für den Durchschnittsnutzer gewährleisten. Wie das Gericht in seinem Urteil richtigerweise ausführt, kann grundsätzlich nicht von vornherein erwartet werden, dass Kunden in Deutschland als Empfänger einer Erklärung in englischer (Rechts-) Sprache diese ohne Weiteres verstehen werden.

Richtet ein Unternehmen mit Sitz im Ausland seine Waren oder Dienstleistungen an Kunden in Deutschland, sollte daher genau geprüft werden, ob der Dienstanbieter davon ausgehen kann, dass der Nutzer die Informationen versteht. Dies gilt umso mehr, wenn diese in den AGB enthalten sind, da andernfalls keine wirksame Einbeziehung in den Vertrag vorliegt.

Neben Google, Apple (jeweils Beiträge auf dieser Seite) und Facebook reiht sich nun WhatsApp zu den US-amerikanischen Unternehmen ein, welche allesamt nach einer Klage durch den vzbv vom LG Berlin aufgrund Fehler in den Datenschutz- oder Nutzungsbedingungen verurteilt wurden. Wird das Urteil rechtskräftig, muss WhatsApp insbesondere eine deutschsprachige Datenschutzerklärung verwenden sowie ein vollständiges Impressum bereithalten.

Hält sich WhatsApp nach Rechtskraft nicht an das Urteil, droht ein Ordnungsgeld. Gleichzeitig dürfte sich die kürzlich geführte Diskussion über die Reichweite der durch WhatsApp eingeräumten Nutzungsrechte hinsichtlich von versendeten Bildern zugunsten der Nutzer auflösen.

Düsseldorfer Kreis legt Voraussetzungen für Smart TV fest

Hintergrund

Bei den sogenannten Smart TV Geräten handelt es sich um Fernsehgeräte, die mit Zusatzschnittstellen, wie zum Beispiel W-LAN ausgestattet sind. Dadurch wird dem Nutzer zumeist über Apps, ähnlich wie dies aus dem Smartphone-Bereich bekannt ist, ermöglicht, eine Verbindung zum Internet aufzubauen. So lassen sich insbesondere mittels Online-Videotheken on-demand die gewünschte Sendungen abrufen.

Neben diesen von Nutzern offenbar nachgefragten Anwendungsmöglichkeiten entsteht durch die Internetverbindung gleichzeitig auch ein Rückkanal vom Zuschauer zum Fernsehsender, zum Endgerätehersteller oder zu sonstigen Dritten. Dadurch lässt sich das individuelle Nutzungsverhalten erfassen und auswerten, was in der Regel dem Nutzer insbesondere dann missfallen dürfte, wenn er davon keine Kenntnis hat.

Eben diese Möglichkeit soll eingeschränkt werden. Der Düsseldorfer Kreis, ein Gremium der obersten Aufsichtsbehörden im nicht-öffentlichen Bereich, der die Ergebnisse seiner Zusammentreffen in Beschlüssen bekannt macht, hat sich nun zu der Frage geäußert, welche Anforderungen hinsichtlich des Datenschutzes beim Smart TV zu beachten sind. Diese wurden im Beschluss vom 26.02.2014 nun unter dem Titel „Smartes Fernsehen nur mit smartem Datenschutz“ (PDF hier abrufbar) veröffentlicht.

Voraussetzungen des Düsseldorfer Kreises

Eine Profilbildung über das individuelle Fernsehverhalten ist grundsätzlich unzulässig. Daher muss zunächst sicher gestellt werden, dass die anonyme Nutzung von Fernsehangeboten möglich ist.

Des Weiteren unterliegen Webdienste dem Anwendungsbereich des Telemediengesetzes (TMG). Dies gilt entsprechend für die Nutzung von Smart-TV. Endgeräthersteller, Sender sowie alle sonstigen Anbieter von Telemedien müssen dementsprechend die datenschutzrechlichen Anforderungen des TMG beachten. Namentlich umfasst dies vor allem die §§ 13, 15 TMG. Liegt keine Einwilligung des Betroffenen vor, darf die Erhebung und Verwendung von personenbezogenen Daten nur in den engen Grenzen des § 15 TMG erfolgen.

Auch soll nach Auffassung des Düsseldorfer Kreises das Prinzip „privacy by default“ beachtet werden. Demnach sollen die Werkseinstellungen der Geräte so gestaltet werden, dass eine anonyme Nutzung des Fernsehens möglich ist. Eine wechselseitige Kommunikation dürfe erst nach einer umfassenden Information durch die Nutzer selbst initiiert werden.

Schließlich sollen nach Auffassung der obersten Aufsichtsbehörden die Geräte über sicherheitstechnische Mechanismen verfügen, damit die Geräte beim Datenverkehr vor dem Zugriff unbefugter Dritter geschützt sind.

Fazit

Nur wenn diese vier Anforderungen kumulativ erfüllt werden, steht nach Auffassung des Düsseldorfer Kreises der Nutzung von Smart-TV aus datenschutzrechtlicher Sicht nichts entgegen. Inwieweit die Hersteller von Smart-TV diesen Anforderungen nachkommen werden, bleibt abzuwarten.

EuGH: Datenverarbeitung durch Muttergesellschaft erfolgt “im Rahmen der Tätigkeit” einer werbenden Tochtergesellschaft

Mit Urteil vom 13.5.2014 (Az. C-131/12, Volltext) hat sich der EuGH in einem Vorabentscheidungsverfahren überraschend zur Reichweite des Merkmals der Datenverarbeitung “im Rahmen der Tätigkeiten einer Niederlassung” im Sinne des Art. 4 Abs. 1 Buchst. a DSRL geäußert. Um eine solche Tätigkeit handele es sich, wenn die Muttergesellschaft Daten verarbeitet, die im engen Zusammenhang mit der Werbetätigkeit der Niederlassung (Tochtergesellschaft) stehen. Das Urteil, das sich im Kern mit der Pflicht eines Suchmaschinenbetreibers zur Löschung von Links aus seinen Indizes befasst, dürfte auch für die Datenverarbeitung in anderen Social Media die Werbeflächen unterhalten, vor allem soziale Netzwerke, erhebliche Bedeutung erlangen.
Weiterlesen