Kategorie-Archiv: Düsseldorfer Kreis

EuGH: Safe-Harbor-Entscheidung mit den USA ungültig

Der EuGH folgte in der Sache C-362/14 (M. Schrems v. Data Protection Commissioner [Facebook] – Volltext) in seiner Entscheidung vom 6.10.2015 den Schlussanträgen (siehe Beitrag auf dieser Website) des Generalanwalts Bot. Demnach ist die Übermittlung von personenbezogenen Daten von Nutzern in Europa in die USA nicht schon auf Grundlage der sog. Safe-Harbor-Entscheidung (2000/520/EG v. 26.7.2000) durch ein „angemessenes Schutzniveau“ geschützt. Die Safe-Harbor-Entscheidung der EU-Kommission ist vielmehr ungültig, und die Datenschutzbehörden der befassten Mitgliedsstaaten sind befugt eigenständig zu prüfen, inwiefern für die USA ein sog. „angemessenes Schutzniveau“ besteht.

Inhalt des Urteils

Die Richtlinie 95/46/EG (Richtlinie des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281, S. 31 ff) regelt, dass eine Übermittlung von personenbezogenen Daten in ein sog. Drittland (ein Staat außerhalb von EU/EWR) nur zulässig ist, wenn dieses Drittland ein „angemessenes“ Schutzniveau der Daten gewährleistet. Nach der Richtlinie ist die Kommission legitimiert zu bestimmen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, etwa aufgrund des innerstaatlichen Rechts oder internationaler Verpflichtungen. Letztere ist die sog. Safe-Harbor-Entscheidung (näher: Beitrag auf dieser Website).

Der EuGH führt in dem Urteil vom 6.10.2015 aus, dass eine Aufsichtsbehörde aufgrund der Vermutung der Rechtmäßigkeit von Rechtsakten solange keine zuwiderlaufende Maßnahme gegen die Safe-Harbor-Entscheidung treffen könne, wie die Entscheidung der Kommission vom Gerichtshof nicht für ungültig erklärt werde. Aus diesem Grunde „ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese […] um eine Vorabentscheidung über deren Gültigkeit ersuchen.“ Denn der Aufsichtsbehörde müsse – trotz einer Entscheidung der Kommission – die Möglichkeit bleiben, in völliger Unabhängigkeit prüfen zu können, ob bei der Übermittlung von Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Daher könne eine Entscheidung der Kommission (hier: Safe-Harbor-Entscheidung), die Aufsichtsbehörde nicht an der Kontrolle der Übermittlung personenbezogener Daten in Drittländer hindern.

Sodann prüft der EuGH die Gültigkeit der Safe-Harbor-Entscheidung und erklärt diese für ungültig. Er beanstandet u.a., dass die Safe-Harbor-Entscheidung nur für Unternehmen mit Sitz in den USA gelte, nicht aber für die Behörden innerhalb der USA. Darüber hinaus werde den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Vorrang vor den Grundsätzen der Safe-Harbor-Entscheidung eingeräumt, weshalb die Unternehmen in den USA „ohne jede Einschränkung verpflichtet [sind], die Grundsätze […] unangewandt zu lassen“, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Dadurch werde ein Eingriff der US Behörden in die Grundrechte der Personen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden, ermöglicht. Hinzu komme das fehlende Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe, wie der Generalanwalt in seinen Schlussanträgen ausgeführt habe.

Schließlich fehle die Möglichkeit des Betroffenen mittels gerichtlichen Rechtsbehelfen den Zugang zu den ihn betreffenden Daten zu erhalten und ggf. deren Berichtigung oder Löschung zu erwirken, was den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletze.
Die Entscheidung trifft die Meinung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 18./19.3.2015, die gemäß ihrer Entschließung ebenfalls auf dem Standpunkt steht, dass Safe-Harbor kein angemessenes Schutzniveau gewährleistet.

Folgen des Urteils

Die irische Datenschutzbehörde muss nun die Beschwerde von Herrn Schrems prüfen, was sie im Prüfungsverfahren abgelehnt hatte. Stellt sie fest, dass die USA kein angemessenes Schutzniveau im Sinne der Richtlinie aufweist, hat sie die Übermittlung der personenbezogenen Daten der europäischen Nutzer des Social-Media-Anbieters Facebook in die USA auszusetzen. Denkbar ist aber auch, dass die irische Datenschutzbehörde ein angemessenes Schutzniveau feststellt, was Herrn Schrems wahrscheinlich dazu bewegen wird, das Verfahren weiter zu betreiben und erneut den High Court anzurufen, sofern eine beschwerdefähige Entscheidung ergeht.

Aus alledem folgt, dass nationale Aufsichtsbehörden innerhalb der EU die Übermittlung europäischer Daten auf US-Server verbieten können. Das Urteil wirkt sich nicht nur auf personenbezogene Daten der Facebook-Nutzer aus, sondern betrifft sämtliche der mehr als 4.000 Unternehmen mit Sitz in den USA, die sich dem Safe-Harbor-Abkommen im Wege einer Selbstzertifizierung unterworfen haben. Dies führt dazu, dass sie eine neue rechtliche Grundlage benötigen oder ein neues Abkommen zwischen der EU und den USA geschaffen werden muss, sofern nicht im Einzelfall unter Nutzung der EU Model Contracts vorgegangen wird. Die einzuhaltenden Grundsätze hat der EuGH in seinem Urteil skizziert. Das Urteil trifft vor allem kleinere Unternehmen, die sich bislang auf die Safe-Harbor-Entscheidung verlassen haben. Unternehmen müssen nun die Zulässigkeit der Datenübermittlung prüfen und auf andere Weise sicherstellen.

 

VG Ansbach: Dash-Cams nur unter bestimmten Voraussetzungen zulässig

Das VG Ansbach hatte sich am 12.08.2014 (Az. AN 4 K 13.01634 ) – soweit ersichtlich – als erstes deutsches Gericht mit der datenschutzrechtlichen Zulässigkeit von Dash-Cams auseinanderzusetzen und gab dabei den Datenschützern zumindest teilweise recht.

Der Einsatz sogenannter Dash-Cams nimmt in der vergangenen Zeit auch in Deutschland immer mehr zu, sodass es bloß Frage der Zeit blieb, bis sich die Rechtsprechung mit der Zulässigkeit befassen musste. Unter einer Dash-Cam werden kleine Videokameras verstanden, welche auf dem Armaturenbrett eines Fahrzeugs befestigt werden können. Der Verwender verspricht sich durch die Aufzeichnung des Straßenverkehrs, im Falle eines Verkehrsunfalls dessen Hergang nachvollziehen zu können, um etwaige Schadensersatzforderungen beweisen und geltend machen zu können.

Entscheidung des VG Ansbach

Dem Urteil des VG Ansbach liegt der Fall zugrunde, dass einem Fahrzeughalter der Betrieb einer Dash-Cam zur Aufzeichnung von Verkehrsverstößen anderer Verkehrsteilnehmer, durch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) untersagt wurde. Hiergegen wendete der Fahrzeughalter ein, dass die Aufnahmen lediglich privaten Zwecken dienen, sodass das Bundesdatenschutzgesetzes (BDSG) erst gar nicht zur Anwendung gelangt (§ 1 Abs. 2 Nr. 3 BDSG) und klagte schließlich gegen den Bescheid.

Wenig überraschend hat das VG Ansbach die Zulässigkeit derartiger Dash-Cams nur unter engen Voraussetzungen für zulässig erachtet. Da im konkreten Fall die Aufzeichnungen der Beweissicherung dienen sollte, führte der Kammervorsitzende aus, dass eine Verwendung von Dash-Cams nur dann zulässig ist, wenn die Videos nicht an Dritte übermittelt werden. Als Dritte nannte er insbesondere die Zurverfügungstellung an die Polizei oder Plattformen im Internet wie YouTube und Facebook.

Damit stützt das Gericht die Begründung seiner Ausführungen auf den Anwendungsbereich des Bundesdatenschutzgesetzes. Gemäß § 1 Abs. 2 Nr. 3 BDSG findet dieses keine Anwendung, wenn die Aufzeichnung ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. Davon ist aber gerade dann nicht mehr auszugehen, wenn die Verwendung derartiger Kameras zur Dokumentation eines Verkehrsunfalls erfolgt.

Da das BDSG im hier vorgestellten Fall anwendbar ist, weist das Gericht schließlich zu Recht darauf hin, dass das Interesse des Verwenders einer Dash-Cam geringer zu gewichten ist, als das informationelle Selbstbestimmungsrecht der anderen Verkehrsteilnehmer, sich in der Öffentlichkeit frei zu bewegen, ohne befürchten zu müssen einer Videoüberwachung ausgesetzt zu sein.

Nichtsdestotrotz wurde das behördliche Verbot des BayLDA jedoch aufgrund formaler Fehler im Bescheid aufgehoben, weil der Verbotsbescheid nicht eindeutig formuliert gewesen gewesen ist.

Beschluss des Düsseldorfer Kreises

Schon der Düsseldorfer Kreis (Gremium aus den Aufsichtsbehörden des Bundes und der Länder für den Datenschutz) wies in seinem Beschluss vom 25./26. Februar 2014 darauf hin, dass er den Einsatz solcher Kameras für generell unzulässig hält. Die Verwendung könne nicht mit § 6b Abs. 1 Nr. 3 und Abs. 3 BDSG in Einklang gebracht werden.

Auswirkungen

Das VG Ansbach zieht mit seinem Urteil richtigerweise Grenzen für die Verwendung von Dash-Cams. Wäre die uneingeschränkte Verwendung von solchen Kameras zulässig, würde eine Ausuferung der Überwachung öffentlicher Bereiche, wie dem Straßenverkehr, drohen, was das nach Art. 2 Abs. 1 GG geschützte informationelle Selbstbestimmungsrecht der Betroffenen erheblich tangieren würde. Ob, wie vom Vorsitzenden der Kammer gefordert, der Gesetzgeber entsprechende Regelungen in das Gesetz aufnimmt, bleibt abzuwarten. Das VG Ansbach hat aufgrund der Bedeutung dieser Rechtsfrage die Berufung zugelassen.

 

Update:

Auch das Landgericht Heilbronn hatte sich in seinem Urteil vom 17.2.2015 (Az. I 3 S 19/14 – Volltext) mit Dash-Cams zu befassen. Es kam zu dem Ergebnis, dass die Aufzeichnungen einer im Fahrzeug installierten Dash-Cam nicht in einem Zivilprozess als Beweismittel zum Unfallhergang verwertet werden dürfen.

Düsseldorfer Kreis legt Voraussetzungen für Smart TV fest

Hintergrund

Bei den sogenannten Smart TV Geräten handelt es sich um Fernsehgeräte, die mit Zusatzschnittstellen, wie zum Beispiel W-LAN ausgestattet sind. Dadurch wird dem Nutzer zumeist über Apps, ähnlich wie dies aus dem Smartphone-Bereich bekannt ist, ermöglicht, eine Verbindung zum Internet aufzubauen. So lassen sich insbesondere mittels Online-Videotheken on-demand die gewünschte Sendungen abrufen.

Neben diesen von Nutzern offenbar nachgefragten Anwendungsmöglichkeiten entsteht durch die Internetverbindung gleichzeitig auch ein Rückkanal vom Zuschauer zum Fernsehsender, zum Endgerätehersteller oder zu sonstigen Dritten. Dadurch lässt sich das individuelle Nutzungsverhalten erfassen und auswerten, was in der Regel dem Nutzer insbesondere dann missfallen dürfte, wenn er davon keine Kenntnis hat.

Eben diese Möglichkeit soll eingeschränkt werden. Der Düsseldorfer Kreis, ein Gremium der obersten Aufsichtsbehörden im nicht-öffentlichen Bereich, der die Ergebnisse seiner Zusammentreffen in Beschlüssen bekannt macht, hat sich nun zu der Frage geäußert, welche Anforderungen hinsichtlich des Datenschutzes beim Smart TV zu beachten sind. Diese wurden im Beschluss vom 26.02.2014 nun unter dem Titel „Smartes Fernsehen nur mit smartem Datenschutz“ (PDF hier abrufbar) veröffentlicht.

Voraussetzungen des Düsseldorfer Kreises

Eine Profilbildung über das individuelle Fernsehverhalten ist grundsätzlich unzulässig. Daher muss zunächst sicher gestellt werden, dass die anonyme Nutzung von Fernsehangeboten möglich ist.

Des Weiteren unterliegen Webdienste dem Anwendungsbereich des Telemediengesetzes (TMG). Dies gilt entsprechend für die Nutzung von Smart-TV. Endgeräthersteller, Sender sowie alle sonstigen Anbieter von Telemedien müssen dementsprechend die datenschutzrechlichen Anforderungen des TMG beachten. Namentlich umfasst dies vor allem die §§ 13, 15 TMG. Liegt keine Einwilligung des Betroffenen vor, darf die Erhebung und Verwendung von personenbezogenen Daten nur in den engen Grenzen des § 15 TMG erfolgen.

Auch soll nach Auffassung des Düsseldorfer Kreises das Prinzip „privacy by default“ beachtet werden. Demnach sollen die Werkseinstellungen der Geräte so gestaltet werden, dass eine anonyme Nutzung des Fernsehens möglich ist. Eine wechselseitige Kommunikation dürfe erst nach einer umfassenden Information durch die Nutzer selbst initiiert werden.

Schließlich sollen nach Auffassung der obersten Aufsichtsbehörden die Geräte über sicherheitstechnische Mechanismen verfügen, damit die Geräte beim Datenverkehr vor dem Zugriff unbefugter Dritter geschützt sind.

Fazit

Nur wenn diese vier Anforderungen kumulativ erfüllt werden, steht nach Auffassung des Düsseldorfer Kreises der Nutzung von Smart-TV aus datenschutzrechtlicher Sicht nichts entgegen. Inwieweit die Hersteller von Smart-TV diesen Anforderungen nachkommen werden, bleibt abzuwarten.

Düsseldorfer Kreis: Orientierungshilfe für regulierte Selbstregulierung veröffentlicht

Der Düsseldorfer Kreis (Zusammenschluss der Aufsichtsbehörden zum Datenschutz in Deutschland) hat eine “Orientierungshilfe der Datenschutzaufsichtsbehörden für den Umgang mit Verhaltensregeln nach § 38a BDSG” (PDF) veröffentlicht.

§ 38a BDSG erlaubt die Vorlage von Entwürfen für Verhaltensregeln an die Aufsichtsbehörde, die deren Vereinbarkeit mit geltendem Recht überprüft. Damit wird die Möglichkeit zur Schaffung datenschutzrechtlicher Verhaltenskodizes als “Vollzugsregelungen” geschaffen, dies freilich nur in sehr rudimentärer Form, ohne dass die Anforderungen an derartige Verhaltenskodizes festgelegt und die Bedeutung der Prüfung durch die Aufsichtsbehörden durch § 38a BDSG geregelt wird.

Um diese Lücken der gesetzlichen Regelung zu schließen, konkretisiert die Orientierungshilfe zunächst den Begriff der Verhaltensregel:

Konkret folgt daraus, dass durch Verhaltensregeln insbesondere unbestimmte Rechtsbegriffe, Ermessenskriterien, Musterklauseln, verfahrensrechtliche Vorkehrungen, Vorgaben für die Bearbeitung von Betroffenenrechten oder technisch organisatorische Maßnahmen festgelegt werden können.”

Zu einer Erhöhung des Datenschutzniveaus über die gesetzlichen Standards hinaus müssen Verhaltensregeln damit nach dem Düsseldorfer Kreis nicht (mehr) führen.

Wird die Verhaltensregel “anerkannt” ist damit die

“Feststellung der Rechtskonformität der Verhaltensregeln”

verbunden. Unternehmen, die sich an derartige Verhaltensregeln halten, können nach einer solchen Anerkennung davon ausgehen, sich datenschutzkonform zu verhalten und hierauf ggf. auch in ihrem Außenauftritt werblich hinweisen. Die Erarbeitung solcher Verhaltensregeln kann demnach für die hiervon profitierenden Unternehmen zur Beseitigung von Unklarheiten bei der Anwendung der sehr allgemein gehaltenen datenschutzrechtlichen Bestimmungen und damit der Schaffung von Rechtsklarheit führen.

Düsseldorfer Kreis: Anwendungshinweise zum Umgang mit personenbezogenen Daten für werbliche Zwecke

Der Düsseldorfer Kreis hat im Dezember 2013 “Anwendungshinweise der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung personenbezogener Zwecke für werbliche Zwecke” (Download PDF) veröffentlicht. Diese Anwendungshinweise sind “als beschlossen anzusehen”, aber gleichwohl bei der Beurteilung konkreter Maßnahmen durch die Datenschutzaufsichtsbehörden rechtlich nicht verbindlich.

Die Anwendungshinweise befassen sich mit der Gestaltung der Einwilligung, ferner der Abgrenzung der gesetzlichen Erlaubnistatbestände in § 28 BDSG, insb. der Werbung mit Listendaten, sowie dem Zusammenspiel von § 28 Abs. 1,  Abs. 3 BDSG mit § 7 UWG. Daneben wird die Rechtsprechung der letzten Jahre zur Einwilligung ausgewertet.

Zweistufige Datenschutzprüfung bei Datenübermittlung in Drittstaaten

Der Zusammenschluss der Aufsichtsbehörden über den Datenschutz im nicht-öffentlichen Bereich, der sog. Düsseldorfer Kreis, hat am 11./12. September 2013 beschlossen (Beschluss Volltext, PDF), dass Datenübermittlungen in Staaten außerhalb der EU/des EWR in zwei Stufen zu prüfen sind:

Zunächst ist auf der ersten Stufe zu prüfen, ob die Datenübermittlung gerechtfertigt ist. Dies kann durch Einwilligung der betroffenen Person oder durch Gesetz geschehen, vgl. § 4 Abs. 1 BDSG. Insoweit gelten die allgemeinen Datenschutzvorschriften. Allerdings gilt bei einer Auftragsdatenverarbeitung nicht die Privilegierung des § 11 BDSG, vgl. § 3 Abs. 7 BDSG am Ende. Als Prüfungsmaßstab ist hierbei vielmehr § 28 Abs. 1 S. 1 Nr. 2 BDSG anzulegen bzw. § 28 Abs. 6 ff. BGB bei sensiblen Daten. Sodann ist auf der zweiten Stufe zu prüfen, ob im entsprechenden Drittstaat ein ausreichendes Datenschutzniveau besteht oder ob eine Ausnahme nach § 4c BDSG vorliegt. Nur wenn beide Stufen positiv geprüft werden, ist die Datenübermittlung zulässig.

Mit diesem Beschluss hat der Düsseldorfer Kreis letztlich nur die gesetzliche Systematik in einen kurzen einseitigen Hinweis formuliert. Neuigkeiten sind mit dem Beschluss für Unternehmen, die personenbezogene Daten in Drittstaaten übermitteln oder dort sonst erheben, verarbeiten oder nutzen, nicht verbunden.