Schlagwort-Archiv: Facebook

EuGH: Safe-Harbor-Entscheidung mit den USA ungültig

Der EuGH folgte in der Sache C-362/14 (M. Schrems v. Data Protection Commissioner [Facebook] – Volltext) in seiner Entscheidung vom 6.10.2015 den Schlussanträgen (siehe Beitrag auf dieser Website) des Generalanwalts Bot. Demnach ist die Übermittlung von personenbezogenen Daten von Nutzern in Europa in die USA nicht schon auf Grundlage der sog. Safe-Harbor-Entscheidung (2000/520/EG v. 26.7.2000) durch ein „angemessenes Schutzniveau“ geschützt. Die Safe-Harbor-Entscheidung der EU-Kommission ist vielmehr ungültig, und die Datenschutzbehörden der befassten Mitgliedsstaaten sind befugt eigenständig zu prüfen, inwiefern für die USA ein sog. „angemessenes Schutzniveau“ besteht.

Inhalt des Urteils

Die Richtlinie 95/46/EG (Richtlinie des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281, S. 31 ff) regelt, dass eine Übermittlung von personenbezogenen Daten in ein sog. Drittland (ein Staat außerhalb von EU/EWR) nur zulässig ist, wenn dieses Drittland ein „angemessenes“ Schutzniveau der Daten gewährleistet. Nach der Richtlinie ist die Kommission legitimiert zu bestimmen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, etwa aufgrund des innerstaatlichen Rechts oder internationaler Verpflichtungen. Letztere ist die sog. Safe-Harbor-Entscheidung (näher: Beitrag auf dieser Website).

Der EuGH führt in dem Urteil vom 6.10.2015 aus, dass eine Aufsichtsbehörde aufgrund der Vermutung der Rechtmäßigkeit von Rechtsakten solange keine zuwiderlaufende Maßnahme gegen die Safe-Harbor-Entscheidung treffen könne, wie die Entscheidung der Kommission vom Gerichtshof nicht für ungültig erklärt werde. Aus diesem Grunde „ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese […] um eine Vorabentscheidung über deren Gültigkeit ersuchen.“ Denn der Aufsichtsbehörde müsse – trotz einer Entscheidung der Kommission – die Möglichkeit bleiben, in völliger Unabhängigkeit prüfen zu können, ob bei der Übermittlung von Daten die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Daher könne eine Entscheidung der Kommission (hier: Safe-Harbor-Entscheidung), die Aufsichtsbehörde nicht an der Kontrolle der Übermittlung personenbezogener Daten in Drittländer hindern.

Sodann prüft der EuGH die Gültigkeit der Safe-Harbor-Entscheidung und erklärt diese für ungültig. Er beanstandet u.a., dass die Safe-Harbor-Entscheidung nur für Unternehmen mit Sitz in den USA gelte, nicht aber für die Behörden innerhalb der USA. Darüber hinaus werde den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Vorrang vor den Grundsätzen der Safe-Harbor-Entscheidung eingeräumt, weshalb die Unternehmen in den USA „ohne jede Einschränkung verpflichtet [sind], die Grundsätze […] unangewandt zu lassen“, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Dadurch werde ein Eingriff der US Behörden in die Grundrechte der Personen, deren personenbezogene Daten aus der Union in die Vereinigten Staaten übermittelt werden, ermöglicht. Hinzu komme das fehlende Bestehen eines wirksamen gerichtlichen Rechtsschutzes gegen derartige Eingriffe, wie der Generalanwalt in seinen Schlussanträgen ausgeführt habe.

Schließlich fehle die Möglichkeit des Betroffenen mittels gerichtlichen Rechtsbehelfen den Zugang zu den ihn betreffenden Daten zu erhalten und ggf. deren Berichtigung oder Löschung zu erwirken, was den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletze.
Die Entscheidung trifft die Meinung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 18./19.3.2015, die gemäß ihrer Entschließung ebenfalls auf dem Standpunkt steht, dass Safe-Harbor kein angemessenes Schutzniveau gewährleistet.

Folgen des Urteils

Die irische Datenschutzbehörde muss nun die Beschwerde von Herrn Schrems prüfen, was sie im Prüfungsverfahren abgelehnt hatte. Stellt sie fest, dass die USA kein angemessenes Schutzniveau im Sinne der Richtlinie aufweist, hat sie die Übermittlung der personenbezogenen Daten der europäischen Nutzer des Social-Media-Anbieters Facebook in die USA auszusetzen. Denkbar ist aber auch, dass die irische Datenschutzbehörde ein angemessenes Schutzniveau feststellt, was Herrn Schrems wahrscheinlich dazu bewegen wird, das Verfahren weiter zu betreiben und erneut den High Court anzurufen, sofern eine beschwerdefähige Entscheidung ergeht.

Aus alledem folgt, dass nationale Aufsichtsbehörden innerhalb der EU die Übermittlung europäischer Daten auf US-Server verbieten können. Das Urteil wirkt sich nicht nur auf personenbezogene Daten der Facebook-Nutzer aus, sondern betrifft sämtliche der mehr als 4.000 Unternehmen mit Sitz in den USA, die sich dem Safe-Harbor-Abkommen im Wege einer Selbstzertifizierung unterworfen haben. Dies führt dazu, dass sie eine neue rechtliche Grundlage benötigen oder ein neues Abkommen zwischen der EU und den USA geschaffen werden muss, sofern nicht im Einzelfall unter Nutzung der EU Model Contracts vorgegangen wird. Die einzuhaltenden Grundsätze hat der EuGH in seinem Urteil skizziert. Das Urteil trifft vor allem kleinere Unternehmen, die sich bislang auf die Safe-Harbor-Entscheidung verlassen haben. Unternehmen müssen nun die Zulässigkeit der Datenübermittlung prüfen und auf andere Weise sicherstellen.

 

Generalanwalt EuGH: Safe-Harbor steht nicht über der Entscheidungsbefugnis nationaler Aufsichtsbehörden

In seinem Schlussantrag in der Sache C-362/14 (M. Schrems v. Data Protection Commissioner [Facebook], veröffentlicht am 23.09.2015 – Volltext) äußert der Generalanwalt am EuGH, Yves Bot, die Auffassung, dass die sog. Safe-Harbor-Entscheidung der EU-Kommission (2000/520/EG, ABl. L 215/7 v. 25.8.2000 – Volltext) nicht dem Vorhaben der irischen Aufsichtsbehörde entgegenstehe, die Übermittlung von Daten europäischer Facebook-Nutzer an Server in den Vereinigten Staaten verbieten zu können.

Hintergrund

Facebook als amerikanischer Social-Media-Anbieter unterhält in Irland eine Tochtergesellschaft und übermittelt von dort die Daten der Nutzer mit Wohnsitz in der EU an in den USA belegene Server. Die Richtlinie (95/46/EG – Volltext) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr erlaubt die Übermittlung von personenbezogenen Daten in ein Drittland (also Länder außerhalb der EU/EWR) nur dann, wenn dieses ein angemessenes Schutzniveau gewährleistet. Drittstaaten mit angemessenem Schutzniveau können entweder als solche festgestellt werden oder auf vertraglicher Grundlage als solche gelten. Hierauf bezog sich, soweit die USA betroffen waren, die o. a. Safe-Harbor-Entscheidung der Europäischen Kommission. Unternehmen in den USA, die der Zuständigkeit der Federal Trade Commission unterliegen, können in dem Safe-Harbor-Verfahren eine Selbstverpflichtung zur Einhaltung der in dem Abkommen niedergelegten Grundsätze erklären. Diesen Grundsätzen hatte sich das Unternehmen Facebook unterworfen, sodass der Datenaustausch nach Auffassung der zuständigen irischen Aufsichtsbehörde nicht zu beanstanden sei.

Im Zusammenhang mit dem Vorgehen des Österreichers Maximilian Schrems gegen Facebook legte der irische High-Court dem EuGH im Wege des Vorabentscheidungsersuchens die Frage vor, ob das Safe-Harbor-Verfahren eine nationale Aufsichtsbehörde daran hindere, eine Beschwerde zu untersuchen, die darauf abzielt, dass das Drittland kein angemessenes Schutzniveau gewährleiste.

Schlussantrag des Generalanwalts

Der Generalanwalt vertritt in den Schlussanträgen im Wesentlichen die Auffassung, dass die Europäische Kommission die USA nicht hätte als Safe-Harbor qualifizieren dürfen und hält dieses somit für ungültig. Er begründet seine Auffassung unter anderem mit der in den USA gelebten Praxis, personenbezogene Daten in großem Umfang zu sammeln, ohne dass Unionsbürger über einen wirksamen Rechtsschutz verfügen. Dies gelte insbesondere aufgrund der massiven und wahllosen Überwachung in den USA durch Nachrichtendienste und dem fehlenden Rechtsbehelf europäischer Bürger, was letztlich zu einem Verstoß gegen den Grundsatz der Verhältnismäßigkeit führe.

Auch stehe das Safe-Harbor-Verfahren nicht über der Entscheidungsbefugnis von nationalen Aufsichtsbehörden. Ihnen müssen als unabhängige Instanzen die Befugnis bleiben, feststellen zu können, dass kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet sei und gegebenenfalls die Übertragung dieser Daten auszusetzen.

Folgen des Schlussantrags

Folgt der EuGH den Schlussanträgen des Generalanwalts, so wie er dies meist tut, sind die Auswirkungen nicht nur für Facebook spürbar, sondern wirkt sich auf sämtliche mehr als 4.000 Unternehmen mit Sitz in den USA aus, die sich dem Safe-Harbor-Abkommen unterworfen haben. Ihnen ist dann die Rechtsgrundlage der Übermittlung personenbezogener Daten in die USA entzogen, sodass sie eine neue rechtliche Grundlage benötigen oder ein neues Abkommen zwischen der EU und den USA geschaffen werden muss. Bis ein solches umgesetzt ist, können die Betroffenen ggf. den Weg über die sog. EU-Standardvertragsklauseln oder Binding-Corporate-Rules (BCR) gehen.

Update: Den Beitrag zum Urteil des EuGH finden Sie auf dieser Website.

 

EuGH: Datenverarbeitung durch Muttergesellschaft erfolgt “im Rahmen der Tätigkeit” einer werbenden Tochtergesellschaft

Mit Urteil vom 13.5.2014 (Az. C-131/12, Volltext) hat sich der EuGH in einem Vorabentscheidungsverfahren überraschend zur Reichweite des Merkmals der Datenverarbeitung “im Rahmen der Tätigkeiten einer Niederlassung” im Sinne des Art. 4 Abs. 1 Buchst. a DSRL geäußert. Um eine solche Tätigkeit handele es sich, wenn die Muttergesellschaft Daten verarbeitet, die im engen Zusammenhang mit der Werbetätigkeit der Niederlassung (Tochtergesellschaft) stehen. Das Urteil, das sich im Kern mit der Pflicht eines Suchmaschinenbetreibers zur Löschung von Links aus seinen Indizes befasst, dürfte auch für die Datenverarbeitung in anderen Social Media die Werbeflächen unterhalten, vor allem soziale Netzwerke, erhebliche Bedeutung erlangen.
Weiterlesen

VG Schleswig-Holstein: Untersagungsverfügung gegen Facebook-Fanpage rechtswidrig

Die 8. Kammer des Verwaltungerichts Schleswig-Holstein entschied mit Urteil vom 09.10.2013 – 8 A 218/11, 8 A 14/12, 8 A 37/12, dass die vom Unabhängigen Landeszentrum für Datenschutz (ULD) erlassenen Untersagungsverfügungen auf der Grundlage von § 38 Abs. 5 BDSG gegen die Betreiber von Fanseiten auf Facebook rechtswidrig sind. Die Entscheidung ist noch nicht im Volltext veröffentlicht, allerdings gibt es bereits eine diesbezügliche Pressemitteilung des Gerichts.

Den “Betreibern” der Fanpages war es durch das ULD verboten worden, die der Allgemeinheit angebotenen Funktionen einer für sie vollständig fremden Internetseite (www.facebook.de) zu benutzen, die es ermöglichen, sich dort selbst darzustellen. Diese Selbstdarstellungen auf Facebook, die dort ebenso möglich sind wie in allen anderen “Sozialen Netzwerken” (auch als “Profilseite” oder “Fanseite” bezeichnet), sollten nach Meinung des ULD rechtswidrig sein, weshalb man sich zum Einschreiten verpflichtet sah.  Hintergrund seien die evidenten Verstöße gegen europäisches Datenschutzrecht durch die Betreiber der Sozialen Netzwerke und eine Mitverantwortlichkeit der “Betreiber” der Profilseiten.

Weiterlesen

Big Data Summit 2013 – ein Erfahrungsbericht

Zu Beginn dieser Woche hatte der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) zum Gipfeltreffen 2013 “Big Data” nach Bonn geladen. Der Einladung folgten über 600 Teilnehmer, die (laut Untertitel der Veranstaltung) auf der Suche waren nach Impulsen für ihr Business.

Um für den eiligen Leser das Fazit an dieser Stelle schon vorweg zu nehmen: Die Suchenden dürften wohl leer ausgegangen sein. Zwar wurden die Ideen und Konzepte, die zusammenfassend mit dem Schlagwort Big Data bezeichnet werden, zu Beginn der Veranstaltung durch einen kurzweiligen gespielten Dialog eines fiktiven Unternehmers mit seinem fiktiven IT-Abteilungsleiter in verständlichen Worten dargestellt und anschließend wissenschaftlich korrekt von Prof. Dr. Wrobel vom Fraunhofer IAIS aufbereitet. Danach ist Big Data die Fortschreibung von gegenwärtig vier vorhandenen Trends, u.a. Social Media und die damit verbundenen nutzergenerierten Inhalte. Aber vor der Mittagspause waren konkrete Handlungsvorschläge oder Beispiele Mangelware und die Ausführungen der Referenten erschöpften sich in “Heilsversprechen”. Dieses Wort hatte Dr. Thilo Weichert, Leiter des ULD Schleswig-Holstein, zuvor in seinem Beitrag in der Zeitschrift für Datenschutz (ZD) 2013, Seiten 251 ff im Rahmen seines Problemaufriss völlig zu Recht verwendet. Tenor der ersten Vorträge war, dass mit dem Einsatz von Big Data Werkzeugen alles besser und effizienter würde. Kosten ließen sich sparen, Umsätze steigern oder gar neue Quellen erschließen, etc. Kurz: Das Übliche bei vertriebsorientierten Vorträgen. Substantieller Vortrag fehlte derweil. Anders dagegen der Nachmittagsbereich. Nun kamen neben den klassischen Einsatzgebieten wie Wettervorhersage und Stauprognose, bzw. Navigationssysteme erste praktische Anwendungsbeispiele zur Sprache, die sich schon schemenhaft aus der Ankündigung der Referenten und ihrer Herkunft ergaben. Für den durchschnittlichen Mittelständler ergaben sich jedoch, unabhängig von der Branche, wohl keine konkreten Impulse fürs Geschäft.

Ganz im Gegenteil: Bezüglich des Themas Big Data, welches nun schon seit einiger Zeit durch die IT-Fachpresse geistert und sich nach Einschätzung der Referenten im Gartner-Hype-Cycle schon auf dem absteigenden Ast nach dem ersten Zenit befindet, wurde von einem referierenden Mittelständler konstatiert, dass der Einsatz entsprechender Methoden und Werkzeuge in seiner Branche derzeit nur bei den Big Five zu vernehmen ist. Der Markt sei hart umkämpft, der Einsatz neuer Methoden risikoreich. Sollten sich doch erst die Großkonzerne eine “blutige Nase” holen, solange die Verfahren noch in der Kinderschuhen stecken. Die Mittelständler würden entsprechende Methoden und Werkzeuge erst einsetzen, wenn diese sich bewährt haben.

Die Skepsis ist völlig zu Recht angebracht. Sämtliche Träume von Marketingabteilungen in Zusammenhang mit Big Data sind pure Illusion. Entsprechende Werkzeuge sind konzeptionell darauf ausgelegt, zunächst alle verfügbaren Daten zu erfassen und zu speichern. Danach erst beginnt zu einem späteren Zeitpunkt die Nutzung der Daten und damit auch erst die Festlegung des Zwecks der Verarbeitung. Soweit die erhobenen Daten nicht ausschließlich aus dem Bereich machine-to-machine (M2M) stammen, wo sicherlich lohnenswerte Einsatzmöglichkeiten zu finden sind, sind im Bereich der personenbezogenen Daten nahezu keine Einsatzmöglichkeiten erkennbar, die mit geltendem Recht in Europa vereinbar sind. Hier treffen einfach zwei Grundideen diametral aufeinander: Big Data vs. Datenvermeidung und Datensparsamkeit.

Dass sich Anwendungsbeispiele durchaus anhand us-amerikanischer Unternehmen aufzeigen lassen, ergibt sich schlicht aus dem dortigen Datenschutzrecht. Als Europäer darf man es aber durchaus für sehr bedenklich halten, wenn unter Geringschätzung der IT-sicherheitsrelevanten Gefahren, die großen Datensammlungen immanent sind, große Gefährdungen der Persönlichkeitsrechte in Kauf genommen werden. Der Schritt zum gläsernen Menschen ist nicht mehr weit, wenn mittels Big Data Verfahren individuelle Verhaltensvorhersagen ermöglicht werden, welche selbstverständlich für Marketingzwecke interessant sind. Wenn sodann die Technick noch entgegen bewährter Prinzipien der Statistik – Definieren eine These und validiere sie mittels Zahlen! – die Zahlen die These vorgeben (oder jedenfalls durch das Aufzeigen von Korrelationen das Formulieren der These stark beeinflussen), dann dürfte dem Thema doch tatsächlich mit Bedenken zu begegnen sein.

Facebook: OVG Schleswig-Holstein bestätigt die Beschlüsse des VG Schleswig-Holstein

Das OVG Schleswig-Holstein hat auf die Beschwerde des ULD Schleswig-Holstein hin, mit Beschlüssen vom 22. April 2013 (Az.: 4 MB 10/13 – Volltext) und (Az.: 4 MB 11/13 – Volltext) die beiden Beschlüsse des VG Schleswig-Holstein vom 14. Februar 2013 (Az.: 8 B 60/12 und 8 B 61/12 – Beitrag zur Vorinstanz) bestätigt. Es hat die Beschwerde des ULD Schleswig-Holstein mit der Begründung abgewiesen, das VG Schleswig-Holstein habe zu Recht entschieden, dass die auf § 13 Abs. 6 TMG gestützten Verfügungen gegen Facebook rechtswidrig waren.

Weiterlesen

Facebook: Welches Datenschutzrecht gilt?

Welches Datenschutzrecht auf Facebook Anwendung findet und welche Aufsichtsbehörde in der Folge für die Kontrolle und Prüfung von Facebook zuständig ist, ist bislang ungeklärt. Denn Facebook ist in den USA niedergelassen, unterhält aber Niederlassungen sowohl in Irland als auch in Hamburg.

Dank zweier vom ULD Schleswig-Holstein erlassener und von Facebook im Eilverfahren angegriffener Bescheide gibt es nun eine erste gerichtliche Bewertung: das Schleswig-Holsteinische Verwaltungsgericht hat mit zwei Beschlüssen vom 14.2.2013 (8 B 60/12 und 8 B 61/12) die Anwendbarkeit des BDSG verneint.

Die Facebook Germany GmbH sei ausschließlich mit Marketing befasst, verarbeite aber keine Daten von Nutzern des sozialen Netzwerks. Dies geschehe aber bei der Facebook Limited Ireland, weshalb irisches Datenschutzrecht Anwendung finde, vgl. § 1 Abs. 5 S. 1 BDSG. Ein Rückgriff auf § 1 Abs. 5 S. 2 BDSG wegen ggf. in Deutschland von den Nutzern erhobener Daten (auch) durch die Facebook Inc. mit Sitz in den USA sei ausgeschlossen; § 1 Abs. 5 S. 1 BDSG entfalte insoweit bei richtinienkonformer Auslegung Sperrwirkung gegen § 1 Abs. 5 S. 2 BDSG.

Details in der Pressemitteilung des Gerichts.

Die Stellungnahme des ULD im Wortlaut.

Die Volltexte der gerichtlichen Entscheidungen (PDF): 8 B 60/12 und 8 B 61/12.

Update 1.3.2013: In einem der folgenden juris PraxisReport IT-Recht wird eine Anmerkung und Besprechung von Sascha Kremer, der als externer Datenschutzbeauftragter für die LLR DSC GmbH tätig ist, und Herrn Rechtsanwalt Sebastian Laoutoumai (LLR LegerlotzLaschet Rechtsanwälte, Köln) veröffentlicht.