Internet-Law

Onlinerecht und Bürgerrechte 2.0

10.3.16

Sind Social Plugins rechtswidrig?

Das Landgericht Düsseldorf hat in einem brandaktuellen Urteil (Urteil vom 09.03.2016, Az.: 12 O 151/15) einem Unternehmen untersagt, auf seiner Website das „Social Plugin „Gefällt mir“ von Facebook zu integrieren“, ohne die Nutzer vorab darüber zu informieren, dass Facebook Zugriff auf die IP-Adresse und den Browserstring des Nutzers nimmt und ohne insoweit ausdrücklich und unübersehbar über den Zweck der Erhebung und Verwendung der an Facebook übermittelten Daten aufzuklären. Zusätzlich wurde dem Unternehmer auch verboten, das Plugin zu verwenden, ohne vorab die Einwilligung des Nutzers in die Datenverwendung einzuholen.

Wenn sich diese Rechtsprechung durchsetzt, kann man den Like Button und das Page Plugin von Facebook in Deutschland wohl nicht mehr rechtskonform in die eigene Website einbauen. Denn eine konkrete Information des Nutzers darüber, wie und zu welchem Zweck Facebook die Daten verarbeitet, ist schon deshalb nicht möglich, weil  kein Webseitenbetreiber mit Sicherheit sagen kann, was Facebook mit den Daten macht. Einen Ausweg bietet hier allenfalls die sog. Zwei-Klick-Lösung, wobei sich auch hier die Frage stellt, ob eine informierte Einwilligung des Nutzers in Betracht kommt, nachdem der Umfang der Datenverarbeitung durch Facebook am Ende immer unklar bleibt.

Das Landgericht Düsseldorf schließt sich in seinem Urteil zunächst der Meinung vom absoluten Personenbezug an und geht davon aus, dass (dynamische) IP-Adressen stets als personenbezogene Daten zu bewerten sind.

Anschließend qualifiziert das Landgericht Düsseldorf den Webseitenbetreiber als verantwortliche Stelle im Sinne des Datenschutzrechts. Dies scheint mir der zentrale, diskutable Aspekt der Entscheidung zu sein. Letztlich stützt das Landgericht seine Auffassung primär darauf, dass der Webseitenbetreiber die Daten, die Facebook dann verarbeitet, beschafft. Das Landgericht stellt damit eine Kausalitätsbetrachtung an, die in der Tendenz auf eine datenschutzrechtliche Störerhaftung hinausläuft.

Durch die Einbindung des Codes wirkt der Webseitenbetreiber natürlich an der Erhebung von Daten mit und er macht dies auch für eigene Zwecke, denn er möchte damit ja eine Empfehlung seines Angebots erreichen. Andererseits ist er nicht derjenige, der den Datenverarbeitungsvorgang steuert und kontrolliert.

Nach Art. 2 d) der Datenschutzrichtlinie ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wenn man das eng am Wortlaut auslegt, wird man den Webseitenbetreiber nicht ohne weiteres als Verantwortlichen betrachten können, denn er entscheidet nicht (zusammen mit Facebook) über die Zwecke und Mittel der Datenverarbeitung. Er weiß im Zweifel noch nicht einmal genau, welche Daten Facebook erhebt. Andererseits leistet er zweifellos einen kausalen Beitrag für die Datenverabeitung durch Facebook, weshalb man ihn durchaus als eine Art Gehilfen von Facebook betrachten kann, der zudem auch ein gewisses Eigeninteresse an dem Vorgang der Datenverarbeitung hat.

Letztlich regelt das Gesetz diese Konstellation nicht eindeutig. Die entscheidende Frage lautet hier also, ob allein Facebook verantwortliche Stelle im Sinne des Datenschutzrechts ist oder ob daneben (auch) der Webseitenbetreiber datenschutzrechtlich verantwortlich ist. Ist verantwortliche Stelle also nur derjenige, der die Kontrolle und Herrschaft über die Daten und den Datenverarbeitungsvorgang hat, oder darüber hinausgehend jeder, der in kausaler Weise an der Beschaffung oder Verarbeitung der Daten mitwirkt? Diese Frage wird die Rechtsprechung eindeutig zu klären haben.

Das Urteil ist noch nicht rechtskräftig.

Thomas Schwenke hat FAQs zum Urteil zusammengestellt.

posted by Stadler at 11:01  

23.2.16

Verbandsklagerecht bei Datenschutzverstößen ab dem 24.02.2016

Das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts vom 17.02.2016 ist heute im Bundesgesetzblatt verkündet worden und tritt morgen, am 24.02.2016, in Kraft.

Durch die Neuregelung werden u.a. die Unterlassungsansprüche bei verbraucherschutzgesetzwidrigen Praktiken erweitert um datenschutzrechtliche Verstöße, wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.

Verbraucherschutz- und Wettbewerbsverbände können solche Datenschutzverstöße von nun an im Rahmen ihrer Verbandsklagebefugnis nach dem UklaG abmahnen und gerichtlich geltend machen.

posted by Stadler at 14:23  

8.2.16

Fehlende Datenschutzerklärung als abmahnfähiger Wettbewerbsverstoß

Das Landgericht Köln hat mit Beschluss vom 26.11.2015 (Az.: 33 O 230/15) eine einstweilige Verfügung erlassen, die dem Antragsgegner u.a. aufgibt, es zu unterlassen,

auf den Internetseiten der Domain www.anonym.de keine Datenschutzerklärung i.S.d. § 13 TMG zu platzieren.

Eine Begründung enthält der Beschluss nicht, weshalb wir nicht genau wissen, warum das LG Köln eine Datenschutzerklärung im konkreten Fall für erforderlich hält.

Die konkrete Tenorierung halte ich gleichwohl bereits deshalb für problematisch, weil die Vorschrift des § 13 TMG keineswegs zu einer Datenschutzerklärung verpflichtet, sondern dazu, den Nutzer zu Beginn des Nutzungsvorgangs

über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten.

Entsprechend hätte meines Erachtens auch tenoriert werden müssen. Voraussetzung ist allerdings stets die Feststellung des Gerichts, dass überhaupt personenbezogene Daten erhoben und verarbeitet werden.

In Zukunft wird man also möglicherweise neben dem Klassiker des fehlenden oder unvollständigen Impressums auch das Fehlen einer korrekten und vollständigen Datenschutzerklärung als Einfallstor für wettbewerbsrechtliche Abmahnungen auf dem Schirm haben müssen.

posted by Stadler at 11:52  

2.11.15

Bundesmeldegesetz in Kraft getreten

Das neue Bundemeldegesetz (BMG) ist gestern in Kraft getreten. Es bringt einige Neuerungen im Meldewesen und zum Teil in datenschutzrechtlicher Hinsicht auch Verbesserungen.

Bei Melderegisterauskünften zu gewerblichen Zwecken, muss jetzt der Zweck der Anfrage angegeben werden (§ 44 Abs. 1 S. 2 BMG) und die Auskunft darf dann ausschließlich zu diesem Zweck zu verwenden (§ 47 Abs. 1 BMG).

Melderegisterauskünfte für Zwecke der Werbung und des Adresshandels sind nur noch mit Einwilligung der betroffenen Person möglich. Der Anfragende muss erklären, dass er die Daten nicht für Zwecke der Werbung oder des Adresshandels verwenden wird (§ 45 Abs. 3 Nr. 2 BMG).

Polizeiehörden, Geheimdienste, Staatsanwaltschaften und Gerichte können Meldedaten ohne weitere Voraussetzungen abrufen und erhalten länderübergreifend einen Onlinezugriff auf die Meldedaten.

Neu eingeführt wurde eine Mitwirkungspflicht des Wohnungsgebers (i.d.R. der Vermieter), der der meldepflichtigen Person den Einzug oder den Auszug schriftlich oder elektronisch zu bestätigen hat (§ 19 BMG).

posted by Stadler at 14:27  

6.10.15

Safe-Harbor-Abkommen ist ungültig: Schrems siegt beim EuGH

Der EuGH hat mit Urteil vom heutigen Tag (Az.: C – 362/14), das sog. Safe-Harbor-Abkommen für ungültig erklärt. Das ist durchaus als Knaller zu bewerten.

Zwischen der EU-Kommission und den USA besteht ein datenschutzrechtliches Abkommen, das sich Safe Harbor nennt und, das es US-Unternehmen ermöglichen soll, Daten von EU-Bürgern in Übereinstimmung mit europäischem Recht zu verarbeiten. Dieses Abkommen ist oft kritisiert worden, weil amerikanische Unternehmen sich damit ohne effektive Kontrolle quasi selbst als datenschutzkonform einstufen können. Der Generalanwalt am Europäischen Gerichtshof hatte das Abkommen bereits als ungültig qualifiziert. Der EuGH ist diesem Votum jetzt gefolgt und führt als Schlussfolgerung seiner Entscheidung folgendes aus:

Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.

posted by Stadler at 14:06  

23.9.15

Generalanwalt beim EuGH stützt die Rechtsauffassung von Max Schrems

Der Jurist und Aktivist Max Schrems (Europe vs. Facebook) führt beim irischen High Court ein Verfahren, in dem geklärt werden soll, ob die irische Datenschutzbehörde sich darauf zurückziehen kann, dass die USA nach der Entscheidung der EU-Kommission datenschutzrechtlich ein sicherer Hafen seien oder ob sie vielmehr individuell prüfen muss, ob die Datenübermittlung in den Drittstaat USA gegen irisches bzw. europäisches Datenschutzrecht verstößt.

Konkret wehrt sich Max Schrems gegen die Sammlung und Speicherung seiner Daten durch Facebook und hat vor dem irischen High Court Klage gegen Facebook erhoben. Der High Court hat die zentrale Frage anschließend denm EuGH zur Beantwortung vorgelegt.

Heute hat der Generalanwalt beim EuGH seine Schlussanträge (Az.: 362/14) vorgelegt.

Der Generalanwalt stützt die Rechtsansicht von Max Schrems und vertritt die Auffassung, dass die Existenz einer Entscheidung der Kommission, mit der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet, die Befugnisse der nationalen Datenschutzbehörden nach der Richtlinie über die Verarbeitung personenbezogener Daten weder beseitigen noch auch nur verringern kann. Hierzu führt der Generalanwalt m.E. völlig zutreffend aus, dass die Kommission, wegen der gänzlich unabhängigen Stellung der nationalen Datenschutzbehörden überhaupt nicht ermächtigt ist, die Befugnisse der nationalen Kontrollbehörden zu beschränken.

Der Generalanwalt ist sogar der Ansicht, dass die Safe-Harbour-Entscheidung der Kommission ungültig ist.

Intreressant und aufschlussreich sind auch die Ausführungen des Generalanwalts zur Zusammenarbeit zwischen Facebook und der NSA. In der Pressemitteilung heißt es hierzu:

Der Generalanwalt ist ferner der Ansicht, dass der Zugang der amerikanischen Nachrichtendienste zu den übermittelten Daten einen Eingriff in das Recht auf Achtung des Privatlebens und in das Recht auf den Schutz personenbezogener Daten bedeutet. Desgleichen bedeutet der Umstand, dass die Unionsbürger keine Möglichkeit haben, zur Frage des Abfangens und der Überwachung ihrer Daten in den Vereinigten Staaten gehört zu werden, einen Eingriff in das von der Charta geschützte Recht der Unionsbürger auf einen wirksamen Rechtsbehelf.

Der Generalanwalt sieht in diesem Eingriff in die Grundrechte einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit, insbesondere weil die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung massiv und nicht zielgerichtet ist. Der Zugang zu personenbezogenen Daten, über den die amerikanischen Nachrichtendienste verfügen, erfasst nämlich in generalisierter Weise alle Personen und alle elektronischen Kommunikationsmittel sowie sämtliche übertragenen Daten (einschließlich des Inhalts der Kommunikationen), ohne jede Differenzierung, Einschränkung oder Ausnahme anhand des im Allgemeininteresse liegenden Ziels, das verfolgt wird. Unter diesen Umständen kann nach Ansicht des Generalanwalts nicht davon ausgegangen werden, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, zumal die Regelung über den sicheren Hafen in der Entscheidung der Kommission keine Garantien enthält, die geeignet sind, einen massiven und generalisierten Zugang zu den übermittelten Daten zu verhindern. Denn keine unabhängige Behörde ist in der Lage, in den Vereinigten Staaten zu kontrollieren, ob staatliche Akteure wie die amerikanischen Sicherheitsdienste gegenüber Unionsbürgern gegen die Grundsätze des Schutzes personenbezogener Daten verstoßen.

Angesichts eines solchen Befunds der Verletzung von Grundrechten der Unionsbürger hätte die Kommission nach Auffassung des Generalanwalts die Anwendung der Entscheidung aussetzen müssen (…)

posted by Stadler at 10:41  

4.5.15

BAG zur Einwilligung in Bildnisveröffentlichungen und zum Arbeitnehmerdatenschutz

Ein neues Urteil des Bundesarbeitsgerichts (BAG) wird, vermutlich nicht nur in Juristenkreisen, für Gesprächsstoff sorgen (Urteil vom 11.12.2014, Az.: 8 AZR 1010/13).

Nach Ansicht des BAG muss die Einwilligung in eine Veröffentlichung eines Fotos auf dem der Arbeitnehmer abgebildet ist, nach § 22 KUG schriftlich erfolgen. Das entspricht bislang jedenfalls nicht der Rechtsprechung der Zivilgerichte, die bislang immer eine formlose Einwilligung genügen ließen. Nachdem des BAG aber insoweit die Besonderheiten des Arbeitsverhältnisses betont, dürften die Auswirkungen auf das Arbeistrecht beschränkt bleiben. Das BAG führt in seinem Urteil dazu folgendes aus:

Wegen der Bedeutung des Rechts der Arbeitnehmer, auch im Arbeitsverhältnis ihr Grundrecht auf informationelle Selbstbestimmung ausüben zu dürfen, führt eine solche Abwägung im Ergebnis dazu, dass auch und gerade im Arbeitsverhältnis die Einwilligung der Arbeitnehmer der Schriftform bedarf. Nur dadurch kann verdeutlicht werden, dass die Einwilligung der Arbeitnehmer zur Veröffentlichung ihrer Bildnisse unabhängig von den jeweiligen Verpflichtungen aus dem eingegangenen Arbeitsverhältnis erfolgt und dass die Erteilung oder Verweigerung der Einwilligung für das Arbeitsverhältnis keine Folgen haben dürfen.

Das BAG geht dann weiter davon aus, dass diese Einwilligung nicht ohne weiteres frei widerruflich ist, auch dann nicht, wenn das Arbeitsverhältnis beendet ist. Zur Begründung führt das BAG folgendes aus:

Allerdings deutet ein Umkehrschluss aus § 28 Abs. 3a Satz 1 aE BDSG darauf hin, dass eine einmal erteilte Einwilligung nicht generell „jederzeit mit Wirkung für die Zukunft widerrufen werden kann“. Es ist wiederum im Rahmen der gegenseitigen Rücksichtnahme auf die Interessen der anderen Seite, § 241 Abs. 2 BGB, eine Abwägung im Einzelfall vorzunehmen. Auf der Seite des Arbeitgebers stehen das Veröffentlichungsinteresse wie das wirtschaftliche Interesse an einer wenigstens kostendeckenden Verwertung der entstandenen Produktionskosten zu Werbezwecken. Auf der Seite des eingewilligenden Arbeitnehmers steht sein Recht auf informationelle Selbstbestimmung, das bei oder anlässlich der Beendigung des Arbeitsverhältnisses neue Entscheidungskoordinaten bekommen haben kann, aber nicht muss.

In diesem Zusammenhang kann der Arbeitnehmer grundsätzlich anführen, dass mit seiner Person und mit der Abbildung seiner Erscheinung nach dem Ende des Arbeitsverhältnisses nicht weiter für das Unternehmen geworben werden soll. Dies gilt jedenfalls in dem Fall, in dem für die Verwendung zu Werbezwecken eine Vergütung nicht erfolgt war. Es muss aber mit der Person des ausgeschiedenen Arbeitnehmers oder mit seiner Funktion im Unternehmen geworben werden. Bei einer allgemeinen Darstellung des Unternehmens, auch wenn diese aus Werbezwecken erfolgt ist und ins Internet gestellt wird, bei der die Person und Persönlichkeit des Arbeitnehmers nicht hervorgehoben, sein Name nicht genannt und die Identität seiner Person auch sonst nicht herausgestellt wird und bei der zudem beim Betrachter nicht zwingend der Eindruck entsteht, es handele sich um die aktuelle Belegschaft, kann von einer wirtschaftlichen und persönlichkeitsrelevanten Weiter-„verwertung“ der Abbildung des Arbeitnehmers nicht ausgegangen werden. So wenig wie Arbeitnehmer, hier also der Kläger, aufgrund einer arbeitsvertraglichen Nebenpflicht gehalten sind, der Verwendung und Herstellung ihrer Abbildung während des Bestandes des Arbeitsverhältnisses zuzustimmen, so wenig können sie ihre einmal wirksam erteilte Einwilligung allein aus Anlass der Beendigung des Arbeitsverhältnisses widerrufen. Im Ergebnis der in solchen Fällen vorzunehmenden Gesamtabwägung ist vielmehr zu verlangen, dass der widerrufende Arbeitnehmer einen Grund im Sinne einer Erklärung angibt, warum er nunmehr, anders als bei der Jahre zurückliegenden Erteilung der Einwilligung, sein Recht auf informationelle Selbstbestimmung gegenläufig ausüben will.

Wichtig für die arbeistvertragliche Praxis und den Arbeitnehmerdatenschutz ist die Entscheidung aber auch insofern, als das BAG eine datenschutzrechtliche Einwilligung des Arbeitnehmers ausdrücklich für möglich hält. In der datenschutzrechtlichen Literatur wurde bislang z.T. die Auffassung vertreten, dass Arbeitnehmer aufgrund des bestehenden Abhängigkeitsverhältnisses nicht oder nur eingeschränkt in die Verarbeitung ihrer Daten einwilligungen können. Dem ist das BAG nicht gefolgt. Die Begründung des Gerichts lautet wie folgt:

Auch im Rahmen eines Arbeitsverhältnisses können Arbeitnehmer sich grundsätzlich „frei entscheiden“, wie sie ihr Grundrecht auf informationelle Selbstbestimmung ausüben wollen. Dem steht weder die grundlegende Tatsache, dass Arbeitnehmer abhängig Beschäftigte sind noch das Weisungsrecht des Arbeitgebers, § 106 GewO, entgegen. Mit der Eingehung eines Arbeitsverhältnisses und der Eingliederung in einen Betrieb begeben sich die Arbeitnehmer nicht ihrer Grund- und Persönlichkeitsrechte. Die zu § 4a BDSG formulierte Gegenauffassung (Simitis in Simitis BDSG 8. Aufl. § 4a Rn. 62) verkennt, dass schon nach § 32 BDSG Datenverarbeitung im Arbeitsverhältnis möglich ist, unter den Voraussetzungen des § 32 BDSG sogar einwilligungsfrei. Löste die Verweigerung einer außerhalb von § 32 BDSG erforderlichen schriftlichen Einwilligung Benachteiligungen aus, so stellte dies einen groben Verstoß gegen die arbeitgeberseitigen Pflichten aus § 241 Abs. 2 und § 612a BGB dar, der zum Schadensersatz nach §§ 282, 280 Abs. 1 BGB verpflichtete. Eine Nebenpflicht des Arbeitnehmers aus dem Arbeitsverhältnis, der Erhebung, Verarbeitung und Veröffentlichung seiner Daten – soweit erforderlich – zuzustimmen, besteht nicht.

Wer als Arbeitgeber also Fotos seiner Mitarbeiter im Netz veröffentlicht, sollte sich hierfür tunlichst eine schriftliche und unbefristete Einwilligung vom Arbeitnehmer erteilen lassen. Dann können die Bilder – unter den oben genannten Voraussetzungen – auch dann online bleiben, wenn das Arbeitsverhältnis beendet worden ist.

posted by Stadler at 16:12  

4.5.15

Gilt für Twitter (künftig) tatsächlich irisches Datenschutzrecht?

Vor ca. zwei Wochen meldete Heise, dass Twitter irische Datenschutzstandards gewählt hätte, bei ZDNet heißt es, Twitter habe sich dem irischem Datenschutzgesetz unterstellt.

Was hat es damit auf sich und gilt für Twitter im Verhältnis zu deutschen Nutzern des Dienstes tatsächlich irisches Datenschutzrecht?

Twitter hat eine Aktualiserung seiner Datenschutzrichtlinie und seiner AGB mitgeteilt, verbunden mit dem Hinweis, dass man durch die Weiterbenutzung des Dienstes nach dem 18.05.2015 diese Änderungen akzeptieren würde. In der Mitteilung von Twitter heißt es:

Wenn Du außerhalb der USA lebst, werden Dir unsere Dienste nun von Twitter International Company, unserem Unternehmen mit Sitz in Dublin (Irland), bereitgestellt. Twitter International Company ist dafür verantwortlich, Deine Account-Informationen nach dem irischen Datenschutzgesetz zu verwalten, das auf der Europäischen Datenschutzrichtlinie basiert.

In der aktualisierten Datenschutzrichtlinie von Twitter heißt es dazu:

Wenn Sie außerhalb der Vereinigten Staaten leben, ist für Ihre Daten die Twitter International Company verantwortlich, ein irisches Unternehmen mit eingetragenem Geschäftssitz unter der Adresse The Academy, 42 Pearse Street, Dublin 2, Ireland.

Interessanterweise enthalten die AGB von Twitter eine Rechts- und Gerichtsstandswahl, wonach das recht des Staates Kalifornien gelten soll und als Gerichtsstand San Francisco vereinbart werden soll. Diese Rechts- und Gerichtsstandswahl ist außerhalb des kaumännischen Verkehrs gegenüber Verbrauchern unwirksam. Bei der Rechtswahl wird man davon auszugehen haben, dass eine solche im Datenschutzrecht bereits nach Art. 9 Abs. 1 Rom I-VO unzulässig ist. Sie dürfte gegenüber Verbrauchern jedenfalls an Art. 6 Abs. 2 S. 2 Rom I-VO scheitern. Die Gerichtsstandsvereinbarung verstößt gegen Art. 16, 17 EuGVVO.

Was nun die angebliche Geltung des irischen Datenschutzrechts anbelangt, ist die Entscheidung des EuGH zu den Löschpflichten von Google zu beachten. Der EuGH führt dort (Erwägungsgrund 18, 19) u.a. folgendes aus:

Um zu vermeiden, dass einer Person der gemäß dieser Richtlinie gewährleistete Schutz vorenthalten wird, müssen auf jede in der Gemeinschaft erfolgte Verarbeitung personenbezogener Daten die Rechtsvorschriften eines Mitgliedstaats angewandt werden. Es ist angebracht, auf die Verarbeitung, die von einer Person, die dem in dem Mitgliedstaat niedergelassenen für die Verarbeitung Verantwortlichen unterstellt ist, vorgenommen werden, die Rechtsvorschriften dieses Staates anzuwenden.

Eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats setzt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht maßgeblich. Wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist, insbesondere mit einer Filiale, muss er vor allem zu Vermeidung von Umgehungen sicherstellen, dass jede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, das auf ihre jeweiligen Tätigkeiten anwendbar ist.

Hieraus wird einerseits ebenfalls klar, dass eine Rechtswahl kaum in Betracht kommt und, dass die nationalen Datenschutzregelungen gelten, wenn eine Niederlassung in einem Mitgliedsstaat, egal in welcher Rechtsform, existiert. In Bezug auf Google hat es der EuGH ausreichen lassen, dass eine Zweigniederlassung vorhanden ist, die  für die Vermarktung von Werbung zuständig ist.

Twitter unterhält in Deutschland eine Zweigniederlassung, nämlich die Twitter Germany GmbH, die den Zweck hat, das Marketing und den Verkauf von Online Werbeprodukten der Twitter Inc. zu fördern und zu unterstützen. Man wird deshalb davon auszugehen haben, dass die Grundsätze der EuGH-Rechtsprechung auch Twitter anzuwenden sind.

Twitter unterhält damit eine relevante zweigniederlassung im Sinne der Datenschutzrichtlinie mit der Folge, dass Twitter (auch) deutsches Datenschutzrecht zu beachten hat. Sowohl die Twitter Inc. als auch die Twitter GmbH können daher vor deutschen Gerichten wegen Verletzung datenschutzrechtlicher Vorschriften des deutschen Datenschutzrechts in ANspruch genommen werden.

posted by Stadler at 14:01  

11.3.15

Kampfzone Datenschutz

Kaum eine andere rechtspolitische Debatte ist derart ideologisch aufgeladen wie die um die geplante Datenschutzgrundverordnung der EU. Mitverantwortlich hierfür sind auch auch Blogbeiträge wie „Datenschlussverkauf in Brüssel“ von Richard Gutjahr. Gutjahr beruft sich für seine aktuelle Grundthese, nach der der Rat der EU gerade versucht, das Datenschutzniveau zu senken, auf Auswertungen von Lobbyplag. Warum man die Bewertungen und Schlussfolgerungen von Lobbyplag kritisch betrachten muss, habe ich bereits vor zwei Jahren erläutert.

Auch Gutjahr käut in seinem Blog anschließend die sachlich falsche These von der „Aufhebung der Zweckbindung“ wieder, die in der Aussage gipfelt:

So soll auf Wunsch Deutschlands etwa die Zweckbindung der Datenerhebung entfallen.

Gerade mit diesem Thema habe ich mich in einem aktuellen Blogbeitrag beschäftigt. Gutjahr erweckt wie andere auch den Eindruck, es gäbe einen strikten Grundsatz der Zweckbindung, der nach dem Wunsch des Rates nunmehr entfallen oder stark verwässert werden soll. Richtig ist, dass bereits das geltende Recht (BDSG, Datenschutzrichtlinie) zahlreiche Ausnahmen vom Zweckbindungsgrundsatz vorsieht und die aktuellen Vorschläge des Rates sich in etwa auf dem Niveau des Bundesdatenschutzgesetzes bewegen. Im Vergleich zum geltenden Recht wird da also nichts aufgehoben, sondern nur der status quo zementiert. Das mag all jene enttäuschen, die auf eine noch strengere Zweckbindung gesetzt haben.

Wenn der Rat nunmehr fordert, bei der Datenverarbeitung könne eine Zweckänderung wegen überwiegender Interessen eines Dritten erfolgen, stellt sich die Frage, ob diese Forderung nicht ohnehin eine Selbstverständlichkeit darstellt, die aus grundrechtlicher Sicht möglicherweise sogar geboten ist.

Auch das Recht auf Datenschutz und das allgemeine Persönlichkeitsrecht stehen in einem Spannungsverhältnis zu den Grundrechten anderer, das im Einzelfall aufgelöste werden muss. Totalverbote sind zur Lösung von Grundrechtskollisionen nicht geeignet. Vielmehr wägt das Recht ganz regelmäßig unterschiedliche Rechte und Rechtspositonen gegeneinander ab. Man kann die jetzt vorgeschlagene Regelung zur Zweckbindung daher auch für sinnvoll und angemessen halten.

posted by Stadler at 17:22  

5.3.15

Erneut alarmistische Berichterstattung zur EU-Datenschutzreform

In den letzten Tagen war allerorts zu lesen, dass die europäischen Regierungen, allen voran die Bundesregierung, den Datenschutz aufweichen möchten. Heise schreibt beispielsweise, dass Europas Regierungen die Datenschutzreform aushöhlen wollen. Im Tagesspiegel kann man lesen, dass einige Regierungen, darunter die Bundesregierung, versuchen würden, zentrale Grundsätze des Datenschutzes aufzuweichen.

Konkret geht es um Änderungsvorschläge des Rats der Europäischen Union an der Entwurfsfassung einer Datenschutzgrundverordnung. Stein des Anstoßes ist vor allen Dingen die neu aufgenommene Formulierung in Art. 6 Nr. 4 der Entwurfsfassung, die nunmehr lauten soll:

Where the purpose of further processing is incompatible with the one for which the personal data have been collected, the further processing must have a legal basis at least in one of the grounds referred to in points (a) to (e) of paragraph 1. Further processing for incompatible purposes on grounds of legitimate interests of the controller or a third party shall be lawful if these interests override the interests of the data subject.

Der Grundsatz der Zweckbindung, der besagt, dass Daten nur zu dem Zweck weiterverabeitet werden dürfen zu dem sie erhoben worden sind, soll danach einer Abwägung dahingehend unterliegen, dass aufgrund überwiegender Interessen eines Dritten davon abgewichen werden kann.

Wenn man sich die Regelungen des geltenden deutschen Datenschutzrechts ansieht, das angeblich ja das strengste Datenschutzrecht überhaupt ist, stellt man schnell fest, dass es dort ebenfalls keinen ganz strikten Zweckbindungsgrundsatz gibt. § 28 Abs. 2 Nr. 2 a) BDSG lässt es beispielsweise zu, vom Grundsatz der Zweckbindung zur Wahrung berechtigter Interessen eines Dritten abzuweichen. Das ist in etwa auch das, was der Rat nunmehr für die Grundverordnung fordert.

Natürlich ist es legitim, mit Blick auf die geplante europäische Datenschutzgrundverordnung auch eine (deutliche) Verschärfung der bisherigen Datenschutzstandards zu fordern. Allerdings ist eine Berichterstattung, die suggeriert, es würden bestehende Standards und Regelungen aufgeweicht, einfach nicht seriös. Ein Festhalten am aktuellen deutschen Datenschutzniveau wird man nämlich schwerlich als Aushöhlung des Datenschutzes betrachten können. Ein bisschen weniger Schnappatmung täte manchmal auch der Berichterstattung gut.

Carlo Piltz weist in seinem Blog übrigens auf einen weniger beachteten Aspekt hin, der aber von enormer Bedeutung ist. Das Papier des Rates schlägt nämlich die Schaffung eines Konzernprivilegs für die Datenübermittlung innerhalb von Konzernen vor.

posted by Stadler at 16:58  
Nächste Seite »